» MikroTik RouterOS (часть 3)

Других правил нет.
Вот service-port
/ip firewall service-port> print
Flags: X - disabled, I - invalid
# NAME PORTS
0 ftp 21
1 X tftp 69
2 X irc 6667
3 X h323
4 sip 5060
5061
5 I pptp 1723


не пускают именно 750г(две штуки), 450й пускает соединятся с тем сервером

Добавлено:
И вот /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1

1 ;;; mail
chain=dstnat action=dst-nat to-addresses=192.168.12.12 to-ports=25
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=25

2 chain=dstnat action=dst-nat to-addresses=192.168.12.12 to-ports=995
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=995

3 chain=dstnat action=dst-nat to-addresses=192.168.12.12 to-ports=993
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=993

4 chain=dstnat action=dst-nat to-addresses=192.168.12.12 to-ports=465
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=465

5 chain=dstnat action=dst-nat to-addresses=192.168.12.12 to-ports=587
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=587

6 ;;; web 1c
chain=dstnat action=dst-nat to-addresses=192.168.12.16 to-ports=80
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=80

7 ;;; ts3
chain=dstnat action=dst-nat to-addresses=192.168.12.5 to-ports=30033
protocol=tcp dst-address=xxx.xxx.xxx.xxx dst-port=30033

8 ;;; ts3
chain=dstnat action=dst-nat to-addresses=192.168.12.5 to-ports=9987
protocol=udp dst-address=xxx.xxx.xxx.xxx dst-port=9987

9 ;;; sFTP
chain=dstnat action=dst-nat to-addresses=192.168.12.5 protocol=tcp
dst-address=xxx.xxx.xxx.xxx dst-port=990,999,15500-15555

a520

Цитата:

5 I pptp 1723

вот из-за прописанного порта у вас эта самая важная строчка является невалидной =) уберите 1723

да на RB450 там действительно пусто было, убрал и на RB750g
вот /ip firewall service-port> print
Flags: X - disabled, I - invalid
# NAME PORTS
0 ftp 21
1 X tftp 69
2 X irc 6667
3 X h323
4 sip 5060
5061
5 pptp

перезагрузил роутер и тогда сработало, без перезагрузки не было эфекта

ОГРОМНОЕ СПАСИБО

куда пиво отгружать?

Добавлено:
Интересно разобраться и во второй части, если RB750 будет PPTP-Client как сделать так, чтоб компы за ним увидели удаленную сеть.
Фактически как заставить заработать пример из http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP
если говорить по этому примеру, то Laptop10.1.202.2 видит только адрес 172.16.1.2
а вот с RB750 в winbox любой Workstation пингуется. Чего там не договорили про маршрутизацию?

Цитата:

куда пиво отгружать?

Минск, Беларусь ))

про вторую часть: смотреть трассировку с обеих сторон навстречу друг другу

a520
Чтоб лаптоп увидел сетку 10.1.101.0/24 нужно на первом микротике (HOME) прописать маршрут

Код: /ip route> add dst-address=10.1.101.0/24 gateway=172.16.1.1

Эх, в Киеве я бы отправил пиво, но в Минске ни как

понятно что /ip route> add dst-address=10.1.101.0/24 gateway=172.16.1.1
я прописал в роутере и с роутера в винбоксе Workstation пингуется и трасса правильная, но не с лаптопа, там только 172.16.1.2 виден. А на самом лаптопе лезть в ROUTE ADD вроде как не нужно бы, но tracert (лаптоп под вин) на 10.1.101.3 показывает только 10.1.202.1 а дальше ***.

Добавлено:
--------------

На своих микротиках я настраиваю профиль в PPP так, что он раздает локальный и удаленный адрес в той же подсети и тогда в свойствах стандартного виндовс впн соединения можно снять галку «использовать как основной шлюз» и ничего не добавлять в ROUTE ADD (я это просто не умею).
А в данном случае нужно соединится с чужой сетью и тут приходится эту галку установить, и работать только с одним этим впн, остальные отваливаются из-за этой установки, а использовать роутер как PPTP-Client не получилось почему-то. Было б интересно узнать как другие решают подобную задачу.

Может кто помочь ???
Немного еще добавил, подглядев на IXBT
[more][admin@MikroTik] > ip firewall export
# jul/25/2011 15:23:41 by RouterOS 3.30

/ip firewall layer7-protocol
add comment=uTP_uTorrent name="\\B5TP" regexp="\\\\\\\\x7F\\\\\\\\xFF\\\\\\\\xFF\\\\\\\\xFF\\\\\\\\xAB"
add comment=DHT_Torrent name="\\DHT" regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
/ip firewall address-list
add address=10.10.5.2 comment="" disabled=yes list="adm test"
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=\
5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m \
udp-timeout=10s
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" disabled=yes

add action=accept chain=input comment="Winbox IN" disabled=no dst-port=8291 protocol=tcp
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=\
no
add action=accept chain=forward comment="Allow established connections" connection-state=established \
disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=forward comment="Allow ICMP Ping" disabled=no protocol=icmp
add action=accept chain=forward comment="Allow all for admin" disabled=yes dst-address=10.10.5.2
add action=accept chain=forward comment="Allow all for admin" disabled=yes src-address=10.10.5.2
add action=accept chain=forward comment="Allow http (in)" disabled=no dst-address=10.10.5.0/24 protocol=tcp \
src-port=80
add action=accept chain=forward comment="Allow http (out)" disabled=no dst-port=80 protocol=tcp \
src-address=10.10.5.0/24
add action=accept chain=forward comment="Allow https (in)" disabled=no dst-address=10.10.5.0/24 protocol=\
tcp src-port=443
add action=accept chain=forward comment="Allow https (out)" disabled=no dst-port=443 protocol=tcp \
src-address=10.10.5.0/24
add action=accept chain=forward comment="Allow ftp (in)" disabled=no dst-address=10.10.5.0/24 protocol=tcp \
src-port=21
add action=accept chain=forward comment="Allow ftp (out)" disabled=no dst-port=21 protocol=tcp src-address=\
10.10.5.0/24
add action=accept chain=forward comment="Allow icq (in)" disabled=yes dst-address=10.10.5.0/24 protocol=tcp \
src-port=5190
add action=accept chain=forward comment="Allow icq (out)" disabled=yes dst-port=5190 protocol=tcp \
src-address=10.10.5.0/24
add action=drop chain=forward comment="All other forwards drop" disabled=yes
add action=drop chain=forward comment="" connection-limit=0,32 connection-state=established disabled=yes \
p2p=all-p2p protocol=tcp
add action=drop chain=prerouting comment="" connection-limit=1,32 connection-state=established disabled=yes \
limit=0,5 p2p=all-p2p protocol=tcp
add action=jump chain=forward comment=p2p_deny disabled=no jump-target=p2p_deny
add action=drop chain=p2p_deny comment="GW - deny uTP traffic" disabled=no layer7-protocol="\\B5TP" \
protocol=udp
add action=drop chain=p2p_deny comment=deny_p2p_ALL_traffic_IN-DAY disabled=no p2p=all-p2p time=\
8h-17h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=p2p_deny comment=deny_p2p_ALL_traffic_IN-NIGHT disabled=no p2p=all-p2p time=\
0s-1h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=p2p_deny comment=deny_p2p_DHT_traffic_IN-DAY disabled=no dst-address-type="" \
layer7-protocol="\\DHT" time=8h-17h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=p2p_deny comment=deny_p2p_DHT_traffic_IN-NIGHT disabled=no layer7-protocol="\\DHT" \
time=0s-1h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=p2p_deny comment=deny_p2p_RUTRACKER_traffic_IN-DAY disabled=no dst-address=\
195.82.146.114 time=8h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=p2p_deny comment=deny_p2p_RUTRACKER_traffic_IN-NIGHT disabled=no dst-address=\
195.82.146.114 time=0s-1h,sun,mon,tue,wed,thu,fri,sat
add action=return chain=p2p_deny comment=p2p_deny_return disabled=no
add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=drop chain=forward comment="TCP_connection_limit (64-1)" connection-limit=1,32 disabled=no \
protocol=tcp tcp-flags=syn
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=!ether2
/ip firewall service-port
set ftp disabled=yes ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no
[admin@MikroTik] >
[/more]
Торенты все равно живут своей жизнью... Как побороть???? Хелпп..

Как l2tp сервер повесить на один IP, а скажем openvpn сервер на другой? (сетка /29 от провайдера)

Как микротик определяет основной IP на WAN интерфейсе?

Цитата:

Как l2tp сервер повесить на один IP, а скажем openvpn сервер на другой?

файрволом закрыть доступ на ненужные адреса, например. а смысл? =)


Цитата:

Как микротик определяет основной IP на WAN интерфейсе?

в каком смысле "основной"? если речь про NAT Masquerade и src-address генерируемых роутером пакетов - то тут явно используется Pref.Src из используемого роута

Chupaka

Цитата:

а смысл? =)

Я как-то привык, что разные WAN IP используются для разных нужд (с помощью нескольких шлюзов). Надеялся, что продвинутый Microtik поможет сократить их количество - это я зря, что ли?

Не утверждаю, что я прав; наоборот, хотел бы сломать неверный шаблон.



Цитата:

если речь про NAT Masquerade и src-address генерируемых роутером пакетов - то тут явно используется Pref.Src из используемого роута

А если он не задан для дефолтного маршурта?


Добавлено:

Pref.Src выбирается случайно в таком случае?

И что является бестпрактисом для нескольких WAN ip? Типа они только для NAT 1:1, а больше не нужны ни для чего ?

Цитата:

сократить их количество

Цитата:

l2tp сервер повесить на один IP, а скажем openvpn сервер на другой

сократить - это повесить всё на один, а не плодить адреса без необходимости

Pref.Src в том случае выбирается из маршрута к шлюзу

бестпрактисом является невешание нескольких адресов на один интерфейс - зачем?

Chupaka

Есть несколько адресов от провайдера, все на одном канале. Цель - разумно употребить 4/5 из них с помощью единственного микротика, не размножая интернет-шлюзы в локалке сверх необходимости.



Цитата:

нескольких адресов на один интерфейс - зачем?

Например для NAT 1:1

Или, например, для одновременной публикации нескольких вебсервисов на стандартном порту (чтобы юзерам в интернете хватало DNS имён без мороки с портами).

Пока использую для этого внешний "webhop redirect" от dyndns, но хотелось бы обойтись микротиком.

товарищи. Я понимаю, что моя проблема - практически детская. Но может кто поделится простеньким рабочим конфигом?? Или сможет мне помочь с настройкой текущего.
Повторюсь, инет всем поровну, и заблочить ВСЕ кроме HTTP ICQ И пары бух-приложений Обязательно торенты и прочие P2P.
Ну и возможность контролировать, с какого адреса идет трафик (на случай заражения, чтоб быстро вычислить)
Плз хеелп!!!

Цитата:

Например для NAT 1:1

это, строго говоря, никак не связано с числом адресов на интерфейсе. чтобы их "употребить" в режиме моста (когда там сеть /29) - да, можно понавешать отдельных адресов на интерфейс, можно включить и настроить Proxy-ARP (геморройно, наверное, ибо такой конфиг в принципе неправилен); результат один - на ARP-запросы провайдера будут приходить ответы, хоть и с одним и тем же маком. всё равно трафик будет гулять между двумя маками (провайдерским и тиковским), поэтому всё ещё непонятно, зачем ППП-серверы разносить на разные адреса.


Цитата:

для одновременной публикации нескольких вебсервисов на стандартном порту

все вебсервисы - на разных серверах? тогда надо использовать прокси. а если на одном - добро пожаловать в NameVirtualHost

Chupaka

Можно ещё раз, чуть подробнее?

1)
Цитата:

можно включить и настроить Proxy-ARP

Это как, интересно, о чём вообще речь? Я знаю только одно употребление Proxy ARP: для включения VPN клиентов в сегмент LAN.

2)
Цитата:

результат один - на ARP-запросы провайдера будут приходить ответы, хоть и с одним и тем же маком.

У меня etherWAN интерфейс включён в WAN бридж. Возможно ли как-то добавить левых маков по числу адресов? Оправдано ли это?



Цитата:

зачем ППП-серверы разносить на разные адреса.

Для того, чтобы иметь возможность каждый из них по отдельности перенести внутрь локалки (например, на ISA-TMG-UAG), убрав его с шлюза.

Малой кровью (без глобального переписывания и тестирования конфигов). И НЕ ПОРУШИВ остальные.



Цитата:

все вебсервисы - на разных серверах? тогда надо использовать прокси.

Ссылку на доку можно? Я правильно понимаю, что речь о реверс-прокси?



Цитата:

а если на одном - добро пожаловать в NameVirtualHost

А ето што це такэ?
Заранее благодарен за пояснения!

LevT

Цитата:

Это как, интересно, о чём вообще речь? Я знаю только одно употребление Proxy ARP: для включения VPN клиентов в сегмент LAN.

Proxy-ARP в целом используется для того, чтобы одна машина отвечала на ARP-запросы за другую. надо это с большего тогда, когда вторая машина находится на разных интерфейсах у первой: например, локальная сеть и впн-юзер, или провайдер и машина с адресом из подсети провайдера, но находящаяся за маршрутизатором. в данный момент речь как раз о втором случае. т.е. теоретически можно включить арп-прокси и прописать маршрут на адреса, которые предполагается пробрасывать на другие машины, внутрь локалки. теоретически потому, что я не люблю Proxy-ARP и потому его не использую - лучше настроить нормально маршрутизацию


Цитата:

У меня etherWAN интерфейс включён в WAN бридж

а зачем, если не секрет? за что люблю такие разговоры: вначале кажется, что схема проста до безобразия, а потом как начинают всплывать такого рода подробности внутренней организации... =)


Цитата:

Для того, чтобы иметь возможность каждый из них по отдельности перенести внутрь локалки (например, на ISA-TMG-UAG), убрав его с шлюза.

ну, если всё равно трафик будет бегать через тот же маршрутизатор - то тут вообще параллельно, отмаршрутизировать способом с Proxy-ARP никто вроде не мешает. а вообще за многие годы работы в этой области я очень хорошо понял, насколько позитивным является DNS: можно менять IP-адресацию, не меняя настроек пользователей =)


Цитата:

Ссылку на доку можно? Я правильно понимаю, что речь о реверс-прокси?

вроде того. в DNS Мелкотика статикой вбиваются имена серваков с их внутренними IP-адресами - и затем все веб-запросы перенаправляются на мелкотиковский прокси, который обращается непосредственно к нужному серверу и результат отдаёт клиенту. ссылки, к сожалению, под рукой нет, но вроде как я это в мануале к тику и читал


Цитата:

NameVirtualHost

Цитата:

А ето што це такэ?

а это возможность Apache'а держать на одном айпишнике:порту сколько угодно сайтов на разных доменах

Подскажите пожалуйста, можно ли выключить обнаружение cisco и mikrotik, сегодня обнаружил, что раз в минуту роутер шлёт discovery-пакеты, а мне это совсем ни к чему.

Chupaka
Благодарю )


Цитата:

а зачем, если не секрет?

да без особой цели, просто для симметрии с LAN бриджем.

Плюс на этом WAN бридже динамически видно присуствие в провайдерской оптике хрЕновой кучи соседских маков: это мне помогло на неделе напрячь провайдера и выбить из него отдельный влан с подсетью.

Правда, маки там продолжают болтаться, сотня их набирается за несколько минут после перезапуска роутера - и ни я сам, ни админы провайдера причину не понимаем.



Цитата:

а вообще за многие годы работы в этой области я очень хорошо понял, насколько позитивным является DNS: можно менять IP-адресацию, не меняя настроек пользователей =)

С этим-то я согласен, также на личном опыте. Пытаюсь вот теперь одолеть следующий этап с помощью микротика: настроить единые ссылки на экстранет ресурсы. Если я не ошибаюсь, называется это ReverseNAT

Успех так себе переменный: что-то работает, а что-то нет, уверенно изменять настройки пока не могу.

Цитата:

выключить обнаружение cisco и mikrotik

IP -> Neighbours -> Discovery Interfaces


Цитата:

это мне помогло на неделе напрячь провайдера и выбить из него отдельный влан с подсетью

завидую... в Беларуси беспредел с этим, мы у аплинка сначала вообще исторически в АДСЛ-ный влан попали, там куча всего, а потом по моей просьбе почистить нас от мусора нас пересадили в вилан с другим провайдером %)


Цитата:

настроить единые ссылки на экстранет ресурсы. Если я не ошибаюсь, называется это ReverseNAT

не совсем понятно... это не о том ли речь, чтобы одинаковые имена разрешались в разные айпищники снаружи и изнутри?.. тогда это называется Split DNS...

Цитата:

... это не о том ли речь, чтобы одинаковые имена разрешались в разные айпищники снаружи и изнутри?.. тогда это называется Split DNS...

нет )) сплит днс это-то для меня просто и ясно (правда не с помощью роутера, а с помощью своего днс сервера).

А надо мне вот что:


есть вебсервис (сервер отнюдь не апач, а вшитый в виндовую .NET прогу) на порту 8461
Он доступен из локалки через http://mailstore:8461

После манипуляций с DynDNS "WebHop redirect" и микротиковским натом к нему можно обращаться снаружи так http://mailstore.domain.org (И таких вебсервисов ещё есть в локалке на других компах, заход на них по другим портам. Забавно, что другой вебсервис на апаче работает нормально в аналогичной ситуации.)

Дефолтная страница открывается, в адресной строке написано: http://site.domain.org:10080

А вот аутентификация не проходит и дальнейшие страницы не работают, КМК потому что вебсервер смотрит на запрос, который с точки зрения сервера mailstore.domain.local разрешается не на его айпишник, а на публичный адрес шлюза site.domain.org.

Проблему теоретически сплит днс может поправить, но КМК только для единственного внутреннего вебсервиса (а у меня их несколько на разных компах).


Добавлено:

Мне удавалось добиться от микротика, чтобы mailstore заработал при взгляде снаружи - но победа была негодной, т.к.он переставал работать изнутри сети.

Все настроил заново.
http работает, https не совсем, например скайп скачать не удалось.
icq пытается подключиться, даже добивается до сервера (выбивает запущенную на другом компе, но на этом и все)
SIPnet так же не удалось запустить(((..
Хотя торент вроде как уже ни чего и не качает..
Скайп попробовать пока не могу, он на виртулбоксе не запускается. Но судя по форумам он должен заработать даже на 443 порту...
/Подскажите плиз, как исправить? необходимо разбираться в маркировке трафа? Но с VoIP это врятле поможет...

[more]/ip firewall filter
add action=accept chain=input comment="Winbox in" disabled=no dst-port=8291 \
protocol=tcp
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
established disabled=no in-interface=ether1
add action=accept chain=input comment="Added by webbox" connection-state=\
related disabled=no in-interface=ether1
add action=drop chain=input comment="Added by webbox" disabled=no \
in-interface=ether1
add action=jump chain=forward comment="Added by webbox" disabled=no \
in-interface=ether1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
add action=drop chain=input comment="Drop invalid connection packets" \
connection-state=invalid disabled=no
add action=accept chain=input comment="Allow established connections" \
connection-state=established disabled=no
add action=accept chain=input comment="Allow related connections" \
connection-state=related disabled=no
add action=accept chain=input comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=input comment="Allow ICMP Ping" disabled=no protocol=\
icmp
add action=accept chain=input comment="Access to router only for admin" \
disabled=no src-address=10.10.0.80
add action=drop chain=input comment="All other inputs drop" disabled=no
add action=accept chain=forward comment="Access to internet from admin" \
disabled=yes src-address=10.10.5.2
add action=accept chain=forward comment="Access to internet from admin" \
disabled=yes dst-address=10.10.5.2
add action=accept chain=forward comment="Allow all for group FULL" disabled=\
yes dst-address-list=FULL
add action=accept chain=forward comment="Allow all for group FULL" disabled=\
yes src-address-list=FULL
add action=accept chain=forward comment="Allow http for group USER (in)" \
disabled=no dst-address-list=USER protocol=tcp src-port=80
add action=accept chain=forward comment="Allow http for group USER (out)" \
disabled=no dst-port=80 protocol=tcp src-address-list=USER
add action=accept chain=forward comment="Allow https for group USER (in)" \
disabled=no dst-address-list=USER protocol=tcp src-port=443
add action=accept chain=forward comment="Allow https for group USER (out)" \
disabled=no dst-address-list=USER dst-port=443 protocol=tcp
add action=accept chain=forward comment="Allow ftp for group USER (in)" \
disabled=no dst-address-list=USER protocol=tcp src-port=21
add action=accept chain=forward comment="Allow ftp for group USER (out)" \
disabled=no dst-address-list=USER dst-port=21 protocol=tcp
add action=accept chain=forward comment="Allow icq for group USER (in)" \
disabled=no dst-address-list=USER protocol=tcp src-port=5190
add action=accept chain=forward comment="Allow icq for group USER (out)" \
disabled=no dst-address-list=USER dst-port=5190 protocol=tcp
add action=accept chain=forward comment="Allow SIP for group USER (in)" \
disabled=no dst-address-list=USER protocol=tcp src-port=11024
add action=accept chain=forward comment="Allow SIP for group USER (out)" \
disabled=no dst-address-list=USER dst-port=11024 protocol=tcp
add action=drop chain=forward comment="All other forwards drop" disabled=no
[admin@MikroTik] /ip firewall filter>
[/more]

Цитата:

КМК потому что вебсервер смотрит на запрос, который с точки зрения сервера mailstore.domain.local разрешается не на его айпишник

о, и тут вступает в дело SplitDNS (да, на отдельном серваке), который и разрешает имя именно на его айпишник

Chupaka

Не масштабируется: вебсервис не один (разные серваки изнутри локалки должны торчать наружу одновременно и по возможности умещаться на одном IP).

Или Днс этот внутренний какой-то очень продвинутый должен быть - и отдавать раличным клиентам собственную вьюшку? Не умею таких, научите ))

LevT
чё-то не совсем понятно... тут два подхода: "а-ля Webhop Redirect", когда отдельный сайт перенаправляет клиента на нужный адрес с указанием порта, бла-бла-бла; и прокси - сервак, слушающий клиента на одном порту и самостоятельно делающий обращения к другим сервакам, возвращая результат клиенту абсолютно прозрачно.

это что касается "умещаться на одном IP". а про "отдавать раличным клиентам собственную вьюшку" ещё не вкурил...

мда. спасибо товарищи... давненько на форуме, и такой помощи так же давненько не встречал.
Спасибо за помощь. Хоть бы один ответил....

Chupaka

Цитата:

и прокси - сервак, слушающий клиента на одном порту и самостоятельно делающий обращения к другим сервакам, возвращая результат клиенту абсолютно прозрачно.

Дело в том, что микротик у меня уже настроен dst-натить разные порты на разные серваки. Худо-бедно справляется (соседний вебсервис на апаче в этой конфигурации работает как дОлжно), но я хотел бы бОльшей степени контроля. Т.е. чтобы было типа двинул рычажок - получил предсказуемый результат. Пока что результат непредсказуем (см. выше о mailstore)



Цитата:

"отдавать раличным клиентам собственную вьюшку" ещё не вкурил...

Ну чтобы внутренний dns всем вебсервисам врал, что site.domain.org это сам запрашивающий клиент.

Не умею таких днс-ов, но знаю, что они должны быть.

ramzes83
лучше сразу писать: "все кто ниже и выше и отвечают не мне - пидоры нехорошие люди"

я, например, не отвечал просто потому, что не люблю чужие вереницы правил - они уж больно скучно в консоли выглядят. начните с нуля и перед добавлением любого правила файрвола сначала поймите, что оно делает

например так (работаем исключительно с цепочкой forward - прокси же не используется?):
1) добавляем правило с in-interface=LAN action=drop - теперь у нас ничего из LAN не ходит вообще (входящим трафиком не заморачиваемся, хотя можно и сразу с ним работать - входящие подключения нужны или нет?)
2) нужен http(s)? добавляем выше дропа правило с in-interface=LAN protocol=tcp dst-port=80(,443) action=accept
3) повторяем 2) для всех нужных сервисов
4) чтобы гарантированно заблочить скайпоторренты по 80 порту, без прокси не обойдёшься: включить его и добавить одно правило ната из мануала про Transparent WebProxy

Chupaka

возвращаясь к разведению VPN серверов...

Возможно ли помимо сервера PPTP/L2TP/OVPN на микротике на одном из провайдерских адресов завести ещё один такой же сервер внутри локалки (на винде например)?

Сейчас меня интересуют не особенности впн протоколов, а пределы возможностей микротика.


Добавлено:
К вопросу "зачем". Например, могут быть нужны:

1) разные политики безопасности.
2) сосуществование stable и testing версий VPN-сервисов, с разными фичами.

Например сейчас я разобрался только с proxy-arp и срочно запустил в этом виде в силу производственной необходимости, но маршрутизируемый впн на микротике тоже хочу еще потестить. Виндовый впн я бы настроил в три щелчка без перенумерации локалки, а с микротиковским пока не умею.
Радиус тоже хочу, и буду выбирать, какой именно. Хочу выпустить в продакшен простенький - не заблокировав возможность играться с продвинутым.

Понятно, что можно поставить столько девайсов на периметре, сколько есть айпишников... Но хочется управиться одним микротиком.

LevT
так в каком виде сейчас работает - маршрутизация или НАТ? если первое - то вообще всё просто, смаршрутизировать свободный внешний адрес на другую железяку, а она пусть уже разбирается, кем ей быть. в принципе, с НАТом то же самое, только нагрузка на роутер, говорят (!), будет чуточку выше, в связи с НАТированием

Как второе. А можно как-то сочетать NAT с маршрутизацией свободных адресов?