RB3011

Обсуждение общих вопросов, не касающихся настройки оборудования и ОС
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

KIRICHENKO писал(а): 28 дек 2019, 21:42 Сделал как вы описали, не чего не изменилось...Удаленно не соединяюсь, локально все работает...даже локально в браузере ввожу cloud mikrotik & ddns, все работает....удаленно, нет.
То есть при всех вариантов, атак на роутер нет, внешних подключений нет, и снаружи
с разных источников подключения на роутер войти ни как, опять же по разным типам
протоколов (телнет/ssh/winbox) - правильно я понимаю?

ТО Вам судя по всему пора обращаться и общаться с провайдером(ами). Мне кажется, (если Вы
все моменты протестировали и сделали это правильно, и с Ваших слов это не работает ничего),
то это означает, что он (провайдер) ВАС режет/ограничивает.
Или у Вас на роутере не реальный адрес, или реальный, но какой-то ограниченный/закрытый.
Локальные подключения меня тут не волнуют.


P.S. (Вариант №1).
Возьмите ноутбук, подключите ноутбук вместо роутера, выставите на ноутбуке настройки которые
заданы на роутере, и пока у Вас 2 канала, второй канал можно использовать на ноутбуке и проверить,
можете Вы ноутбук с реальными данными увидеть снаружи, пропинговать, зайти на него и т.д.

P.P.S. (Вариант №2).
Создайте с роутера гостиницы ИСХОДЯЩЕЕ рртр/л2тр соединение куда-то (себе домой, на друга,
на работу и прочее). И уже в рамках этого соединения, сделайте какую-ту сетку (/30) и через
неё попробуйте подключиться и поработать.


К сожалению Вы мало даёте информации и мало делаете шагов для анализа и траблашутинга,
поэтому я как в полумраке даю общие уже советы.
Как идёт трассерт к роутеру со внешней стороны, а пробовали к ОБОИМ айпи-адресам подключаться?
(к адресу от провайдера1 и от провайдера2) ? Вы утверждаете и повторяете что локально всё работает,
да пусть оно работает, это мало что даёт нам.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Как вариант - осталось от default конфигурации запрет подключится к WAN ? Посмотреть в Tools -> Mac Server > MAC winbox server .
какие порты в ваших листах -
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox


KIRICHENKO
Сообщения: 15
Зарегистрирован: 12 фев 2019, 02:23

Vlad-2 писал(а): 29 дек 2019, 06:42
KIRICHENKO писал(а): 28 дек 2019, 21:42 Сделал как вы описали, не чего не изменилось...Удаленно не соединяюсь, локально все работает...даже локально в браузере ввожу cloud mikrotik & ddns, все работает....удаленно, нет.
То есть при всех вариантов, атак на роутер нет, внешних подключений нет, и снаружи
с разных источников подключения на роутер войти ни как, опять же по разным типам
протоколов (телнет/ssh/winbox) - правильно я понимаю?

ТО Вам судя по всему пора обращаться и общаться с провайдером(ами). Мне кажется, (если Вы
все моменты протестировали и сделали это правильно, и с Ваших слов это не работает ничего),
то это означает, что он (провайдер) ВАС режет/ограничивает.
Или у Вас на роутере не реальный адрес, или реальный, но какой-то ограниченный/закрытый.
Локальные подключения меня тут не волнуют.


P.S. (Вариант №1).
Возьмите ноутбук, подключите ноутбук вместо роутера, выставите на ноутбуке настройки которые
заданы на роутере, и пока у Вас 2 канала, второй канал можно использовать на ноутбуке и проверить,
можете Вы ноутбук с реальными данными увидеть снаружи, пропинговать, зайти на него и т.д.

P.P.S. (Вариант №2).
Создайте с роутера гостиницы ИСХОДЯЩЕЕ рртр/л2тр соединение куда-то (себе домой, на друга,
на работу и прочее). И уже в рамках этого соединения, сделайте какую-ту сетку (/30) и через
неё попробуйте подключиться и поработать.


К сожалению Вы мало даёте информации и мало делаете шагов для анализа и траблашутинга,
поэтому я как в полумраке даю общие уже советы.
Как идёт трассерт к роутеру со внешней стороны, а пробовали к ОБОИМ айпи-адресам подключаться?
(к адресу от провайдера1 и от провайдера2) ? Вы утверждаете и повторяете что локально всё работает,
да пусть оно работает, это мало что даёт нам.
1. Верно, не каких подключений в логах нет и не на интерфейсах. Разговаривал с ISP, с их стороны отсутствуют ограничения.
2. IP реальный, статичный. Топология подключения. Оптика в свитч, из свича ethernet в cisco 1900 и от cisco ethernet в микротик.
3. Подключал ноут, пингуется. Все ок.
4. Попробую создать l2tp и сообщаю о результатах.

P.S ISP говорит смотреть необходимо на конфиг микротика.


KIRICHENKO
Сообщения: 15
Зарегистрирован: 12 фев 2019, 02:23

Потребовалось пару действий, и канал L2TP работает. Сети пингуются, друг друга видят. Стоит копать в конфиг OpenVPN & PPTP?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

KIRICHENKO писал(а): 01 янв 2020, 22:34 Потребовалось пару действий, и канал L2TP работает. Сети пингуются, друг друга видят. Стоит копать в конфиг OpenVPN & PPTP?
Думаю пока не разберётесь с полной схемой и прохождением пакетов - не стоит.
Слишком много оборудования перед Микротиком.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KIRICHENKO
Сообщения: 15
Зарегистрирован: 12 фев 2019, 02:23

Vlad-2 писал(а): 02 янв 2020, 06:13
KIRICHENKO писал(а): 01 янв 2020, 22:34 Потребовалось пару действий, и канал L2TP работает. Сети пингуются, друг друга видят. Стоит копать в конфиг OpenVPN & PPTP?
Думаю пока не разберётесь с полной схемой и прохождением пакетов - не стоит.
Слишком много оборудования перед Микротиком.
Оптика в switch, из switch в cisco и затем в mikrotik.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

KIRICHENKO писал(а): 02 янв 2020, 13:38 Оптика в switch, из switch в cisco и затем в mikrotik.
Это всё понятно, но я пока понял/увидел следующие минусы:

1) перед микротиком много оборудования (и не в зоне Вашего управления)
2) у микротика формально нету реального адреса (а если он и есть, то он в "изоляции") ==>
2.1) нет атак/попыток перебора паролей по сервисам ssh/telnet
2.2) нет доступа к портам микротика/к службам микротика
3) микротик у Вас стоит в режиме свитча (с Ваших слов).

Всё это показывает что Вы в формальной изоляции от провайдера или от владельца cisco.
И делать ВПН, когда Вы/к Вам/или Вы к себе на роутер не можете подключиться, ну это
всё равно что пытаться продавать хлеб,не пуская и не открывая магазин :a_g_a:

И тот факт, что создав ИСХОДЯЩЕЕ подключение с роутера к себе на другой узел,
показывает (доказывает), что Вы в изоляции или Ваш роутер сидит на/за "серой"
адресации. А при таком раскладе дел - делать сервисы наружу не представляется возможным.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
KIRICHENKO
Сообщения: 15
Зарегистрирован: 12 фев 2019, 02:23

Понятно. Исправил конфигурацию. Убрал wan порты из bridge, довел некоторые настройки до ума. В итоге L2TP, работает, с компьютеров к сети есть доступ, а значит так и оставлю. В первые подобная ситуация...Спасибо за оказанную поддержку. :co_ol:


Ответить