VladGousev

Жаль, конечно, что никто не откликнулся. Я день убил, но сделал, как мне надо (почти). Если, вдруг, у кого будут вопросы по данной теме, обращайтесь Чем смогу, помогу.

День добрый! Может быть найдутся специалисты по strongSWAN? Никак не получается настроить соединение с mikrotika, который подключен через Yota. С йотовым модемом не получается работать как с нормальным выделенным ip. Тут "белый" ip вешается на модем, а между модемом и микротиком поднимается сеть 10.0.0.0/24 (10.0.0.1 - модем, 10.0.0.10 - микротик). Далее модем всё пробрасывает в обе стороны, но всё равно, это получается NAT. ipsec приходится строить не с внешнего ip, а с 10.0.0.10. К сожалению ROS, как я понял, не умеет в ikev2, где такой nat работает без проблем. А в ikev1 нужно реализовывать nat-t (nat traversal). Но у меня не получается получить соединение по этой схеме. Всё доходит только до стадии "message 3 sent". Если тема заинтересует кого-нибудь, я выложу все конфиги. Очень надеюсь на ответ.

Тему можно считать закрытой. Нормальную маршрутизацию сделал с помощью организации ipip-туннеля, который потом шифруется ipsec. Так получается и безопасно, и удобно.

Каких конкретно глюков. Я пока не ловил, вроде бы.

Основная проблема почему дуда виснет, это работа на XP или семерке. У них ограничение на количество соединений, когда забьете туда 500-1000 устройств, он начнет терять с ними связь. Аналогично и с виртуальными машинами. Поэтому дуду нужно ставить на отдельный сервер. Да, да, на операционках для рабочих станций от microsoft традиционно орграниченно количество одновременных сессий. Делать на них мониторинг - очень плохая идея.

Через Yota нормально работает ipsec, надо только не забыть nat traversal включисть. Сделаете политики с двух сторон проброса пакетов из одной внутренней сети в другую и всё. Но я бы лучше поднял между микротиками ipip-тунель и шифровал (ipsec) ip-encap трафик между ними. Так удобнее маршрутизировать.

Учтите, что wifi у него слабый. Я бы не сказал, что у него слабый wifi. Это просто у 951-ых боевые излучатели установлены. Мне даже неуютно держать их на столе во время настройки. И так лысеть рано начал :) Не замечено пока их "зависание". У меня правда всего один, но наш челябинский филиал их активно использует и очень рекомендует.

Ну я ведь так себе и представлял вначале, но меня сетевики из Москвы упорно убеждают в другом. Спасибо, добрый человек, что вернули мне веру с себя. Ну а клиенты из одной сети ходить в другую смогут. Это можно прикрыть фаерволом. Само собой, что на L3 всё прикрыто. Главное, чтобы на L2 дыр не было.

Теорию по ip-адресации почитайте, бред написали, в .0/30 подсети рабочие адреса .1 и .2, адрес сети .0 пиром быть не может, с обоих сторон .1 указан локальным... такое в пятницу писать не гуманно, уставший разум пожалейте. Блииинн, вот это я лажанул.... Простите меня. Вот что, вечер пятницы с человеком делает... Стыдно... Спасибо, что макнули. И да, всё работает после прописывания корректных адресов. Ещё раз спасибо.

Подскажите, кто-нибудь настраивал туннель ipip между MikroTik и linux? У меня, что-то никак не получается... Помогите, пожалуйста. Дано: MikroTik 750UP: 1.) Создал туннель tun111 с внешнего адреса yyy.yyy.yyy.yyy на внешний адрес linux xxx.xxx.xxx.xxx: /interface ipip add !keepalive local-address=yyy.yyy.yyy.yyy name=tun111 remote-address=xxx.xxx.xxx.xxx 2.) Повесил локальный ip на туннель: /ip address add address=10.108.108.1/30 interface=tun111 network=10.108.108.0 Linux (пакет etcnet): 1.) Создал туннель: # mkdir /etc/net/ifaces/tun111 # cat > /etc/net/ifaces/tun111/options TYPE=iptun TUNTYPE=ipip TUNLOCAL=xxx.xxx.xxx.xxx TUNREMOTE=yyy.yyy.yyy.yyy TUNOPTIONS='ttl 64' HOST=eth0 2.) Повесил на туннель ip: # cat > /etc/net/ifaces/tun111/ipv4address 10.108.108.1 peer 10.108.108.0/32 3.) Поднял туннель: ifup tun111 В итоге пинг не идёт ни с 10.108.108.0 на 10.108.108.1, ни в обратную сторону. При этом виден траффик на туннеле с обоих концов. Torch и Packet Sniffer показывают, что пакеты ходят. В iptables (с обеих сторон) я уже разрешил полный траффик между 10.108.108.0 и 10.108.108.1, а также xxx.xxx.xxx.xxx и yyy.yyy.yyy.yyy. Я ничего не понимаю. Почему траффик ходит, а отклика нет?

День добрый! Есть микротик (750UP) и шлюз на линуксе. На каждом из них есть внутренняя сеть со своими устройствами и внешняя с "белым" ip. Нужно было создать защищённый канал между этими внутренними сетями. С помощью strongSwan настроил ipsec и вроде всё работает, но есть одна проблема. Устройства из внутренних сетей общаются между собой без проблем, а вот зайти с линукса на микротик и обратно, используя внутренние адреса сети, не получается. Почему такое происходит, понятно. ipsec policy направляет в защищённый канал весь трафик с одной внутренней сети на другую, но на микротике и ликуксе два интерфейса и при попытке связи непосредственно с них выбирается внешний. Вот например, если пинговать с микротика линукс командой "ping 192.168.100.1 src-address=192.168.200.1", т.е. прямо указывая интерфейс, с которого выполняется связь, то пинг проходит. Как наладить связь не указывая интрефейс-источник никак на ум не придёт. Жду советов от опытных сетевиков. Заранее спасибо.

У меня один hAP lite и много 951 (Ui и G). Не заметил различия в работе (кроме другой версии winbox). Решил ещё лайтов взять, т.к. функционал 951 для меня избыточен (в частности USB не нужен). А вот mAP2n брать не советую. У меня их два и оба проблемные. Продукт получился симпатичный, но уж больно сырой и нестабильный. Как раз сейчас один из них опять полёг по неведомой причине...

Ну я ведь так себе и представлял вначале, но меня сетевики из Москвы упорно убеждают в другом. Спасибо, добрый человек, что вернули мне веру с себя.

А прошивка какая? Попадались жалобы на связь с 6.31. Вообще 6.31 очень странная прошивка. Мой 750UP вообще зависал с ней через день. Давно я не ждал новую прошивку с таким нетерпением.

ipsec, конечно, не нов, но почему не нужно его использовать? Тем более, что в l2tp он является одной из составляющих частей. l2tp тоже далеко не юн. Тогда уж надо sstp поднимать, чтобы было модно и современно.

День добрый! У многих моделей (951, mAP2n,...) все ethernet-порты объединены в один коммутатор. Необходимо каждый порт использовать как отдельный интерфейс со своим ip. Понятное дело, что убрал все мастер и слейв на портах и назначил каждому порту свой ip. Но остаётся опасение, что при получении бродкаста (мультикаста) с одного из порта микротик раскидает этот пакет по всем портам, что нежелательно. Хочется полностью изолировать порты. Не подскажете, как это правильно сделать? Я пробовал создавать vlan-интерфейсы и "вешать" ip на них, но эта схема не работает. Рабочая схема получилась, когда я создал бриджи (по одному на каждый порт) и включил в каждый из них порт и vlan на этом порту. Насколько я правильно сделал. Как-то это странно выглядит... Хотя работает. И удалось ли мне изолировать таким образом порты?

Что это за зверь такой? Знаю только R52nm, но это PCI-плата. Или это Tera CPE Pro 523 N, которая сделана на базе RB411?

День добрый! Подскажите, пользовал кто-нибудь RBmAP2n в связке с LTE-модемом от Yota? Я взял на пробу один mAP2n и пару часов бился, чтобы он увидал этот модем. Не смотря на то, что на модеме загорался синий индикатор сигнала, интерфейс lte1 упорно отказывался появляться. Думал, что проблема с USB-портом или кабелем (в этой модели подключение производится через OTG-кабель), но флешка и 3G-модем от Мегафона опознались без проблем. Потом в какой-то момент заметил, что lte1 появился. Не могу сказать точно, что на это повлияло, но незадолго до этого я заметил, что на mAP2n по умолчанию отключен пакет wireless и включил его. Судя по описанию в вики этот пакет не должен влиять на lte-интерфейс, но больше ничем объяснить почему он появился я не могу. Отключать пакет, чтобы убедиться что-то не хочется. Надо уже схему настраивать и подключать объект. Может у кого был подобный опыт? Поделитесь пожалуйста. Или, если у кого-то не "заводится" модем, попробуйте включить пакет wireless. Если отпишетесь о результате, будет замечательно.

А что видится в "/port print"? Там совсем пусто или есть порт со статусом invalid? Ну и, конечно, нужно проверить модем на совместимость на странице Supported Hardware

Обнаружил, что мешает правило "add action=drop chain=input comment="deny all inbound" in-interface=lte1" Как только я его дизаблю, так VNC сразу начинает работать. Но при этом в "/ip fire conn pr" ничего не меняется. Никаких новых соединений. Поставил в этом правиле вместо drop действие log, чтобы проверить что же происходит. Результат нулевой. Кроме левых попыток соединений по всевозможным портам со всего мира, ничего не вижу. Единственное, что смущает, это входящие бродкасты с внешнего интерфейса (10.0.0.10) на порт 5678. Выяснил, что это какой-то микротиковский протокол обнаружения соседей. Так что - опять мимо. Больше умных мыслей не осталось...

День добрый! Не удаётся подключиться по VNC к компьютеру за RB951Ui-2HnD c LTE-модемом от Yota. Соединение шифруется ipsec. Подключение инициируется, пароль запрашивается и дальше - долгое ожидание и обрыв по таймауту. Проходят только подключения в чёрно-белом режиме, но так работать невозможно. Если смотреть подключения, то соединение установлено: SA tcp 192.168.207.3:4979 10.202.60.2:5900 established 23h58m30s Сигнал у Йоты отличный. При подключении LTE-модема в ПК - всё летает. Такая проблема уже на двух RB951Ui-2HnD, а вот с RB750UP - проблема нет, хотя конфа - один в один. Конфигурацию прилагаю ниже. Документацию читал, конечно, но тут она не помощник. Есть подозрение, что дело в MTU. Пробовал играть его значениями на интерфейсе ПК, ether2 и lte1 - результат нулевой. Может быть у кого-нибудь появятся мысли, в чём может быть проблема, и почему на RD750UP рабоает, а на RB951Ui-2HnD - нет. На всех устройствах ROS 6.7 Заранее спасибо! Конфигурация: # feb/07/2014 00:00:00 by RouterOS 6.7 # software id = 3IUW-9XS2 # /interface lte set [ find ] mac-address=F8:35:DD:3C:44:A1 name=lte1 /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\ 20/40mhz-ht-above distance=indoors l2mtu=2290 mode=ap-bridge ssid=\ MikroTik-DA6C31 /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=xxxxxxxxxxxx \ wpa2-pre-shared-key=xxxxxxxxxxxx /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \ mac-cookie-timeout=3d /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des \ lifetime=1h /system logging action set 0 memory-lines=100 set 1 disk-lines-per-file=100 /user group add name=ftp policy="ftp,sensitive,!local,!telnet,!ssh,!reboot,!read,!write,!p\ olicy,!test,!winbox,!password,!web,!sniff,!api" /ip address add address=10.202.60.1/30 interface=ether2 network=10.202.60.0 /ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \ interface=lte1 /ip dns set allow-remote-requests=yes /ip firewall filter add action=drop chain=forward comment="default configuration" \ connection-state=invalid add chain=input comment="ssh via severen" dst-port=22 in-interface=lte1 \ protocol=tcp src-address=xxx.xxx.xxx.xxx/30 add chain=input comment="ssh via rtk" dst-port=22 in-interface=lte1 protocol=\ tcp src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ftp dst-port=21 in-interface=lte1 protocol=tcp \ src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ftp dst-port=20 in-interface=lte1 protocol=tcp \ src-address=xxx.xxx.xxx.xxx/29 add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ xxx.xxx.xxx.xxx/29 add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ xxx.xxx.xxx.xxx add chain=input comment=ping in-interface=lte1 protocol=icmp src-address=\ 192.168.207.0/24 add chain=input comment="ipsec esp" in-interface=lte1 protocol=ipsec-esp \ src-address=xxx.xxx.xxx.xxx add chain=input comment="ipsec ah" in-interface=lte1 protocol=ipsec-ah \ src-address=xxx.xxx.xxx.xxx add chain=input comment="ipsec ike" dst-port=500 in-interface=lte1 protocol=\ udp src-address=xxx.xxx.xxx.xxx src-port=500 add chain=input comment="ipsec nat traversal" dst-port=4500 in-interface=lte1 \ protocol=udp src-address=xxx.xxx.xxx.xxx src-port=4500 add chain=input comment="time sync" dst-port=123 in-interface=lte1 protocol=\ udp src-address=xxx.xxx.xxx.xxx/29 add action=drop chain=input comment="deny all inbound" in-interface=lte1 add action=drop chain=forward comment="deny all from lan to lte" dst-address=\ !192.168.207.0/24 in-interface=all-ethernet out-interface=lte1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes /ip ipsec peer add address=xxx.xxx.xxx.xxx/32 enc-algorithm=3des hash-algorithm=md5 lifetime=\ 8h secret=test /ip ipsec policy add dst-address=192.168.207.0/24 sa-dst-address=xxx.xxx.xxx.xxx sa-src-address=\ 10.0.0.10 src-address=10.202.60.0/30 tunnel=yes /ip service set telnet disabled=yes set api disabled=yes set api-ssl disabled=yes /system clock set time-zone-name=Europe/Moscow /system clock manual set time-zone=+04:00 /system identity set name=mt951 /system leds set 0 interface=wlan1 /system logging add topics=info add disabled=yes prefix=ipsec topics=ipsec /system ntp client set enabled=yes mode=unicast primary-ntp=xxx.xxx.xxx.xxx /system scheduler add interval=10m name=check_lte on-event=check_lte policy=\ reboot,read,write,policy,test,password,sniff,sensitive start-date=\ jan/01/1970 start-time=00:00:00 add interval=3m name=check_usb on-event=check_usb policy=\ reboot,read,write,policy,test,password,sniff,sensitive start-date=\ jan/01/1970 start-time=00:00:00 add interval=12h name=backup on-event=backup policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ start-date=jan/01/1970 start-time=00:00:00 /system script add name=check_lte policy=\ reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\ COUNT 30;\r\ \n\ \n:local PINGIP \"xxx.xxx.xxx.xxx\";\ \n\r\ \n:log info message=\"START PING TO \$PINGIP\";\ \n\r\ \n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\ \n\r\ \n:if (\$PINGRESULT > 0) do={\ \n\r\ \n:log info message=\"PING TO \$PINGIP OK\";\r\ \n\ \n} else={\ \n\r\ \n:log info message=\"PINGTEST FAIL\";\ \n\r\ \n/system reboot;\r\ \n\ \n} \ \n" add name=check_usb policy=\ reboot,read,write,policy,test,password,sniff,sensitive source=":local PING\ COUNT 20;\r\ \n\ \n:local PINGIP \"xxx.xxx.xxx.xxx\";\r\ \n\ \n:log info message=\"START PING TO \$PINGIP\";\ \n\r\ \n:local PINGRESULT [/ping \$PINGIP count=\$PINGCOUNT];\ \n\r\ \n:if (\$PINGRESULT > 0) do={\ \n \r\ \n:log info message=\"PING TO \$PINGIP OK\";\r\ \n\ \n} else={\ \n \r\ \n:log info message=\"PINGTEST FAIL. RESETTING USB POWER\";\ \n \r\ \n/system routerboard usb power-reset duration=15s;\r\ \n\ \n} \ \n" add name=backup policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ source="{\ \n:local filename [/system identity get name];\ \n/system backup save name=\$filename;\ \n/export file=\$filename;\ \n}\ \n" /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 add /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2 add interface=ether3 add interface=ether4 add interface=ether5 add interface=wlan1 add

Самостоятельно нашёл решение проблемы. Загвоздка была в параметре policy у задания и у скрипта. У меня было "reboot,read,write,policy,test,password,sniff,sensitive". После изменения на "ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api" всё заработало. Вот такие подводные камни...

Что-то сразу жёсткие варианты предлагаете в качестве решения. Нет, спасибо, конечно. Идея замечательная, но я пока не готов к развёртыванию rancid. Оставлю на потом.

Везёт... Тут хоть как-то создаётся, а у меня ни в какую. Я уже и слеш ставил/убирал, и длиной имени файла игрался. Не получается файла, хоть убей.

Пытаюсь настроить периодический экспорт конфы в файл, чтобы потом забирать по ftp. Сделал скрипт: При запуске вручную через "/sys scr run <n>" всё отрабатывает, файл создаётся. Сделал задание: И получил станный результат. Задание запускается: но файл не создаётся... Пока не могу разобраться в чём проблема... Может быть команду export нельзя использовать в заданиях? Подскажите, люди добрые, где я что упустил. Спасибо.