Jump to content
Калькуляторы

finse

Пользователи
  • Content Count

    10
  • Joined

  • Last visited

About finse

  • Rank
    Абитуриент
  1. С алгоритмами согласен. Опять же их можно сменить в любой момент. Пока что это тестовый стенд. Буду рад, если вы сразу "направите на путь истинный", т.к. слабого оборудования не будет стоять на сторонах. Спасибо за наводку маскарадинга, правильная мысль! Протестировать не могу в ближайшее время, как будут тесты - сообщу. Есть еще идеи? Странная вещь, одна сторона видит другую, но не обратно.
  2. Конфиг одного из L2 Микротика 000.000.000.134 - локальная сеть 192.168.3.0 100.100.100.114 ##### (L2 Микротик) 192.168.8.0 200.200.200.130 ##### (L2 Микротик) 192.168.2.0 300.300.300.154 ###### (5 Микротик второго провайдера) 192.168.10.0 Жду пока привезут второй. Он настроен по аналогии с этим, разве что инверсия ip адресов. # # model = RB4011iGS+ # serial number = |Serial| /interface bridge add name=br1-lan /interface ethernet set [ find default-name=ether1 ] mac-address=MAC:13 set [ find default-name=ether2 ] mac-address=MAC:14 name=\ "ether2-for console" set [ find default-name=ether3 ] name=ether3-wan set [ find default-name=ether4 ] name=ether4-lan set [ find default-name=ether5 ] mac-address=MAC:17 name=\ ether5-lan set [ find default-name=ether6 ] mac-address=MAC:18 name=\ ether6-lan set [ find default-name=ether7 ] mac-address=MAC:19 name=\ ether7-lan set [ find default-name=ether8 ] mac-address=MAC:1A name=\ ether8-lan set [ find default-name=ether9 ] mac-address=MAC:1B name=\ ether9-lan set [ find default-name=ether10 ] mac-address=MAC:1C name=\ ether10-lan set [ find default-name=sfp-sfpplus1 ] mac-address=MAC:1D /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec peer profile set [ find default=yes ] dh-group=modp1024 enc-algorithm=3des hash-algorithm=\ md5 /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=3des add enc-algorithms=3des lifetime=8h name=100.100.100.114 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=200.200.200.130 ##### (L2 Микротик) add enc-algorithms=3des lifetime=8h name=300.300.300.154 ###### (5 Микротик второго провайдера) /interface bridge port add bridge=br1-lan interface=ether4-lan add bridge=br1-lan interface=ether5-lan add bridge=br1-lan interface=ether6-lan add bridge=br1-lan interface=ether7-lan add bridge=br1-lan interface=ether8-lan add bridge=br1-lan interface=ether9-lan add bridge=br1-lan interface=ether10-lan /interface list member add interface=br1-lan list=LAN add interface=ether1 list=WAN /ip address add address=000.000.000.134/28 interface=ether3-wan network=000.000.000.128 add address=192.168.3.1/24 interface=br1-lan network=192.168.3.0 add address=000.000.000.129 interface=ether3-wan network=000.000.000.129 /ip dns set servers=DNS провайдера /ip dns static add address=192.168.3.1 name=MYLAN /ip firewall filter add chain=forward connection-nat-state=dstnat add action=accept chain=input comment=to_192.168.2.0/24 src-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.2.0/24 dst-address=\ 200.200.200.130 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.2.0/24 src-address=\ 192.168.2.0/24 add action=accept chain=forward comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 add action=accept chain=input comment=to_192.168.10.0/24 src-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=output comment=to_192.168.10.0/24 dst-address=\ 300.300.300.154 ###### (5 Микротик второго провайдера) add action=accept chain=forward comment=to_192.168.10.0/24 src-address=\ 192.168.10.0/24 add action=accept chain=forward comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 add action=accept chain=input comment=to_192.168.8.0/24 src-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=output comment=to_192.168.8.0/24 dst-address=\ 100.100.100.114 ##### (L2 Микротик) add action=accept chain=forward comment=to_192.168.8.0/24 src-address=\ 192.168.8.0/24 add action=accept chain=forward comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether3-wan add action=accept chain=srcnat comment=to_192.168.2.0/24 dst-address=\ 192.168.2.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.8.0/24 dst-address=\ 192.168.8.0/24 src-address=192.168.3.0/24 add action=accept chain=srcnat comment=to_192.168.10.0/24 dst-address=\ 192.168.10.0/24 src-address=192.168.3.0/24 /ip ipsec peer add address=200.200.200.130/32 secret=secret ##### (L2 Микротик) add address=100.100.100.114/32 secret=secret ##### (L2 Микротик) add address=300.300.300.154/32 secret=secret ###### (5 Микротик второго провайдера) /ip ipsec policy set 0 disabled=yes add dst-address=192.168.8.0/24 proposal=100.100.100.114 sa-dst-address=\ ##### (L2 Микротик) 100.100.100.114 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.2.0/24 proposal=200.200.200.130 sa-dst-address=\ ##### (L2 Микротик) 200.200.200.130 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ tunnel=yes add dst-address=192.168.10.0/24 proposal=300.300.300.154 sa-dst-address=\ 300.300.300.154 sa-src-address=000.000.000.134 src-address=192.168.3.0/24 \ ###### (5 Микротик второго провайдера) tunnel=yes /ip route add check-gateway=ping distance=1 gateway=000.000.000.129 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh port=5556 set api disabled=yes set api-ssl disabled=yes /ip upnp set enabled=yes /ip upnp interfaces add interface=ether3-wan type=external add interface=br1-lan type=internal /system clock set time-zone-name=Europe/Moscow /system identity set name=MYLAN /system routerboard settings set silent-boot=no
  3. Хорошо, завтра с утра. Все на работе.
  4. Так 1-2-3-4 микротика в одной сети провайдера по L2 5 микротик в другом провайдере Условно из каждого микротика провайдера №1 (которые в L2) виден 5 микротик из другого провайдера №2 (можно зайти по RDP, ICMP ходит) Из 5 микротика провайдера №2 не видно ни одного микротика из провайдера №1 (нельзя зайти по RDP и ICMP не ходит) Прикладываю корявую схему Логи смотреть бессмысленно, все ходит, ошибок нет. Получается из 1.0 видна вся сеть 2.0, а вот из 2.0 вообще нет доступа в 1.0. Остальные 3 микротика как и 1.0 видят 2.0, но 2.0 их в упор не видит.
  5. Добрый день, коллеги. Столкнулся со следующей проблемой. Дано: 5 микротиков и 2 провайдера. Ipsec: Auth. Alg.: sha1 / Encr. Alg: 3des / PFS Group: modp 1024 1 Провайдер все 4 микротика имеют практически одинаковые настройки фаервола и идентичные настройки IPsec. Видят друг дружку прекрасно, т.к. находятся, при этом, в L2 сети провайдера. 2 Провайдер Его видят микротики из 1-ой сети. Подключаются по рдп и всячески ходят по нему. Микротик из второго провайдера не видит совсем первого провайдера, ни icmp, ни rdp, ничего. Вопрос в чем может быть проблема? Дефолт рулс айписека и фаервола вкладываю. Соответственно Микр 1 192.168.1.0/24 1.1.1.1 Микр 2 192.168.2.0/24 2.2.2.2 Микр 1 /ip firewall filter remove [find comment=to_192.168.2.0/24] /ip firewall filter add src-address=2.2.2.2 action=accept chain=input comment=to_192.168.2.0/24 /ip firewall filter add dst-address=2.2.2.2 action=accept chain=output comment=to_192.168.2.0/24 /ip firewall filter add src-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter add dst-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter move [find comment=to_192.168.2.0/24] 0 /ip firewall nat add src-address=192.168.1.0/24 dst-address=192.168.2.0/24 action=accept chain=srcnat comment=to_192.168.2.0/24 /ip firewall nat move [find comment=to_192.168.2.0/24] 0 /ip ipsec peer add address=2.2.2.2/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=2.2.2.2 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.2.0/24 sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 tunnel=yes proposal=2.2.2.2 Микр 2 /ip firewall filter remove [find comment=to_192.168.1.0/24] /ip firewall filter add src-address=1.1.1.1 action=accept chain=input comment=to_192.168.1.0/24 /ip firewall filter add dst-address=1.1.1.1 action=accept chain=output comment=to_192.168.1.0/24 /ip firewall filter add src-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter add dst-address=192.168.1.0/24 action=accept chain=forward comment=to_192.168.1.0/24 /ip firewall filter move [find comment=to_192.168.1.0/24] 0 /ip firewall nat add src-address=192.168.2.0/24 dst-address=192.168.1.0/24 action=accept chain=srcnat comment=to_192.168.1.0/24 /ip firewall nat move [find comment=to_192.168.1.0/24] 0 /ip ipsec peer add address=1.1.1.1/32 dpd-interval=120s dpd-maximum-failures=5 enc-algorithm=3des hash-algorithm=md5 nat-traversal=no secret="Phase" /ip ipsec proposal add name=1.1.1.1 enc-algorithms=3des auth-algorithms=sha1 lifetime=8h /ip ipsec policy add dst-address=192.168.1.0/24 sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.2.0/24 tunnel=yes proposal=1.1.1.1 Конфиг мастерил в https://tugibaev.ru/mikrotik_ipsec/
  6. Отлично, я добавил этот адрес. Очень расстроился когда поставил микротик, заработал интернет, заработала локалка, но с кошками микротик не подружился. Ладно, поменял вторую кошку тоже на микротик. Случилось следующее: 1) пинг от mikrotik1 - mikrotik2 есть 2) winbox'ом до микротика в другой сети не достучаться. Остальные компьютеры в другой сети не пингуются. 3) если зайти в Installed SAs, то можно увидеть соединение с другим микротиком, но обмениваться байтами они не хотят. 4) в графе Peers микротики мне тоже намекают красным, что Unsafe configuration, suggestion to use certificates. Я подозреваю что ошибка кроется в деталях @на втором роутере passive=no, кто-то должен быть инициатором начала обмена ключами У нас еще есть почта exchange (.116) и relay(.117), которая смогла отравить, но не принять за nat почту (причем яндекс предупредил, что мы, возможно, стали плохими ребятами (нет сертификата и подписи)) В циске прописаны ip nat inside source static tcp extendable до локальной машины с портами 587 и 993 я так понимаю надо прописать в моем случае /ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.10-xxx.xxx.xxx.116 (почта), хммм а где порты писать? /ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.11-xxx.xxx.xxx.117 (relay), хммм а где порты писать? Кстати, masquerade в firewall NAT надо включать? Мне кажется нет. Спасибо большое за помощь, ребята, я на Вас рассчитываю :)
  7. спасибо большое за ответ и рекомендации. .113 действительно шлюз .114 действительно адрес на интерфейсе .115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress.
  8. По поводу ipsec в кошке проверил sh crypto isakmp sa detail показал, что encr des hash sha auth psk Такие параметры можно залить в микрот?
  9. И еще, в настройках кошки, в ipsec у меня указано crypto ipsec transform-set my-trans esp-des Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения auth. algorithms md5 encr.algorithms des
  10. Здравствуйте, возникла необходимость замены рабочей cisco 2900 на mikrotik RB4011iGS. Сейчас наскоро копаюсь в конфигурации, случились затыки. Сетку вроде поднял, а вот с интернетом и айписеком не получается. Можете подсказать как правильно перевести конфу? Настраиваю не в боевом режиме, через Winbox. Затыки случились с ip nat pool my-pool ip route не уверен, как их перевести в микрот Вот кусок c кошки ! interface FastEthernet0 ip address xxx.xxx.xxx.114 255.255.255.248 (эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс) ! ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.113 (эту часть в микротик засунул через IP-routes, добавив правило Dst. Address 0.0.0.0/0 Gateway 212.34.42.113, Check Gateway ping Dist. 1) ! ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248 (эту часть в микротик не засунул, не понимаю куда его в фаерволе пускать) где xxx.xxx.xxx 113-115 - провайдер