Jump to content
Калькуляторы

Ipsec+DHCP 951ui-2HnD Не могу настроить микротик

День добрый, особо не пинайте в гугл, всё что мог нагуглить - коэфициент кпд 0, пока в сетях дилетант с большой буквы Д. взял на себя ответственность держать офис из 50-ти машин + 50 VoIP телефонов. Но тут столкнулся в сложности выбора оборудования, т.к. в сетях пока плохо плаваю. Проблема такова, микротик не хочет со мной дружить.

1) Делаю резет - настраиваю ip микротика, как 192.168.60.1, DHCP пул 60.50-60.100, но при подключении к сети выдаётся всё равно адрес 88.254. - соответственно не работает ничего(подключаешься к роутеру в ручную прописанным IP) решил вопрос, настроил DHCP прописал роутеру IP адрес, сделал маскарад трафика в нате на интерфейс пппое - и чудесным образом появился интернет.

2) Поднимаю РРРОЕ если через создание интерфейса - на микротике инет есть, на клиентах нет. Если через quick set перевожу в режим РРРОЕ - то интернет есть и на клиентах. - тоже не понятно как такое происходит(или это разные вещи? хотя интерфейс РРРОЕ клиент появляется)

3) создаю IPSec туннель до ip адреса - тунель поднимается, но в одну сторону, т.е. пинги до моих компьютеров есть, а с моих компьютеров нет - логи настроек попозже скину.(опять резет сделал)

Может кто нибудь помочь и разжевать пока первые два вопроса, т.к. на 3 вопрос не подготовился.

Edited by MATRIX41

Share this post


Link to post
Share on other sites

Выкинуть микротик, поставить тазик с *nix-ами.

Большое спасибо за совет.

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

Share this post


Link to post
Share on other sites

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

 

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

Share this post


Link to post
Share on other sites

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

К сожалению у меня не было никаких инструкций и прочих мануалов по микротику, очень долго я мучался с ним, но всё таки смог, теперь немного начинаю понимать как всё таки он устроен, у него поднимается всё на "виртуальных" интерфейсах. Всегда нужно сказать ему что и куда делать. Т.е. у меня сейчас 2 линии 1) адсл модем(PPPOE), 2) Оптоволокно (Static IP) - сейчас хочу придумать как из статик IP поднимать PPPОЕ резервный канал. Сложность в том что у меня впн с филиалом IPsec, и на стороне филиала обычный роутер TP-LINK модель не знаю. Я понимаю, что на микротиках - это сделать проще, создав два пира и скрипт на "прослушку" интерфейса. Но без понятия как сделать это на тплинке, если есть идеи буду рад прислушаться

Edited by MATRIX41

Share this post


Link to post
Share on other sites

Когда микротик только достаете из коробки, нужно его сбросить. Т.к. по умолчанию там настроены вещи, которые никому не нужны, и блокировки файрвола только создают проблемы и занимают производительность процессора, т.к. сначала там все блокируется, после вы разрешаете пропуск данных по нужным портам и т.п. При этом считаете что роутер якобы защищен. Да ему и без файрвола ничего не будет.

Share this post


Link to post
Share on other sites

Когда микротик только достаете из коробки, нужно его сбросить.

Поправка: выбросить

 

MATRIX41: Вот ман на всякий случай по ipsec на Mikrotik.

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

Share this post


Link to post
Share on other sites

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

Share this post


Link to post
Share on other sites

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

Для начала /ip firewall filter в студию, плюс настройки машрутизации и ipsec.

Share this post


Link to post
Share on other sites

Filter

1   ;;; Allow IKE
    chain=input action=accept protocol=udp dst-port=500 

2   ;;; Allow IPSec-esp
    chain=input action=accept protocol=ipsec-esp 

3   ;;; Allow IPSec-ah
    chain=input action=accept protocol=ipsec-ah 

4   ;;; Allow UDP
    chain=input action=accept protocol=udp 

5   ;;; default configuration
    chain=input action=accept protocol=icmp 

6   ;;; default configuration
    chain=input action=accept connection-state=established 

7   ;;; default configuration
    chain=input action=accept connection-state=related 

8   ;;; default configuration
    chain=input action=drop in-interface=ether1-gateway 

9   ;;; default configuration
    chain=forward action=accept connection-state=established 

10   ;;; default configuration
    chain=forward action=accept connection-state=related 

11   ;;; default configuration
    chain=forward action=drop connection-state=invalid 

 

Это NAT

Flags: X - disabled, I - invalid, D - dynamic 
0 X chain=srcnat action=accept protocol=tcp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

1 X  chain=srcnat action=accept protocol=udp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

2   chain=srcnat action=accept src-address=192.168.60.0/24 dst-address=192.168.10.0/24 

3   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway 

Service port

Flags: X - disabled, I - invalid 
#   NAME                                                                                                                                                                                                                          PORTS
0   ftp                                                                                                                                                                                                                           21   
1   tftp                                                                                                                                                                                                                          69   
2   irc                                                                                                                                                                                                                           6667 
3   h323                                                                                                                                                                                                                         
4   sip                                                                                                                                                                                                                           5060 
                                                                                                                                                                                                                                  5061 
5   pptp  

Share this post


Link to post
Share on other sites

Это последнее моё сообщение на сегодня))))) вообщем заметил что при подключенном ВПН IPsec пинги идут по bridge-local интерфейсу, хотя должны быть в ether1 т.к. он ведь находится у меня не в локальной сети.

Routes

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          188.168.8.xxx               1
1 ADC  188.168.8.0/24     188.168.8.xxx   ether1-gateway            0
2 ADC  192.168.60.0/24    192.168.60.1    bridge-local              0

В данный момент тунель почему-то работает в одностороннем режиме... Т.к. переговорив с филиалом дела плохи в мою сторону по пингу

 

Предварительно создав бекап того, что работает скинул всё на заводские настройки, а затем вообще в 0, настроить по нормальному не смог, долго мучал DHCP который даже не стал выдавать заведомо прописанные адреса, и всех посылал в 169.**.**.** вообщем есть у кого толковый мануал на русском языке - что это за бородец(mikrotik) и вообще с чем его едят?

Edited by MATRIX41

Share this post


Link to post
Share on other sites

MATRIX41 вас в гугле забанили? :)

Никак нет, там всё очень скудно))) нет каких то статей для чайников не понимающих в сетях) проблемы есть с роутером, а вот как это решить не знаю. Как создать правило (где нибудь) чтобы пакеты не попадали под фильтр от 192.168.10.6 до 192.168.60.100 и обратно?

Share this post


Link to post
Share on other sites

Большое спасибо, перечитал почти всё, что есть. И так ситуация с IP телефонией, значится телефоны d-link с такой схемой работать не хотят, а вот с компьютера, поставив программу для SIP телефонии(в той же под сети что и телефоны, из того же пула адресов) подключилось и работает. То есть виноват я так понимаю не микротик, а уже сам телефон. Первым делом я прогуглил/прояндексил - все результаты настройки телефонов, и как сип телефония вообще работает. Всё до банальности просто. Но вот беда, телефоны попрежнему не видят удалённую подсеть. Хотя трасерты с компьютера и микротика показывают что всё нормаль, вот все узлы.

Share this post


Link to post
Share on other sites

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

 

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

TP-link 6020 - который

Share this post


Link to post
Share on other sites

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

Рад, что у вас все получилось. Насчет резервирования - на хабре куча статей по этому поводу.

Share this post


Link to post
Share on other sites

Вернулся я уже с другим вопросом, все хорошо, микротик на ура держит связь, VPN стабилен уже месяц. Вопрос интересует сейчас такой, у меня господа юзеры - "не хотят" ходить на социальные сети, и развлекательные порталы, самые основные развлекательные каналы по компьютеру я убрал reject'ом теперь вот мучаюсь как бы видеотрафик запретить, т.е. Все возможные фильмы онлайн и прочее. Есть ли какие нибудь правила для дропа пакетов по типу контента? допустим Flash player Он по сути не нужен. Да есть много сайтов с flash меню и анимацией, но я думаю что это больше развлекательные ресурсы, поэтому опять прошу помощи.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.