rULeZz Posted April 22, 2015 Posted April 22, 2015 Добрый день. Ситуация: RB951g + мегафон 3g ("серый" динамический IP, соответственно о DDNS можно забыть сразу) + IP-камера. Необходимо из внешней сети получить картинку с камеры. Вооружившись кучей гайдов, пробовал поднять VPN между микротиком и Netgear SRX5308 со статическим "белым" IP. На текущий момент ситуация следующая: внутренние сети микротика и нетгира 192.168.1.0/24, на нетгире поднял PPTP сервер с параметрами Starting IP 192.168.3.60 и Ending IP 192.168.3.80 картинка. Подключился как клиент с микротика, он получил IP 192.168.3.62, IP нетгира 192.168.3.60. В итоге нетгир с микротика пингуется, наоборот - нет. В настройках файрволла микротика ничего запрещающего нет, почему пинги не идут? Также попытался настроить NAT следующим образом (192.168.1.43:88 - камера): Chain: dstnat Dst. Address: 192.168.3.65 Protocol: 6 (tcp) Dst. Port: 88 In. Interface: vpn-test Action: netmap To Adresses: 192.168.1.43 To Ports: 88 Логика верная или что-то не так? Заранее спасибо за помощь! Вставить ник Quote
Saab95 Posted April 22, 2015 Posted April 22, 2015 Вам надо вместо нетгира поставить микротик, на нем создадите учетную запись для подключения вашего удаленного микротика. Далее нужно прописать серую сеть на интерфейсе для подключения камеры, включаете OSPF и готово. Теперь вы со своего первого микротика с белым адресом сможете попасть на камеру. Вставить ник Quote
rULeZz Posted April 22, 2015 Author Posted April 22, 2015 Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир? включаете OSPF Ушел читать про OSPF. Я думал, надо будет сделать что-то такое: ... Далее вам нужно на удаленном прописать маршрут на ваши сети, что бы вы могли на него удаленно попадать из них. Допустим на главном микротике используется сеть 10.0.0.0/16, заходите в IP->Routes и добавляете, 10.0.0.0/16 и в качество адреса шлюза либо IP адрес, который в статусе соединения в адресе сервера указан, либо интерфейс pptp-client или l2tp-client. После этого сможете заходить на оборудование. Никакое перенаправление портов не нужно. Хотя если вам интересно сделать именно через проброс, то можно без прописывания маршрутов. В меню IP-Firewall на главном в разделе NAT создаете новое правило, где вверху dst-nat, dst-port например 1000, на вкладке action выбираете netmap и указываете адрес вашего удаленного маршрутизатора по впн и порт на который перенаправлять, например 80 на веб или 8291 на винбокс. Вставить ник Quote
DRiVen Posted April 22, 2015 Posted April 22, 2015 Dst. Address: 192.168.3.65 Это вообще уберите. А что не пингается - посмотрите, что микротик получил от нетгира по рртр, похоже, что он не знает куда отвечать. Хотите конкретики - покажите /interface pptp-client monitor 0 и /ip route print Вставить ник Quote
rULeZz Posted April 22, 2015 Author Posted April 22, 2015 Чтобы не путаться, поменял подсеть микротика на 192.168.2.0/24 [admin@MikroTik] > /interface pptp-client monitor 0 status: connected uptime: 3h46m2s encoding: MPPE128 stateless mtu: 1450 mru: 1450 local-address: 192.168.3.62 remote-address: 192.168.3.60 [admin@MikroTik] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 S 0.0.0.0/0 79.122.161.189 1 1 ADS 0.0.0.0/0 10.112.113.109 1 2 DS 0.0.0.0/0 192.168.3.60 1 3 ADC 10.112.113.109/32 100.82.126.4 ppp-out1 0 4 DC 79.122.161.188/30 79.122.161.190 ether1-gateway 255 5 A S ;;; ToNetgear 192.168.1.0/24 vpn-test 1 6 ADC 192.168.2.0/24 192.168.2.1 bridge-local 0 7 ADC 192.168.3.60/32 192.168.3.62 vpn-test 0 Вставить ник Quote
DRiVen Posted April 22, 2015 Posted April 22, 2015 Галку "Add default route" в настройках pptp-клиента уберите. Но вообще отвечать должен и так. Пингуете 3.62 с самого нетгира? Вставить ник Quote
Saab95 Posted April 22, 2015 Posted April 22, 2015 Saab95 К сожалению, еще одного микротика нет. Почему не подходит нетгир? Потому что нетгир ничего не умеет в плане настроек. То, что на двух микротиках можно сделать за пару минут, на нетгире не сможете реализовать и за полдня. Вставить ник Quote
rULeZz Posted April 23, 2015 Author Posted April 23, 2015 DRiVen Писал Вам в ЛС из-за ограничения на количество сообщений для новичков=\ Галку убрал. Пингую с самого нетгира: PING 192.168.3.62 (192.168.3.62): 56 data bytes --- 192.168.3.62 ping statistics --- 4 packets transmitted, 0 packets received, 100% packet loss Сам не понимаю, в чем может быть проблема.. Saab95 Да, микротик - самый кастомизируемый роутер из всех, что я встречал, но здесь же просто VPN. SRX5308 - тоже не самый простой роутер и обладает множеством VPN-протоколов. Вставить ник Quote
Zaebasto Posted April 26, 2015 Posted April 26, 2015 А такую фичу как VPN Acsess от самого микротика не пробовали? Я пробовал, работает. Вставить ник Quote
rULeZz Posted April 28, 2015 Author Posted April 28, 2015 Zaebasto Что это? Гуглил VPN Access, ничего внятного не нашел. Вставить ник Quote
rULeZz Posted May 7, 2015 Author Posted May 7, 2015 Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы? Вставить ник Quote
danilbal Posted May 7, 2015 Posted May 7, 2015 Использовать PPTP и на нетгире поискать галочку "пропускать PPTP"? Вставить ник Quote
rULeZz Posted May 8, 2015 Author Posted May 8, 2015 danilbal Нет, на нетгире нет подобной галочки. На нём есть Service, где можно выбрать тип протокола (TCP/UDP/ICMP/ICMPv6) и диапазон портов; далее этот Service можно добавить в правило файрволла. Вставить ник Quote
Night_Snake Posted May 8, 2015 Posted May 8, 2015 Итак, нашел второй Mikrotik, поднял между ними L2TP-туннель, пробросил камеру - все работает. Но здесь микротик, который со статикой, висит на "дорогом" провайдере с помегабайтной тарификацией. Хочется поместить этот микротик в сеть за нетгиром (здесь безлимит). Можно ли пустить весь VPN-трафик между микротиками по какому-то одному порту? Тогда этот порт можно было бы пробросить на нетгире и все бы заработало. Или есть другой путь решения проблемы? Поднимите на микроте за нетгиром l2tp, на нетгире пробросьте udp/1701. Вставить ник Quote
rULeZz Posted May 8, 2015 Author Posted May 8, 2015 Night Snake Так и сделал, присвоил микротику статический адрес 192.168.1.221, поместил его в подсеть нетгира 192.168.1.0/24, пробросил порты 1701 UDP и 1701 TCP - но соединение не устанавливается, на удаленном микротике висит "connecting".. Вставить ник Quote
Night_Snake Posted May 13, 2015 Posted May 13, 2015 Так а микрот-то что говорит? Ладно нетгир тупой (наверное), но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах Вставить ник Quote
rULeZz Posted May 13, 2015 Author Posted May 13, 2015 (edited) но на микроте же можно и торчем посмотреть, и матчи в фаервольных правилах Для меня это что-то новое, только осваиваюсь в микротике да и вообще в сетях. Решил попробовать пойти от обратного - поставить до нетгира микротик. Итак, есть настроенный шлюз Netgear SRX5308 (с внешним IP 141.x.x.x и локальным 192.168.1.1) и множеством правил и проброшенных портов. Планирую текущий патчкорд из WANа нетгира воткнуть в WAN микротика, а также соединить LAN микротика с WANом нетгира, у микротика будет внешний IP 141.х.х.х и локальный, допустим, 192.168.2.1. На микротике проброшу те порты, которые проброшены на нетгире на IP 192.168.2.2, в настройках WAN нетгира укажу: IP Address 192.168.2.2, IP Subnet Mask 255.255.255.252, Gateway IP Address 192.168.2.1. Заработает ли все это дело, или что-то здесь не так? Edited May 13, 2015 by rULeZz Вставить ник Quote
rULeZz Posted May 14, 2015 Author Posted May 14, 2015 Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса? Вставить ник Quote
Saab95 Posted May 14, 2015 Posted May 14, 2015 Решил отказаться от нетгира совсем, настроил микротик аналогично нетгиру, все заработало. Но сейчас возникла проблема: в процессе ковыряния настроек случайно отключил в IP -> Addresses настройку по-умолчанию (default configuration), там было: Address 192.168.1.1/24, Network 192.168.1.0, Interface ether2-master-local. Теперь никак не могу подключиться к роутеру, его IP 192.168.1.1 не пингуется=( Как быть? Сброса настроек очень не хотелось бы, я его настраивал несколько часов. Может, можно как-то отменить последнее действие в настройках при помощи кнопки сброса? Запускаете винбокс на своем компе, нажимаете в списке устройств не на IP, а на мак. Если у вас есть доступ к микротику через винбокс, а к нему подключен другой микротик, можно с микротика зайти на микротик через IP-Neighbors или по телнету, указав IP адрес соседнего. В любом случае строчек вида ether2-master-local на микротике не должно быть. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.