Перейти к содержимому
Калькуляторы

MATRIX41

Пользователи
  • Публикации

    10
  • Зарегистрирован

  • Посещение

О MATRIX41

  • Звание
    Абитуриент
  1. Ipsec+DHCP 951ui-2HnD

    Вернулся я уже с другим вопросом, все хорошо, микротик на ура держит связь, VPN стабилен уже месяц. Вопрос интересует сейчас такой, у меня господа юзеры - "не хотят" ходить на социальные сети, и развлекательные порталы, самые основные развлекательные каналы по компьютеру я убрал reject'ом теперь вот мучаюсь как бы видеотрафик запретить, т.е. Все возможные фильмы онлайн и прочее. Есть ли какие нибудь правила для дропа пакетов по типу контента? допустим Flash player Он по сути не нужен. Да есть много сайтов с flash меню и анимацией, но я думаю что это больше развлекательные ресурсы, поэтому опять прошу помощи.
  2. Ipsec+DHCP 951ui-2HnD

    Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал. TP-link 6020 - который
  3. Ipsec+DHCP 951ui-2HnD

    Большое спасибо, перечитал почти всё, что есть. И так ситуация с IP телефонией, значится телефоны d-link с такой схемой работать не хотят, а вот с компьютера, поставив программу для SIP телефонии(в той же под сети что и телефоны, из того же пула адресов) подключилось и работает. То есть виноват я так понимаю не микротик, а уже сам телефон. Первым делом я прогуглил/прояндексил - все результаты настройки телефонов, и как сип телефония вообще работает. Всё до банальности просто. Но вот беда, телефоны попрежнему не видят удалённую подсеть. Хотя трасерты с компьютера и микротика показывают что всё нормаль, вот все узлы.
  4. Ipsec+DHCP 951ui-2HnD

    Никак нет, там всё очень скудно))) нет каких то статей для чайников не понимающих в сетях) проблемы есть с роутером, а вот как это решить не знаю. Как создать правило (где нибудь) чтобы пакеты не попадали под фильтр от 192.168.10.6 до 192.168.60.100 и обратно?
  5. Ipsec+DHCP 951ui-2HnD

    Это последнее моё сообщение на сегодня))))) вообщем заметил что при подключенном ВПН IPsec пинги идут по bridge-local интерфейсу, хотя должны быть в ether1 т.к. он ведь находится у меня не в локальной сети. Routes Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 188.168.8.xxx 1 1 ADC 188.168.8.0/24 188.168.8.xxx ether1-gateway 0 2 ADC 192.168.60.0/24 192.168.60.1 bridge-local 0 В данный момент тунель почему-то работает в одностороннем режиме... Т.к. переговорив с филиалом дела плохи в мою сторону по пингу Предварительно создав бекап того, что работает скинул всё на заводские настройки, а затем вообще в 0, настроить по нормальному не смог, долго мучал DHCP который даже не стал выдавать заведомо прописанные адреса, и всех посылал в 169.**.**.** вообщем есть у кого толковый мануал на русском языке - что это за бородец(mikrotik) и вообще с чем его едят?
  6. Ipsec+DHCP 951ui-2HnD

    Filter 1 ;;; Allow IKE chain=input action=accept protocol=udp dst-port=500 2 ;;; Allow IPSec-esp chain=input action=accept protocol=ipsec-esp 3 ;;; Allow IPSec-ah chain=input action=accept protocol=ipsec-ah 4 ;;; Allow UDP chain=input action=accept protocol=udp 5 ;;; default configuration chain=input action=accept protocol=icmp 6 ;;; default configuration chain=input action=accept connection-state=established 7 ;;; default configuration chain=input action=accept connection-state=related 8 ;;; default configuration chain=input action=drop in-interface=ether1-gateway 9 ;;; default configuration chain=forward action=accept connection-state=established 10 ;;; default configuration chain=forward action=accept connection-state=related 11 ;;; default configuration chain=forward action=drop connection-state=invalid Это NAT Flags: X - disabled, I - invalid, D - dynamic 0 X chain=srcnat action=accept protocol=tcp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 1 X chain=srcnat action=accept protocol=udp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 2 chain=srcnat action=accept src-address=192.168.60.0/24 dst-address=192.168.10.0/24 3 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway Service port Flags: X - disabled, I - invalid # NAME PORTS 0 ftp 21 1 tftp 69 2 irc 6667 3 h323 4 sip 5060 5061 5 pptp
  7. Ipsec+DHCP 951ui-2HnD

    Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?
  8. Ipsec+DHCP 951ui-2HnD

    К сожалению у меня не было никаких инструкций и прочих мануалов по микротику, очень долго я мучался с ним, но всё таки смог, теперь немного начинаю понимать как всё таки он устроен, у него поднимается всё на "виртуальных" интерфейсах. Всегда нужно сказать ему что и куда делать. Т.е. у меня сейчас 2 линии 1) адсл модем(PPPOE), 2) Оптоволокно (Static IP) - сейчас хочу придумать как из статик IP поднимать PPPОЕ резервный канал. Сложность в том что у меня впн с филиалом IPsec, и на стороне филиала обычный роутер TP-LINK модель не знаю. Я понимаю, что на микротиках - это сделать проще, создав два пира и скрипт на "прослушку" интерфейса. Но без понятия как сделать это на тплинке, если есть идеи буду рад прислушаться
  9. Ipsec+DHCP 951ui-2HnD

    Большое спасибо за совет. Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше. /ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp /ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp /ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah /ip firewall filter add chain=input comment="Allow UDP" protocol=udp Может кому потребуется
  10. Ipsec+DHCP 951ui-2HnD

    День добрый, особо не пинайте в гугл, всё что мог нагуглить - коэфициент кпд 0, пока в сетях дилетант с большой буквы Д. взял на себя ответственность держать офис из 50-ти машин + 50 VoIP телефонов. Но тут столкнулся в сложности выбора оборудования, т.к. в сетях пока плохо плаваю. Проблема такова, микротик не хочет со мной дружить. 1) Делаю резет - настраиваю ip микротика, как 192.168.60.1, DHCP пул 60.50-60.100, но при подключении к сети выдаётся всё равно адрес 88.254. - соответственно не работает ничего(подключаешься к роутеру в ручную прописанным IP) решил вопрос, настроил DHCP прописал роутеру IP адрес, сделал маскарад трафика в нате на интерфейс пппое - и чудесным образом появился интернет. 2) Поднимаю РРРОЕ если через создание интерфейса - на микротике инет есть, на клиентах нет. Если через quick set перевожу в режим РРРОЕ - то интернет есть и на клиентах. - тоже не понятно как такое происходит(или это разные вещи? хотя интерфейс РРРОЕ клиент появляется) 3) создаю IPSec туннель до ip адреса - тунель поднимается, но в одну сторону, т.е. пинги до моих компьютеров есть, а с моих компьютеров нет - логи настроек попозже скину.(опять резет сделал) Может кто нибудь помочь и разжевать пока первые два вопроса, т.к. на 3 вопрос не подготовился.