rULeZz Posted April 22, 2015 · Report post Добрый день. Ситуация: RB951g + мегафон 3g ("серый" динамический IP, соответственно о DDNS можно забыть сразу) + IP-камера. Необходимо из внешней сети получить картинку с камеры. Вооружившись кучей гайдов, пробовал поднять VPN между микротиком и Netgear SRX5308 со статическим "белым" IP. На текущий момент ситуация следующая: внутренние сети микротика и нетгира 192.168.1.0/24, на нетгире поднял PPTP сервер с параметрами Starting IP 192.168.3.60 и Ending IP 192.168.3.80 картинка. Подключился как клиент с микротика, он получил IP 192.168.3.62, IP нетгира 192.168.3.60. В итоге нетгир с микротика пингуется, наоборот - нет. В настройках файрволла микротика ничего запрещающего нет, почему пинги не идут? Также попытался настроить NAT следующим образом (192.168.1.43:88 - камера): Chain: dstnat Dst. Address: 192.168.3.65 Protocol: 6 (tcp) Dst. Port: 88 In. Interface: vpn-test Action: netmap To Adresses: 192.168.1.43 To Ports: 88 Логика верная или что-то не так? Заранее спасибо за помощь! Share this post Link to post Share on other sites
Saab95 Posted April 22, 2015 · Report post Вам надо вместо нетгира поставить микротик, на нем создадите учетную запись для подключения вашего удаленного микротика. Далее нужно прописать серую сеть на интерфейсе для подключения камеры, включаете OSPF и готово. Теперь вы со своего первого микротика с белым адресом сможете попасть на камеру. Share this post Link to post Share on other sites
rULeZz Posted April 22, 2015 · Report post Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир? включаете OSPF Ушел читать про OSPF. Я думал, надо будет сделать что-то такое: ... Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно. Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс. Share this post Link to post Share on other sites
DRiVen Posted April 22, 2015 · Report post Dst. Address: 192.168.3.65 Это вообще уберите. А что не пингается - посмотрите, что микротик получил от нетгира по рртр, похоже, что он не знает куда отвечать. Хотите конкретики - покажите /interface pptp-client monitor 0 и /ip route print Share this post Link to post Share on other sites
rULeZz Posted April 22, 2015 · Report post Чтобы не путаться, поменял подсеть микротика на 192.168.2.0/24 [admin@MikroTik] > /interface pptp-client monitor 0 status: connected uptime: 3h46m2s encoding: MPPE128 stateless mtu: 1450 mru: 1450 local-address: 192.168.3.62 remote-address: 192.168.3.60 [admin@MikroTik] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 S 0.0.0.0/0 79.122.161.189 1 1 ADS 0.0.0.0/0 10.112.113.109 1 2 DS 0.0.0.0/0 192.168.3.60 1 3 ADC 10.112.113.109/32 100.82.126.4 ppp-out1 0 4 DC 79.122.161.188/30 79.122.161.190 ether1-gateway 255 5 A S ;;; ToNetgear 192.168.1.0/24 vpn-test 1 6 ADC 192.168.2.0/24 192.168.2.1 bridge-local 0 7 ADC 192.168.3.60/32 192.168.3.62 vpn-test 0 Share this post Link to post Share on other sites
DRiVen Posted April 22, 2015 · Report post Галку "Add default route" в настройках pptp-клиента уберите. Но вообще отвечать должен и так. Пингуете 3.62 с самого нетгира? Share this post Link to post Share on other sites
Saab95 Posted April 22, 2015 · Report post Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир? Потому что нетгир ничего не умеет в плане настроек. То, что на двух микротиках можно сделать за пару минут, на нетгире не сможете реализовать и за полдня. Share this post Link to post Share on other sites
rULeZz Posted April 23, 2015 · Report post DRiVen Писал Вам в ЛС из-за ограничения на количество сообщений для новичков=\ Галку убрал. Пингую с самого нетгира: PING 192.168.3.62 (192.168.3.62): 56 data bytes --- 192.168.3.62 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss Сам не понимаю, в чем может быть проблема.. Saab95 Да, микротик - самый кастомизируемый роутер из всех, что я встречал, но здесь же просто VPN. SRX5308 - тоже не самый простой роутер и обладает множеством VPN-протоколов. Share this post Link to post Share on other sites
Zaebasto Posted April 26, 2015 · Report post А такую фичу как VPN Acsess от самого микротика не пробовали? Я пробовал, работает. Share this post Link to post Share on other sites
rULeZz Posted April 28, 2015 · Report post Zaebasto Что это? Гуглил VPN Access, ничего внятного не нашел. Share this post Link to post Share on other sites
rULeZz Posted May 7, 2015 · Report post Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы? Share this post Link to post Share on other sites
danilbal Posted May 7, 2015 · Report post Использовать PPTP и на нетгире поискать галочку "пропускать PPTP"? Share this post Link to post Share on other sites
rULeZz Posted May 8, 2015 · Report post danilbal Нет, на нетгире нет подобной галочки. На нём есть Service, где можно выбрать тип протокола (TCP/UDP/ICMP/ICMPv6) и диапазон портов; далее этот Service можно добавить в правило файрволла. Share this post Link to post Share on other sites
Night_Snake Posted May 8, 2015 · Report post Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы? Поднимите на микроте за нетгиром l2tp, на нетгире пробросьте udp/1701. Share this post Link to post Share on other sites
rULeZz Posted May 8, 2015 · Report post Night Snake Так и сделал, присвоил микротику статический адрес 192.168.1.221, поместил его в подсеть нетгира 192.168.1.0/24, пробросил порты 1701 UDP и 1701 TCP - но соединение не устанавливается, на удаленном микротике висит "connecting".. Share this post Link to post Share on other sites
Night_Snake Posted May 13, 2015 · Report post Так а микрот-то что говорит? Ладно нетгир тупой (наверное), но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах Share this post Link to post Share on other sites
rULeZz Posted May 13, 2015 (edited) · Report post но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах Для меня это что-то новое, только осваиваюсь в микротике да и вообще в сетях. Решил попробовать пойти от обратного - поставить до нетгира микротик. Итак, есть настроенный шлюз Netgear SRX5308 (с внешним IP 141.x.x.x и локальным 192.168.1.1) и множеством правил и проброшенных портов. Планирую текущий патчкорд из WANа нетгира воткнуть в WAN микротика, а также соединить LAN микротика с WANом нетгира, у микротика будет внешний IP 141.х.х.х и локальный, допустим, 192.168.2.1. На микротике проброшу те порты, которые проброшены на нетгире на IP 192.168.2.2, в настройках WAN нетгира укажу: IP Address 192.168.2.2, IP Subnet Mask 255.255.255.252, Gateway IP Address 192.168.2.1. Заработает ли все это дело, или что-то здесь не так? Edited May 13, 2015 by rULeZz Share this post Link to post Share on other sites
rULeZz Posted May 14, 2015 · Report post Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса? Share this post Link to post Share on other sites
divxl Posted May 14, 2015 · Report post По маку подключитесь. Share this post Link to post Share on other sites
Saab95 Posted May 14, 2015 · Report post Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса? Запускаете винбокс на своем компе, нажимаете в списке устройств не на IP, а на мак. Если у вас есть доступ к микротику через винбокс, а к нему подключен другой микротик, можно с микротика зайти на микротик через IP-Neighbors или по телнету, указав IP адрес соседнего. В любом случае строчек вида ether2-master-local на микротике не должно быть. Share this post Link to post Share on other sites
