настройка 2011

Обсуждение ПО и его настройки
Kromvel
Сообщения: 24
Зарегистрирован: 25 дек 2015, 15:07

только приобретен девайс
делал ориентируясь на статьи сайта spw
вроде конфигурировал правильно, вроде понял что для чего кроме BOGON сетей.
но не работает.

хотел реализовать:
от провайдера на ether10 приходит интернет, прописываю 2 IP адреса. на ether10
далее в нате прописываю, дабы весь обмен пакетами с ether8 проходил от IP 192,168,1,151 и прописываю ему трансляцию 2х диапазонов портов с правилом обмениваться пакетами только с адресом 212,48,34...
далее через объединенный в свитч 1-5 порты с ether1-ether5 дабы все ПК могли выходить в интернет с IP 192.168.1.150
подскажите, где я допустил ошибку. бэкап конфига в аттаче.
не понятно как читать connetions вроде все прописано - established, или надо ещё гдето смотреть где пропадают мои пакеты?
Вложения
1234.backup
(38.74 КБ) 333 скачивания


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Файл типа бекап может прочитать только микротик!

2. Чуть подробнее про подключение к провайдеру. Далеко не все провайдеры позволяют подключаться двум IP с одного MAC.

3. Для начала все делайте для одного IP WAN. Когда все заработает, тогда и добавляйте второй IP, ну и маршрутизацию.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Kromvel писал(а):делал ориентируясь на статьи сайта spw

Ну так у них же есть форум, на нем бы и уточнили :hi_hi_hi:
Или вы думаете, что кто-то изучит вышеупомянутый сайт дабы решить вашу проблему? Сомневаюсь я как-то в подобной доброте.
Для нормального общения попробуйте хотя бы озвучить способ подключения, нарисовать схему сети и выдать сюда (лучше разместив картинку на хостинге картинок, а сюда уже ссылку для форума, так удобнее), ну и в терминале набрать команду export и результат тоже сюда под теги кода. Если что, я поправлю пост как лучше.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Kromvel
Сообщения: 24
Зарегистрирован: 25 дек 2015, 15:07

пока настраиваю аппарат во внутренней сети, посему и внешние IP такие.
шлюз 192.168.1.148
два IP 192.168.1.150 ,151
добился дабы работал интернет на ПК но трафик на АТС не идет.
АТС нужно реализовать дабы она обменивалась пакетами только с 212.48.х.х все остальные дропать.
для АТС пробросил порты 1720 16000TCP и 2048-4096UDP
проброс нескольких сервисных портов, видеопоток 3080-3081 на 192.168.0.2 и RDT 3389 на 192.168.0.1
Если делать с одним адресом, я не понял как порты АТС настроить на обмен пакетами только со второй АТС. както scr-address dst-address применять к правилу трансляции портов?

Изображение
 "конфигурация"

Код: Выделить всё

[sysadmin@MikroTik] > export
# dec/26/2015 09:38:32 by RouterOS 6.30.2
# software id = 4JFK-2BZH
#
/interface ethernet
set [ find default-name=ether1 ] comment=LAN
set [ find default-name=ether2 ] master-port=ether1
set [ find default-name=ether3 ] master-port=ether1 name="ether3 my"
set [ find default-name=ether4 ] master-port=ether1
set [ find default-name=ether5 ] bandwidth=5M/5M master-port=ether1 name=\
    "ether5 office"
set [ find default-name=ether8 ] comment=ATS name="ether8 ATS DMZ"
set [ find default-name=ether10 ] comment=WAN1 name="ether10 wan1"
/ip neighbor discovery
set ether1 comment=LAN
set "ether3 my" discover=no
set ether4 discover=no
set "ether5 office" discover=no
set ether6 discover=no
set ether7 discover=no
set "ether8 ATS DMZ" comment=ATS discover=no
set ether9 discover=no
set "ether10 wan1" comment=WAN1 discover=no
/ip pool
add name=dhcp_pool1 ranges=192.168.0.100-192.168.0.120
/ip dhcp-server
add address-pool=dhcp_pool1 interface=ether1 name=dhcp1
/ip address
add address=192.168.0.44/24 interface="ether5 office" network=192.168.0.0
add address=192.168.1.150/24 interface="ether10 wan1" network=192.168.1.0
add address=192.168.1.151/24 interface="ether10 wan1" network=192.168.1.0
/ip dhcp-server network
add address=192.168.0.0/24 gateway=192.168.0.44
/ip dns
set allow-remote-requests=yes servers=84.42.0.34,84.42.14.3,8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add action=drop chain=input in-interface="ether10 wan1" src-address-list
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=1720,16000 protocol=tcp
add chain=input connection-state=new dst-port=2048-4096 protocol=udp
add chain=input connection-state=new dst-port=3389 protocol=tcp
add chain=input connection-state=new dst-port=3080-3081 protocol=tcp
add action=drop chain=input connection-state=new in-interface=!ether1
/ip firewall nat
add action=src-nat chain=srcnat out-interface="ether10 wan1" src-address
    192.168.0.0/24 to-addresses=192.168.1.150
add action=src-nat chain=srcnat dst-address=212.48.х.х out-interface="
    src-address=192.168.1.0/24 to-addresses=192.168.1.151
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=1720,1
    in-interface="ether10 wan1" protocol=tcp to-addresses=192.168.1.144
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=2048-4
    in-interface="ether10 wan1" protocol=udp to-addresses=192.168.1.144
add action=dst-nat chain=dstnat dst-port=3080-3081 in-interface="ether10
    protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat dst-port=3389 in-interface="ether10 wan1
    to-addresses=192.168.0.1
add action=redirect chain=dstnat dst-port=53 in-interface=ether1 protoco
/ip route
add distance=1 gateway=192.168.1.148
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.0.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.0.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether1
/tool romon port



не серчайте, у меня до этого только д-линки были.
что надо будет ещё,
части сети 192.168.0.20-192.168.0.80 установить общий скоростной лимит на 5Мбит, полагаю ограничение скорости порта мне не поможет.
части сети 192.168.0.20-192.168.0.50 заблокировать 80 и 443 порты или иным способом запретить лазать по сайтам
Последний раз редактировалось Kromvel 26 дек 2015, 11:02, всего редактировалось 1 раз.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Чтобы пошел трафик от АТС к АТС нужно поднимать туннель с единой IP адресацией, чтобы проще было.
Так работать не будет.


Kromvel
Сообщения: 24
Зарегистрирован: 25 дек 2015, 15:07

на длинках по 1000 рублей работало, а эта железяка не может?
зачем единая адресация? нат выполнит её.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну так и поднимите обычный NAT и пользуйтесь.

Разве в D-link за 1000 рублей вы что-то дропали??? Применяли какую-то специальную трансляцию адресов???

Кстати, есть АТС, которые отказываются работать через NAT. Если в вашем случае АТС это поддерживает, то где проблема-то???
Ставьте микротик основным шлюзом. На АТС он же должен быть шлюзом. Прокидывайте порты (вы это уже сделали) и пользуйтесь.
Сейчас у вас микротик второй. Есть еще один шлюз. Порты нужно пробрасывать на обоих шлюзах. Все это весьма сложно и запутанно.
В текущей ситуации спасает туннель. А единая адресация в туннеле - это моя прихоть, так сказать, по опыту, так легче и удобнее.


Kromvel
Сообщения: 24
Зарегистрирован: 25 дек 2015, 15:07

да, дешевые роутеры позволяют дропать. сейчас стоит TP-link 8840T который дропает всё что приходит не с указанного адреса и все что уходит не на него же. до него стояли какие то д-линки по тысячи рублей и настроены были так же.
я и ставлю микротик основным, и пытаюсь так и настроить, но из за опыта работы около 2х дней с ним, я видимо где то чего то не дописал.
возможно мне нужно прописать и scr-address в этом куске
/ip firewall nat
add action=src-nat chain=srcnat dst-address=212.48.х.х out-interface="
src-address=192.168.1.0/24 to-addresses=192.168.1.151
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=1720,1
in-interface="ether10 wan1" protocol=tcp to-addresses=192.168.1.144
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=2048-4
in-interface="ether10 wan1" protocol=udp to-addresses=192.168.1.144

или в этом
/ip firewall filter

вижу где добавить в НАТ, но исходя из прочтенного понимаю, что настраивать безопасность надо всё же в фильтре а не в НАТе.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

На схеме выше микротик смотрит в интернет серыми адресами. Между ним и инетом что-то еще есть???

/ip firewall filter
вообще пока не трогайте, выключите все правила здесь. Это все потом, когда заработает. И когда придет осознание для чего все это.

Проброс портов пока тоже делайте более общим. Что-то вроде этого

/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-
tcp to-addresses=192.168.77.10 to-ports=3389
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-ou
tcp to-addresses=192.168.77.10 to-ports=80

Чтобы проброс работал микротик должен быть шлюзом для АТС.
Как только все заработает, тогда будете ограничивать и допиливать.

Проверьте открылись ли порты. Вместо АТС встаньте компом и проверьте, сервисов в инете полно, которые проверяют порты.


Kromvel
Сообщения: 24
Зарегистрирован: 25 дек 2015, 15:07

Kromvel писал(а):пока настраиваю аппарат во внутренней сети, посему и внешние IP такие.
шлюз 192.168.1.148
два IP 192.168.1.150 ,151


Ответить