PPPoE + DMZ как правильно настроить?

RIP, OSFP, BGP, MPLS/VPLS
Ответить
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

PPPoE + DMZ как правильно настроить?

Сообщение romko »

Здравствуйте! Подскажите как правильно настроить dmz. Микротик соединяется к провайдеру по pppoe и получает белый динамический IP Интерфейс ether2 скажем IP 192.168.88.1 создаю dmz к компютеру в локалке 192.168.88.2 В NAT прописываю
ip firewall nat add chain=dstnat in-interface=pppoe-out1 action=dst-nat to-addresses=192.168.88.2
В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

надо дописать с какого IP на какой пойдёт трафф. При динамическом белом IP можно скриптом подставлять
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

Здравствуйте.
romko писал(а): 15 ноя 2018, 20:01 В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

Как пример реализации DMZ на конкретном порту

Код: Выделить всё

add action=dst-nat chain=dstnat comment=robokassassl_1 disabled=no dst-address=123.123.123.123 dst-port=1443 to-addresses=192.168.7.24 to-ports=1443
Сам скрипт смены IP адреса в ip firewall nat

Код: Выделить всё

:global ddnsip [ /ip address get [find interface="00.pppoe-ISP01"] address ]
:for i from=( [:len $ddnsip] - 1) to=0 do={
:if ( [:pick $ddnsip $i] = "/") do={
:set ddnsip [:pick $ddnsip 0 $i];
}
}
/ip firewall nat set [find comment="robokassassl_1"] dst-address=$ddnsip
Скрипт можно вставить в момент поднятие pppoe соединения, там меняешь дефолтный профиль, на профиль со скриптом
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko »

Chupaka писал(а): 15 ноя 2018, 22:39 Здравствуйте.
romko писал(а): 15 ноя 2018, 20:01 В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.
Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

Chupaka писал(а): 15 ноя 2018, 23:06 А в чём необходимость указывать именно IP, если можно указать внешний интерфейс, если нет необходимости делать Hairpin NAT?
Ну я по привычке :) Всё время больше одного аплинка, и приходится изнутри ползать по доменным именам, там проще и удобней, 2 в одном, как гриться :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

romko писал(а): 15 ноя 2018, 23:10
Chupaka писал(а): 15 ноя 2018, 22:39 Здравствуйте.
romko писал(а): 15 ноя 2018, 20:01 В файрволе все отключил, на внешнем интерфейсе интернет есть, а внутрь не пробрасывет, как правильно настроить?
Раскройте мысль. По описанию можно подумать, что у вас доступа в Интернет из локалки нет. Вы правило NAT Masquerade не забыли для pppoe-out добавить?

Правило проброса DMZ в таком виде должно работать.
Да, Вы правильно поняли, доступа в интернет с локалки нет, nat masquerade по умолчанию уже есть, я только интерфейс с ether1 изменил на pppoe-out1
Значит что-то с маршрутами, конфиг в студию - будем думать
И да, можно попробовать маскарад без указания интерфейсов и тогда проверить интернет, ну и ДНС настроить
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

Для начала можно трассировку в студию. С клиентского устройства в Интернет, по IP и по доменному имени.
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko »

Нашел в сети такой вариант прокидки:

Код: Выделить всё

add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290
но результат тот же. С клиентской машины из локалки пинги идут на любой ресурс в интернете, но в браузерах страницы не грузятся. Трасировка только к провайдеру, почему-то дальше не идет. DHCP сервер и клиент отключены. Смущает почему в конфиге -

Код: Выделить всё

/ip dns static
add address=192.168.88.1 name=router
Через WebFig этого не видно. Изменить его на ip порта? ether2 93.183.238.233
---------------------------

Код: Выделить всё

traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.252 ms  0.198 ms  0.150 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.447 ms  13.376 ms  13.495 ms

traceroute to yahoo.com (72.30.35.9), 30 hops max, 60 byte packets
 1  _gateway (93.183.238.233)  0.276 ms  0.171 ms  0.148 ms
 2  0-143-dynamic.retail.datagroup.ua (195.114.143.0)  13.482 ms  13.360 ms  13.499 ms
 3  * * *
----------------------------

Код: Выделить всё

[admin@MikroTik] > export compact 

# jan/02/1970 00:08:28 by RouterOS 6.39.2
# software id = HI1U-5S9A
#
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no comment=defconf name=bridge

/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=disabled name=pppoe-out1 password=xxxxxxx use-peer-dns=yes user=xxxxxxx

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce distance=indoors frequency=auto mode=ap-bridge ssid=MikroTik-19BCD9 wireless-protocol=802.11

/ip neighbor discovery
set ether1 discover=no

/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254

/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf

/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1

/ip address
add address=93.183.238.233/30 comment=defconf interface=ether2-master network=93.183.238.232

/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1

/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1

/ip dns
set allow-remote-requests=yes servers=80.91.174.131,80.91.160.9

/ip dns static
add address=192.168.88.1 name=router

/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related disabled=yes
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related disabled=yes
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new disabled=yes in-interface=ether1

/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=1-8290
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=tcp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=8293-65535 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=8292-65535
add action=dst-nat chain=dstnat dst-port=1-8290 in-interface=pppoe-out1 protocol=udp to-addresses=93.183.238.234 to-ports=1-8290

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=8292

/system routerboard settings
set init-delay=0s

/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge

/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

Так, давайте решать проблемы последовательно, а не одновременно. Проброс портов никак не связан с недоступностью Интернета. Попробуйте вот это для начала: https://wiki.mikrotik.com/wiki/Manual:I ... Change_MSS
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

И, к слову, если не хотите обновляться - закрывайте WinBox извне, у вас версия уязвимая: https://blog.mikrotik.com/security/winb ... ility.html
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

Настройки DNS какие? Вы трейс по IP делаете, что говорит трейс по имени домена?
Дома: CCR2004 (7-ISP(GPON)белый IP)
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko »

Sir_Prikol писал(а): 16 ноя 2018, 13:34 Настройки DNS какие? Вы трейс по IP делаете, что говорит трейс по имени домена?
так я выше написал
traceroute to yahoo.com (72.30.35.9), 30 hops max, 60 byte packets
1 _gateway (93.183.238.233) 0.276 ms 0.171 ms 0.148 ms
2 0-143-dynamic.retail.datagroup.ua (195.114.143.0) 13.482 ms 13.360 ms 13.499 ms
3 * * *

В DNS прописал два адреса которые провайдер дал и галка allow remote requests.
Ребят, спасибо, буду читать-изучать, я же совершенно запутался с этими mangle
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Sir_Prikol »

Стоп, а где в трейсе сам маршрутизатор? Я вижу только IP который прв отдал, маршрутизатор не отдаёт. У вас что-то с настройками сети. В локалке через DHCP адресация приходит? И попробуйте поменять dns провайдера на восьмёрки
Дома: CCR2004 (7-ISP(GPON)белый IP)
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko »

93.183.238.233 это и есть маршрутизатор, DHCP отключен, все надо пробросить на статику 93.183.238.234 Я же выложил конфиг, там все есть Завтра уже буду экспериментировать, к слову обновил еще RouterOS к 6.43.4 stable
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

А какой адрес вы получаете по l2tp? Вы осознанно в локалке такие адреса у себя навесили?..

Ну и что насчёт смены MSS?
romko
Сообщения: 6
Зарегистрирован: 15 ноя 2018, 17:52

Re: PPPoE + DMZ как правильно настроить?

Сообщение romko »

Проблема была в прокладке между креслом и клавиатурой))) Всем спасибо. Провайдер не предупредил что сделал привязку по маку к временному устройству. Причина оказалась банальна и проста, всем спасибо! Извините за отнятое время!
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoE + DMZ как правильно настроить?

Сообщение Chupaka »

Это прекрасно :)
Ответить