srv запись [решено]

Базовая функциональность RouterOS
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 17 фев 2021, 22:38 Убедитесь, что правила фильтра файрвола не запрещают доступ к роутеру (chain=input) для клиентов VPN.

спасибо, вроде бы нет?

vpn pool 10.88.0.0/24
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 4157
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: srv запись

Сообщение Chupaka »

Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 17 фев 2021, 22:59 Вы тогда уж расскажите, что у вас за VPN. Все клиенты подключаются через чистый IPSec?

Ну и для проверки можете просто шестое правило отключить и увидеть, изменится ли ситуация.
спасибо, мне кажется да, просто ikev2?


попробовал отключить не помогло :(
Последний раз редактировалось nevolex 19 фев 2021, 10:38, всего редактировалось 1 раз.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

какжется начинаю понимать почему

лан:


C:\Users\nevol>nslookup media.lan
Server: qnap.lan
Address: 10.10.0.1

Non-authoritative answer:
Name: media.lan
Address: 10.10.0.1


Wireless LAN adapter WiFi:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Killer(R) Wi-Fi 6 AX1650s 160MHz Wireless Network Adapter (201D2W)
Physical Address. . . . . . . . . : CC-F9-E4-9C-00-E0
DHCP Enabled. . . . . . . . . . . : Yes
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::650d:3bfc:51a8:b2ee%11(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.11(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Lease Obtained. . . . . . . . . . : 18 February 2021 01:20:51
Lease Expires . . . . . . . . . . : 19 February 2021 15:59:39
Default Gateway . . . . . . . . . : 10.10.0.1
DHCP Server . . . . . . . . . . . : 10.10.0.1
DHCPv6 IAID . . . . . . . . . . . : 80542180
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-81-5C-F9-CC-F9-E4-9C-00-E0
DNS Servers . . . . . . . . . . . : 10.10.0.1------> локальный
121.98.0.1 ----------- провайдер1
121.98.0.2 ----------- провайдер1
118.149.12.10 ----------- провайдер2
118.148.12.10 ----------- провайдер2
NetBIOS over Tcpip. . . . . . . . : Enabled



через vpn


C:\Users\nevol>nslookup media.lan
DNS request timed out.
timeout was 2 seconds.
Server: UnKnown
Address: 118.149.12.10

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
^C
C:\Users\nevol>



Autoconfiguration Enabled . . . . : Yes

PPP adapter IKEv2-Mikrotik:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : IKEv2-Mikrotik
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.88.0.248(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 118.149.12.10-------> днсы мобльного провайдера
118.148.12.10
121.98.0.1
121.98.0.2
NetBIOS over Tcpip. . . . . . . . : Enabled



можно как то сделать что бы днс был только один 10.10.0.1 без всяких isp адресов на клиенте ? :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Прописал вручную dns в серверах теперь на клиентах только 10.10.0.1 виден


зашел в ipsec -mode configs и указал вместо use system dns - specific dns 10.10.0.1

теперь через vpn не реиректится и нет интернета (bad dns probe), как Вы и советовали выключил 6й пункт - drop all not coming from Lan тогда все работает, но наверное это правило было нужно ? может быть его модицировать как то можно? у меня разрешины allow remote requests

спасибо большое за помощь
mikrotik.png

немного модифицировал правила : 6 е правило теперь 8 е

Код: Выделить всё


 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 7    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 8    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

 9    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

10    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

11    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

12    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

13    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

16    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

17    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

18    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 

[admin@MikroTik_RB4011] /ip firewall filter> 
У вас нет необходимых прав для просмотра вложений в этом сообщении.
Аватара пользователя
Chupaka
Сообщения: 4157
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: srv запись

Сообщение Chupaka »

Тогда вам и DNS (53/udp) надо разрешить из VPN, по аналогии с пятым правилом.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

сейчас попробую
Последний раз редактировалось nevolex 18 фев 2021, 21:42, всего редактировалось 1 раз.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: srv запись

Сообщение nevolex »

Chupaka писал(а): 18 фев 2021, 18:00 Тогда вам и DNS (53/udp) надо разрешить из VPN, по аналогии с пятым правилом.

Сработало, спасибо еще раз!

Код: Выделить всё

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; DNS over VPN
      chain=input action=accept protocol=udp dst-port=53 log=no log-prefix="" ipsec-policy=in,ipsec 

 7    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 8    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 9    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

10    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

11    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

12    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

13    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

16    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

17    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

18    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

19    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
[admin@MikroTik_RB4011] /ip firewall filter>