Перейти к содержимому
Калькуляторы

Uzver©

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    39

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Uzver©

  2. Опубликовано · Жалоба на ответ

    Причина уже выяснилась, через интерфейс не назначался порт в бридж, через консоль влетел легко, сейчас дождусь пока все пойдут домой и буду перевешивать адреса.

  3. Опубликовано · Жалоба на ответ

    Стоп, не совсем понимаю что значит прописать белую подсеть на внутреннем интерфейсе к тому же мне не подсеть а именно отдельные адреса и именно мимо фаервола, мимо NAT отдавать. На самом деле недавно это решалось вообще тупым свитчем до маршрутизатора, теперь надо ещё и попробовать нарезать скорость на порт в сторону отдаваемых.

    Что касается пробросить наружу сервисы или весь адрес в трансляцию запихнуть не вопрос, но тут другое.

  4. Опубликовано · Жалоба на ответ

     

    э... и что мне это даст, сетка и так отдана мне даже две.

     

    Вот.... как выкинуть первый порт из wan я вчера голову и ломал. Кстати так и не понял ни хрена. Он у меня кстати в листы не назначен, как так вышло да черт его знает. Просто на первый порт назначены адреса и с него сделан nat

  5. Опубликовано · Жалоба на ответ

    СообщениеДобавлено: 11 Апр 2023 13:33    Заголовок сообщения: Сделать свитч на WAN интерфейсе Mikrotik Ответить с цитатой Изменить/удалить это сообщение Пожаловаться на рекламу или автора долбоеба

    ССR1009 6.48.6 LT

    Изначально был сконфигурен как и большинство офисных маршрутизаторов, под выход в интернет, на eth1 назначена внешняя сеть, ip адреса прописаны все на него, dnat, snat ну и вобщем то всё.

    Сейчас возникла задача, объединить 4 внешних порта в свитч, ну скроил новый bridge-wan, добавил в него ether2,ether3,ether4. А дальше то что что, во первых ether1 просто нет в доступных портах, во вторых я просто не понимаю как вместо ether1 подсунуть туда этот новый бридж.

     

    Для чего мне это нужно, хочу во первых пускать кое какие устройства прямо в сеть провайдера, это раз, второе ну это потом на этих самых портах ограничить скорость.

  6. Опубликовано · Жалоба на ответ

     

    Итого, может кому то пригодится. фаервол пока не причесывал.


    /ip ipsec profile
    add dh-group=modp1536 enc-algorithm=aes-256 name=2191 nat-traversal=no \
        proposal-check=strict

     

    /ip ipsec peer
    add address=<IP/MASK remote router> exchange-mode=ike2 local-address=<IP local router> \
        name=<PEER ID> profile=2191

     

    /ip ipsec proposal
    add auth-algorithms=sha512,sha256,sha1 enc-algorithms=\
        aes-256-cbc,aes-256-ctr,aes-256-gcm name=2191 pfs-group=modp1536

     

    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
        udp
    add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
    add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
    add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
    add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment=\
        "defconf: accept to local loopback (for CAPsMAN)" disabled=yes dst-address=\
        127.0.0.1
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related hw-offload=yes
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
        invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
        connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

     

    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
        ipsec-policy=out,none out-interface-list=WAN

     

    /ip ipsec identity
    add my-id=address:<PEER ID> peer=<PEER ID>

     

    /ip ipsec policy
    add dst-address=10.0.0.0/24 peer=<PEER ID> proposal=2191 src-address=\
        192.168.0.0/23 tunnel=yes

     

    /system clock
    set time-zone-name=Europe/Moscow

     

    /system ntp client
    set enabled=yes

     

    /system ntp client servers
    add address=0.ru.pool.ntp.org
    add address=1.ru.pool.ntp.org

  9. Опубликовано · Жалоба на ответ

    Есть такое облако, mail.ru, вот инструкция на той стороне, ну там вроде всё просто некст-некст.
    https://mcs.mail.ru/docs/ru/networks/vnet/vpn/create-vpn
    На моей стороне CCR1009-8G-1S-1S+

    Вроде как я сумел сделать Ph1, поскольку вижу поднявшийся активный пир. Кстати, как выводить это список через консоль.

    Но вот дальше это не продвинулся, Ph2 не поднимается. Как убедиться что фаза один у меня правильная, и как смотреть её состояние в терминале. Что я мог сделать не так в фазе 2, как диагностировать, особенно если логи с той стороны вот просто так недоступны. Их можно запрашивать но не оперативно.

    # feb/01/2022 09:50:58 by RouterOS 6.48.6
    # software id = SW0T-05C6
    #
    # model = CCR1009-8G-1S-1S+
    /ip ipsec profile
    set [ find default=yes ] dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h
    add dh-group=modp1536 enc-algorithm=aes-256 lifetime=1h name=2191
    /ip ipsec peer
    add address=<IP CLOUD ROUTER> local-address=<IP LOCAL ROUTER> name=<PEER ID> profile=2191
    /ip ipsec proposal
    add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=1h name=2191 pfs-group=modp1536
    /ip firewall nat
    add action=accept chain=srcnat comment="ipsec mailru" dst-address=10.0.0.0/24 src-address=192.168.0.0/16
    /ip firewall raw
    add action=notrack chain=prerouting comment=mailrubld dst-address=192.168.0.0/16 src-address=10.0.0.0/24
    add action=notrack chain=prerouting comment=mailrubld dst-address=10.0.0.0/24 src-address=192.168.0.0/16
    /ip ipsec identity
    add peer=<PEER ID>
    /ip ipsec policy
    set 0 proposal=2191
    add dst-address=10.0.0.0/24 ipsec-protocols=ah peer=<PEER ID> proposal=2191 src-address=192.18.0.0/16 tunnel=yes

  10. Опубликовано · Изменено пользователем Uzver© · Жалоба на ответ

    ОК, мысль понял, а если мне ещё и надо сделать так чтобы с этого порта был виден только гейт и не виден сам маршрутизатор? Правила на фаерволе с запретом?

  11. Опубликовано · Жалоба на ответ

    На внешнем интерфейсе есть пул внешних адресов, как сделать так чтобы выделить конкретный один из них в отдельный физический порт для подключения некоего устройства в этот порт.

  12. Опубликовано · Жалоба на ответ

    Да, спасибо по крайней мере порты работают как должны то что если не работает долбаный Каспер будем разбираться с Каспером, у них не слишком внятное пояснение сетевого взаимодействия, как мне кажется.

  13. Опубликовано · Жалоба на ответ

    /ip firewall nat

    add action=dst-nat chain=dstnat comment="13000 from wan to 1.248" dst-port=\
        13000 in-interface=WAN protocol=tcp to-addresses=192.168.1.248 to-ports=\
        13000
    add action=dst-nat chain=dstnat comment="local net to ext ip**" dst-address=\
        37.233.**.** dst-port=13000 protocol=tcp src-address=192.168.0.0/23 \
        to-addresses=192.168.1.248
    add action=masquerade chain=srcnat comment="LAN source address spoofing " \
        dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=\
        192.168.0.0/23

  14. Опубликовано · Жалоба на ответ

    On 9/24/2021 at 4:55 PM, SUrov_IBM said:

    Uzver©, здравствуйте.

     

    Если я правильно понял, что Вы хотите настроить, посмотрите  это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

    Уверен, должно помочь. ;)

    Да, похоже что всё так работает. Убедиться смогу завтра.

  17. Опубликовано · Жалоба на ответ

    Понял, разделенные зоны, можно проблем с перенастройкой клиентов будет очень много. Если не выйдет сейчас так, то можно будет покрутить через DNS.

  19. Опубликовано · Жалоба на ответ

    On 9/24/2021 at 4:55 PM, SUrov_IBM said:

    Uzver©, здравствуйте.

     

    Если я правильно понял, что Вы хотите настроить, посмотрите  это описание - https://lantorg.com/article/kak-zajti-po-vneshnemu-ip-adresu-iz-lokalnoj-seti-dlya-mikrotik

    Уверен, должно помочь. ;)

    Да проверю спасибо просто где то ошибся надо вчитаться где.

     

    16 hours ago, SUrov_IBM said:

     

    Насколько я понял, автору нужно как можно проще реализовать схему, чтобы она была работоспособной без всяких дополнительных элементов.

    Именно так, это антивирус вообще то его клиенты подключающиеся к серверу администрирования. И я ну никак не смогу заставлять сотрудников запускать обязательно vpn чтобы антивирус куда то там подключился. И сотрудники есть в регионах, есть Москва которая то в офис бегает то дома сидит. 

  21. Опубликовано · Жалоба на ответ

    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=37.233.**.** dst-port=13000 protocol=tcp to-addresses=192.168.1.248 to-ports=13000

    /ip firewall filter
    add action=accept chain=forward  dst-port=13000 in-interface=WAN protocol=tcp

    Не забываем затащить его выше правила запрещающего WAN-LAN если таковое у Вас есть

    Это типовые действия по просовыванию порта 13000 с адреса 37.233.**.** на 192.168.1.248

    Теперь надо сделать подмену с подсовыванием нужной цепочки

    /ip firewall nat
    add action=src-nat chain=srcnat dst-address=192.168.1.248 dst-port=13000 protocol=tcp src-address=192.168.0.0/23 to-addresses=192.168.1.253


    Сделал и что а не помогло ЧЯНТД?

  23. Опубликовано · Жалоба на ответ

    Суть проблемы открыт снаружи внутрь порт на одном из адресов висящих на внешнем интерфейсе. Из внешних сетей всё прекрасно. Из внутренней сети сидящей за NAT этот адрес пингуется, трассируется но при этом соединения на порт не выходит.

  24. Опубликовано · Жалоба на ответ

    WS-C2960-24TC-S version 12.2

     

    оно даже srr-queue не знает, не говоря уже о остальном но винтерфейсах есть две фичи

    bandwidth

    max-reserved-bandwidth

     

    пока пытаюсь понять а что могут они.

     

    Увы, она и есть. Если бы была TC-L было бы все нормально. На 3750 пока не сталкивался с тем, чтобы не резала.

    Понял, спасибо.

     

    WS-C2960-24TC-S version 12.2

     

    оно даже srr-queue не знает, не говоря уже о остальном но винтерфейсах есть две фичи

    bandwidth

    max-reserved-bandwidth

     

    пока пытаюсь понять а что могут они.

     

    не трать время, bandwidth это параметр для протоколов маршрутизации.

    Ясно ОК, пошел смотреть на вторичку 3750