только приобретен девайс
делал ориентируясь на статьи сайта spw
вроде конфигурировал правильно, вроде понял что для чего кроме BOGON сетей.
но не работает.
хотел реализовать:
от провайдера на ether10 приходит интернет, прописываю 2 IP адреса. на ether10
далее в нате прописываю, дабы весь обмен пакетами с ether8 проходил от IP 192,168,1,151 и прописываю ему трансляцию 2х диапазонов портов с правилом обмениваться пакетами только с адресом 212,48,34...
далее через объединенный в свитч 1-5 порты с ether1-ether5 дабы все ПК могли выходить в интернет с IP 192.168.1.150
подскажите, где я допустил ошибку. бэкап конфига в аттаче.
не понятно как читать connetions вроде все прописано - established, или надо ещё гдето смотреть где пропадают мои пакеты?
настройка 2011
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
1. Файл типа бекап может прочитать только микротик!
2. Чуть подробнее про подключение к провайдеру. Далеко не все провайдеры позволяют подключаться двум IP с одного MAC.
3. Для начала все делайте для одного IP WAN. Когда все заработает, тогда и добавляйте второй IP, ну и маршрутизацию.
2. Чуть подробнее про подключение к провайдеру. Далеко не все провайдеры позволяют подключаться двум IP с одного MAC.
3. Для начала все делайте для одного IP WAN. Когда все заработает, тогда и добавляйте второй IP, ну и маршрутизацию.
- podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Kromvel писал(а):делал ориентируясь на статьи сайта spw
Ну так у них же есть форум, на нем бы и уточнили
Или вы думаете, что кто-то изучит вышеупомянутый сайт дабы решить вашу проблему? Сомневаюсь я как-то в подобной доброте.
Для нормального общения попробуйте хотя бы озвучить способ подключения, нарисовать схему сети и выдать сюда (лучше разместив картинку на хостинге картинок, а сюда уже ссылку для форума, так удобнее), ну и в терминале набрать команду export и результат тоже сюда под теги кода. Если что, я поправлю пост как лучше.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
пока настраиваю аппарат во внутренней сети, посему и внешние IP такие.
шлюз 192.168.1.148
два IP 192.168.1.150 ,151
добился дабы работал интернет на ПК но трафик на АТС не идет.
АТС нужно реализовать дабы она обменивалась пакетами только с 212.48.х.х все остальные дропать.
для АТС пробросил порты 1720 16000TCP и 2048-4096UDP
проброс нескольких сервисных портов, видеопоток 3080-3081 на 192.168.0.2 и RDT 3389 на 192.168.0.1
Если делать с одним адресом, я не понял как порты АТС настроить на обмен пакетами только со второй АТС. както scr-address dst-address применять к правилу трансляции портов?
не серчайте, у меня до этого только д-линки были.
что надо будет ещё,
части сети 192.168.0.20-192.168.0.80 установить общий скоростной лимит на 5Мбит, полагаю ограничение скорости порта мне не поможет.
части сети 192.168.0.20-192.168.0.50 заблокировать 80 и 443 порты или иным способом запретить лазать по сайтам
шлюз 192.168.1.148
два IP 192.168.1.150 ,151
добился дабы работал интернет на ПК но трафик на АТС не идет.
АТС нужно реализовать дабы она обменивалась пакетами только с 212.48.х.х все остальные дропать.
для АТС пробросил порты 1720 16000TCP и 2048-4096UDP
проброс нескольких сервисных портов, видеопоток 3080-3081 на 192.168.0.2 и RDT 3389 на 192.168.0.1
Если делать с одним адресом, я не понял как порты АТС настроить на обмен пакетами только со второй АТС. както scr-address dst-address применять к правилу трансляции портов?
не серчайте, у меня до этого только д-линки были.
что надо будет ещё,
части сети 192.168.0.20-192.168.0.80 установить общий скоростной лимит на 5Мбит, полагаю ограничение скорости порта мне не поможет.
части сети 192.168.0.20-192.168.0.50 заблокировать 80 и 443 порты или иным способом запретить лазать по сайтам
Последний раз редактировалось Kromvel 26 дек 2015, 11:02, всего редактировалось 1 раз.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Чтобы пошел трафик от АТС к АТС нужно поднимать туннель с единой IP адресацией, чтобы проще было.
Так работать не будет.
Так работать не будет.
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
на длинках по 1000 рублей работало, а эта железяка не может?
зачем единая адресация? нат выполнит её.
зачем единая адресация? нат выполнит её.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
Ну так и поднимите обычный NAT и пользуйтесь.
Разве в D-link за 1000 рублей вы что-то дропали??? Применяли какую-то специальную трансляцию адресов???
Кстати, есть АТС, которые отказываются работать через NAT. Если в вашем случае АТС это поддерживает, то где проблема-то???
Ставьте микротик основным шлюзом. На АТС он же должен быть шлюзом. Прокидывайте порты (вы это уже сделали) и пользуйтесь.
Сейчас у вас микротик второй. Есть еще один шлюз. Порты нужно пробрасывать на обоих шлюзах. Все это весьма сложно и запутанно.
В текущей ситуации спасает туннель. А единая адресация в туннеле - это моя прихоть, так сказать, по опыту, так легче и удобнее.
Разве в D-link за 1000 рублей вы что-то дропали??? Применяли какую-то специальную трансляцию адресов???
Кстати, есть АТС, которые отказываются работать через NAT. Если в вашем случае АТС это поддерживает, то где проблема-то???
Ставьте микротик основным шлюзом. На АТС он же должен быть шлюзом. Прокидывайте порты (вы это уже сделали) и пользуйтесь.
Сейчас у вас микротик второй. Есть еще один шлюз. Порты нужно пробрасывать на обоих шлюзах. Все это весьма сложно и запутанно.
В текущей ситуации спасает туннель. А единая адресация в туннеле - это моя прихоть, так сказать, по опыту, так легче и удобнее.
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
да, дешевые роутеры позволяют дропать. сейчас стоит TP-link 8840T который дропает всё что приходит не с указанного адреса и все что уходит не на него же. до него стояли какие то д-линки по тысячи рублей и настроены были так же.
я и ставлю микротик основным, и пытаюсь так и настроить, но из за опыта работы около 2х дней с ним, я видимо где то чего то не дописал.
возможно мне нужно прописать и scr-address в этом куске
/ip firewall nat
add action=src-nat chain=srcnat dst-address=212.48.х.х out-interface="
src-address=192.168.1.0/24 to-addresses=192.168.1.151
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=1720,1
in-interface="ether10 wan1" protocol=tcp to-addresses=192.168.1.144
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=2048-4
in-interface="ether10 wan1" protocol=udp to-addresses=192.168.1.144
или в этом
/ip firewall filter
вижу где добавить в НАТ, но исходя из прочтенного понимаю, что настраивать безопасность надо всё же в фильтре а не в НАТе.
я и ставлю микротик основным, и пытаюсь так и настроить, но из за опыта работы около 2х дней с ним, я видимо где то чего то не дописал.
возможно мне нужно прописать и scr-address в этом куске
/ip firewall nat
add action=src-nat chain=srcnat dst-address=212.48.х.х out-interface="
src-address=192.168.1.0/24 to-addresses=192.168.1.151
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=1720,1
in-interface="ether10 wan1" protocol=tcp to-addresses=192.168.1.144
add action=dst-nat chain=dstnat dst-address=212.48.х.х dst-port=2048-4
in-interface="ether10 wan1" protocol=udp to-addresses=192.168.1.144
или в этом
/ip firewall filter
вижу где добавить в НАТ, но исходя из прочтенного понимаю, что настраивать безопасность надо всё же в фильтре а не в НАТе.
-
- Модератор
- Сообщения: 3316
- Зарегистрирован: 01 окт 2012, 14:48
На схеме выше микротик смотрит в интернет серыми адресами. Между ним и инетом что-то еще есть???
/ip firewall filter
вообще пока не трогайте, выключите все правила здесь. Это все потом, когда заработает. И когда придет осознание для чего все это.
Проброс портов пока тоже делайте более общим. Что-то вроде этого
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-
tcp to-addresses=192.168.77.10 to-ports=3389
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-ou
tcp to-addresses=192.168.77.10 to-ports=80
Чтобы проброс работал микротик должен быть шлюзом для АТС.
Как только все заработает, тогда будете ограничивать и допиливать.
Проверьте открылись ли порты. Вместо АТС встаньте компом и проверьте, сервисов в инете полно, которые проверяют порты.
/ip firewall filter
вообще пока не трогайте, выключите все правила здесь. Это все потом, когда заработает. И когда придет осознание для чего все это.
Проброс портов пока тоже делайте более общим. Что-то вроде этого
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-
tcp to-addresses=192.168.77.10 to-ports=3389
add action=dst-nat chain=dstnat dst-port=80 in-interface=pppoe-ou
tcp to-addresses=192.168.77.10 to-ports=80
Чтобы проброс работал микротик должен быть шлюзом для АТС.
Как только все заработает, тогда будете ограничивать и допиливать.
Проверьте открылись ли порты. Вместо АТС встаньте компом и проверьте, сервисов в инете полно, которые проверяют порты.
-
- Сообщения: 24
- Зарегистрирован: 25 дек 2015, 15:07
Kromvel писал(а):пока настраиваю аппарат во внутренней сети, посему и внешние IP такие.
шлюз 192.168.1.148
два IP 192.168.1.150 ,151