Yeehoo Опубликовано 27 января, 2017 · Жалоба Коллеги, приветствую! Нужна ваша помощь. Являюсь новичком в микротик, гуглить умею, но банально устал и хочу совета. Есть головной офис и филиал Конфиг головного: /interface bridge add admin-mac=6C:3B:6B:8D:4C:81 auto-mac=no comment=defconf name=bridge add name=bridge-local /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN name=ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] master-port=ether2-master set [ find default-name=ether6 ] name=ether6-master set [ find default-name=ether7 ] master-port=ether6-master set [ find default-name=ether8 ] master-port=ether6-master set [ find default-name=ether9 ] master-port=ether6-master set [ find default-name=ether10 ] master-port=ether6-master /ip neighbor discovery set ether1 discover=no /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc /ip pool add name=dhcp ranges=192.168.1.7-192.168.1.250 add name=l2tp-pool ranges=172.16.77.2-172.16.77.62 /ip dhcp-server add address-pool=dhcp interface=bridge name=defconf add add-arp=yes address-pool=dhcp disabled=no interface=bridge lease-time=3d10m name=dhcp1 /ppp profile add change-tcp-mss=yes insert-queue-before=bottom local-address=172.16.77.1 name=l2tp_msk remote-address=l2tp-pool /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf interface=ether6-master add bridge=bridge comment=defconf interface=sfp1 /interface l2tp-server server set authentication=mschap2 default-profile=l2tp_msk enabled=yes ipsec-secret="****" keepalive-timeout=15 max-mru=1418 max-mtu=1418 use-ipsec=yes /ip address add address=192.168.88.1/24 comment=defconf disabled=yes interface=ether2-master network=192.168.88.0 add address=Головной_офис_WAN_IP/30 interface=ether1 network=*** add address=192.168.1.1/24 interface=ether2-master network=192.168.1.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid interface=ether1 /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 /ip dns set allow-remote-requests=yes servers=DNS_ISP,8.8.8.8 /ip dns static add address=192.168.1.250 name=Почтарь add address=192.168.1.1 name=router add address=192.168.1.202 disabled=yes name=терминалка /ip firewall address-list add address=118.69.194.0/24 list=HACKERS add address=91.200.12.0/24 list=HACKERS add address=96.92.78.0/24 list=HACKERS add address=115.127.82.0/24 list=HACKERS add address=5.101.142.0/24 list=HACKERS add address=46.183.219.0/24 list=HACKERS add address=41.216.208.0/24 list=HACKERS add address=211.11.70.0/24 list=HACKERS add address=89.248.174.0/24 list=HACKERS add address=71.40.123.0/24 list=HACKERS add address=195.22.126.0/24 list=HACKERS add address=50.58.76.0/24 list=HACKERS add address=95.158.167.0/24 list=HACKERS add address=155.133.82.0/24 list=HACKERS add address=155.133.24.0/24 list=HACKERS add address=113.161.186.0/24 list=HACKERS add address=45.63.13.0/24 list=HACKERS /ip firewall filter add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=forward comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=input comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions add action=add-src-to-address-list address-list=Suspected_list address-list-timeout=1h chain=forward comment=--Suspected_list-- dst-port=RDP Порт терминалки,RDP Порт почтаря,110,143 log=yes log-prefix=--Suspected_list-- \ protocol=tcp add action=add-src-to-address-list address-list=Suspected_list address-list-timeout=1h chain=input comment=--Suspected_list-- dst-port=RDP Порт терминалки,RDP Порт почтаря,110,143 log=yes log-prefix=--Suspected_list-- \ protocol=tcp add action=add-src-to-address-list address-list=~~~~~~Winbox~~~~~~ address-list-timeout=1h chain=input comment=~~~~~~Winbox~~~~~~ dst-address=Головной_офис_WAN_IP dst-port=8291 log=yes log-prefix=\ ~~~~~~Winbox~~~~~~ protocol=tcp add action=drop chain=forward comment="drop brute forcers" log=yes log-prefix=~~~HACKERS~~~ src-address-list=HACKERS add action=drop chain=input comment="drop brute forcers" log=yes log-prefix=~~~HACKERS~~~ src-address-list=HACKERS add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=udp add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=tcp add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=input comment=" --- 22,21,23 ATTEMPT --- " dst-port=21,22,23 fragment=no log=yes log-prefix=\ " --- 22,21,23 ATTEMPT --- " protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=forward comment=" --- 22,21,23 ATTEMPT --- " dst-port=21,22,23 fragment=no log=yes log-prefix=\ " --- 22,21,23 ATTEMPT --- " protocol=tcp psd=21,3s,3,1 add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=input comment=" --- 22,21,23 ATTEMPT --- " dst-port=23,22,21 log=yes log-prefix=\ " --- 22,21,23 ATTEMPT --- " protocol=udp add action=add-src-to-address-list address-list=ssh_telnet_ftp address-list-timeout=1h chain=forward comment=" --- 22,21,23 ATTEMPT --- " dst-port=23,22,21 log=yes log-prefix=\ " --- 22,21,23 ATTEMPT --- " protocol=udp add action=drop chain=input comment=" --- 22,21,23 ATTEMPT --- " log=yes log-prefix=~~~DROP_21-23~~~ src-address-list=ssh_telnet_ftp add action=drop chain=forward comment=" --- 22,21,23 ATTEMPT --- " log=yes src-address-list=ssh_telnet_ftp add action=add-src-to-address-list address-list=RPC_blacklist address-list-timeout=1h chain=input comment="record RPC" dst-port=593,135 log=yes log-prefix=" --- RPC ATTEMPT --- " protocol=tcp add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=5h chain=input comment="record RDP brute forcers" dst-port=3389 log=yes log-prefix=" --- RDP ATTEMPT --- " \ protocol=tcp add action=drop chain=input comment=---DROP_3389--- log=yes log-prefix=---DROP_3389--- src-address-list=RDP_blacklist add action=accept chain=input comment=L2TP dst-port=1701 packet-mark=esp protocol=udp src-address=Филиал_WAN_IP add action=accept chain=input comment=IPSEC-NAT dst-port=4500 protocol=udp src-address=Филиал_WAN_IP add action=accept chain=input comment=IPSEC dst-port=500 protocol=udp src-address=Филиал_WAN_IP add action=accept chain=input comment=IPSEC protocol=ipsec-esp src-address=Филиал_WAN_IP add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN(was7)" in-interface=ether1 log-prefix=----DROP_FROM_WAN--- add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix=INVALID add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 /ip firewall mangle add action=mark-packet chain=input new-packet-mark=esp passthrough=yes protocol=ipsec-esp /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 add action=dst-nat chain=dstnat comment="NAT for smtp" dst-address=Головной_офис_WAN_IP dst-port=25 protocol=tcp to-addresses=192.168.1.250 to-ports=25 add action=dst-nat chain=dstnat comment="NAT for smtp_ssl" dst-address=Головной_офис_WAN_IP dst-port=465 protocol=tcp to-addresses=192.168.1.250 to-ports=465 add action=dst-nat chain=dstnat comment="NAT for pop" dst-address=Головной_офис_WAN_IP dst-port=110 protocol=tcp to-addresses=192.168.1.250 to-ports=110 add action=dst-nat chain=dstnat comment="NAT for pop_ssl" dst-address=Головной_офис_WAN_IP dst-port=995 protocol=tcp to-addresses=192.168.1.250 to-ports=995 add action=dst-nat chain=dstnat comment="NAT for imap" dst-address=Головной_офис_WAN_IP dst-port=143 protocol=tcp to-addresses=192.168.1.250 to-ports=143 add action=dst-nat chain=dstnat comment="RDP for TS" dst-address=Головной_офис_WAN_IP dst-port=RDP Порт терминалки protocol=tcp to-addresses=192.168.1.202 to-ports=3389 add action=dst-nat chain=dstnat comment="RDP for TSMAD" dst-address=Головной_офис_WAN_IP dst-port=RDP Порт почтаря protocol=tcp to-addresses=192.168.1.250 to-ports=3389 add action=dst-nat chain=dstnat comment="NAT for smtp_2" dst-address=Головной_офис_WAN_IP dst-port=2525 protocol=tcp to-addresses=192.168.1.250 to-ports=25 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes /ip ipsec peer add address=Филиал_WAN_IP/32 dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 generate-policy=port-strict hash-algorithm=md5 local-address=Головной_офис_WAN_IP nat-traversal=no secret=\ "****" send-initial-contact=no /ip route add distance=1 gateway=GW_ISP add distance=1 dst-address=192.168.63.0/24 gateway=*F00000 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set winbox address=192.168.1.0/24,Филиал_WAN_IP/32 set api-ssl disabled=yes /ip traffic-flow set active-flow-timeout=1m cache-entries=32k enabled=yes /ip traffic-flow target add dst-address=192.168.1.35 port=9996 /ip upnp interfaces add interface=ether1 type=external add interface=ether2-master type=internal add interface=ether3 type=internal add interface=ether4 type=internal add interface=ether5 type=internal /ppp secret add name=SAM password=ppp_secret profile=l2tp_msk service=l2tp /routing ospf network add area=backbone disabled=yes network=192.168.1.0/24 add area=backbone disabled=yes network=192.168.63.0/24 add area=backbone disabled=yes network=172.16.77.0/24 /system clock set time-zone-name=Europe/Moscow /system identity set name=MSK /tool mac-server set [ find default=yes ] disabled=yes add interface=bridge /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=bridge Конфиг филиала /interface bridge add admin-mac=6C:3B:6B:26:8B:1D auto-mac=no comment=defconf name=bridge /interface ethernet set [ find default-name=ether2 ] name=ether2-master set [ find default-name=ether3 ] master-port=ether2-master set [ find default-name=ether4 ] master-port=ether2-master set [ find default-name=ether5 ] master-port=ether2-master set [ find default-name=ether6 ] name=ether6-master set [ find default-name=ether7 ] master-port=ether6-master set [ find default-name=ether8 ] master-port=ether6-master set [ find default-name=ether9 ] master-port=ether6-master set [ find default-name=ether10 ] master-port=ether6-master /ip neighbor discovery set ether1 discover=no /interface wireless security-profiles set [ find default=yes ] supplicant-identity=SAM /ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-192-cbc,aes-128-cbc /ip pool add name=dhcp ranges=192.168.63.10-192.168.63.254 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge name=defconf /interface l2tp-client add allow=mschap2 connect-to=Головной_офис_WAN_IP disabled=no ipsec-secret="****" max-mru=1418 max-mtu=1418 name=l2tp-to-msk password=ppp_secret profile=default use-ipsec=yes user=SAM /interface bridge port add bridge=bridge comment=defconf interface=ether2-master add bridge=bridge comment=defconf interface=ether6-master add bridge=bridge comment=defconf disabled=yes interface=sfp1 /ip address add address=192.168.63.1/24 comment=defconf interface=ether2-master network=192.168.63.0 /ip dhcp-client add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1 /ip dhcp-server network add address=192.168.63.0/24 comment=defconf gateway=192.168.63.1 netmask=24 /ip dns set allow-remote-requests=yes servers=192.168.1.1 /ip firewall filter add action=add-src-to-address-list address-list=RDP_blacklist address-list-timeout=5h chain=input comment="record RDP brute forcers" dst-port=3389 log=yes log-prefix=" --- RDP ATTEMPT --- " protocol=tcp add action=drop chain=input comment=---DROP_3389--- log=yes log-prefix=---DROP_3389--- src-address-list=RDP_blacklist add action=drop chain=input comment="drop incoming DNS requests" dst-port=53 in-interface=ether1 log=yes log-prefix=INC_DNS_REQ protocol=udp add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=forward comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions add action=add-src-to-address-list address-list=PPP_actions address-list-timeout=1h chain=input comment=PPP_mon disabled=yes in-interface=all-ppp log=yes log-prefix=PPP_actions add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input dst-port=8291 protocol=tcp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1 add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1 /ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes /ip ipsec peer add address=Головной_офис_WAN_IP/32 dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 hash-algorithm=md5 local-address=Филиал_WAN_IP nat-traversal=no secret="****" /ip ipsec policy add disabled=yes dst-address=Филиал_WAN_IP/32 protocol=udp sa-dst-address=Филиал_WAN_IP sa-src-address=Головной_офис_WAN_IP src-address=Головной_офис_WAN_IP/32 /ip route add distance=1 dst-address=192.168.1.0/24 gateway=172.16.77.1 /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set ssh disabled=yes set api disabled=yes set winbox address=192.168.1.0/24,192.168.63.0/24,Филиал_WAN_IP/32,Головной_офис_WAN_IP/32 set api-ssl disabled=yes /routing ospf network add area=backbone disabled=yes network=192.168.1.0/24 add area=backbone disabled=yes network=192.168.63.0/24 add area=backbone disabled=yes network=172.16.77.0/24 /system clock set time-zone-name=Europe/Moscow /system identity set name=SAM /system logging add topics=!l2tp,!info,!ipsec /tool mac-server set [ find default=yes ] disabled=yes add interface=bridge /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=bridge Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора. Вопрос 2: В общем и целом конфа норм? Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик? Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...) Заранее благодарю! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yeehoo Опубликовано 27 января, 2017 (изменено) · Жалоба Еще 1-н вопрос: 15:37:07 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 15:37:07 l2tp,ppp,info,account SAM logged out, 50782 793091 32986379 14355 25361 15:37:07 l2tp,ppp,info <l2tp-SAM>: disconnected 15:37:26 l2tp,ppp,info,account SAM logged in, 172.16.77.62 15:37:26 l2tp,ppp,info <l2tp-SAM>: authenticated 15:37:27 l2tp,ppp,info <l2tp-SAM>: connected 16:00:02 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 16:00:02 l2tp,ppp,info,account SAM logged out, 1358 3850 1867 45 12 16:00:02 l2tp,ppp,info <l2tp-SAM>: disconnected 16:00:06 l2tp,ppp,info,account SAM logged in, 172.16.77.62 16:00:06 l2tp,ppp,info <l2tp-SAM>: authenticated 16:00:06 l2tp,ppp,info <l2tp-SAM>: connected После этого в IP=>Routes отваливается нижний маршрут(выделение красным, в поле GW=unreachable). Почему это происходит, что делать, где почитать? Все вышеперечисленное настраивал сам, начитавшись манов в гугле. P.S. Зарегался сегодня, следующее сообщение смогу не ранее 14-00 завтрашнего дня. Изменено 27 января, 2017 пользователем Yeehoo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 27 января, 2017 (изменено) · Жалоба Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора. Вопрос 2: В общем и целом конфа норм? Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик? Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...) Заранее благодарю! 1: AES-256 довольно прожорлив по ресурсам, поэтому процессор и нагружается. AES-128 достаточно, если хотите реально шифроваться. Если для галочки, можно 3DES, DES или вообще MPPE128 без IPSec. 2: На головном роутере из пула DHCP не исключены адреса серверов. Ну, и, без полного понимания ваших задач, что-то ещё ответить затруднительно. 3: А сейчас разве не так? 4: Что сейчас выступает в качестве DNS сервера (в головном и филиале)? Еще 1-н вопрос: 15:37:07 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 15:37:07 l2tp,ppp,info,account SAM logged out, 50782 793091 32986379 14355 25361 15:37:07 l2tp,ppp,info <l2tp-SAM>: disconnected 15:37:26 l2tp,ppp,info,account SAM logged in, 172.16.77.62 15:37:26 l2tp,ppp,info <l2tp-SAM>: authenticated 15:37:27 l2tp,ppp,info <l2tp-SAM>: connected 16:00:02 l2tp,ppp,info <l2tp-SAM>: terminating... - peer is not responding 16:00:02 l2tp,ppp,info,account SAM logged out, 1358 3850 1867 45 12 16:00:02 l2tp,ppp,info <l2tp-SAM>: disconnected 16:00:06 l2tp,ppp,info,account SAM logged in, 172.16.77.62 16:00:06 l2tp,ppp,info <l2tp-SAM>: authenticated 16:00:06 l2tp,ppp,info <l2tp-SAM>: connected После этого в IP=>Routes отваливается нижний маршрут(выделение красным, в поле GW=unreachable). Почему это происходит, что делать, где почитать? Все вышеперечисленное настраивал сам, начитавшись манов в гугле. Как часто рвётся l2tp соединение? Посмотрите лог филиального роутера в эти моменты. А то, что отваливается маршрут, неудивительно - l2tp интерфейс-то упал. Изменено 27 января, 2017 пользователем Nuts Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 января, 2017 · Жалоба Вопрос 1: Почему в момент передачи файла тупым копированием с сервера в офисе на рабочий стол филиала загрузка проца в Tools =>Profile 100% (123.jpg), ежели отключить ipsec , то все проходит незаметно для процессора. Потому что шифрование занимает ресурсы профессора, в 99.9 процентах случаев шифрование вообще не нужно. Вопрос 2: В общем и целом конфа норм? В конфиге много не нужных блокировок и всего лишнего, его можно раза в 3 уменьшить. Вопрос 3: Как правильно сделать что-бы трафик в туннеле был только на сервер 1-с(терминалка) и на почтарь, а запросы в инет обрабатывал бы местный микротик? Ну так сделайте маршруты на эти сервера, что бы удаленные офисы знали куда пакеты отправлять, а основной интернет сам побежит по местному интернету, если ничего лишнего специально не настраивать. Вопрос 4: Как правильно сделать что-бы был доступ из филиала в сеть офиса по имени(dns сейчас не резолвит, я запутался) Хочу подключать людей к базам SQL через имя а не через IP (беда в том что в консоли управления сервером 1-с сервер назван по имени а не по IP, и соответственно если не добавлять это-же сервер как резервный только по IP, то 1-с не арбайтен т.к. не резолвятся запросы...) В настройках DNS укажите статическую запись на IP сервера, соответственно все компьютеры офисов должны работать через ДНС микротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yeehoo Опубликовано 31 января, 2017 · Жалоба 1: AES-256 довольно прожорлив по ресурсам, поэтому процессор и нагружается. AES-128 достаточно, если хотите реально шифроваться. Если для галочки, можно 3DES, DES или вообще MPPE128 без IPSec. Спасибо, поотключал все кроме 128 аес, помогло! 2: На головном роутере из пула DHCP не исключены адреса серверов. Ну, и, без полного понимания ваших задач, что-то ещё ответить затруднительно. Знаю, надо будет заняться, убрать статику и вынести из пула. 3: А сейчас разве не так? Я зачем-то внес в тестовом конфиге филиала микротик головного офиса как днс, здесь он без него и соответственно с этим конфигом все норм. 4: Что сейчас выступает в качестве DNS сервера (в головном и филиале)? Сейчас в обоих офисах днс-ом выступает микротик Как часто рвётся l2tp соединение? Посмотрите лог филиального роутера в эти моменты. А то, что отваливается маршрут, неудивительно - l2tp интерфейс-то упал. Видимо было связано с внесением изменений в конфиг, аптайм тунеля 4 дня с гаком. Спасибо за наводки, сейчас все ок, за исключением не резолвящегося из филиала сервера в головном офисе, но тут есть мысль что мне поможет роутинг, или статика в днс... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yeehoo Опубликовано 31 января, 2017 · Жалоба Потому что шифрование занимает ресурсы профессора, в 99.9 процентах случаев шифрование вообще не нужно. Идея не моя, у шефа образование=IT безопасность и он хочет чтоб шифровалось все... бесполезно спорить В конфиге много не нужных блокировок и всего лишнего, его можно раза в 3 уменьшить. Не соглашусь с Вами, помимо дефолтных я добавил еще 5 блокировок: входящие днс запросы по 53 порту=2шт(input+forward), 2 правила на дроп брутфорсеров через адрес листы(эти люди перебирали пароли на мой почтарь, в следствии чего и были внесены в списки сначала почтовиком, а потом ручками на микротике) и еще одно правило дропающие подключения на 3389 т.к. порты замаплены другие и если кто-то ломиться на 3389 => ничего хорошего он мне не несет, это паранойя да, не спорю, но мне спокойнее Ну так сделайте маршруты на эти сервера, что бы удаленные офисы знали куда пакеты отправлять, а основной интернет сам побежит по местному интернету, если ничего лишнего специально не настраивать. Уже решил, накосячил маленько с конфигом, поправил=работает В настройках DNS укажите статическую запись на IP сервера, соответственно все компьютеры офисов должны работать через ДНС микротика. Спасибо за критику и наводки. Попутно спрошу тут-же: ip ipsec> counters print не работает с 6.38 версией, как проверить что шифруется трафик? p.s. показать визуально боссу чтоб он спал спокойнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yeehoo Опубликовано 2 февраля, 2017 (изменено) · Жалоба ip ipsec> counters print не работает с 6.38 версией, как проверить что шифруется трафик? p.s. показать визуально боссу чтоб он спал спокойнее. ip ipsec statistics print не то Изменено 2 февраля, 2017 пользователем Yeehoo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...