Startnik

Где мне лучше почитать об этом ? может есть примеры такой настройки ?

Прошу подсказать или направить в нужную сторону "начинающего" в решении такой задачи : как проще ограничить скорость интернет-канала для части клиентов во внутренней сети, т.е. сделать так, чтобы определенной группе товарищей было доступно например не менее 40% канала при их работе. Могу , если нужно, этих "нуждающихся" подключить на отдельный порт микротика ( если по другому будет слишком сложно для меня ).... Спасибо большое.

Можно пример, как сделать ? Т.е. мне нужно взять произвольный адрес из vpn-диапазона и " dst-nat-ить" их на нужный адрес офисной сети ? ( на vpn интерфейсе ? )

Хорошо, например клиент получит по VPN адрес из диапазона 172.16.0.0/12, а в локальной сети гостиницы все же из 192.168.1.0/24 Теперь набирает он в обычном Проводнике для обращения к ресурсу адрес \\192.168.1.100 - в какую сеть и почему пойдет обращение ?

1.Конкретнее - в "локальной" сети клиента и в удаленной офисной сети допустим будут одинаковые адреса 192.168.1.100 и понадобится обратится к нему....куда будет обращение ? 2.Чтобы подключиться к офису из такой же локалки мне ее надо сымитировать.... это уже завтра...

1. Где использовать, поясните.... 2. Никто не запрещает, но "разьездной" всяко может оказаться в сети какой-либо гостинницы 192.168.1.0/24 и обращаться к ресурсу тоже будет в сеть 192.168.1.0/24

Вопрос наверно не совсем по mikrotik-у, но начинающему возможно простительно.... Есть локальная сеть организации 192.168.1.0/24, стоит задача подключаться к расшаренным ресурсам для "разьездных" сотрудников по VPN. Я запустил на 951-ом микротике VPN сервер PPTP, L2TP , выдаю клиентам адреса из той же подсети ( непересекающиеся с адресами локального пула ), все вроде работает как надо. Однако я понял, что если клиент вдруг подключиться из локалки с этой-же подсетью 192.168.1.0/24 ( чем естественно управлять невозможно ) - получим фигвам...Как решается вопрос в таком случае ? Спасибо.

@McSea Просто браво... Конечно в винбоксе она была, более того, по неким рекомендациям я создавал другую и ее указывал.... После создания через терминал все стало замечательно подключаться. Спасибо огромное.

[admin@MikroTik] > /ip ipsec export verbose # jan/27/2019 23:45:11 by RouterOS 6.43.8 # software id = PIH1-DBTX # # model = 951G-2HnD # serial number = 8A70085D84B6 /ip ipsec mode-config set [ find default=yes ] name=request-only responder=no /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 dpd-interval=2m dpd-maximum-failures=5 \ enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \ nat-traversal=yes proposal-check=obey /ip ipsec policy group set [ find default=yes ] name=default /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=\ aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer # Unsafe configuration, suggestion to use certificates add address=0.0.0.0/0 auth-method=pre-shared-key disabled=no exchange-mode=\ main-l2tp generate-policy=port-strict passive=yes policy-template-group=default \ profile=default secret=123456789 send-initial-contact=yes /ip ipsec policy set 0 disabled=no dst-address=::/0 proposal=default protocol=all src-address=::/0 \ template=yes /ip ipsec user settings set xauth-use-radius=no [admin@MikroTik] >

Дома к своему микротику я подключаюсь без проблем... А что хоть эта ошибка "фазы 2" физически означает ?

@McSea Не помогает....

Как бы тему перенести в правильный раздел ? по ошибке создал в mikrotik wireless...

Это же вроде делается тогда, когда сервер за NAT?

Вот обрезанный export, что касается VPN [admin@MikroTik] > export /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-128-cbc,3des /ip pool /ppp profile set *FFFFFFFE bridge=bridge local-address=vpn_client only-one=no remote-address=\ vpn_client /interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=123456789 use-ipsec=yes /interface pptp-server server set authentication=mschap2 enabled=yes /ip ipsec peer add address=0.0.0.0/0 exchange-mode=main-l2tp passive=yes secret=123456789

Помогите разобраться с часто возникающей проблемой - ошибка при подключении клиента серверу ( 6.42.6 )...вот лог: 22:57:49 ipsec,info respond new phase 1 (Identity Protection): ХХХ.200.107.246[500]<=>ХХХ.62.118.167[500] 22:57:49 ipsec,info ISAKMP-SA established ХХХ.200.107.246[4500]-ХХХ.62.118.167[4500] spi:036876e69e5ec94f:62f472e60288d1f3 22:57:49 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 22:57:51 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. 22:57:53 ipsec,error ХХХ.62.118.167 failed to pre-process ph2 packet. Разные варианты настройки покопал в сети, попробовал рекомендации - нет результата. Хочется понять, с чего все-таки начинать и какими шагами двигаться...

Не могу обновиться ( RB951 ) с 6.34.3 до 6.43.2 ... Пакет скачивается, в "файлах" его вижу, но после перезагрузки опять показывает 6.34.3 Роутер похоже взламывался, поудалял ненужно/непонятные мне настройки - и вот пытаюсь обновиться.... С чем это может быть связано ? Обновлять через Netinstall ?

Да, я так и разобрал эту команду....Изящное решение, до которого без практики я бы не додумался... А про шлюз я не подумал, потому что с чего-то решил, что проброс порта заменит "белый" ip на ip самого шлюза...Ну в общем "..сам дурак!" :)

DRiVen , спасибо большое ! Вписал строку, получил доступ...конечно шлюза нет...И главное я совершенно не помню, как делал его на двух других точках... В общем добавил в ip\route маршрут, все заработало, теперь пытаюсь осознать, чего же я сделал :)

Озадачен...похоже не указал..., надо ехать к точке.... Напомните, где проверить ? Зачем? Не знаю откуда береться, настраивал через меню, там нет такого.....

Не могу разобраться в простом вопросе - На 951-м настроен проброс портов для Winbox до двух других 951-х роутеров, находящихся в локалке и используемых как точки доступа ( т.е. напр. 5002 -> 8291 ). Теперь беру новую точку Wap, подключаю ее репитером ( slave WDS ) к головному тику, доступ Winbox-ом в локалке есть, все работает...Делаю на головном устройстве очередной проброс порта до точки Wap - и получить его снаружи не могу, нет соединения... Подскажите, какими средствами продиагностировать процесс такого обращения к точке извне ? Вот вырезка конфига: /ip firewall filter add chain=input protocol=icmp add chain=input connection-state=new dst-port=8291 protocol=tcp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input connection-state=new in-interface=!bridge-local /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" \ out-interface=pppoe-out1 to-addresses=0.0.0.0 add action=netmap chain=dstnat dst-port=5002 in-interface=pppoe-out1 protocol=\ tcp to-addresses=192.168.88.2 to-ports=8291 add action=netmap chain=dstnat dst-port=5003 in-interface=pppoe-out1 log=yes \ protocol=tcp to-addresses=192.168.88.3 to-ports=8291 add action=netmap chain=dstnat dst-port=5005 in-interface=pppoe-out1 log=yes \ protocol=tcp to-addresses=192.168.88.5 to-ports=8291

Итак, чтобы полностью уложилось в голове, желательная схема: Главный 951-й ( связанный с провайдером ) работает в режиме "ap bridge", обслуживает клиентов...К нему в режиме "station wds" подключена вторая точка обеспечивающая беспроводной "мост", к которой в свою очередь проводом подключена третья точка, работающая опять в "ap bridge" на другом канале для подключения клиентов в своей зоне... Ок ? Может еще обьясните "на пальцах" отличия режимов "station bridge", "station wds", "slave wds" ?

Про падение скорости понимаю, но как то "жирно" использовать два аппарата... В Вашей схеме как я понимаю каналы wi-fi надо использовать разные ? А в каком режиме должна работать первая точка, если желательно иметь единый сегмент сети, "station bridge" ? ( что-то эти режимы никак у меня в голове не укладываются....:( )

У меня все просто: на первом этаже главный 951-й, соединен с провайдером....К нему проводами подключены еще два ( второй и третий этаж ). На всех трех включен WI-FI. Теперь надо охватить например подвал, в котором провода нет...Вот я и ставлю туда точку, связываяя ее и главный 951-й по WDS...На втором и третьем включать WDS смысла не вижу. А вопросы выше...

Пытаюсь "постигнуть" Mikrotik на следующем примере: для покрытия коттеджа и его территории Wi-fi используются три 951-х аппарата - первый как роутер к провайдеру, два других как точки доступа проводами подключены к нему ( wi-fi включен на всех трех ). Теперь нужно расширить зону там, где проводки нет. Взял точку Mikrotik Wap, выбрал режим "wds slave", включил wds на ней и первом м-тике....Вроде все работает, клиент к Wap подключается и в инет выходит... Вопрос , все ли я сделал правильно, или есть более подходящее решение ? Далее, если использовать Capsman для управления точками, нужно будет сделать различные "provisioning" для разных по параметрам точек( с и без wds )? Ну и еще на закуску....Все таки Capsman позволяет клиенту переключатся с точки на точку без прохождения процедуры аутенфикации, т.е. "бесшовность" именно в этом смысле ?

Кто же мне помешает задать разные каналы для разных точек ??? Вопрос в том , нужно ли это делать.....