Перейти к содержимому
Калькуляторы

Ipsec+DHCP 951ui-2HnD Не могу настроить микротик

День добрый, особо не пинайте в гугл, всё что мог нагуглить - коэфициент кпд 0, пока в сетях дилетант с большой буквы Д. взял на себя ответственность держать офис из 50-ти машин + 50 VoIP телефонов. Но тут столкнулся в сложности выбора оборудования, т.к. в сетях пока плохо плаваю. Проблема такова, микротик не хочет со мной дружить.

1) Делаю резет - настраиваю ip микротика, как 192.168.60.1, DHCP пул 60.50-60.100, но при подключении к сети выдаётся всё равно адрес 88.254. - соответственно не работает ничего(подключаешься к роутеру в ручную прописанным IP) решил вопрос, настроил DHCP прописал роутеру IP адрес, сделал маскарад трафика в нате на интерфейс пппое - и чудесным образом появился интернет.

2) Поднимаю РРРОЕ если через создание интерфейса - на микротике инет есть, на клиентах нет. Если через quick set перевожу в режим РРРОЕ - то интернет есть и на клиентах. - тоже не понятно как такое происходит(или это разные вещи? хотя интерфейс РРРОЕ клиент появляется)

3) создаю IPSec туннель до ip адреса - тунель поднимается, но в одну сторону, т.е. пинги до моих компьютеров есть, а с моих компьютеров нет - логи настроек попозже скину.(опять резет сделал)

Может кто нибудь помочь и разжевать пока первые два вопроса, т.к. на 3 вопрос не подготовился.

Изменено пользователем MATRIX41

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выкинуть микротик, поставить тазик с *nix-ами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выкинуть микротик, поставить тазик с *nix-ами.

Большое спасибо за совет.

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разобрался с микротиком и впн тунелем. Прописал всё от а до я, с тунелем - был неправильно настроен Firewall - пока не открыл весь udp трафик он не хотел пускать дальше.

/ip firewall filter add chain=input comment="Allow IKE" dst-port=500 protocol=udp
/ip firewall filter add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
/ip firewall filter add chain=input comment="Allow IPSec-ah" protocol=ipsec-ah
/ip firewall filter add chain=input comment="Allow UDP" protocol=udp

Может кому потребуется

 

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так нужно было сбросить начальный конфиг, тогда и вносить изменения в файрвол бы не потребовалось - он совершенно лишняя вещь.

К сожалению у меня не было никаких инструкций и прочих мануалов по микротику, очень долго я мучался с ним, но всё таки смог, теперь немного начинаю понимать как всё таки он устроен, у него поднимается всё на "виртуальных" интерфейсах. Всегда нужно сказать ему что и куда делать. Т.е. у меня сейчас 2 линии 1) адсл модем(PPPOE), 2) Оптоволокно (Static IP) - сейчас хочу придумать как из статик IP поднимать PPPОЕ резервный канал. Сложность в том что у меня впн с филиалом IPsec, и на стороне филиала обычный роутер TP-LINK модель не знаю. Я понимаю, что на микротиках - это сделать проще, создав два пира и скрипт на "прослушку" интерфейса. Но без понятия как сделать это на тплинке, если есть идеи буду рад прислушаться

Изменено пользователем MATRIX41

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда микротик только достаете из коробки, нужно его сбросить. Т.к. по умолчанию там настроены вещи, которые никому не нужны, и блокировки файрвола только создают проблемы и занимают производительность процессора, т.к. сначала там все блокируется, после вы разрешаете пропуск данных по нужным портам и т.п. При этом считаете что роутер якобы защищен. Да ему и без файрвола ничего не будет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда микротик только достаете из коробки, нужно его сбросить.

Поправка: выбросить

 

MATRIX41: Вот ман на всякий случай по ipsec на Mikrotik.

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообщем всё с ipsec хорошо, даже после перехода на оптоволокно, теперь другой вопрос, имеются телефоны VOiP, с компов пинг до атс проходит (атс на филиале) с телефонов пинг не идёт, /ip firewall service port 5060 и 5061 включены. Что может быть не так?

Для начала /ip firewall filter в студию, плюс настройки машрутизации и ipsec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Filter

1   ;;; Allow IKE
    chain=input action=accept protocol=udp dst-port=500 

2   ;;; Allow IPSec-esp
    chain=input action=accept protocol=ipsec-esp 

3   ;;; Allow IPSec-ah
    chain=input action=accept protocol=ipsec-ah 

4   ;;; Allow UDP
    chain=input action=accept protocol=udp 

5   ;;; default configuration
    chain=input action=accept protocol=icmp 

6   ;;; default configuration
    chain=input action=accept connection-state=established 

7   ;;; default configuration
    chain=input action=accept connection-state=related 

8   ;;; default configuration
    chain=input action=drop in-interface=ether1-gateway 

9   ;;; default configuration
    chain=forward action=accept connection-state=established 

10   ;;; default configuration
    chain=forward action=accept connection-state=related 

11   ;;; default configuration
    chain=forward action=drop connection-state=invalid 

 

Это NAT

Flags: X - disabled, I - invalid, D - dynamic 
0 X chain=srcnat action=accept protocol=tcp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

1 X  chain=srcnat action=accept protocol=udp src-address=192.168.60.0/24 dst-address=192.168.10.0/24 src-port=5060-5061 dst-port=5060-5061 

2   chain=srcnat action=accept src-address=192.168.60.0/24 dst-address=192.168.10.0/24 

3   ;;; default configuration
    chain=srcnat action=masquerade out-interface=ether1-gateway 

Service port

Flags: X - disabled, I - invalid 
#   NAME                                                                                                                                                                                                                          PORTS
0   ftp                                                                                                                                                                                                                           21   
1   tftp                                                                                                                                                                                                                          69   
2   irc                                                                                                                                                                                                                           6667 
3   h323                                                                                                                                                                                                                         
4   sip                                                                                                                                                                                                                           5060 
                                                                                                                                                                                                                                  5061 
5   pptp  

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это последнее моё сообщение на сегодня))))) вообщем заметил что при подключенном ВПН IPsec пинги идут по bridge-local интерфейсу, хотя должны быть в ether1 т.к. он ведь находится у меня не в локальной сети.

Routes

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          188.168.8.xxx               1
1 ADC  188.168.8.0/24     188.168.8.xxx   ether1-gateway            0
2 ADC  192.168.60.0/24    192.168.60.1    bridge-local              0

В данный момент тунель почему-то работает в одностороннем режиме... Т.к. переговорив с филиалом дела плохи в мою сторону по пингу

 

Предварительно создав бекап того, что работает скинул всё на заводские настройки, а затем вообще в 0, настроить по нормальному не смог, долго мучал DHCP который даже не стал выдавать заведомо прописанные адреса, и всех посылал в 169.**.**.** вообщем есть у кого толковый мануал на русском языке - что это за бородец(mikrotik) и вообще с чем его едят?

Изменено пользователем MATRIX41

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MATRIX41 вас в гугле забанили? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MATRIX41 вас в гугле забанили? :)

Никак нет, там всё очень скудно))) нет каких то статей для чайников не понимающих в сетях) проблемы есть с роутером, а вот как это решить не знаю. Как создать правило (где нибудь) чтобы пакеты не попадали под фильтр от 192.168.10.6 до 192.168.60.100 и обратно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Большое спасибо, перечитал почти всё, что есть. И так ситуация с IP телефонией, значится телефоны d-link с такой схемой работать не хотят, а вот с компьютера, поставив программу для SIP телефонии(в той же под сети что и телефоны, из того же пула адресов) подключилось и работает. То есть виноват я так понимаю не микротик, а уже сам телефон. Первым делом я прогуглил/прояндексил - все результаты настройки телефонов, и как сип телефония вообще работает. Всё до банальности просто. Но вот беда, телефоны попрежнему не видят удалённую подсеть. Хотя трасерты с компьютера и микротика показывают что всё нормаль, вот все узлы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

 

Кстати а с каких пор TP-Link научился в ipsec? Или там wrt стоит?

TP-link 6020 - который

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Всем спасибо! VoIP работает, и пока проблем нет, IPSec тоже в норме. Всё отлично, осталось дело за малым, скрипты и резервный канал.

Рад, что у вас все получилось. Насчет резервирования - на хабре куча статей по этому поводу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вернулся я уже с другим вопросом, все хорошо, микротик на ура держит связь, VPN стабилен уже месяц. Вопрос интересует сейчас такой, у меня господа юзеры - "не хотят" ходить на социальные сети, и развлекательные порталы, самые основные развлекательные каналы по компьютеру я убрал reject'ом теперь вот мучаюсь как бы видеотрафик запретить, т.е. Все возможные фильмы онлайн и прочее. Есть ли какие нибудь правила для дропа пакетов по типу контента? допустим Flash player Он по сути не нужен. Да есть много сайтов с flash меню и анимацией, но я думаю что это больше развлекательные ресурсы, поэтому опять прошу помощи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.