[m4j]

И так.

Карта сети

пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0.

если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24

 

ether1=интерфейс wan

ether3=интерфейс lan

IM=интерфейс OpenVpn CLient

 

Маршруты как вы понимаете все пихаю push route с опенвпн сервера.

 

Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM.

 

Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :(

 

 

Теперь правила фильтров:

0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=ether1

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=ether1

3 X ;;; SMB
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=445

4 ;;; RADMIN
chain=forward action=accept protocol=tcp in-interface=!ether3
dst-port=4899

5 ;;; Outdoor Accsess
chain=input action=accept protocol=tcp dst-port=8291

6 ;;; Added by webbox
chain=input action=drop in-interface=ether1

7 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=ether1

8 ;;; Added by webbox
chain=customer action=accept connection-state=established

9 ;;; Added by webbox
chain=customer action=accept connection-state=related

10 ;;; Added by webbox
chain=customer action=drop

и ната:

1 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=ether1
2 X ;;; VPN
chain=srcnat action=masquerade out-interface=IM

могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны.

 

 

Edited July 20, 2012 by m4j

[Diman_xxxx]

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

[m4j]

1    ;;; Added by webbox
    chain=srcnat action=masquerade out-interface=ether1 
2 X ;;; VPN
    chain=srcnat action=masquerade out-interface=IM

 

Правило #1 наты перенести в конец списка(в примере ненужно)

и попробовать добавить еще строчку наты:

3    ;;; 
    chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс

не факт но попобовать можно.

 

2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком

Edited July 20, 2012 by m4j

[Saab95]

А вы начальную конфигурацию не забыли сбросить?

 

 

[m4j]

А вы начальную конфигурацию не забыли сбросить?

не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика

[Saab95]

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

 

[Diman_xxxx]

Попробуйте сделать только одно правило маскардинга без указания интерфейсов.

 

Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации.

 

Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть?

[Saab95]

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

 

[m4j]

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

[Saab95]

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0.

 

Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать.

[Diman_xxxx]

Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров.

 

Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ?

 

Out Int оставляю пустыми ???

 

Спасибо

Edited August 4, 2012 by Diman_xxxx

[Saab95]

Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно.

 

Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком.