Добрый день!
Настроил mikrotik rb 2011 после прочтения мануалов и инструкций. В фаерволе не слишком сложные правила, нат два правила одно это маскарадинг другое перенаправление с внешнего IP на внутренний. Так же настроил DHCP, в локалку раздается клиенты получают адреса, но проблема в том что и в сеть провайдера DHCP тоже попадает! Пересмотрел все настройки вроде все в норме так как перед этим настраивал точно такой же микротик с ним проблем нету.
Не подскажете в чем ошибка и почему через WAN порт идет раздача DHCP в сеть провайдера!
Заранее спасибо!
DHCP раздается через WAN порт провайдеру
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
-
dimitri
- Сообщения: 6
- Зарегистрирован: 25 дек 2013, 15:22
Настройки в скриншотах подойдут?
Прошу не пинать сильно, так как еще только в процессе изучения!
Прошу не пинать сильно, так как еще только в процессе изучения!
-
dimitri
- Сообщения: 6
- Зарегистрирован: 25 дек 2013, 15:22
конфиг:
# jan/11/1970 07:29:27 by RouterOS 6.1
# software id = U7EF-9H18
#
/interface bridge
add l2mtu=1598 name=bridge1
/interface ethernet
set 0 name=ether1_WAN
/interface ipip
add local-address=109.232.106.158 name=ipip1 remote-address=81.195.150.6
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des,aes-256
/ip pool
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=ether1_WAN
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/interface ovpn-server server
set cipher=blowfish128,aes128,aes192,aes256 enabled=yes \
require-client-certificate=yes
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=109.232.106.158/24 interface=ether1_WAN network=109.232.106.0
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,62.140.251.34
/ip firewall filter
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=37.201.218.30
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=66.96.147.110
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=24.144.179.51
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=10.226.0.0/24
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=193.107.144.190
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=79.96.58.240
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=81.101.104.67
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=5.104.108.240
add action=drop chain=input dst-address=109.232.106.158 src-address=\
5.102.29.215
add action=drop chain=input dst-address=109.232.106.158 src-address=5.39.74.188
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=50.138.53.197
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=70.114.160.80
add action=drop chain=output dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=10.0.0.0/24
add action=drop chain=forward src-address=192.168.88.120
add action=drop chain=forward src-address=192.168.88.227
add action=drop chain=output comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E8\E7 \EB\EE\
\EA\EB\E0\EA\E8 \E2 \E8\ED\E5\F2 UDP 53" protocol=udp src-address=\
109.232.106.158 src-port=53
add action=drop chain=input comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC UDP 53 \ED\E0 \
\E2\F5\EE\E4 \E8\E7 \E8\ED\E5\F2\E0 \EA \ED\E0\EC" protocol=udp \
src-address=109.232.106.158 src-port=53
add action=drop chain=input comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E2\F5\EE\E4 \
\E8\E7 \E8\ED\E5\F2\E0 \ED\E0 TCP 53" protocol=tcp src-address=\
109.232.106.158 src-port=53
add action=drop chain=output comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E2 \E8\ED\E5\
\F2 \E8\E7 \EB\EE\EA\E0\EB\EA\E8 TCP 53" protocol=tcp src-address=\
109.232.106.158 src-port=53
add chain=forward dst-address=192.168.11.0/24
add chain=forward protocol=icmp
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward in-interface=bridge1 src-address=192.168.88.0/24
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=forward
/ip firewall nat
add chain=srcnat dst-address=192.168.11.0/24 protocol=tcp src-address=\
192.168.88.0/24
add action=masquerade chain=srcnat src-address=192.168.88.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec peer
add address=81.195.150.6/32 generate-policy=port-override secret=________
/ip ipsec policy
add dst-address=192.168.11.0/24 sa-dst-address=81.195.150.... sa-src-address=\
109.232.106.158 src-address=192.168.88.0/24 tunnel=yes
/ip route
add distance=1 gateway=109.232.106.1
add distance=1 dst-address=192.168.11.0/24 gateway=ipip1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api port=8729
set winbox port=7000
/lcd
set enabled=no
/ppp secret
add local-address=192.168.88.40 name=______ password=_____ \
remote-address=192.168.88.50 service=pptp
add local-address=192.168.88.30 name=_____ password=______ remote-address=\
192.168.88.35 service=ovpn
# jan/11/1970 07:29:27 by RouterOS 6.1
# software id = U7EF-9H18
#
/interface bridge
add l2mtu=1598 name=bridge1
/interface ethernet
set 0 name=ether1_WAN
/interface ipip
add local-address=109.232.106.158 name=ipip1 remote-address=81.195.150.6
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des,aes-256
/ip pool
add name=dhcp_pool1 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=ether1_WAN
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/interface ovpn-server server
set cipher=blowfish128,aes128,aes192,aes256 enabled=yes \
require-client-certificate=yes
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2
/ip address
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
add address=109.232.106.158/24 interface=ether1_WAN network=109.232.106.0
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,62.140.251.34
/ip firewall filter
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=37.201.218.30
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=66.96.147.110
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=24.144.179.51
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=10.226.0.0/24
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=193.107.144.190
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=79.96.58.240
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=81.101.104.67
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=5.104.108.240
add action=drop chain=input dst-address=109.232.106.158 src-address=\
5.102.29.215
add action=drop chain=input dst-address=109.232.106.158 src-address=5.39.74.188
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=50.138.53.197
add action=drop chain=input dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=70.114.160.80
add action=drop chain=output dst-address=109.232.106.158 dst-port=53 protocol=\
udp src-address=10.0.0.0/24
add action=drop chain=forward src-address=192.168.88.120
add action=drop chain=forward src-address=192.168.88.227
add action=drop chain=output comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E8\E7 \EB\EE\
\EA\EB\E0\EA\E8 \E2 \E8\ED\E5\F2 UDP 53" protocol=udp src-address=\
109.232.106.158 src-port=53
add action=drop chain=input comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC UDP 53 \ED\E0 \
\E2\F5\EE\E4 \E8\E7 \E8\ED\E5\F2\E0 \EA \ED\E0\EC" protocol=udp \
src-address=109.232.106.158 src-port=53
add action=drop chain=input comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E2\F5\EE\E4 \
\E8\E7 \E8\ED\E5\F2\E0 \ED\E0 TCP 53" protocol=tcp src-address=\
109.232.106.158 src-port=53
add action=drop chain=output comment="\C7\E0\EA\F0\FB\E2\E0\E5\EC \E2 \E8\ED\E5\
\F2 \E8\E7 \EB\EE\EA\E0\EB\EA\E8 TCP 53" protocol=tcp src-address=\
109.232.106.158 src-port=53
add chain=forward dst-address=192.168.11.0/24
add chain=forward protocol=icmp
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward in-interface=bridge1 src-address=192.168.88.0/24
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
add action=drop chain=forward
/ip firewall nat
add chain=srcnat dst-address=192.168.11.0/24 protocol=tcp src-address=\
192.168.88.0/24
add action=masquerade chain=srcnat src-address=192.168.88.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip ipsec peer
add address=81.195.150.6/32 generate-policy=port-override secret=________
/ip ipsec policy
add dst-address=192.168.11.0/24 sa-dst-address=81.195.150.... sa-src-address=\
109.232.106.158 src-address=192.168.88.0/24 tunnel=yes
/ip route
add distance=1 gateway=109.232.106.1
add distance=1 dst-address=192.168.11.0/24 gateway=ipip1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api port=8729
set winbox port=7000
/lcd
set enabled=no
/ppp secret
add local-address=192.168.88.40 name=______ password=_____ \
remote-address=192.168.88.50 service=pptp
add local-address=192.168.88.30 name=_____ password=______ remote-address=\
192.168.88.35 service=ovpn
-
DeN_238
- Сообщения: 255
- Зарегистрирован: 19 фев 2012, 16:42
- Откуда: Тольятти
Код: Выделить всё
add bridge=bridge1 interface=ether1_WANether1_WAN не должен быть в составе bridge1
Примитивно - бридж это ваша локалка. Есть WAN-порт (ether1_WAN в вашем случае) и есть порты локальной сети (ether2-ether10 для примера).
2011UAS-2HnD-IN | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
mAP 2n | v. 6.40.4 | FW 3.41
-
dimitri
- Сообщения: 6
- Зарегистрирован: 25 дек 2013, 15:22
Точно! Спасибо!Видимо упустил этот момент!
Еще пару вопросов чтобы темы не плодить:
Создал правило для блокировки проходящего трафика который никак не описан ни по IP ни по портам,
add action=drop chain=forward
но поскольку есть туннель IPsec и в нем одна подсеть общается с другой в моем случае 192.168.88.0 и 192.168.11.0, соответственно есть проходящий трафик из одной подсети в другую. вот когда это правило активно пинговать Ip шники можно из сети 192.168.88.0 в сеть 192.168.11.0, но допустим зайти по RDp нельзя.
Какое нужно создать правило на Firewall чтобы и все сервисы работали из одной подсети в другую и блокировать ненужный проходящий трафик?
Пробовал создавать правило:
add action=appect chain=forward src/ad 192.168.88.0/24 dst/adr 192.168.11.0/24
и ставить его выше чем правило
add action=drop chain=forward
но результата нету.
Не подскажите куда копать?
И еще вопрос допустим хочу создать правило
ip firewall filter add chain=forward dst-address=192.168.11.20/24
protocol=tcp src-port=80 action=accept comment="Allow http for pc1 (in)"
если я создаю правило через Winbox на всю подсеть, разрешить на вход и выход в интернет определенную группу портов и после того как выбрал протокол TCP в поле порт указать все порты которые мне нужны через запятую или точку с запятой такое возможно? А то создавать по два три правила на каждый комп в локалке достаточно многовато будет!
Спасибо!
Еще пару вопросов чтобы темы не плодить:
Создал правило для блокировки проходящего трафика который никак не описан ни по IP ни по портам,
add action=drop chain=forward
но поскольку есть туннель IPsec и в нем одна подсеть общается с другой в моем случае 192.168.88.0 и 192.168.11.0, соответственно есть проходящий трафик из одной подсети в другую. вот когда это правило активно пинговать Ip шники можно из сети 192.168.88.0 в сеть 192.168.11.0, но допустим зайти по RDp нельзя.
Какое нужно создать правило на Firewall чтобы и все сервисы работали из одной подсети в другую и блокировать ненужный проходящий трафик?
Пробовал создавать правило:
add action=appect chain=forward src/ad 192.168.88.0/24 dst/adr 192.168.11.0/24
и ставить его выше чем правило
add action=drop chain=forward
но результата нету.
Не подскажите куда копать?
И еще вопрос допустим хочу создать правило
ip firewall filter add chain=forward dst-address=192.168.11.20/24
protocol=tcp src-port=80 action=accept comment="Allow http for pc1 (in)"
если я создаю правило через Winbox на всю подсеть, разрешить на вход и выход в интернет определенную группу портов и после того как выбрал протокол TCP в поле порт указать все порты которые мне нужны через запятую или точку с запятой такое возможно? А то создавать по два три правила на каждый комп в локалке достаточно многовато будет!
Спасибо!
-
simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
можете указывать через запятую или дефис. первое будет перечисление, второе будет значить диапазон.
-
dimitri
- Сообщения: 6
- Зарегистрирован: 25 дек 2013, 15:22
Понял! Спасибо!
Еще вопрос упал IPsec канал и не поднимается. Из переделок убирал из фаервола не нужные правила которые никак не относились к туннелю. Не подскажите в чем может быть причина? С утра бьюсь но понять откуда ноги растут никак не получается(
Еще вопрос упал IPsec канал и не поднимается. Из переделок убирал из фаервола не нужные правила которые никак не относились к туннелю. Не подскажите в чем может быть причина? С утра бьюсь но понять откуда ноги растут никак не получается(
-
dimitri
- Сообщения: 6
- Зарегистрирован: 25 дек 2013, 15:22
Разобрался тему можно закрывать!
Спасибо за помощь!
Спасибо за помощь!