johnfx

Здравтвуйте! есть серая сеть, есть пул белых ip, шлюз для них, авторизация серых проиходит на другом железе, на микротике нужно реализовать только nat, т.е. на входе 10.220.0.0/18, транслируюрся в пул белых 188.х.х.0/24 и выходят наружу через 141.х.х.х вот конфиг, но что-то тут явно не так... # /interface bonding add link-monitoring=none mode=802.3ad name=bo-ex slaves=ether1,ether2,ether3,ether4 add link-monitoring=none mode=802.3ad name=bo-loc slaves=ether5,ether6,ether7,ether8 /interface vlan add interface=bo-loc name=vlan-800-bo-loc vlan-id=800 add interface=bo-loc name=vlan-3800-bo-loc vlan-id=3800 add interface=bo-ex name=vlan-3900-bo-ex vlan-id=3900 /ip address add address=10.220.0.0/18 interface=bo-loc network=10.220.0.0 add address=188.x.x.x/24 interface=bo-ex network=188.x.x.0 add address=172.18.0.100/24 interface=vlan-800-bo-loc network=172.18.0.0 add address=141.x.x.122/30 interface=vlan-3800-bo-loc network=141.x.x.120 add address=141.x.x.126/30 interface=vlan-3900-bo-ex network=141.x.x.124 /ip firewall address-list add address=10.220.0.0/18 list=p-108 add address=188.x.x.0/24 list=p-108 /ip firewall filter add chain=input connection-state=established,related add chain=input src-address-list=p-108 add chain=input src-address=172.18.0.0/16 add chain=input src-address=192.168.0.0/16 add action=drop chain=input add chain=forward connection-state=established,related add chain=forward src-address-list=p-108 add chain=forward src-address=172.18.0.0/16 add action=drop chain=forward /ip firewall mangle add action=mark-connection chain=prerouting log=yes new-connection-mark=c-108 src-address-list=p-108 add action=mark-packet chain=prerouting connection-mark=c-108 new-packet-mark=p-108 add action=mark-routing chain=prerouting new-routing-mark=r-108 src-address-list=p-108 add action=mark-routing chain=prerouting dst-address-list=p-108 new-routing-mark=r-108 add action=mark-routing chain=prerouting disabled=yes new-routing-mark=r-107 src-address-list=p-107 add action=mark-routing chain=prerouting disabled=yes dst-address-list=p-107 new-routing-mark=r-107 /ip firewall nat add action=src-nat chain=srcnat comment=108 out-interface=vlan-3900-bo-ex src-address-list=p-108 to-addresses=188.x.x.0/24 add action=masquerade chain=srcnat out-interface=vlan-3900-bo-ex /ip firewall service-port set ftp disabled=yes /ip route add distance=1 gateway=141.x.x.125 routing-mark=r-108 add disabled=yes distance=1 gateway=141.x.x.125 routing-mark=r-108 add distance=5 gateway=172.18.0.1

это уже что-то готовое, куда соединятся надо, а далее будет внешний адрес но так будет сложнее всё это маршрутизировать, посмотреть, пощупать нельзя... нашел firstvds.ру остановлюсь на vps с mikrotik + куча IP. всем спасибооо!

это надо будет взять vps c несколькими внешними ип, на него натянуть mikrotik, на виртуальные интерфейсы по айпишнику, один из них для входа, остальные для внешних соединений... как-то так?

Здравствуйте! есть несколько машин, им выдаются серые адреса, пров внешние не даёт. можно ли через vpn или ещё как... их куда нибудь подключить, что бы были у каждого былый ип и потом к ним коннектится то же с внешки?

О!, я правда был слеп%)

я может слепой но не могу найти где это. Scan List: default можно вроде вручную вписать, но больше 1й не получается, а не default создать надо. вида: 5100-5200,5700,5735...

Здравствуйте! А где можно самому составить список частот, по которым клиент должен искать базу?

при 1ом способе будет меньше нагрузки на проц(?),больше на порты(?)т.к. лишний трафик влишних вланах. при втором как-то нагляднее что где проходит. как всётаки принимать и передавать эти вланы?

Здравствуйте! На микротике вланы можно прокинуть следующим обзазом: 1. Просто два интерфейса в мост, и через него всё-всё-всё проходит, если отдельно нужен на устройстве влан, его прописываю на этом-же мосту. 2. Создать вланы на нужных портах и объединить каждый влан в отдельный мост (в этот же мост и порт можно засунуть для "растэгирования"). чем эти способы отличаются и как лучше делать?

короче разобрался сам. в той сетке по которой пробрасываются порты нужно на устройствах прописывать шлюз по-умолчанию. например: устройство с внешним ИП(88.99.88.11) и с внутренним 10.5.108.1/24 (конкретно этот внутренний в 108-vlan на всех устройствах) на нём же прописано правило /ip firewall nat add action=netmap chain=dstnat comment=mkt disabled=no dst-port=810 in-interface=sfp1 protocol=tcp to-addresses=10.5.108.10 to-ports=8291 на остальных подключенных к нему(10.5.108.0/24) пишем /ip route add geteway=10.5.108.1 и теперя 88.99.88.11:810 получает доступ куда надо.

вот у меня на некоторые устройства срабатывает порт форвардинг а на некоторые нет, фаервол отключен, пинг идёт с основного до требуемого, а перенаправление не срабатывает... висит вот так: пакеты при этом напротив правила идут... tcp-dump: 10:54:39.226199 CDPv2, ttl: 180s, Device-ID 'Ch', length 325 10:54:53.225307 IP yandex.ru.http > 10.5.3.3.50473: Flags [F.], seq 161, ack 1112, win 65535, length 0 10:54:53.225512 IP 10.5.3.3.50473 > yandex.ru.http: Flags [F.], seq 1112, ack 162, win 30016, length 0 10:54:53.229836 IP yandex.ru.http > 10.5.3.3.50473: Flags [.], ack 1113, win 65534, length 0 10:55:07.347271 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:08.345401 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:10.349440 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:12.361368 ARP, Request who-has 10.5.3.1 tell 10.5.3.3, length 28 10:55:12.361954 IP 10.5.3.3.2004 > wss.ext.ru.domain: 25115+ PTR? 1.3.5.10.in-addr.arpa. (39) 10:55:12.362522 ARP, Reply 10.5.3.1 is-at 00:0d:65:8f:b1:fc (oui Unknown), length 46 10:55:12.379506 IP wss.ext.ru.domain > 10.5.3.3.2004: 25115 NXDomain 0/1/0 (88) 10:55:14.361385 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:22.377459 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:24.381931 IP 10.5.3.3.54762 > la-in-f19.1e100.net.https: Flags [P.], seq 86:127, ack 42, win 55224, length 41 10:55:24.472675 IP la-in-f19.1e100.net.https > 10.5.3.3.54762: Flags [P.], seq 42:83, ack 127, win 65535, length 41 10:55:24.472774 IP 10.5.3.3.54762 > la-in-f19.1e100.net.https: Flags [.], ack 83, win 55224, length 0 10:55:24.479190 ARP, Request who-has 10.5.3.9 tell 10.5.3.8, length 46 10:55:24.479843 IP 10.5.3.3.7047 > wss.ext.domain: 5388+ PTR? 9.3.5.10.in-addr.arpa. (39) 10:55:24.488055 IP wss.ext.ru.domain > 10.5.3.3.7047: 5388 NXDomain 0/1/0 (88) 10:55:24.488810 IP 10.5.3.3.52129 > wss.ext.domain: 48520+ PTR? 8.3.5.10.in-addr.arpa. (39) 10:55:24.498558 IP wss.ext.ru.domain > 10.5.3.3.52129: 48520 NXDomain 0/1/0 (88) лог на микротике при попытке соединения неменяется отключал firewall rules все полностью тоже не помогло...

Mar 13 16:41:24 john-laptop pppd[2287]: Plugin /usr/lib/pppd/2.4.5//nm-pptp-pppd-plugin.so loaded. Mar 13 16:41:24 john-laptop pppd[2287]: pppd 2.4.5 started by root, uid 0 Mar 13 16:41:25 john-laptop pppd[2287]: Using interface ppp0 Mar 13 16:41:25 john-laptop pppd[2287]: Connect: ppp0 <--> /dev/pts/1 Mar 13 16:41:31 john-laptop pppd[2287]: Modem hangup Mar 13 16:41:31 john-laptop pppd[2287]: Connection terminated. Mar 13 16:41:31 john-laptop pppd[2287]: Exit. как проверить? есть пример настройки?

просто пишет не установлено. система ubuntu 10.04 со стороны микротика пишет: waiting for call... terminating... disconnected...

все настройки firewall: [admin@news] /ip firewall> export compac /ip firewall address-list add address=10.5.2.47 comment=eliteco list=speed-3300k add address=10.5.16.10 comment=j7-home_2014 list=speed-2300k add address=10.5.16.152 comment=omni1-b52-2666 list=speed-3300k /ip firewall filter add chain=input comment=rip dst-port=520 in-interface=sfp1 protocol=udp \ src-port=520 add chain=output comment=rip dst-port=520 out-interface=sfp1 protocol=udp \ src-port=520 add chain=input dst-address=99.195.40.246 protocol=gre src-address=\ 89.82.162.70 add chain=input dst-port=1723 protocol=tcp add chain=output protocol=tcp src-port=1723 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=forward comment="allow established" connection-state=established \ in-interface=sfp1 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add action=drop chain=input protocol=icmp add action=drop chain=input dst-port=80 in-interface=sfp1 protocol=tcp add chain=forward comment=2300k src-address-list=speed-2300k add chain=forward comment=3300k src-address-list=speed-3300k add chain=forward comment=27m src-address-list=speed-27M add action=drop chain=forward src-address=10.5.10.0/24 add action=drop chain=forward src-address=10.5.16.0/24 add action=add-dst-to-address-list address-list=dst_list_16 \ address-list-timeout=2m chain=forward comment=16 dst-address-list=\ speed-2300k protocol=udp add chain=forward comment=16 dst-address-list=dst_list_16 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=16 dst-address-list=dst_list_16 \ reject-with=icmp-admin-prohibited add action=add-dst-to-address-list address-list=dst_list_10 \ address-list-timeout=2m chain=forward comment=10 dst-address-list=\ speed-3300k protocol=udp add chain=forward comment=10 dst-address-list=dst_list_10 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=10 dst-address-list=dst_list_10 \ reject-with=icmp-admin-prohibited /ip firewall mangle add action=mark-connection chain=prerouting comment=all new-connection-mark=\ c-inet add action=mark-packet chain=prerouting comment=all connection-mark=c-inet \ new-packet-mark=p-inet passthrough=no add action=mark-connection chain=prerouting comment=2300k \ new-connection-mark=c-2300k src-address-list=speed-2300k add action=mark-packet chain=prerouting comment=2300k connection-mark=c-2300k \ new-packet-mark=p-2300k passthrough=no add action=mark-connection chain=prerouting comment=3300k \ new-connection-mark=c-3300k src-address-list=speed-3300k add action=mark-packet chain=prerouting comment=3300k connection-mark=c-3300k \ new-packet-mark=p-3300k passthrough=no add action=mark-connection chain=prerouting comment=27 new-connection-mark=\ c-27M src-address-list=speed-27M add action=mark-packet chain=prerouting comment=27 connection-mark=c-27M \ new-packet-mark=p-27M passthrough=no /ip firewall nat add action=dst-nat chain=dstnat dst-port=8087 protocol=tcp to-addresses=\ 10.5.7.40 to-ports=8291 add action=dst-nat chain=dstnat dst-port=8011 protocol=tcp to-addresses=\ 10.5.10.31 to-ports=8291 add action=masquerade chain=srcnat out-interface=sfp1 сократил маленько ненужное. дригие соединения настриаваюстя нормально (входящие на 80 извне, winbox из вне цепляется)

конечно сбрасывал по дефоулту. фаервол отключал полностью, делал разрешения Input на протокол 47(gre), открывал порт 1723, ну не помогает.