MATRIX41 Posted October 28, 2014 (edited) · Report post День добрый, особо не пинайте в гугл, всё что мог нагуглить - коэфициент кпд 0, пока в сетях дилетант с большой буквы Д. взял на себя ответственность держать офис из 50-ти машин + 50 VoIP телефонов. Но тут столкнулся в сложности выбора оборудования, т.к. в сетях пока плохо плаваю. Проблема такова, микротик не хочет со мной дружить. 1) Делаю резет - настраиваю ip микротика, как 192.168.60.1, DHCP пул 60.50-60.100, но при подключении к сети выдаётся всё равно адрес 88.254. - соответственно не работает ничего(подключаешься к роутеру в ручную прописанным IP) решил вопрос, настроил DHCP прописал роутеру IP адрес, сделал маскарад трафика в нате на интерфейс пппое - и чудесным образом появился интернет. 2) Поднимаю РРРОЕ если через создание интерфейса - на микротике инет есть, на клиентах нет. Если через quick set перевожу в режим РРРОЕ - то интернет есть и на клиентах. - тоже не понятно как такое происходит(или это разные вещи? хотя интерфейс РРРОЕ клиент появляется) 3) создаю IPSec туннель до ip адреса - тунель поднимается, но в одну сторону, т.е. пинги до моих компьютеров есть, а с моих компьютеров нет - логи настроек попозже скину.(опять резет сделал) Может кто нибудь помочь и разжевать пока первые два вопроса, т.к. на 3 вопрос не подготовился. Edited October 28, 2014 by MATRIX41 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 30, 2014 · Report post Выкинуть микротик, поставить тазик с *nix-ами. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted October 30, 2014 · Report post Выкинуть микротик, поставить тазик с *nix-ами. Большое спасибо за совет. Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше. /ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp /ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp /ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah /ip firewall filter add chain=input comment="Allow UDP" protocol=udp Может кому потребуется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 30, 2014 · Report post Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше. /ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp /ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp /ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah /ip firewall filter add chain=input comment="Allow UDP" protocol=udp Может кому потребуется Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted October 31, 2014 (edited) · Report post Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь. К сожалению у меня не было никаких инструкций и прочих мануалов по микротику, очень долго я мучался с ним, но всё таки смог, теперь немного начинаю понимать как всё таки он устроен, у него поднимается всё на "виртуальных" интерфейсах. Всегда нужно сказать ему что и куда делать. Т.е. у меня сейчас 2 линии 1) адсл модем(PPPOE), 2) Оптоволокно (Static IP) - сейчас хочу придумать как из статик IP поднимать PPPОЕ резервный канал. Сложность в том что у меня впн с филиалом IPsec, и на стороне филиала обычный роутер TP-LINK модель не знаю. Я понимаю, что на микротиках - это сделать проще, создав два пира и скрипт на "прослушку" интерфейса. Но без понятия как сделать это на тплинке, если есть идеи буду рад прислушаться Edited October 31, 2014 by MATRIX41 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 31, 2014 · Report post Когда микротик только достаете из коробки, нужно его сбросить. Т.к. по умолчанию там настроены вещи, которые никому не нужны, и блокировки файрвола только создают проблемы и занимают производительность процессора, т.к. сначала там все блокируется, после вы разрешаете пропуск данных по нужным портам и т.п. При этом считаете что роутер якобы защищен. Да ему и без файрвола ничего не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 5, 2014 · Report post Когда микротик только достаете из коробки, нужно его сбросить. Поправка: выбросить MATRIX41: Вот ман на всякий случай по ipsec на Mikrotik. Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 5, 2014 · Report post Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 5, 2014 · Report post Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так? Для начала /ip firewall filter в студию, плюс настройки машрутизации и ipsec. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 5, 2014 · Report post Filter 1 ;;; Allow IKE chain=input action=accept protocol=udp dst-port=500 2 ;;; Allow IPSec-esp chain=input action=accept protocol=ipsec-esp 3 ;;; Allow IPSec-ah chain=input action=accept protocol=ipsec-ah 4 ;;; Allow UDP chain=input action=accept protocol=udp 5 ;;; default configuration chain=input action=accept protocol=icmp 6 ;;; default configuration chain=input action=accept connection-state=established 7 ;;; default configuration chain=input action=accept connection-state=related 8 ;;; default configuration chain=input action=drop in-interface=ether1-gateway 9 ;;; default configuration chain=forward action=accept connection-state=established 10 ;;; default configuration chain=forward action=accept connection-state=related 11 ;;; default configuration chain=forward action=drop connection-state=invalid Это NAT Flags: X - disabled, I - invalid, D - dynamic 0 X chain=srcnat action=accept protocol=tcp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 1 X chain=srcnat action=accept protocol=udp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 2 chain=srcnat action=accept src-address=192.168.60.0/24 dst-address=192.168.10.0/24 3 ;;; default configuration chain=srcnat action=masquerade out-interface=ether1-gateway Service port Flags: X - disabled, I - invalid # NAME PORTS 0 ftp 21 1 tftp 69 2 irc 6667 3 h323 4 sip 5060 5061 5 pptp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 5, 2014 (edited) · Report post Это последнее моё сообщение на сегодня))))) вообщем заметил что при подключенном ВПН IPsec пинги идут по bridge-local интерфейсу, хотя должны быть в ether1 т.к. он ведь находится у меня не в локальной сети. Routes Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 188.168.8.xxx 1 1 ADC 188.168.8.0/24 188.168.8.xxx ether1-gateway 0 2 ADC 192.168.60.0/24 192.168.60.1 bridge-local 0 В данный момент тунель почему-то работает в одностороннем режиме... Т.к. переговорив с филиалом дела плохи в мою сторону по пингу Предварительно создав бекап того, что работает скинул всё на заводские настройки, а затем вообще в 0, настроить по нормальному не смог, долго мучал DHCP который даже не стал выдавать заведомо прописанные адреса, и всех посылал в 169.**.**.** вообщем есть у кого толковый мануал на русском языке - что это за бородец(mikrotik) и вообще с чем его едят? Edited November 5, 2014 by MATRIX41 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 6, 2014 · Report post MATRIX41 вас в гугле забанили? :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 6, 2014 · Report post MATRIX41 вас в гугле забанили? :) Никак нет, там всё очень скудно))) нет каких то статей для чайников не понимающих в сетях) проблемы есть с роутером, а вот как это решить не знаю. Как создать правило (где нибудь) чтобы пакеты не попадали под фильтр от 192.168.10.6 до 192.168.60.100 и обратно? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pandel Posted November 6, 2014 · Report post http://yandex.ru/yandsearch?text=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0%20%D1%80%D0%BE%D1%83%D1%82%D0%B5%D1%80%D0%B0%20%D0%BC%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 6, 2014 · Report post http://yandex.ru/yan...%82%D0%B8%D0%BA Большое спасибо, перечитал почти всё, что есть. И так ситуация с IP телефонией, значится телефоны d-link с такой схемой работать не хотят, а вот с компьютера, поставив программу для SIP телефонии(в той же под сети что и телефоны, из того же пула адресов) подключилось и работает. То есть виноват я так понимаю не микротик, а уже сам телефон. Первым делом я прогуглил/прояндексил - все результаты настройки телефонов, и как сип телефония вообще работает. Всё до банальности просто. Но вот беда, телефоны попрежнему не видят удалённую подсеть. Хотя трасерты с компьютера и микротика показывают что всё нормаль, вот все узлы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted November 12, 2014 · Report post Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал. Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит? TP-link 6020 - который Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Night_Snake Posted November 13, 2014 · Report post Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал. Рад, что у вас все получилось. Насчет резервирования - на хабре куча статей по этому поводу. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MATRIX41 Posted December 4, 2014 · Report post Вернулся я уже с другим вопросом, все хорошо, микротик на ура держит связь, VPN стабилен уже месяц. Вопрос интересует сейчас такой, у меня господа юзеры - "не хотят" ходить на социальные сети, и развлекательные порталы, самые основные развлекательные каналы по компьютеру я убрал reject'ом теперь вот мучаюсь как бы видеотрафик запретить, т.е. Все возможные фильмы онлайн и прочее. Есть ли какие нибудь правила для дропа пакетов по типу контента? допустим Flash player Он по сути не нужен. Да есть много сайтов с flash меню и анимацией, но я думаю что это больше развлекательные ресурсы, поэтому опять прошу помощи. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...