Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
Windows XP - ok
Windows 7 - не подключается, судя по логам RB что-то с SA.
Windows XP - ok
Windows 7 - не подключается, судя по логам RB что-то с SA.
» MikroTik RouterOS (часть 3)
Ребята подскажите решение проблемы ,
rb750 5.8
при редиректе 80 порта tcp на WebProxy tcp 8080 , падает скорость в 2 раза
rb750 5.8
при редиректе 80 порта tcp на WebProxy tcp 8080 , падает скорость в 2 раза
Цитата:
А правило нат простое:
chain=srcnat action=masquerade src-address-list=local dst-address-list=!local out-interface=ether10
Хьюстон, повторяю по буквам: chain=srcnat out-interface=ether10 action=masquerade
какой смысл маскарадить не весь трафик на провайдера?..
А я то думал что у Mikrotik всё распрекрасно с тонелями, пока сам не попробовал что это такое:
NAT-T & IPSec Issues still exist
MTik L2TP/IPSec VPN server for Win clients behind NAT
L2TP/ipsec problems with windows 7 / vista when behind NAT
На канале в 30Mbit/s - RB1200:
Protocol Secure Authentication Secure Traffic Speed WXP w NAT WXP w/o NAT W7 w NAT W7 w/o NAT Linux w NAT Linux w/o NAT
NAT-T & IPSec Issues still exist
MTik L2TP/IPSec VPN server for Win clients behind NAT
L2TP/ipsec problems with windows 7 / vista when behind NAT
На канале в 30Mbit/s - RB1200:
Protocol Secure Authentication Secure Traffic Speed WXP w NAT WXP w/o NAT W7 w NAT W7 w/o NAT Linux w NAT Linux w/o NAT
Цитата:
PPTP Secure Traffic = no
ммм... а как же MPPE?..
Chupaka
спасибо, подправил. упустил.
вопросик есть по поводу push route - есть ли возможность установить клиенту маршруты дабы он не прописывал их ручками ?
вообще хотелось бы для VPN создать свою подсеть, но при этом же нехочется весь трафик пускать через VPN(т.е. не прописывать Default route).
Но при этом хотелось бы дать доступ к подсети локальной, а это уже тогда только route add.
Вопрос актуален для всех протоколов что выше
спасибо, подправил. упустил.
вопросик есть по поводу push route - есть ли возможность установить клиенту маршруты дабы он не прописывал их ручками ?
вообще хотелось бы для VPN создать свою подсеть, но при этом же нехочется весь трафик пускать через VPN(т.е. не прописывать Default route).
Но при этом хотелось бы дать доступ к подсети локальной, а это уже тогда только route add.
Вопрос актуален для всех протоколов что выше
сегодня прикупил себе rb751u-2HnD
до этого сабж не юзал. есть пара вопросов:
1. что можно подключать к USB (кроме модем и упса ?
2. на сайте появилась новая версия прошивки. есть ли риск "убить" девайс во время прошивки и как восстановить в случае неудачи. ?
3. где можно почтать по приоритезации трафика? скажем чтобы нормально юзать скайп в при забитом торрентами канале
?
4. как отдать админку в инет ?
до этого сабж не юзал. есть пара вопросов:
1. что можно подключать к USB (кроме модем и упса
? 2. на сайте появилась новая версия прошивки. есть ли риск "убить" девайс во время прошивки и как восстановить в случае неудачи. ?
3. где можно почтать по приоритезации трафика? скажем чтобы нормально юзать скайп в при забитом торрентами канале
? 4. как отдать админку в инет ?
slech
Цитата:
увы, нет. только через DHCP - ессесно, для локалки
Цитата:
есть ли возможность установить клиенту маршруты дабы он не прописывал их ручками ?
увы, нет. только через DHCP - ессесно, для локалки
slech
Цитата:
Цитата:
Это типа ХР за натом?
Цитата:
А я то думал что у Mikrotik всё распрекрасно с тонелями, пока сам не попробовал что это такое:
Цитата:
WXP w NAT
Это типа ХР за натом?
Цитата:
А правило нат простое:
chain=srcnat action=masquerade src-address-list=local dst-address-list=!local out-interface=ether10
Хьюстон, повторяю по буквам: chain=srcnat out-interface=ether10 action=masquerade
какой смысл маскарадить не весь трафик на провайдера?..
так я и говорю, пробовал по всякому.
например так:
chain=srcnat action=masquerade out-interface=ether10
куда уж проще и маскарадить должно все что улетает через 10й интерфейс.
но для пакетов которые были промаркированы это НЕ РАБОТАЕТ.
Вот такие чудеса творятся в микротике.
Кто-нибудь может прокоментировать по своему опыту ?
RB1200 as VPN Solution
Можно прям тут.
Спасибо.
Добавлено:
BigElectricCat
Цитата:
да.
RB1200 as VPN Solution
Можно прям тут.
Спасибо.
Добавлено:
BigElectricCat
Цитата:
WXP w NAT
Это типа ХР за натом?
да.
Вопросец виндузятника про SSH логин из микротиковского клиента.
В принципе он работает, но на часть хостов я оттуда зайти не могу.
Есть предположение, что это именно та часть, для которой putty в первый раз предлагает "accept and save" ключик, прежде чем зайти по паролю.
Что надо проделать в микротике, чтобы заходить на такие хосты?
В принципе он работает, но на часть хостов я оттуда зайти не могу.
Есть предположение, что это именно та часть, для которой putty в первый раз предлагает "accept and save" ключик, прежде чем зайти по паролю.
Что надо проделать в микротике, чтобы заходить на такие хосты?
sumyst
Цитата:
у меня почему-то работает... и натирование до прокси, и после. а для отправки на проксю пакеты как раз маркируются...
Цитата:
но для пакетов которые были промаркированы это НЕ РАБОТАЕТ.
у меня почему-то работает... и натирование до прокси, и после. а для отправки на проксю пакеты как раз маркируются...
ESXi хосты просто молчат.
А оракловая солярка вот что пишет:
Цитата:
Как допилить SSH клиента до всеядности putty?
А оракловая солярка вот что пишет:
Цитата:
[admin@mtik-gw] /system> ssh solarisexpress.domain.local
can't agree on:
cl: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc
sl: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
can't agree on:
cl: aes192-cbc,aes128-cbc,aes256-cbc,blowfish-cbc,3des-cbc
sl: aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour
can't agree on KEX algorithms
Welcome back!
Как допилить SSH клиента до всеядности putty?
Столкнулся с багом: на версии 5.8 постоянно реконектился 3G модем (Е1550) Мегафон.
Откатился на версию 5.7, баг пропал.
Откатился на версию 5.7, баг пропал.
Цитата:
sumyst
Цитата:
но для пакетов которые были промаркированы это НЕ РАБОТАЕТ.
у меня почему-то работает... и натирование до прокси, и после. а для отправки на проксю пакеты как раз маркируются...
А покажите свои правила если не сложно.
Я множество раз проверил и перепроверил на 5.7 5.8.
Это не работает.
И ещё такой вопрос: У Вас всетаки прокси, или как у меня кэптив портал?
Это я к тому, что классическая прокси всетаки не маршрутизирует, а делает запросы от своего IP адреса.
А у меня же "прокси" просто перекидывает с интерфейса на интерфейс пакетики.
sumyst
у меня Squid + TProxy, т.е. запросы идут с адреса пользователя, а не с адреса прокси
хотя я тут прикинул - да, исключать возможность того, что при чистой маршрутизации возвращающийся пакет может считаться принадлежащим к уже существующему соединению, нельзя... если это так - то понятно, почему роутер принципиально не может занатировать это соединение. оно ведь уже установлено...
у меня Squid + TProxy, т.е. запросы идут с адреса пользователя, а не с адреса прокси
хотя я тут прикинул - да, исключать возможность того, что при чистой маршрутизации возвращающийся пакет может считаться принадлежащим к уже существующему соединению, нельзя... если это так - то понятно, почему роутер принципиально не может занатировать это соединение. оно ведь уже установлено...
Chupaka
Есть какие-либо мысли как это можно обойти?
Есть какие-либо мысли как это можно обойти?
Ребята поднял тунель PPTP
У клиента 10Мб канал , и на Микротике 10Мб но через тунель идет не больше 5-6 мб
[admin@MikroTik] /interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap1,mschap2
keepalive-timeout: 30
default-profile: default
У клиента 10Мб канал , и на Микротике 10Мб но через тунель идет не больше 5-6 мб
[admin@MikroTik] /interface pptp-server server> print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: mschap1,mschap2
keepalive-timeout: 30
default-profile: default
А процессор успевает посчитать туннель? Какая загрузка CPU?
a520
Цитата:
до 10%
Цитата:
Какая загрузка CPU
до 10%
добавьте в шапку, подробную статью о "Mikrotik-Qos Приоритезация по типу трафика и деление скорости" http://habrahabr.ru/blogs/sysadm/131295/
sumyst
если всё так, как я сказал - то только вторым роутером, видимо...
rosalin
Цитата:
где/чем он режется?
sayan
добавил
если всё так, как я сказал - то только вторым роутером, видимо...
rosalin
Цитата:
У клиента 10Мб канал
где/чем он режется?
sayan
добавил
Как настроить что бы Mikrotik поднял PPTP только на определённом IP если наример от провайдера у меня их 2 ?
slech
"на" или "с"? если "с" - то, по идее, надо, чтобы Pref.Src у маршрута к серверу в таблице main был нужным адресом
"на" или "с"? если "с" - то, по идее, надо, чтобы Pref.Src у маршрута к серверу в таблице main был нужным адресом
И ещё вопросик - у меня вроде не получилось.
У меня используется подсеть 192.168.0.0/24 - на работе. По pptp я раздаю например 192.168.10/0/24.
LocaIP=192.168.10.1
RemoteIP=192.168.10.2
Если убрать галочку прописывать себе дефолтный маршрут на pptp клиенте, дабы он не слал весь свой трафик через VPN, то тогда по логике ему нужно прописать маршрут на мою подсеть 192.168.0.0/24 - и он сможет работать с этой подсетью:
Код:
route add 192.168.0.0 mask 255.255.255.0 192.168.10.1
У меня используется подсеть 192.168.0.0/24 - на работе. По pptp я раздаю например 192.168.10/0/24.
LocaIP=192.168.10.1
RemoteIP=192.168.10.2
Если убрать галочку прописывать себе дефолтный маршрут на pptp клиенте, дабы он не слал весь свой трафик через VPN, то тогда по логике ему нужно прописать маршрут на мою подсеть 192.168.0.0/24 - и он сможет работать с этой подсетью:
Код:
route add 192.168.0.0 mask 255.255.255.0 192.168.10.1
slech
1. в виндамсе шлюзом маршрута надо указывать адрес виндамса
2. если впн-юзеры получают адреса из той же подсети - надо на лан-интерфейсе включить Proxy-ARP
1. в виндамсе шлюзом маршрута надо указывать адрес виндамса
2. если впн-юзеры получают адреса из той же подсети - надо на лан-интерфейсе включить Proxy-ARP
Chupaka
Цитата:
У меня 2 внешних IP - я хочу 1 из них под нужды всякий сайтов, второй же отдельно для VPN.
Это делается правилами на NAT ?
Код:
add action=accept chain=input comment="Allow SSTP" disabled=yes \
dst-address-list=Ext-Primary-ISP-2-IP dst-port=443 protocol=tcp
Цитата:
"на" или "с"? если "с" - то, по идее, надо, чтобы Pref.Src у маршрута к серверу в таблице main был нужным адресом
У меня 2 внешних IP - я хочу 1 из них под нужды всякий сайтов, второй же отдельно для VPN.
Это делается правилами на NAT ?
Код:
add action=accept chain=input comment="Allow SSTP" disabled=yes \
dst-address-list=Ext-Primary-ISP-2-IP dst-port=443 protocol=tcp
Chupaka
Вторым роутером? это не проблема, но как именно? что-то я не могу сообразить=(
Вторым роутером? это не проблема, но как именно? что-то я не могу сообразить=(
[slech
Цитата:
На виндовс клиенте нужно прописать маршрут(ы) на локальные сети в локальный интерфейс, а не в PPP.
У меня только так получилось.
В моём случае есть несколько локальных сетей маршрутизируемых другим роутером (не микротиком). Поднимая PPP на клиенте весь трафик шёл на микротик. Фиг бы с ним, еслиб микротик заворачивал его в нужный роутер, но...
динамические маршруты создаваемые PPP в нём имеют Distance параметр 0.
Прописал бы с меньшей дистанцией роут 192.168(локальных сетей) через роутер локальной сети.
Цитата:
Но в итоге клиент так и не увидел внутренние адреса, а-ля 192.168.0.10/11/12.
Поидее оно должно работать ?
На виндовс клиенте нужно прописать маршрут(ы) на локальные сети в локальный интерфейс, а не в PPP.
У меня только так получилось.
В моём случае есть несколько локальных сетей маршрутизируемых другим роутером (не микротиком). Поднимая PPP на клиенте весь трафик шёл на микротик. Фиг бы с ним, еслиб микротик заворачивал его в нужный роутер, но...
динамические маршруты создаваемые PPP в нём имеют Distance параметр 0.
Прописал бы с меньшей дистанцией роут 192.168(локальных сетей) через роутер локальной сети.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.