Mikrotik PPTP Public IP

[dimokrzn]

ситуация следующая: есть компьютер с установленным router os на нем поднят pptp сервер, созданы учетные записи. все юзеры ходят в интернет через маскарадинг, соответственно через 1 внешний адрес. провайдер выдал /24 белых адресов. но никак не могу понять как каждому пользователю присвоить внешний адрес. чтение мануала по микротику пока не помогает.

[Saab95]

Провайдер выдал вам целую подсеть на 254 адреса, для которой указал в качестве шлюза ваш микротик? Или он выдал вам всего 254 адреса, и текущий адрес микротика находится в этой подсети?

 

Если первое, тогда вам надо модернизировать правило маскардинга, указав в качестве Src Address подсеть, используемую для выдачи вашим клиентам, например 192.168.0.1/24, тогда маскардинг будет применятся только к этой сети, и прописав белые адреса в Remote Address клиенты будут ходить в интернет без ната.

 

Если второе, тогда правите правило маскардинга как указано выше. На интерфейсе, на котором указана белая подсеть включаете Proxy-ARP (в пункте ARP интерфейса бриджа или Ether), после этого прописываете белые адреса в Remote Address и клиенты так же смогут ходить в интернет без ната.

[dimokrzn]

выдано 254 адреса и микротик находится в этой подсети

сделал как сказано выше но почему то не помогло

вот кусочек конфига

 

/interface ethernet

set 0 arp=enabled auto-negotiation=yes cable-settings=default disable-running-check=yes disabled=no full-duplex=yes l2mtu=16383 mac-address=00:00:00:00:00:00 mtu=1500 name=ether1 speed=100Mbps

set 1 arp=proxy-arp auto-negotiation=yes cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:00:00:00:00:28 mtu=1500 name=WAN speed=100Mbps

set 2 arp=enabled auto-negotiation=yes cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:00:00:00:00:2A mtu=1500 name=LAN speed=100Mbps

 

/ip address

 

add address=91.219.x.10/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

add address=91.219.x.12/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

add address=91.219.x.14/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

 

/ppp secret

add caller-id="" comment="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=centr_19 password=2b1 profile=2048 remote-address=91.x.x.14 routes="" service=any

 

/ip firewall nat

add action=masquerade chain=srcnat disabled=no out-interface=WAN src-address=91.x.x.0/24

[Saab95]

/ip address

 

add address=91.219.x.10/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

add address=91.219.x.12/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

add address=91.219.x.14/24 broadcast=91.x.x.255 disabled=no interface=WAN network=91.x.x.0

 

/ip firewall nat

add action=masquerade chain=srcnat disabled=no out-interface=WAN src-address=91.x.x.0/24[/size]

 

Вот это зачем?

[Ilya Evseev]

Вот похожий пример:

http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Connecting_Remote_Client

1) клиенты заводятся с адресами из публичной сети (в примере это 10.1.101.0/24)

2) на роутере его ip-адрес из публичной сети используется с маской /32 как шлюз во всех клиентских туннелях (10.1.101.1/32)

3) на wan-интерфейсе (в примере это "Office") включается proxy-arp.

 

NAT не нужен - клиенты сразу получают публичные адреса.

Вручную добавлять эти адреса на wan-интерфейс Микротика не нужно - ProxyARP сделает это автоматически.

[dimokrzn]

хм, странно. сделал все как посоветовали но почему то все равно не работает

[Saab95]

Скрины выкладывайте тогда.

[dimokrzn]

скрины каких именно настроек?

[Saab95]

Вот при таких настройках все работает:

 

 

Так же нат должен быть отключен для этих адресов. При настройке IP на примере маска 28, но вы должны свой адрес и маску указывать.

[liant]

Помогите кто может)

Значит так!

Есть микротик и 3 сетевые платы

1- плата смотрит в сторону клиентов

2- плата смотрит в интернет авторизация пппое с провайдером

3- плата смотрит в интернет другова провайдера авторизация та-же пппое

Работает идеально!!!

Тут задача появилась

Надо ещё создать подключение ппптп, создал "сервер ппптп находится в интернете" указал внешний ип адрес конект есть!

Только вот беда пптп подключается через второго провайдера а мне надо через первого(((

Как это сделать подскажите плиз

[Saab95]

Добавьте адрес сервера в интернете в IP--+routes и укажите шлюз для него - адрес шлюза нужного вам провайдера.

[liant]

Добавьте адрес сервера в интернете в IP--+routes и укажите шлюз для него - адрес шлюза нужного вам провайдера.

А можно скрин? Вроде натыкал а подключение идет один фиг не от туда((

Edited December 2, 2011 by liant

[Saab95]

У вас как я понял 2 маршрута по умолчанию 0.0.0.0/0 для каждого провайдера. Метрика интерфейса наверно одинаковая стоит? Измените ее так, чтобы у того провайдера, по которому вам надо к серверу подключаться она была например 1, а у другого 10.

[liant]

У вас как я понял 2 маршрута по умолчанию 0.0.0.0/0 для каждого провайдера. Метрика интерфейса наверно одинаковая стоит? Измените ее так, чтобы у того провайдера, по которому вам надо к серверу подключаться она была например 1, а у другого 10.

Метрику не нашёл ( не могли бы скрин дать

[Saab95]

Вот смотрите. В микротике метрика называется Distance:

 

[liant]

Спасибо! За советы! Поднял тунели)))

Есть ещё вопрос в микротике 2 пппое подключения до провайдера. На каждом пппое есть статичный ип. Удаленно могу зайти в управелние микротика только через один ип он и пингуется(в настройках стоит галочка add default route) на второй ип не могу ткнуться на управление микротика и не пингуется( в чем трабл?

[Ilya Evseev]

на второй ип не могу ткнуться на управление микротика и не пингуется( в чем трабл?

Скорее всего, ответы уходят через первый туннель с адресом отправителя из второго туннеля.

Настройте PBR - http://wiki.mikrotik.com/wiki/Manual:PCC#Policy_routing

[liant]

Всем привет! Спасибо за ответы!

По ходу изучения микротика возник ещё вопрос!

Есть люди которые въезжают в квартиру и видят наш шнурок подключают его и получают дшцп от нашего микротика для них создан диапазон ип допустим 192.1.1.1/255.255.0.0 и днс 192,1,1,1

Новый пользователь открывает страничку в надежде что там есть инет а там его нет))))

Так вот как заставить микротик перенаправить весь 80 порт клиента на наш сайт допустим он за микротиком и имеет ип 192.168.104.5

Пример пользователь тыкает на ya.ru и попадает на 192.168.104.5

[Saab95]

Через WEB-proxy.

 

 

Вот как-то так. Надо создать правило, которое будет перенаправлять всех из заданного диапазона адресов на 81 порт. В этом правиле указываете что все пакеты TCP с портами 80, 433 и какими там еще хотите (указываются через запятую). Перенаправление работает только в пределах микротика. На этом 81 порту создаете WEB-Proxy, а в нем одно правило с действием DENY и укажите внизу на какой веб сервер перенаправлять запрос - там вы пишите адрес своей странички с рекламой. Только я не пробовал будет ли там ссылка с папками работать, возможно можно только IP-адрес писать.

[m9ic]

Я делал через dst-nat и web proxy

chain=dstnat action=dst-nat to-addresses=172.16.0.1 to-ports=8080 protocol=tcp src-address=192.168.0.0/24 dst-port=0-65535

Ну и веб прокси,dst-port=0-65535 local-port=8080, дальше все как на скриншоте выше. Только не забудьте в фильтрах разрешить трафик на этот хост и на днс заодно, если хотите перенаправлять на домен, а не айпишку

Только я не пробовал будет ли там ссылка с папками работать, возможно можно только IP-адрес писать.

Работает.

[liant]

Всем спс проблема решена!))) Только вот клиенты теперь тупят)) забывают поднять пппое)))) И видят страничку мою))))

И ещё вопрос подвисает пппое на провайдера "проблема не раз уж обсуждалась на форумах" помогает перезагрузка сервера удалённо или "вкыл и выкыл подключения вручную" как решить эту проблему вроде тока на микротике такая беда есть, независимо какая версия есть продукт 2.8 крякнутый потом решил купить лиценз последней версии ТОЖЕ залипает пппое горит R и тарифик 0/0

[Saab95]

Надо в профиле сервера PPPoE на вкладке Protocols поставить все галочки в NO. А в свойствах самого сервера пункт Keepalive Timeout указать время до отключения клиента в случае пропадания до него связи. Обычно в кабельных сетях ставят 5, в беспроводных 30 (это чтобы при обрыве с точки и последующем подключении соединение не обрывалось), параметр задается в секундах.

[liant]

Надо в профиле сервера PPPoE на вкладке Protocols поставить все галочки в NO. А в свойствах самого сервера пункт Keepalive Timeout указать время до отключения клиента в случае пропадания до него связи. Обычно в кабельных сетях ставят 5, в беспроводных 30 (это чтобы при обрыве с точки и последующем подключении соединение не обрывалось), параметр задается в секундах.

У меня подтупливает пппое до моего провайдера, а не мой клиент который конектится до моего сервера

[Saab95]

Тогда на вашем сервере в профиле вашего подключения на вкладке Limits в пункте Idle Timeout поставьте там 10 секунд например. А в свойствах самого подключения поставьте галочку Dial On Demand.

[liant]

Тогда на вашем сервере в профиле вашего подключения на вкладке Limits в пункте Idle Timeout поставьте там 10 секунд например. А в свойствах самого подключения поставьте галочку Dial On Demand.

Limits в пункте Idle Timeout поставьте там 10 секунд например "Не активно не зя поменять "серое значение""