PCC балансировка и доступ извне

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
lesterforms
Сообщения: 0
Зарегистрирован: 15 дек 2015, 15:30

Добрый день!
Возникла проблема. Имеется три канала от провайдеров, один порт смотрит в локальную сеть и на пятый порт приходит транк.
Настроил балансировку двух каналов методом PCC. После этого пытаюсь поднять l2tp сервер, но клиенты не могут соединиться, также перестал осуществляться доступ через winbox из внешней сети. WAN тоже не пингуется. Подозреваю, что что-то в манглах, но не могу понять, что именно и где.
Подскажите, что посмотреть, покопать.


Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4358
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Поднимаем глаза и читаем правила. Пункты 5 и 6 просто выполняем.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
lesterforms
Сообщения: 0
Зарегистрирован: 15 дек 2015, 15:30

Прошу прощения)
Ситуация поменялась. Сервер pptp поднят, клиенты цепляются, но дальше пингов тика ничего не происходит. arp включал, как пишут всюду, но не помогает. Мне кажется, что дело в маркировке пакетов и маршрутов, но не уверен.

 "Здесь пункт 5 Правил"

Код: Выделить всё

/interface ethernet
set [ find default-name=ether3 ] name=ISP1
set [ find default-name=ether4 ] name=ISP2
set [ find default-name=ether1 ] disabled=yes name=ISPReserve
set [ find default-name=ether2 ] arp=proxy-arp name=LAN
/ip ipsec policy group
set
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc,aes-256-ctr pfs-group=\
    none
/ip pool
add name=dhcp_pool1 ranges=192.168.10.15-192.168.10.150
add name=dhcp_pool2 ranges=192.168.10.15-192.168.10.99
add name=vpn_pool ranges=192.68.10.201-192.168.10.221
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=3d \
    name=dhcp1
/ppp profile
add change-tcp-mss=yes local-address=192.168.10.1 name=pptp-profile \
    remote-address=vpn_pool use-encryption=yes
/interface bridge port
add interface=LAN
/ip firewall connection tracking
set enabled=yes
/interface l2tp-server server
set ipsec-secret=tumba-yumba-setebryaki
/interface ovpn-server server
set certificate=ca.crt_0 default-profile=l2p_profile \
    require-client-certificate=yes
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=pptp-profile \
    enabled=yes keepalive-timeout=disabled
/ip address
add address=82.200.XX.XX/30 interface=ISP1 network=82.200.YY.YY
add address=82.200.XX.XX/30 interface=ISP2 network=82.200.YY.YY
add address=192.168.10.1/24 interface=LAN network=192.168.10.0
add address=192.168.0.18/30 interface=ether5 network=192.168.0.16
add address=212.94.ZZ.ZZ/24 disabled=yes interface=ISPReserve network=\
    212.94.ZZZ.ZZ
/ip dhcp-server lease
...
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1,8.8.4.4,8.8.8.8 gateway=\
    192.168.10.1 netmask=24
/ip dns
set servers=8.8.8.8,8.8.4.4,80.89.128.5
/ip firewall filter
add chain=input dst-port=1723 protocol=tcp
add chain=input protocol=gre
add chain=output protocol=gre
add chain=input dst-port=1701,500,4500 protocol=udp
add chain=forward dst-address=192.168.10.66 dst-port=5060,10000-20000 \
    in-interface=ether5 protocol=udp
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=SIPtrunk passthrough=\
    no protocol=udp src-address=192.168.10.0/24 src-port=5060,10000-20000
add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=\
    WAN1_conn
add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=\
    WAN2_conn
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN2_conn \
    new-routing-mark=to_WAN2
add chain=prerouting dst-address=82.200.XX.XX/30 in-interface=LAN
add chain=prerouting dst-address=82.200.XX.XX/30 in-interface=LAN
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN new-connection-mark=WAN1_conn per-connection-classifier=\
    both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN new-connection-mark=WAN2_conn per-connection-classifier=\
    both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=LAN new-routing-mark=to_WAN1
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
    in-interface=LAN new-routing-mark=to_WAN2
/ip firewall nat
add action=dst-nat chain=dstnat disabled=yes dst-port=5060,10000-20000 \
    in-interface=ISP1 protocol=udp to-addresses=192.168.10.66
add action=dst-nat chain=dstnat dst-port=5060,5678,10000-20000 in-interface=\
    ether5 protocol=udp to-addresses=192.168.10.66
add action=dst-nat chain=dstnat dst-port=500,1701,4500 protocol=udp \
    to-addresses=192.168.10.1
add action=masquerade chain=srcnat disabled=yes out-interface=*A
add action=masquerade chain=srcnat out-interface=ISP1
add action=masquerade chain=srcnat out-interface=ISP2
add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=\
    <pptp-u1> src-address=192.168.0.0/16
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
/ip route
add check-gateway=ping distance=1 gateway=192.168.0.17 routing-mark=SIPtrunk
add check-gateway=ping distance=1 gateway=82.200.XX.XX routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=82.200.XX.XX routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=192.168.0.17 routing-mark=route_SIP
add check-gateway=ping distance=1 gateway=82.200.YY.YY
add check-gateway=ping distance=2 gateway=82.200.YY.YY
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ppp secret
add name=u1 password=*********** profile=pptp-profile service=pptp
add local-address=192.168.10.200 name=u1 password=*********** profile=\
    pptp-profile service=pptp
/system clock
set time-zone-name=Asia/Novosibirsk
/system logging
add action=disk topics=firewall
/system ntp client
set enabled=yes primary-ntp=213.141.136.201


 Здесь изображение
Изображение


Вернуться к началу
lesterforms
Сообщения: 0
Зарегистрирован: 15 дек 2015, 15:30

Коллеги, нашел решение, может кому пригодится.
1. Создаем address-list, куда вносим адреса, выдаваемые клиентам, подключающимся по pptp, например pptp-list. Список адресов предварительно определяется пулом.
2. В каждом мангле на вкладке Advanced добавляем следующее:
Src. Address List: !pptp-list
Dst. Address List: !pptp-list

Решение было описано в комментах к статье о настройке 4xWAN PCC в блоге aacable, что на wordpress.com


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»