Скажите для подключения по VPN на удаленный офис , надо Mikrotik RouterOS ставить как со стороны удаленного сервера к которому надо подключатся и со стороны пользователе?
» MikroTik RouterOS (часть 3)
nikolai354
нет, не обязательно
нет, не обязательно
Цитата:
надо просто сменить тип существующей очереди на новосозданный PCQ
Да, уже разобрался - добавил 2 типа PCQ очередей, спасибо!
Подскажите пожалуйста, где посмотреть настройки для входа на Тик из вне. Чтобы их поменять.
Люди подскажите пожалуйста, как отредактировать страницу ошибки прокси и как перенаправлять на нее пользователей?
Цитата:
как отредактировать страницу ошибки прокси
если в Files её нет - то выполнить /ip proxy reset-html
после этого скачать к себе, отредактировать, залить обратно
Цитата:
как перенаправлять на нее пользователей
они туда при ошибке и попадают, по определению =) action=deny - тоже ошибка =)
Доброго дня всем.
Затупил и не могу сообразить как решить задачу по пробросу vlan через микротик.
Имеется микротик RB750.
В ether1 приходит два vlan, 520 и 521
В ether2 приходит тоже два vlan 521 и 527.
В ether3 воткнут неуправляемый свитч.
Задача: объединить как-то в единое целое 521-й vlan и тех, кто подключен через ether3.
Что-то никак не могу сообразить что бриджевать и к чему приклеивать vlan...
Затупил и не могу сообразить как решить задачу по пробросу vlan через микротик.
Имеется микротик RB750.
В ether1 приходит два vlan, 520 и 521
В ether2 приходит тоже два vlan 521 и 527.
В ether3 воткнут неуправляемый свитч.
Задача: объединить как-то в единое целое 521-й vlan и тех, кто подключен через ether3.
Что-то никак не могу сообразить что бриджевать и к чему приклеивать vlan...
вилан навесить на ether1 и ether2, и создать бридж с портами vlan и ether3 (3 порта)
Блин, прошу прощения за беспокойство.
Правильно заданный вопрос - большая часть ответа.
Не знал что 521-й vlan можно создать в двух экземплярах с разными именами и привязками к разным интерфейсам.
Добавлено:
Chupaka
Большое спасибо за быстрый ответ, я чего-то сходу не сообразил что так можно делать.
Добавлено:
На всякий случай спрошу дополнительно - я правильно понимаю что сервисы для работы народа живущего в 521-м vlan (айпишники, pppoe-сервер, dhcp-сервер) надо будет не к ether3 а к бриджу привязывать?
Правильно заданный вопрос - большая часть ответа.
Не знал что 521-й vlan можно создать в двух экземплярах с разными именами и привязками к разным интерфейсам.
Добавлено:
Chupaka
Большое спасибо за быстрый ответ, я чего-то сходу не сообразил что так можно делать.
Добавлено:
На всякий случай спрошу дополнительно - я правильно понимаю что сервисы для работы народа живущего в 521-м vlan (айпишники, pppoe-сервер, dhcp-сервер) надо будет не к ether3 а к бриджу привязывать?
Цитата:
надо будет не к ether3 а к бриджу привязывать
именно так
Chupaka
пара вопросиков есть:
1. нужен бэкап - это будет 3G. IP как следствие динамический.
3G должен висеть бэкапом. сможет ли он в таком случае использовать dyn.com ?
Зайти и отметиться, что у него сменился IP например, хотя поидее это он сделать сможет только в том случае если упадёт основной или будет переключение на резерв. Тогда он пойдёт и отметится.
2. Автопереключение на бэкап.
Решение из вики(кстати твоё вроде) реализовал у себя на Orange+Starnet. Всё работает как задуманно.
Встречал помоему твои с кем-то решения в случае с динамическим IP(вы там про Arax рассуждали и 3G).
Удастся ли настроить автопереключение на запасной канал у которого динамический IP ?
Спасибо.
пара вопросиков есть:
1. нужен бэкап - это будет 3G. IP как следствие динамический.
3G должен висеть бэкапом. сможет ли он в таком случае использовать dyn.com ?
Зайти и отметиться, что у него сменился IP например, хотя поидее это он сделать сможет только в том случае если упадёт основной или будет переключение на резерв. Тогда он пойдёт и отметится.
2. Автопереключение на бэкап.
Решение из вики(кстати твоё вроде) реализовал у себя на Orange+Starnet. Всё работает как задуманно.
Встречал помоему твои с кем-то решения в случае с динамическим IP(вы там про Arax рассуждали и 3G).
Удастся ли настроить автопереключение на запасной канал у которого динамический IP ?
Спасибо.
Chupaka, а можно заменить эту страницу другой и как это сделать. Удалить страницу ошибки из file list и вставить свою.
Активировать web proxy setting. Надо ли что то менять в этой закладке?
/ip proxy
set enabled: yes
set src-address: 0.0.0.0
set port: 8080
set parent-proxy: 0.0.0.0:0
set cache-drive: system
set cache-administrator: "webmaster"
set max-disk-cache-size: none
set max-ram-cache-size: none
set cache-only-on-disk: no
set maximal-client-connections: 1000
set maximal-server-connections: 1000
set max-object-size: 512KiB
set max-fresh-time: 3d
Надо настраивать nat?
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
Надо ли создавать правило в ip firewall filter если создать адрес лист , допустим droping в который будут заносится ip адреса которые надо посылать на эту страницу.
А на ip web proxy в закладке access action=deny, а еще что то надо?
Активировать web proxy setting. Надо ли что то менять в этой закладке?
/ip proxy
set enabled: yes
set src-address: 0.0.0.0
set port: 8080
set parent-proxy: 0.0.0.0:0
set cache-drive: system
set cache-administrator: "webmaster"
set max-disk-cache-size: none
set max-ram-cache-size: none
set cache-only-on-disk: no
set maximal-client-connections: 1000
set maximal-server-connections: 1000
set max-object-size: 512KiB
set max-fresh-time: 3d
Надо настраивать nat?
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
Надо ли создавать правило в ip firewall filter если создать адрес лист , допустим droping в который будут заносится ip адреса которые надо посылать на эту страницу.
А на ip web proxy в закладке access action=deny, а еще что то надо?
технический вопрос, например имеется две внешних канала заведенных по PPPoE на RB450G, один белый другой серый (два веселых гуся 
, мне бы книжки писать ), NAT, есть например один ПК пакеты которого помечены в мангле для роутинга и далее эта метка направлена на второй внешний (серый) канал, как бы все нормально трафик от этого ПК идет по этому каналу, что мне не понятно:
захожу в 450 -> ping выбираю второй PPPoE интерфейс через который ходит ПК и пингую белый IP первого интерфейса, все хорошо пинги идут 20мs (канал ADSL у нас такие пинги) понятно что пинг идет через интернет, далее пробую попинговать с ПК это белый IP он пингуется но пинги 0ms это я так понимаю ПК пингует этот интерфейс не через инернет а напрямую, тогда вопрос - почему? ведь весть трафик этого ПК завернут на второй интерфейс и пинговать он этот белый IP должен через интернет.
, мне бы книжки писать ), NAT, есть например один ПК пакеты которого помечены в мангле для роутинга и далее эта метка направлена на второй внешний (серый) канал, как бы все нормально трафик от этого ПК идет по этому каналу, что мне не понятно: захожу в 450 -> ping выбираю второй PPPoE интерфейс через который ходит ПК и пингую белый IP первого интерфейса, все хорошо пинги идут 20мs (канал ADSL у нас такие пинги) понятно что пинг идет через интернет, далее пробую попинговать с ПК это белый IP он пингуется но пинги 0ms это я так понимаю ПК пингует этот интерфейс не через инернет а напрямую, тогда вопрос - почему? ведь весть трафик этого ПК завернут на второй интерфейс и пинговать он этот белый IP должен через интернет.
wwwwwww7
вроде всё правильно
vlh
не должен. если пакет приходит на адрес роутера - то он обрабатывается самим роутером. если нет - маршрутизируется дальше по цепочке
вроде всё правильно
vlh
не должен. если пакет приходит на адрес роутера - то он обрабатывается самим роутером. если нет - маршрутизируется дальше по цепочке
Chupaka удалил страницу ошибки из file list и вставил свою, но при занесении ip адресов в список droping в браузере выскакивает страница ошибки а не моя
На странице это:
ERROR: Forbidden
While trying to retrieve the URL http://www.rambler.ru/:
Access Denied
Your cache administrator is webmaster.
Generated Sat, 10 Sep 2011 16:21:27 GMT by 192.168.88.1 (Mikrotik HttpProxy)
В правилах nat:
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 src. address list=droping action=redirect to-ports=8080
На странице это:
ERROR: Forbidden
While trying to retrieve the URL http://www.rambler.ru/:
Access Denied
Your cache administrator is webmaster.
Generated Sat, 10 Sep 2011 16:21:27 GMT by 192.168.88.1 (Mikrotik HttpProxy)
В правилах nat:
/ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 src. address list=droping action=redirect to-ports=8080
slech
Цитата:
а сейчас может? а то напоминает анекдот про "Доктор, а после операции я смогу играть на скрипке?"
Цитата:
смотря какой способ выхода в Интернет. впн? прямой доступ?
Добавлено:
wwwwwww7
Цитата:
какая версия? в имени файла регистр не мог случайно поменяться?..
Цитата:
сможет ли он в таком случае использовать dyn.com ?
а сейчас может? а то напоминает анекдот про "Доктор, а после операции я смогу играть на скрипке?"
Цитата:
Удастся ли настроить автопереключение на запасной канал у которого динамический IP ?
смотря какой способ выхода в Интернет. впн? прямой доступ?
Добавлено:
wwwwwww7
Цитата:
в браузере выскакивает страница ошибки а не моя
какая версия? в имени файла регистр не мог случайно поменяться?..
Chupaka
RB750 версия 5.6
Файлу присвоил то же имя что и было webproxy/error.htm
RB750 версия 5.6
Файлу присвоил то же имя что и было webproxy/error.htm
есть RB750 v 5.6 с внешним белым ip=212.x.x.x через него раздается инет в локальную сеть. сделал проброс порта rdp на внутренний сервер 192.168.1.101
/ip firewall nat add chain=dstnat dst-address=212.x.x.x protocol=tcp dst-port=
3389 action=dst-nat to-addresses=192.168.1.101 to-ports=3389
но с инета не могу зайти на сервер по rdp. перечитал тему на ру-борде , но что-то ответа не нашел. наверно что-то в других правилах файерволла.
сильно прошу не пинать - новичок с микротиком.
/ip firewall nat add chain=dstnat dst-address=212.x.x.x protocol=tcp dst-port=
3389 action=dst-nat to-addresses=192.168.1.101 to-ports=3389
но с инета не могу зайти на сервер по rdp. перечитал тему на ру-борде , но что-то ответа не нашел. наверно что-то в других правилах файерволла.
сильно прошу не пинать - новичок с микротиком.
sayan
Вроде надо так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389
Вроде надо так
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389
Цитата:
а сейчас может? а то напоминает анекдот про "Доктор, а после операции я смогу играть на скрипке?"
это пока подготовка к покупке конфигурации
я как бы о том что второй канал будет в резерве и через него ничего работать не будет - пока не будет на него переключения.
я не настраивал dyn.com посему незнаю как оно будет отрабатывать. ну ок. значит нужно покупать и пробовать настраивать. поидее отработает когда будет переключение на бэкап и отдаст новый IP.
Цитата:
смотря какой способ выхода в Интернет. впн? прямой доступ?
я так понимаю что речь идёт о PPP.
sayan
а передача пакетов из интернета в локалку разрешена? у меня на днях было аналогичное… не ходило, хотя с правилами всё нормально, до тех пор пока не добавил:
chain=forward action=accept dst-address=«адрес сервера в локалке» in-interface=internet out-interface=ether1
PS: надо добавить что у меня рубится всё за исключением дозволенного.
а передача пакетов из интернета в локалку разрешена? у меня на днях было аналогичное… не ходило, хотя с правилами всё нормально, до тех пор пока не добавил:
chain=forward action=accept dst-address=«адрес сервера в локалке» in-interface=internet out-interface=ether1
PS: надо добавить что у меня рубится всё за исключением дозволенного.
не работает ,
вот перечень правил (eth1-wan, eth2 - lan)
[admin@MikroTik] >> ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=192.168.1.0/24
1 chain=dstnat action=dst-nat to-addresses=192.168.1.101 protocol=tcp dst-address=212.х.х.х dst-port=3389
2 chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2
вот перечень правил (eth1-wan, eth2 - lan)
[admin@MikroTik] >> ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=192.168.1.0/24
1 chain=dstnat action=dst-nat to-addresses=192.168.1.101 protocol=tcp dst-address=212.х.х.х dst-port=3389
2 chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2
Сравни .. у меня так отлично работает и не важно что там пробрасывать Radmin или RDP
[admin@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=10.180.1.0/24 out-interface=pppoe-out1
1 X ;;; Radmin
chain=dstnat action=dst-nat to-addresses=10.180.1.4 to-ports=4899 protocol=tcp dst-port=4899
Добавлено:
ну и еще тут смотри может что запретил ??
/ip firewall filter print
[admin@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=10.180.1.0/24 out-interface=pppoe-out1
1 X ;;; Radmin
chain=dstnat action=dst-nat to-addresses=10.180.1.4 to-ports=4899 protocol=tcp dst-port=4899
Добавлено:
ну и еще тут смотри может что запретил ??
/ip firewall filter print
[admin@MikroTik] >> ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1
1 chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389
/ip firewall filter print - тут пусто
все равно не конектится.
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1
1 chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389
/ip firewall filter print - тут пусто
все равно не конектится.
sayan А собсна сам нат то работает ? интернет есть ?? а то у тебя сначала было
chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2
а стало
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1
chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2
а стало
chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1
как сделать проброс порта - предельно ясно, а вот как сделать чтобы разрешить входящие во вкладке firewall
просьба объяснить на основе етого примера
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Добавлено:
filter print
Код:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept protocol=tcp dst-address=10.0.0.2
in-interface=!1 slot dst-port=9987
1 chain=forward action=accept protocol=udp dst-address=10.0.0.2
in-interface=!1 slot dst-port=9987
2 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid
3 ;;; Allow established connections
chain=input action=accept connection-state=established
4 ;;; Allow related connections
chain=input action=accept connection-state=related
5 ;;; Allow UDP
chain=input action=accept protocol=udp
6 ;;; Allow ICMP Ping
chain=input action=accept protocol=icmp
7 ;;; Access to router only for admin
chain=input action=accept src-address=192.0.0.253
8 ;;; Access to router only for admin
chain=input action=accept src-address=192.0.0.254
9 ;;; All other inputs drop
chain=input action=drop
просьба объяснить на основе етого примера
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Добавлено:
filter print
Код:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept protocol=tcp dst-address=10.0.0.2
in-interface=!1 slot dst-port=9987
1 chain=forward action=accept protocol=udp dst-address=10.0.0.2
in-interface=!1 slot dst-port=9987
2 ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid
3 ;;; Allow established connections
chain=input action=accept connection-state=established
4 ;;; Allow related connections
chain=input action=accept connection-state=related
5 ;;; Allow UDP
chain=input action=accept protocol=udp
6 ;;; Allow ICMP Ping
chain=input action=accept protocol=icmp
7 ;;; Access to router only for admin
chain=input action=accept src-address=192.0.0.253
8 ;;; Access to router only for admin
chain=input action=accept src-address=192.0.0.254
9 ;;; All other inputs drop
chain=input action=drop
BlackLabel
инет работает без проблем.
уже кучу вариантов правил пробовал, по torch-у смотрю пакеты приходят но не уходят.
буду еще читать и пробовать
Добавлено:
вопрос вдогонку
лучше создать бридж между внутренним и внешним интерфейсом или прописать роут?
инет работает без проблем.
уже кучу вариантов правил пробовал, по torch-у смотрю пакеты приходят но не уходят.
буду еще читать и пробовать
Добавлено:
вопрос вдогонку
лучше создать бридж между внутренним и внешним интерфейсом или прописать роут?
Цитата:
Chupaka
не должен. если пакет приходит на адрес роутера - то он обрабатывается самим роутером. если нет - маршрутизируется дальше по цепочке
а я то думал, что у меня конфиг без ошибок. так как же понять где проблема, если пинг на яндекс идет через второй интерфейс, то есть все правильно пакеты ловятся и направляются туда куда и нужно, а вот если попинговать белый IP который получил от провайдера первый интерфейс, то он почему то пингуется не через внешку а изнутри.
где копать то, трасером до яндекса проверяю все идет как надо, что то я в стопоре.
vlh
так а проблема-то в чём?..
так а проблема-то в чём?..
ну как в чем? почему с ПК пингуется белый IP не через интернет а из внутренней сети, может и был в вашем объяснении ответ но я не понял. и еще вопрос, опять из этой оперы, значит этот ПК выходит в инет через второй PPPoE серый IP, я пробросил на него порт для удаленного рабочего стола, и как бы все заработало и опят не понятно почему, вернее есть мысль, что пакет пришел из вне через интерфейс с белым IP и уйти должен через него, так как срабатывает Tracking и тут уже пометка в мангле и отправка этих пакетов через интерфейс с серым IP - не срабатывает.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.