Базовая функциональность RouterOS
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 30 июл 2017, 10:47
Изменил адрес на 2м роутере МТ2
Код: Выделить всё
/ip address add address=1.1.1.2/24 interface=ether2
PPTP поднялся! смущает, что адресов нет LOCAL и REMOTE (мы ведь их не указывали), насколько это критично ?
пк2 192.168.88.25 подключенный к МТ2 пингует пк1 192.168.88.205 подключенный к МТ1 как по IP так и по имени !
также через "Сетевое окружение" тоже видны оба компьютера !
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 30 июл 2017, 11:14
to
Chupaka
еще параллельный вопрос =) подскажите пожалуйста, есть такие настройки NAT
Код: Выделить всё
[test@MikroTik] > /ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface=ether1
1 I ;;; lte1 not ready
chain=srcnat action=masquerade out-interface=*8 log=no log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=ether1 dst-port=20702 log=yes log-prefix="RDP-"
3 chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=<pptp-vpn1> dst-port=20702 log=yes log-prefix="RDP-"
иногда в третьей строчке теряется in-interface=<pptp-vpn1> т.е. он в winboxe красный! подозреваю, что это происходит когда "рвется" VPN и после его поднятия данное правило не срабатывает, вот выключил PPTP и затем включил - ошибка ниже
Код: Выделить всё
3 I ;;; no interface
chain=dstnat action=dst-nat to-addresses=192.168.0.2 to-ports=3389 protocol=tcp in-interface=*F00001 dst-port=20700 log=yes log-prefix="RDP-"
Вопрос как можно исправить эту ситуацию? т.е. чтобы при поднятии VPN это правило было бы корректным автоматом... а то сейчас приходится ручками править...
Chupaka
Сообщения: 3910 Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Сообщение
Chupaka » 31 июл 2017, 09:09
Это на стороне сервера?
Код: Выделить всё
/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 31 июл 2017, 09:22
Chupaka писал(а): ↑ 31 июл 2017, 09:09
Это на стороне сервера?
Код: Выделить всё
/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
да на стороне сервера, Спасибо! сделал, проверю...
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 31 июл 2017, 11:43
Chupaka писал(а): ↑ 31 июл 2017, 09:09
Код: Выделить всё
/interface pptp-server add name=r2r-vpn user=vpn1
И использовать этот интерфейс в правилах. При подключении юзера vpn1 он будет становиться этим интерфейсом.
Работает!!! Спасибо!!!
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 31 июл 2017, 11:45
to
Chupaka
прокомментируйте пожалуйста
http://forum.mikrotik.by/viewtopic.php? ... 1519#p1515
PPTP поднялся! смущает, что адресов нет LOCAL и REMOTE (мы ведь их не указывали), насколько это критично ?
Chupaka
Сообщения: 3910 Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Сообщение
Chupaka » 31 июл 2017, 11:54
Если работает - то адресов и не надо. Если надо зачем-то - то туда можно вписать всё, что угодно
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 31 июл 2017, 12:38
Отлично, Спасибо!
осталось только проверить данный механизм в реальных условиях
кстати я попробовал на этом тестовом стенде добавить правило в NAT и получил ошибку
Код: Выделить всё
/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 I ;;;[b] in/out-interface matcher not possible when interface (pptp-in1) is slave - use master instead (bridge_local)[/b]
chain=dstnat action=dst-nat to-addresses=192.168.0.206 to-ports=3389 protocol=tcp in-interface=pptp-in1 dst-port=20702
log=no log-prefix=""
Chupaka
Сообщения: 3910 Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Сообщение
Chupaka » 31 июл 2017, 14:20
Всё правильно, если интерфейсы в бридже - надо указывать бридж в IP Firewall
В данной ситуации можно попробовать "in-interface=bridge_local in-bridge-port=pptp-in1"
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 03 авг 2017, 04:24
СПАСИБО!
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 07 авг 2017, 12:23
Chupaka
столкнулся со следующей проблемой ...
Server -> Mikrotik1 -> WAN - интернет - WAN -> Mikrotik2 -> ПК с Трафик Инспектором -> switch - PC1
получается с сервера нет доступа до PC1
ПК с ТИ не пропускает с WAN на LAN
какие предложения ?
Chupaka
Сообщения: 3910 Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Сообщение
Chupaka » 07 авг 2017, 12:39
Предложение самое правильное - настроить ТИ так, чтобы он пропускал нужный трафик
chas99
Сообщения: 128 Зарегистрирован: 10 фев 2017, 08:52
Сообщение
chas99 » 07 авг 2017, 16:44
Chupaka писал(а): ↑ 07 авг 2017, 12:39
Предложение самое правильное - настроить ТИ так, чтобы он пропускал нужный трафик
Отлично предложение =)
Подскажите в какую сторону копать? Я так понимаю firewall надо добавить правила... - разрешить всё для адресов с ip локальной сети и vpn?
Chupaka
Сообщения: 3910 Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Сообщение
Chupaka » 07 авг 2017, 17:00
Тут немалую роль играют настройки TI. Делается ли там без необходимости NAT на интерфейсе, смотрящем в Мелкотик.
Также непонятно, поднят ли какой-то тоннель между Мелкотиками, какой там принцип работы (маршрутизация или коммутация/бридж).
Без деталей только телепаты помогут.