» MikroTik RouterOS

Исходные данные:

2 локальные сети: 192.168.0.0/24 и 192.168.34.0./24

Между ними роутер микротик с двумя интерфейсами, смотрящими каждый в свою сеть.

На микротике поднимается VPN(PPTP)-соединение в локалку провайдера.

Провайдер в свою очередь транслирует адреса в инет.



Проблема в том что при установлении VPN-соединения на микротике - VPN-сервер провайдера присваивает адрес сервера/клиента совпадающий с одной из исходных локалок (192.168.0.0/24), добавляет default getway микротику - 192.168.0.1. В результате чего, ессно, исходные локалки перестают правильно роутиться.

Подозреваю, что нужно идти в закладку Rules роутинга, но хотелось бы знать 100%-но правильное решение.

Кнопка PPP - страница Profiles.
там создаешь профиль впн-соединения, и прописываешь подсеть которая будет выдаваться впн-соединению - например 172.15.
При создании сикрета просто указываешь созданный профиль.

SFH

Ты не понял. Я поднимаю не PPTP сервер на микротике, а PPTP клиента для коннекта с PPTP-сервером провайдера.

Кто нибудь запускал User Manager,чтобы он считал траффик?
У кого нибудь получилось?

Кто знает как сделать импорт в микротике?

NewClass

Цитата:

Кто знает как сделать импорт в микротике?

наверное кто-нибудь да знает, но никто не скажет, пока не откроешь сокровенную тайну чего ты хочешь в микротик импортировать

PPP(Secrets) хочу с одного микротика в другой перекинуть, Экспорт есть а импорт как ????

Fader
я так понимаю 192.168.0.0\24 - это твоя локалка, если так то:
придеться менять подсеть с 192.168.0.0\24 на скажем 10.0.10.0\24 (или любую другую, отличную от 192.168.0.0\24)

cyb_x
Такое решение было бы очень трудоемким, учитывая что IP статические. Но я уже решил эту проблему - пнул провайдера.

Теперь возник другой вопрос: необходимо все адреса одной сети транслировать (NAT) только на определенные адреса другой. Не догоняю как должно выглядеть правило NAT. Тупо выбрать action=masqurade для трансляции НА ВСЕ адреса не подходит.

Fader
http://www.mikrotik.com/testdocs/ros/2.9/ip/nat.php

cyb_x
Шапку я умею читать.

Но даже почитав описания нижеприведенных экшенов - не разобрался...

accept - accepts the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it
add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter
add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter
dst-nat - replaces destination address of an IP packet to values specified by to-addresses and to-ports parameters
jump - jump to the chain specified by the value of the jump-target parameter
log - each match with this action will add a message to the system log
masquerade - replaces source address of an IP packet to an automatically determined by the routing facility IP address
netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks
passthrough - ignores this rule goes on to the next one
redirect - replaces destination address of an IP packet to one of the router's local addresses
return - passes control back to the chain from where the jump took place
same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client
src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters

Fader

Цитата:

Но даже почитав описания нижеприведенных экшенов - не разобрался...

Дык надо не экшны читать, а про выборку. примерно это выглядит так: в мангле делаешь правило, которое отлавливает пакеты от адресов которые нужно натить и помечаешь. далее идешь в списки сетей делаешь список сетей при работе с которыми нужно натить. потом делаешь правило ната: при посылке пакета от маркированных ип в список сетей, action masquerade. вот тебе теория которая при правильной настройке будет работать.

Raredemon

Хм... интересный вариант,... отмаркировать пакеты. Но я думал что, если достаточно только одного правила НАТ для натирования определенного(-ных) адреса(-ов) в другую сеть, то будет так же достаточно только одним правилом НАТ разрулить и мою проблему (натировать все адреса одной сети для обращения только к определенным адресам другой).

Подскажите с помощью mikrotik возможно решить такую проблему:
офис 8 компов, подключение к провайдеру через vpn
уп в Интернет через VPN подключение к провайдеру
Dns 85.113.212.65
85.113.212.73
Login «login»
Pass «pass»
Сеть офиса 192.168.0.1-192.168.0.8 маска 255.255.255.240
Возможно-ли реализовать совместный доступ в Интернет, используя mikrotik, если возможно, то как?
У провайдера также узнал, что для подключения ОС Linux необходимы пакеты: ppp-2.4.3-5.rhl8.0.i386.rpm, pptp-1.7.0-1.i386.rpm (для RH8).

alfred444
Установка RouterOS Mikrotik: система работает, администратор отдыхает (первоисточник)

совсем забыл написать адрес vpn сервера провайдера 10.1.5.50
мне дали примерно такой же ответ по поводу fresco-роутера, но как оказалось, как это сделать ни кто не знает (я думаю скорее всего не возможно)
p.s. первоисточник прочитал.
p.p.s. возможно-ли реализовать "без танцев с бубном" (прошу не злиться, еще неделю сидеть нехочется и получить на выходе "0")

Две локалки:
192.168.0.0/24
192.168.2.0/24

на 192.168.0.100 L2TP Server с адресом

микротик 192.168.2.101 подключен как 10.0.1.3/24


пинги из сетки в сетку идут. А вот к удаленному рабочему столу, например, подключается нестабильно или вовсе не подключает. Потери пакетов нет.




Цитата:

[admin@FreeBSD_1M_NEW] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop invalid connection packets
chain=input connection-state=invalid action=drop

1 ;;; Allow established connections
chain=input connection-state=established action=accept

2 ;;; Allow established connections
chain=forward connection-state=established action=accept

3 ;;; Allow related connections
chain=input connection-state=related action=accept

4 ;;; Allow related connections
chain=forward connection-state=related action=accept

5 ;;; Allow UDP
chain=input protocol=udp action=accept

6 ;;; Allow UDP
chain=forward protocol=udp action=accept

7 ;;; Allow ICMP Ping
chain=input protocol=icmp action=accept

8 ;;; Allow ICMP Ping
chain=forward protocol=icmp action=accept

9 ;;; Drop invalid connection packets
chain=forward connection-state=invalid action=drop

10 chain=forward out-interface=LAN src-address=192.168.2.0/24 action=accept

11 chain=forward in-interface=LAN dst-address=192.168.2.0/24 action=accept

12 X ;;; MASQUERADE_ALL
chain=forward src-address-list=MASQUERADE_ALL action=log
log-prefix="MASQ_ALL"

13 ;;; MASQUERADE_ALL
chain=forward src-address-list=MASQUERADE_ALL action=accept

14 ;;; Access to Miktotik by IP-address
chain=input protocol=tcp dst-port=8291 action=accept

15 ;;; Allow DNS requests
chain=input in-interface=LAN protocol=tcp dst-port=53 action=accept

16 ;;; Access ALL port forwarding to LOTUS
chain=forward dst-address=192.168.0.250 action=accept

17 X chain=forward protocol=tcp dst-port=5222-5223 action=log
log-prefix="JABBER"

18 ;;; WebProxy
chain=input in-interface=LAN src-address=192.168.0.0/24 protocol=tcp
dst-port=3128 action=accept

19 chain=input in-interface=!LAN protocol=tcp dst-port=3128 action=drop

20 ;;; Allow 5190 for ICQ
chain=forward protocol=tcp dst-port=5190 src-address-list=!ICQ
action=drop

21 ;;; Torrent for 0.61
chain=forward protocol=tcp dst-port=32000 action=accept

22 ;;; POP3
chain=forward protocol=tcp dst-port=110 action=accept

23 ;;; SMTP
chain=forward protocol=tcp dst-port=25 action=accept

24 ;;; Client-banking
chain=forward protocol=tcp dst-port=8804 action=accept

25 ;;; 443 port forwarding
chain=forward protocol=tcp dst-port=443 action=accept

26 ;;; Log ALL dropped in FORWAD chain
chain=forward action=log log-prefix="FORWARD_DENY"

27 ;;; All other inputs drop
chain=forward action=drop

28 chain=input protocol=tcp dst-port=22-23 action=accept

29 X ;;; Log droped INPUT
chain=input action=log log-prefix="DROP_INPUT"

30 ;;; All other inputs drop
chain=input action=drop


[admin@FreeBSD_1M_NEW] ip> route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.0.1.2/32 10.0.1.1 l2tp-video
1 ADC 10.0.1.3/32 10.0.1.1 l2tp-dhz
2 ADC 192.168.0.0/24 192.168.0.100 LAN
3 A S 192.168.2.0/24 r 10.0.1.3 l2tp-dhz
4 A S 192.168.5.190/32 r 10.0.1.2 l2tp-video
5 A S 192.168.5.0/24 r 192.168.0.101 LAN
6 ADC 213.130.10.48/32 89.105.ффф.чч pppoe-1024
7 AD 0.0.0.0/0 r 213.130.10.48 1 pppoe-1024

[admin@FreeBSD_1M_NEW] > interface print
Flags: X - disabled, D - dynamic, R - running
# NAME TYPE RX-RATE TX-RATE MTU
0 R LAN ether 0 0 1500
1 R WAN ether 0 0 1500
2 R pppoe-1024 pppoe-out 0 0 1480
3 R l2tp-video l2tp-in 0 0 1460
4 R l2tp-dhz l2tp-in 0 0 1460

Дано: Микротик + 3 сетевухи (Ether1 = ADSL-1, Ether2 = ADSL-2, Ether3 = LAN). Есть локалка (192.168.10.0/24 - интерфейс Ether3) и два АДСЛ выхода в интернет (Ether1 и Ether2). На одном из выходов (Ether1) настроен srcnat masquerade, т.е. все локальные тачки ходят в интернет через НАТ этого соединения.

Вопрос: как заставить Микротик, чтобы исходящие запросы (на 25 порт) одной из машин в локалке (192.168.10.4 = почтовый сервак) посылались через второе подключение (Ether2). Т.е. нужно чтобы исходяшая почта выходила со второго подключения (Ether2), а не с первого (Ether1, через которое все ходят в интрнет).

Подскажите, кто знает.

zaharmd
полагаю что - отмаркировать в Firewall - Mangle пакеты этого IP/на этом порту и на основе этого марка заНАТить на Ether2.

Fader

Цитата:

полагаю что - отмаркировать в Firewall - Mangle пакеты этого IP/на этом порту и на основе этого марка заНАТить на Ether2.

100% попадание у меня так работает выборочный нат в выборочные сети для выборочных клиентов.

Господа помогите
PPP(Secrets) хочу с одного микротика в другой перекинуть, Экспорт есть а импорт как ????

NewClass

Цитата:

а импорт как ????

никак. разве что попробовать экспортированный список обработать скриптом и на выходе список команд получить.

PPC
Чё делать??Raredemon А как со скриптом??

Raredemon

Напомнил ты мне мой вопрос, который хотел задать, может знаешь...

Есть ли готовый скрипт, способный "записывать" произведенные настройки via Winbox на выходе получая список команд?

Fader

Цитата:

Есть ли готовый скрипт, способный "записывать" произведенные настройки via Winbox на выходе получая список команд?

Нет, насколько я знаю. сам делал скрипт с настройками и просто запускал на микротиках.
NewClass

Цитата:

А как со скриптом??

посмотри шестую страницу этой темы.

один сетевой интерфейс подключен к кабельному модему и соответственно к провайдеру Ip получаю динамически, подскажите как настроить - в документации нашел только про статический ip

alfred444

Цитата:

один сетевой интерфейс подключен к кабельному модему и соответственно к провайдеру Ip получаю динамически, подскажите как настроить - в документации нашел только про статический ip

А что настроить то?

где выставить что ether2 - получает от dhcp сервера и настроить маскарад всех локальных на pptp?

Помогите разрулить ситуацию.

Дано:

Включен web-proxy (port 3128). Все запросы на 80 порт при помощи редиректа заруливаются на прокси:

Код: chain=dstnat in-interface=ether3 src-address=192.168.10.0/24 protocol=tcp dst-port=80 action=redirect to-ports=3128

кажись разобрался...

добавил к первому правилу routing-mark=!mail-out

т.е. получилось

Код:
chain=dstnat in-interface=ether3 src-address=192.168.10.0/24 protocol=tcp dst-port=80 routing-mark=!mail-out action=redirect to-ports=3128