настройка 2011

[gmx]

У вас двойной NAT. Чтобы проброс портов работал, нужно их пробрасывать на вышестоящем маршрутизаторе. И не факт, что получится.

Именно поэтому я вам и писал про туннель.
Но вы же упорно утверждаете, что Длинк и Тплинк работает. И они тоже с двойным НАТом работают??? Подозреваю, что с ними с двойным НАТом и инета не будет. Размер пакета растет.

Попробуйте сделать все заново и по шагам, а не пытаться все в одну кучу намешать.

[Kromvel]

так, оптику дали, с основными настройками разобрался. всё вроде работает, но по какой то причине не работают правила фаервола

 конфиг:

Код: Выделить всё

[sysadmin@MikroTik] > export
# jan/18/2016 10:46:49 by RouterOS 6.30.2
# software id = 4JFK-2BZH
#
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1 name="ether3 my"
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] bandwidth=5M/5M master-port=ether1 name="ether5 office"
set [ find default-name=ether8 ] comment=ATS name="ether8 ATS DMZ"
set [ find default-name=ether10 ] comment=WAN1 name="ether10 wan1"
/ip neighbor discovery
set ether1 comment=LAN
set "ether3 my" discover=no
set ether4 discover=no
set "ether5 office" discover=no
set ether6 discover=no
set ether7 discover=no
set "ether8 ATS DMZ" comment=ATS discover=no
set ether9 discover=no
set "ether10 wan1" comment=WAN1 discover=no
/ip pool
add name=dhcp_pool1 ranges=192.168.0.100-192.168.0.120
/ip dhcp-server
add address-pool=dhcp_pool1 interface=ether1 name=dhcp1
/ip address
add address=84.42.x.x/30 interface="ether10 wan1" network=84.42.x.x
add address=192.168.0.44/24 interface=ether1 network=192.168.0.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.44
/ip dns
set allow-remote-requests=yes servers=84.42.0.34,84.42.14.3,8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
add address=192.168.0.160 list=lan-access
/ip firewall filter
add action=drop chain=input comment=" boggon input drop" in-interface="ether10 wan1" src-address-list=BOGON
add action=reject chain=input comment=" ip spoofing protect" connection-state=new protocol=tcp reject-with=\
    tcp-reset tcp-flags=syn,ack
add action=drop chain=forward comment="drop web 19-39" dst-port=80,443 in-interface=ether1 protocol=tcp \
    src-address=192.168.0.19-192.168.0.39 src-port=80,443
add chain=input comment="accept established & related" connection-state=established,related
add action=drop chain=input comment="drop input" in-interface="ether10 wan1"
add chain=forward comment="established forward & related" connection-state=established,related
add action=drop chain=forward comment="drop forward" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface="ether10 wan1"
add action=dst-nat chain=dstnat comment=RDT dst-port=3389 in-interface="ether10 wan1" protocol=tcp to-addresses=\
    192.168.0.4
add action=dst-nat chain=dstnat comment="video potok" dst-port=3080-3081 in-interface="ether10 wan1" protocol=tcp \
    to-addresses=192.168.0.3
add action=dst-nat chain=dstnat comment=ATS dst-port=1720,16000 in-interface="ether10 wan1" protocol=tcp \
    src-address=212.48.x.x to-addresses=192.168.0.144
add action=dst-nat chain=dstnat comment=ATS dst-port=2048-4096 in-interface="ether10 wan1" protocol=udp \
    src-address=212.48.x.x to-addresses=192.168.0.144
add action=redirect chain=dstnat comment=DNS dst-port=53 in-interface=ether1 protocol=udp
/ip route
add distance=1 gateway=84.42.x.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether1
/tool romon port
add
[sysadmin@MikroTik] > 
[sysadmin@MikroTik] > 

создаю правила в фильтре в настоящий момент дропать для диапазона 192.168.0.19-192.168.0.39 интернет 80 и 443 порты, но естественно дыбы почта, аськи и прочее нужное оставить.
подскажите, где ошибка?
по этой же причине не могу добиться дропов пакетов на АТС, пришлось пока фильтровать NATом, хотя читал что эт неправильно.

[gmx]

1. Важен порядок правил. Поднимайте запрещающие правила выше в начало списка.
2. У вас там куча других правил. Они точно нужны??? Оставьте только то, что нужно и которые вы сами четко понимаете.
3. Уберите source port, оставьте только dst, в качестве порта направления укажите порт WAN.

Можно вообще порты Ether или WAN не указывать, что-то вроде вот такого
ip firewall filters add chain=forward protocol=tcp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop tcp 1025-65536"
ip firewall filters add chain=forward protocol=udp dst-port=1025-65536 action=drop src-address=192.168.0.0/24 comment="drop udp 1025-65536"

[Kromvel]

да, убрал саурс порт, и заработало. благодарю.

[Kromvel]

с основными настройками разобрался. осталось одна неприятная бяка.
пока АТС подключена просто как обычный ПК и на неё просто транслирую порты.
1 вызов с аппарата всё хорошо, кладем трубку, набираем сразу - молчок в течении 6-10 сек, но если мы набираем с другого аппарата тот же номер, то идут сразу
сигналы занято. следовательно, по каким то причинам, наш маршрутизатор не сразу пропускает UDP пакеты которые у нас прописаны в правиле фаервола и НАТ.
для эксперимента отключал весь фаервол, убирал привязку к IP в нате - эффекта нет.
подскажите, куда копать?
или как правильно транслировать АТС?
неудобство в том, что АТС физически расположены в разных городах, и экспериментировать в рабочее время мне никто не даст.

 

[sysadmin@MikroTik] > export
# jan/23/2016 12:59:51 by RouterOS 6.30.2
# software id = 4JFK-2BZH
#
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1 name="ether3 my"
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] master-port=ether1 name="ether5 office"
set [ find default-name=ether8 ] comment=ATS name="ether8 ATS DMZ"
set [ find default-name=ether10 ] comment=WAN1 name="ether10 wan1"
/ip neighbor discovery
set ether1 comment=LAN
set "ether3 my" discover=no
set ether4 discover=no
set "ether5 office" discover=no
set ether6 discover=no
set ether7 discover=no
set "ether8 ATS DMZ" comment=ATS discover=no
set ether9 discover=no
set "ether10 wan1" comment=WAN1 discover=no
/ip pool
add name=dhcp_pool1 ranges=192.168.0.100-192.168.0.120
/ip address
add address=84.42.x.x/30 interface="ether10 wan1" network=84.42.x.x
add address=192.168.0.44/24 interface=ether1 network=192.168.0.0
/ip dns
set allow-remote-requests=yes servers=84.42.0.34,84.42.14.3
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
add address=192.168.0.160 list=lan-access
/ip firewall filter
add action=drop chain=input comment=" boggon input drop" in-interface="ether10 wan1" src-address-list=BOGON
add action=reject chain=input comment=" ip spoofing protect" connection-state=new protocol=tcp reject-with=\
tcp-reset tcp-flags=syn,ack
add action=drop chain=input comment="drop ICMP" in-interface="ether10 wan1" protocol=icmp
add action=drop chain=forward comment="drop web 19-39" dst-port=80,443 out-interface="ether10 wan1" protocol=tcp \
src-address=192.168.0.19-192.168.0.39
add action=drop chain=forward comment="ATC tcp" dst-port=1720,16000 in-interface="ether10 wan1" protocol=tcp \
src-address=!212.48.x.x
add action=drop chain=forward comment="ATC udp" dst-port=2048-4096 in-interface="ether10 wan1" protocol=udp \
src-address=!212.48.x.x
add chain=input comment="accept established & related" connection-state=established,related
add action=drop chain=input comment="drop input" in-interface="ether10 wan1"
add chain=forward comment="established forward & related" connection-state=established,related
add action=drop chain=forward comment="drop forward" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface="ether10 wan1"
add action=dst-nat chain=dstnat comment=RDT dst-port=3389 in-interface="ether10 wan1" protocol=tcp to-addresses=\
192.168.0.4
add action=dst-nat chain=dstnat comment="video potok" dst-port=3080-3081 in-interface="ether10 wan1" protocol=tcp \
to-addresses=192.168.0.3
add action=dst-nat chain=dstnat comment=ATS dst-port=1720,16000 in-interface="ether10 wan1" protocol=tcp \
src-address=212.48.x.x to-addresses=192.168.0.140
add action=dst-nat chain=dstnat comment=ATS dst-port=2048-4096 in-interface="ether10 wan1" protocol=udp \
src-address=212.48.x.x to-addresses=192.168.0.140
add action=redirect chain=dstnat comment=DNS dst-port=53 in-interface=ether1 protocol=udp
/ip route
add distance=1 gateway=84.42.x.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether1
/tool romon port
add
[sysadmin@MikroTik] >

я понимаю, что трафик АТС толковее гонять по ВПН, но пока на второй АТС подобной железяки нет. как разберусь с этой, буду подымать ВПН.

[gmx]

Может проблема не в микротике???

Вот когда не проходит звонок, если перезагрузить микротик, звонок пойдет???

Скорее всего проблема в таймингах на АТС. А может быть АТС вообще не видит, что трубку положили?? Отбой не проходит.
Нужно смотреть логи на АТС. Может не все порты прокинули??? А может АТС нужен не только UDP трафик, может нужно еще и TCP по этим же портам пропускать???
Туннель во всех отношениях предпочтительнее.

Посмотрите, может быть удаленная АТС умеет сама поднимать туннель??? PPPoE клиент в ней точно должен быть.

[Kromvel]

атс простенькие, LG IP LDK60 не умеют они ничего с трафиком делать.
в техпо говорят, что достаточно транслировать только диапазон UDP 2048-4096 и два ТСР 1720 16000 тут документ, в котором есть ещё пара UDP 5588 и 6254, попробую завтра и их протранслировать, но те же товарищи из техпо утверждают, что не в них дело.
АТС изначально рабочие, сейчас просто одну которая стоит у меня, я пересаживаю с обычной линии ADSL с маршрутизатором д-линк за 1000 рублей, который просто выставлен в ДМЗ на атс и по сути просто авторизует её по PPoE. на этой линии вообще никаких проблем со звонками нет. просто отключают эту линию, так как мол есть оптика.
Опять же повторюсь, не проходит этот звонок только первые 7-10 секунд, потом идёт, тоесть, вначале тишина, ждём, и потом - прорывается. было бы проще, если бы не шел изначально.

заметил в логах соединение по 1720 порту висит с меткой time wait как то может влиять? примерно такое же время. есть тут возможность на этом порту уменьшить это значение? например до секунды?

[gmx]

И 7-10 секунд вас напрягает???? Я думал совсем связи нету.

Забейте!!!!

У меня служебная IP связь, так до 20 секунд вызов может инициализироваться.


А по поводу соединения по порту, попробуйте звонить и прибивать его вручную. Может и правда дело в нем.
Тайминги эти можно править http://wiki.mikrotik.com/wiki/Manual:IP ... n_tracking

[Kromvel]

спасибо, завтра попробую поиграть с таймингами.
пока настраиваю без народа, мне там нескем поговорить =)
боюсь, что раз поток идет, то с той стороны народ будут алекать, а мы отвечть не будем эти 10 секунд, и народ будет бросать трубки и звонить мне же, и ныть что не работает, не говоря про директора, который тут же

[Kromvel]

выставил в 2 секунды, эта проблема отпала.
но блин не все беды.
пришли люди в тот офис, мы им звоним - все отлично - они к нам не могут дозвониться.
не пускает видать роутер входящий поток.
все правила NAT проверял, подменял порт - пускает, правила фаервола - так же подменял только порт - пускает, вешаю АТС - никак.