m4j Posted July 19, 2012 (edited) И так. Карта сети пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0. если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24 ether1=интерфейс wan ether3=интерфейс lan IM=интерфейс OpenVpn CLient Маршруты как вы понимаете все пихаю push route с опенвпн сервера. Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM. Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :( Теперь правила фильтров: 0 ;;; Added by webbox chain=input action=accept protocol=icmp 1 ;;; Added by webbox chain=input action=accept connection-state=established in-interface=ether1 2 ;;; Added by webbox chain=input action=accept connection-state=related in-interface=ether1 3 X ;;; SMB chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=445 4 ;;; RADMIN chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=4899 5 ;;; Outdoor Accsess chain=input action=accept protocol=tcp dst-port=8291 6 ;;; Added by webbox chain=input action=drop in-interface=ether1 7 ;;; Added by webbox chain=forward action=jump jump-target=customer in-interface=ether1 8 ;;; Added by webbox chain=customer action=accept connection-state=established 9 ;;; Added by webbox chain=customer action=accept connection-state=related 10 ;;; Added by webbox chain=customer action=drop и ната: 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны. Edited July 20, 2012 by m4j Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted July 20, 2012 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
m4j Posted July 20, 2012 (edited) 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. 2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком Edited July 20, 2012 by m4j Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 20, 2012 А вы начальную конфигурацию не забыли сбросить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
m4j Posted July 20, 2012 А вы начальную конфигурацию не забыли сбросить? не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 20, 2012 Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted July 20, 2012 Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted July 20, 2012 Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
m4j Posted August 3, 2012 Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 3, 2012 Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Diman_xxxx Posted August 4, 2012 (edited) Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ? Out Int оставляю пустыми ??? Спасибо Edited August 4, 2012 by Diman_xxxx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 4, 2012 Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно. Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...