pptp с windows 10 на microtik. С микротика не видно win10

Обсуждение ПО и его настройки
propeller25
Сообщения: 18
Зарегистрирован: 25 сен 2013, 12:46

# feb/13/2018 12:57:12 by RouterOS 6.40.5
# software id = 6Q55-LISV
#
# model = 951G-2HnD
# serial number = 418402BEC690
/interface bridge add admin-mac=D4:CA:6D:6C:E4:EB auto-mac=no fast-forward=no mtu=1500 name=bridge-local
/interface bridge add disabled=yes fast-forward=no name=bridge-wlan2
/interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce frequency=auto hide-ssid=yes hw-protection-mode=rts-cts mode=ap-bridge ssid=MikroTik tx-power=30 tx-power-mode=all-rates-fixed wds-mode=dynamic wireless-protocol=802.11
/interface ethernet set [ find default-name=ether1 ] name=ether1-gateway
/interface ethernet set [ find default-name=ether2 ] name=ether2-master-local
/interface ethernet set [ find default-name=ether3 ] name=ether3-slave-local
/interface ethernet set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
/interface ethernet set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface pppoe-client add add-default-route=yes default-route-distance=1 disabled=no interface=ether1-gateway keepalive-timeout=60 max-mru=1480 max-mtu=1480 name=94.180.122.4 password=*** use-peer-dns=yes user=v1303078
/interface pppoe-client add add-default-route=yes default-route-distance=1 interface=ether1-gateway keepalive-timeout=60 max-mru=1480 max-mtu=1480 name=pppoe-out-r-telecom password=*** use-peer-dns=yes user=v1538531
/interface sstp-server add disabled=yes name=sstp-berdsk user=berdsk
/interface sstp-server add disabled=yes name=sstp-in1 user=buhmts
/interface sstp-server add disabled=yes name=sstp-mskyota user=mskyota
/interface pptp-client add allow=mschap1,mschap2 connect-to=5.128.203.29 disabled=no mrru=1600 name=pptp-out1-buh password=*** user=buh1
/interface pptp-server add name=pptp-dobrynin user=dobrynin
/interface pptp-server add name=pptp-eugene user=eugene
/interface pptp-server add disabled=yes name=pptp-nikita user=nikita
/ip neighbor discovery set ether1-gateway discover=no
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=9231122010 wpa2-pre-shared-key=9231122010
/interface wireless security-profiles add authentication-types=wpa2-psk eap-methods="" group-key-update=1h mode=dynamic-keys name=wifi2 supplicant-identity="" wpa-pre-shared-key=9231122010 wpa2-pre-shared-key=9231122010
/interface wireless add mac-address=D6:CA:6D:6C:E4:EF master-interface=wlan1 name=wlan2 security-profile=wifi2 ssid=MikroTik2 wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip ipsec proposal set [ find default=yes ] enc-algorithms=3des
/ip pool add name=default-dhcp ranges=192.168.0.151-192.168.0.157
/ip pool add name=dhcp_pool1 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server add add-arp=yes address-pool=default-dhcp interface=bridge-local lease-time=3d name=dhcp-lan
/ip dhcp-server add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no interface=wlan2 lease-time=3d name=dhcp1
/ppp profile set *0 use-compression=yes use-encryption=no use-mpls=no
/interface sstp-client add authentication=mschap1,mschap2 connect-to=188.128.28.22 mrru=1600 name=sstp-out1-buh password=*** profile=default-encryption user=buh1 verify-server-address-from-certificate=no
/interface sstp-client add authentication=mschap1,mschap2 connect-to=178.49.139.242 disabled=no mrru=1600 name=sstp-out2 password=*** profile=default-encryption user=buhin verify-server-address-from-certificate=no
/interface sstp-client add authentication=mschap1,mschap2 connect-to=94.25.144.165 mrru=1600 name=sstp-out3 password=*** profile=default-encryption user=office1 verify-server-address-from-certificate=no
/interface bridge port add bridge=bridge-local interface=ether2-master-local
/interface bridge port add bridge=bridge-local interface=wlan1
/interface bridge port add bridge=bridge-wlan2 interface=wlan2
/interface l2tp-server server set enabled=yes
/interface pptp-server server set enabled=yes
/interface sstp-server server set enabled=yes
/ip address add address=192.168.0.4/24 comment="default configuration" interface=ether2-master-local network=192.168.0.0
/ip address add address=10.10.10.2/24 interface=ether3-slave-local network=10.10.10.0
/ip address add address=192.168.89.1/24 disabled=yes interface=ether2-master-local network=192.168.89.0
/ip address add address=192.168.88.1/24 disabled=yes interface=ether2-master-local network=192.168.88.0
/ip address add address=192.168.2.1/24 interface=wlan2 network=192.168.2.0
/ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network add address=192.168.0.0/24 comment="default configuration" dns-server=8.8.8.8 gateway=192.168.0.4 netmask=24
/ip dhcp-server network add address=192.168.2.0/24 dns-server=192.168.0.4,8.8.8.8 gateway=192.168.2.1
/ip dns set allow-remote-requests=yes servers=8.8.4.4,8.8.8.8
/ip dns static add address=192.168.88.1 name=router
/ip firewall address-list add address=217.117.95.18 list=rdp
/ip firewall address-list add address=192.168.1.250 list=pptp-buh
/ip firewall address-list add address=192.168.0.4 list=internet
/ip firewall address-list add address=65.55.184.15 list=drop-list
/ip firewall address-list add address=216.58.192.0/19 list=blockedsites
/ip firewall address-list add address=192.168.0.221 comment="mini ITX" list=mail_outside
/ip firewall address-list add address=192.168.0.250 comment="Pavel cutter" list=mail_outside
/ip firewall address-list add address=192.168.0.20 comment="mail server" list=mail_outside
/ip firewall address-list add address=192.168.0.190 comment=Sergey_PP list=mail_outside
/ip firewall address-list add address=192.168.0.136 comment=Dobrynin list=mail_outside
/ip firewall address-list add address=192.168.0.80 comment=Vera_PP list=mail_outside
/ip firewall address-list add address=192.168.0.203 comment=Anna_PP list=mail_outside
/ip firewall filter add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC WinBox" dst-port=50090 in-interface=94.180.122.4 protocol=tcp
/ip firewall filter add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E7\E2\EE\ED\EA\E8 PPTP \ED\E0 \E2\ED\E5\F8\ED\E8\E9 \E8\ED\F2\E5\F0\F4\E5\E9\F1" dst-port=1723 in-interface=94.180.122.4 protocol=tcp
/ip firewall filter add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \E7\E2\EE\ED\EA\E8 PPTP \ED\E0 \E2\ED\E5\F8\ED\E8\E9 \E8\ED\F2\E5\F0\F4\E5\E9\F1" in-interface=94.180.122.4 protocol=gre
/ip firewall filter add action=accept chain=input comment="\F0\E0\E7\F0\E5\F8\E0\E5\EC VPN \EC\EE\F1\EA\E2\E5" in-interface=94.180.122.4 protocol=tcp src-address=94.199.106.94
/ip firewall filter add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC VPN \CC\EE\F1\EA\E2\E5" in-interface=94.180.122.4 protocol=udp src-address=94.199.106.94
/ip firewall filter add action=accept chain=forward comment="\D3 DNS \F1\E5\E3\EE\E4\ED\FF \EF\F0\E0\E7\E4\ED\E8\EA, \EA\E0\EA-\ED\E8\EA\E0\EA, \E2\EE \E2\ED\F3\F2\F0\E5\ED\ED\E5\E9 \F1\E5\F2\E8.))" port=53 protocol=udp src-address=192.168.0.0/24
/ip firewall filter add action=accept chain=forward port=53 protocol=udp src-address=192.168.2.0/24
/ip firewall filter add action=accept chain=input comment="default configuration" connection-state=related
/ip firewall filter add action=accept chain=input comment="default configuration" connection-state=established
/ip firewall filter add action=accept chain=forward comment="default configuration" connection-state=established
/ip firewall filter add action=accept chain=forward comment="default configuration" connection-state=related
/ip firewall filter add action=accept chain=forward comment="\CE\F2\EF\F0\E0\E2\EA\E0 \E2\ED\E5\F8\ED\E5\E9 \EF\EE\F7\F2\FB" dst-port=25,587,465 protocol=tcp src-address-list=mail_outside
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \F1\E5\F0\E2\E5\F0\F3 \EE\F2\EF\F0\E0\E2\EA\F3 \EF\EE\F7\F2\FB." dst-port=25,587,465 protocol=tcp src-address=192.168.0.20
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \D1\E5\F0\E5\E6\E5 \CF\CF \EE\F2\EF\F0\E0\E2\EB\FF\F2\FC \EF\EE\F7\F2\F3." disabled=yes dst-port=25,587,465 protocol=tcp src-address=192.168.0.190
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \EC\ED\E5 \EE\F2\EF\F0\E0\E2\EB\FF\F2\FC \EF\EE\F7\F2\F3" disabled=yes dst-port=25,587,465 protocol=tcp src-address=192.168.0.221
/ip firewall filter add action=accept chain=forward comment="\C4\EE\E1\F0\FB\ED\E8\ED" protocol=udp src-address=192.168.0.136
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \CF\E0\F8\E5 \EE\F2\EF\F0\E0\E2\EB\FF\F2\FC \EF\EE\F7\F2\F3." disabled=yes dst-port=25,587,465 protocol=tcp src-address=192.168.0.250
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \C2\E5\F0\E5 \EE\F2\EF\F0\E0\E2\EB\FF\F2\FC \EF\EE\F7\F2\F3" disabled=yes dst-port=25,587,465 protocol=tcp src-address=192.168.0.80
/ip firewall filter add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E0\E5\EC \C0\ED\ED\E5 \EE\F2\EF\F0\E0\E2\EB\FF\F2\FC \EF\EE\F7\F2\F3" disabled=yes dst-port=25,587,465 protocol=tcp src-address=192.168.0.203
/ip firewall filter add action=accept chain=forward port=445,139 protocol=tcp src-address=192.168.1.0/24
/ip firewall filter add action=accept chain=forward port=445,139 protocol=tcp src-address=192.168.5.0/24
/ip firewall filter add action=accept chain=forward port=445,139 protocol=tcp src-address=192.168.14.0/24
/ip firewall filter add action=add-src-to-address-list address-list=torrentlist address-list-timeout=none-dynamic chain=forward comment="Torrent Block" packet-size=90-190 protocol=udp
/ip firewall filter add action=drop chain=forward comment="Torrent Block" dst-port=!80,443,53 packet-size=90-190 protocol=udp src-address-list=torrentlist
/ip firewall filter add action=drop chain=forward comment="1C Server \C7\E0\EF\F0\E5\F9\E0\E5\EC \F5\EE\E4\E8\F2\FC \E2 \E8\ED\F2\E5\F0\ED\E5\F2 (192.168.0.21)" port=80 protocol=tcp src-mac-address=00:0C:29:E2:8B:B4
/ip firewall filter add action=drop chain=forward comment="WannaCry \CF\F0\EE\F2\E8\E2 \E2\E8\F0\F3\F1\E0" disabled=yes in-interface=94.180.122.4 port=445,139 protocol=tcp
/ip firewall filter add action=drop chain=forward in-interface=94.180.122.4 protocol=tcp src-address=156.67.106.243
/ip firewall filter add action=drop chain=forward comment="\C1\EB\EE\F7\E8\EC 25 \EF\EE\F0\F2 \ED\E0 \EE\F2\EF\F0\E0\E2\EA\F3 \EF\EE\F7\F2\FB." dst-port=25,587,465 protocol=tcp src-address=192.168.0.0/24
/ip firewall filter add action=drop chain=forward comment="\C7\E0\EF\F0\E5\F9\E0\E5\EC \F5\EE\E4\E8\F2\FC \ED\E0 \E2\ED\E5\F8\ED\E8\E5 DNS" dst-port=53 protocol=udp src-address=192.168.0.0/24
/ip firewall filter add action=drop chain=forward disabled=yes port=53 protocol=udp src-mac-address=00:16:76:CA:7F:27
/ip firewall filter add action=drop chain=forward comment="\CF\EB\EE\F1\EA\EE\EF\E5\F7\E0\F2\ED\E8\EA\E8. \D1\EC \F8\E5\E4\F3\EB\E5\F0 \ED\E0 \EF\F0\E5\E4\EC\E5\F2 \F0\E0\E1\EE\F2\FB \E8\ED\E5\F2\E0." disabled=yes src-mac-address=C8:60:00:5B:62:16
/ip firewall filter add action=drop chain=forward comment=pp4 disabled=yes src-mac-address=70:85:C2:4F:B7:49
/ip firewall filter add action=drop chain=forward comment="Proxy Berdsk" disabled=yes src-mac-address=00:13:20:22:55:5E
/ip firewall filter add action=drop chain=forward comment="\D4\F0\E5\E7\E0 \EA\EE\EC\EE\F0\EA\E0, \EA\EE\EC\EF \F1\EB\E5\E2\E0 .82 \C7\E0\EA\F0\FB\F2 \F2\EE\EB\FC\EA\EE 80 \EF\EE\F0\F2." disabled=yes protocol=tcp src-mac-address=00:19:DB:25:C3:2D
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .161" src-mac-address=00:19:66:E6:A4:4F
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .164" src-mac-address=00:1B:FC:FB:AD:61
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .165" src-mac-address=00:1D:7D:45:F4:AC
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .168" src-mac-address=94:DE:80:BE:B3:82
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .182" src-mac-address=50:46:5D:B2:5D:CF
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .172 mimake" src-mac-address=BC:EE:7B:73:D0:D3
/ip firewall filter add action=drop chain=forward comment="Torrent drop (\EF\EE\F7\E5\EC\F3 \F2\EE \F0\E0\E1\EE\F2\E0\E5\F2 \ED\E0 \E7\E0\E3\F0\F3\E7\EA\F3 \F4\E0\EB\EE\E2 \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2\E0) \E7\E0\EF\F0\E5\F9\E0\E5\F2 \FD\F2\F3 \F1\E0\EC\F3\FE \E7\E0\E3\F0\F3\E7\EA\F3." disabled=yes p2p=!all-p2p
/ip firewall filter add action=drop chain=forward comment="printnew 2 floor 26 ip" disabled=yes src-mac-address=00:17:9A:38:CC:02
/ip firewall filter add action=drop chain=forward comment="\CF\E5\F7\E0\F2\ED\FB\E9 \F6\E5\F5 .234" disabled=yes src-mac-address=50:E5:49:27:48:3B
/ip firewall filter add action=drop chain=forward comment="windows update" disabled=yes dst-address=64.0.0.0/8
/ip firewall filter add action=drop chain=forward comment="windows update" disabled=yes dst-address=65.0.0.0/8
/ip firewall filter add action=drop chain=forward comment="windows update" disabled=yes dst-address=67.72.0.0/16
/ip firewall filter add action=drop chain=forward comment="windows update" disabled=yes dst-address=80.239.0.0/16
/ip firewall filter add action=drop chain=forward comment="\C4\E8\E7\E0\E9\ED\E5\F0 \C2\E8\ED\EE\E3\F0\E0\E4\EE\E2\EE\E9" disabled=yes port=80 protocol=tcp src-mac-address=AC:22:0B:4E:80:FB
/ip firewall filter add action=drop chain=forward comment="torrent disable" disabled=yes p2p=all-p2p
/ip firewall filter add action=drop chain=forward comment="torrent disable" disabled=yes in-interface=all-ethernet protocol=udp
/ip firewall filter add action=drop chain=forward comment="torrent disable" content=<info_hash> disabled=yes dst-port=2710,80 in-interface=ether2-master-local protocol=tcp
/ip firewall filter add action=drop chain=forward comment="DC2 \E7\E0\EF\F0\E5\F2 \ED\E0 \E8\ED\F2\E5\F0\ED\E5\F2" disabled=yes src-mac-address=00:0C:29:E2:8B:B4
/ip firewall filter add action=drop chain=forward comment="\CD\E0\EC\EE\F2\F7\E8\EA \ED\E0 1 \FD\F2\E0\E6\E5" disabled=yes port=80 protocol=tcp src-mac-address=00:19:DB:25:C3:2D
/ip firewall filter add action=drop chain=forward comment=PDC disabled=yes port=80 protocol=tcp src-mac-address=C8:60:00:60:70:EA
/ip firewall filter add action=drop chain=input comment="\C7\E0\EF\F0\E5\F9\E0\E5\EC \EF\EE\EB\FC\E7\EE\E2\E0\F2\FC DNS \ED\E0 \E2\ED\E5\F8\ED\E5\EC \E8\ED\F2\E5\F0\F4\E5\E9\F1\E5" dst-port=53 in-interface=94.180.122.4 protocol=udp
/ip firewall filter add action=drop chain=input comment="default configuration" in-interface=94.180.122.4
/ip firewall filter add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall filter add action=drop chain=forward comment="default configuration (\C7\E0\EF\F0\E5\F9\E0\E5\EC ping \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2\E0 \ED\E0 \F0\EE\F3\F2\E5\F0)" disabled=yes protocol=icmp
/ip firewall filter add action=drop chain=input comment="default configuration (\C7\E0\EF\F0\E5\F9\E0\E5\EC ping \E8\E7 \E8\ED\F2\E5\F0\ED\E5\F2\E0 \ED\E0 \F0\EE\F3\F2\E5\F0)" disabled=yes protocol=icmp
/ip firewall mangle add action=mark-connection chain=prerouting comment=pptp-buh-connection disabled=yes dst-address-list=pptp-buh new-connection-mark=ppt-buh-connection passthrough=yes protocol=tcp
/ip firewall mangle add action=mark-packet chain=prerouting comment=pptp-buh-packet connection-mark=ppt-buh-connection disabled=yes new-packet-mark=ppt-buh-packet passthrough=no protocol=tcp
/ip firewall mangle add action=mark-connection chain=prerouting comment=Internet-connection disabled=yes new-connection-mark=internet-connection passthrough=yes protocol=tcp src-port=80,443,20,21,25,110,3128,8080
/ip firewall mangle add action=mark-packet chain=prerouting comment=Internet-packet connection-mark=internet-connection disabled=yes new-packet-mark=internet-packet passthrough=no
/ip firewall mangle add action=mark-connection chain=prerouting comment=pptp-connection disabled=yes in-interface=all-ppp new-connection-mark=pptp-connection passthrough=yes protocol=gre
/ip firewall mangle add action=mark-packet chain=prerouting comment=pptp-packet disabled=yes new-packet-mark=ptp-packet passthrough=no
/ip firewall mangle add action=mark-packet chain=prerouting comment=RDP-packet connection-mark=rdp-connection disabled=yes new-packet-mark=rdp-packet passthrough=no
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=20 protocol=tcp to-addresses=192.168.0.10 to-ports=20
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=21 protocol=tcp to-addresses=192.168.0.10 to-ports=21
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=51000-65534 protocol=tcp to-addresses=192.168.0.10 to-ports=51000-65534
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=110 protocol=tcp to-addresses=192.168.0.1 to-ports=110
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=25 protocol=tcp to-addresses=192.168.0.20 to-ports=25
/ip firewall nat add action=dst-nat chain=dstnat dst-address=94.180.122.4 dst-port=50199 protocol=tcp to-addresses=192.168.0.1 to-ports=3389
/ip firewall nat add action=dst-nat chain=dstnat comment="RDP \E4\EE \F1\E5\F0\E2\E5\F0\E0 1\F1" disabled=yes dst-address=94.180.122.4 dst-port=50199 protocol=tcp to-addresses=192.168.0.21 to-ports=3389
/ip firewall nat add action=dst-nat chain=dstnat comment="RDP \E4\EE \E1\F3\F5\E3\E0\EB\F2\E5\F0\E8\E8" disabled=yes dst-address=94.180.122.4 dst-port=50003 protocol=tcp to-addresses=192.168.0.221 to-ports=3389
/ip firewall nat add action=dst-nat chain=dstnat disabled=yes dst-address=94.180.122.4 dst-port=50000 protocol=tcp to-addresses=192.168.0.8 to-ports=22
/ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=94.180.122.4 to-addresses=0.0.0.0
/ip firewall service-port set tftp disabled=yes
/ip firewall service-port set irc disabled=yes
/ip firewall service-port set h323 disabled=yes
/ip firewall service-port set sip disabled=yes
/ip firewall service-port set pptp disabled=yes
/ip ipsec policy set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip ipsec policy add disabled=yes dst-address=91.228.31.131/32 src-address=94.180.122.4/32
/ip proxy set cache-path=web-proxy1
/ip route add disabled=yes distance=1 gateway=192.168.0.12
/ip route add comment="\C2 \E1\F3\F5\E3\E0\EB\F2\E5\F0\E8\FE" distance=1 dst-address=192.168.1.0/24 gateway=10.10.7.50
/ip route add comment="\C2 \CC\EE\F1\EA\E2\F3" distance=1 dst-address=192.168.5.0/24 gateway=10.10.7.10
/ip route add comment="\C2 \C1\E5\F0\E4\F1\EA" distance=1 dst-address=192.168.14.0/24 gateway=10.10.10.1
/ip route add comment="\E4\EE\EC\EE\E9" distance=1 dst-address=192.168.15.0/24 gateway=10.10.7.3
/ip route add comment="\CA \C4\EE\E1\F0\FB\ED\E8\ED\F3 (1\F1)" distance=1 dst-address=192.168.88.0/24 gateway=10.10.7.9
/ip route add disabled=yes distance=1 dst-address=192.168.89.0/24 gateway=192.168.89.254
/ip service set telnet address=192.168.0.0/24
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set ssh address=192.168.0.0/24
/ip service set api disabled=yes
/ip service set winbox port=50090
/ip service set api-ssl disabled=yes
/ip traffic-flow set interfaces=local
/ip traffic-flow target add dst-address=192.168.0.248 port=9996
/ppp secret add local-address=10.10.7.1 name=eugene password=*** remote-address=10.10.7.3 service=pptp
/ppp secret add disabled=yes local-address=10.10.7.1 name=berdsk password=*** remote-address=10.10.7.4 service=sstp
/ppp secret add local-address=10.10.7.1 name=dobrynin password=*** remote-address=10.10.7.9 service=pptp
/ppp secret add local-address=10.10.7.1 name=mskyota password=*** remote-address=10.10.7.10 service=l2tp
/ppp secret add disabled=yes local-address=10.10.7.1 name=buhmts password=*** remote-address=10.10.7.11
/ppp secret add disabled=yes local-address=10.10.7.20 name=nikita password=*** profile=default-encryption remote-address=10.10.7.21 service=pptp
/snmp set enabled=yes
/system clock set time-zone-autodetect=no time-zone-name=Asia/Krasnoyarsk
/system identity set name="Office MikroTik"
/system leds set 0 interface=wlan1
/system ntp client set enabled=yes primary-ntp=217.71.128.77
/system scheduler add interval=23h59m59s name=fullbackup on-event=fullbackup policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=sep/24/2013 start-time=08:05:51
/system scheduler add interval=1d name="\C2\EA\EB\FE\F7\E0\E5\EC \E7\E0\EF\F0\E5\F2 \ED\E0 \E8\ED\E5\F2 1\F1 \F1\E5\F0\E2\E5\F0\F3." on-event="/ip firewall filter enable numbers=11" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=nov/07/2013 start-time=09:00:00
/system scheduler add interval=1d name="\CE\F2\EA\EB\FE\F7\E0\E5\EC \E7\E0\EF\F0\E5\F2 \ED\E0 \E8\ED\E5\F2 1\F1 \F1\E5\F0\E2\E5\F0\F3." on-event="/ip firewall filter disable numbers=11" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=nov/07/2013 start-time=07:00:00
/system script add name=fullbackup owner=admin policy=ftp,reboot,read,write,policy,test,sniff,sensitive source="{\r\
\n:log info \"Starting Backup Script...\";\r\
\n:local sysname [/system identity get name];\r\
\n:local sysver [/system package get system version];\r\
\n:log info \"Flushing DNS cache...\";\r\
\n/ip dns cache flush;\r\
\n:delay 2;\r\
\n:log info \"Deleting last Backups...\";\r\
\n:foreach i in=[/file find] do={:if ([:typeof [:find [/file get \$i name] \\\r\
\n\"\$sysname-backup-\"]]!=\"nil\") do={/file remove \$i}};\r\
\n:delay 2;\r\
\n:local smtpserv [:resolve \"mail.spbbe.ru\"];\r\
\n:local Eaccount \"admin@spbbe.ru\";\r\
\n:local pass \"***\";\r\
\n:local backupfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".backup\");\r\
\n:log info \"Creating new Full Backup file...\";\r\
\n/system backup save name=\$backupfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Full Backup file via E-mail...\";\r\
\n:global logMessages;\r\
\n:set logMessages \"\"\r\
\n:foreach i in=[/log find ] do={ \r\
\n:set logMessages (\$logMessages. [/log get \$i time ]. \" \"); \r\
\n:set logMessages (\$logMessages. [/log get \$i message ]); \r\
\n:set logMessages (\$logMessages. \"\\n\")\r\
\n}\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=25 user=\$Eaccount password=\$pass start-tls=yes file=\$backupfile \\\r\
\nsubject=(\"\$sysname Full Backup (\" . [/system clock get date] . \")\") \\\r\
\nbody=(\"\$sysname full Backup file see in attachment.\\nRouterOS version: \\\r\
\n\$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \" . \\\r\
\n[/system clock get date]);\r\
\n:delay 5;\r\
\n:local exportfile (\"\$sysname-backup-\" . \\\r\
\n[:pick [/system clock get date] 7 11] . [:pick [/system \\\r\
\nclock get date] 0 3] . [:pick [/system clock get date] 4 6] . \".rsc\");\r\
\n:log info \"Creating new Setup Script file...\";\r\
\n/export verbose file=\$exportfile;\r\
\n:delay 2;\r\
\n:log info \"Sending Setup Script file via E-mail...\";\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=25 user=\$Eaccount password=\$pass start-tls=yes file=\$exportfile \\\r\
\nsubject=(\"\$sysname Setup Script Backup (\" . [/system clock get date] . \\\r\
\n\")\") body=(\"\$sysname Setup Script file see in attachment.\\nRouterOS \\\r\
\nversion: \$sysver\\nTime and Date stamp: \" . [/system clock get time] . \" \\\r\
\n\" . [/system clock get date] . \$logMessages);\r\
\n:delay 5;\r\
\n:log info \"All System Backups emailed successfully.\\nBackuping completed.\";\r\
\n}\r\
\n"
/system script add name=netwatch owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes body=\"is down\"\r\
\n"
/tool mac-server set [ find default=yes ] disabled=yes
/tool mac-server add interface=ether2-master-local
/tool mac-server add interface=ether3-slave-local
/tool mac-server add interface=ether4-slave-local
/tool mac-server add interface=ether5-slave-local
/tool mac-server add interface=wlan1
/tool mac-server add interface=bridge-local
/tool mac-server mac-winbox set [ find default=yes ] disabled=yes
/tool mac-server mac-winbox add interface=ether2-master-local
/tool mac-server mac-winbox add interface=ether3-slave-local
/tool mac-server mac-winbox add interface=ether4-slave-local
/tool mac-server mac-winbox add interface=ether5-slave-local
/tool mac-server mac-winbox add interface=wlan1
/tool mac-server mac-winbox add interface=bridge-local
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"buh microtik is down (\" . [/system clock get time].\")\") body=\"buh mikrotik is down\"\r\
\n" host=192.168.1.250 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"buh microtik is up (\" . [/system clock get time].\")\") body=\"buh mikrotik is up\""
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"buh microtik is down (\" . [/system clock get time].\")\") body=\"buh mikrotik is down\"" host=192.168.1.250 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"buh microtik is up (\" . [/system clock get time].\")\") body=\"buh mikrotik is up\""
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"home mikrotik is down (\" . [/system clock get time].\")\") body=\"home mikrotik is down\"" host=91.228.31.131 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"home mikrotik is up (\" . [/system clock get time].\")\") body=\"home mikrotik is up\""
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"home mikrotik is down (\" . [/system clock get time].\")\") body=\"home mikrotik is down\"" host=91.228.31.131 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"home mikrotik is up (\" . [/system clock get time].\")\") body=\"home mikrotik is up\""
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"msk mikrotik is down (\" . [/system clock get time].\")\") body=\"msk mikrotik is down\"" host=212.44.154.22 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\$Eaccount server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"msk mikrotik is up (\" . [/system clock get time].\")\") body=\"msk mikrotik is up\""
/tool netwatch add down-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"msk microtik is down (\" . [/system clock get time].\")\") body=\"msk mikrotik is down\"" host=212.44.154.22 up-script=":local smtpserv [:resolve \"smtp.gmail.com\"];\r\
\n:local Eaccount \"logdmr2013@gmail.com\";\r\
\n:local pass \"9DpjZvrP\";\r\
\n\r\
\n/tool e-mail send from=\"<\$Eaccount>\" to=\"79132000962@sms.mtslife.ru\" server=\$smtpserv \\\r\
\nport=587 user=\$Eaccount password=\$pass start-tls=yes subject=(\"msk microtik is up (\" . [/system clock get time].\")\") body=\"msk mikrotik is up\""


В настройках на винде брандмауер отключен, а в vpn клиенте убрал галку на "использовать удаленный шлюз. Но это пофиг. Что так, что так не але)

Маршруты с обоих сторон прокинуты. Это я уже писал. Больше я ничего не крутил.

Клиент подключается (win10) и видит все, что за микротиком, УРА!. Но мне бы с работы хотелось бы ходить на домашний этот win10 , но далее айпишника тоннели на стророне клиента нифига микротик не видит.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да, конфиг большой, сами делали?

Общие советы пока что:
1) надо на микротике заBIND'еть ваше подключение (то есть привязать)
2) через привязанный(статический условно) интерфейс сделать маршрутизацию (то есть Вы должны описать,
что Ваша домашняя сеть доступна микротику и работе в целом через рртр-подключение)
3) проверить что в НАТ/Маскарадинг данные сети/подсети не попадают (коли сети не пересекаются,
делаем просто маршрутизацию, это проще)
4) и проверить с компа трассертом...заработало ли...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
propeller25
Сообщения: 18
Зарегистрирован: 25 сен 2013, 12:46

А как забиндить подключение? Я вроде там все сделал. Смотрите конфиг. И да, сети не пересекаются и маршруты все прокинуты в обе стороны. И со стороны микротика и со стороны win10 route add


клиент там eugene. адреса тоннели для него 10.10.7.1 и 10.10.7.3

ЗЫЖ все те же самые настройки работают между микротиками. Но вот когда клиент - win10 , то его, клиента не видно.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

propeller25 писал(а): 13 фев 2018, 11:22 ЗЫЖ все те же самые настройки работают между микротиками. Но вот когда клиент - win10 , то его, клиента не видно.
Думаю мои советы ближе и справедливее когда роутер-с-роутером. А когда винда клиент, думаю что во время поднятия
сессии, внутри винды она логически-динамически и во время её поднятия и надо маршруты только тогда и прописывать.
Проще и без проблем всё же делать туннель между роутерами, и тогда и винда и остальные участники
сети остаются и в своей сети, и нет проблем и с маршрутизацией.

У меня когда клиент подключается, я выделяю ему сетку (отдельная для ВПН-подключений), а её через НАТ
пропускаю, сетей много, мне проще и удобнее так сделать, спрятать ВПН-сетку за адресом роутера.
То есть при поднятии ВПН на клиенте-винде проще использовать тогда НАТ,
а когда роутер-с-роутером, тогда маршрутизацию.

(моё личное видение и мнение)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
propeller25
Сообщения: 18
Зарегистрирован: 25 сен 2013, 12:46

Так в том то и дело, что дома роутер ростелекомовский и адрес серый. Есть именно такая задача. Ок. Спасибо. Послушаем что еще кто скажет.

А винда не динамически ничего делает. Она получает тот адрес тоннели, который ей микротик выдает. Все это дело пингуется и видно с микротика противоположный адрес (домашний) тоннели.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

propeller25 писал(а): 13 фев 2018, 12:17 Так в том то и дело, что дома роутер ростелекомовский и адрес серый. Есть именно такая задача. Ок. Спасибо. Послушаем что еще кто скажет.
Ну я бы для себя и для удобства точно и давно заменил бы роутер на нормальный-микротиковский. (особенно зная какие роутеры даёт Ростелеком)
И с роутера поднял бы сессию по PPTP/L2TP/SSTP до рабочего микротика и в рамках этого туннеля и сделал
маршрутизацию и выдумывать ничего не надо.
И да, советы других тоже нужно выслушать обязательно.
propeller25 писал(а): 13 фев 2018, 12:17 А винда не динамически ничего делает. Она получает тот адрес тоннели, который ей микротик выдает. Все это дело пингуется и видно с микротика противоположный адрес (домашний) тоннели.
Я хотел другое донести Вам, что надо на винде поднять сессиию, и уже на эту сессию и делать маршруты,
то есть внутри винды ррртр интерфейс он имеет какой то индентификатор и он разный каждый раз.
И при поднятии другой сессии рртр уже винда будет иначе отрабатывать работу с маршрутами.

P.S.
Кстати, только что идея пришла, а почему Вам роутер микротик не поставить за своим основным роутером (ну чтобы не менять ничего дома, вдруг там у Вас SIP-аккаунт или IPTV),
ведь не важно откуда и кто поднимает сессию, всё равно она изнутри локальной домашней сети будет.... ?
Ну или программно даже реализовать(воспроизвести) логику и работу микротика, если микротика вдруг дома нету аппаратного?
И маршрутами опять же, спокойно разрулили бы.....на основном дом.роутере прописали стат-маршрут на рабочую сетку через этот микротик,
и все компы в домашней сети знали где искать Вашу рабочую подсеть.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
propeller25
Сообщения: 18
Зарегистрирован: 25 сен 2013, 12:46

Мне все это понятно, даже очень.

Ростелекомовский роутер не заменить. Он дает инет по оптике.
Можно за ним поставить микротик, а его в бридж, но это 2 роутера)))) У меня так и было раньше. Сейчас так не хочу. Хочу минимум железок на пути от провайдера до дома.
Я просто хочу разобраться почему именно так происходит с виндовым клиентом. Возможно еще 10 человек по такому принципу скоро подключить понадобится , а ставить всем им микротики мне накладно будет)


Вопрос остается открытым. Есть у кого-либо еще мысли? :))


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Зачем стараться понять как работает маршрутизация в винде?
Может у самой винды есть лимиты/ограничения? Опять же, Вы не привели пример что с трассировкой
во время поднятия сессии и как она себя ведёт, хотя это ближе к специфике вин-админов.

Сделайте НАТ для виндовых клиентов. И задача будет решена.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
stefus
Сообщения: 3
Зарегистрирован: 11 фев 2018, 21:30

Доброго времени суток. А вы в правиле маскарада не забыли прописать исключения для подсети pptp? Что-то типа
ip firewall nat add chain=srcnat action=masquerade dst-address=!ip-pptp. И ещё. Маршрут до клиента можно прописать в его ppp secret.
Было бы неплохо глянуть трассировочку с микрота до компа и с компа на микрот. Видите ли, микротик имеет такую особенность: он пингует ВСЕ внутренние адреса со своего адреса локальной сети. Попробуйте пингануть комп с указанием src-address из утилиты tools => ping в winbox.


propeller25
Сообщения: 18
Зарегистрирован: 25 сен 2013, 12:46

dst-address=!ip-pptp - видимо вот тут нужно подставить подсеть моей туннели pptp? Т.е. 10.10.7.0 так ? Добавил это в правило, но пинга в 192.168.15.0 (домашняя) подсеть так и нет.

А в каком формате нужно прописывать маршрут до клиента в ppp-secret ? подсеть клиента маска подсети адрес тоннеля , так? я маршрут прописал в IP/Routes . Разве этого не хватит?

с микрота трассировку сделал - безуспешно. 5 hop и везде loss 100% Ни одного айпишника не видно.

с домашней винды вот:
C:\Users\eugene>tracert 192.168.0.4

Трассировка маршрута к 192.168.0.4 с максимальным числом прыжков 30

1 14 ms 12 ms 12 ms 192.168.0.4

Трассировка завершена.
Это я на айпи микрота исполнил.
Последний раз редактировалось propeller25 14 фев 2018, 11:21, всего редактировалось 1 раз.


Ответить