Jump to content

Mikrotik

kybix
 Share

Recommended Posts

kybix

kybix

Posted
Posted (edited)

Возникла необходимость на одном LAN-интерфейсе обеспечивать и PPTP подключение и HotSpot.

 

HotSpot включил стандартным образом, все работает. PPTP сервер отдельно тоже, какие правила надо добавит что бы PPTP шло минуя hotspot , причем PPoE на этом же интерфейсе работает нормально.

 

Hotspot работает нормально.

PPTP подключаеться и дает Ip но трафик не идет.

PPoE все нормально работает

Edited by kybix
kybix

kybix

Posted
  • Author
Posted (edited)

Для начала вывод "/ip firewall filter export" в студию.

Скорее всего, правила для хотспота блокируют GRE.

/ip firewall filter
add action=accept chain=forward disabled=yes src-address=11.11.13.0/24
add action=accept chain=forward disabled=yes dst-address=11.11.13.0/24
add action=accept chain=forward disabled=no src-address=11.11.11.6
add action=accept chain=forward disabled=no dst-address=11.11.11.6
add action=accept chain=forward disabled=no src-address=192.168.62.2
add action=accept chain=forward disabled=no dst-address=192.168.62.2
add action=accept chain=forward disabled=no dst-address=192.168.117.19
add action=accept chain=forward disabled=no src-address=192.168.117.19
add action=drop chain=forward disabled=no dst-address=119.70.190.27
add action=drop chain=forward disabled=no dst-address=10.0.6.0/24
add action=accept chain=forward disabled=no src-address=86.16.224.51
add action=accept chain=forward disabled=no dst-address=86.16.224.51
add action=accept chain=forward disabled=no src-address=86.16.224.50
add action=accept chain=forward disabled=no dst-address=86.16.224.50
add action=accept chain=forward disabled=no src-address=192.168.144.7
add action=accept chain=forward disabled=no src-address=192.168.144.3
add action=drop chain=forward disabled=no dst-address=192.168.144.0/24 \
   dst-address-list=""
add action=drop chain=forward disabled=no dst-address=192.168.117.0/24
add action=accept chain=input disabled=no dst-port=1723 protocol=tcp
add action=passthrough chain=unused-hs-chain comment=\
   "place hotspot rules here" disabled=yes

 

Можно уточнение на счет gre

Edited by kybix
Ilya Evseev

Ilya Evseev

Posted
Posted

Прямого запрета не видно.

На всякий случай попробуйте:

/ip firewall filter

add place-before=0 action=accept chain=input protocol=gre

add place-before=0 action=accept chain=output protocol=gre

 

Можно уточнение на счет gre

Можно.

 

P.S. Извращения с поштучным разрешением-запретом отдельных адресов замените на списки:

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Address_list

 

Скорее всего, разрешения можно убрать вообще - в фильтре всё разрешено по умолчанию.

Если нужны именно поштучные разрешения, тогда надо добавить в конец правил явный запрет всего, что не разрешено.

kybix

kybix

Posted
  • Author
Posted (edited)

Прямого запрета не видно.

На всякий случай попробуйте:

/ip firewall filter

add place-before=0 action=accept chain=input protocol=gre

add place-before=0 action=accept chain=output protocol=gre

это не помогло ,

Куда можно еще копать, а как нибудь можно отличит трафик PPtp что бы явним образом можно было его разрешить.

Edited by kybix

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.