sasha300

После настройки правил фаервола - упал интернет :( Вот сами правила: 0 ;;; Allow Ping chain=input action=accept protocol=icmp log=no log-prefix="" 1 chain=forward action=accept protocol=icmp log=no log-prefix="" 2 ;;; Accept established connections chain=input action=accept connection-state=established log=no log-prefix="" 3 chain=forward action=accept connection-state=established log=no log-prefix="" 4 ;;; Accept related connections chain=input action=accept connection-state=related log=no log-prefix="" 5 chain=forward action=accept connection-state=related log=no log-prefix="" 6 ;;; Drop invalid connections chain=input action=drop connection-state=invalid log=no log-prefix="" 7 chain=forward action=drop connection-state=invalid log=no log-prefix="" 8 ;;; Allow UDP chain=input action=accept protocol=udp log=no log-prefix="" 9 chain=forward action=accept protocol=udp log=no log-prefix="" 10 ;;; Access to Internet from local network chain=forward action=accept src-address=192.168.0.0/24 in-interface=pppoe-out1 log=no log-prefix="" 11 ;;; Access to Mikrotik only from our local network chain=input action=accept src-address=192.168.0.0/24 log=no log-prefix="" 12 ;;; All other drop chain=input action=drop log=no log-prefix="" 13 chain=forward action=drop log=no log-prefix="" Скорей всего трабл в 10 правиле, так как 192.168.0.0/24 является подсетью VPN. Пробовал удалить подсеть 192.168.0.0/24 из правила - не помогло. Где загвоздка?

Подвожу результаты по реализации задачи, указанной в начале топика: - поднят L2TP тунель, для соединения дома и офиса. Таким образом из этих 2-х мест могу получить смс со свистка, набрав 192.168.8.1 - в офисе была поднята виртуальная точка доступа с отдельным DHCP сервером, для того, чтобы можно было назначить wi-fi адаптеру такой же ip, какой присутствует у синхронизируемого с телефоном устройства. Простыми словами: дома синхронизирую МЛО между смартфоном и планшетом, имеющий ip 192.168.22, а в офисе синхронизируюсь с тем же телефоном и рабочим компьютером через wi-fi адаптер, который имеет ip 192.168.0.22. Конфликта не возникает из-за того, что wi-fi адаптер подключается к виртуальной точке доступа у которой свой DHCP. А чтобы трафик шел по основному каналу, то wi-fi адаптеру была назначена distance 5 p.s.: на самом деле схема была готова уже неделю назад, но искал баги, коих вроде нет, поэтому отписался по результатам только сейчас Еще раз респект fiskunt за непосредственную помощь, stas_k и Saab95 за советы по дебрям настроек =)

как говориться, начинаешь решать одну задачу, всплывает ещё десять: когда поднял DHCP клиент на интерфейсе LTE, то у меня отвалился весь офис, включая миниАТС, сервер, в общем всё. Произошло это по причине автоматического присвоения этому интерфейсу с параметром Distance равный 0: Проще говоря этот интерфейс стал самым приоритетным и весь трафик шел через свисток. Понятное дело, что связь с тиком я потерял :( Пришлось ехать в офис, в один из локальных компов воткнул 3G модем, сделав так, чтобы трафик шел через свисток (distance=1), а затем уже через локальную сеть (distance=2). Но теперь целый комп решает только одну задачу - в случае потери связи с Микротиком, я могу восстановить настройки, удаленно подключившись к компу, а от него подключившись к Микротику. Отсюда вопрос: можно ли сделать схему проще, без выделения комптьютера под эту задачу?

сегодня обещался выдать результаты, но обломался, так как при экспериментах потерял связь с офисом. Завтра устраню проблему и как будет результат отпишусь

stas_k MyLifeOrganaized. Все дело в том, что эта программа на Android может синхронизироваться только с одинм ip. Я обошел это ограничение, путем синхронизации через Bittorrent Sync профайла. Т.е. на работе врубаю usb wi-fi модуль, которому назначил точно такой же ip как и дома - прога думает, что это домашний комп и синхронизирует инфу. нее, проще отказаться от VPN, нежели его включать и выключать..

Saab95 для пущей уверенности я сегодня ещё раз попробую это сделать. Но в первый раз не получилось это реализовать

Подвожу итог эпопеи с 4G LTE модемом, вдруг компу-то поможет. Какие нарисовались варианты и чего ждать, если хочеться получать доступ к свистку (чтение СМС, проверка баланса и прочее) из вне: а) использование VPN самый лучший вариант. Вбиваю 192.168.8.1 и вуаля, я на веб морде свистка! Но из-за одной специфической программы, которую я использую ежедневно, пришлось отказаться от этой технологии б) удаленное подключение к компьютеру, который находится в той же сети что и модем, ну а через него заход на веб морду Организовать удаленное подключение к web интерфейсу свистка не получиться, так как из-за правил маршрутов входящие пакеты будут идти как обычно: удаленный комп => основной провайдер => Микротик => свисток, а вот исходящие пакеты пойдут через этот модем, с другим IP, как следствие, удаленный комп не примет пакет, так как он пришел не с тем исходящим адресом. В общем остановился на варианте Б, но вдруг у кого-то появится интересная идея, то всегда готов выслушать

ок, убедили. Поднимаю VPN как понимаю, Вы уже испробовали ряд приложений, какое порекомендуете?

согласен, но для простоты задачи я умолчал, что помимо этого я хочу с телефона получать доступ к свистку. Т.е. на телефоне запускаю порткнокинг (уже научился делать), роутер мне открывает доступ (кстати, все адреса заблокированы, кроме тех, кто в белом списке) и я получаю инфу по смс, могу выполнять ussd запросы. Зачем надо с телефона: допустим я нахожусь в другой стране, потребовалось воспользоваться той же двухэтапной авторизацией, мне отправляют смс на номер, который в тике, я захожу туда и вижу заветную смс. А так как на роутере будет правило, "запретить все, кроме определенных адресов", то безопасность будет на высоте и даже находясь за границей, я буду управлять симкой в полном объеме. Уже умалчиваю о том, что симки за бугром бывают не активы..

За выходные я немного переиграл ситуацию: поняв, что двойной нат это зло (за это респект fiskunt), я перекинул свисток на основной тик. Таким образом из локалки к нему доступ имею, а вот из интернета - увы :( сейчас экспериментирую с маршрутизацией, но не получил результата..

stas_k спасибо за развернутый ответ! Даже не предполагал, что пакет обратно с LTE отправляется! А если "в строгом соответствии со стандартами и с таблицей маршрутизации LTE модема этот пакет уходит через WAN интерфейс LTE", то как залезть в таблицу маршутизации LTE? Или чтобы "пакет не уходил через WAN интерфейс LTE" надо прописать маршрут? В общем мне надо на это время, чтобы детально обмозговать полученную информацию попробую, поэкспериментирую и отпишусь ;)

наваял очередной шедевр: обычно внешний ip умалчивают, чтобы не брутфорсили или что-то изменилось?

перевел правило nat с атс на свисток, т.е. прописал путь 192.168.8.1, в правилах фильтра ничего перенастраивать не пришлось, так как там не указан локальный ip - вбиваю внешний ip - опять захожу на атс. В общем я в не понятках, придется долбить кореша, кто настраивал тик (жаль только, что это растянется на х.з. какое время) :( неее сейчас схему нарисую

80 порт занят АТС потому, что если я захожу удаленно, то делаю именно через 80 порт, а точнее просто вбивая внешний ip офиса я уже настроил, что с локалки через основной роутер подключаюсь с свистку, воткнутому в роутер для экспериментовstas_k доступ к этому ip в локалке теперь есть да никак не выглядит! Я в браузере вбиваю внешний ip, затем 81 порт, выглядит это так "внешний_ip:81" и получаю облом. Пока писал, пришла в голову мысля - за место атс на 80 порт повешу свисток, через десяток минут отпишусь

Теперь через удаленку: порт 80 на экспериментальном тике отрубил, при вводе внешний_ip:81 в адресной стоке выдает: http://192.168.8.1/html/index.html?url=внешний_ip:81 , а затем браузер выдает: "Веб-страница недоступна" Вот правила нат: chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" вот правила фильтра: chain=forward action=accept protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" 80 порт уже занят, поэтому захожу через 81 порт, но нифига не получается :( Что опять не так?