а другие поля не настроены... ну ок, пошёл делать и цензурить экспорт.
Про tcp знаю... но т.к. не работает я засомневался и добавил на всякий случай.
l2tp ipsec psk не работает. packet sniffer ничего не видит.
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
add action=accept chain=input comment="icmp allow" protocol=icmp
add action=accept chain=input comment="DNS over https (DoH)" dst-address=109.95.219.210 dst-port="" protocol=tcp src-address=94.140.14.14 src-port=443
add action=accept chain=input comment="DNS over https(DoH) second server" dst-address=109.95.219.210 protocol=tcp src-address=94.140.15.15 src-port=443
add action=accept chain=input comment="wan winbox" dst-address=109.95.219.210 dst-port=80,443,8291 in-interface=WAN-ether1 protocol=tcp src-address=217.23.130.153
add action=accept chain=input disabled=yes in-interface=LAN-bridge
add action=accept chain=input comment=ntp dst-port=123 in-interface=WAN-ether1 protocol=udp
add action=accept chain=input comment=DNS dst-address=192.168.66.1 dst-port=53 in-interface=LAN-bridge protocol=udp src-address=192.168.66.0/24
add action=accept chain=input comment=DNS dst-address=109.95.219.210 protocol=udp src-port=53
add action=accept chain=input comment="temp for ipsec" src-address=217.23.130.132
add action=accept chain=input comment="temp ipsec oracle" dst-address=109.95.219.210 src-address=158.101.195.230
add action=accept chain=input comment="temp oracle gre" dst-address=192.168.255.1 src-address=192.168.255.2
add action=accept chain=input comment=L2TP dst-address=109.95.219.210 dst-port=500,1701,4500 protocol=tcp
add action=accept chain=input dst-port=500,1701,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input comment=test disabled=yes src-address=91.193.178.243
add action=drop chain=input comment="Drop from WAN" in-interface=WAN-ether1
Учётка для подключения l2tp ipsec psk mrnext (логин и оба пароля) правда я сейчас что-то сломал и у меня даже из lan не подключается.
add action=accept chain=input comment="DNS over https (DoH)" dst-address=109.95.219.210 dst-port="" protocol=tcp src-address=94.140.14.14 src-port=443
add action=accept chain=input comment="DNS over https(DoH) second server" dst-address=109.95.219.210 protocol=tcp src-address=94.140.15.15 src-port=443
add action=accept chain=input comment="wan winbox" dst-address=109.95.219.210 dst-port=80,443,8291 in-interface=WAN-ether1 protocol=tcp src-address=217.23.130.153
add action=accept chain=input disabled=yes in-interface=LAN-bridge
add action=accept chain=input comment=ntp dst-port=123 in-interface=WAN-ether1 protocol=udp
add action=accept chain=input comment=DNS dst-address=192.168.66.1 dst-port=53 in-interface=LAN-bridge protocol=udp src-address=192.168.66.0/24
add action=accept chain=input comment=DNS dst-address=109.95.219.210 protocol=udp src-port=53
add action=accept chain=input comment="temp for ipsec" src-address=217.23.130.132
add action=accept chain=input comment="temp ipsec oracle" dst-address=109.95.219.210 src-address=158.101.195.230
add action=accept chain=input comment="temp oracle gre" dst-address=192.168.255.1 src-address=192.168.255.2
add action=accept chain=input comment=L2TP dst-address=109.95.219.210 dst-port=500,1701,4500 protocol=tcp
add action=accept chain=input dst-port=500,1701,4500 protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input comment=test disabled=yes src-address=91.193.178.243
add action=drop chain=input comment="Drop from WAN" in-interface=WAN-ether1
Учётка для подключения l2tp ipsec psk mrnext (логин и оба пароля) правда я сейчас что-то сломал и у меня даже из lan не подключается.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так, есть конечно некоторые вещи, которые немного смущают, не все они не должны бы влиять:
1) Отсутствие верхним правила разрешающего establshed, related - получается, что каждый пакет соединения пробегает всю цепочку, а не только первый.
Да и потом с исходящими из роутера соединениями не понятно - обратные пакеты по ним могут и не пройти firewall.
2) Правило на 1701 порт хорошо бы выделить отдельно и добавить к нему условие ipsec-policy=in,ipsec, а то получается, что вы незащищенный l2tp тоже разрешаете - а значит туда будут ломиться.
1) Отсутствие верхним правила разрешающего establshed, related - получается, что каждый пакет соединения пробегает всю цепочку, а не только первый.
Да и потом с исходящими из роутера соединениями не понятно - обратные пакеты по ним могут и не пройти firewall.
2) Правило на 1701 порт хорошо бы выделить отдельно и добавить к нему условие ipsec-policy=in,ipsec, а то получается, что вы незащищенный l2tp тоже разрешаете - а значит туда будут ломиться.
Telegram: @thexvo
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Хотя вообще пункт 1 может иметь значение, так что добавьте.
Telegram: @thexvo
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
нашёл ошибку mrnext слишком короткий ключ. теперь и логин и пароли mrnextxxl но пока всё равно не работает. И в пакет снифере кстати не видно даже из lan.
ок, оба пункта сделаю. о втором не знал. Отпишусь по результатам.
ок, оба пункта сделаю. о втором не знал. Отпишусь по результатам.
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
оба пункта сделал, не помогло.
add action=accept chain=input comment="established related" connection-state=established,related
add action=accept chain=input comment="icmp allow" protocol=icmp
add action=accept chain=input comment="DNS over https (DoH)" dst-address=109.95.219.210 dst-port="" protocol=tcp src-address=94.140.14.14 src-port=443
add action=accept chain=input comment="DNS over https(DoH) second server" dst-address=109.95.219.210 protocol=tcp src-address=94.140.15.15 src-port=443
add action=accept chain=input comment="wan winbox" dst-address=109.95.219.210 dst-port=80,443,8291 in-interface=WAN-ether1 protocol=tcp src-address=217.23.130.153
add action=accept chain=input disabled=yes in-interface=LAN-bridge
add action=accept chain=input comment=ntp dst-port=123 in-interface=WAN-ether1 protocol=udp
add action=accept chain=input comment=DNS dst-address=192.168.66.1 dst-port=53 in-interface=LAN-bridge protocol=udp src-address=192.168.66.0/24
add action=accept chain=input comment=DNS dst-address=109.95.219.210 protocol=udp src-port=53
add action=accept chain=input comment="temp for ipsec" src-address=217.23.130.132
add action=accept chain=output comment=ICMP protocol=icmp
add action=accept chain=input comment="temp ipsec oracle" dst-address=109.95.219.210 src-address=158.101.195.230
add action=accept chain=input comment="temp oracle gre" dst-address=192.168.255.1 src-address=192.168.255.2
add action=accept chain=output comment=NTP dst-port=123 out-interface=WAN-ether1 protocol=udp src-address=109.95.219.210
add action=accept chain=output comment="temp oracle ipsec" dst-address=158.101.195.230
add action=accept chain=output comment="temp oracle gre" dst-address=192.168.255.2 out-interface=gre1 protocol=icmp
add action=accept chain=output comment=BGP dst-address=163.172.210.8 dst-port=179 out-interface=gre1 protocol=tcp
add action=accept chain=output comment=DNS dst-port=53 out-interface-list="!LAN interface list" protocol=udp
add action=accept chain=output comment=DNS dst-address=192.168.66.0/24 out-interface-list="LAN interface list" protocol=udp src-address=192.168.66.1 src-port=53
add action=accept chain=output comment="DNS over HTTPS" dst-address=94.140.0.0/16 dst-port=443 protocol=tcp
add action=accept chain=output comment=test dst-address=217.23.130.153
add action=accept chain=input comment="l2tp ipsec psk" dst-port=500,4500 protocol=udp
add action=accept chain=input connection-type="" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input comment=test disabled=yes src-address=91.193.178.243
add action=drop chain=input comment="Drop from WAN" in-interface=WAN-ether1
add action=accept chain=output comment=test
add action=accept chain=input comment="established related" connection-state=established,related
add action=accept chain=input comment="icmp allow" protocol=icmp
add action=accept chain=input comment="DNS over https (DoH)" dst-address=109.95.219.210 dst-port="" protocol=tcp src-address=94.140.14.14 src-port=443
add action=accept chain=input comment="DNS over https(DoH) second server" dst-address=109.95.219.210 protocol=tcp src-address=94.140.15.15 src-port=443
add action=accept chain=input comment="wan winbox" dst-address=109.95.219.210 dst-port=80,443,8291 in-interface=WAN-ether1 protocol=tcp src-address=217.23.130.153
add action=accept chain=input disabled=yes in-interface=LAN-bridge
add action=accept chain=input comment=ntp dst-port=123 in-interface=WAN-ether1 protocol=udp
add action=accept chain=input comment=DNS dst-address=192.168.66.1 dst-port=53 in-interface=LAN-bridge protocol=udp src-address=192.168.66.0/24
add action=accept chain=input comment=DNS dst-address=109.95.219.210 protocol=udp src-port=53
add action=accept chain=input comment="temp for ipsec" src-address=217.23.130.132
add action=accept chain=output comment=ICMP protocol=icmp
add action=accept chain=input comment="temp ipsec oracle" dst-address=109.95.219.210 src-address=158.101.195.230
add action=accept chain=input comment="temp oracle gre" dst-address=192.168.255.1 src-address=192.168.255.2
add action=accept chain=output comment=NTP dst-port=123 out-interface=WAN-ether1 protocol=udp src-address=109.95.219.210
add action=accept chain=output comment="temp oracle ipsec" dst-address=158.101.195.230
add action=accept chain=output comment="temp oracle gre" dst-address=192.168.255.2 out-interface=gre1 protocol=icmp
add action=accept chain=output comment=BGP dst-address=163.172.210.8 dst-port=179 out-interface=gre1 protocol=tcp
add action=accept chain=output comment=DNS dst-port=53 out-interface-list="!LAN interface list" protocol=udp
add action=accept chain=output comment=DNS dst-address=192.168.66.0/24 out-interface-list="LAN interface list" protocol=udp src-address=192.168.66.1 src-port=53
add action=accept chain=output comment="DNS over HTTPS" dst-address=94.140.0.0/16 dst-port=443 protocol=tcp
add action=accept chain=output comment=test dst-address=217.23.130.153
add action=accept chain=input comment="l2tp ipsec psk" dst-port=500,4500 protocol=udp
add action=accept chain=input connection-type="" dst-port=1701 ipsec-policy=in,ipsec protocol=udp
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input comment=test disabled=yes src-address=91.193.178.243
add action=drop chain=input comment="Drop from WAN" in-interface=WAN-ether1
add action=accept chain=output comment=test
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ок, а в NAT у вас что?
Просто если пакет по 500 порту долетает до роутера, не сбрасывается, не отправляется куда-то еще - то должно быть видно какую-то реакцию в логе.
Просто если пакет по 500 порту долетает до роутера, не сбрасывается, не отправляется куда-то еще - то должно быть видно какую-то реакцию в логе.
Telegram: @thexvo
-
Lurker
- Сообщения: 159
- Зарегистрирован: 29 апр 2021, 10:45
В нате
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=WAN-ether1
И если я пытаюсь подключится из lan по lan адресу пакет сниффер пакеты видит, а по wan адресу нет. подключения нет в обоих случаях.
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=WAN-ether1
И если я пытаюсь подключится из lan по lan адресу пакет сниффер пакеты видит, а по wan адресу нет. подключения нет в обоих случаях.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Тогда ничего не понятно.
Значит ещё раз - пакеты по 500 порту до микротика доходят?
В торче/сниффере их видно?
Но при этом в логе пусто?
Значит ещё раз - пакеты по 500 порту до микротика доходят?
В торче/сниффере их видно?
Но при этом в логе пусто?
Telegram: @thexvo
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва