m4j Опубликовано 19 июля, 2012 (изменено) · Жалоба И так. Карта сети пинг с компьютеров 192.168.0.0/24 идёт до 192.168.125.6 но не идет из подсети 192.168.0.0 в подсеть 192.168.104.0. если я включаю srcnat masquarade для интерфейса IM(в таблице отключен), то пинг с компьютеров 192.168.104.0/24 идёт до 192.168.0.0/24 ether1=интерфейс wan ether3=интерфейс lan IM=интерфейс OpenVpn CLient Маршруты как вы понимаете все пихаю push route с опенвпн сервера. Перепробовал кучу правил как для фильтров так и для ната но не могу заставить микротик пропускать к своей локалке трафик с интерфейса IM. Помогите разобраться. Уже не одну неделю бьюсь с настройками RB750.И самое обидное что споткнулся на простом и как в ступоре.Где я что упускаю, ткните носом. :( Теперь правила фильтров: 0 ;;; Added by webbox chain=input action=accept protocol=icmp 1 ;;; Added by webbox chain=input action=accept connection-state=established in-interface=ether1 2 ;;; Added by webbox chain=input action=accept connection-state=related in-interface=ether1 3 X ;;; SMB chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=445 4 ;;; RADMIN chain=forward action=accept protocol=tcp in-interface=!ether3 dst-port=4899 5 ;;; Outdoor Accsess chain=input action=accept protocol=tcp dst-port=8291 6 ;;; Added by webbox chain=input action=drop in-interface=ether1 7 ;;; Added by webbox chain=forward action=jump jump-target=customer in-interface=ether1 8 ;;; Added by webbox chain=customer action=accept connection-state=established 9 ;;; Added by webbox chain=customer action=accept connection-state=related 10 ;;; Added by webbox chain=customer action=drop и ната: 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM могу показать таблицы маршрутизации если все таки я что-то с маршрутами упустил. но на мой взгляд все маршруты верны. Изменено 20 июля, 2012 пользователем m4j Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 20 июля, 2012 · Жалоба 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m4j Опубликовано 20 июля, 2012 (изменено) · Жалоба 1 ;;; Added by webbox chain=srcnat action=masquerade out-interface=ether1 2 X ;;; VPN chain=srcnat action=masquerade out-interface=IM Правило #1 наты перенести в конец списка(в примере ненужно) и попробовать добавить еще строчку наты: 3 ;;; chain=srcnat action=masquerade out-interface=Ваш ВПН интерфейс не факт но попобовать можно. 2 правило и есть то что вы предложили добавить 3. Обратите внимание слева стоит X что означает disabled. Если я его включаю пинг начинает ходить с микротика только за впн сервер. Мне же нужно чтобы трафик ходил и изза впнсервера в локалку за микротиком Изменено 20 июля, 2012 пользователем m4j Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июля, 2012 · Жалоба А вы начальную конфигурацию не забыли сбросить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m4j Опубликовано 20 июля, 2012 · Жалоба А вы начальную конфигурацию не забыли сбросить? не забыл. Настраивал сам всё с нуля. Вопрос именно про связь 2 интерфейсов внутри микротика Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июля, 2012 · Жалоба Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 20 июля, 2012 · Жалоба Попробуйте сделать только одно правило маскардинга без указания интерфейсов. Вообще указывать интерфейсы для маскардинга не совсем правильно, вернее указывать адреса клиентов, для которых делать маскардинг. А интерфейс, через который пойдут пакеты и куда сам собой определится по правилам маршрутизации. Тоесть для маскарадинга PPTP outa (в winboxe) строку Out. Interface оставляем пустой а Dst. Address(или в на закладке адвансед) пишем Внешней IP... Врятли, как тут быть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 июля, 2012 · Жалоба Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m4j Опубликовано 3 августа, 2012 · Жалоба Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 августа, 2012 · Жалоба Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. какой смысл в этом. ведь сам по себе маскардинг(если я правильно понимаю) прячет IP локальной подсети мне же нужно правило позволяющее изза моего опен впн сервера поподать дальше IP 192.168.125.6 в подсеть 192.168.104.0. Если вы маскардинг не ограничите определенной подсетью, то у вас маршрутизация нормально работать не будет, все запросы он будет через NAT пропускать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Diman_xxxx Опубликовано 4 августа, 2012 (изменено) · Жалоба Нет. Пишите в src.address подсеть ваших клиентов, например 192.168.0.0/24. Тогда в правило будут попадать только запросы от этих компьютеров. Пишу src.address подсеть в обоих правилах маскарадинга ?? Подсеть 192,99,99,0 ? Out Int оставляю пустыми ??? Спасибо Изменено 4 августа, 2012 пользователем Diman_xxxx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 августа, 2012 · Жалоба Нет, вы там в графе src.address указываете для доступа с каких адресов его делать. Выходной интерфейс указывать не нужно. Если вам надо исключить какую-то подсеть из маскардинга, тогда в dst-address укажите ее с восклицательным знаком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...