Перейти к содержимому
Калькуляторы

Опять 25 Mikrotik

Добрый день. Вот снова мне Mikrotik портит нервы :) Помогите, ато это Mikrotik меня сест. :) Короче всё работало идеально. А тут вдруг бах и опять начал пропускать в сеть инет, без запросов на подключение. Короче в сети у всех есть инет. Что я не правильно сделал???? Спасибо.

 

 

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

out-interface=!ether1 убрать ! указать интерфейс на которий инет приходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему на выходной интрфейс ставится иетерфейс на который входит инет??? Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тю а куда по вашему запроси уходят из вашей сети в космос? в инет они и идут

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1

...

у тебя же там pppoe? В соседнем топике я тебе рассказывал, как сделать инет только для pppoe - через address list. Нужно менять NAT. NAT - это ключевое в твоей схеме. При маскарадинге out-interface указывать не обязательно, он будет искать интерфейс исходя из роутинга.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Короче какоето проклятие. :)))) Я уже и так и так, не хочет и всё. Что-то не вижу в PPP-Profile, Address List Есть толькл Local Addres. Начну с самого начал. У меня 2 сетевухи. Одна смотрит в сторону сервака с которого я беру ИНЕТ, вторая смотрит в сторону клиентов. Адрес первой 10.177.0.2 а вторая 10.177.1.1 Шлюз для подключеия к ИНЕТУ 10.177.0.1 Это итак ясно. ))) Я создаю РРРоЕ подключение.

 

PPPoE Client General Name=Internrt Interface=ether1 Dial Out User=qwerty Password=qwerty Profile=new

 

Всё ИНЕТ подключился к МИКРОТИКУ и пингуется отлично. Дальше ----->

 

Создаю РРРОЕ сервер для родключения клиентов. Теперь создаю -

 

Secrets add Name=Goblin Password=12345 Service=pppoe Profile=Default

 

Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. )))

 

Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше --->

 

Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24

 

А это мои правила ------>

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

 

Вот и вся моя химия, знаю что куча ошибок, но что говорить, новичок! )))) Буду благодарен любой помощи. Спасибо. ;-)

 

P.S Чуть не забыл, мог не правильно указать пути типо "Firewall Nat Add General chain=srcnet Action=Accept " потому что писал в ручную с WIN BOX

Sorry!!!

Изменено пользователем Yanis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

...

Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. )))

Не важно, какие адреса - любые серые в вашем случае.

 

Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше --->

 

Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24

А с чего бы им пахло? Четко написано, "Firewall Nat Add ... Action=Accept". НАТ принял пакет. Что дальше? Тут либо маскарадинг, либо срц-нат.

Чтобы только у подключенных через ppp был интернет, надо выбрать определенный пул адресов и выдавать его через ppp, а в НАТ прописать Src. Address = пул.

 

P.S. Версия мтика?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всё мужики розобрался. Большое спасибо а-тс ты натолкнул меня на нужные мысли. Спасибо. ))) Вобщем выложу что я делал для таких же отставших от жизни как я :)

 

У нас есть 2 сетевухи, одна смотрит в сторону сервера или модема (Не важно) которые подключены к инету и которые дают инет вам.

Задаём адреса сетевухам. ip add address=10.177.0.2 netmask=255.255.255.0 interface=ether1 ------> Эта сетевуха смотрит в сторону сервера или модема. Вместо моих значений ip address подставляем свои. Думаю всё ясно. Творим такое же самое с второй сетевухой которая смотрит в сторону компов которые нужно подключить к интернету

 

ip add address=10.177.1.1 netmask=255.255.255.0 interface=ether2 ----> Это вторая сетевуха смотрящая на клиентские машины. (Те которым нужен интернет) :)

Дальше я обычно роботаю в програме Win Box.

 

Создаём ПППоЕ соединение с вашим модемом или серваком, как вы поняли у вас должен быть логин и пароль для подключения к инету который выдал вам провайдер. Например Login: vasia Password:pupkin :)

 

ppp pppoe server add PPPoE Client Name=ваше любое название на вкус например Internet запомним это название, мы его будем использовать дальше interface=ether1 User=vasia Password=pupkin profile=default

 

Теперь создаём профиль для подключения к нашему Микротик.

 

PPP Secrets add Name = тут пишете логин для клиентского компа например jesika Password=тут пароль например barbie Service=pppoe Profile=default local Address пишем любой адрес например 10.0.0.1 Remote Address= тут тоже любой например 10.0.0.2

 

Теперь на клиентской машине создаём РРРоЕ подключение и вводим заданый вами логин и пароль, в нашем случае это Login: jesika Password: barbie

Нажимаем подключение иии вуаля!! Комп подключился к Микротику. Это уже ГУУУУД :) Дальше ---->

 

ip Firewall NAT add General Chain=srcnat Out Interface=теперь вспоминаем наше заветное название Internet и тут его выбераем action=masquerade Advanced Addres List=list что такое list я вам обясню. в этом разделе всё настроено и можна смело нажимать Enter

Значит обясняю что такое list - когда мы с клиентской машины подключились к Микротику в разделе ip Rout можно увидеть что клиентскому ПППоЕ подключению задан ip address 10.0.0.2 мы его сами прописывали в розделе Secrets так вот в разделе ----->

 

ip Firewall Address List добавляем те айпиники которым розрешон доступ к Интернету значит пишем --->

 

 

ip Firewall Address List add Name=list Address=10.0.0.0/24 тоесть мы дали доступ всем машинам из заданой вами сети 10.0.0.0 Думаю ясно.)))

Но можно давать и определённо какойто одной машине например 10.0.0.33

 

А вот те правила которые я прописал себе. С правилами я ещо особо не разобрался, так что тут уж вы сами

 

ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets"

ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections"

ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections"

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ip firewall filter add chain forward src-address=10.177.0.0/24 action=accept comment="Access to internet from admin"

ip firewall filter add chain forward action=drop comment="All other forwards drop"

 

Правда из правил я оставил себе только

 

ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP"

ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

 

ито ещо не розобрался полностью, но интернет пашет отлично.

НУ вот и всё, ИНЕТ пашет. Я надеюсь )))))))

Извените меня за плагиат выражений деревенских, я в этом деле новичёк.

Большое спасибо ещо раз a-tc и конечно немного мне, ато я уже запарился пичатать тут эту фигню. :-)

Желаю удачи!!!!!!

Изменено пользователем Yanis

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.