» MikroTik RouterOS (часть 3)

grrrrrrr1
А DNS в микротике прописали и разрешил запрос на них из локалки?
Попробуй, пингуются IP в интернете с компа 2? Если пингуются, то точно DNS в микротике не прописал. ))

dsm150
Хм… а с чего ты решил что их извне не видать? У меня, например, «белы» адреса просто машрутизируются, «серые» же натятся. Тут уж, как у прова твоего настроено, так и будет.


Цитата:

Повторюсь еще раз, все остальное, кроме этого 11го правила работает отлично! )))
А точнее и оно вродебы как работает, ибо судя по логам керио и vpn удаленного клиента, соединение происходит, но сразу же рвется ((

Если ты создаёшь сеть и у тебя нет «белых» адресов, то стоит использовать только те адреса которые разрешены для локалок («серые»): 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16. Естественно обращения в Интернет, с этих адресов, нужно маскировать.
Если уж у тебя провайдер даёт адреса из этого списка — тогда свои локалки переделать так, чтобы адреса не «пересекались» иначе у маршрутизатора «уз за разум зайдёт» (естественно если мер не предпринять никаких.)

Я тебе написал как надо сделать, точнее выдрал кусок текста из рабочего конфига (малость подправленный под твои настройки, а то у меня «белые адреса» там).
Когда у тебя клиенты пптп прицеплены они друг друга пинговать могут? Вот попробуй пропингуй все клиенты, трасертом погляди как пакетики переходят через маршрутизатор. И сначала подними виртуальну сеть (средствами пптп или л2тп) на микротике, потом будешь с натом мудрить. При правильно настроенной ВПН, НАТ, для доступа к ресурсам компов, которые в этой виртуальной приватной сети участвуют, не нужен.

Добавлено:
grrrrrrr1
Ты лучше напиши, что настраивал, а не к своему к своему рук-ву отсылай (впрочем он очень краткое и что либо перепутать там сложно.)
или под «море» спрячь содержимое файлика полученного через export file=file_name.rsc . 99,9% что создал что-то в правилах фаирвола, хотя в твоём мануале про это вообще молчок.

"или под «море» спрячь содержимое файлика полученного через export file=file_name.rsc" сори за нубство но я фразу не понял, фаерфол не трогал - смотрел через винбокс, там правил нет. "А DNS в микротике прописали и разрешил запрос на них из локалки?" нет, а как это? нигде в мануалах ничо про это не видел, если можно, расскажите.

grrrrrrr1
в винбоксе:
IP -> DNS -> на первой вкладке "static" кнопка settings, там же поставить галочку allow remote requests

Цитата:

сори за нубство но я фразу не понял

Запускаешь винбокс, в нём есть кнопочка — «new terminal», чавишь на неё.
Откроется окошечко, вот в нём и набери expoort file=all_conf_my_router.rsc а потом этот такстовый файлик из files закинь себе на раб стол и открой нотепадом, вот там вся твоя конфигурация и есть.

Цитата:

нигде в мануалах ничо про это не видел

Да не ужели, а это что?

Цитата:

4. Прописываем DNS Вашего провайдера.
/ip dns
set primary-dns=ххх.ххх.ххх.ххх secondary-dns=ххх.ххх.ххх.ххх allow-remote-requests=yes

Либо ты всё делал так как там описано — значит должно работать, либо что-то не сделал.

4. Прописываем DNS Вашего провайдера.
/ip dns
set primary-dns=ххх.ххх.ххх.ххх secondary-dns=ххх.ххх.ххх.ххх allow-remote-requests=yes

мне провайдер днс не говорил, они автоматом получаются, да и проблема-то не в этом, ведь роутер в инет заходит, а вот дальше он не идет.

BigElectricCat
Прости за наглость, но можно ли с тобой как то голосом связаться?
Ты единственный, кто откликнулся из трех профильных форумов, где я писал, а тут много писать уже пальцы просто отваливаются )))

grrrrrrr1
С роутера ты ya.ru например пингуешь?!
В локалке, компы автоматом IP получают от микротика, или в ручную?

и так - прокси сервер, в общих чертах понятно ка это работает,
то есть все запросы согласно этому мануалу переправляются на 8000 порт, вот не понятно как
это происходит когда несколько внешних интерфейсов...
или это не важно, сколько внешних интерфейсов? и как в таком случае
будет работать PCQ и QoS? который в данный момент работает, или его
надо будет перестраивать? тогда не понятно как все это настроить?
и еще не менее важный момент, нужен ли этот прокси, где то читал, что
при не большом количестве пользователей вроде как хорошо, а вот при
большом как бы плохо из-за того что будут тормоза потому как поиск
данных в кеше прокси отнимает тоже время и чем их больше данных в кеше
тем хуже..

Цитата:

как это происходит когда несколько внешних интерфейсов

запрос перенаправляется на прокси. затем прокси делает запрос от своего имени к нужному ресурсу. после этого результат отправляется пользвателю


Цитата:

как в таком случае будет работать PCQ и QoS?

отлично будет работать, если учесть, что теперь трафик пользователя будет ходить не только в forward, но ещё и в input/output - то, что идёт через прокси


Цитата:

не менее важный момент, нужен ли этот прокси

можно попробовать для начала сделать его только в памяти - у неё скорость работы чуть повыше, чем у диска

Цитата:

в винбоксе:
IP -> DNS -> на первой вкладке "static" кнопка settings, там же поставить галочку allow remote requests

спасибо большое, помогло, но появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?

П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.

BigElectricCat

Как не понадобится NAT? Каким же это макаром микротик должен понять, на какой ИП пересылать запросы по определенному порту?

Что то я совсем запутался.
Все же склонен думать, что проблема явно не из-за белых\серых ИП, все они в любом случае за маскарадом, и внешнему миру на них пофиг ИМХО )))
Провайдер использует в соей локалке адреса типа 192.168.0.0 255.255.0.0, так что с моей локалкой опять таки не пересекается, да и повторюсь - все находится за маскарадом.
Явно какая то проблема именно в проходе kerio vpn сервиса сквозь микротик, а точнее, уверен, что то где то не доглядел, вот и прошу помощи у гуру )))
Все же остальные пробросы работают... Даже банк-клиенты, которые достаточно требовательны к работе со-своими портами...

ЗЫ Может я изначально ввел в заблуждение, все вышеупомянутые адреса относятся к локлкам, моей и провайдера, а микротик получает белый ИП от провайдера по L2TP.

Цитата:

Chupaka
если учесть, что теперь трафик пользователя будет ходить не только в forward, но ещё и в input/output - то, что идёт через прокси

но следуя Маршрутизация с одного Ethernet-интерфейса до другого Ethernet-интерфейса получается что форвард вообще пролетает мимо, если пакеты пойдут после Routing Decision в Input...
но если предположить что трафик все же идет и через форвард, то что для
шейпера PCQ надо пакеты еще и в input/output метить? что бы трафик от прокси
тоже попадал под шейпер...

dsm150

Цитата:

Как не понадобится NAT? Каким же это макаром микротик должен понять, на какой ИП пересылать запросы по определенному порту?

При правильно настроенной адресации/маршрутизации. У меня же понимает, что и куда надо пересылать Хотя сеток которые роутятся микротиками хватает. (Вот только ещё керио не хватало , впрочем «зоопарка» и без него хватает.)

Срц-НАТ использую только для сокрытия тех машин, которые не имеют «белые» адреса, иногда правда нужно маскировать обращения к ресурсам в случае, когда GW по умолчанию у нужного ресурса отличный от адреса микротика, а микротик находится в той же сети (к примеру, у ресурса адрес 192.168.20.1/24 его GW 192.168.20.100, а у микротика адрес 192.168.20.15, вот тут и нужно маскирование, т.е. к ресурсу обращения идут от адреса микротика, соответственно ресурс отвечает микротику, а тот уж пересылает вопрошающему).
Дст-нат пригодится для создания затычек, типа подмены удалённого сервера своим (если нет возможности ДНС подрихтовать), ну и для скрытого перенаправления запросов в веб через кеширующий прокси (чтобы анализировать посещённые сайты, например).


Цитата:

Даже банк-клиенты,

Хм… этому вообще https нужен, да и всё. По крайней мере у нас на Украине.


Цитата:

Может я изначально ввел в заблуждение

Смотри:
Твои кленты подключились по пптп микротику, следовательно они уже выпали из своей сети и находятся в сети которая создаётся микротиком, конечно при условии, что у клиентов автоматически создаётся шлюз по умолчанию для впн соединения, галку то, можно и снять.
Вот теперь микротик готов пересылать запросы клиентов на любые адреса, которые у него прописаны в роутах «/ip route», варианты роутингом («/routing») пока можно исключить.
Если тебе нужно обратится к портам ресурса который получил адрес в пптп сети микротика 173.19.0.100 то нет нужды создавать правила НАТа, достаточно просто указать нужный адрес:порт в клиенте (из твоего примера в РДП-клиенте — 173.19.0.100:7889 или 173.19.0.100:7575).
Так же, теперь клиенты могут присоединится к впн керио, просто указав адрес керио в другом впн-соединении. Но это будет уже другая сеть, созданная внутри сети микротика и адресация в ней уже своя (принцип матрёшки). Пожалуй тебе стоит поглядеть, что тебе напишет route print на клиенте, когда он подключён к микротику, а потом сравнить с тем, что он напишет, когда ты подключишься к впн керио.

PS: Не понимаю особого смысла, если честно, в создании вложенных впн. Избыток шифрования ещё не значит, что криптостойкость соединения выше.
Всё можно сделать одним микротиком (сертификаты он тоже поддерживает) и лучше уж через IP Sec, а не ВПН.

Цитата:

получается что форвард вообще пролетает мимо

да. торренты: словили пакет на интерфейсе пользователя -> forward -> интернет, обратно той же дорогой через forward
веб: словили пакет на интерфейсе пользователя, редиректнули -> input -> прокся отрабатывает запрос, соединяется с сайтом (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно), получает страницу -> output -> довольный пользователь


Цитата:

что для шейпера PCQ надо пакеты еще и в input/output метить? что бы трафик от прокси тоже попадал под шейпер...

именно так

BigElectricCat
Так дело то в том, что удаленные клиенты используют только Kerio VPN, и стучатся на белый ИП микротика.
Я бы от этого как раз отказался, но удаленные компы сами в инет выходят сразу по PPTP и создание на них второго PPTP туннеля приводит к заворачиванию в него всего трафика ((

Нашёл интересную штуковину, может кому пригодится, работает на Win7 + PPTP соединении:
Если пользователь подключился к шлюзу по тунелю, но при этом у него НЕ стоит галочка "Использовать удалённый шлюз", то можно дать ему необходимые маршруты по RIP, настраивается всё в два пинка, нужно объявить сети и сказать, что авторизации нет.

faust72rus
А можно по-подробнее? И сработает ли это на ХР, а то 7 пока не везде стоит. А вообще в свойствах PPTP видел эту галочку и снимал ее, но все равно при этом при поднятии этого VPN появлялся системный маршрут заворачивающий все на этот PPTP сервер.

dsm150
Ну вот, не выбрали ещё и «пару тысяч вёдер», а золотой ключик у нас почти что в кармане, в смысле, начала проясняться твоя ситуация. Можно сделать так:
• На микротике поднять только л2тп сервер.
• Керио подключается по л2тр к микротику (UDP порт 1701).
• Проброс пптп порта керио на «белый» ип микротика. Т.е. так:

Код: chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=1723 protocol=tcp dst-address=XX.XX.XX.XX dst-port=1723

Что-то запутался.
Есть сети клиентов, у них прописан деф. гатевэй (не микротик) для лок. сетей.
Есть микротик с интернетом.
При подключении к нему клиентов PPPtP(PPPoE), всё предназначенное для локальных сетей заворачивается в микротик.
Прописываю нужный шлюз на микротике, с него пакеты правильно идут, с клиентов всё равно в интернет.

dsm150
Думаю твою задачу более правильно решает BigElectricCat

Цитата:

Цитата:в винбоксе:
IP -> DNS -> на первой вкладке "static" кнопка settings, там же поставить галочку allow remote requests


спасибо большое, помогло, но появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?

П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.

объясните нубу, плиз, в чом проблема?

Схема сети такая:
локальная сеть (192.168.88.0/24) -> NAT (белый IP) -> Internet (PPTP соединение до провайдера)
Пробую настроить QoS, но пока ничего толком не выходит. Текущая конфигурация настроек -

Код:
/ip firewall nat print
chain=srcnat action=masquerade src-address=192.168.88.0/24 out-interface=internet
chain=dstnat action=dst-nat to-addresses=192.168.88.141 to-ports=45141 protocol=tcp dst-address=Белый_IP dst-port=45141
chain=dstnat action=dst-nat to-addresses=192.168.88.141 to-ports=3389 protocol=tcp dst-address=Белый_IP dst-port=3389
chain=dstnat action=dst-nat to-addresses=192.168.88.141 to-ports=80 protocol=tcp dst-address=Белый_IP dst-port=80

/ip firewall mangle print
chain=forward action=change-mss new-mss=1452 tcp-flags=syn protocol=tcp in-interface=internet
chain=forward action=change-mss new-mss=1452 tcp-flags=syn protocol=tcp out-interface=internet
chain=forward action=mark-connection new-connection-mark=Download passthrough=yes in-interface=internet
chain=forward action=mark-connection new-connection-mark=Upload passthrough=yes out-interface=internet
chain=forward action=mark-packet new-packet-mark=down passthrough=no connection-mark=Download
chain=forward action=mark-packet new-packet-mark=upl passthrough=no connection-mark=Upload

/queue tree print
name="1. Download" parent=global-out packet-mark=down limit-at=0 queue=hotspot-default priority=8 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s
name="2. Upload" parent=global-out packet-mark=upl limit-at=0 queue=hotspot-default priority=8 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s

grrrrrrr1
сделай принт всех сетевых адресов и правил файрвола, т.к. у меня закончился натуральный кофе, а на растворимом гадать не получается.

# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN1
1 172.16.18.1/22 172.16.18.0 172.16.18.255 LAN2
2 D 94.241.234.98/32 217.9.147.93 0.0.0.0 \FB\EE\EB\E3\E0

а правил фаервола нет вообще

заметил что команда ip route print даёт:

DST-ADDRESS PREF-SRC

172.16.16.0/22 172.16.18.1

не знаю почему в первом случае 172.16.16.0/22 но может ли быть в это м моя проблема и если да, то как это поменять?

grrrrrrr1
Белый адрес конечно никому не интересен =)
Маску сети правь, либо делай 24 байта, либо меня широковещательные адреса.

Добавлено:
grrrrrrr1
Заходишь винбоксом в адреса, открываешь адрес, заполняешь верхнюю строку 172.16.18.1/24 остальное не трогаешь (ну разумеется выбираешь нужный интерфейс). Всё.

Цитата:

grrrrrrr1
Белый адрес конечно никому не интересен =)
Маску сети правь, либо делай 24 байта, либо меня широковещательные адреса.

Добавлено:
grrrrrrr1
Заходишь винбоксом в адреса, открываешь адрес, заполняешь верхнюю строку 172.16.16.0/24 остальное не трогаешь (ну разумеется выбираешь нужный интерфейс). Всё.

не знаю чо такое широковещательные адреса, поэтому просто поменял ма ску на /24, теперь везде подсеть 172.16.18.0 но всеравно нишиша не пингуется, чтож за беда-то такая(

grrrrrrr1
Кто является DHCP сервером?

Цитата:

grrrrrrr1
Кто является DHCP сервером?

на 2-й сетевуше ИП забиваю вручную, ДХЦП нету, на 1-й есть ДХЦП

Цитата:

Цитата:
grrrrrrr1
Кто является DHCP сервером?


на 2-й сетевуше ИП забиваю вручную, ДХЦП нету

Значит Ты неправильно вбил адреса в компьютере!