m4j Posted July 19, 2012 (edited) · Report post И так. Карта сети пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0. если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24 ether1=интерфейс wan ether3=интерфейс lan IM=интерфейс OpenVpn CLient Маршруты как вы понимаете все пихаю push route с опенвпн сервера. Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM. Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :( Теперь правила фильтров: 0 ;;; Added by webbox chain=input action=accept protocol=icmp 1 ;;; Added by webbox chain=input action=accept connection-state=established in-interface=ether1 2 ;;; Added by webbox chain=input action=accept connection-state=related in-interface=ether1 3 X ;;; SMB chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=445 4 ;;; RADMIN chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=4899 5 ;;; Outdoor Accsess chain=input action=accept protocol=tcp dst-port=8291 6 ;;; Added by webbox chain=input action=drop in-interface=ether1 7 ;;; Added by webbox chain=forward action=jump jump-target=customer in-interface=ether1 8 ;;; Added by webbox chain=customer action=accept connection-state=established 9 ;;; Added by webbox chain=customer action=accept connection-state=related 10 ;;; Added by webbox chain=customer action=drop и ната: 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны. Edited July 20, 2012 by m4j Share this post Link to post Share on other sites
Diman_xxxx Posted July 20, 2012 · Report post 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. Share this post Link to post Share on other sites
m4j Posted July 20, 2012 (edited) · Report post 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. 2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком Edited July 20, 2012 by m4j Share this post Link to post Share on other sites
Saab95 Posted July 20, 2012 · Report post А вы начальную конфигурацию не забыли сбросить? Share this post Link to post Share on other sites
m4j Posted July 20, 2012 · Report post А вы начальную конфигурацию не забыли сбросить? не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика Share this post Link to post Share on other sites
Saab95 Posted July 20, 2012 · Report post Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Share this post Link to post Share on other sites
Diman_xxxx Posted July 20, 2012 · Report post Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть? Share this post Link to post Share on other sites
Saab95 Posted July 20, 2012 · Report post Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Share this post Link to post Share on other sites
m4j Posted August 3, 2012 · Report post Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Share this post Link to post Share on other sites
Saab95 Posted August 3, 2012 · Report post Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать. Share this post Link to post Share on other sites
Diman_xxxx Posted August 4, 2012 (edited) · Report post Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ? Out Int оставляю пустыми ??? Спасибо Edited August 4, 2012 by Diman_xxxx Share this post Link to post Share on other sites
Saab95 Posted August 4, 2012 · Report post Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно. Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком. Share this post Link to post Share on other sites
