Chupaka, спасибо за решение проблемы.
Решил по вашей рекомендации через FastTrack: http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
Решил по вашей рекомендации через FastTrack: http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
» MikroTik RouterOS (часть 4)
Всем доброго.
Между двумя офисами поднят IPSEC туннель, без поднятия IPIP интерфейса. Просто указаны peer-proposal-policy между сетками.
Микрот в удалённом офисе является DHCP сервером.
Внезапно случилось следующее:
С компьютеров нет возможности соединиться с офисом. Вообще. Ни пинги, ни днс запросы (адрес ДНС выдается DHCP), ни, тем более, клиенты сети.
Принтеры в этой сети прекрасно видны, на них можно печатать, ими можно управлять. И с них всё видно.
Если в файрволе посмотреть соединения - видно много попыток установить UDP соединение на 53 порт DNS.
Для верности был перезагружен и роутер и принтер - ситуация не меняется.
Я чего-то даже не пойму, чем различается с точки зрения IP протокола компьютер от принтера?
Между двумя офисами поднят IPSEC туннель, без поднятия IPIP интерфейса. Просто указаны peer-proposal-policy между сетками.
Микрот в удалённом офисе является DHCP сервером.
Внезапно случилось следующее:
С компьютеров нет возможности соединиться с офисом. Вообще. Ни пинги, ни днс запросы (адрес ДНС выдается DHCP), ни, тем более, клиенты сети.
Принтеры в этой сети прекрасно видны, на них можно печатать, ими можно управлять. И с них всё видно.
Если в файрволе посмотреть соединения - видно много попыток установить UDP соединение на 53 порт DNS.
Для верности был перезагружен и роутер и принтер - ситуация не меняется.
Я чего-то даже не пойму, чем различается с точки зрения IP протокола компьютер от принтера?
evgeniy7676
неужели ты думаешь, что я этого не делал ?
неужели ты думаешь, что я этого не делал ?
[more] Так, самое время извиниться за сумбур и уточнить
Значит имеется сеть 192.168.2.0/24 - головной офис. Наружу торчит $EXT_IP1
Сеть 192.168.16.0/24 - удалённый офис. Наружу торчит $EXT_IP2
Между ними ipsec
Приведу конфиг с удаленного офиса:
Код: ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=$EXT_IP1 local-address=:: passive=no port=500
auth-method=pre-shared-key secret=$IPSECKEY
generate-policy=no policy-template-group=LOCAL exchange-mode=main
mode-config=request-only send-initial-contact=yes nat-traversal=no
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256
dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5
ip ipsec proposal print
Flags: X - disabled, * - default
0 name="LOCAL" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=8h
pfs-group=modp1024
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 T * group=*2 src-address=::/0 dst-address=::/0 protocol=all proposal=default
template=yes
1 src-address=192.168.16.0/24 src-port=any dst-address=192.168.2.0/24
dst-port=any protocol=all action=encrypt level=unique
ipsec-protocols=esp tunnel=yes sa-src-address=$EXT_IP2
sa-dst-address=$EXT_IP1 proposal=LOCAL priority=0
Значит имеется сеть 192.168.2.0/24 - головной офис. Наружу торчит $EXT_IP1
Сеть 192.168.16.0/24 - удалённый офис. Наружу торчит $EXT_IP2
Между ними ipsec
Приведу конфиг с удаленного офиса:
Код: ip ipsec peer print
Flags: X - disabled, D - dynamic
0 address=$EXT_IP1 local-address=:: passive=no port=500
auth-method=pre-shared-key secret=$IPSECKEY
generate-policy=no policy-template-group=LOCAL exchange-mode=main
mode-config=request-only send-initial-contact=yes nat-traversal=no
proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256
dh-group=modp1024 lifetime=8h lifebytes=0 dpd-interval=2m
dpd-maximum-failures=5
ip ipsec proposal print
Flags: X - disabled, * - default
0 name="LOCAL" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=8h
pfs-group=modp1024
Flags: T - template, X - disabled, D - dynamic, I - inactive, * - default
0 T * group=*2 src-address=::/0 dst-address=::/0 protocol=all proposal=default
template=yes
1 src-address=192.168.16.0/24 src-port=any dst-address=192.168.2.0/24
dst-port=any protocol=all action=encrypt level=unique
ipsec-protocols=esp tunnel=yes sa-src-address=$EXT_IP2
sa-dst-address=$EXT_IP1 proposal=LOCAL priority=0
Подскажите, пожалуйста, куда в Winbox 3.4 спрятали чекбокс "Hide passwords"?
Eronim
В верхнем меню во вкладке Settings
В верхнем меню во вкладке Settings
Simply_Kot - спасибо!
Ещё есть вопрос по настройке Микротика, связанный с подключением нескольких провайдеров (инструкций и форумов прочитал много, но там не описывается один момент):
- при нескольких разноскоростных провайдерах и при настройке объединения и балансировки каналов нужно отключать "Add default route" в свойствах pptp/l2tp/pppoe соединений и прописывать роуты вручную, делая их статичными.
А как быть с настройкой в случае, если один из провайдеров использует Dual Access (подключение у сети через ethernet), т.е. на порту ethernet с кабелем включаем DHCP client, в котором тоже есть "Add default route"и "Use Peer DNS", и роуты к внутренним ресурсам получаются автоматически.
Так вот эти пункты в DHCP client нужно оставлять активными (если оставлять, то какой Default Route Distance выставлять?) или отключать и прописывать вручную статическими?
Ещё есть вопрос по настройке Микротика, связанный с подключением нескольких провайдеров (инструкций и форумов прочитал много, но там не описывается один момент):
- при нескольких разноскоростных провайдерах и при настройке объединения и балансировки каналов нужно отключать "Add default route" в свойствах pptp/l2tp/pppoe соединений и прописывать роуты вручную, делая их статичными.
А как быть с настройкой в случае, если один из провайдеров использует Dual Access (подключение у сети через ethernet), т.е. на порту ethernet с кабелем включаем DHCP client, в котором тоже есть "Add default route"и "Use Peer DNS", и роуты к внутренним ресурсам получаются автоматически.
Так вот эти пункты в DHCP client нужно оставлять активными (если оставлять, то какой Default Route Distance выставлять?) или отключать и прописывать вручную статическими?
Eronim
Цитата:
Выстави любой отличный от ISP1
Цитата:
(если оставлять, то какой Default Route Distance выставлять?)
Выстави любой отличный от ISP1
Eronim
Я в таком случае делаю статические записи маршрутизации.
Я в таком случае делаю статические записи маршрутизации.
Chupaka
- RB2011 цепляется в ГО через VPN (PPTP/L2TP не суть)
- имеет IP 192.168.224.0/24 с DHCP сервером
- NAT -> masquerade
= компы ходят в инет, всё пучком
- в DHCP прописана опция 176 и 242, что АТС находиться за VPN
- телефоны VoIP цепляются и регистрируются. но разговоры только в одну сторону
- если делаю NAT -> passthrough
= компы перестают попадать в инет, но телефоны работают
Какое оптимальное решение в NAT на стороне УО ???
Eronim
т.е. шлюз ISP1 прописан один раз (25%), шлюз ISP2 прописан три раза (75%)
- RB2011 цепляется в ГО через VPN (PPTP/L2TP не суть)
- имеет IP 192.168.224.0/24 с DHCP сервером
- NAT -> masquerade
= компы ходят в инет, всё пучком
- в DHCP прописана опция 176 и 242, что АТС находиться за VPN
- телефоны VoIP цепляются и регистрируются. но разговоры только в одну сторону
- если делаю NAT -> passthrough
= компы перестают попадать в инет, но телефоны работают
Какое оптимальное решение в NAT на стороне УО ???
Eronim
т.е. шлюз ISP1 прописан один раз (25%), шлюз ISP2 прописан три раза (75%)
DrDEVIL666
увы, по voip не подскажу. попробуйте поиграться с Service Ports в файрволе, кому-то помогает включение sip-helper'а, кому-то - отключение
Добавлено:
DrDEVIL666
оу, перечитал... а вам нужен NAT на VPN? маскарадьте только тот трафик, который в Интернет идёт, а внутри VPN не маскарадьте
увы, по voip не подскажу. попробуйте поиграться с Service Ports в файрволе, кому-то помогает включение sip-helper'а, кому-то - отключение
Добавлено:
DrDEVIL666
оу, перечитал... а вам нужен NAT на VPN? маскарадьте только тот трафик, который в Интернет идёт, а внутри VPN не маскарадьте
DrDEVIL666
Не далее как на прошлой неделе решал подобную задачу.
1. Пометил все сип-соединения между телефонами и атс.
2. Для помеченных соединений сделал свою таблице маршрутизации
0.0.0.0 blackhole
192.168.0.100/32 через vpn
3. Отключил нат для марктрованих сип-соединений.
Зачем так сложно?
При падении vpn телефоны пыталить связаться по основному дефолтному маршрту и подвисали.
Причем после восстановления канала vpn они не переподключались. В конекшенах висели соединения с таймаутами около часа.
Не далее как на прошлой неделе решал подобную задачу.
1. Пометил все сип-соединения между телефонами и атс.
2. Для помеченных соединений сделал свою таблице маршрутизации
0.0.0.0 blackhole
192.168.0.100/32 через vpn
3. Отключил нат для марктрованих сип-соединений.
Зачем так сложно?
При падении vpn телефоны пыталить связаться по основному дефолтному маршрту и подвисали.
Причем после восстановления канала vpn они не переподключались. В конекшенах висели соединения с таймаутами около часа.
1. У меня не SIP а h323, т.к. AVAYA (куплены только h323)
2. Переделал правила маскарада, т.е. маскарадю, только то что наружу
Получаю тоже самое, что в УО не слышно ничего, в ГО слышно УО
Торчем посмотрел, телефоны теперь имеют свой 192.168.224.0/24 при коннекте с АТС 192.168.100.139
т.е. пол дела сделано...
2. Переделал правила маскарада, т.е. маскарадю, только то что наружу
Получаю тоже самое, что в УО не слышно ничего, в ГО слышно УО
Торчем посмотрел, телефоны теперь имеют свой 192.168.224.0/24 при коннекте с АТС 192.168.100.139
т.е. пол дела сделано...
DrDEVIL666
То есть из УО в ГО трафик приходит куда положено.
Теперь надо где из ГО а УО трафик теряется.
Какие соединения висят в конекшенах в ГО и УО по h323?
То есть из УО в ГО трафик приходит куда положено.
Теперь надо где из ГО а УО трафик теряется.
Какие соединения висят в конекшенах в ГО и УО по h323?
ваершарк
на сраном фуфлинке, включаю галку NAT->passtrong и телефоны заводятся и компы маскарадются IP'ом самого шлюза
на сраном фуфлинке, включаю галку NAT->passtrong и телефоны заводятся и компы маскарадются IP'ом самого шлюза
DrDEVIL666
на софтовом роутере с 2 разноскоростными каналами так и сделано (на ROS 5.26) и успешно работает.
Однако перенос всех настроек 1 к 1 перенабором (с небольшими исправлениями в правилах на ROS 6.35 (RB3011)) с заменой одного из 2 ADSL-провайдеров на провайдера через Ethernet не срабатывает. Перестают открываться многие сайты или вообще интернета нет ;(
на софтовом роутере с 2 разноскоростными каналами так и сделано (на ROS 5.26) и успешно работает.
Однако перенос всех настроек 1 к 1 перенабором (с небольшими исправлениями в правилах на ROS 6.35 (RB3011)) с заменой одного из 2 ADSL-провайдеров на провайдера через Ethernet не срабатывает. Перестают открываться многие сайты или вообще интернета нет ;(
Eronim
что есть не открываются сайты? DNS запросы не проходят?
Что выдаётся хомячкам в роли DNS сервера? сам шлюз?
если да, то стоит ли галка ?
а пинги ? трасерт на худой конец, чтобы понять где затык
что есть не открываются сайты? DNS запросы не проходят?
Что выдаётся хомячкам в роли DNS сервера? сам шлюз?
если да, то стоит ли галка ?
а пинги ? трасерт на худой конец, чтобы понять где затык
DrDEVIL666
Цитата:
Шмылинки как молоток. Есть три типа гвоздей. И они умеют их забивать.
Но если гвоздь гнутый или другой длины - то тут просто беда.
h323 helper включен?
Цитата:
на сраном фуфлинке, включаю галку NAT->passtrong и телефоны заводятся и компы маскарадются IP'ом самого шлюза
Шмылинки как молоток. Есть три типа гвоздей. И они умеют их забивать.
Но если гвоздь гнутый или другой длины - то тут просто беда.
h323 helper включен?
Simply_Kot
ты об этом ?
ты об этом ?
DrDEVIL666
Ага.
Попробуй отключить.
Ага.
Попробуй отключить.
DrDEVIL666
Оставил подключенным только одного провайдера (ethernet).
Для DHCP-client и L2TP-подключения включил "Add default route". У L2TP MTU, MRU = 1460 (проверено пингованием с запретом на фрагментацию пакета).
В DNS-сервере микротика DNS, выдаваемые провайдером и включено "Allow Remote Requests". Для "хомяков" DNS-сервером указан Микротик.
На примере 2-3 сайтов: speedtest.net, mozilla.org, odnoklassniki.ru, mail.ru (главная страница загружается, а что-то открыть со страницы не получается - пишет Ожидание...)
Опробованы IE и Firefox.
[more=пинги и трассировка mozilla.org]
C:\Windows\system32>ping mozilla.org
Обмен пакетами с mozilla.org [63.245.215.20] с 32 байтами данных:
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Статистика Ping для 63.245.215.20:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 187мсек, Максимальное = 187 мсек, Среднее = 187 мсек
C:\Windows\system32>tracert mozilla.org
Трассировка маршрута к mozilla.org [63.245.215.20]
с максимальным числом прыжков 30:
1 2 ms <1 мс <1 мс 192.168.0.1
2 <1 мс <1 мс <1 мс bras4-lo1.telecom.by [93.125.5.4]
3 <1 мс <1 мс <1 мс c6509-vss-vl202.telecom.by [213.184.225.17]
4 1 ms 1 ms 1 ms 178.124.168.37.belpak.by [178.124.168.37]
5 3 ms 3 ms 3 ms core1.net.belpak.by [93.85.80.145]
6 1 ms 1 ms 1 ms asbr8.net.belpak.by [93.85.80.94]
7 10 ms 9 ms 9 ms war-b1-link.telia.net [62.115.37.113]
8 25 ms 25 ms 25 ms hbg-bb4-link.telia.net [62.115.135.180]
9 112 ms 112 ms 112 ms ash-bb4-link.telia.net [213.155.131.251]
10 184 ms 184 ms 184 ms sjo-b21-link.telia.net [80.91.248.188]
11 186 ms 186 ms 187 ms mozilla-ic-155747-sjo-b21.c.telia.net [62.115.8.
162]
12 186 ms 186 ms 186 ms xe-1-1-0.border2.scl3.mozilla.net [63.245.219.16
2]
13 188 ms 188 ms 188 ms v-1027.core1.scl3.mozilla.net [63.245.214.73]
14 187 ms 187 ms 187 ms bedrock-prod-zlb.vips.scl3.mozilla.com [63.245.2
15.20]
Трассировка завершена.
C:\Windows\system32>[/more]
[more=правила Firewall и NAT] /ip firewall> export
# apr/22/2016 15:01:34 by RouterOS 6.35
# software id =
#
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=established
add chain=input comment="Allow Related connections" connection-state=related
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow limited pings" limit=50/5s,2:packet protocol=icmp
add chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=input comment="Block Open Proxy" in-interface=all-ppp protocol=icmp
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp
add chain=forward comment="Allow related connections" connection-state=related
add chain=input in-interface=!all-ppp src-address=192.168.0.0/24
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fargmentation required" icmp-options=3:4 protocol=icmp
add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="Deny all other types" icmp-options=12:0 protocol=icmp
add action=drop chain=input comment="Drop everything else"
add chain=forward comment="Allow already established connections" connection-state=established
/ip firewall nat
add action=masquerade chain=srcnat[/more]
Настройка элементарная, но не работает (
Оставил подключенным только одного провайдера (ethernet).
Для DHCP-client и L2TP-подключения включил "Add default route". У L2TP MTU, MRU = 1460 (проверено пингованием с запретом на фрагментацию пакета).
В DNS-сервере микротика DNS, выдаваемые провайдером и включено "Allow Remote Requests". Для "хомяков" DNS-сервером указан Микротик.
На примере 2-3 сайтов: speedtest.net, mozilla.org, odnoklassniki.ru, mail.ru (главная страница загружается, а что-то открыть со страницы не получается - пишет Ожидание...)
Опробованы IE и Firefox.
[more=пинги и трассировка mozilla.org]
C:\Windows\system32>ping mozilla.org
Обмен пакетами с mozilla.org [63.245.215.20] с 32 байтами данных:
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Ответ от 63.245.215.20: число байт=32 время=187мс TTL=51
Статистика Ping для 63.245.215.20:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 187мсек, Максимальное = 187 мсек, Среднее = 187 мсек
C:\Windows\system32>tracert mozilla.org
Трассировка маршрута к mozilla.org [63.245.215.20]
с максимальным числом прыжков 30:
1 2 ms <1 мс <1 мс 192.168.0.1
2 <1 мс <1 мс <1 мс bras4-lo1.telecom.by [93.125.5.4]
3 <1 мс <1 мс <1 мс c6509-vss-vl202.telecom.by [213.184.225.17]
4 1 ms 1 ms 1 ms 178.124.168.37.belpak.by [178.124.168.37]
5 3 ms 3 ms 3 ms core1.net.belpak.by [93.85.80.145]
6 1 ms 1 ms 1 ms asbr8.net.belpak.by [93.85.80.94]
7 10 ms 9 ms 9 ms war-b1-link.telia.net [62.115.37.113]
8 25 ms 25 ms 25 ms hbg-bb4-link.telia.net [62.115.135.180]
9 112 ms 112 ms 112 ms ash-bb4-link.telia.net [213.155.131.251]
10 184 ms 184 ms 184 ms sjo-b21-link.telia.net [80.91.248.188]
11 186 ms 186 ms 187 ms mozilla-ic-155747-sjo-b21.c.telia.net [62.115.8.
162]
12 186 ms 186 ms 186 ms xe-1-1-0.border2.scl3.mozilla.net [63.245.219.16
2]
13 188 ms 188 ms 188 ms v-1027.core1.scl3.mozilla.net [63.245.214.73]
14 187 ms 187 ms 187 ms bedrock-prod-zlb.vips.scl3.mozilla.com [63.245.2
15.20]
Трассировка завершена.
C:\Windows\system32>[/more]
[more=правила Firewall и NAT] /ip firewall> export
# apr/22/2016 15:01:34 by RouterOS 6.35
# software id =
#
/ip firewall filter
add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
add chain=input comment="Allow Established connections" connection-state=established
add chain=input comment="Allow Related connections" connection-state=related
add chain=input comment="Allow UDP" protocol=udp
add chain=input comment="Allow limited pings" limit=50/5s,2:packet protocol=icmp
add chain=input comment="Allow ICMP" protocol=icmp
add action=drop chain=input comment="Block Open Proxy" in-interface=all-ppp protocol=icmp
add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp
add chain=forward comment="Allow related connections" connection-state=related
add chain=input in-interface=!all-ppp src-address=192.168.0.0/24
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fargmentation required" icmp-options=3:4 protocol=icmp
add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="Deny all other types" icmp-options=12:0 protocol=icmp
add action=drop chain=input comment="Drop everything else"
add chain=forward comment="Allow already established connections" connection-state=established
/ip firewall nat
add action=masquerade chain=srcnat[/more]
Настройка элементарная, но не работает (
Eronim
Цитата:
Укажите out-interface
Цитата:
А что в цепочках "udp" и "tcp"?
Добавлено:
DrDEVIL666
Самое главное после перенастройки маршрутизатора - дропнуть соединения и перегрузить телефоны.
Цитата:
/ip firewall nat
add action=masquerade chain=srcnat
Укажите out-interface
Цитата:
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
А что в цепочках "udp" и "tcp"?
Добавлено:
DrDEVIL666
Самое главное после перенастройки маршрутизатора - дропнуть соединения и перегрузить телефоны.
DrDEVIL666
Попробовать не получилось, у провайдера отключилось оборудование в целом районе из-за аварии электросетей.
Пока почитаю статьи, но ведь сейчас только 1 провайдер подключен.
А маркирование соединений и объединение/балансировка каналов ещё предстоит.
Simply_Kot
Интерфейс укажу. Проверю после восстановления связи.
Цитата:
Видно, что пакеты пробегают, больше всего у UDP.
Или не это имелось ввиду?
Попробовал прописать на компе и 8.8.8.8 и шлюз в правиле указал - проблема осталась.
youtube загружается, видео показывается, а habrahabr не загружается, хоть и пингуется и трассируется.
Попробовать не получилось, у провайдера отключилось оборудование в целом районе из-за аварии электросетей.
Пока почитаю статьи, но ведь сейчас только 1 провайдер подключен.
А маркирование соединений и объединение/балансировка каналов ещё предстоит.
Simply_Kot
Интерфейс укажу. Проверю после восстановления связи.
Цитата:
А что в цепочках "udp" и "tcp"?
Видно, что пакеты пробегают, больше всего у UDP.
Или не это имелось ввиду?
Попробовал прописать на компе и 8.8.8.8 и шлюз в правиле указал - проблема осталась.
youtube загружается, видео показывается, а habrahabr не загружается, хоть и пингуется и трассируется.
Eronim
Хорошо.
Все https сайты не открываются?
action=jump отправляет пакет в отдельную цепочку
Цепочка imp расписано.
Про цепочки tcp и udp ни слова.
Хорошо.
Все https сайты не открываются?
action=jump отправляет пакет в отдельную цепочку
Цепочка imp расписано.
Про цепочки tcp и udp ни слова.
День добрый.
К сожалению в интернетах не нашёл решение своей проблемы, а точнее не смог коротко описать проблему для поисковика.
Имеется RouterOS 6.27. Имеется достаточно крупная локальная сеть, из-за которой возник проблемы. Вникать в подробности не буду, перейду к сути.
Допустим имеется сеть 192.168.1.0/24, которую целиком необходимо натить до определённых ресурсов сетью 192.168.2.0/24. Само собой это делается легко и просто с помощью src-nat и указанием даипазонов. отлично, наша подсеть 192.168.1.0/24 натится адресами из подсети 192.168.2.0/24. Весьма рандомно и беспорядочно, но нас это не сильно волнует, а волнует другой момент. Для каждого соединения хост из подсети 192.168.1.0/24 натится разными адресами. И главная проблема - софтфон. Регистрация на сервере происходит через один адрес (например 192.168.2.20), а вызовы идут через другой (192.168.2.21), при этом сервер продолжает работать с адресом на котором была произведена регистрация. (что за сервер - не известно, не на моей стороне) Делать сотню правил для каждого хоста - не вариант.
В какую сторону копать, что читать?
Заранее благодарен.
К сожалению в интернетах не нашёл решение своей проблемы, а точнее не смог коротко описать проблему для поисковика.
Имеется RouterOS 6.27. Имеется достаточно крупная локальная сеть, из-за которой возник проблемы. Вникать в подробности не буду, перейду к сути.
Допустим имеется сеть 192.168.1.0/24, которую целиком необходимо натить до определённых ресурсов сетью 192.168.2.0/24. Само собой это делается легко и просто с помощью src-nat и указанием даипазонов. отлично, наша подсеть 192.168.1.0/24 натится адресами из подсети 192.168.2.0/24. Весьма рандомно и беспорядочно, но нас это не сильно волнует, а волнует другой момент. Для каждого соединения хост из подсети 192.168.1.0/24 натится разными адресами. И главная проблема - софтфон. Регистрация на сервере происходит через один адрес (например 192.168.2.20), а вызовы идут через другой (192.168.2.21), при этом сервер продолжает работать с адресом на котором была произведена регистрация. (что за сервер - не известно, не на моей стороне) Делать сотню правил для каждого хоста - не вариант.
В какую сторону копать, что читать?
Заранее благодарен.
Dooo33
Цитата:
Цитата:
На крайняк сделать NAT один-в-один (192.168.1.х = 192.168.2.у).
А когда у вас на каждом соединении адрес транслируется рэндомно, кина не будет.
Цитата:
главная проблема - софтфонSIP протокол через NAT работает вообще криво
Цитата:
Делать сотню правил для каждого хоста - не вариант.Единственный кошерный вариант - замена NAT нормальной маршрутизацией.
На крайняк сделать NAT один-в-один (192.168.1.х = 192.168.2.у).
А когда у вас на каждом соединении адрес транслируется рэндомно, кина не будет.
Цитата:
SIP протокол через NAT работает вообще криво
если сервер в паблике - нормально работает
https://ru.wikipedia.org/wiki/STUN
у меня кучка сип-телефонов и адаптеров прекрасно работает из-под НАТа.
в телефонах прописан stun.xten.com
в данном конкретном случае - Вы правы, маршрутизация спасет
Добавлено:
Цитата:
Есть домен на No-ip.
кстати у микротика свой дднс есть (IP->Cloud)
Dooo33
Чтобы избежать "случайности", натируйте 1:1. Для этого action=srcnat замените на action=netmap
Чтобы избежать "случайности", натируйте 1:1. Для этого action=srcnat замените на action=netmap
Цитата:
Чтобы избежать "случайности", натируйте 1:1. Для этого action=srcnat замените на action=netmap
Огромное спасибо! Сам дурак и не додумался.
Всё отлично работает и натится строго один к одному.
Страницы: 1234567891011121314151617181920212223
Предыдущая тема: Запрет на загрузку, при установке сервера терминалов.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.