» MikroTik RouterOS (часть 3)

rosalin
Это

Цитата:

2 chain=srcnat action=masquerade out-interface=!ether2

значит НЕ второй интерфейс. Для маскарадинга это не годится.

Цитата:

1. маркировать пакеты штатными средствами
/ip firewall mangle
add action=mark-packet chain=prerouting comment=all-p2p disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no
add action=mark-packet chain=prerouting comment="\B5TP-1" disabled=no layer7-protocol="\B5TP-1" new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment="\B5TP-2" disabled=yes layer7-protocol="\B5TP-2" new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment=DHT disabled=no layer7-protocol=DHT new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment=BitTorrent disabled=yes layer7-protocol=bittorrent new-packet-mark=p2p passthrough=no

2. маркировать пакеты по сигнатуре Layer7
/ip firewall layer7-protocol
add comment="" name="\B5TP-1" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
add comment="" name=DHT regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
add comment="" name="\B5TP-2" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=|get /announce\\\?info_hash=|ge\
t\r\
\n/ann\?uk=|get\r\
\n/client/bitcomet/|get /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

Порядок секций в файерволе:
/ip firewall filter

3. Разрешить ВСЕ! (и торренты тоже) из листа "full" (себе любимому, корешу и т.д.) !!
add action=accept chain=forward comment=full disabled=no src-address-list=full
add action=accept chain=forward comment=full disabled=no dst-address-list=full

3. Разрешить порт 8080

4. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
add action=add-src-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
packet-mark=p2p src-address=192.168.0.0/16
add action=add-dst-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
dst-address=192.168.0.0/16 packet-mark=p2p
add action=log chain=forward comment=p2p-packet disabled=yes log-prefix="" packet-mark=p2p
add action=drop chain=input comment=all-p2p disabled=no p2p=all-p2p
add action=drop chain=input comment=p2p-mark disabled=no packet-mark=p2p
add action=drop chain=forward comment=all-p2p disabled=no p2p=all-p2p
add action=drop chain=forward comment=p2p-mark disabled=no packet-mark=p2p

5. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)
add action=drop chain=forward comment="!!!_BAN_!!! -> torr" disabled=no dst-address-list=torrent protocol=tcp src-port=1000-65535
add action=drop chain=forward comment="!!!_BAN_!!! -> torr" disabled=no dst-address-list=torrent protocol=udp src-port=1000-65535
add action=drop chain=forward comment="!!!_BAN_!!! torr ->" disabled=no dst-port=1000-65535 protocol=tcp src-address-list=torrent
add action=drop chain=forward comment="!!!_BAN_!!! torr ->" disabled=no dst-port=1000-65535 protocol=udp src-address-list=torrent

но при этих настройках блокируетя даже скайп как это обойти

faust72rus
все работает, просто комп на котором все это тестировалось тупой до ужаса, чтобы проверить порты приходится ребутать сетевуху на каждую проверку х)))
спасибо

nitskel
что то странное. Для работы микротика требования ничтожны.

и почемуто ip клиентов тоже кидает в бан чего по идее не должен делать
причём даже сервера qip и icq попали в бан

keeper1978
Аська же по порту 5190 работает, разумеется ты его перекрываешь (он вроде попадает в диапазон 1000 - 65535).

Ребята опять взялся за ковыряние Микротика , переделал правила нат ,
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=WAN

1 chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=5000 protocol=udp
in-interface=WAN dst-port=5000

Поднятый OpenVPN работает , НО есть один ТРАБЛ
если у пользователя в локальной сети указан шлюз МИКРОТИКА , то пользователи из вне не могут его пинговать , если указать другой шлюз то все хорошо

rosalin
Трасировку кидай.

c faust72rus
какого конца ? и с какими лучше параметрами


Добавлено:
примерно так это от пользователя из вне
C:\Windows\system32>tracert 192.168.0.51

Трассировка маршрута к 192.168.0.51 с максимальным числом прыжков 30

1 1 ms 1 ms 1 ms 10.8.0.1
2 * 2 ms 3 ms 192.168.0.51

Трассировка завершена.

Добавлено:
1 1 ms 1 ms 1 ms 10.8.0.1 это сервер OpenVPN он же шлюз 192.168.0.6

2 * 2 ms 3 ms 192.168.0.51 это комп в локальной сети , у него же прописан шлюз 192.168.0.6

все пингуеться ,

но как только я указываю на компе 192.168.0.51 шлюзом Микротик 192.168.0.4 , то пинги до 192.168.0.51 не идут

Добавлено:
У удаленного пользователя

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.49.13.126 10.49.13.100 20
10.0.0.0 255.0.0.0 10.49.13.126 10.49.13.100 21
10.8.0.0 255.255.255.0 10.8.0.5 10.8.0.6 30
10.8.0.4 255.255.255.252 On-link 10.8.0.6 286
10.8.0.6 255.255.255.255 On-link 10.8.0.6 286
10.8.0.7 255.255.255.255 On-link 10.8.0.6 286
10.49.13.64 255.255.255.192 On-link 10.49.13.100 276
10.49.13.100 255.255.255.255 On-link 10.49.13.100 276
10.49.13.127 255.255.255.255 On-link 10.49.13.100 276
92.255.64.0 255.255.252.0 10.49.13.126 10.49.13.100 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.240.0.0 10.49.13.126 10.49.13.100 21
192.168.0.0 255.255.0.0 10.49.13.126 10.49.13.100 21
192.168.0.0 255.255.254.0 10.8.0.5 10.8.0.6 30
195.2.232.0 255.255.254.0 10.49.13.126 10.49.13.100 21
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 10.49.13.100 276
224.0.0.0 240.0.0.0 On-link 10.8.0.6 286
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 10.49.13.100 276
255.255.255.255 255.255.255.255 On-link 10.8.0.6 286
===========================================================================
Постоянные маршруты:
Отсутствует

Добавлено:
на компе с OpenVPN

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.4 192.168.0.6 20
10.8.0.0 255.255.255.252 10.8.0.1 10.8.0.1 30
10.8.0.0 255.255.255.0 10.8.0.2 10.8.0.1 1
10.8.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
10.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.6 192.168.0.6 20
192.168.0.6 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.6 192.168.0.6 20
224.0.0.0 240.0.0.0 10.8.0.1 10.8.0.1 30
224.0.0.0 240.0.0.0 192.168.0.6 192.168.0.6 20
255.255.255.255 255.255.255.255 10.8.0.1 10.8.0.1 1
255.255.255.255 255.255.255.255 10.8.0.1 2 1
255.255.255.255 255.255.255.255 192.168.0.6 192.168.0.6 1
Основной шлюз: 192.168.0.4
===========================================================================
Постоянные маршруты:
Отсутствует

Цитата:

как только я указываю <...> то пинги <...> не идут

именно поэтому просили трассировку: пинг в данном случае ни о чём не говорит (поскольку его банально нет)

192.168.0.4 знает о том, где находится 10.8.0.0/24?

скорее всего нет


Добавлено:
Chupaka

Цитата:

192.168.0.4 знает о том, где находится 10.8.0.0/24?

как это прописать на роутере

Цитата:

скорее всего нет

вот и ответ. поскольку он не знает, где это, то и пакеты для него направляет в какой-нибудь интернет

Добавлено:
IP -> Routes

щас у меня так

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 100.255.100.246 1 WAN
1 ADC 100.255.100.244/30 100.255.100.245 0 WAN
2 ADC 192.168.0.0/24 192.168.0.4 0 LAN

rosalin
Добавляй маршрут на микротике.
10.8.0.0/24 - адрес назначения

192.168.0.6 - шлюз.

faust72rus
блин я в шоке !!! век живи век учись !!!

faust72rus
Я так понимаю заработало?


З.Ы. На самом деле всё закономерно и логично.

еще для меня сверх задача поднять на микротике OpenVPN, посему как сейчас схема , скажем через ...


но пока вообще не понял , програмный OpenVPN работает нормально

rosalin
В чём проблема в поднятии? Скрин настроек в студию. Авторизация через радиус будет или прямо из списка пользователей?

Софтовый OpenVPN сервер настроен так
# Тип интерфейса
dev tun

# протокол - советую udp
proto udp
#proto tcp


# Порт
port 5000

# Признак серверной конфигурации
tls-server

#Укажем адресное пространство в vpn-сети
server 10.8.0.0 255.255.255.0

# маршрут vpn сети
# push "route 10.8.0.0 255.255.255.0"
# маршут сети главного офиса
# push "route 192.168.0.0 255.255.255.0"

# Включаем сжатие
comp-lzo
# Разрешаем vpn-клиентам видеть друг друга
client-to-client

# указываем где хранятся файлы с
# настройками IP-адресов клиентов
client-config-dir C:\\OpenVPN\\config\\ccd

# Файл с описанием vpn-сетей между клиентом и сервером
# Если при старте сервера он не существует, то создается автоматически
ifconfig-pool-persist C:\\OpenVPN\\config\\ccd\\ipp.txt 0

# Указываем пути к сертификатам сервера
# Сертификат для шифрования установки соединения
dh C:\\OpenVPN\\ssl\\dh2048.pem
# Сертификат центра сертификации
ca C:\\OpenVPN\\ssl\\ca.crt
# Сертификат сервера
cert C:\\OpenVPN\\ssl\\ServerVPN.crt
# Ключ сервера
key C:\\OpenVPN\\ssl\\ServerVPN.key

# Использование интерфейса и ключа при перезапуске сервера
persist-tun
persist-key

# Защита от DOS атак (для сервера, после пути к ключу, ставим 0)
tls-auth C:\\OpenVPN\\ssl\\ta.key 0

tun-mtu 1500
tun-mtu-extra 32
mssfix 1450

# Время жизни неактивной сессии
keepalive 10 120
# максимум клиентов
max-clients 20


# Пути к логам
# Лог состояния (перезаписывается ежеминутно)
status C:\\OpenVPN\\log\\openvpn-status.log
# Системный лог
log-append C:\\OpenVPN\\log\\openvpn.log
# Количество отладочной информации (от 0 до 9) в логах
mute 3
verb 4


+ cdd
# маршрут для клиента client1, чтобы видеть сеть за сервером, т.е. 192.168.0.0/24
push "route 192.168.0.0 255.255.254.0"
#push "route 192.168.0.0 255.255.255.0"

вроде микротик UDP не держит и push тоже

rosalin
UDP действительно унсуппортед. Критично?

faust72rus
думаю нет , как насчет пропускной способности

rosalin
Что за железо у тебя?

faust72rus
железо pc
версия Микротика 3.22

rosalin
Chupaka
Чупака по производительности OpenVpn на железе не подскажешь? (у меня тока RB есть=)

Цитата:

по производительности OpenVpn на железе не подскажешь?

не, не подскажу, не пробовал. OpenVPN как-то не очень вкусен без поддержки UDP, так что L2TP в этом плане вкуснее =)

Chupaka
L2TP
не подскажешь как поднять ... и насколько это подойдет для замены OpenVPN//
т.е что бы юзеры могли подключаться через интренет к локальной сети , и можно было бы объединять офисы

Уважаемые большая просьба!
нужна маленькая консультация.

приобрёл роутер RB 750 c RouterOS 4.10

прочёл много страниц выяснил всё что нужно было кроме одной мелочи
необходимо 2 порта использавать под WAN т.е. нужно второй порт вывести из свича
назначил 3 порт мастером перестроил 4 и 5

но второй по прежнему числится в свиче

как сделать его независимым(как и первый)?????

tttrip
У всех портов очисти свойство мастер. И все порты будут независимыми.

что ни как до меня не дойдет, пытаюсь заблокировать доступ к winbox,
всем кроме определенных IP:

Код: add action=accept chain=forward comment="" disabled=no dst-port=8291 protocol=tcp src-address-list=admin
add action=drop chain=forward comment="" disabled=no dst-port=8291 protocol=tcp src-address-list=0.0.0.0/24

vlh
Chain=input

По твоим правилам даже трафик скорее всего не шёл.