Yanis Опубликовано 24 июля, 2009 · Жалоба Добрый день. Вот снова мне Mikrotik портит нервы :) Помогите, ато это Mikrotik меня сест. :) Короче всё работало идеально. А тут вдруг бах и опять начал пропускать в сеть инет, без запросов на подключение. Короче в сети у всех есть инет. Что я не правильно сделал???? Спасибо. ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets" ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections" ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections" ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin" ip firewall filter add chain forward action=drop comment="All other forwards drop" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yrida Опубликовано 24 июля, 2009 · Жалоба out-interface=!ether1 убрать ! указать интерфейс на которий инет приходит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yanis Опубликовано 24 июля, 2009 · Жалоба А почему на выходной интрфейс ставится иетерфейс на который входит инет??? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yrida Опубликовано 24 июля, 2009 · Жалоба Тю а куда по вашему запроси уходят из вашей сети в космос? в инет они и идут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-tc Опубликовано 25 июля, 2009 · Жалоба ... ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ... у тебя же там pppoe? В соседнем топике я тебе рассказывал, как сделать инет только для pppoe - через address list. Нужно менять NAT. NAT - это ключевое в твоей схеме. При маскарадинге out-interface указывать не обязательно, он будет искать интерфейс исходя из роутинга. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yanis Опубликовано 25 июля, 2009 (изменено) · Жалоба Короче какоето проклятие. :)))) Я уже и так и так, не хочет и всё. Что-то не вижу в PPP-Profile, Address List Есть толькл Local Addres. Начну с самого начал. У меня 2 сетевухи. Одна смотрит в сторону сервака с которого я беру ИНЕТ, вторая смотрит в сторону клиентов. Адрес первой 10.177.0.2 а вторая 10.177.1.1 Шлюз для подключеия к ИНЕТУ 10.177.0.1 Это итак ясно. ))) Я создаю РРРоЕ подключение. PPPoE Client General Name=Internrt Interface=ether1 Dial Out User=qwerty Password=qwerty Profile=new Всё ИНЕТ подключился к МИКРОТИКУ и пингуется отлично. Дальше -----> Создаю РРРОЕ сервер для родключения клиентов. Теперь создаю - Secrets add Name=Goblin Password=12345 Service=pppoe Profile=Default Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. ))) Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше ---> Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24 А это мои правила ------> ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets" ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections" ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections" ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin" ip firewall filter add chain forward action=drop comment="All other forwards drop" Вот и вся моя химия, знаю что куча ошибок, но что говорить, новичок! )))) Буду благодарен любой помощи. Спасибо. ;-) P.S Чуть не забыл, мог не правильно указать пути типо "Firewall Nat Add General chain=srcnet Action=Accept " потому что писал в ручную с WIN BOX Sorry!!! Изменено 25 июля, 2009 пользователем Yanis Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
a-tc Опубликовано 25 июля, 2009 · Жалоба ...Дальше в етомже розделе мне нужно задать Local Addres & Remote Address как я понимаю Local Addres - это адрес второй сетевухи, тоесть 10.177.1.1 а Remote Address - это адрес клиента, например 10.177.1.2 Тут я не уврен в правильности, но так я создал. ))) Не важно, какие адреса - любые серые в вашем случае. Вобщем подключение происходит отлично с клиентской машины, вроди всё ок, но ИНЕТОМ и близко не пахнет. дальше ---> Firewall Nat Add General chain=srcnet Action=Accept Как я понял нужно указать в Advanced Src Addres List 10.177.1.0/24 А с чего бы им пахло? Четко написано, "Firewall Nat Add ... Action=Accept". НАТ принял пакет. Что дальше? Тут либо маскарадинг, либо срц-нат. Чтобы только у подключенных через ppp был интернет, надо выбрать определенный пул адресов и выдавать его через ppp, а в НАТ прописать Src. Address = пул. P.S. Версия мтика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yanis Опубликовано 25 июля, 2009 (изменено) · Жалоба Всё мужики розобрался. Большое спасибо а-тс ты натолкнул меня на нужные мысли. Спасибо. ))) Вобщем выложу что я делал для таких же отставших от жизни как я :) У нас есть 2 сетевухи, одна смотрит в сторону сервера или модема (Не важно) которые подключены к инету и которые дают инет вам. Задаём адреса сетевухам. ip add address=10.177.0.2 netmask=255.255.255.0 interface=ether1 ------> Эта сетевуха смотрит в сторону сервера или модема. Вместо моих значений ip address подставляем свои. Думаю всё ясно. Творим такое же самое с второй сетевухой которая смотрит в сторону компов которые нужно подключить к интернету ip add address=10.177.1.1 netmask=255.255.255.0 interface=ether2 ----> Это вторая сетевуха смотрящая на клиентские машины. (Те которым нужен интернет) :) Дальше я обычно роботаю в програме Win Box. Создаём ПППоЕ соединение с вашим модемом или серваком, как вы поняли у вас должен быть логин и пароль для подключения к инету который выдал вам провайдер. Например Login: vasia Password:pupkin :) ppp pppoe server add PPPoE Client Name=ваше любое название на вкус например Internet запомним это название, мы его будем использовать дальше interface=ether1 User=vasia Password=pupkin profile=default Теперь создаём профиль для подключения к нашему Микротик. PPP Secrets add Name = тут пишете логин для клиентского компа например jesika Password=тут пароль например barbie Service=pppoe Profile=default local Address пишем любой адрес например 10.0.0.1 Remote Address= тут тоже любой например 10.0.0.2 Теперь на клиентской машине создаём РРРоЕ подключение и вводим заданый вами логин и пароль, в нашем случае это Login: jesika Password: barbie Нажимаем подключение иии вуаля!! Комп подключился к Микротику. Это уже ГУУУУД :) Дальше ----> ip Firewall NAT add General Chain=srcnat Out Interface=теперь вспоминаем наше заветное название Internet и тут его выбераем action=masquerade Advanced Addres List=list что такое list я вам обясню. в этом разделе всё настроено и можна смело нажимать Enter Значит обясняю что такое list - когда мы с клиентской машины подключились к Микротику в разделе ip Rout можно увидеть что клиентскому ПППоЕ подключению задан ip address 10.0.0.2 мы его сами прописывали в розделе Secrets так вот в разделе -----> ip Firewall Address List добавляем те айпиники которым розрешон доступ к Интернету значит пишем ---> ip Firewall Address List add Name=list Address=10.0.0.0/24 тоесть мы дали доступ всем машинам из заданой вами сети 10.0.0.0 Думаю ясно.))) Но можно давать и определённо какойто одной машине например 10.0.0.33 А вот те правила которые я прописал себе. С правилами я ещо особо не разобрался, так что тут уж вы сами ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets" ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections" ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections" ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ip firewall filter add chain forward src-address=10.177.0.0/24 action=accept comment="Access to internet from admin" ip firewall filter add chain forward action=drop comment="All other forwards drop" Правда из правил я оставил себе только ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ито ещо не розобрался полностью, но интернет пашет отлично. НУ вот и всё, ИНЕТ пашет. Я надеюсь ))))))) Извените меня за плагиат выражений деревенских, я в этом деле новичёк. Большое спасибо ещо раз a-tc и конечно немного мне, ато я уже запарился пичатать тут эту фигню. :-) Желаю удачи!!!!!! Изменено 25 июля, 2009 пользователем Yanis Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...