-
Публикации
20 -
Зарегистрирован
-
Посещение
Все публикации пользователя johnfx
-
MIkrotik NAT
тему добавил johnfx в Программное обеспечение, биллинг и *unix системы
Здравтвуйте! есть серая сеть, есть пул белых ip, шлюз для них, авторизация серых проиходит на другом железе, на микротике нужно реализовать только nat, т.е. на входе 10.220.0.0/18, транслируюрся в пул белых 188.х.х.0/24 и выходят наружу через 141.х.х.х вот конфиг, но что-то тут явно не так... # /interface bonding add link-monitoring=none mode=802.3ad name=bo-ex slaves=ether1,ether2,ether3,ether4 add link-monitoring=none mode=802.3ad name=bo-loc slaves=ether5,ether6,ether7,ether8 /interface vlan add interface=bo-loc name=vlan-800-bo-loc vlan-id=800 add interface=bo-loc name=vlan-3800-bo-loc vlan-id=3800 add interface=bo-ex name=vlan-3900-bo-ex vlan-id=3900 /ip address add address=10.220.0.0/18 interface=bo-loc network=10.220.0.0 add address=188.x.x.x/24 interface=bo-ex network=188.x.x.0 add address=172.18.0.100/24 interface=vlan-800-bo-loc network=172.18.0.0 add address=141.x.x.122/30 interface=vlan-3800-bo-loc network=141.x.x.120 add address=141.x.x.126/30 interface=vlan-3900-bo-ex network=141.x.x.124 /ip firewall address-list add address=10.220.0.0/18 list=p-108 add address=188.x.x.0/24 list=p-108 /ip firewall filter add chain=input connection-state=established,related add chain=input src-address-list=p-108 add chain=input src-address=172.18.0.0/16 add chain=input src-address=192.168.0.0/16 add action=drop chain=input add chain=forward connection-state=established,related add chain=forward src-address-list=p-108 add chain=forward src-address=172.18.0.0/16 add action=drop chain=forward /ip firewall mangle add action=mark-connection chain=prerouting log=yes new-connection-mark=c-108 src-address-list=p-108 add action=mark-packet chain=prerouting connection-mark=c-108 new-packet-mark=p-108 add action=mark-routing chain=prerouting new-routing-mark=r-108 src-address-list=p-108 add action=mark-routing chain=prerouting dst-address-list=p-108 new-routing-mark=r-108 add action=mark-routing chain=prerouting disabled=yes new-routing-mark=r-107 src-address-list=p-107 add action=mark-routing chain=prerouting disabled=yes dst-address-list=p-107 new-routing-mark=r-107 /ip firewall nat add action=src-nat chain=srcnat comment=108 out-interface=vlan-3900-bo-ex src-address-list=p-108 to-addresses=188.x.x.0/24 add action=masquerade chain=srcnat out-interface=vlan-3900-bo-ex /ip firewall service-port set ftp disabled=yes /ip route add distance=1 gateway=141.x.x.125 routing-mark=r-108 add disabled=yes distance=1 gateway=141.x.x.125 routing-mark=r-108 add distance=5 gateway=172.18.0.1 -
внешний адрес
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
это уже что-то готовое, куда соединятся надо, а далее будет внешний адрес но так будет сложнее всё это маршрутизировать, посмотреть, пощупать нельзя... нашел firstvds.ру остановлюсь на vps с mikrotik + куча IP. всем спасибооо! -
внешний адрес
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
это надо будет взять vps c несколькими внешними ип, на него натянуть mikrotik, на виртуальные интерфейсы по айпишнику, один из них для входа, остальные для внешних соединений... как-то так? -
Здравствуйте! есть несколько машин, им выдаются серые адреса, пров внешние не даёт. можно ли через vpn или ещё как... их куда нибудь подключить, что бы были у каждого былый ип и потом к ним коннектится то же с внешки?
-
mikrotik Scan List
тему ответил в johnfx пользователя johnfx в Mikrotik Wireless
О!, я правда был слеп%) -
mikrotik Scan List
тему ответил в johnfx пользователя johnfx в Mikrotik Wireless
я может слепой но не могу найти где это. Scan List: default можно вроде вручную вписать, но больше 1й не получается, а не default создать надо. вида: 5100-5200,5700,5735... -
mikrotik Scan List
тему добавил johnfx в Mikrotik Wireless
Здравствуйте! А где можно самому составить список частот, по которым клиент должен искать базу? -
mikrotik vlan bridge
тему ответил в johnfx пользователя johnfx в Mikrotik коммутаторы и маршрутизаторы
при 1ом способе будет меньше нагрузки на проц(?),больше на порты(?)т.к. лишний трафик влишних вланах. при втором как-то нагляднее что где проходит. как всётаки принимать и передавать эти вланы? -
mikrotik vlan bridge
тему добавил johnfx в Mikrotik коммутаторы и маршрутизаторы
Здравствуйте! На микротике вланы можно прокинуть следующим обзазом: 1. Просто два интерфейса в мост, и через него всё-всё-всё проходит, если отдельно нужен на устройстве влан, его прописываю на этом-же мосту. 2. Создать вланы на нужных портах и объединить каждый влан в отдельный мост (в этот же мост и порт можно засунуть для "растэгирования"). чем эти способы отличаются и как лучше делать? -
Микротик проброс портов
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
короче разобрался сам. в той сетке по которой пробрасываются порты нужно на устройствах прописывать шлюз по-умолчанию. например: устройство с внешним ИП(88.99.88.11) и с внутренним 10.5.108.1/24 (конкретно этот внутренний в 108-vlan на всех устройствах) на нём же прописано правило /ip firewall nat add action=netmap chain=dstnat comment=mkt disabled=no dst-port=810 in-interface=sfp1 protocol=tcp to-addresses=10.5.108.10 to-ports=8291 на остальных подключенных к нему(10.5.108.0/24) пишем /ip route add geteway=10.5.108.1 и теперя 88.99.88.11:810 получает доступ куда надо. -
вот у меня на некоторые устройства срабатывает порт форвардинг а на некоторые нет, фаервол отключен, пинг идёт с основного до требуемого, а перенаправление не срабатывает... висит вот так: пакеты при этом напротив правила идут... tcp-dump: 10:54:39.226199 CDPv2, ttl: 180s, Device-ID 'Ch', length 325 10:54:53.225307 IP yandex.ru.http > 10.5.3.3.50473: Flags [F.], seq 161, ack 1112, win 65535, length 0 10:54:53.225512 IP 10.5.3.3.50473 > yandex.ru.http: Flags [F.], seq 1112, ack 162, win 30016, length 0 10:54:53.229836 IP yandex.ru.http > 10.5.3.3.50473: Flags [.], ack 1113, win 65534, length 0 10:55:07.347271 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:08.345401 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:10.349440 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:12.361368 ARP, Request who-has 10.5.3.1 tell 10.5.3.3, length 28 10:55:12.361954 IP 10.5.3.3.2004 > wss.ext.ru.domain: 25115+ PTR? 1.3.5.10.in-addr.arpa. (39) 10:55:12.362522 ARP, Reply 10.5.3.1 is-at 00:0d:65:8f:b1:fc (oui Unknown), length 46 10:55:12.379506 IP wss.ext.ru.domain > 10.5.3.3.2004: 25115 NXDomain 0/1/0 (88) 10:55:14.361385 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:22.377459 IP 10.5.3.3.45329 > 191-15-20-26-mha.ru.8220: Flags [s], seq 2005276827, win 29200, options [mss 1460], length 0 10:55:24.381931 IP 10.5.3.3.54762 > la-in-f19.1e100.net.https: Flags [P.], seq 86:127, ack 42, win 55224, length 41 10:55:24.472675 IP la-in-f19.1e100.net.https > 10.5.3.3.54762: Flags [P.], seq 42:83, ack 127, win 65535, length 41 10:55:24.472774 IP 10.5.3.3.54762 > la-in-f19.1e100.net.https: Flags [.], ack 83, win 55224, length 0 10:55:24.479190 ARP, Request who-has 10.5.3.9 tell 10.5.3.8, length 46 10:55:24.479843 IP 10.5.3.3.7047 > wss.ext.domain: 5388+ PTR? 9.3.5.10.in-addr.arpa. (39) 10:55:24.488055 IP wss.ext.ru.domain > 10.5.3.3.7047: 5388 NXDomain 0/1/0 (88) 10:55:24.488810 IP 10.5.3.3.52129 > wss.ext.domain: 48520+ PTR? 8.3.5.10.in-addr.arpa. (39) 10:55:24.498558 IP wss.ext.ru.domain > 10.5.3.3.52129: 48520 NXDomain 0/1/0 (88) лог на микротике при попытке соединения неменяется отключал firewall rules все полностью тоже не помогло...
-
VPN из внешней сети не коннектится
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Mar 13 16:41:24 john-laptop pppd[2287]: Plugin /usr/lib/pppd/2.4.5//nm-pptp-pppd-plugin.so loaded. Mar 13 16:41:24 john-laptop pppd[2287]: pppd 2.4.5 started by root, uid 0 Mar 13 16:41:25 john-laptop pppd[2287]: Using interface ppp0 Mar 13 16:41:25 john-laptop pppd[2287]: Connect: ppp0 <--> /dev/pts/1 Mar 13 16:41:31 john-laptop pppd[2287]: Modem hangup Mar 13 16:41:31 john-laptop pppd[2287]: Connection terminated. Mar 13 16:41:31 john-laptop pppd[2287]: Exit. как проверить? есть пример настройки? -
VPN из внешней сети не коннектится
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
просто пишет не установлено. система ubuntu 10.04 со стороны микротика пишет: waiting for call... terminating... disconnected... -
VPN из внешней сети не коннектится
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
все настройки firewall: [admin@news] /ip firewall> export compac /ip firewall address-list add address=10.5.2.47 comment=eliteco list=speed-3300k add address=10.5.16.10 comment=j7-home_2014 list=speed-2300k add address=10.5.16.152 comment=omni1-b52-2666 list=speed-3300k /ip firewall filter add chain=input comment=rip dst-port=520 in-interface=sfp1 protocol=udp \ src-port=520 add chain=output comment=rip dst-port=520 out-interface=sfp1 protocol=udp \ src-port=520 add chain=input dst-address=99.195.40.246 protocol=gre src-address=\ 89.82.162.70 add chain=input dst-port=1723 protocol=tcp add chain=output protocol=tcp src-port=1723 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=forward comment="allow established" connection-state=established \ in-interface=sfp1 add chain=forward comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=forward comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=forward comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add chain=input comment="allow established" connection-state=established \ in-interface=sfp1 add chain=input comment="allow related" connection-state=related \ in-interface=sfp1 add action=reject chain=input comment="reject new" connection-state=new \ in-interface=sfp1 add action=drop chain=input comment="drop invalid" connection-state=invalid \ in-interface=sfp1 add action=drop chain=input protocol=icmp add action=drop chain=input dst-port=80 in-interface=sfp1 protocol=tcp add chain=forward comment=2300k src-address-list=speed-2300k add chain=forward comment=3300k src-address-list=speed-3300k add chain=forward comment=27m src-address-list=speed-27M add action=drop chain=forward src-address=10.5.10.0/24 add action=drop chain=forward src-address=10.5.16.0/24 add action=add-dst-to-address-list address-list=dst_list_16 \ address-list-timeout=2m chain=forward comment=16 dst-address-list=\ speed-2300k protocol=udp add chain=forward comment=16 dst-address-list=dst_list_16 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=16 dst-address-list=dst_list_16 \ reject-with=icmp-admin-prohibited add action=add-dst-to-address-list address-list=dst_list_10 \ address-list-timeout=2m chain=forward comment=10 dst-address-list=\ speed-3300k protocol=udp add chain=forward comment=10 dst-address-list=dst_list_10 dst-limit=\ 200,500,dst-address add action=reject chain=forward comment=10 dst-address-list=dst_list_10 \ reject-with=icmp-admin-prohibited /ip firewall mangle add action=mark-connection chain=prerouting comment=all new-connection-mark=\ c-inet add action=mark-packet chain=prerouting comment=all connection-mark=c-inet \ new-packet-mark=p-inet passthrough=no add action=mark-connection chain=prerouting comment=2300k \ new-connection-mark=c-2300k src-address-list=speed-2300k add action=mark-packet chain=prerouting comment=2300k connection-mark=c-2300k \ new-packet-mark=p-2300k passthrough=no add action=mark-connection chain=prerouting comment=3300k \ new-connection-mark=c-3300k src-address-list=speed-3300k add action=mark-packet chain=prerouting comment=3300k connection-mark=c-3300k \ new-packet-mark=p-3300k passthrough=no add action=mark-connection chain=prerouting comment=27 new-connection-mark=\ c-27M src-address-list=speed-27M add action=mark-packet chain=prerouting comment=27 connection-mark=c-27M \ new-packet-mark=p-27M passthrough=no /ip firewall nat add action=dst-nat chain=dstnat dst-port=8087 protocol=tcp to-addresses=\ 10.5.7.40 to-ports=8291 add action=dst-nat chain=dstnat dst-port=8011 protocol=tcp to-addresses=\ 10.5.10.31 to-ports=8291 add action=masquerade chain=srcnat out-interface=sfp1 сократил маленько ненужное. дригие соединения настриаваюстя нормально (входящие на 80 извне, winbox из вне цепляется) -
VPN из внешней сети не коннектится
тему ответил в johnfx пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
конечно сбрасывал по дефоулту. фаервол отключал полностью, делал разрешения Input на протокол 47(gre), открывал порт 1723, ну не помогает. -
Здравствуйте! mikrotik по pptp не подключается из внешней сети, из внутренней всё идёт нормально. лог пишет: <pptp-0>: waiting for call... <pptp-0>: terminating... <pptp-0>: disconnected
-
Блокировка потокового видео
тему ответил в irihorn95 пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
mikrotik L7 videostream http://forum.mikrotik.com/viewtopic.php?f=13&t=67254 -
Помехи в сети
тему ответил в r-max-79 пользователя johnfx в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Кто-то включает дома у себя мыльницу, в которой петля;) причин множество. нужно: разделять сеть по вланам, влан на дом или влан на пользователя. схему сети физическую надо видеть, может подробнее подскажем. -
Здравствуйте! Из внутренней сети могу подключить VPN, а из внешней - не хочет. пишет: waiting for call... terminating... disconnected... подключаюсь на внешний IP mikrotik rb2011uas /ppp profile set 0 change-tcp-mss=yes name=default only-one=default use-compression=default use-encryption=default use-mpls=default use-vj-compression=default add bridge=bridge1 change-tcp-mss=yes local-address=10.5.108.16 name=prof-10 only-one=default remote-address=p-108 use-compression=no use-encryption=no \ use-mpls=no use-vj-compression=no set 2 change-tcp-mss=yes name=default-encryption only-one=default use-compression=default use-encryption=yes use-mpls=default use-vj-compression=default /ppp aaa set accounting=yes interim-update=0s use-radius=no /ppp secret add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=admin40 password=8621 profile=prof-10 routes="" service=any add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=admin password=samsung2mrtg profile=prof-10 routes="" service=pptp
-
Здравствуйте! Никто не доскажет, как сбоосить 3com 3812 на заводские настройки?