SHEVRSV
а не udp ли протокол пользует винда?
а не udp ли протокол пользует винда?
» MikroTik RouterOS (часть 3)
Цитата:
а не udp ли протокол пользует винда?
пробовал, тоже не работает
Давайте выясним максимальный аптайм писишного микротика.
Вот мой, у меня он больше зависит от стабильности в сети 220 в. т.к. ИБП хватает только на 30 мин. Инвертора нет.
Вот мой, у меня он больше зависит от стабильности в сети 220 в. т.к. ИБП хватает только на 30 мин. Инвертора нет.
Цитата:
borees_britva
А зачем тебе два сервера?
Цитата:
borees_britva
2 ППоЕ это не по правилам...
Все очень просто... просто наша сетка разбита на районы!!! и очень часто вырубают свет... и все отстаются без интернета... а так в каждом районе свой шлюз... и естественно к каждому шлюзу свой канал....
Подскажите плиз как скидывать(обнулять) статистику по трафику, например, ежемесячно?
(3.3 версия, для впн подключений, в хотспоте, в юзерманагере, а лучше везде)
ПЫСЫ
К каким переменным обращаться....?
(3.3 версия, для впн подключений, в хотспоте, в юзерманагере, а лучше везде)
ПЫСЫ
К каким переменным обращаться....?
Цитата:
Цитата:borees_britva
А зачем тебе два сервера?
Цитата:borees_britva
2 ППоЕ это не по правилам...
Все очень просто... просто наша сетка разбита на районы!!! и очень часто вырубают свет... и все отстаются без интернета... а так в каждом районе свой шлюз... и естественно к каждому шлюзу свой канал....
Да и гдето читал что они не должны мешать друг другу...
Добавлено:
или проще использовать VPN????
Цитата:
к сожалению не катит. Еще добавлял правда protocol=tcp
вот и разбираться, почему не катит. должно катить. с оговоркой, указанной мной в том посте
Добавлено:
Цитата:
к сожалению не катит. Еще добавлял правда protocol=tcp
вот и разбираться, почему не катит. должно катить. с оговоркой, указанной мной в том посте
Добавлено:
Цитата:
Давайте выясним максимальный аптайм писишного микротика
воть моё в соответствующей теме: http://forum.mikrotik.com/viewtopic.php?p=237667#p237667
482 дня просто потому, что вынуждены были выключить для переноса
Цитата:
Давайте выясним максимальный аптайм писишного микротика
Не знаю для чего это, у меня 272 дня. Перегружал по причине переноса
началось мерянье письками)
лучше решите задачку
Код: [admin@MikroTik] > ip fi mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=mark-connection new-connection-mark=by_conn
passthrough=yes in-interface=by
1 chain=input action=mark-connection new-connection-mark=by2_conn
passthrough=yes in-interface=by2
2 chain=output action=mark-routing new-routing-mark=to_by passthrough=yes
connection-mark=by_conn
3 chain=output action=mark-routing new-routing-mark=to_by2 passthrough=yes
connection-mark=by2_conn
4 chain=prerouting action=mark-connection new-connection-mark=by2_conn
passthrough=yes dst-address-type=!local in-interface=ether1
per-connection-classifier=src-address:2/1
5 chain=prerouting action=mark-connection new-connection-mark=by_conn
passthrough=yes dst-address-type=!local in-interface=ether1
per-connection-classifier=src-address:2/0
6 chain=prerouting action=mark-routing new-routing-mark=to_by2
passthrough=yes in-interface=ether1 connection-mark=by2_conn
7 chain=prerouting action=mark-routing new-routing-mark=to_by
passthrough=yes in-interface=ether1 connection-mark=by_conn
лучше решите задачку
Код: [admin@MikroTik] > ip fi mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=mark-connection new-connection-mark=by_conn
passthrough=yes in-interface=by
1 chain=input action=mark-connection new-connection-mark=by2_conn
passthrough=yes in-interface=by2
2 chain=output action=mark-routing new-routing-mark=to_by passthrough=yes
connection-mark=by_conn
3 chain=output action=mark-routing new-routing-mark=to_by2 passthrough=yes
connection-mark=by2_conn
4 chain=prerouting action=mark-connection new-connection-mark=by2_conn
passthrough=yes dst-address-type=!local in-interface=ether1
per-connection-classifier=src-address:2/1
5 chain=prerouting action=mark-connection new-connection-mark=by_conn
passthrough=yes dst-address-type=!local in-interface=ether1
per-connection-classifier=src-address:2/0
6 chain=prerouting action=mark-routing new-routing-mark=to_by2
passthrough=yes in-interface=ether1 connection-mark=by2_conn
7 chain=prerouting action=mark-routing new-routing-mark=to_by
passthrough=yes in-interface=ether1 connection-mark=by_conn
Люди подскажите пожалуйста, как установить бессрочную аренду динамических IP адресов на DHCP сервере и как привязать МАС адрес к IP.
Цитата:
проходят авторизацию(вижу по логам фтп сервера), но ни списка файлов, ни возможность загрузки не происходит
это в каком режиме - активном или пассивном? а в другом как?
Цитата:
как установить бессрочную аренду динамических IP адресов на DHCP сервере
никак. по определению есть время аренды. ставьте число вроде "дофига" (чтобы клиенты столько не могли не перезагрузиться) - будет вам бессрочная. хотя смысла ноль
Цитата:
как привязать МАС адрес к IP
если используется DHCP - то на интерфейсе ставим ARP = reply-only, а в дхцп-сервере чекаем Add arp for leases
Добавлено:
Цитата:
проходят авторизацию(вижу по логам фтп сервера), но ни списка файлов, ни возможность загрузки не происходит
это в каком режиме - активном или пассивном? а в другом как?
Цитата:
как установить бессрочную аренду динамических IP адресов на DHCP сервере
никак. по определению есть время аренды. ставьте число вроде "дофига" (чтобы клиенты столько не могли не перезагрузиться) - будет вам бессрочная. хотя смысла ноль
Цитата:
как привязать МАС адрес к IP
если используется DHCP - то на интерфейсе ставим ARP = reply-only, а в дхцп-сервере чекаем Add arp for leases
Chupaka
Аптайма на 482 дня! У-у-у, крута!
Аптайма на 482 дня! У-у-у, крута!
Цитата:
это в каком режиме - активном или пассивном? а в другом как?
в любом
в варезнике At1ant выложил образы для VMWare, но на архивах пароли. Какие? Это сообщение удалю.
http://forum.ru-board.com/topic.cgi?forum=35&topic=47381&start=120
http://forum.ru-board.com/topic.cgi?forum=35&topic=47381&start=120
Подскажите люди знающие. Есть две сети.
1. 172.16.0.0/20
2. 10.0.0.0/8
Микротик стоит на VmWare. На сервере 2 интерфейса смотрящие на сети 1 и 2. В микротике бриджем поднято два интерфейса смотрящих на сети 1 2 соответственно с ip 172.16.0.251 и 10.1.132.120
В сети 2 имеется роутер с адресом 10.1.132.118 осуществляющий дальнейшую маршрутизацию.
На микротике гейтом прописан 10.1.132.118
С микротика адреса в сети 1 и 2 пингуются.
Из сети 1 в сеть 2 пакеты не проходят. Как быть и что делать?
P.S. Основная задача поднять два маршрутизатора на микротике для осуществления маршрутизации из сети 1 в сеть 3 (172.16.16.0/23 удаленный офис) через сеть 2.
1. 172.16.0.0/20
2. 10.0.0.0/8
Микротик стоит на VmWare. На сервере 2 интерфейса смотрящие на сети 1 и 2. В микротике бриджем поднято два интерфейса смотрящих на сети 1 2 соответственно с ip 172.16.0.251 и 10.1.132.120
В сети 2 имеется роутер с адресом 10.1.132.118 осуществляющий дальнейшую маршрутизацию.
На микротике гейтом прописан 10.1.132.118
С микротика адреса в сети 1 и 2 пингуются.
Из сети 1 в сеть 2 пакеты не проходят. Как быть и что делать?
P.S. Основная задача поднять два маршрутизатора на микротике для осуществления маршрутизации из сети 1 в сеть 3 (172.16.16.0/23 удаленный офис) через сеть 2.
Chupaka , а можно в в DHCP lease на IP адресах включить Make Static и Use Src. Mac Address
А, подскажите еще можно в микротике выставить время подключения к инету пользователя.
А, подскажите еще можно в микротике выставить время подключения к инету пользователя.
wwwwwww7
Цитата:
это разовая функция для создания статической лизы по имеющейся динамической. к функционированию самой лизы отношения не имеет
Цитата:
зачем?
Цитата:
в PPP -> Secrets - нельзя. если используется биллинг - смотреть на его функционал
Цитата:
включить Make Static
это разовая функция для создания статической лизы по имеющейся динамической. к функционированию самой лизы отношения не имеет
Цитата:
Use Src. Mac Address
зачем?
Цитата:
можно в микротике выставить время подключения к инету пользователя
в PPP -> Secrets - нельзя. если используется биллинг - смотреть на его функционал
всем привет! как пробросить PPTP через NAT? кто нибудь может внятно обьяснить?
ip firewall service-ports - пптп включен, настроен маскардинг и пппое подключения для доступа в инет, как пропустить pptp сквозь нат?
ip firewall service-ports - пптп включен, настроен маскардинг и пппое подключения для доступа в инет, как пропустить pptp сквозь нат?
ip firewall nat add chain=dstnat action=dst-nat to-addresses=XXX.XXX.XXX.XXX to-ports=1723 protocol=tcp dst-port=1723
GawkV
а несколько pptp соединений это прокинет?
а несколько pptp соединений это прокинет?
mindusa
количество не ограничено подключениями
1 впн сервер за натом, если впн серверов их надо раскидывать по портам
количество не ограничено подключениями
1 впн сервер за натом, если впн серверов их надо раскидывать по портам
GawkV
за натом не сервер а клиент, сервер в интернете...
хотя какая в принципе разница.. ))
за натом не сервер а клиент, сервер в интернете...
хотя какая в принципе разница.. ))
На виртуальной машине запущен Mikrotik 4.13. Интернет с белым IP адресом. Настроена пробороска порта по RDP. Когда пытаюсь через инерент подключиться к компьютеру через удаленный рабочий стол сеанс начинается периодически разрываться (пропадают пинги). Через некторое время связь восстанавливается (в некоторыхслучаях происходит разрыв pptp соединения). Пробую еще раз подключиться через RDP - снова дисконнекты.
Пробовал изменять значение MTU до 1400 - проблема не исчезла. При этом сам интернет из дома работает нормально.
В какую сторону копать?
Пробовал изменять значение MTU до 1400 - проблема не исчезла. При этом сам интернет из дома работает нормально.
В какую сторону копать?
Всем добрый день!
Прошу помощи в следующем вопросе:
Было:
Комп с win2003+Kerio на нем поднималось VPN соединение для выхода в интернет и к нему стандартным виндовым VPN коннектились клиенты по локалке того же провайдера.
Kerio естесственно всем этим делом рулил + к нему коннектились из интернета удаленные офисы Kerio VPN клиентом.
Ввиду того, что под винду нужен полноценный системник, а это все дело стояло в квартире, пришел к решению заменить все это Микротиком RB750.
т.к. от VPN клиентов керио отказаться возможности нет, в офисе у себя поставил сервер с Kerio. Перед заменой win сервера сделал на нем проброс порта 4090 (по нему работает VPN керио) на сервер с керио в офисе, соединены между собой они были так же PPTP VPN, и все клиенты дружно подцепились уже к серверу в офисе.
Поставил вместо win сервера mikrotik, поднял на нем PPTP сервера для клиентов, все законектились без проблем, в том числе и сервер kerio в офисе.
Сделал пробросы RDP на внутренние сервера
Сделал проброс порта для вебконсоли управления сервером керио в офисе
И сделал проброс порта 4090 для VPN kerio и именно это не работает (((
а точнее не на 100% Удаленный клиент видит сервер и получает от него сертификат, но соединения в итоге не происходит (((
Вот что в логе самого kerio:
[09/Dec/2010 14:34:50] [ID] 92795 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 217.194.250.21:63792 -> control:4090 [Duration] 17 sec [Bytes] 593/1222/1815 [Packets] 7/9/16
[09/Dec/2010 14:34:50] [ID] 92794 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 217.194.250.21:58757 -> control:4090 [Duration] 17 sec [Bytes] 597/1226/1823 [Packets] 7/9/16
[09/Dec/2010 14:34:53] [ID] 92796 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 93.95.163.116:1567 -> control:4090 [Duration] 17 sec [Bytes] 593/1222/1815 [Packets] 7/9/16
[09/Dec/2010 14:34:54] [ID] 92790 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 213.85.94.98:49413 -> control:4090 [Duration] 26 sec [Bytes] 1623/1618/3241 [Packets] 12/13/25
Такое впечатление, что керио запросы принимает, обрабатывает, отправляет обратно, а клиенту это не доходит, либо доходит, но микротик рвет это соедиение.
Вот таблицы маршрутизации, PPP и NAT:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 217.194.240.20 1
1 ADC 171.19.0.100/32 171.19.0.1 <pptp-skvil> 0
2 ADC 172.19.0.0/24 172.19.0.1 LAN 0
3 ADC 172.19.0.100/32 172.19.0.1 <pptp-zsk> 0
4 ADC 173.19.0.100/32 173.19.0.1 <pptp-viva> 0
5 ADC 174.19.0.100/32 174.19.0.1 <pptp-dir100> 0
6 ADC 175.19.0.100/32 175.19.0.1 <pptp-orehovo> 0
7 A S 192.168.0.0/16 192.168.66.1 1
8 ADC 192.168.66.0/24 192.168.66.235 WAN 0
9 A S 192.168.200.0/24 192.168.66.1 1
10 ADC 217.194.240.20/32 93.95.167.137 Elsite 0
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 viva any xxxxxxxx noencryption 173.19.0.100
1 skvil any xxxxxxxx noencryption 171.19.0.100
2 zsk any xxxxxxxx noencryption 172.19.0.100
3 dir100 any xxxxxxxx noencryption 174.19.0.100
4 orehovo any xxxxxxxx noencryption 175.19.0.100
5 skvilmag any xxxxxxxx noencryption 171.19.0.102
6 X balashiha any xxxxxxxx noencryption 176.19.0.100
7 iPhone any xxxxxxxx noencryption 177.19.0.100
8 papa any xxxxxxxx noencryption 178.19.0.100
0 ;;; Larisa RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7889
protocol=tcp dst-port=7889
1 ;;; RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7575
protocol=tcp dst-port=7575
2 ;;; airdim RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7577
protocol=tcp dst-port=7577
3 ;;; Vadim RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=5667
protocol=tcp dst-port=5667
4 ;;; KerioWebAdmin
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4081
protocol=tcp dst-port=4081
5 ;;; Storage RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7578
protocol=tcp dst-port=7578
6 ;;; NAT to SKVIL
chain=srcnat action=masquerade src-address=171.19.0.100
out-interface=Elsite
7 ;;; NAT to ZSK
chain=srcnat action=masquerade src-address=172.19.0.0/24
out-interface=Elsite
8 ;;; NAT to PAPA
chain=srcnat action=masquerade src-address=178.19.0.100
out-interface=Elsite
9 ;;; NAT to VIVA
chain=srcnat action=masquerade src-address=173.19.0.0/24
out-interface=Elsite
10 ;;; NAT to DIR-100
chain=srcnat action=masquerade src-address=174.19.0.0/24
out-interface=Elsite
11 ;;; vpn
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4090
protocol=tcp in-interface=Elsite dst-port=4090
(Добавление)
Очень прошу помощи, уже всю голову сломал ((((
Прошу помощи в следующем вопросе:
Было:
Комп с win2003+Kerio на нем поднималось VPN соединение для выхода в интернет и к нему стандартным виндовым VPN коннектились клиенты по локалке того же провайдера.
Kerio естесственно всем этим делом рулил + к нему коннектились из интернета удаленные офисы Kerio VPN клиентом.
Ввиду того, что под винду нужен полноценный системник, а это все дело стояло в квартире, пришел к решению заменить все это Микротиком RB750.
т.к. от VPN клиентов керио отказаться возможности нет, в офисе у себя поставил сервер с Kerio. Перед заменой win сервера сделал на нем проброс порта 4090 (по нему работает VPN керио) на сервер с керио в офисе, соединены между собой они были так же PPTP VPN, и все клиенты дружно подцепились уже к серверу в офисе.
Поставил вместо win сервера mikrotik, поднял на нем PPTP сервера для клиентов, все законектились без проблем, в том числе и сервер kerio в офисе.
Сделал пробросы RDP на внутренние сервера
Сделал проброс порта для вебконсоли управления сервером керио в офисе
И сделал проброс порта 4090 для VPN kerio и именно это не работает (((
а точнее не на 100% Удаленный клиент видит сервер и получает от него сертификат, но соединения в итоге не происходит (((
Вот что в логе самого kerio:
[09/Dec/2010 14:34:50] [ID] 92795 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 217.194.250.21:63792 -> control:4090 [Duration] 17 sec [Bytes] 593/1222/1815 [Packets] 7/9/16
[09/Dec/2010 14:34:50] [ID] 92794 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 217.194.250.21:58757 -> control:4090 [Duration] 17 sec [Bytes] 597/1226/1823 [Packets] 7/9/16
[09/Dec/2010 14:34:53] [ID] 92796 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 93.95.163.116:1567 -> control:4090 [Duration] 17 sec [Bytes] 593/1222/1815 [Packets] 7/9/16
[09/Dec/2010 14:34:54] [ID] 92790 [Rule] Service Kerio VPN [Service] Kerio VPN [Connection] TCP 213.85.94.98:49413 -> control:4090 [Duration] 26 sec [Bytes] 1623/1618/3241 [Packets] 12/13/25
Такое впечатление, что керио запросы принимает, обрабатывает, отправляет обратно, а клиенту это не доходит, либо доходит, но микротик рвет это соедиение.
Вот таблицы маршрутизации, PPP и NAT:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 217.194.240.20 1
1 ADC 171.19.0.100/32 171.19.0.1 <pptp-skvil> 0
2 ADC 172.19.0.0/24 172.19.0.1 LAN 0
3 ADC 172.19.0.100/32 172.19.0.1 <pptp-zsk> 0
4 ADC 173.19.0.100/32 173.19.0.1 <pptp-viva> 0
5 ADC 174.19.0.100/32 174.19.0.1 <pptp-dir100> 0
6 ADC 175.19.0.100/32 175.19.0.1 <pptp-orehovo> 0
7 A S 192.168.0.0/16 192.168.66.1 1
8 ADC 192.168.66.0/24 192.168.66.235 WAN 0
9 A S 192.168.200.0/24 192.168.66.1 1
10 ADC 217.194.240.20/32 93.95.167.137 Elsite 0
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 viva any xxxxxxxx noencryption 173.19.0.100
1 skvil any xxxxxxxx noencryption 171.19.0.100
2 zsk any xxxxxxxx noencryption 172.19.0.100
3 dir100 any xxxxxxxx noencryption 174.19.0.100
4 orehovo any xxxxxxxx noencryption 175.19.0.100
5 skvilmag any xxxxxxxx noencryption 171.19.0.102
6 X balashiha any xxxxxxxx noencryption 176.19.0.100
7 iPhone any xxxxxxxx noencryption 177.19.0.100
8 papa any xxxxxxxx noencryption 178.19.0.100
0 ;;; Larisa RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7889
protocol=tcp dst-port=7889
1 ;;; RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7575
protocol=tcp dst-port=7575
2 ;;; airdim RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7577
protocol=tcp dst-port=7577
3 ;;; Vadim RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=5667
protocol=tcp dst-port=5667
4 ;;; KerioWebAdmin
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4081
protocol=tcp dst-port=4081
5 ;;; Storage RDP
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7578
protocol=tcp dst-port=7578
6 ;;; NAT to SKVIL
chain=srcnat action=masquerade src-address=171.19.0.100
out-interface=Elsite
7 ;;; NAT to ZSK
chain=srcnat action=masquerade src-address=172.19.0.0/24
out-interface=Elsite
8 ;;; NAT to PAPA
chain=srcnat action=masquerade src-address=178.19.0.100
out-interface=Elsite
9 ;;; NAT to VIVA
chain=srcnat action=masquerade src-address=173.19.0.0/24
out-interface=Elsite
10 ;;; NAT to DIR-100
chain=srcnat action=masquerade src-address=174.19.0.0/24
out-interface=Elsite
11 ;;; vpn
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4090
protocol=tcp in-interface=Elsite dst-port=4090
(Добавление)
Очень прошу помощи, уже всю голову сломал ((((
День добрый! Появилась задача раздать инет себе по сущ. сети!
Теперь подробнее! Есть сущ сеть по городу, около 1000 компов, адреса статика, нужно по этой сети раздать инет конкретным пользователям! инет идет по оптике, PPPoE подключение, (ю-тел), нужно как то раздать пользователям
Теперь подробнее! Есть сущ сеть по городу, около 1000 компов, адреса статика, нужно по этой сети раздать инет конкретным пользователям! инет идет по оптике, PPPoE подключение, (ю-тел), нужно как то раздать пользователям
mindusa
Зачем тогда пробрасывать порт если сервер не в локалке, а в интернете?
Нат и так пропускает vpn-соединения. Да, протокол GRE разрешён? А то без него pptp не работает.
dsm150
Напиши/нарисуй нормально условие задачи, а то у тебя пока «каша» получилась. Как себе напишешь, так и решение найдёшь, не найдёшь — пиши сюда, люди подскажут.
2All:
У кого с какой частотой пытаются подобрать пароли к маршрутизаторам? А то, за последние три дня у меня больше трёх сотен IP-шек попали в блеклист одного из маршрутизаторов. Это что, новый троян гуляет по тырнету?
Добавлено:
stepanhome
Геморрой ищешь?
Цитата:
PS: Попробуй начни читать с верхнего поста.
Зачем тогда пробрасывать порт если сервер не в локалке, а в интернете?
Нат и так пропускает vpn-соединения. Да, протокол GRE разрешён? А то без него pptp не работает.
dsm150
Напиши/нарисуй нормально условие задачи, а то у тебя пока «каша» получилась. Как себе напишешь, так и решение найдёшь, не найдёшь — пиши сюда, люди подскажут.
2All:
У кого с какой частотой пытаются подобрать пароли к маршрутизаторам? А то, за последние три дня у меня больше трёх сотен IP-шек попали в блеклист одного из маршрутизаторов. Это что, новый троян гуляет по тырнету?
Добавлено:
stepanhome
Геморрой ищешь?
Цитата:
адреса статика— вот он пришёл.
PS: Попробуй начни читать с верхнего поста.
BigElectricCat
Да задачу представляю себе очень хорошо, прошу прощения, если невнятно изложил ее здесь.
Попробую еще раз ))
Ситуация такая:
Есть городская сеть провайдера, в ней находятся два сервера: 1й - Mikrotik адрес в сети прова - 192.168.66.235, который смотрит в интернет через L2TP провайдера. 2й - Kerio control - 192.168.13.157 (друг друга видят отлично, пинги и т.п.), который коннектится к микротику по PPTP, и получает от микротика адрес 173.19.0.100.
На микротике настроен проброс портов RDP извне на сервер керио, т.е. пробрасываю порт на 173.19.0.100, дальше эти пробросы рулит уже керио по локалке, которая за ним, и это прекрасно работает. Абсолютно так же, как и RDP проброшен порт 4090, по которому стучатся VPN клиенты kerio из интернета, клиенты получают от сервера керио сертификаты, и судя по логам даже происходит соединение, но оно сразу же рвется, вот эту проблему я никак решить не могу.
Пробовал с микротика пробрасывать не на 173.19.0.100, а на адрес сервера в локалке прова 192.168.13.157, в этом случае вообще ничего не проходит, хотя когда вместо микротика был тоже сервер с керио, проброс на адрес второго сервера 13.157 работал, в том числе и проброшенный 4090 работал отлично.
Да задачу представляю себе очень хорошо, прошу прощения, если невнятно изложил ее здесь.
Попробую еще раз ))
Ситуация такая:
Есть городская сеть провайдера, в ней находятся два сервера: 1й - Mikrotik адрес в сети прова - 192.168.66.235, который смотрит в интернет через L2TP провайдера. 2й - Kerio control - 192.168.13.157 (друг друга видят отлично, пинги и т.п.), который коннектится к микротику по PPTP, и получает от микротика адрес 173.19.0.100.
На микротике настроен проброс портов RDP извне на сервер керио, т.е. пробрасываю порт на 173.19.0.100, дальше эти пробросы рулит уже керио по локалке, которая за ним, и это прекрасно работает. Абсолютно так же, как и RDP проброшен порт 4090, по которому стучатся VPN клиенты kerio из интернета, клиенты получают от сервера керио сертификаты, и судя по логам даже происходит соединение, но оно сразу же рвется, вот эту проблему я никак решить не могу.
Пробовал с микротика пробрасывать не на 173.19.0.100, а на адрес сервера в локалке прова 192.168.13.157, в этом случае вообще ничего не проходит, хотя когда вместо микротика был тоже сервер с керио, проброс на адрес второго сервера 13.157 работал, в том числе и проброшенный 4090 работал отлично.
dsm150
Тиресна.
Ты адреса указал левые или те, что используешь? А то [more=173.19.0.100]
NetRange: 173.16.0.0 - 173.31.255.255
CIDR: 173.16.0.0/12
OriginAS:
NetName: MEDIACOM-RESIDENTIAL-CUST
NetHandle: NET-173-16-0-0-1
Parent: NET-173-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.MCOMDC.COM
NameServer: NS1.MCOMDC.COM
[/more] всё же белый адрес какой-то конторы из САШ.
Лан, я сегодня что-то не соображаю… [more=но вот что понял (да простит меня модератор)]
в сетке пров—а (должны быть «белые адреса», но у тебя почему-то «серые»)
МИКРОТИК (192.168.66.0/24, 192.168.66.235) и в другом физическом месте КЕРИО (192.168.13.157/маска?, шлюз?) маршрутизацию между этими адресами обеспечивает провайдер и у тебя они друг друга отлично видят. Далее ты поднимаешь на микротике пптп-сервер, вбиваешь в ппп-секреты юзера для КЕРИО, соответственно имя/пароль и пару адресов — для пптп интерфейса МИКРОТИКА (173.19.0.100) и для интерфейса КЕРИО (173.19.0.1), поднимаешь на КЕРИО впн-соединение.
Так же в других офисах/коомпах физически размещённых ещё дальше, ты поднимаешь свои пптп соединения с микротиком, но давая им какие-то странные адреса для пптп сессий:
171.19.0.100 — «МИКРОТИК», 171.19.0.1 — <pptp-skvil>
172.19.0.100 — «МИКРОТИК», 172.19.0.1 — <pptp-zsk>
173.19.0.100 — «МИКРОТИК», 173.19.0.1 — <pptp-viva>
174.19.0.100 — «МИКРОТИК», 174.19.0.1 — <pptp-dir100>
175.19.0.100 — «МИКРОТИК», 175.19.0.1 — <pptp-orehovo>
Вывод такой. Сооздай в микротике пул для пптп сесий, к примеру 10.0.0.3-10.0.0.6 (ограничение на число pptp IP позволит исключить чужих, даже если они и подберут пароль для пптп сесии). Создай в
/ppp secret
caller-id="ипишник удалённой машинки (но только если он не изменяется)" comment="кто-то там" local-address=10.0.0.1 name=ИМЯ-пользователя password="секретный пароль" profile=ПРОФИЛЬ_СОЕДИНЕНИЯ routes=""
Для КЕРИО создай секрет с указанным удалённым адресом, к примеру 10.0.0.2:
caller-id=192.168.13.157 comment="КЕРИО"
local-address=10.0.0.1 name=ЮЗЕР_ДЛЯ_ППТП_КЛИЕНТА_С_КЕРИО_СЕРВЕЕРА
password= "ПАРОЛЬ_ДЛЯ_ППТП_КЛИЕНТА_С_КЕРИО_СЕРВЕЕРА" profile=ПРОФИЛЬ_СОЕДИНЕНИЯ remote-address=10.0.0.2
/ppp profile
set ПРОФИЛЬ_СОЕДИНЕНИЯ address-list=СПИСОК_В_FW(это если желаешь видеть впн пользователей в списках адресов фаирвола) change-tcp-mss=yes comment="" local-address=10.0.0.1 name=default-encryption remote-address=НАЗВАНИЕ_ПУЛА
Таким образом у тебя все машинки подключающиеся по пптп получат адреса из одной серой сетки (10.0.0.0). Соответственно все машинки друг друга будут пинговать по IP, т.е. 10.0.0.2 должен пинговать 10.0.0.1, 10.0.0.(3—6) и т.д (ес-но если правилами ФВ не зарубишь.)
А вот с пробросами я что-то не понял, возьму Larisa RDP —
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7889
protocol=tcp dst-port=7889
Ты все пакеты, которые приходят на любые адреса отправляешь на внутренний пптп интерфейс микротика. Какой в этом смысл? У тебя что, на микротике по этому порту службы какие-то стоять?
должно быть (это только пример для тебя) —
action=dst-nat chain=dstnat comment="SMTP почтовик в недрах локалки за микротиком" disabled=yes dst-address=«МОЙ_БЕЛЫЙ_IP» dst-port=25 protocol=tcp to-addresses=«серый адрес моего почтовика в недрах локалки за микротиком» to-ports=25
ну или вот как сейчас пришлось заткнуть дырку, когда упал один сервер:
action=dst-nat chain=dstnat comment="SMTP затычка" disabled=no dst-address=«белый IP упавшего сервера» dst-port=25 protocol=tcp to-addresses=«белый IP подменяющего сервера» to-ports=25 (до понедельника, когда админ того офиса выйдет на работу и поднимет своё говно рейдовое), естественно что все запросы на передачу почты приходят от адреса сервера с затычкой, потому пришлось в почтовике почти полностью вырубить спаморезку, в том числе и проверку по Р-ДНС.[/more]
Тиресна.
Ты адреса указал левые или те, что используешь? А то [more=173.19.0.100]
NetRange: 173.16.0.0 - 173.31.255.255
CIDR: 173.16.0.0/12
OriginAS:
NetName: MEDIACOM-RESIDENTIAL-CUST
NetHandle: NET-173-16-0-0-1
Parent: NET-173-0-0-0-0
NetType: Direct Allocation
NameServer: NS2.MCOMDC.COM
NameServer: NS1.MCOMDC.COM
[/more] всё же белый адрес какой-то конторы из САШ.
Лан, я сегодня что-то не соображаю… [more=но вот что понял (да простит меня модератор)]
в сетке пров—а (должны быть «белые адреса», но у тебя почему-то «серые»)
МИКРОТИК (192.168.66.0/24, 192.168.66.235) и в другом физическом месте КЕРИО (192.168.13.157/маска?, шлюз?) маршрутизацию между этими адресами обеспечивает провайдер и у тебя они друг друга отлично видят. Далее ты поднимаешь на микротике пптп-сервер, вбиваешь в ппп-секреты юзера для КЕРИО, соответственно имя/пароль и пару адресов — для пптп интерфейса МИКРОТИКА (173.19.0.100) и для интерфейса КЕРИО (173.19.0.1), поднимаешь на КЕРИО впн-соединение.
Так же в других офисах/коомпах физически размещённых ещё дальше, ты поднимаешь свои пптп соединения с микротиком, но давая им какие-то странные адреса для пптп сессий:
171.19.0.100 — «МИКРОТИК», 171.19.0.1 — <pptp-skvil>
172.19.0.100 — «МИКРОТИК», 172.19.0.1 — <pptp-zsk>
173.19.0.100 — «МИКРОТИК», 173.19.0.1 — <pptp-viva>
174.19.0.100 — «МИКРОТИК», 174.19.0.1 — <pptp-dir100>
175.19.0.100 — «МИКРОТИК», 175.19.0.1 — <pptp-orehovo>
Вывод такой. Сооздай в микротике пул для пптп сесий, к примеру 10.0.0.3-10.0.0.6 (ограничение на число pptp IP позволит исключить чужих, даже если они и подберут пароль для пптп сесии). Создай в
/ppp secret
caller-id="ипишник удалённой машинки (но только если он не изменяется)" comment="кто-то там" local-address=10.0.0.1 name=ИМЯ-пользователя password="секретный пароль" profile=ПРОФИЛЬ_СОЕДИНЕНИЯ routes=""
Для КЕРИО создай секрет с указанным удалённым адресом, к примеру 10.0.0.2:
caller-id=192.168.13.157 comment="КЕРИО"
local-address=10.0.0.1 name=ЮЗЕР_ДЛЯ_ППТП_КЛИЕНТА_С_КЕРИО_СЕРВЕЕРА
password= "ПАРОЛЬ_ДЛЯ_ППТП_КЛИЕНТА_С_КЕРИО_СЕРВЕЕРА" profile=ПРОФИЛЬ_СОЕДИНЕНИЯ remote-address=10.0.0.2
/ppp profile
set ПРОФИЛЬ_СОЕДИНЕНИЯ address-list=СПИСОК_В_FW(это если желаешь видеть впн пользователей в списках адресов фаирвола) change-tcp-mss=yes comment="" local-address=10.0.0.1 name=default-encryption remote-address=НАЗВАНИЕ_ПУЛА
Таким образом у тебя все машинки подключающиеся по пптп получат адреса из одной серой сетки (10.0.0.0). Соответственно все машинки друг друга будут пинговать по IP, т.е. 10.0.0.2 должен пинговать 10.0.0.1, 10.0.0.(3—6) и т.д (ес-но если правилами ФВ не зарубишь.)
А вот с пробросами я что-то не понял, возьму Larisa RDP —
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=7889
protocol=tcp dst-port=7889
Ты все пакеты, которые приходят на любые адреса отправляешь на внутренний пптп интерфейс микротика. Какой в этом смысл? У тебя что, на микротике по этому порту службы какие-то стоять?
должно быть (это только пример для тебя) —
action=dst-nat chain=dstnat comment="SMTP почтовик в недрах локалки за микротиком" disabled=yes dst-address=«МОЙ_БЕЛЫЙ_IP» dst-port=25 protocol=tcp to-addresses=«серый адрес моего почтовика в недрах локалки за микротиком» to-ports=25
ну или вот как сейчас пришлось заткнуть дырку, когда упал один сервер:
action=dst-nat chain=dstnat comment="SMTP затычка" disabled=no dst-address=«белый IP упавшего сервера» dst-port=25 protocol=tcp to-addresses=«белый IP подменяющего сервера» to-ports=25 (до понедельника, когда админ того офиса выйдет на работу и поднимет своё говно рейдовое), естественно что все запросы на передачу почты приходят от адреса сервера с затычкой, потому пришлось в почтовике почти полностью вырубить спаморезку, в том числе и проверку по Р-ДНС.[/more]
BigElectricCat
Цитата:
Я использую эти адреса, извне их же невидно, так что вряд ли они помешают кому-либо?!
Цитата:
Прости, но я не понимаю этой тонкости.
192.168.13.157 и 192.168.66.235 выданы провайдером, и они статические, и утого и у другого маска 255.255.255.0 и служат они только для работы в локалке провайдера.
Да, маршрутизацию в локалке провайдера обеспечивает сам пров. У всех подсетей шлюзом является 1 (у 13.157 шлюз 13.1, у 66.235 шлюз 66.1).
Цитата:
По-моему все наоборот, 173.19.0.1 - есть PPTP интерфейс микротика, он же шлюз и днс для 173.19.0.100 который получает керио.
Соответственно и пробросы в микротике я все делаю на 173.19.0.100 (керио) а как раз за ним уже те, кому эти пробросы назначены.
Соответственно и правило:
11 ;;; vpn
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4090
protocol=tcp in-interface=Elsite dst-port=4090
по-моему должно работать, но почему то не работает(
Повторюсь еще раз, все остальное, кроме этого 11го правила работает отлично! )))
А точнее и оно вродебы как работает, ибо судя по логам керио и vpn удаленного клиента, соединение происходит, но сразу же рвется (((
Цитата:
Ты адреса указал левые или те, что используешь? А то 173.19.0.100 всё же белый адрес какой-то конторы из САШ.
Я использую эти адреса, извне их же невидно, так что вряд ли они помешают кому-либо?!
Цитата:
в сетке пров—а (должны быть «белые адреса», но у тебя почему-то «серые»)
Прости, но я не понимаю этой тонкости.
192.168.13.157 и 192.168.66.235 выданы провайдером, и они статические, и утого и у другого маска 255.255.255.0 и служат они только для работы в локалке провайдера.
Да, маршрутизацию в локалке провайдера обеспечивает сам пров. У всех подсетей шлюзом является 1 (у 13.157 шлюз 13.1, у 66.235 шлюз 66.1).
Цитата:
для пптп интерфейса МИКРОТИКА (173.19.0.100) и для интерфейса КЕРИО (173.19.0.1), поднимаешь на КЕРИО впн-соединение.
По-моему все наоборот, 173.19.0.1 - есть PPTP интерфейс микротика, он же шлюз и днс для 173.19.0.100 который получает керио.
Соответственно и пробросы в микротике я все делаю на 173.19.0.100 (керио) а как раз за ним уже те, кому эти пробросы назначены.
Соответственно и правило:
11 ;;; vpn
chain=dstnat action=dst-nat to-addresses=173.19.0.100 to-ports=4090
protocol=tcp in-interface=Elsite dst-port=4090
по-моему должно работать, но почему то не работает(
Повторюсь еще раз, все остальное, кроме этого 11го правила работает отлично! )))
А точнее и оно вродебы как работает, ибо судя по логам керио и vpn удаленного клиента, соединение происходит, но сразу же рвется (((
Всем привет, есть такая проблема - установил на комп1 МикротикOS 3.20, подклюяаю его к инету ПППоЕ, всё норм, с роутера все пингуется, работает, пытаю передать инте в локазку через НАТ, подключаю комп2 и на нем работает только скайп и торенты, страницы не открываются, ничего не пингуется кроме комп1, трасировка показывает что дальше комп1 пинги не идут, настраивал вот по этому мануалу http://it-admin.org/news/nastrojka-pppoenat-dhcpvpn-v-srede-mikrotik-routeros.html может кто знает в чем проблема?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.