Jump to content
Калькуляторы

Опять 25 Mikrotik

Добрый день. Вот снова мне Mikrotik портит нервы :) Помогите, ато это Mikrotik меня сест. :) Короче всё работало идеально. А тут вдруг бах и опять начал пропускать в сеть инет, без запросов на подключение. Короче в сети у всех есть инет. Что я не правильно сделал???? Спасибо.

 

 

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Share this post


Link to post
Share on other sites

out-interface=!ether1 убрать ! указать интерфейс на которий инет приходит

Share this post


Link to post
Share on other sites

А почему на выходной интрфейс ставится иетерфейс на который входит инет??? Спасибо.

Share this post


Link to post
Share on other sites

Тю а куда по вашему запроси уходят из вашей сети в космос? в инет они и идут

Share this post


Link to post
Share on other sites
...

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

...

у тебя же там pppoe? В соседнем топике я тебе рассказывал, как сделать инет только для pppoe - через address list. Нужно менять NAT. NAT - это ключевое в твоей схеме. При маскарадинге out-interface указывать не обязательно, он будет искать интерфейс исходя из роутинга.

Share this post


Link to post
Share on other sites

Короче какоето проклятие. :)))) Я уже и так и так, не хочет и всё. Что-то не вижу в PPP-Profile, Address List Есть толькл Local Addres. Начну с самого начал. У меня 2 сетевухи. Одна смотрит в сторону сервака с которого я беру ИНЕТ, вторая смотрит в сторону клиентов. Адрес первой 10.177.0.2 а вторая 10.177.1.1 Шлюз для подключеия к ИНЕТУ 10.177.0.1 Это итак ясно. ))) Я создаю РРРоЕ подключение.

 

PPPoE Client General Name=Internrt Interface=ether1 Dial Out User=qwerty Password=qwerty Profile=new

 

Всё ИНЕТ подключился к МИКРОТИКУ и пингуется отлично. Дальше ----->

 

Создаю РРРОЕ сервер для родключения клиентов. Теперь создаю -

 

Secrets add Name=Goblin Password=12345 Service=pppoe Profile=Default

 

Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. )))

 

Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше --->

 

Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24

 

А это мои правила ------>

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

 

Вот и вся моя химия, знаю что куча ошибок, но что говорить, новичок! )))) Буду благодарен любой помощи. Спасибо. ;-)

 

P.S Чуть не забыл, мог не правильно указать пути типо "Firewall Nat Add General chain=srcnet Action=Accept " потому что писал в ручную с WIN BOX

Sorry!!!

Edited by Yanis

Share this post


Link to post
Share on other sites
...

Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. )))

Не важно, какие адреса - любые серые в вашем случае.

 

Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше --->

 

Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24

А с чего бы им пахло? Четко написано, "Firewall Nat Add ... Action=Accept". НАТ принял пакет. Что дальше? Тут либо маскарадинг, либо срц-нат.

Чтобы только у подключенных через ppp был интернет, надо выбрать определенный пул адресов и выдавать его через ppp, а в НАТ прописать Src. Address = пул.

 

P.S. Версия мтика?

 

Share this post


Link to post
Share on other sites

Всё мужики розобрался. Большое спасибо а-тс ты натолкнул меня на нужные мысли. Спасибо. ))) Вобщем выложу что я делал для таких же отставших от жизни как я :)

 

У нас есть 2 сетевухи, одна смотрит в сторону сервера или модема (Не важно) которые подключены к инету и которые дают инет вам.

Задаём адреса сетевухам. ip add address=10.177.0.2 netmask=255.255.255.0 interface=ether1 ------> Эта сетевуха смотрит в сторону сервера или модема. Вместо моих значений ip address подставляем свои. Думаю всё ясно. Творим такое же самое с второй сетевухой которая смотрит в сторону компов которые нужно подключить к интернету

 

ip add address=10.177.1.1 netmask=255.255.255.0 interface=ether2 ----> Это вторая сетевуха смотрящая на клиентские машины. (Те которым нужен интернет) :)

Дальше я обычно роботаю в програме Win Box.

 

Создаём ПППоЕ соединение с вашим модемом или серваком, как вы поняли у вас должен быть логин и пароль для подключения к инету который выдал вам провайдер. Например Login: vasia Password:pupkin :)

 

ppp pppoe server add PPPoE Client Name=ваше любое название на вкус например Internet запомним это название, мы его будем использовать дальше interface=ether1 User=vasia Password=pupkin profile=default

 

Теперь создаём профиль для подключения к нашему Микротик.

 

PPP Secrets add Name = тут пишете логин для клиентского компа например jesika Password=тут пароль например barbie Service=pppoe Profile=default local Address пишем любой адрес например 10.0.0.1 Remote Address= тут тоже любой например 10.0.0.2

 

Теперь на клиентской машине создаём РРРоЕ подключение и вводим заданый вами логин и пароль, в нашем случае это Login: jesika Password: barbie

Нажимаем подключение иии вуаля!! Комп подключился к Микротику. Это уже ГУУУУД :) Дальше ---->

 

ip Firewall NAT add General Chain=srcnat Out Interface=теперь вспоминаем наше заветное название Internet и тут его выбераем action=masquerade Advanced Addres List=list что такое list я вам обясню. в этом разделе всё настроено и можна смело нажимать Enter

Значит обясняю что такое list - когда мы с клиентской машины подключились к Микротику в разделе ip Rout можно увидеть что клиентскому ПППоЕ подключению задан ip address 10.0.0.2 мы его сами прописывали в розделе Secrets так вот в разделе ----->

 

ip Firewall Address List добавляем те айпиники которым розрешон доступ к Интернету значит пишем --->

 

 

ip Firewall Address List add Name=list Address=10.0.0.0/24 тоесть мы дали доступ всем машинам из заданой вами сети 10.0.0.0 Думаю ясно.)))

Но можно давать и определённо какойто одной машине например 10.0.0.33

 

А вот те правила которые я прописал себе. С правилами я ещо особо не разобрался, так что тут уж вы сами

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=10.177.0.0/24 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

 

Правда из правил я оставил себе только

 

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ито ещо не розобрался полностью, но интернет пашет отлично.

НУ вот и всё, ИНЕТ пашет. Я надеюсь )))))))

Извените меня за плагиат выражений деревенских, я в этом деле новичёк.

Большое спасибо ещо раз a-tc и конечно немного мне, ато я уже запарился пичатать тут эту фигню. :-)

Желаю удачи!!!!!!

Edited by Yanis

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this