Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» MikroTik RouterOS (часть 4)

Автор: Lik_MigTel
Дата сообщения: 04.07.2016 16:30
Chupaka

Цитата:
/ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject


таким образом если PPTP падает то правило перестает работаеть и пишет "PPTP not ready"
и трафик все равно идет через дефолтный айпи.

я тут подумал мне же не надо знать кучу айпи игровыХ?

может как то адрес впн сервера в качестве gateway прописать чтобы с моего внутреннего айпи только туда ходило а остальное дропалось?
Автор: Lik_MigTel
Дата сообщения: 05.07.2016 09:33
Chupaka

это правило работает только если PPTP ready
а если он отвалился то правило не работает и пишет "PPTP NOT READY"

может какой то мой внутренний айпи заставить ходить только на внешний IP VPN?
чтобы даже при условии отвала PPTP пакеты долбились только туда
Автор: Chupaka
Дата сообщения: 05.07.2016 17:11
Lik_MigTel
ну, можно поменять на out-interface=!all-ppp (если основное подключение не PPP, а Ethernet) или сделать два правила:


Код: /ip firewall filter
add chain=forward src-address=мой_айпишник out-interface=pptp-out1 action=accept
add chain=forward src-address=мой_айпишник action=reject
Автор: melboyscout
Дата сообщения: 05.07.2016 20:59
Chupaka

А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?
Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие

Как правильно прописать регулярное выражение L7 для форвардинга ДНС по шаблону: оканчивается .local ?

Добавлено:
И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял
Автор: Lik_MigTel
Дата сообщения: 05.07.2016 23:23
Chupaka
СПАСИБО ОГРОМНОЕ! то что надо.
спасибо Руборду за то что спустя десять лет тут все еще можно получить грамотный ответ.
Автор: IvanovEv
Дата сообщения: 06.07.2016 04:16
По моему вопросу подскажите что я делаю не так

В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.

Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no

DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no

сам NetWatch статус меняет при падение канала, как мне правильно сделать??
Автор: alexnov66
Дата сообщения: 06.07.2016 11:02
melboyscout

Цитата:
А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?
Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие

Запрещающее правило на форвард, для не нужных сетей, для нужных в исключение добавте.


Код: /ip firewall filter
add action=drop chain=forward dst-address=!192.168.222.0/24 dst-address-list=\
list_ip_all src-address=!192.168.111.0/24
Автор: melboyscout
Дата сообщения: 06.07.2016 11:22
alexnov66
192.168.х.0/24 - это подсети клиентских роутеров?
192.168.150.1 - адрес сервера ВПН?

Если так, то тогда динамически получится маршруты:
192.168.х.0/24 via 192.168.150.1?

Но мне ведь нужно вместо ...150.1 что б был адрес ВПН клиента!

Да, и вроде для ОВПН (как у вас) не работает:

Цитата:
Routes that appear on the server when the client is connected. The route format is: dst-address gateway metric (for example, 10.1.0.0/ 24 10.0.0.1 1). Several routes may be specified separated with commas. This parameter will be ignored for OpenVPN.
Автор: alexnov66
Дата сообщения: 06.07.2016 11:29
melboyscout
Я лиш пример привёл как на микротике в настройках клиента прописываются маршруты.
192.168.150.1 это адрес выдаваемый клиенту на микротике, и маршруты создаваемые на сети находящиеся за клиентским микротиком или другим оборудованием подключающихся к основному микротику, если вам нужно прописывать маршруты в программе ovpn у клиента на компьютере то это не в эту тему.
Адрес сервера выдаваемый клиенту прописывается в профиле этого клиента на микротике, конечно можно указать и в самих настройках клиента. Там же в примере указан remote-address удалённый адрес

Передавать маршруты считаю извращением, разруливать должно оборудование провайдера и клиентское оборудование не должно знать как и куда идёт трафик.
Если у вас на микротике правильно прописаны маршруты к нужным сетям то не зачем их передавать клиенту.


Цитата:
Да, и вроде для ОВПН (как у вас) не работает:

разници нет по какому сервису подключается клиент, прописывается в настройках клиента подключающегося к микротику, на самом микротике к которому подключается пользователь компьютером или оборудованием.
Даже исли не сработает для ovpn то что мешает прописать маршрут статически на микротике.
Автор: melboyscout
Дата сообщения: 06.07.2016 12:10
alexnov66
ну так если у меня клиенты получают адреса из пула при подключению к ВПН? я ж не могу заранее его знать
Все дело в том, что мне нужно доступ только к локалке сервера ВПН, и ни инет ни другие подсети анонсировать не нужно. Поэтому галка "добавлять дефолтный маршрут" снята
Автор: alexnov66
Дата сообщения: 06.07.2016 12:18
melboyscout
В мангле пометте весь диапазон выдаваемый клиентам ovpn и разруливайте на микротике их куда хотите прописав маршрут к внутренней сети, тогда пропишите маршрут на микротике один и не нужно их плодить при подключении каждого пользователя. можно попробовать прописать в роутах в рулес, проверте должно работать.


Код: /ip route rule
add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
192.168.1.0/24 table=ovpn
add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
192.168.2.0/24 table=ovpn
Автор: melboyscout
Дата сообщения: 06.07.2016 12:43
alexnov66
у меня ж сайт-ту-сайт, а не удаленные клиенты
Автор: alexnov66
Дата сообщения: 06.07.2016 12:48
melboyscout
Вы сами не знаете чего хотите, вам нужен доступ ovpn клиентов к локалке, я вам привел как прописать, а что там сайт или десятки серверов должно работать.
Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.
Автор: Germanus
Дата сообщения: 06.07.2016 18:25
Друзья, помогите пожалуйста пробросить порт на qqBittorrent. Стыдно даже признаваться, честное слово. Но не пойму, что не так делаю - не работает.
Тик смотрит в инет интерфейсом 0_PPPoE
qBittorrent слушает порт 13162 на компе с адресом 192.168.2.26, который и получает от тиковского DHCP.
Создаю 2 правила:

Код: chain=dstnat
protocol=tcp
dst-port=13162
in-interface=0_PPPoE
action=dst-nat
to-address=192.168.2.26
to-ports=13162
Автор: melboyscout
Дата сообщения: 06.07.2016 19:14
Germanus
для проброса портов нужно еще второе правило, с форвард
Автор: Germanus
Дата сообщения: 06.07.2016 19:22
melboyscout
В файрволе, в смысле? Я это в NAT создал эти 2 правила.
Автор: melboyscout
Дата сообщения: 06.07.2016 19:38
Germanus
именно...
Слишком старо, поновее
alexnov66

Цитата:
а что там сайт или десятки серверов должно работать.

причем тут это, у меня ВПН для site-to-site, а не "доступ сотрудника в корпоративную сеть".

Цитата:
Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.

об этом никто и не заикался.

Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН.
Автор: alexnov66
Дата сообщения: 06.07.2016 19:53
Germanus

Кроме правил проброса должны быть правила в фаере разрешающее подключение на input
Можно включить upnp на микротике и правила проброса должны создаваться автоматически.


melboyscout

Цитата:
Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН

я вам приводил пример прописывания маршрута, при подключении маршрут будет создаваться автоматически а при отключении удаляться. Прописывается в настройках клиента на микротике.


Код: /ppp secret
add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\
192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn
Автор: Germanus
Дата сообщения: 06.07.2016 20:27
На input? Это же вроде то, что касается управления самим тиком. Что в него только входит и далее не проходит.
У меня в фаере так:

Код: chain=forward
dst-address=192.168.2.26
protocol=tcp
dst-port=13162
in-interface=0_PPPoE (конечно же БЕЗ восклицательного знака)
action=accept
Автор: alexnov66
Дата сообщения: 06.07.2016 20:55
Germanus

Вы же делаете проброс и подключаетесь на внешний ip адрес, если не будет правила разрешающего для подключения то не сможет подключиться, вы же подключаетесь не к самому компьютеру в этой же сети, тут идёт подмена внешнего адреса на внутренний и обратно. А форвард трафика это лиш прохождение через микротик
Также включите в торенте автоназначение порта.
Автор: melboyscout
Дата сообщения: 06.07.2016 21:23
alexnov66
Да никто не говорить о марщрутах на клиентах. С этим все ясно. А вот как на сервере поднимать динамические маршруты в подсети клиентов, хз. И да, никакого НАТА нет на сервере.

Ну насчет правил инпут - так скорее всего это там не нужно. Обычно достаточно форварда. Но все зависит от настроек файервола
Автор: alexnov66
Дата сообщения: 06.07.2016 21:32
melboyscout

Так еще раз, что имеется ввиду под сервером, комп с установленным микротиком ?
Если да то
Тогда так и прописывается, не имелось ввиду у самого клиента а на сервере в настройках подключения клиента.
Автор: melboyscout
Дата сообщения: 06.07.2016 21:51
alexnov66
Дык, на схеме он подписан...
Автор: Germanus
Дата сообщения: 06.07.2016 22:44
alexnov66
Брррр! Простите. Я ничего (мягко говоря) не понял. если вас не затруднит. Пожалуйста, основываясь на данных мной адресах, в предыдущих постах, покажите, как это должно выглядеть в реалиях.
Спасибо.
Автор: Muslihiddin
Дата сообщения: 08.07.2016 09:17
Здравствуйте Всем форумчанинам.. У меня вопрос по настройке mikrotik на Routerboard rb411. Я создал мост bridge и объединил оба интерфейсов ethernet порт и wlan. Выход к интернет есть но катрочка r52 то есть wlan не запускается? Когда заходишь в interface все интерфейсы активные состояние бридж running, ether-running slave, wlan-slave. Почему состояния wlan не rs (running slave)???
Автор: evgeniy7676
Дата сообщения: 08.07.2016 11:56
Muslihiddin
Потому что в данный момент ни кто не подключен по wifi
Автор: Chupaka
Дата сообщения: 08.07.2016 16:59
melboyscout

Цитата:
Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН

я когда настраивал подобную схему, в документацию не полез, поэтому просто указал: "192.168.5.0/24" в Routes, безо всяких шлюзов. и оно таки заработало, само подставляет нужный шлюз - поднимаемый клиентом интерфейс
Автор: melboyscout
Дата сообщения: 08.07.2016 17:10
Chupaka
спасибо, попробую..
Автор: fakintosh
Дата сообщения: 09.07.2016 18:51
Возможно ли 1 из 10 портов mikrotik rb2011uas-2hnd-in настроить в режиме моста, чтобы он работал в обход внутренней сети?
То есть 8 портов как обычно работают а 9 работает как мост - 1 WAN и скажем 10 порт в режиме бридж и соответственно к нему подключенное оборудование (радиолинк) получает параметры сети от провайдера а не из локального пула адресов.
Автор: Simply_Kot
Дата сообщения: 10.07.2016 23:14
fakintosh
Конечно можно.

Страницы: 1234567891011121314151617181920212223

Предыдущая тема: Запрет на загрузку, при установке сервера терминалов.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.