Можно ли так настроить маршрутизатор?

Обсуждение оборудования и его настройки
Ответить
nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

Доброго времени суток!

Имеется RouterBOARD 2011UiAS-2HnD-IN. Хочется его настроить для работы с 5 компьютерами в локальной сети (в т.ч. и сервера терминала) и двумя интернетами: проводного со статическим IP и беспроводным Yota. Также к этой сети хочется подключаться извне по vpn, чтобы иметь возможность подключиться к серверу терминалов.
Причём, весь интернет-трафик локальной сети нужно пустить через Yota, если вдруг интернет от Yota пропадает (флешка отключилась, деньги закончились, скорость упала почти до нуля), то нужно пустить трафик через проводной интернет. Но как только интернет от Yota появится -- переключиться снова на него.
Удалённое подключение к сети нужно реализовать только через проводной интернет, у которого есть статический IP адрес.

Первым дело прошивка микротика была обновлена на последнюю версию 6.20.
Далее, была попытка дать возможность подключаться к локальной сети извне без участия Yota.


Локальная сеть-- это 192.168.1.0, ip-адрес микротика 192.168.1.88
192.168.1.111 -- адрес терминального сервера

В микроте был задан пул для vpn-адресов 192.168.89.2-192.168.89.8
Далее был создан pptp-профиль vpn с Local Address 192.168.89.1 и Remote Address - пул vpn-адресов
Use Encryption - yes
Далее был включен PPTP_Server с Authentication mschap2

и создан vpn-пользователь, где были указаны логин-пароль + профиль vpn + Service pptp

Далее, было создано правило для firewall, которое позволяла бы удалённо подключаться по vpn к сети.
chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=1723 log=no log-prefix=""

В итоге удалённый клиент создаёт vpn-подключение по статическому IP-адресу, получает ip-адрес клиента 192.168.89.7 и может заходить через веб-морду на микротик по адресам 192.168.89.1 или 192.168.1.88 (кстати, почему по два может заходить?) и подключаться по rdp к серверу терминалов по адресу 192.168.1.111

Всё здорово, но весь интернет трафик клиентской машины идёт через vpn-соединение, что не устраивает, т.к. проводной интернет лимитирован по трафики. Как в микроте указать, чтобы весь трафик, кроме сети 192.168.1.0 не шёл через vpn-соединение.

На клиенте vpn в свойствах подключения, на закладке сеть, в свойствах компоненты протокола TCP/IPv4, в дополнительных параметрах TCP/IP нашёл установленную галку "Использовать основной шлюз удалённой сети".
Если эту галку снять и переподключить соединение, то весь трафик идёт через интернет клиента, но тогда веб-морда микротика по адресу 192.168.1.88 станет не доступна (хотя по 192.168.89.1 доступна) и не будет возможности подключиться к серверу терминалов.
Помогает только, если на клиенте добавить маршрут
route add 192.168.1.0 mast 255.255.255.0 192.168.89.7

и тогда сервер терминалов станет доступным и на микротик можно будет заходить по http://192.168.1.88

Как реализовать, что на клиенте никаких маршрутов не писать и весь инет-трафик не шёл через vpn-соедиенение?


nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

теперь про Yota


как только вставляю модем в микротик, инет локальной сети теперь идёт через него
но вот доступ через vpn пропадает. Почему и как исправить ?


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

nub писал(а):теперь про Yota
но вот доступ через vpn пропадает. Почему и как исправить ?

пакету надо знать не только как достичь назначение но и как вернутся .... а вернутся он пытается по дефолтному маршруту , догадайтесь какой он в вашем случае :-) с ЁТОЙ


nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

как ему указать, что по какому пришёл маршруту -- по такому и надо уходить?


vviz
Сообщения: 75
Зарегистрирован: 09 окт 2014, 16:46

Актуально еще?


nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

ДА, актуально


nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

Научился настраивать переключение канала, но вот после использования mangle теперь нельзя по проводному интернету подключить по vpn к сети
в журнале подключений виден внешний IP, который пытается подключиться к микротику оп впн, но в итоге у клиента впн появляется ошибка 507


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну а Вы трафик туннеля метите? И именно в проводной направляете? Как бы без экспорта Вам никто ни в чем не признается :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
nub
Сообщения: 6
Зарегистрирован: 22 окт 2014, 11:05

вот конфигурация:

Код: Выделить всё

# dec/24/2014 12:53:04 by RouterOS 6.20
# software id = FR42-E3B2
#
/interface lte
set [ find ] mac-address=FC:EF:FE:EF:BF:FD name=lte1
/interface bridge
add admin-mac=4C:5E:0C:44:0A:FA auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
    ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
    ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
    ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
    ether10-slave-local
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
    20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge \
    ssid=MikroTik-440B03
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=tkip \
    mode=dynamic-keys unicast-ciphers=tkip wpa-pre-shared-key=__trade123 \
    wpa2-pre-shared-key=__trade123
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.20
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/port
set 0 name=serial0
/ppp profile
add local-address=192.168.89.1 name=vpn remote-address=vpn use-encryption=yes
/system logging action
set 2 remember=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set authentication=mschap2 default-profile=vpn enabled=yes
/ip address
add address=192.168.88.1/24 comment=LAN interface=ether2 network=192.168.88.0
add address=ХХХ.ХХХ.82.42/24 comment=link interface=ether1-gateway network=\
    ХХХ.ХХХ.82.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=lte1
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=ХХХ.ХХХ.82.2,ХХХ.ХХХ.65.2
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related \
    disabled=yes
add chain=input dst-port=1723 in-interface=ether1-gateway protocol=tcp
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add action=drop chain=input in-interface=lte1
add action=drop chain=forward comment="default configuration" out-interface=\
    lte1 src-address=192.168.88.253
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
/ip firewall mangle
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=\
    "ISP 1 -> Input" passthrough=no
add action=mark-routing chain=output connection-mark="ISP 1 -> Input" \
    new-routing-mark="ISP 1" passthrough=no
add action=mark-connection chain=input dst-address=ХХХ.ХХХ.82.42 in-interface=\
    ether1-gateway new-connection-mark="ISP 2 -> Input" passthrough=no
add action=mark-routing chain=output connection-mark="ISP 2 -> Input" \
    new-routing-mark="ISP 2" passthrough=no
add chain=prerouting connection-mark="ISP 2 -> Input" disabled=yes dst-port=\
    1723 in-interface=ether1-gateway protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="ISP 1" out-interface=lte1
add action=masquerade chain=srcnat comment="ISP 2" out-interface=\
    ether1-gateway
/ip route
add check-gateway=arp distance=1 gateway=lte1 routing-mark="ISP 1"
add check-gateway=arp distance=1 gateway=ether1-gateway routing-mark="ISP 2"
add distance=1 gateway=ХХХ.ХХХ.82.1
/ip route rule
add action=unreachable dst-address=192.168.89.1/32 interface=ether1-gateway
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add name=adm password=adm123 profile=vpn service=pptp
/snmp
set trap-community=public
#error exporting /system health
#interrupted


Ответить