Jump to content

Uzver©

Пользователи
  • Posts

    34
  • Joined

  • Last visited

About Uzver©

  • Rank
    Абитуриент
    Абитуриент

Контакты

  • ICQ
    Array

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Итого, может кому то пригодится. фаервол пока не причесывал. /ip ipsec profile add dh-group=modp1536 enc-algorithm=aes-256 name=2191 nat-traversal=no \ proposal-check=strict /ip ipsec peer add address=<IP/MASK remote router> exchange-mode=ike2 local-address=<IP local router> \ name=<PEER ID> profile=2191 /ip ipsec proposal add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\ aes-256-cbc,aes-256-ctr,aes-256-gcm name=2191 pfs-group=modp1536 /ip firewall filter add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\ udp add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=\ 127.0.0.1 add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related hw-offload=yes add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \ connection-nat-state=!dstnat connection-state=new in-interface-list=WAN /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \ ipsec-policy=out,none out-interface-list=WAN /ip ipsec identity add my-id=address:<PEER ID> peer=<PEER ID> /ip ipsec policy add dst-address=10.0.0.0/24 peer=<PEER ID> proposal=2191 src-address=\ 192.168.0.0/23 tunnel=yes /system clock set time-zone-name=Europe/Moscow /system ntp client set enabled=yes /system ntp client servers add address=0.ru.pool.ntp.org add address=1.ru.pool.ntp.org
  2. Завтра возьму отдельный роутер буду играться на нем на этом как то немного стремно он основной на нем много сервисов часть настроены были не мной надо разобраться да зачем там всё это.
  3. Простите, да, уже исправил, и сеть тоже исправил но это не оно однако, ещё что то не то. Я что в ph2 ipsec немножко не догоняю. src и dst это всё же внутренние сети уже не внешние интерфейсы, верно?
  4. Есть такое облако, mail.ru, вот инструкция на той стороне, ну там вроде всё просто некст-некст. https://mcs.mail.ru/docs/ru/networks/vnet/vpn/create-vpn На моей стороне CCR1009-8G-1S-1S+ Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль. Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно. # feb/01/2022 09:50:58 by RouterOS 6.48.6 # software id = SW0T-05C6 # # model = CCR1009-8G-1S-1S+ /ip ipsec profile set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191 /ip ipsec peer add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191 /ip ipsec proposal add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536 /ip firewall nat add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16 /ip firewall raw add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24 add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16 /ip ipsec identity add peer=<PEER ID> /ip ipsec policy set 0 proposal=2191 add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes
  5. ОК, мысль понял, а если мне ещё и надо сделать так чтобы с этого порта был виден только гейт и не виден сам маршрутизатор? Правила на фаерволе с запретом?
  6. На внешнем интерфейсе есть пул внешних адресов, как сделать так чтобы выделить конкретный один из них в отдельный физический порт для подключения некоего устройства в этот порт.
  7. Да, спасибо по крайней мере порты работают как должны то что если не работает долбаный Каспер будем разбираться с Каспером, у них не слишком внятное пояснение сетевого взаимодействия, как мне кажется.
  8. /ip firewall nat add action=dst-nat chain=dstnat comment="13000 from wan to 1.248" dst-port=\ 13000 in-interface=WAN protocol=tcp to-addresses=192.168.1.248 to-ports=\ 13000 add action=dst-nat chain=dstnat comment="local net to ext ip**" dst-address=\ 37.233.**.** dst-port=13000 protocol=tcp src-address=192.168.0.0/23 \ to-addresses=192.168.1.248 add action=masquerade chain=srcnat comment="LAN source address spoofing " \ dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=\ 192.168.0.0/23
  9. Понимаю, но у нас как всегда собаки вовремя не кормлены, но видимо придется опять скандалить и объяснять почему что да как.
  10. Да, увы именно что ip на нем же висит ещё кое что и в dns адский клубок навернут. Зачем сам не понимаю, но трогать резко нельзя,
  11. Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS.
  12. Да проверю спасибо просто где то ошибся надо вчитаться где.   Именно так, это антивирус вообще то его клиенты подключающиеся к серверу администрирования. И я ну никак не смогу заставлять сотрудников запускать обязательно vpn чтобы антивирус куда то там подключился. И сотрудники есть в регионах, есть Москва которая то в офис бегает то дома сидит.
  13. Ну как бы мне надо добиться чтобы независимо во внутренней или внешней сети находится ноутбук чтобы он попадал на 37.233.**.**:13000