» MikroTik RouterOS (часть 4)

Chupaka

Цитата:

/ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject

таким образом если PPTP падает то правило перестает работаеть и пишет "PPTP not ready"
и трафик все равно идет через дефолтный айпи.

я тут подумал мне же не надо знать кучу айпи игровыХ?

может как то адрес впн сервера в качестве gateway прописать чтобы с моего внутреннего айпи только туда ходило а остальное дропалось?

Chupaka

это правило работает только если PPTP ready
а если он отвалился то правило не работает и пишет "PPTP NOT READY"

может какой то мой внутренний айпи заставить ходить только на внешний IP VPN?
чтобы даже при условии отвала PPTP пакеты долбились только туда

Lik_MigTel
ну, можно поменять на out-interface=!all-ppp (если основное подключение не PPP, а Ethernet) или сделать два правила:


Код: /ip firewall filter
add chain=forward src-address=мой_айпишник out-interface=pptp-out1 action=accept
add chain=forward src-address=мой_айпишник action=reject

Chupaka

А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?
Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие

Как правильно прописать регулярное выражение L7 для форвардинга ДНС по шаблону: оканчивается .local ?

Добавлено:
И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял

Chupaka
СПАСИБО ОГРОМНОЕ! то что надо.
спасибо Руборду за то что спустя десять лет тут все еще можно получить грамотный ответ.

По моему вопросу подскажите что я делаю не так

В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.

Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no

DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no

сам NetWatch статус меняет при падение канала, как мне правильно сделать??

melboyscout

Цитата:

А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?
Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие

Запрещающее правило на форвард, для не нужных сетей, для нужных в исключение добавте.


Код: /ip firewall filter
add action=drop chain=forward dst-address=!192.168.222.0/24 dst-address-list=\
list_ip_all src-address=!192.168.111.0/24

alexnov66
192.168.х.0/24 - это подсети клиентских роутеров?
192.168.150.1 - адрес сервера ВПН?

Если так, то тогда динамически получится маршруты:
192.168.х.0/24 via 192.168.150.1?

Но мне ведь нужно вместо ...150.1 что б был адрес ВПН клиента!

Да, и вроде для ОВПН (как у вас) не работает:

Цитата:

Routes that appear on the server when the client is connected. The route format is: dst-address gateway metric (for example, 10.1.0.0/ 24 10.0.0.1 1). Several routes may be specified separated with commas. This parameter will be ignored for OpenVPN.

melboyscout
Я лиш пример привёл как на микротике в настройках клиента прописываются маршруты.
192.168.150.1 это адрес выдаваемый клиенту на микротике, и маршруты создаваемые на сети находящиеся за клиентским микротиком или другим оборудованием подключающихся к основному микротику, если вам нужно прописывать маршруты в программе ovpn у клиента на компьютере то это не в эту тему.
Адрес сервера выдаваемый клиенту прописывается в профиле этого клиента на микротике, конечно можно указать и в самих настройках клиента. Там же в примере указан remote-address удалённый адрес

Передавать маршруты считаю извращением, разруливать должно оборудование провайдера и клиентское оборудование не должно знать как и куда идёт трафик.
Если у вас на микротике правильно прописаны маршруты к нужным сетям то не зачем их передавать клиенту.


Цитата:

Да, и вроде для ОВПН (как у вас) не работает:

разници нет по какому сервису подключается клиент, прописывается в настройках клиента подключающегося к микротику, на самом микротике к которому подключается пользователь компьютером или оборудованием.
Даже исли не сработает для ovpn то что мешает прописать маршрут статически на микротике.

alexnov66
ну так если у меня клиенты получают адреса из пула при подключению к ВПН? я ж не могу заранее его знать
Все дело в том, что мне нужно доступ только к локалке сервера ВПН, и ни инет ни другие подсети анонсировать не нужно. Поэтому галка "добавлять дефолтный маршрут" снята

melboyscout
В мангле пометте весь диапазон выдаваемый клиентам ovpn и разруливайте на микротике их куда хотите прописав маршрут к внутренней сети, тогда пропишите маршрут на микротике один и не нужно их плодить при подключении каждого пользователя. можно попробовать прописать в роутах в рулес, проверте должно работать.


Код: /ip route rule
add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
192.168.1.0/24 table=ovpn
add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
192.168.2.0/24 table=ovpn

alexnov66
у меня ж сайт-ту-сайт, а не удаленные клиенты

melboyscout
Вы сами не знаете чего хотите, вам нужен доступ ovpn клиентов к локалке, я вам привел как прописать, а что там сайт или десятки серверов должно работать.
Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.

Друзья, помогите пожалуйста пробросить порт на qqBittorrent. Стыдно даже признаваться, честное слово. Но не пойму, что не так делаю - не работает.
Тик смотрит в инет интерфейсом 0_PPPoE
qBittorrent слушает порт 13162 на компе с адресом 192.168.2.26, который и получает от тиковского DHCP.
Создаю 2 правила:

Код: chain=dstnat
protocol=tcp
dst-port=13162
in-interface=0_PPPoE
action=dst-nat
to-address=192.168.2.26
to-ports=13162

Germanus
для проброса портов нужно еще второе правило, с форвард

melboyscout
В файрволе, в смысле? Я это в NAT создал эти 2 правила.

Germanus
именно...
Слишком старо, поновее
alexnov66

Цитата:

а что там сайт или десятки серверов должно работать.

причем тут это, у меня ВПН для site-to-site, а не "доступ сотрудника в корпоративную сеть".

Цитата:

Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.

об этом никто и не заикался.

Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН.

Germanus

Кроме правил проброса должны быть правила в фаере разрешающее подключение на input
Можно включить upnp на микротике и правила проброса должны создаваться автоматически.


melboyscout

Цитата:

Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН

я вам приводил пример прописывания маршрута, при подключении маршрут будет создаваться автоматически а при отключении удаляться. Прописывается в настройках клиента на микротике.


Код: /ppp secret
add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\
192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn

На input? Это же вроде то, что касается управления самим тиком. Что в него только входит и далее не проходит.
У меня в фаере так:

Код: chain=forward
dst-address=192.168.2.26
protocol=tcp
dst-port=13162
in-interface=0_PPPoE (конечно же БЕЗ восклицательного знака)
action=accept

Germanus

Вы же делаете проброс и подключаетесь на внешний ip адрес, если не будет правила разрешающего для подключения то не сможет подключиться, вы же подключаетесь не к самому компьютеру в этой же сети, тут идёт подмена внешнего адреса на внутренний и обратно. А форвард трафика это лиш прохождение через микротик
Также включите в торенте автоназначение порта.

alexnov66
Да никто не говорить о марщрутах на клиентах. С этим все ясно. А вот как на сервере поднимать динамические маршруты в подсети клиентов, хз. И да, никакого НАТА нет на сервере.

Ну насчет правил инпут - так скорее всего это там не нужно. Обычно достаточно форварда. Но все зависит от настроек файервола

melboyscout

Так еще раз, что имеется ввиду под сервером, комп с установленным микротиком ?
Если да то
Тогда так и прописывается, не имелось ввиду у самого клиента а на сервере в настройках подключения клиента.

alexnov66
Дык, на схеме он подписан...

alexnov66
Брррр! Простите. Я ничего (мягко говоря) не понял. если вас не затруднит. Пожалуйста, основываясь на данных мной адресах, в предыдущих постах, покажите, как это должно выглядеть в реалиях.
Спасибо.

Здравствуйте Всем форумчанинам.. У меня вопрос по настройке mikrotik на Routerboard rb411. Я создал мост bridge и объединил оба интерфейсов ethernet порт и wlan. Выход к интернет есть но катрочка r52 то есть wlan не запускается? Когда заходишь в interface все интерфейсы активные состояние бридж running, ether-running slave, wlan-slave. Почему состояния wlan не rs (running slave)???

Muslihiddin
Потому что в данный момент ни кто не подключен по wifi

melboyscout

Цитата:

Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН

я когда настраивал подобную схему, в документацию не полез, поэтому просто указал: "192.168.5.0/24" в Routes, безо всяких шлюзов. и оно таки заработало, само подставляет нужный шлюз - поднимаемый клиентом интерфейс

Chupaka
спасибо, попробую..

Возможно ли 1 из 10 портов mikrotik rb2011uas-2hnd-in настроить в режиме моста, чтобы он работал в обход внутренней сети?
То есть 8 портов как обычно работают а 9 работает как мост - 1 WAN и скажем 10 порт в режиме бридж и соответственно к нему подключенное оборудование (радиолинк) получает параметры сети от провайдера а не из локального пула адресов.

fakintosh
Конечно можно.