finse Опубликовано 28 января, 2019 (изменено) · Жалоба Здравствуйте, возникла необходимость замены рабочей cisco 2900 на mikrotik RB4011iGS. Сейчас наскоро копаюсь в конфигурации, случились затыки. Сетку вроде поднял, а вот с интернетом и айписеком не получается. Можете подсказать как правильно перевести конфу? Настраиваю не в боевом режиме, через Winbox. Затыки случились с ip nat pool my-pool ip route не уверен, как их перевести в микрот Вот кусок c кошки ! interface FastEthernet0 ip address xxx.xxx.xxx.114 255.255.255.248 (эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)! ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.113 (эту часть в микротик засунул через IP-routes, добавив правило Dst. Address 0.0.0.0/0 Gateway 212.34.42.113, Check Gateway ping Dist. 1) ! ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248 (эту часть в микротик не засунул, не понимаю куда его в фаерволе пускать) где xxx.xxx.xxx 113-115 - провайдер Изменено 28 января, 2019 пользователем finse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 28 января, 2019 · Жалоба И еще, в настройках кошки, в ipsec у меня указано crypto ipsec transform-set my-trans esp-des Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения auth. algorithms md5 encr.algorithms des Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 28 января, 2019 · Жалоба По поводу ipsec в кошке проверил sh crypto isakmp sa detail показал, что encr des hash sha auth psk Такие параметры можно залить в микрот? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 28 января, 2019 (изменено) · Жалоба 2 часа назад, finse сказал: ip nat pool my-pool xxx.xxx.xxx.115 xxx.xxx.xxx.115 netmask 255.255.255.248 Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были? Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например: "/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется) Правильнее с критериями: "/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои) 2 часа назад, finse сказал: где xxx.xxx.xxx 113-115 - провайдер Неясная ситуация. .113 - догадываюсь, что это шлюз провайдера .114 - адрес на Вашем интерфейсе. .115 - что за за адрес? Изменено 28 января, 2019 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 28 января, 2019 · Жалоба 47 минут назад, nkusnetsov сказал: Уточняющий вопрос. Вижу у Вас два адреса, один заканчивается на ".114", другой на ".115". Они оба на внешнем интерфейсе были? Процитированная команда, на микротике соответствует параметру "to-addresses", в правиле NAT. К какому адресу производить трансляцию. Например: "/ip firewall nat add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.115" (сокращенный вариант. без критериев. не рекомендуется) Правильнее с критериями: "/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 out-interface=ether1 action=src-nat to-addresses=xxx.xxx.xxx.115" (адреса локалки и имя внешнего интерфейса подставьте свои) Неясная ситуация. .113 - догадываюсь, что это шлюз провайдера .114 - адрес на Вашем интерфейсе. .115 - что за за адрес? спасибо большое за ответ и рекомендации. .113 действительно шлюз .114 действительно адрес на интерфейсе .115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 28 января, 2019 (изменено) · Жалоба 8 минут назад, finse сказал: .115 я так понял это пул адресов выдаваемый устройствам для nat. Именно этот айпи выдают проверки myipaddress. Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" : "эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)" т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса. Изменено 28 января, 2019 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 января, 2019 · Жалоба 2 часа назад, finse сказал: И еще, в настройках кошки, в ipsec у меня указано crypto ipsec transform-set my-trans esp-des Правильно ли я понял (покурив форумы) что для того, чтобы микротик выполнял ipsec по тем же методам, надо выставить значения auth. algorithms md5 encr.algorithms des Да, такие флажки должны стоять в IPSec policy proposal . Но это ОЧЕНЬ слабая криптография- года так 1993-го. Её нынче можно на телефоне брутфорсить на лету. Вы уверены, что клиенты не поддерживают ничего лучше? 2 часа назад, finse сказал: encr des hash sha auth psk Да. В свойствах создаваемого IPSec Peer указывает SHA1 для Hash, DES для Encryption, адрес 0.0.0.0/0 и в поле IPSec secret вбиваете PSK из конфига Cisco. Опять же, настоятельно рекомендуется пересмотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
finse Опубликовано 29 января, 2019 (изменено) · Жалоба 15 часов назад, nkusnetsov сказал: Тогда этот адрес тоже лучше добавить на внешний интерфейс аналогично ".114" : "эту часть в микротик засунул через IP-Addresses-Address List, добавив адрес xxx.xxx.xxx.114/29 Network xxx.xxx.xxx.112, закинув его на wan интерфейс)" т.к., в отличие от циски, на микротике по-умолчанию выключен proxy-arp, и иначе ответы идущие на .115 могут не приниматься без адреса. Отлично, я добавил этот адрес. Очень расстроился когда поставил микротик, заработал интернет, заработала локалка, но с кошками микротик не подружился. Ладно, поменял вторую кошку тоже на микротик. Случилось следующее: 1) пинг от mikrotik1 - mikrotik2 есть 2) winbox'ом до микротика в другой сети не достучаться. Остальные компьютеры в другой сети не пингуются. 3) если зайти в Installed SAs, то можно увидеть соединение с другим микротиком, но обмениваться байтами они не хотят. 4) в графе Peers микротики мне тоже намекают красным, что Unsafe configuration, suggestion to use certificates. Я подозреваю что ошибка кроется в деталях @на втором роутере passive=no, кто-то должен быть инициатором начала обмена ключами У нас еще есть почта exchange (.116) и relay(.117), которая смогла отравить, но не принять за nat почту (причем яндекс предупредил, что мы, возможно, стали плохими ребятами (нет сертификата и подписи)) В циске прописаны ip nat inside source static tcp extendable до локальной машины с портами 587 и 993 я так понимаю надо прописать в моем случае /ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.10-xxx.xxx.xxx.116 (почта), хммм а где порты писать? /ip firewall nat add action=same chain=srcnat out-interface=ether5-WAN to-addresses=192.168.0.11-xxx.xxx.xxx.117 (relay), хммм а где порты писать? Кстати, masquerade в firewall NAT надо включать? Мне кажется нет. Спасибо большое за помощь, ребята, я на Вас рассчитываю :) Изменено 29 января, 2019 пользователем finse Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 29 января, 2019 · Жалоба 2 часа назад, finse сказал: Кстати, masquerade в firewall NAT надо включать? Мне кажется нет. Старайтесь не пользоваться masquerade опцией вообще, насколько это возможно - трафик натурально может пойти куда попало. Пользуйтесь src-nat. Вам надо сделать правило src-nat , чтобы трафик с почтаря наружу шел от определенного публичного IP, типа: /ip firewall nat add chain=srcnat src-address=внутреннийIP action=src-nat to-addresses=внешнийIP out-interface=внешнийинтерфейс Рекомендую после этого в винбоксе передвинуть это правило src-nat так, чтобы оно стояло ранее общего правила src-nat и опубликовать порты снаружи на почтарь через dst-nat /ip firewall nat add chain=dstnat dst-address=внешнийIP dst-port=нужныйпорт action=dst-nat protocol=tcp to-address=внутреннийIP to-port=нужныйпорт Если вы уже сделали правила firewall, надо добавить отдельное правило, разрешающее dst-nat трафик: /ip firewall filter add chain=forward connection-nat-state dstnat и опять же в винбоксе проверить, что оно стоит раньше правила drop all. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...