Zebedee через Mikrotik

Базовая функциональность RouterOS
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Zebedee через Mikrotik

Сообщение mkapustin »

Добрый день. Я сам чайник в Mikrotik, но была поставлена зада и с ней нужно разбираться, так что если кто сможет, то подскажите пожалуйста.

Задача такая: Есть локальная сеть с адресами 192.168.1.0-192.168.1.255. Доступ в интернет организован через Mikrotik к которому подключен модем ByFly ZTE. (адрес микротика 192.168.1.2) Есть в сети комп, на нем поднято VPN соединение (192.168.1.215 VPN) на который сделан белый DNS имя (...hldns.ru) по которому мы получаем свой IP в интернете. На данном компе стоит прога работающая на FireBird.
Необходимо наладить удаленный доступ к программе на FireBird из интернета. Выбор пал на Zebedee, но я не могу попасть в сеть через Mikrotik. Мой DNS не пингуется на удаленном компе.
Подскажите как можно настроить или где посмотреть.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Добрый.

Что-то не совсем понял, не пингуется именно DNS или не пингуется доменное имя ...hldns.ru?

Что за VPN поднят? Сторонний какой-то?
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

VPN через PPTP соединение. не пингуется доменное имя.
Но когда я подключаюсь к интернету через wi-fi на микротике, делаю перенаправление портов - все работает. А из внешней сети Интернет (дома) ничего нету.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Судя по всему, файрвол мешает пингу каким-то образом. Надо смотреть ваши настройки.
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

А если Вам backup настроек скинуть, сможете посмотреть? И куда тогда скинуть?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Нет, не смогу. Backup - это двоичный файл. Надо "/export hide-sensitive" делать в Терминале
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Вот сообщение из терминала

Код: Выделить всё

# mar/19/2020 16:15:44 by RouterOS 6.40.4
# software id = GXSL-D1BV
#
# model = 951G-2HnD
# serial number = 8A700879824B
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=VMRZ ssid=VMRZ tx-power-mode=all-rates-fixed
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=ByFly use-peer-dns=yes [email protected]
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=torrent regexp="^.*peer_id.*\$"
/ip pool
add name=VPNPool ranges=192.168.1.201-192.168.1.215
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.3-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=VMRZ name=dhcp1
/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.1.2 name=VPN remote-address=VPNPool
/queue simple
add max-limit=32k/32k name=users-udp packet-marks=users-udp target=""
/system logging action
set 0 memory-lines=1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.2/24 interface=ether2 network=192.168.1.0
add address=192.168.0.2/24 interface=VMRZ network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.2
/ip firewall address-list
add address=vmrz.hldns.ru list=zebedee
/ip firewall filter
add action=accept chain=input comment="accept establish" connection-state=established
add action=accept chain=input comment="accept related" connection-state=related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input dst-port=11965 in-interface=ether1 protocol=tcp
add action=accept chain=input in-interface=ByFly
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=drop chain=forward dst-address-list=users in-interface=ether1 src-address-list=garbage
add action=add-dst-to-address-list address-list=garbage address-list-timeout=1w chain=forward layer7-protocol=torrent out-interface=ether1 protocol=tcp src-address-list=users
add action=add-src-to-address-list address-list=garbage address-list-timeout=1h chain=forward connection-bytes=5000000-0 dst-address-list=users in-interface=ether1 protocol=tcp
add action=drop chain=forward comment="invalid connections" connection-state=invalid
add action=drop chain=input in-interface=!ether2
add action=drop chain=forward dst-address-list=garbage out-interface=ether1 src-address-list=users
add action=accept chain=forward in-interface=ether2 src-address=192.168.1.0/24
add action=accept chain=input in-interface=ether2 src-address=192.168.1.0/24
/ip firewall mangle
add action=mark-packet chain=forward dst-address-list=users in-interface=ether1 new-packet-mark=users-udp passthrough=yes protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ByFly
add action=netmap chain=dstnat comment=Zebedee dst-port=11965 in-interface=ether1 protocol=tcp to-addresses=192.168.1.215 to-ports=11965
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set www port=11965
/ppp secret
add name=tmp profile=VPN service=pptp
add name=server-p profile=VPN service=pptp
add name=kassa profile=VPN service=pptp
add name=tmp2 profile=VPN service=pptp
add name=tmp3 profile=VPN service=pptp
add name=Server-F profile=VPN service=pptp
add name=Server-H profile=VPN service=pptp
add name=tmp4 profile=VPN service=pptp
/system clock
set time-zone-name=Europe/Minsk
/tool e-mail
set from=""
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Может чем поможете
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Так, я что-то вообще потерялся. Комп поднимает VPN из локальной сети роутера на сам роутер, или куда? Вы нарисуйте схему, может, чтоб понятнее стало...
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

да. В сети интернет раздается через дополнительный прокси-сервер, где установлены разные ограничения и скорость раздается всем одинаковая. Но есть компы, которым нужен выход напрямую, минуя прокси, т.к. через прокси нельзя зайти на некоторые сайты и проги некоторые не работают: налоговая, ЭСФЧ и т.д.
Но мне нужно сейчас настроить подключение по удаленке к базе. Может нужен еще какой-то VPN или еще что-то я не знаю. Я в этой сфере не компетентен, так что приму любые предложения и помощь.
Спасибо.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

У вас на микротике поднимается pppoe к ByFly, на котором вы получаете белый IP, правильно?
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Нет по ppoe я не получаю белый Ip от ByFly. Если даже активировать Ip->Cloud то по нему тоже нет пинга до роутера
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

А не может случайно рубить пинг модем, стоящий перед роутером? Или это сам белтелеком рубит, тем самым принуждая к подключению белого IP?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Так, т.е. pppoe у вас поднимает модем, вы не пробросили трафик через него на роутер - и пытаетесь что-то делать на роутере, получается?..
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Да. Совершенно верно. Так было сделано до меняю Модем настроен в режим Мост и по имени и паролю я поднимаю через него соединение. Вы предлагаете убрать модем? Я не могу, у меня в маршрутизаторе нет входа под телефонную линию. может в модеме нужно что-то настроить. Модем ZTE H208N
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

- pppoe у вас поднимает модем?
- да, совершенно верно, pppoe поднимает не модем, а роутер через модем в режиме моста.

Вы уж определитесь...

Где у вас pppoe и какой именно адрес вы получаете на нём?
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Согласен. Я немного уже разобрался. PPPOE как Вы и говорили поднимает роутер (mikrotik) через модем.
Вот адресация:
0 192.168.1.2/24 192.168.1.0 ether2 (мой выход в LAN)
1 D 192.168.1.2/32 192.168.1.213 <pptp-Server-H> (PPTP)
2 D 100.72.187.138/32 100.72.0.1 ByFly (PPPOE)

попробовал использовать другой сервис для получения доменного имя, пинги из вне проходят. Но вот через туннель нет. Я попробовал настроить проброс портов. (стучусь на порт 11965). Вот моя конфигурация на теперешний момент:

Код: Выделить всё

# mar/24/2020 16:35:01 by RouterOS 6.40.4
# software id = GXSL-D1BV
#
# model = 951G-2HnD
# serial number = 8A700879824B
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=VMRZ ssid=VMRZ \
    tx-power-mode=all-rates-fixed
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] arp=proxy-arp comment=LAN
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=ByFly use-peer-dns=\
    yes [email protected]
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=VPNPool ranges=192.168.1.201-192.168.1.215
add name=dhcp_pool1 ranges=192.168.0.1,192.168.0.3-192.168.0.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=VMRZ name=dhcp1
/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=192.168.1.2 name=VPN \
    remote-address=VPNPool
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.1.2/24 interface=ether2 network=192.168.1.0
add address=192.168.0.2/24 interface=VMRZ network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.2
/ip dns
set allow-remote-requests=yes
/ip firewall address-list
add address=vmrz.no-ip.org list=RemoteVmrz
/ip firewall filter
add action=accept chain=input in-interface=ByFly
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=drop chain=forward comment="invalid connections" connection-state=\
    invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface=!ether2
add action=accept chain=forward in-interface=ether2 src-address=192.168.1.0/24
add action=accept chain=input in-interface=ether2 src-address=192.168.1.0/24
add action=accept chain=input comment=PPTP disabled=yes dst-address-list=\
    RemoteVmrz dst-port=11965 protocol=tcp
add action=drop chain=forward disabled=yes in-interface=!ether2
add action=accept chain=input disabled=yes dst-port=10002 protocol=tcp
add action=accept chain=input disabled=yes dst-port=10002 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ByFly
add action=masquerade chain=srcnat src-address=192.168.1.0/24
add action=netmap chain=dstnat dst-port=3051 in-interface=ByFly protocol=tcp \
    to-addresses=192.168.1.213 to-ports=11965
add action=netmap chain=dstnat dst-address-list=RemoteVmrz dst-port=3051 \
    in-interface=ByFly protocol=tcp src-address=192.168.1.0/24 to-addresses=\
    192.168.1.213 to-ports=11965
add action=dst-nat chain=dstnat disabled=yes dst-port=10002 in-interface=ether1 \
    protocol=tcp to-addresses=192.168.1.2 to-ports=10002
add action=dst-nat chain=dstnat disabled=yes dst-port=10002 in-interface=ether1 \
    protocol=udp to-addresses=192.168.1.2 to-ports=10002
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set www address=0.0.0.0/0 disabled=yes port=11965
set ssh port=75
set www-ssl disabled=no port=80
/ppp secret
add name=tmp profile=VPN service=pptp
add name=server-p profile=VPN service=pptp
add name=kassa profile=VPN service=pptp
add name=tmp2 profile=VPN service=pptp
add name=tmp3 profile=VPN service=pptp
add name=Server-F profile=VPN service=pptp
add name=Server-H profile=VPN service=pptp
add name=tmp4 profile=VPN service=pptp
/system clock
set time-zone-name=Europe/Minsk
/system scheduler
add interval=1h name=schedule1 on-event="/tool fetch url=\"https://ipv4.cloudns.\
    net/api/dynamicURL/\?q=мое_имя.no-ip.org\" mode=https" policy=ftp,read,write \
    start-date=mar/24/2020 start-time=15:37:00
/tool e-mail
set from=""
Последний раз редактировалось mkapustin 25 мар 2020, 08:17, всего редактировалось 1 раз.
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Что за сервис? Куда проходят пинги? Что это за тоннель? На том конце у него должен быть выделенный белый адрес? Судя по 192.168, это не совсем так...
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Наткнулся на статью и сделал так:

Код: Выделить всё

/system scheduler
add interval=1h name=schedule1 on-event="/tool fetch url=\"https://ipv4.cloudns.\
    net/api/dynamicURL/\?q=мое_имя.no-ip.org\" mode=https" policy=ftp,read,write \
    start-date=mar/24/2020 start-time=15:37:00
пинг проходит на мое_имя.no-ip.org

туннель прокладываю Zebedee, но меня не пускает. В NAT перенаправил порт 11965.
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

На счет белый или нет не знаю, но адрес 52.214.129...
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Это адрес из диапазона облачной платформы Amazon Web Services. Где вы его берёте?
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Я создал планировщик:

Код: Выделить всё

/system scheduler
add interval=1h name=schedule1 on-event="/tool fetch url=\"https://ipv4.cloudns.\
    net/api/dynamicURL/\?q=мое_имя.no-ip.org\" mode=https" policy=ftp,read,write \
    start-date=mar/24/2020 start-time=15:37:00
далее пингую "мое_имя.no-ip.org", которому автоматически присвоился адрес 52.214.129..., который пингуется с двух сторон: из поднятого PPTP на компе к которому я хочу подключиться (1 D 192.168.1.2/32 192.168.1.213 <pptp-Server-H> (PPTP)) и с внешнего интернета (через любой 3g модем либо от раздачи телефоном интернета на бук).
Осталось как-то пробросить порт 11965 через мое_имя.no-ip.org к Server-H
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Так, сам по себе cloudns не раздаёт белые адреса направо и налево, поэтому даже если вы используете этот IP-адрес для исходящих соединений, это ещё не значит, что обратные соединения могут через него пролезть к вам. Остаётся только вопрос, почему у вас адрес из AWS, а не от Белтелекома.
mkapustin
Сообщения: 22
Зарегистрирован: 03 дек 2018, 16:18

Re: Zebedee через Mikrotik

Сообщение mkapustin »

Так а подскажите: возможно ли вообще как-то настроить без белых IP/ Просто в 2015 году все работало, только сервис был NO-IP. И туннель Zebedee классно запускался. Можно было из дама работать как на работе: устанавливалась точно такая же программа для работы с БД, прописывался путь и все. Также были организован сервер для своих для игры в Контру, NFS.

Может есть какие-то другие настройки с нуля? Внутренняя сеть 192.168.1.0/24. Интернет через можем, настроенный в Bridge
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Zebedee через Mikrotik

Сообщение Chupaka »

Для zebedee нужен белый адрес на стороне сервера, правильно?
Ответить