sasha300

После настройки правил фаервола - упал интернет :( Вот сами правила: 0 ;;; Allow Ping chain=input action=accept protocol=icmp log=no log-prefix="" 1 chain=forward action=accept protocol=icmp log=no log-prefix="" 2 ;;; Accept established connections chain=input action=accept connection-state=established log=no log-prefix="" 3 chain=forward action=accept connection-state=established log=no log-prefix="" 4 ;;; Accept related connections chain=input action=accept connection-state=related log=no log-prefix="" 5 chain=forward action=accept connection-state=related log=no log-prefix="" 6 ;;; Drop invalid connections chain=input action=drop connection-state=invalid log=no log-prefix="" 7 chain=forward action=drop connection-state=invalid log=no log-prefix="" 8 ;;; Allow UDP chain=input action=accept protocol=udp log=no log-prefix="" 9 chain=forward action=accept protocol=udp log=no log-prefix="" 10 ;;; Access to Internet from local network chain=forward action=accept src-address=192.168.0.0/24 in-interface=pppoe-out1 log=no log-prefix="" 11 ;;; Access to Mikrotik only from our local network chain=input action=accept src-address=192.168.0.0/24 log=no log-prefix="" 12 ;;; All other drop chain=input action=drop log=no log-prefix="" 13 chain=forward action=drop log=no log-prefix="" Скорей всего трабл в 10 правиле, так как 192.168.0.0/24 является подсетью VPN. Пробовал удалить подсеть 192.168.0.0/24 из правила - не помогло. Где загвоздка?

Подвожу результаты по реализации задачи, указанной в начале топика: - поднят L2TP тунель, для соединения дома и офиса. Таким образом из этих 2-х мест могу получить смс со свистка, набрав 192.168.8.1 - в офисе была поднята виртуальная точка доступа с отдельным DHCP сервером, для того, чтобы можно было назначить wi-fi адаптеру такой же ip, какой присутствует у синхронизируемого с телефоном устройства. Простыми словами: дома синхронизирую МЛО между смартфоном и планшетом, имеющий ip 192.168.22, а в офисе синхронизируюсь с тем же телефоном и рабочим компьютером через wi-fi адаптер, который имеет ip 192.168.0.22. Конфликта не возникает из-за того, что wi-fi адаптер подключается к виртуальной точке доступа у которой свой DHCP. А чтобы трафик шел по основному каналу, то wi-fi адаптеру была назначена distance 5 p.s.: на самом деле схема была готова уже неделю назад, но искал баги, коих вроде нет, поэтому отписался по результатам только сейчас Еще раз респект fiskunt за непосредственную помощь, stas_k и Saab95 за советы по дебрям настроек =)

как говориться, начинаешь решать одну задачу, всплывает ещё десять: когда поднял DHCP клиент на интерфейсе LTE, то у меня отвалился весь офис, включая миниАТС, сервер, в общем всё. Произошло это по причине автоматического присвоения этому интерфейсу с параметром Distance равный 0: Проще говоря этот интерфейс стал самым приоритетным и весь трафик шел через свисток. Понятное дело, что связь с тиком я потерял :( Пришлось ехать в офис, в один из локальных компов воткнул 3G модем, сделав так, чтобы трафик шел через свисток (distance=1), а затем уже через локальную сеть (distance=2). Но теперь целый комп решает только одну задачу - в случае потери связи с Микротиком, я могу восстановить настройки, удаленно подключившись к компу, а от него подключившись к Микротику. Отсюда вопрос: можно ли сделать схему проще, без выделения комптьютера под эту задачу?

сегодня обещался выдать результаты, но обломался, так как при экспериментах потерял связь с офисом. Завтра устраню проблему и как будет результат отпишусь

stas_k MyLifeOrganaized. Все дело в том, что эта программа на Android может синхронизироваться только с одинм ip. Я обошел это ограничение, путем синхронизации через Bittorrent Sync профайла. Т.е. на работе врубаю usb wi-fi модуль, которому назначил точно такой же ip как и дома - прога думает, что это домашний комп и синхронизирует инфу. нее, проще отказаться от VPN, нежели его включать и выключать..

Saab95 для пущей уверенности я сегодня ещё раз попробую это сделать. Но в первый раз не получилось это реализовать

Подвожу итог эпопеи с 4G LTE модемом, вдруг компу-то поможет. Какие нарисовались варианты и чего ждать, если хочеться получать доступ к свистку (чтение СМС, проверка баланса и прочее) из вне: а) использование VPN самый лучший вариант. Вбиваю 192.168.8.1 и вуаля, я на веб морде свистка! Но из-за одной специфической программы, которую я использую ежедневно, пришлось отказаться от этой технологии б) удаленное подключение к компьютеру, который находится в той же сети что и модем, ну а через него заход на веб морду Организовать удаленное подключение к web интерфейсу свистка не получиться, так как из-за правил маршрутов входящие пакеты будут идти как обычно: удаленный комп => основной провайдер => Микротик => свисток, а вот исходящие пакеты пойдут через этот модем, с другим IP, как следствие, удаленный комп не примет пакет, так как он пришел не с тем исходящим адресом. В общем остановился на варианте Б, но вдруг у кого-то появится интересная идея, то всегда готов выслушать

ок, убедили. Поднимаю VPN как понимаю, Вы уже испробовали ряд приложений, какое порекомендуете?

согласен, но для простоты задачи я умолчал, что помимо этого я хочу с телефона получать доступ к свистку. Т.е. на телефоне запускаю порткнокинг (уже научился делать), роутер мне открывает доступ (кстати, все адреса заблокированы, кроме тех, кто в белом списке) и я получаю инфу по смс, могу выполнять ussd запросы. Зачем надо с телефона: допустим я нахожусь в другой стране, потребовалось воспользоваться той же двухэтапной авторизацией, мне отправляют смс на номер, который в тике, я захожу туда и вижу заветную смс. А так как на роутере будет правило, "запретить все, кроме определенных адресов", то безопасность будет на высоте и даже находясь за границей, я буду управлять симкой в полном объеме. Уже умалчиваю о том, что симки за бугром бывают не активы..

За выходные я немного переиграл ситуацию: поняв, что двойной нат это зло (за это респект fiskunt), я перекинул свисток на основной тик. Таким образом из локалки к нему доступ имею, а вот из интернета - увы :( сейчас экспериментирую с маршрутизацией, но не получил результата..

stas_k спасибо за развернутый ответ! Даже не предполагал, что пакет обратно с LTE отправляется! А если "в строгом соответствии со стандартами и с таблицей маршрутизации LTE модема этот пакет уходит через WAN интерфейс LTE", то как залезть в таблицу маршутизации LTE? Или чтобы "пакет не уходил через WAN интерфейс LTE" надо прописать маршрут? В общем мне надо на это время, чтобы детально обмозговать полученную информацию попробую, поэкспериментирую и отпишусь ;)

наваял очередной шедевр: обычно внешний ip умалчивают, чтобы не брутфорсили или что-то изменилось?

перевел правило nat с атс на свисток, т.е. прописал путь 192.168.8.1, в правилах фильтра ничего перенастраивать не пришлось, так как там не указан локальный ip - вбиваю внешний ip - опять захожу на атс. В общем я в не понятках, придется долбить кореша, кто настраивал тик (жаль только, что это растянется на х.з. какое время) :( неее сейчас схему нарисую

80 порт занят АТС потому, что если я захожу удаленно, то делаю именно через 80 порт, а точнее просто вбивая внешний ip офиса я уже настроил, что с локалки через основной роутер подключаюсь с свистку, воткнутому в роутер для экспериментовstas_k доступ к этому ip в локалке теперь есть да никак не выглядит! Я в браузере вбиваю внешний ip, затем 81 порт, выглядит это так "внешний_ip:81" и получаю облом. Пока писал, пришла в голову мысля - за место атс на 80 порт повешу свисток, через десяток минут отпишусь

Теперь через удаленку: порт 80 на экспериментальном тике отрубил, при вводе внешний_ip:81 в адресной стоке выдает: http://192.168.8.1/html/index.html?url=внешний_ip:81 , а затем браузер выдает: "Веб-страница недоступна" Вот правила нат: chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" вот правила фильтра: chain=forward action=accept protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" 80 порт уже занят, поэтому захожу через 81 порт, но нифига не получается :( Что опять не так?

Зачем, если и так все работает? 80 порт настроен на вход в микротик вбиваю адрес и получаю: Или это надо сделать, чтобы не было конфликтов?

fiskunt Ура! Получилось! Огромное спасибо!

Ура! Как оказалось зря я, дурак, не отрубал основную сетевую карту - в этом случае браузер выдавал, что "Веб-страница недоступна" Как только запрос пошел через сетевую карту, подключенную пачкордом напрямую к экспериментальному тику, то сразу же получил результат: Но застрял на пробросе портов, уже неоднократно успешно порты пробрасывал, а сейчас не фурычит :( Вот сама задача: На основном роутере 2,3,4 порты соединены в бридж. Комп подлкючен ко второму порту. С 3-его порта основного тика подсоединен пачкордом экспериментальлный тик, пачкорд подключен в wan Т.е. если набираю 192.168.0.30:81 (80 порт уже занят), то попадаю на 192.168.8.1:80 В правилах нат сделал следующее: chain=dstnat action=netmap to-addresses=192.168.8.1 to-ports=80 protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" в правилах фильтра: chain=forward action=accept protocol=tcp in-interface=ether1-gateway-internet dst-port=81 log=no log-prefix="" Но при наборе адреса: http://192.168.0.30:81/ получаю "Веб-страница недоступна" Может я не тот интерфейс указываю? Ведь я подключаюсь не через интерфейс ether1-gateway-internet, а через бридж? В общем запутался окончательно..

завтра еще раз попробую, но вроде выдавало то ли 404 страницу, то ли нот фаунд, точно не помню. Правда я соединение с инетом не отрубал, т.е работали две сетевые карты. Вобщем завтра выдам результат.

ну я бы не стал так категорично утверждать ;) Экспериментальный Микротик пачкордом подключен к основному Микротику, собственно от него идет интернет (дистанция 0). А от свистка идет резервный интернет (дистанция 1) Соединил пачкордом комп и эеспериментальный Микротик, в браузере ввожу 192.168.8.1, получаю "Not Found" или что-то в этом духе. Каюсь, проброс портов не делал - думаю как сделать, ведь надо открыть 80 порт для соединения, которое внутри Микротика. Или не так?

Я нифига не понял. Завтра воткну свисток в комп - посмотрю под каким ip он представится.

В Микротик воткнут свисток Huawei E3372h, имеющий адрес: 192.168.8.1, т.е. если я этот модем воткну в компьютер, то по этому адресу могу зайти на веб морду модема Что я вижу в Микротике: Типа свисток получил ip: 192.168.8.100 !! Почему он получил именно 192.168.8.100, а не 192.168.8.1? Что удивительно, что пингуются как 192.168.8.1, так и 192.168.8.100, почему?

С пробросом портов я понял, а вот эту фразу не осилил. Речь же идет про модем, который работает в режиме LTE (сетевой карты), а не в режиме PPP (модема)

Saab95 Обалденная идея! Даже в голову не пришло это направление!! Премного благодарен за хорошую мысль ;) p.s.: сегодня опробовал - как оказалось, это был самый правильный вариант, чтобы работать с смс. Проверял тогда, когда свисток был воткнут в комп. В личном кабинете смс не отображаются. Сейчас займусь пробросом портов с микротика

Признателен за ответ! Если я уехал за границу, сип не настроил (допустим) и не могу себе позволить позвонить опсосу, в общем звонки исключаются + не только инфа про баланс, чуть ниже поясню почему Спасибо за ответ! Про получение инфы про баланс я написал утрированно, чтобы максимально упростить вопрос. На самом деле мне нужно получать смс, так как номер привязан к ряду услуг, а менять привязку не представляется возможным, так как уникальный тариф, которого в России лет 5 точно не будет. К тому же личный кабинет у Теле2, если не ошибаюсь, работает по временному паролю, который приходит по смс. Сейчас попробовал зайти в личный кабинет, так у них он на временной отключен, не очень хочеться зависеть от приходи админов Теле2. Завтра попробую получить постоянный пасс, но все же - только если свисток будет работать в режиме модема я смогу получать смс с помощью АТ команд? Неужели нет способа работать с модемом, находящийся в режиме сетевой карты?