спасибо, вроде бы нет?
vpn pool 10.88.0.0/24
srv запись [решено]
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
спасибо, вроде бы нет?
vpn pool 10.88.0.0/24
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
-
Chupaka
- Сообщения: 4157
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: srv запись
Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?
Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
спасибо, мне кажется да, просто ikev2?
попробовал отключить не помогло
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
какжется начинаю понимать почему
лан:
C:\Users\nevol>nslookup media.lan
Server: qnap.lan
Address: 10.10.0.1
Non-authoritative answer:
Name: media.lan
Address: 10.10.0.1
Wireless LAN adapter WiFi:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Killer(R) Wi-Fi 6 AX1650s 160MHz Wireless Network Adapter (201D2W)
Physical Address. . . . . . . . . : CC-F9-E4-9C-00-E0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::650d
51a8:b2ee%11(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 February 2021 01:20:51
Lease Expires . . . . . . . . . . : 19 February 2021 15:59:39
Default Gateway . . . . . . . . . : 10.10.0.1
DHCP Server . . . . . . . . . . . : 10.10.0.1
DHCPv6 IAID . . . . . . . . . . . : 80542180
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-81-5C-F9-CC-F9-E4-9C-00-E0
DNS Servers . . . . . . . . . . . : 10.10.0.1------> локальный
121.98.0.1 ----------- провайдер1
121.98.0.2 ----------- провайдер1
118.149.12.10 ----------- провайдер2
118.148.12.10 ----------- провайдер2
NetBIOS over Tcpip. . . . . . . . : Enabled
через vpn
C:\Users\nevol>nslookup media.lan
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 118.149.12.10
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
^C
C:\Users\nevol>
Autoconfiguration Enabled . . . . : Yes
PPP adapter IKEv2-Mikrotik:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : IKEv2-Mikrotik
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.88.0.248(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 118.149.12.10-------> днсы мобльного провайдера
118.148.12.10
121.98.0.1
121.98.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled
можно как то сделать что бы днс был только один 10.10.0.1 без всяких isp адресов на клиенте ?
лан:
C:\Users\nevol>nslookup media.lan
Server: qnap.lan
Address: 10.10.0.1
Non-authoritative answer:
Name: media.lan
Address: 10.10.0.1
Wireless LAN adapter WiFi:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Killer(R) Wi-Fi 6 AX1650s 160MHz Wireless Network Adapter (201D2W)
Physical Address. . . . . . . . . : CC-F9-E4-9C-00-E0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::650d
51a8:b2ee%11(Preferred)IPv4 Address. . . . . . . . . . . : 10.10.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 February 2021 01:20:51
Lease Expires . . . . . . . . . . : 19 February 2021 15:59:39
Default Gateway . . . . . . . . . : 10.10.0.1
DHCP Server . . . . . . . . . . . : 10.10.0.1
DHCPv6 IAID . . . . . . . . . . . : 80542180
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-81-5C-F9-CC-F9-E4-9C-00-E0
DNS Servers . . . . . . . . . . . : 10.10.0.1------> локальный
121.98.0.1 ----------- провайдер1
121.98.0.2 ----------- провайдер1
118.149.12.10 ----------- провайдер2
118.148.12.10 ----------- провайдер2
NetBIOS over Tcpip. . . . . . . . : Enabled
через vpn
C:\Users\nevol>nslookup media.lan
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 118.149.12.10
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
^C
C:\Users\nevol>
Autoconfiguration Enabled . . . . : Yes
PPP adapter IKEv2-Mikrotik:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : IKEv2-Mikrotik
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.88.0.248(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 118.149.12.10-------> днсы мобльного провайдера
118.148.12.10
121.98.0.1
121.98.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled
можно как то сделать что бы днс был только один 10.10.0.1 без всяких isp адресов на клиенте ?
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
Прописал вручную dns в серверах теперь на клиентах только 10.10.0.1 виден
зашел в ipsec -mode configs и указал вместо use system dns - specific dns 10.10.0.1
теперь через vpn не реиректится и нет интернета (bad dns probe), как Вы и советовали выключил 6й пункт - drop all not coming from Lan тогда все работает, но наверное это правило было нужно ? может быть его модицировать как то можно? у меня разрешины allow remote requests
спасибо большое за помощь
немного модифицировал правила : 6 е правило теперь 8 е
зашел в ipsec -mode configs и указал вместо use system dns - specific dns 10.10.0.1
теперь через vpn не реиректится и нет интернета (bad dns probe), как Вы и советовали выключил 6й пункт - drop all not coming from Lan тогда все работает, но наверное это правило было нужно ? может быть его модицировать как то можно? у меня разрешины allow remote requests
спасибо большое за помощь
немного модифицировал правила : 6 е правило теперь 8 е
Код: Выделить всё
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""
2 ;;; accept connection to IKEv2 ports
chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix=""
3 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
4 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
5 ;;; management over VPN
chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec
6 ;;; allow emby in guest network
chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix=""
7 ;;; allow proxy redirect in guest network
chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix=""
8 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
9 ;;; drop all coming from main to guest
chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix=""
10 ;;; drop all coming from guest to main
chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix=""
11 ;;; defconf: accept in ipsec policy
chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec
12 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
13 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix=""
14 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix=""
15 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
16 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""
17 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
18 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
[admin@MikroTik_RB4011] /ip firewall filter>
У вас нет необходимых прав для просмотра вложений в этом сообщении.
-
Chupaka
- Сообщения: 4157
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: srv запись
Тогда вам и DNS (53/udp) надо разрешить из VPN, по аналогии с пятым правилом.
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
сейчас попробую
Последний раз редактировалось nevolex 18 фев 2021, 21:42, всего редактировалось 1 раз.
-
nevolex
- Сообщения: 70
- Зарегистрирован: 04 фев 2021, 14:34
Re: srv запись
Сработало, спасибо еще раз!
Код: Выделить всё
1 ;;; defconf: accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked log=no log-prefix=""
2 ;;; accept connection to IKEv2 ports
chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix=""
3 ;;; defconf: drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
4 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp log=no log-prefix=""
5 ;;; management over VPN
chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec
6 ;;; DNS over VPN
chain=input action=accept protocol=udp dst-port=53 log=no log-prefix="" ipsec-policy=in,ipsec
7 ;;; allow emby in guest network
chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix=""
8 ;;; allow proxy redirect in guest network
chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix=""
9 ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
10 ;;; drop all coming from main to guest
chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix=""
11 ;;; drop all coming from guest to main
chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix=""
12 ;;; defconf: accept in ipsec policy
chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec
13 ;;; defconf: accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
14 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix=""
15 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix=""
16 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
17 ;;; defconf: accept established,related, untracked
chain=forward action=accept connection-state=established,related,untracked log=no log-prefix=""
18 ;;; defconf: drop invalid
chain=forward action=drop connection-state=invalid log=no log-prefix=""
19 ;;; defconf: drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix=""
[admin@MikroTik_RB4011] /ip firewall filter>