[Badyavka]

Здравствуйте. Не получается настроить удаленный доступ к антенне. На SXT LTE настроили впн клиент, через мобильного оператора подключаемся к нашему впн серверу, антенна получает наш внешний IP адрес, но попасть на саму антенну по этому белому адресу не удается. Подскажите, пожалуйста, как сделать чтобы мы смогли попасть на этот SXT?

Edited November 30, 2018 by Badyavka

[Saab95]

Пинг уже проверяли с вашего PPP сервера до IP, что SXT LTE выдаете? Возможно в файрволе доступ закрыт.

Другой вариант, если пинг проходит, то на самом SXT прописать маршрут на ваши адреса, с которых на него доступ собираетесь получить.

[Badyavka]

3 часа назад, Saab95 сказал:

Пинг уже проверяли с вашего PPP сервера до IP, что SXT LTE выдаете? Возможно в файрволе доступ закрыт.

Другой вариант, если пинг проходит, то на самом SXT прописать маршрут на ваши адреса, с которых на него доступ собираетесь получить.

Пинг идет, маршрут прописывает, но эффекта нет. Убираем галочку Default Route в интерфейсе LTE не помогает, прописываем через командную строку - не помогает (((

https://forum.mikrotik.com/viewtopic.php?t=136972 тут похожая проблема, ничего не помогает (((

[Saab95]

Вообще это базовые принципы маршрутизации - все должно работать если верно настроите. Приведите тогда хотя бы конфиг устройства, и общую схему адресации что куда ходит и какие IP в туннеле.

[dimokrzn]

вот конфиг

# dec/01/2018 20:47:02 by RouterOS 6.44beta40
#
# model = RBSXTR
/interface lte
set [ find ] mac-address=AC:FF:FF:00:00:00 name=lte1 network-mode=lte
/interface pptp-client
add add-default-route=yes connect-to=185.xx.xx.xx name=pptp-out1 password=\
    58690933 user=1819
/interface lte apn
set [ find default=yes ] default-route-distance=1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.10.2-192.168.10.10
/ip dhcp-server
add address-pool=pool1 disabled=no interface=ether1 name=server1
/ip address
add address=192.168.10.1/24 interface=ether1 network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=pptp-out1
add action=masquerade chain=srcnat out-interface=lte1
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=lte
/system routerboard settings
set auto-upgrade=yes silent-boot=no
/system routerboard sim
set sim-slot=b
 

 

поставить add default route в pptp не помогает, если в настройках lte убрать default route тоже

[DAF]

В  /ip firewall filter input разрешен?

ВПН сервер на чем поднят?

Адреса туннеля с локальными не пересекаются?

 

3 hours ago, dimokrzn said:

add add-default-route=yes connect-to=185.xx.xx.xx name=pptp-out1 password=\
    58690933 user=1819

оффтоп - это замануха такая? :)

[Saab95]

Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать.

В настройках pptp соединения галочку дефолт роута снять.

 

Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается.

 

Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить.

Еще можно OSPF включить=)

[Paulus]

Я немного по другому стучусь на sxt lte, я подключаюсь к впн, а потом стучусь на sxt. 

[Paulus]

1 час назад, Paulus сказал:

Я немного по другому стучусь на sxt lte, я подключаюсь к впн, а потом стучусь на sxt. 

А для подключения видеонабоюдение хочу пробросить портыс домашнего hex на sxt с него на регистратор. 

[dimokrzn]

18 часов назад, DAF сказал:

В  /ip firewall filter input разрешен?

ВПН сервер на чем поднят?

Адреса туннеля с локальными не пересекаются?

 

оффтоп - это замануха такая? :)

мало значимая информация, но все же:

input в /ip firewall filter разрешен

ВПН поднят на микротике

адреса туннеля не пересакаются.

 

p.s. для заманухи мало информации))

 

6 часов назад, Saab95 сказал:

Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать.

В настройках pptp соединения галочку дефолт роута снять.

 

Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается.

 

Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить.

Еще можно OSPF включить=)

огромное спасибо за помощь. с доступом все решилось. не понятно только c трафиком через впн. независимо от настроек, ходит только через lte.

Edited December 2, 2018 by dimokrzn

[Badyavka]

В 02.12.2018 в 11:37, Saab95 сказал:

Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать.

В настройках pptp соединения галочку дефолт роута снять.

 

Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается.

 

Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить.

Еще можно OSPF включить=)

Приветствую. Продолжаем мучить sxt lte. Так у нас проблема и осталась, что трафик ходит только через lte. SXT авторизуется на нашем сервере, можем попасть удаленно на него через нашу сеть, а вот трафик никак не получается направить через нашу сеть, как понять где что не так с маршрутами? Подскажите, пожалуйста.

[Saab95]

Вам надо создать маршрут с маркировкой на адрес VPN сервера, на весь интернет 0.0.0.0/0.

Далее создать список адрес лист с указанием всех подсетей, которые хотите в центр завернуть. Если подсеть одна, можно обойтись без этого шага.

В манглах создаете правило, где указываете, что если адрес источника = адрес вашей локалки, адрес назначения НЕ адрес вашей локалки, тогда маркировать маршрут.

[Badyavka]

В 24.01.2019 в 19:49, Saab95 сказал:

Вам надо создать маршрут с маркировкой на адрес VPN сервера, на весь интернет 0.0.0.0/0.

Далее создать список адрес лист с указанием всех подсетей, которые хотите в центр завернуть. Если подсеть одна, можно обойтись без этого шага.

В манглах создаете правило, где указываете, что если адрес источника = адрес вашей локалки, адрес назначения НЕ адрес вашей локалки, тогда маркировать маршрут.

Спасибо, все получилось.

[Saab95]

Можете еще в манглах добавить

 

add action=change-ttl chain=prerouting dst-address-list=Local new-ttl=increment:1 passthrough=no ttl=equal:1
add action=change-ttl chain=forward new-ttl=increment:1 passthrough=no src-address-list=Local ttl=equal:1

Тогда в трассировке IP адрес сотового оператора не будет фигурировать.