[myst]

@Сбрось настройки, если не заработает то это устаревшая технология и никто не использует@

[Saab95]

Читать про него не нужно

 

Для включения OSPF достаточно указать нужную сеть, или 0.0.0.0/0 в network. Больше ничего делать не следует.

 

Т.к. в инете написано много всякой ерунды, которая может создать много проблем новичкам. Например указывают что надо ID роутера менять, что в Network прописывать только ту сеть, которой они соединены, что надо вручную указывать типы интерфейсов и т.п. Следуя этим сведениям очень легко запутаться и создать себе же проблем в будущем.

[g3fox]

да, всегда пишите в network 0.0.0.0/0, затем:

ожидайте проблем, если в сегменте вас таких окажется двое

ожидайте ***юлей, если у провайдера работает такой-же как и вы

[myst]

Читать про него не нужно

 

Для включения OSPF достаточно указать нужную сеть, или 0.0.0.0/0 в network. Больше ничего делать не следует.

 

Т.к. в инете написано много всякой ерунды, которая может создать много проблем новичкам. Например указывают что надо ID роутера менять, что в Network прописывать только ту сеть, которой они соединены, что надо вручную указывать типы интерфейсов и т.п. Следуя этим сведениям очень легко запутаться и создать себе же проблем в будущем.

Ну типичный пример недоадмина который читает мануалы после а не до.

Изменено 24 февраля, 2014 пользователем myst

[Saab95]

да, всегда пишите в network 0.0.0.0/0, затем:

ожидайте проблем, если в сегменте вас таких окажется двое

ожидайте ***юлей, если у провайдера работает такой-же как и вы

 

И что же случиться? Что бы осуществить связь, нужны адреса из одной подсети. Если у одного оператора передача идет по 10.0.0.0/24, а у другого 10.10.0.0/24, в одном физическом канале, то устройства не снюхаются. С таким же успехом злоумышленник может и адрес из чужой сети себе подставить, при чем уже не будет важно, одна сеть указана в Network или нули.

[g3fox]

Ну уж, наверное, в одном сегменте сети у меня с оператором адреса будут из одной сети...

Или на кой хер я туда подключен буду вообще?

Да и с другим клиентом в сети оператора тоже с большой вероятностью совпадут.

[kinord]

подскажите как правильно прокинуть паблик на удаленный микротик.

 

К примеру есть подсеть 26 на главном микротике, шлюзом является один из этих адресов (на железке провайдера). На удаленном микротике настраиваю туннель, делаю маршрут 0.0.0.0/0 с меткой и заворачиваю в туннель. прописываю белый ip из этой сети на компе за микротиком. С удаленного компа пингаются адреса из подсети /26 на главном микротике, кроме общего шлюзового ip. Комп пингается с главного микротика. Трасерт заканчивается на туннеле главного микротика. Такое ощущение, что главный микротик не хочет пропускать трафик из туннеля во внешнюю сеть. Правил фаервола нет никаких, кроме ната, который для других адресов работает

[Saab95]

Вам надо маркировать пакеты, что бы отправить данные по туннелю. Но лучше всего включить прокси арп на интерфейсе провайдера, что бы с других устройств вашей сети можно было получить доступ в сеть с этих адресов, и раздать их по OSPF удаленному устройству.

 

Хотя возможно у вас уже и так все настроено правильно, только прокси арп забыли включить. Ведь сейчас у вас оборудование провайдера не знает, что адреса, с которых вы пытаетесь получить доступ в интернет, находятся за первым микротиком.

[kinord]

 

Хотя возможно у вас уже и так все настроено правильно, только прокси арп забыли включить. Ведь сейчас у вас оборудование провайдера не знает, что адреса, с которых вы пытаетесь получить доступ в интернет, находятся за первым микротиком.

 

Сааб, спасибо тебе огромное!!! Пол дня убил, ради того, что бы обнаружить, что у меня на основном микротике как раз был выключен прокси арп.... А ведь наступал уже на эти грабли когда-то, но, видимо, не придал значения.

[vlad11]

Сааб, спасибо тебе огромное!!! Пол дня убил, ради того, что бы обнаружить, что у меня на основном микротике как раз был выключен прокси арп.... А ведь наступал уже на эти грабли когда-то, но, видимо, не придал значения.

 

А стоило ли вообще покупать железки с нулевой возможностью диагностики?

[Saab95]

А стоило ли вообще покупать железки с нулевой возможностью диагностики?

 

Это вы сейчас будете намекать на ПО, которое у вас в подписи указано?

[kinord]

а что за ерунда может быть:

подключаю по вышеуказанной схеме ноут с линуксом, прописываю у него паблик, все норм.

подключаю ноут с виндой, прописываю тот же паблик - выдает "только что указанный статический ip адрес уже используется в сети". И так с любым адресом, какой бы не прописал.

 

на ближнем микротике, если поставить прокси арп, то винда пишет получение сетевого адреса, если поставить enable, то адрес присваивается, но инета нет

Изменено 17 июля, 2014 пользователем kinord

[Saab95]

Пробовали прописать адрес на отключенном кабеле, а потом подключить?

[kinord]

Пробовали прописать адрес на отключенном кабеле, а потом подключить?

 

да, при включенном режиме прокси арп прописывается, но при включение кабеля пишет получение сетевого адреса (хотя он задан статически), при включенном режиме enabled прописывается, но естестевенно ничего не пингуется.

 

боюсь, что винда упорно не хочет воспринимать шлюз, который находится на основном микротике за туннелем

 

 

короче все работает и пингуется только если назначить ip адрес при режиме порта enabled, а потом перевести в режим прокси арп. И так каждый раз при включении компьютера. Но не будешь же лезть на микротик каждый раз, когда комп с виндой включаешь

Изменено 18 июля, 2014 пользователем kinord

[kinord]

попробовал прокинуть паблик через EoIP - работает, на компе появился публичник. Меня в принципе такой вариант устраивает.

Но только когда я на главном микротике вношу в бридж интерфейс, который смотрит на аплинк - у меня перестают ходить в инет компы, которые подключаются к главному микротику по PPTP. Т.е. в тот момент, когда аплинковый интерфейс, в который натятся серые адреса приходящие через PPTP, попадает в бридж - перестают работать эти серые адреса.

[t1bur1an]

kinord, все правильно. ип надо перенести на бридж и проверить правило маскардинга на наличие out-interface.

[Saab95]

kinord, все правильно. ип надо перенести на бридж и проверить правило маскардинга на наличие out-interface.

 

Вообще то out-interface не нужно указывать у правила маскардинга, достаточно src.address для указания сети абонентов и dst.address для указания направлений, в сторону которых включать НАТ. Как раз указание входных и выходных интерфейсов, бриджей и т.п., создает разнообразные странности в работе.

[kinord]

спасибо, применил оба совета - все заработало.

 

Теперь вот вопрос как отдать в определенное место через туннель только определенный ip адрес, т.е. сейчас можно задать любой адрес из подсети вручную, а как запретить хождение любых адресов, кроме определенного? Фаерволом или еше как-то можно?

 

И еще не срабатывает простейшее правило drop для пабликов. Это правило срабатывает для всех серых адресов, которые не в списке allow, но паблики почему-то работают вне зависимости от того, нахожятся они в allow или нет.

[kinord]

коллеги, возвращаюсь к избитой теме.

 

Паблики с удаленного микротика я научился прокидывать через EoIP, но теперь проблема в том, как мне разрулить какой паблик куда? Есть у меня сеть /26 на центральном микротике. Как сделать так, что бы клиент, который приходит по eoip1 мог использовать только адрес 111.111.111.111, а клиент который за eoip2 мог использовать только адрес 222.222.222.222. Сейчас получается, что любой из них может назначить себе адрес 333.333.333.333 или любой другой из моей сети /26 и пользоваться им.

 

Напомню - у меня есть подсеть /26 на центральном микротике, а точнее он ее получает от присоединяющего провайдера. Интерфес, который смотрит в сторону провайдера я бриджую с eoip которые прокинуты на удаленные микротики. Таким образом получаю на удаленных микротиках паблики, которые мне выдает провайдер.

 

Я как-то делал на микротике vlan-per-user там нужно было сделать роут на нужный интерфейс (vlan) с нужным ip и тогда пользователь четко идентифицировался с этим ip и vlan и не мог подменить данные. Тут по ходу такая фишка не проходит. Как правильно сдалать?

Изменено 24 ноября, 2014 пользователем kinord

[Saab95]

коллеги, возвращаюсь к избитой теме.

 

Паблики с удаленного микротика я научился прокидывать через EoIP, но теперь проблема в том, как мне разрулить какой паблик куда? Есть у меня сеть /26 на центральном микротике. Как сделать так, что бы клиент, который приходит по eoip1 мог использовать только адрес 111.111.111.111, а клиент который за eoip2 мог использовать только адрес 222.222.222.222. Сейчас получается, что любой из них может назначить себе адрес 333.333.333.333 или любой другой из моей сети /26 и пользоваться им.

 

Напомню - у меня есть подсеть /26 на центральном микротике, а точнее он ее получает от присоединяющего провайдера. Интерфес, который смотрит в сторону провайдера я бриджую с eoip которые прокинуты на удаленные микротики. Таким образом получаю на удаленных микротиках паблики, которые мне выдает провайдер.

 

Я как-то делал на микротике vlan-per-user там нужно было сделать роут на нужный интерфейс (vlan) с нужным ip и тогда пользователь четко идентифицировался с этим ip и vlan и не мог подменить данные. Тут по ходу такая фишка не проходит. Как правильно сдалать?

 

Действительно избитая тема - включаете прокси арп на интерфейсе, где провайдер дает сеть /26, дальше роутингом ее раздаете на любые микротики без всяких туннелей. Что бы прибить эту сеть в клану, вешаете на влан

 

/ip address add address=111.111.111.1/32 network=111.111.111.10 interface=vlan_10

 

Соответственно абонент ставит себе адрес шлюза 111.111.111.1, маску 255.255.255.0 и адрес 111.111.111.10 и все работает. Останется только OSPF включить и все.

[kinord]

Останется только OSPF включить и все

 

Вот это то и есть ключевой момент, как я понимаю? )

 

Я в принципе задачу уже решил, оказывается в настройках бриджа есть галочка, которая включает фаервол для бриджа.

Соответственно оставил все как есть через eoip и разрулил все это дело правилами фаервола, плюс настроил правила блокировки и редиректа. Посмотрим как будет работать.