» MikroTik RouterOS (часть 4)

подскажите есть пара микротиков А и Б
А - два белых IP от двух провайдеров
Б - один белый IP от одного провайдера
используя туннели IP2IP обеспечиваю связность роутеров.
Возникла необходимость в канале для управления роутером Б при падении провайдера
решил использовать модем huawei e3276 с SIM картой yota (128кб бесплатно)

какой использовать туннель (в yote серый адрес за NAT модема), весь трафик метить и по IP получателю маршрутизировать не могу, т.к. до IP адресов микротика А туннели по проводному провайдеру.

какой использовать туннель (l2tp ?) и как только его загнать в yota ?

Дорогие камрады.
Подскажите такую вещь.
Можно ли не делать проброс порта, а сразу доменное имя пробрасывать на указанный IP внутри сети?
Объясняю
есть доменное имя от регистратора bb.cc
созданы дополнительные субдомены
aa.bb.cc
ab.bb.cc
bb.bb.cc
в настройках у доменного регистратора такие записи:
bb.cc A xxx.xxx.xxx.xxx
aa.bb.cc A yyy.yyy.yyy.yyy
ab.bb.cc A yyy.yyy.yyy.yyy
bb.bb.cc A yyy.yyy.yyy.yyy
Внешний IP адрес микротика yyy.yyy.yyy.yyy
aa.bb.cc - ПК <A> внутри сети
ab.bb.cc - ПК <B> внутри сети
bb.bb.cc - ПК <C> внутри сети
Внутри сети все просто - все домены прописаны в static DNS на микротике, а вот снаружи приходится ухищряться и делать проброс каждого нужного порта чтоб попасть на нужный ПК.
Пример ПК A использует порты 80 и 443, ПК B 8585, ПК С 81(так как 80 уже занят).
Собственно отсюда и вопрос возник, можно ли сделать так чтоб при запросе извне попадать вот так (запрос не только в веб страничке, но и с любых других источников)???
aa.bb.cc на ПК A
ab.bb.cc на ПК B
bb.bb.cc на ПК C
Только силами микротика, без поднятия дополнительного DNS сервера внутри сети!

DevilCore
итак, на роутер приходит SYN-пакет установления соединения с dst-address=yyy.yyy.yyy.yyy, dst-port=80. какими телепатическими способностями должен обладать роутер, чтобы определить, что где-то на другом конце земного шарика какой-то компьютер непосредственно перед соединением отресолвил в IP-адрес yyy.yyy.yyy.yyy именно текстовое имя "aa.bb.cc", а не "bb.bb.cc" или вообще какой-нибудь "hacker.noip.com"?

поэтому для проброса http заворачиваем его на WebProxy (который в таком случае будет выступать своего рода балансировщиком), а для всего остального - разбрасываем по разным портам, как вы и делаете

Chupaka
Логика ваша понятна, теоретически вы правы, но вдруг в микротике есть ченить такое )))
про http это как пример, в основном мне нужны совершенно не веб порты использовать
про веб прокси читал, но он тоже относится к веб части.
В сетевых потоках не силен, потому и спросил.
Получается такое можно сделать только если внутри сети поставить отдельный ДНС сервер? или тоже ничего не получится

DevilCore
Повторяю: в SYN-пакете не содержится никакой информации о том, к какому доменному имени идёт подключение. А именно на этом этапе надо делать dst-nat.

Chupaka
Подскажи

В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.

Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no

DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no

сам NetWatch статус меняет при падение канала, как мне правильно сделать??

Chupaka
Спасибо за ответ. Почитаю про syn

IvanovEv
это для примера команды или они точно так и заданы ? если точно, то в DOWN не хватает "-"

можно и так:

UP
/interface ovpn-client disable VPN1
/interface ovpn-client enable VPN2

DOWN
/interface ovpn-client disable VPN2
/interface ovpn-client enable VPN1

но "ovpn-client" )

Прописано с - это я тут не поставил, Просто когда уходит в Down VPN1 не отключается и продолжает работать и соответственно VPN 2 не поднимается

Цитата:

alexnov66

Убрал маркировку сетей 192.168.0.0 и 192.168.88.0 теперь я так понимаю все идет по дефолтному маршруту. Маршруты прописаны и для сети 0.0 и для сети 88.0 в конфиге. Все равно при пинге с 88.0 на 192.168.0.31 пишет заданная сеть недоступна.

IvanovEv
а он точно в down уходит?.. а если те команды скопировать (именно скопировать, а не набрать ручкам, как вы в том сообщении сделали) в Терминал - они отрабатывают?

DevilCore
У регистратора доменного имени делаете srv запись на нужное доменное имя и порт, а на микротике пробрасываете эти порты на нужный компьютер.


basic8333
Я не говорил убрать, трафик к каждой сети нужно метить разными метками а не одной, так же попробуйте добавить правило маскардинга без указания адресов и интерфейсов. По дефолтному маршруту в интернет должны идти все кто не завернут другими маршрутами.

Chupaka

Да он точно в Down уходит, проверил через терминал все срабатывает, вечером попробую канал отрубить

IvanovEv

Код: UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no

DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no

alexnov66

Цитата:

И команда отработает если интерфейс включен а если он выключен то работать не будет, это если прописано в самом интерфейсе.

Это получается 2 интерфейса должны быть включены?

IvanovEv
Нет, маленько не то написал что думал, и как выше подметили у вас ошибка в написании команды


Код: /interface ovpn client set vpn1 disabled=yes

alexnov66

Спасибо понял где у меня была ошибка. я в правиле не поставил в конце ; сейчас все заработало
еще раз Спасибо

IvanovEv
знак конца строки в написании скрипта или команды обязательно должен быть, хотя должно работать и без знака.

Доброго дня всем.
Проблема из разряда мистических.
Маршрутизатор RB2011UiAS-2HnD.

Задействованы три интерфейса Internet, LAN, VPN.
Проблема - из LAN нет доступа к сети за VPN, с маршрутизатора - есть. (Ping с LAN интерфейса на 172.20.х.х и 10.112.x.x не идет дальше 172.20.30.17)

Аналогичная конфигурация на RB2011UiAS работает как часы.
Вывихнул мозг, прошу помощи коллективного разума.

Конфигурация

Код: # jul/13/2016 15:39:30 by RouterOS 6.35.4
# software id = KRAK-N2EC
#
/interface ethernet
set [ find default-name=ether1 ] name=e1-Internet
set [ find default-name=ether2 ] name=e2-LAN
set [ find default-name=ether3 ] name=e3-VPN
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip settings
set accept-redirects=yes accept-source-route=yes
/ip address
add address=192.168.100.5/24 interface=e1-Internet network=192.168.100.0
add address=172.20.4.252/24 interface=e2-LAN network=172.20.4.0
add address=172.20.30.17/30 interface=e3-VPN network=172.20.30.16
/ip dns
set servers=194.158.196.137,194.158.196.141
/ip dns static
add address=10.112.0.10 name=xxxx
/ip firewall nat
add action=masquerade chain=srcnat out-interface=e1-Internet
add action=redirect chain=dstnat dst-port=80 in-interface=e2-LAN protocol=tcp \
to-ports=8080
/ip proxy
set enabled=yes
/ip route
add check-gateway=ping distance=1 gateway=192.168.100.1
add check-gateway=ping distance=1 dst-address=10.112.0.0/16 gateway=\
172.20.30.18
add check-gateway=ping distance=1 dst-address=172.20.0.0/16 gateway=\
172.20.30.18
/ip upnp
set enabled=yes
/lcd interface pages
set 0 interfaces="sfp1,e1-Internet,e2-LAN,e3-VPN,ether4,ether5,ether6,ether7,eth\
er8,ether9,ether10"
/routing rip
set distribute-default=always redistribute-connected=yes redistribute-static=\
yes
/routing rip interface
add interface=e3-VPN send=v1-2
/routing rip neighbor
add address=172.20.30.18
/routing rip network
add network=172.20.30.16/30
/system clock
set time-zone-name=Europe/Minsk
/system ntp client
set enabled=yes primary-ntp=48.8.30.41 secondary-ntp=91.206.16.4
/system routerboard settings
set protected-routerboot=disabled

ProFiler

Конфиг представлен не полностью, возможно трафик не разрешен из одной сети в другую.
Маскардинг включите из одной сети в другую.
попробуйте выполнить такие команды


Код: /interface bridge settings
set allow-fast-path=no
/ip settings
set allow-fast-path=no

И, да, внутри маршрутизатора взаимно не пингуются интерфейсы. Криво встала прошивка?

Кто нибудь настраивал routerbord rb411 с карточкой r52 и к ним подключаеться nanostation m2 для приём и раздачи интернета?

Уже один раз писал, но как-то безрезультатно. Помогите пожалуйста кто нибудь! Цитирую прошлое сообщение:

Понадобилось поменять точку доступа в офисе (задолбало постоянно перегружать старую), как самый стабильный вариант, и с упором на будущее, посоветовали взять MikroTik. Прикупили 951Ui-2HnD. Обычную точку доступа я из него сделал. Но, так как возможностей железки уйма, хочется по максимуму их использовать.
Железка используется как обычная точка доступа - подключена в локальную сеть офиса и раздаёт WiFi.
В планах - поднять на ней две WiFi-сети - одну гостевую, с ограничением скорости, WPA2 PSK аутентификацией, и изоляцией клиентов, и вторую сеть офисную - с авторизацией через RADIUS, что бы сотрудники подключались к сети используя свои доменные учётки.
И вот тут я столкнулся с проблемой - не получается настроить связку с RADIUS-сервером. Не вижу вообще никаких попыток авторизаций, ни в логе микротика, ни в логе радиуса. Все доки и мануалы которые я находил, они описывают настройку либо с использованием Hotspot'а, либо настройку vpn. Но мне ни того, ни другого не нужно. Нужен просто WiFi с авторизацией через радиус. Такое вообще возможно на этой железке? Или я зря бьюсь?
В качестве RADIUS-сервера выступает Microsoft NPS на WinServ2008R2, прошивка на микротике 3.24 (MikroTik RouterOS 6.30.4)

ЗЫ. В идеале хотелось бы пошаговую инструкцию, как такое сделать, учитывая особенности конкретной версии RouterOS (6.30.4), а то ползая по мануалам находил приличные расхождения в версиях - то ли что-то куда-то перенесено, то ли вообще отсутствует в данной версии.

ЗЗЫ. Вот в этом посте http://forum.ru-board.com/topic.cgi?forum=8&topic=70009&start=200#6 кидал скриншоты настроек радиус-клиента и Wireless Security Profile, по просьбе Chupaka.

alexnov66
Я правильно вас понял?
Надо сделать srv запись с
aa.bb.cc:22
ab.bb.cc:22
bb.bb.cc:22
Но как сделать проброс на микротике если порт то везде один и тот же?
Как я вычитал про syn - ничего у меня не получится.
Вариант изменения порта - единственный если входящее соединение приходит на измененный уже порт, например 223/224/225 и т.п, но это жанглирование портами, от которого я хочу уйти
И второе - не весь софт позволяет менять порты подключения(ssh указал для примера)

DevilCore

Для того и делается srv запись, там указывается протокол, порт и http запрос, ну или любой какой сервис работает на каком порту, и имя его, что бы заходить не по ссылке
http://moy_sait:8080/
а по стандартной
http://moy_sait/
и следовательно пробрасываете этот порт на нужный компьютер. В итоге получается разные имена работают на разных портах.
Это всё в теории, на практике не проверял.


Цитата:

но это жанглирование портами, от которого я хочу уйти

Иначе ни как, или покупайте на каждое имя свой ip адрес.
Или делайте запрос по 80 порту на один компьютер с апачем а он уже редиректит по другой ссылке с нужным портом и следовательно будет отзываться нужный комп, но опять же если программа не даёт изменить порт запроса то этот вариант не приемлем.

Добавлено:
friendsbbs2
Какой биллинг или радиус где стоит, вообще прикручивал нормально работает.
Вот тут посмотрите пример настройки

alexnov66


Цитата:

Какой биллинг или радиус где стоит,

Биллинга нет. Он ни к чему. А радиус - это Microsoft NPS на WinServ2008R2.


Цитата:

Вот тут посмотрите пример настройки

Интересная статья, полезная. Спасибо. На досуге почитаю.

Не могу сообразить.
Есть точка доступа с ip 192.168.5.240
На ней WiFi с гостевой сетью 10.11.12.0/24, 10.11.12.13 и VLAN 1010
На микротике:

Код: /interface bridge add arp=proxy-arp name=bridge_local protocol-mode=none
/interface vlan add interface=bridge_local l2mtu=1586 name=BR-G_VLAN1010 vlan-id=1010
/ip pool add name=BR-G_POOL ranges=10.11.12.55-10.11.12.99
/ip dhcp-server add add-arp=yes address-pool=BR-G_POOL disabled=no interface=BR-G_VLAN1010 lease-time=12h name=BR-G_DHCP
/interface bridge port
add bridge=bridge_local interface=ether1
add bridge=bridge_local interface=ether2
add bridge=bridge_local interface=ether3
add bridge=bridge_local interface=BR-G_VLAN1010
/ip address
add address=192.168.5.254/24 interface=bridge_local network=192.168.5.0
add address=10.11.12.13/24 interface=BR-G_VLAN1010 network=10.11.12.0
/ip dhcp-server network add address=10.11.12.0/24 dns-server=77.88.8.1 gateway=10.11.12.13 netmask=24
/ip dns set allow-remote-requests=yes servers=77.88.8.1,192.168.5.5

Joo1z
так, если нужно что б были сбриджованы вилан и локалка
/ip dhcp-server add add-arp=yes address-pool=BR-G_POOL disabled=no interface=[strike]BR-G_VLAN1010 bridge_local lease-time=12h name=BR-G_DHCP[/strike]

Не, исключите вилан из бриджа

Хех. В общем, всё правильно делал. Забыл, что роутер и точка доступа по разные стороны провайдерского канала, который сам-по-себе на VLAN-ах.

Доброй ночи.
Тыкните пальцем.
Как поднять сервак на Микротике (аля Хамачи) чтоб можно было на удалённый комп по виндовс-шаре зайти.

не обьеденить сети, а создать отдельную сеть!!! например 192.168.100.0/24

Пробовал как в статьях сохдавал l2tp сервер, клиенты конектились, в итоге сети между нами небыло, но они шастали в интернет через меня!!
Какой то бред...
мне нужно только чтоб по интернету сделать локалочку.