» MikroTik RouterOS (часть 4)

aladdin79

если совсем кратко - все tcp запросы приходящие на интерфейс ether1 на порт 3399 транслировать для адреса 192.168.1.200 на порт 3389

/ip firewall nat
add action=netmap chain=dstnat dst-port=3399 in-interface=ether1 protocol=tcp to-addresses=192.168.1.200 to-ports=3389


если нужно подробностей - https://habrahabr.ru/post/182166/

aladdin79

Цитата:

настроить изнутри подключение на внешний адрес по rdp

я немного уточню, если правильно понял требуемое

ты в локальной сети и хочешь подключаться к компу в этой же локальной сети, но подключаться ты хочешь, пропысывая внешний ip
я правильно понял?

Dimsoft
Не знаю, куда он смотрит, но трассировка показывает, что он таки меняет адрес и шлёт всё через шлюз с наименьшей дистанцией.
На транзитный трафик можно в мэнгле метки повесить... а в этом случае что делать, я никак придумать не могу.

w00dpecker

Цитата:

а в этом случае что делать, я никак придумать не могу

маркировать роутинг в output. по src-address, видимо

Chupaka

Цитата:

маркировать роутинг в output. по src-address, видимо

А можно совсем совесть потерять и попросить пример такого правила? У меня ни один вариант корректно не отработал...
Как я для себя уяснил, маркируется всё в prerouting... А output уже даже не postrouting а совсем на выходе отрабатывает. Или я ошибаюсь?

w00dpecker
Ошибаетесь. Я специально в своё время добавил в шапку ссылку на http://wiki.mikrotik.com/wiki/Manual:Packet_Flow — там можно увидеть, что postrouting находится в самом конце, уже после output (это по поводу ваших слов), а также найти шаг "Routing adjustment" в конце output, который и позволяет проделать нужный фокус.

Пример, увы, с телефона не наберу, поэтому показывайте ваш подход — будем комментировать

Chupaka
Код:
chain=output action=mark-routing new-routing-mark=Trough_ISP2 passthrough=yes src-address=EXT_IP2 log=no log-prefix=""

w00dpecker
вот прям затрудняюсь прокомментировать, но рад, что заработало

Всем привет !
Подскажите новичку !
Встала задача на работающий Mikrotik прикрутить еще несколько WAN от одного провайдера, причем IP разные, а шлюз у всех один
Задача дать доступ в Инет всем подсетям через разные IP
WAN_2 > LAN_2 172.16.0.1/24 ether7
WAN_3 > LAN_3 172.16.1.0/24 ether8
первая локалка как ходила так и ходит через старый шлюз
настраивал вот так

WAN_1 80.80.80.80/30 GATEWAY1 80.80.80.81 ether2
WAN_2 70.70.70.70/19 GATEWAY2 70.70.64.1 ether3
WAN_3 70.70.95.250/19 GATEWAY2 70.70.64.1 ether4
LAN_1 192.168.1.0/24 ether5
LAN_2 172.16.0.1/24 ether7
LAN_3 172.16.1.0/24 ether8


/ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether5 new-routing-mark=to_Wan1
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether7 new-routing-mark=to_Wan2
/ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether8 new-routing-mark=to_Wan3

/ip route add distance=1 gateway=GATEWAY1
/ip route add distance=2 gateway=GATEWAY2%ethr3 routing-mark=to_Wan2
/ip route add distance=1 gateway=GATEWAY2%ethr4 routing-mark=to_Wan3


ping GATEWAY2

работает

ping GATEWAY2 через ethr3

не работает

ping GATEWAY2 через ethr4

ping работает

ping 8.8.8.8 через любой WAN работает

Снаружи Mikrotik пингуется и можно зайти на RDP сервер с любого внешнего IP

В чем может быть проблема ? Долго крутил разные мануалы и настройки перепробовал разные, в этом варианте что-то запинговалось и заработало перестал падать инет в локалке, вот только с косяками.
Может что не так строю, толкните в нужном направлении
Спасибо !

sbotvinovskii
т.е. у вас проблема только в том, что пинг шлюза не работает? а попробуйте указать src-address нужный. возможно, он выбирает адрес ethr4 при попытке пинговать через ethr3 (поскольку автоматический выбор src-address происходит до ваших манипуляций с роутинг-марками)

ок спасибо за подсказку
мне тут подсказали надо попробовать через VRF настроить.
но природа вмешалась, сильная гроза, отключили свет в том месте где микротик
уже завтра попробую

sbotvinovskii
попробуйте так (может не все правила нужны, от задач зависит, можно будет посмотреть статистику и отключить неиспользуемые чтобы зря ресурсы не загружать):

1) для всего трафика в сторону роутера от WAN (ну там пинги и прочее чтобы корректно обратно уходило):
/ip firewall mangle
add action=mark-connection chain=input connection-mark=no-mark in-interface=ether2 new-connection-mark=conn_mark_WAN1_to_FW passthrough=no
add action=mark-routing chain=output connection-mark=conn_mark_WAN1_to_FW new-routing-mark=route_mark_WAN1 passthrough=no
add action=mark-connection chain=input connection-mark=no-mark in-interface=ether3 new-connection-mark=conn_mark_WAN2_to_FW passthrough=no
add action=mark-routing chain=output connection-mark=conn_mark_WAN2_to_FW new-routing-mark=route_mark_WAN2 passthrough=no
add action=mark-connection chain=input connection-mark=no-mark in-interface=ether4 new-connection-mark=conn_mark_WAN3_to_FW passthrough=no
add action=mark-routing chain=output connection-mark=conn_mark_WAN3_to_FW new-routing-mark=route_mark_WAN3 passthrough=no

2) для всего трафика через роутер в LAN (если мапинг портов снаружи в LAN идёт. При этом явно указываем в prerouting, чтобы в WAN переправлять только тот трафик, что пришёл от адресов LAN в рамках нужного connection - иначе forward не сработает и маркированный трафик для LAN после dnat уйдёт обратно в WAN):
/ip firewall mangle
add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether2 new-connection-mark=conn_mark_WAN1_to_LAN1 passthrough=no
add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN1_to_LAN1 new-routing-mark=route_mark_WAN1 passthrough=no src-address=192.168.1.0/24
add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether3 new-connection-mark=conn_mark_WAN2_to_LAN2 passthrough=no
add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN2_to_LAN2 new-routing-mark=route_mark_WAN2 passthrough=no src-address=172.16.0.1/24
add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether4 new-connection-mark=conn_mark_WAN3_to_LAN3 passthrough=no
add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN3_to_LAN3 new-routing-mark=route_mark_WAN3 passthrough=no src-address=172.16.1.0/24

3) для трафика из LAN указываем нужный route (в список адресов "int subnets" пихаем все локальные подсетки - т.е. 192.168.1.0/24, 172.16.0.1/24 и 172.16.1.0/24):
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether5 new-routing-mark=route_mark_WAN1
add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether7 new-routing-mark=route_mark_WAN2
add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether8 new-routing-mark=route_mark_WAN3


4) для всего трафика из LAN в WAN - делаем NAT:
/ip firewall nat
add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=192.168.1.0/24 to-addresses=80.80.80.80
add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=172.16.0.1/24 to-addresses=70.70.70.70
add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=172.16.1.0/24 to-addresses=70.70.95.250

5) ну и маршруты по нашей маркировке (первый для всего немаркированного трафика, например, дефолтовый от роутера если не указан интерфейс и src address):
/ip route
add distance=1 gateway=GATEWAY1
add distance=1 gateway=GATEWAY1 routing-mark=route_mark_WAN1
add distance=1 gateway=GATEWAY2%ethr3 routing-mark=route_mark_WAN2
add distance=1 gateway=GATEWAY2%ethr4 routing-mark=route_mark_WAN3

6) добавить нужные правила в firewall (кому из lan разрешено в интернет) и nat (dnat для мапинга из WAN в LAN)

7) в ip settings проверить параметр RP filter, для нескольких каналов должен быть или no или loose

8) проверить, чтобы mac-адреса на ether3 и ether4 были разные (на случай если вручную меняли или ещё по какой-то причине они оказались одинаковые - тогда провайдер не поймёт по какому интерфейсу для wan2/wan3 кидать пакеты с одним и тем же mac)

будут проблемы - пишите данные от снифера и данные из лога (по трафику из LAN - включить лог в правиле firewall для chain forward - увидим сразу и от кого из LAN трафик и как его в NAT преобразовало), подумаем что забыли в mangle добавить

sbotvinovskii
VRF — это, мягко говоря, из пушки по воробьям

Всем доброго


Код: interface add add-default-route=yes allow=mschap1,mschap2 default-route-distance=2 interface=ether2 keepalive-timeout=180 name=pppoe-out1 password=pass use-peer-dns=yes user=user

кто-то встречался с таким поведением?
RB2011UiAS-2HnD-IN
прошивка - последний багфикс



по этому порту я получаю IPTV через VLAN
наблюдается в течении 10-15 минут после рестарта роутера

раньше такого не замечал
кабели те же, лежат в стене, ничего никто не трогал

может у провайдера порт дохнет

VecHPro
не, именно последний багфикс 6.34.6 так чудит
на 6.32.4 такого нет
3 раза прошился туда-обратно для проверки

Народ уже перепробовал кучу мануалов и советов. Подскажите толковый мануал если есть по настройке
нужно просто направить одну локалку в один wan порт статика от провайдера
и вторую локалку в другой wan порт тоже статика от провайдера.
если быть точным то будет пять входящих пять исходящих, все локалки на свои wan порты
не надо никаких балансировок и резервирования каналов
Вроде все просто, но есть одно но, шлюз у всех wan имеет ОДИНАКОВЫЙ IP АДРЕС
Это на микротик возможно сделать ?

sbotvinovskii
Возможно. Человек с ником идентичным вашему уже поднимал похожую тему выше на этой странице.

UPD: как знал, что это сообщение выкинет на новую страницу...

sbotvinovskii

Да. Можно.

Шлюз в таком случае прописывается в формате /route add 0.0.0.0/0 gateway IP%interface
Подробное описание тут: http://wiki.mikrotik.com/wiki/Manual:IP/Route

Например:
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.4%WAN1 routing-mark=WAN1_route
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.4%WAN2 routing-mark=WAN2_route
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.4%WAN3 routing-mark=WAN3_route
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.4%WAN4 routing-mark=WAN4_route
/ip route add dst-address=0.0.0.0/0 gateway=1.2.3.4%WAN5 routing-mark=WAN5_route

И далее заворачиваете трафик из нужных LAN в соответствующие внешние интерфейсы.
/ip firewall mangle add chain=prerouting in-interface=LAN1 action=mark-routing new-routing-mark=WAN1_route
/ip firewall mangle add chain=prerouting in-interface=LAN2 action=mark-routing new-routing-mark=WAN2_route
/ip firewall mangle add chain=prerouting in-interface=LAN3 action=mark-routing new-routing-mark=WAN3_route
/ip firewall mangle add chain=prerouting in-interface=LAN4 action=mark-routing new-routing-mark=WAN4_route
/ip firewall mangle add chain=prerouting in-interface=LAN5 action=mark-routing new-routing-mark=WAN5_route

У меня заработало в таком варианте
ip wan статика
как видите у WAN_2 и WAN_3 одинаковые ip шлюза
ни первый шлюз ни первую локальную сеть LAN_1 не трогал вообще, там настроек сколько что не хочется копаться, тем более это не стенд, там 120 компов в локалке, vpn, сервер pppoe и куча wi-fi точек
завернул только LAN_2 в WAN_2
и LAN_3 в WAN_3 без балансировок и резервирования, уже полдня полет нормальный
может и не по mikrotik феншую, но работает

WAN_1 80.80.80.80/30 GATEWAY 80.80.80.81
WAN_2 70.70.70.70/19 GATEWAY 70.70.64.1
WAN_3 70.70.70.71/19 GATEWAY 70.70.64.1
LAN_1 192.168.1.0/24
LAN_2 172.16.0.0/24
LAN_3 172.16.1.0/24


/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=TELECOM_1 src-address-list=TELECOM_1
add action=mark-routing chain=prerouting new-routing-mark=TELECOM_2 src-address-list=TELECOM_2

/ip firewall nat
add action=src-nat chain=srcnat comment="TELECOM_1" out-interface=ether3 to-addresses=70.70.70.70
add action=src-nat chain=srcnat comment="TELECOM_2 out-interface=ether4 to-addresses=70.70.70.71

/ip route
add check-gateway=ping distance=1 gateway=70.70.64.1%ether3 pref-src=70.70.70.70 routing-mark=TELECOM_1
add check-gateway=ping distance=1 gateway=70.70.64.1%ether4 pref-src=70.70.70.71 routing-mark=TELECOM_2

отдельное спасибо пользователю defined за помощь

Добрый день!

Наконец смог приступить к натурным экспериментам.

Локалка в Интернет ходит, проброшенные внутрь порты тоже работают.

Однако вот сделанный IPSec VPN по инструкции отсюда
http://bozza.ru/art-248.html

работает не вполне.

То есть, удалённый комп подключается, регистрируется, получает адрес от DHCP - но до внутренних ресурсов не добраться.

что я сделал не так, недоделал, etc?

EgorD фаеры на пути сеть туннеля не бреют? пинг, трасса на нужный хост работают?

EgorD
маршруты есть, получил?

ipmanyak!
Я тут понял, что тестовое окружение у меня может быть кривое....

Доберусь до дома - оттуда буду пробовать цепляться. Там будет всё честно, и без левых маршрутов.
Если успешно - то буду по второму кругу через мобильные сети долбиться.

Меня (вот прямо сейчас ) в составленной по статье системе шибко беспокоит одно - а не нужны ли какие-то дополнительные правила в фаерволе, чтобы между сетками vpn_pool и локалкой пакеты проходили.

Одно в статье точно не вполне правильно написано - два правила, которые там создаются - надо не над двумя крайними дропами поднимать, а выше (у меня дефолтная конфигурация 6.35.4). Пока я этого не понял - у меня и авторизации не было, совсем.

Добавлено:
Дополняю.
Подвернулся для тестирования удалённый компьютер, там нормальный проводной канал.
На нём сделали по мануалу VPN-подключение, к моему микротику прицепились-авторизовались - и теперь я на нём же в rdp сижу-тружусь.

Значит, оно всё-таки скорее работает... Однако тест с домашнего и последующий заход на свистки всё равно будет.

По результатам домашних тестов - 4 аппарата на windows 10.
Два разных провайдера.

С тремя из них всё прелестно с первого раза, четвёртый встаёт на подключении с последующей ошибкой

"попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности"

при этом в логах Микротика ничего нет (возможно, я не везде включил?)

Впрочем, на этом аппарате установлен Netgear VPN Client Lite, и весьма вероятно что дело в нём.
Это конечно проблема, от него пока не отказаться....

Да, в дополнительных параметрах адаптера, вкладка "Безопасность" надо выбирать
"Шифрование данных" - "Самое стойкое (отключиться, если нет шифрования)"

Если выбрать предыдущий вариант, например - "Обязательное (отключиться, если нет шифрования)" - Микротик в лог ругается, что длина ключей не совпадает, впрочем, канал при этом держит...

Добрый день. Возник вопрос по RoMON. Есть 2 маршрутизатора подключенные между собой через радио мост. К каждому из маршрутизаторов подключен провайдер и есть выход в интернет. Хочу использовать RoMON для управления и настройки. На маршрутизаторах включил RoMON (порты пока по дефолту разрешены все) и вот тут у меня проблема. Один маршрутизатор R1 (RB951G-2HnD) видит маршрутизатор R2 (RB3011UiAS) в соседях и дает к нему подключиться, а вот R2 не видит в соседях R1. А мне как раз нужно подключаться к R2 чтобы потом через него управлять R1. Какие могут тут нюансы, куда смотреть? Буду рад любой информации по этому вопросу. За ранее большое спасибо за ответы.

Добрый день.

https://support.google.com/a/answer/60764
Вот в статейке рассказывают как получить список всех используемых адресов гугла.
А как-нибудь это забрасывать в address-list по расписанию способ есть?

А вполне себе удобно. Берите на вооружение — Настраиваем URL Overrides в Keepass2


Код:
cmd://"winbox.exe" {BASE:HOST}:{BASE:PORT} "{USERNAME}" "{PASSWORD}"

Помогите люди добрые.
Есть две сети 192.168.0.0 и 192.168.88.0, необходимо чтоб они видели друг друга , а сейчас после пинга выдает заданная сеть недоступна.Есть два провайдера и сейчас каждая сеть ходит на своего провайдера , возможно в мангл проблема .
Я не силен в настройках , подскажите какие исходные данные необходимы от меня ?