» MikroTik RouterOS (часть 3)

Люди помогите.
Включил второе соединение от одного провайдера. Создал второе РРРоЕ соединение. В строке Destinatijn одинаковые IP адреса, а в строке Pref. source разные. Создаю New Route, прописываю в строке Gatway тот же IP, что и на первом соединение, в строке Gatway Interface прописываю другой интерфейс. Но при активации почему то на данном маршруте прописываются и первый и второй интерфейсы и весь трафик все равно идет через первое РРРоЕ соединение. Версия микротика 3.29.

Iliasla

Цитата:

Блокировка несанкционированных подключений/траффика извне, для защиты внутренней сети. Дело в том что во многих программных файрволлах и в "мыльницах" включение NAT сопровождается скрытым включением блокирующих правил в файрволле, отчего у человека создаётся ложное впечатление, будто NAT одновременно блокирует несанкционированный входящий траффик.

NAT по природе своей отсеивает входящие подключения. а вот вопрос о том, как же МАКи могут проплыть через роутер, всё ещё нетронут


Цитата:

и большой лог при таких объемах делал ManageEngine NetFlow Analyzer?
вроде как не очень уж у вас большой объем...

у нас за сутки набегает полтора гигабайта логов TCP-трафика и чуть больше гига UDP =) правда, дамп в MySQL, без сжатия, но слегка оптимизированный, и только нужная инфа сохраняется

wwwwwww7
в качестве gateway надо указать не IP-адрес, а имя интерфейса. PROFIT

День добрый. Помогите чайнику Какой командой можно узнать наработанный пользователем PPTP трафик?

Цитата:

Какой командой можно узнать наработанный пользователем PPTP трафик?

командой "посмотреть трафик" в билинге. вы сначала расскажите, кто его считает и как

Я не про билинг, есть микротик, открыто окно терминала. Как через команды посмотреть трафик в данный момент подключенного pptp пользователя?

Цитата:

Как через команды посмотреть трафик в данный момент подключенного pptp пользователя?

/ppp active print stats where name="username"

Chupaka
Спасибо

Chupaka
Спасибо. Вчера таки сделал в Gateway interface имя интерфейса, а поле Gateway оставил пустым и все заработало.

Ещё вопрос. Можно ли в Queues задать ограничение скорости не на одну подсеть, а на address list как, например, можно сделать в правиле фаервола.

Chupaka

Цитата:

NAT по природе своей отсеивает входящие подключения

С чего ради? Даже в названии содержится только слово "трансляция". SNAT на входящие вообще не влияет, DNAT - перенаправляет по другому адресу/порту, и только. Не ожидал такого утверждения услышать от Вас.. %)

Fomichok2
Маркируйте в мангле соотв. образом (по адрес-листу).

Цитата:

Маркируйте в мангле соотв. образом (по адрес-листу).

а потом в Queues делайте ограничения согласно этим меткам,
но предварительно в Queues Types указав очередь PCQ с нужной вам
скоростью...


Цитата:

С чего ради? Даже в названии содержится только слово "трансляция". SNAT на входящие вообще не влияет, DNAT - перенаправляет по другому адресу/порту, и только. Не ожидал такого утверждения услышать от Вас.. %)

скорее всего имелось ввиду, что из вне подключится к чему нибудь во внутреннею
сеть, без каких либо тело движений (например проброс портов) не получится,
то есть например подключится к удаленному рабочему столу из локальной сети
у вас получится, а вот в локальную сеть нет, вот и получается что NAT как бы
блокирует входящие соединения .... imxo

Iliasla (скрипт)

Цитата:

Попробуйте после каждой строки вставлять вывод на терминал какого-либо сообщения (в т.ч. печать переменных), таким образом можно увидеть, на каком шаге скрипт затыкается. Сначала после первого, затем сдвигайте его вниз по мере прохождения.
Возможно просто где-то опечатка в строке или с именем внешнего интерфейса нестыковка.

Получилось, этот же скрипт скопировал с сайта микротика ( ссылку нашел на руборде) и все заработало, причем сравнивали два скрипта мой и с сайта, вроде идентичны. Самое дурное что решил я убрать закоментированные строки и скрипт перестал работать, ну прям как контрольная сумма в скрипте Взял скопировал все вместе с коментами, подставил логин, пароль итд и ракета пошла Удачно повторил на втором микротике 750G

Добрый день, спецы! Настраиваю L2TP сервер на микротике v 2.9.27. Растолкуйте, что такое "Local addres" и "Remote addres" на вкладке "РРР - secrets", а то в разных статьях читал и описание попадалось ну почти противоположное...

Добавлено:
В дополнение к предидущему вопросу: создаю L2TP сервер для подключения к инету во по такой схеме (см. рис.). Выполнил следующие команды:
/interface l2tp-server server set enabled=yes
/ppp profile add name=filial only-one=yes use-compression=yes use-encryption=yes use-vj-compression=yes
/ppp secret add name=newuser password=newpassword local-address=192.168.5.1 remote-address=192.168.5.2 service=l2tp profile=filial
/interface l2tp-server add name=filial user=newuser
На удаленной машине создал подключение к сети на рабочем месте, установил тип VPN - L2TP IPSec VPN
При попытке подключения выдает "Ошибка 789. Попытка подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером".
Что не так?

http://i052.radikal.ru/1105/5f/1ef72060dfca.gif

vlh

Цитата:

подключится к удаленному рабочему столу из локальной сети
у вас получится, а вот в локальную сеть нет

Если мы не блочим файрволлом - лишь бы имелась в наличии соответствующая маршрутизация, у нас будет доступ. Самый простой пример - из внешней сопредельной сети настроим на каком-либо компе шлюзом внешний интерфейс интересуемого роутера. И попадём в локалку за этим роутером.

Cthutq
Там наверное не все строки - комментарии, может что "лишнего" удалили.

cambit
Насчёт шифрования гляньте. Для начала отрубите и там и там.

Цитата:

При попытке подключения выдает "Ошибка 789. Попытка подключения не удалась из-за ошибки, произошедшей на уровне безопасности во время согласований с удаленным компьютером".

Тут разобрано..

Если из ХР — о править реестр, HKEY_LOCAL_MACHINE/System/ CurrentControlSet/Services/ Rasman/Parameters создать ProhibitIpSec (тип REG_DWORD) = 1. Не дружит xp-шка с л2тп без сертификатов. (Ссылка на подробности.)

Iliasla

Цитата:

С чего ради? Даже в названии содержится только слово "трансляция". SNAT на входящие вообще не влияет, DNAT - перенаправляет по другому адресу/порту, и только. Не ожидал такого утверждения услышать от Вас.. %)

а я в данном случае говорю на языке обычной посудомойки, для которой "NAT" - это галочка в веб-интерфейсе её вайфай-роутера; это мы знаем, что она обозначает Src-NAT, а для Dst-NAT вообще надо лезть в раздел DMZ


Цитата:

лишь бы имелась в наличии соответствующая маршрутизация, у нас будет доступ. Самый простой пример - из внешней сопредельной сети настроим на каком-либо компе шлюзом внешний интерфейс интересуемого роутера. И попадём в локалку за этим роутером

допустим, что такой фокус прокатит (хотя и спорный вопрос, если речь о стандартных "мыльницах" %) ну, в отношении мелкотиковского роутера должно прокатить, если у юзеров чудом дефолтовый шлюз указывает на роутер). откуда маки, если у нас маршрутизация?

cambit
В шапке есть ссыль ,
Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком

Она подходит , сделаете как там расказано , и надо на клиентах отключать IPSec

Делаеться так
REGEDIT4

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001

Цитата:

Iliasla
Если мы не блочим файрволлом - лишь бы имелась в наличии соответствующая маршрутизация, у нас будет доступ. Самый простой пример - из внешней сопредельной сети настроим на каком-либо компе шлюзом внешний интерфейс интересуемого роутера. И попадём в локалку за этим роутером.

то есть например имеем DIR-100 или RB450 на wan интерфейсе настраиваем
локальный адрес выданный провайдером, далее на этом интерфейсе поднимаем
например PPPoE к провайдеру, далее поднимаем NAT на PPPoE интерфейсе (или в случае с DIR-100 ставим галочку) и потом на LAN настраиваем адрес для своей локально сети.... все, наша локальная сеть в онлайне...
и что после этого если в локальной сети провайдера на компьютере
шлюзом прописать IP wan интерфейса роутера то обе локальные сети
станут друг друга видеть?

rosalin

Цитата:

и надо на клиентах отключать IPSec

Так не хотелось-бы. Как это повлияет на устойчивость соединения от взлома?

Добавлено:
и все таки что такое в моем случае "Local addres" и "Remote addres" (для L2TP) Насколько я понимаю это не совсем то, что значит в буквальном смысле.

cambit

> /ppp profile print
Flags: * - default
0 * name="default-encryption" local-address=192.168.201.254 remote-address=vpn_pool
use-compression=default use-vj-compression=default
use-encryption=yes only-one=default change-tcp-mss=yes


> /ip pool print
# NAME RANGES
0 lan201_dhcp_pool 192.168.201.2-192.168.201.50
1 vpn_pool 192.168.201.60-192.168.201.80

Логика понятна ???

Chupaka
Ну мы тут типа о микротиках разговариваем, а не мыльницах для посудомоек. ))
Насчёт маков - конфиг бы глянуть..
У меня есть один роутер, объединяющий 3 подсети, 4.0b4, на 2-х интерфейсах из 3-х включено ARP Reply Only, интерфейсы развязаны, так вот периодически на каком-нибудь интерфейсе появляется несколько маков с другого. Пока не понял в честь чего такой эффект.

vlh
Микротик реализует "честный NAT" без финтифлюшек, а DIR100 одновременно врубит пачку правил в файрволле, блокирующих несанкционированный вход.
С таким недонастроенным Микротиком будет двухсторонняя связь.
так что вешайте на все внешние интерфейсы в цепочки Input и Forward блокирующий пакет правил наподобие заводского:

Код: /ip firewall filter
add action=accept chain=forward comment="allow established" connection-state=established in-interface=ether1 disabled=no
add action=accept chain=forward comment="allow related" connection-state=related in-interface=ether1 disabled=no
add action=reject chain=forward comment="reject new" connection-state=new disabled=no in-interface=ether1 reject-with=icmp-network-unreachable
add action=drop chain=forward comment="drop invalid" connection-state=invalid in-interface=ether1 disabled=no

rosalin
Спасибо, помогло (правка реестра), но появилась ошибка 691 (имя или пароль недопустимы в этом домене...

Добавлено:
И второе: какя разница между Local addres и remote addres в разделе PPP Secret и свойствах профайла (PPP Profile)?
И что произойдет, если удаленный адрес не указывать вообще? (Мне их раздавать не нужно - есть заранее присвоенные)

cambit
Практически никакой, просто Profile применяется ко всем Secret-ам (подключениям), для которых он выбран, т.е. Вы всем присвоите один и тот же адрес.
Назначать надо, т.к. Вы присвоили адреса Ethernet-интерфейсам, а поверх них поднимаете логические соединения PPP точка-точка, и им тоже надо IP-адреса, причём из другой подсети.

Цитата:

им тоже надо IP-адреса, причём из другой подсети

Тут если можно по-подробнее: в какой-то статье было написано
"local-address=192.168.5.1 remote-address=192.168.5.2" что я и сделал. А оказывается надо в разных сетях. Исходя из моей схемы подключения (см. рис. http://i052.radikal.ru/1105/5f/1ef72060dfca.gif ) нужно указать в настройках профайла loc. addr 10.10.250.1, а rem. addr какой нибудь типа 192.168.2.251?
А какй адрес тогда должен быть на удаленной машине (c WinXP)?
Чего то я недопонимаю... Как Микротик понимает с какого интерфейса будет осуществляться вход?

Цитата:

Iliasla
т.е. Вы всем присвоите один и тот же адрес.

но можно же в профиле выбрать заранее созданный pool,
и тогда адреса будут раздаваться по порядку, правда
начиная с верхнего...

Iliasla
я кроме правил для личных нужд создал правила из этого примера
не знаю на сколько они важные...
а для блокировки из локальной сети провайдера на wan интерфейсе
в форварде заблокировал Dst.address локальных сетей (10.0.0.0\8 172.16.0.0\16 192.168.0.0\16). правда не знаю на сколько это правильно... не чего пока еще
под эти правил не попало...
поправьте если что не так...


cambit
на машине с ХР должен быть адрес из той же сети что и VPN сервер, шлюз
и DNS можно не прописывать, DNS указывается в профиле, а шлюзом является
VPN сервер, после того как поднят туннель клиент получает ип, шлюз, днс...
только не забудьте поднять NAT для сети который выдает VPN сервер...

Цитата:

А оказывается надо в разных сетях

ну, поскольку интерфейс - PPP, то там нет такого понятия, как "подсеть", там все подсети имеют маску /32. поэтому если адреса не совпадают - они уже лежат в разных подсетях =)

vlh

Цитата:

создал правила из этого пр

А посмотрите на показания счётчиков. У меня, например, в "bogons" никогда ничего не попадает.
Да и вообще данный пример в вики - скорее просто как пример.
Мой пакет правил решает простую задачу для входящего извне (если ether1 = WAN) транзитного траффика: разрешает ходить траффику по установленным соединениям, разрешает установку связанных соединений из уже существующих (активный ftp - классический пример), запрещает установку новых соединений из внешних сетей к внутренней (с собщением - "нифига тут нет"), отбрасывает битые или неподходящие под первые три пакеты. Таким образом в примере полностью блокируется входящий извне транзитный несанкционированный траффик и полностью разрешается траффик в обратном направлении (по-умолчанию RouterOS не блокирует ничего).
Если такие же правиля сделаете для цепочки Input для ether1, то вместе с включённым Source NAT эффект будет как в бытовых мыльницах при установке галки "NAT".
Для правильной работы роутера, всё же, необходимо разрешить часть служб ICMP - список приведён в примере в WiKi.
Ввиду того, что в локалке некоторые машины могут быть поражены вирусами или ещё какие проблемы, лучше запретить часть служб на выход из локалки, например заблокировать исходящий траффик на TCP 25 (SMTP), чтобы не светить внешний IP в антиспамерских службах (его трудно удалить из списков, особенно SORBS-а), перекрыть Netbios, торрент uTP, DHCP и т.д. Можно наоборот: перекрыть диапазон портов TCP/UDP 0-1024 и разрешить исходящие на необходимые службы (назначение POP3 TCP 110, FTP TCP 20-21, DNS TCP/UDP 53, NTP - UDP 123 и т.д.)
Не забудьте в самом начале в цепочке Input разрешить WinBox для себя ))

cambit
Для того, чтобы два IP видели друг друга - они должны находиться в одной подсети. Подсеть и её размер определяет комбинация IP-адрес/маска. Например 10.10.250.1, а rem. addr какой нибудь типа 192.168.2.251 настолько разные, что не смогут взаимодействовать между собой даже при маске /1
Скачайте LAN Calculator - он сильно облегчит понимание. Поиграйтесь с ним.
Единственное - в PPP-туннелях, ввиду того, что это туннели точка-точка, маска подсети вырождается до /32, т.е. единственного адреса.

vlh

Цитата:

Маркируйте в мангле соотв. образом (по адрес-листу).
а потом в Queues делайте ограничения согласно этим меткам,
но предварительно в Queues Types указав очередь PCQ с нужной вам
скоростью...

А можно поподробней... Отмаркировал пакеты, создал очередь, там выбрал в packet marks соответствующую маркироку, а что конкретно нудно делать в Queues Types?

Fomichok2

вы очереди где создавали и какие?
в Queue Types создаются типы очередей ну и выставляется ограничения
на скорость и т.д.

Iliasla

значит правила из примера не все блокируют?
у меня кроме них закрыт доступ к тику по всем протоколам
который он поддерживает, создано правило которое блокирует
флуд на 25 порт, то есть почта отправляется без проблем, но
если будет идти много ответов, то клиент попадает в бан и его
ip блокируется, на сутки... так же есть правила блокируют
весь входящий трафик на wan от локальных сетей...

Iliasla

Цитата:

Для того, чтобы два IP видели друг друга - они должны находиться в одной подсети

Ну хоть это то я знаю и понимаю.
Прочитал статью про Win7 и микротик, сделал все так. Единственное меня смущает
вот эта запись
"[admin@MikroTik] /ip ipsec peer> print
Flags: X - disabled" Смысл настраивать если отключено?
Все равно ошибка 691 не пропадает
vlh

Цитата:

только не забудьте поднять NAT для сети который выдает VPN сервер

Может в этом проблема или это уже для дальнейшего прохождение пакетов в инет?

Добавлено:
И версия МКТ у меня 2.9.27 и hash-algorithm есть только sha
И IPSec в ХР я пока не отключил.

Добавлено:
Прошу прощения - разобрался сам. Сам наплужил. Остался один вопрос - : теперь входить через L2TP можно с любого интерфейса? (Я имею ввиду L2TP сервер не привязывается к какому либо конкретному сетевому интерфейсу маршрутизатора?)