Badyavka Опубликовано 30 ноября, 2018 (изменено) · Жалоба Здравствуйте. Не получается настроить удаленный доступ к антенне. На SXT LTE настроили впн клиент, через мобильного оператора подключаемся к нашему впн серверу, антенна получает наш внешний IP адрес, но попасть на саму антенну по этому белому адресу не удается. Подскажите, пожалуйста, как сделать чтобы мы смогли попасть на этот SXT? Изменено 30 ноября, 2018 пользователем Badyavka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 ноября, 2018 · Жалоба Пинг уже проверяли с вашего PPP сервера до IP, что SXT LTE выдаете? Возможно в файрволе доступ закрыт. Другой вариант, если пинг проходит, то на самом SXT прописать маршрут на ваши адреса, с которых на него доступ собираетесь получить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Badyavka Опубликовано 30 ноября, 2018 · Жалоба 3 часа назад, Saab95 сказал: Пинг уже проверяли с вашего PPP сервера до IP, что SXT LTE выдаете? Возможно в файрволе доступ закрыт. Другой вариант, если пинг проходит, то на самом SXT прописать маршрут на ваши адреса, с которых на него доступ собираетесь получить. Пинг идет, маршрут прописывает, но эффекта нет. Убираем галочку Default Route в интерфейсе LTE не помогает, прописываем через командную строку - не помогает ((( https://forum.mikrotik.com/viewtopic.php?t=136972 тут похожая проблема, ничего не помогает ((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 30 ноября, 2018 · Жалоба Вообще это базовые принципы маршрутизации - все должно работать если верно настроите. Приведите тогда хотя бы конфиг устройства, и общую схему адресации что куда ходит и какие IP в туннеле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimokrzn Опубликовано 1 декабря, 2018 · Жалоба вот конфиг # dec/01/2018 20:47:02 by RouterOS 6.44beta40 # # model = RBSXTR /interface lte set [ find ] mac-address=AC:FF:FF:00:00:00 name=lte1 network-mode=lte /interface pptp-client add add-default-route=yes connect-to=185.xx.xx.xx name=pptp-out1 password=\ 58690933 user=1819 /interface lte apn set [ find default=yes ] default-route-distance=1 /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=pool1 ranges=192.168.10.2-192.168.10.10 /ip dhcp-server add address-pool=pool1 disabled=no interface=ether1 name=server1 /ip address add address=192.168.10.1/24 interface=ether1 network=192.168.10.0 /ip dhcp-server network add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \ netmask=24 /ip dns set allow-remote-requests=yes /ip firewall nat add action=masquerade chain=srcnat disabled=yes out-interface=pptp-out1 add action=masquerade chain=srcnat out-interface=lte1 /system clock set time-zone-name=Europe/Moscow /system logging add topics=lte /system routerboard settings set auto-upgrade=yes silent-boot=no /system routerboard sim set sim-slot=b поставить add default route в pptp не помогает, если в настройках lte убрать default route тоже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 1 декабря, 2018 · Жалоба В /ip firewall filter input разрешен? ВПН сервер на чем поднят? Адреса туннеля с локальными не пересекаются? 3 hours ago, dimokrzn said: add add-default-route=yes connect-to=185.xx.xx.xx name=pptp-out1 password=\ 58690933 user=1819 оффтоп - это замануха такая? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 декабря, 2018 · Жалоба Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать. В настройках pptp соединения галочку дефолт роута снять. Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается. Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить. Еще можно OSPF включить=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Paulus Опубликовано 2 декабря, 2018 · Жалоба Я немного по другому стучусь на sxt lte, я подключаюсь к впн, а потом стучусь на sxt. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Paulus Опубликовано 2 декабря, 2018 · Жалоба 1 час назад, Paulus сказал: Я немного по другому стучусь на sxt lte, я подключаюсь к впн, а потом стучусь на sxt. А для подключения видеонабоюдение хочу пробросить портыс домашнего hex на sxt с него на регистратор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimokrzn Опубликовано 2 декабря, 2018 (изменено) · Жалоба 18 часов назад, DAF сказал: В /ip firewall filter input разрешен? ВПН сервер на чем поднят? Адреса туннеля с локальными не пересекаются? оффтоп - это замануха такая? :) мало значимая информация, но все же: input в /ip firewall filter разрешен ВПН поднят на микротике адреса туннеля не пересакаются. p.s. для заманухи мало информации)) 6 часов назад, Saab95 сказал: Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать. В настройках pptp соединения галочку дефолт роута снять. Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается. Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить. Еще можно OSPF включить=) огромное спасибо за помощь. с доступом все решилось. не понятно только c трафиком через впн. независимо от настроек, ходит только через lte. Изменено 2 декабря, 2018 пользователем dimokrzn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Badyavka Опубликовано 24 января, 2019 · Жалоба В 02.12.2018 в 11:37, Saab95 сказал: Вам надо в настройках НАТ вместо out-interface указать src-address= 192.168.10.1/24 dst-address= ! 192.168.0.0/16, тогда натится будет только запросы с локальных адресов подключенных компьютеров на адреса интернета, а в сторону локалки нат не будет работать. В настройках pptp соединения галочку дефолт роута снять. Допустим у вас в центре и на других устройствах используется подсеть 192.168.0.0/16. Тогда надо прописать роут на SXT, что бы все запросы на 192.168.0.0/16 уходили в сторону IP сервера, который в pptp подключении выдается. Тогда вы сможете зайти на эту SXT уже из любой подсети в этом диапазоне. Если маршрут не прописан, то зайти на нее можно только с pptp сервера по ее IP адресу. Почему и предлагал с него пинг запустить. Еще можно OSPF включить=) Приветствую. Продолжаем мучить sxt lte. Так у нас проблема и осталась, что трафик ходит только через lte. SXT авторизуется на нашем сервере, можем попасть удаленно на него через нашу сеть, а вот трафик никак не получается направить через нашу сеть, как понять где что не так с маршрутами? Подскажите, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 января, 2019 · Жалоба Вам надо создать маршрут с маркировкой на адрес VPN сервера, на весь интернет 0.0.0.0/0. Далее создать список адрес лист с указанием всех подсетей, которые хотите в центр завернуть. Если подсеть одна, можно обойтись без этого шага. В манглах создаете правило, где указываете, что если адрес источника = адрес вашей локалки, адрес назначения НЕ адрес вашей локалки, тогда маркировать маршрут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Badyavka Опубликовано 26 января, 2019 · Жалоба В 24.01.2019 в 19:49, Saab95 сказал: Вам надо создать маршрут с маркировкой на адрес VPN сервера, на весь интернет 0.0.0.0/0. Далее создать список адрес лист с указанием всех подсетей, которые хотите в центр завернуть. Если подсеть одна, можно обойтись без этого шага. В манглах создаете правило, где указываете, что если адрес источника = адрес вашей локалки, адрес назначения НЕ адрес вашей локалки, тогда маркировать маршрут. Спасибо, все получилось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 января, 2019 · Жалоба Можете еще в манглах добавить add action=change-ttl chain=prerouting dst-address-list=Local new-ttl=increment:1 passthrough=no ttl=equal:1 add action=change-ttl chain=forward new-ttl=increment:1 passthrough=no src-address-list=Local ttl=equal:1 Тогда в трассировке IP адрес сотового оператора не будет фигурировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...