Перейти к содержимому
Калькуляторы

GhOsT_MZ

Новичок
  • Публикации

    7
  • Зарегистрирован

  • Посещение

О GhOsT_MZ

  • Звание
    Абитуриент
  1. Разрешите спор. WWW

    Предлагаю попробовать обратиться к адресу, например, www.domain.com, но при условии, что нету A, AAAA и CNAME записи для это домена или если не настроен vhost для www.domain.com, а настроен лишь для domain.com. Однозначно, в этой ситуации наличии www очень сильно повлияет на результат, в первом случае мы не получим вообще ничего, а во втором - содержимое дефолтного vhost'а.
  2. Mikrotik, интерфейс для IPSec

    Спасибо! А статью находил, но что-то оно не завелось. В общем, буду пытаться это как-то завести :) Спасибо
  3. Mikrotik, интерфейс для IPSec

    Да конфигов пока нету. А вот схема пока простая: есть микротик, есть Juniper SRX240, нужно организовать между ними site-to-site vpn, внутри которого должен OSPF бегать. Чтобы заставить бегать OSPF, нам нужен интерфейс на котором он будет работать... Получается, единственная рабочая схема - GRE over IPSec?
  4. Добрый день! Есть желание объединить несколько офисов с помощью IPSec. Столкнулся с проблемой - не могу "заставить" микротик терминировать содержимое туннеля на определенном интерфейсе (без интерфейса само собой IPSec не заведется). Неужели без GRE не обойтись даже в туннельном режиме?
  5. ovpn между двумя сетями

    Проблему решил. В правила маршрутизации затесалось правило, которое все портило. Тему, полагаю, можно закрыть/удалить.
  6. ovpn между двумя сетями

    Добрый день! Пытаюсь настроить VPN между двумя Mikrotik'ами и столкнулся с проблемой. Как результат, пинги ходят по туннелю, пингуются узлы между сетями за каждым роутером. Но, есть проблема, не пингуется VPN-сервер с клиентской стороны, при этом, со стороны клиента пингуются адреса, расположенные за VPN-сервером. В фаерволе есть разрешающие правила. Конфигурация сервера Конфигурация моста: [admin@vpn-server] > /interface bridge printFlags: X - disabled, R - running 0 R name="bridge.ovpn-workshop-stc" mtu=auto actual-mtu=1500 l2mtu=65535 arp=enabled mac-address=FE:F5:25:C4:2F:A7 protocol-mode=rstp priority=0x8000 auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m Параметры ovpn: [admin@vpn-server] > /interface ovpn-server export# dec/04/2015 16:47:15 by RouterOS 6.33# software id = 39Z1-RG53#/interface ovpn-serveradd name=ovpn-workshop-stc user=workshop-stc/interface ovpn-server serverset auth=sha1 certificate=router.pem_0 cipher=aes256 default-profile=remote-user enabled=yes mode=ethernet netmask=32[admin@vpn-server] > /ppp export# dec/04/2015 16:37:04 by RouterOS 6.33# software id = 39Z1-RG53#/ppp profileadd bridge=bridge.ovpn-workshop-stc name=workshop-stc only-one=yes/ppp secretadd local-address=192.168.255.129 name=workshop-stc password=testing_pass profile=workshop-stc remote-address=192.168.255.130 service=ovpn Адрес удаленного конца туннеля есть в ARP-таблице: [admin@vpn-server] > /ip arp print where address=192.168.255.130 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published # ADDRESS MAC-ADDRESS INTERFACE 0 D 192.168.255.130 02:8F:93:40:4F:A7 bridge.ovpn-workshop-stc С локальным адресом - аналогично: [admin@vpn-server] > /ip address printFlags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE ... 19 D 192.168.255.129/32 192.168.255.130 ovpn-workshop-stc И маршрут туда тоже есть: [admin@vpn-server] > /ip route print where dst-address=192.168.255.130/32 Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.130/32 192.168.255.129 bridge.ovpn-wor... 0 И пинг работает: [admin@vpn-server] > ping 192.168.255.130 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.130 56 64 2ms 1 192.168.255.130 56 64 1ms 2 192.168.255.130 56 64 1ms 3 192.168.255.130 56 64 1ms 4 192.168.255.130 56 64 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=2ms И даже пинг узла за маршрутизатором: [admin@vpn-server] > ping 192.168.25.200 SEQ HOST SIZE TTL TIME STATUS 0 192.168.25.200 56 127 1ms 1 192.168.25.200 56 127 1ms 2 192.168.25.200 56 127 1ms 3 192.168.25.200 56 127 1ms 4 192.168.25.200 56 127 1ms sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms А теперь перейдем к настройкам vpn-клиента Настройки ovpn: [admin@vpn-client] > /interface ovpn-client export# dec/04/2015 16:52:15 by RouterOS 6.34rc15# software id = QZRD-ZPDY#/interface ovpn-clientadd cipher=aes256 connect-to=192.168.0.254 mac-address=02:8F:93:40:4F:A7 mode=ethernet name=ovpn-stc password=testing_pass profile=default-encryption user=workshop-stc Адрес удаленной стороны есть в ARP-таблицы: [admin@vpn-client] > /ip arp print where address=192.168.255.129 Flags: X - disabled, I - invalid, H - DHCP, D - dynamic, P - published, C - complete # ADDRESS MAC-ADDRESS INTERFACE 0 DC 192.168.255.129 FE:F5:25:C4:2F:A7 ovpn-stc Само собой адрес у нас назначен: [admin@vpn-client] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE .... 4 D 192.168.255.130/32 192.168.255.129 ovpn-stc И маршрут присутствует: [admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0 Узлы за vpn-сервером тоже пингуются: [admin@vpn-client] > /ip route print where dst-address=192.168.255.129/32Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE0 ADC 192.168.255.129/32 192.168.255.130 ovpn-stc 0 А вот сам vpn-сервер - НЕТ! [admin@vpn-client] > ping 192.168.255.129 SEQ HOST SIZE TTL TIME STATUS 0 192.168.255.129 timeout 1 192.168.255.129 timeout 2 192.168.255.129 timeout 3 192.168.255.129 timeout 4 192.168.255.129 timeout sent=5 received=0 packet-loss=100% Подскажите, в какую сторону нужно копать? Wireshark "говорит", что до сервера пинги доходят, но ответы не отправляются. Что интересно, в целом все работает, OSPF нормально бегает по туннелю, есть доступ к сетям за маршрутизаторами.
  7. Всем доброго времени суток! :) Имеется RB1100Hx2 и прошивкой 5.26. На нем настроен прозрачный прокси, который, в свою очередь, имеет parent proxy, в роли которого выступает squid. Данная схема проработала безотказно около года. Недавно начались проблемы с загрузкой веб-страниц, заметили, что периодически не подгружалась статика (css, js и так далее, лечится нажатием F5 в браузере), начали разбираться и, с помощью tcpdump на стороне сервера, где крутится squid, выявили в чем причина. Mikrotik не всегда корректно отправляет запрос, а именно, иногда, вместо доменного имени он подставляет IP-адрес. Пример одного и того же запроса: Неверный запрос GET http://2.19.118.235/library/capi/wt_capi.js HTTP/1.1 Host: i.s-microsoft.com Cache-Control: max-age = 0 Accept: * / * User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.152 Safari/537.36 Referer: http://www.microsoft.com/ru-ru/default.aspx Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU, ru; q = 0.8, en-US; q = 0.6, en; q = 0.4 If-None-Match: "463c32c671f7ce1: 0" If-Modified-Since: Thu, 12 Dec 2013 19:38:46 GMT X-Proxy-ID: 1643700960 X-Forwarded-For: 192.168.0.80 Via: 1.1 192.168.0.252 (Mikrotik HttpProxy) Верный запрос GET http://is-microsoft.com/library/capi/wt_capi.js HTTP/1.1 Host: i.s-microsoft.com Cache-Control: max-age = 0 Accept: * / * User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/33.0.1750.152 Safari/537.36 Referer: http://www.microsoft.com/ru-ru/default.aspx Accept-Encoding: gzip, deflate, sdch Accept-Language: ru-RU, ru; q = 0.8, en-US; q = 0.6, en; q = 0.4 X-Proxy-ID: 1643700960 X-Forwarded-For: 192.168.0.80 Via: 1.1 192.168.0.252 (Mikrotik HttpProxy) Собственно, вопрос, может кто сталкивался с подобным? И как вообще можно это диагностировать?