Приветствую!
В моей конфигурации Mikrotik 3 WAN + на каждом WAN по несколько IP адресов.
Трафик внутри сети распределяется при помощи маркировок, адреса/подсети выходят в интернет с назначенных IP через src-nat.
Все маршруты 0.0.0.0/0 только через Routing mark.
Для входящих в роутер соединений тоже настроены марки, на пинг любого IP / WAN роутер отвечает (но только со второго пакета, первый всегда теряется, хотелось бы тоже разобраться):
Сам вопрос - возникла необходимость разместить на роутере PPTP/L2TP сервер - не получается подключиться извне.
Похоже, роутер не понимает, как ему ответить на input трафик - если я создаю правило 0.0.0.0/0 без маркировки, с выходом через wan, на который цепляются - все ок.
Что я упустил, какое правило создать? Прошу совета.
Микротик не отвечает на входящие соединения (маркировка маршуртов)
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) по 3-м Вашим правилам трудно давать советы.
2) конфиг нужен полный, с описанием что куда, как и зачем.
3) почитал Вашу со мной последнюю тему, к сожалению,
Вы делаете так, как удобно Вам, но не так, как и правильно,
и как надо по стандартам делать.
4) если у Вас 2 провайдера, или даже 3 провайдера, маркировать
надо всё, или все каналы.
Пока такие советы....
2) конфиг нужен полный, с описанием что куда, как и зачем.
3) почитал Вашу со мной последнюю тему, к сожалению,
Вы делаете так, как удобно Вам, но не так, как и правильно,
и как надо по стандартам делать.
4) если у Вас 2 провайдера, или даже 3 провайдера, маркировать
надо всё, или все каналы.
Пока такие советы....
-
tegr
- Сообщения: 8
- Зарегистрирован: 09 апр 2019, 16:29
С момента последнего ответа в той теме некоторые вещи уже поменялись, но, поскольку, активности в теме не было, ничего описывать не стал.
Полный конфиг не выложил, поскольку стены текста читать желания ни у кого нет, наверное.
Публикую ключевые параметры конфига, думаю, DHCP и прочее нам не очень интересно.
Больше нет ничего интересного, наверное,
Полный конфиг не выложил, поскольку стены текста читать желания ни у кого нет, наверное.
Публикую ключевые параметры конфига, думаю, DHCP и прочее нам не очень интересно.
Больше нет ничего интересного, наверное,
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Я расстроен. Да, с последнего сообщения ни поменялось ничего.
а) Вы также работаете и пытаетесь делать сложные решения,
делая это всё на пре-заводском конфигурации. Это не принято делать так.
Слово "defconf" - как красняя тряпка, ибо при таком конфиге поймать глюки = в геометрической прогрессии растёт.
б)Ну и тут тоже, читать экспорт мне проще, а Вы сделали копии конфигов иначе (сделали команду print),
увы, она не всегда показывает всё.
Делайте экспорт (можно весь конфиг, можно зайти в нужный раздел и сделать экспорт этой части).
в) опять же по тонкости: у Вас во многих моментов, правила повторяются, а в правилах меняются
лишь адреса, хочу напомнить, что каждое правило = это проход процессора, нагрузка и снижения
производительности. НЕ уж то Вы не выучили такую функцию как адрес-лист в файрволе,
где можно все адреса 10.10.100.ххх занести, и туда потом заносить, отключать быстро 1-2 адреса,
и добавлять и уже одним правилом (внутри этого правила) вызывать адрес-лист нужный с адресами,
и всё будет работать в разы правильно, и код(конфиг) будет чище, понятнее.
в.2) УЖАС, столько пробросов, опять можно же как-то сделать. Зачем каждого описывать,
создайте листы, адрес-лист со списком кому можно Интернет, а кому Нельзя, всё.
У Вас вроде контора маленькая, а пробросов штук 25-30 минимум, ужас, может проще купить
адресацию внешнюю?
Всё бывает интересно и важно.
WAN2 = это порт? или что это? Если у Вас статика, то WAN2 = должен быть порт, если рррое, знать ван2=ррроеtegr писал(а): ↑04 июн 2019, 12:59 Настройки заводские, отключен fasttrack, добавлено правило для PPTP
1 ;;; VPN
chain=input action=accept protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=1723 log=no log-prefix=""
2 chain=input action=accept protocol=gre dst-address=109.xxx.xxx.172 in-interface=wan2 log=no log-prefix=""
Конфиг хочу увидеть в режиме экспорта, устал читать.
В МАНГЛЕ нужны правила OUTPUT
без них роутер не знает как отвечать обратно (куда и с какова провайдера)
Поэтому РРТР/L2TP не будут работать.
-
tegr
- Сообщения: 8
- Зарегистрирован: 09 апр 2019, 16:29
WAN2 - да, это порт со статикой, все верно, я еще не совсем деградировалVlad-2 писал(а): ↑04 июн 2019, 14:05
WAN2 = это порт? или что это? Если у Вас статика, то WAN2 = должен быть порт, если рррое, знать ван2=рррое
Конфиг хочу увидеть в режиме экспорта, устал читать.
В МАНГЛЕ нужны правила OUTPUT
без них роутер не знает как отвечать обратно (куда и с какова провайдера)
Поэтому РРТР/L2TP не будут работать.
Прошу прощения за непонятные комментарии, типа service3 и прочего - все понятные и удобные комментарии были на русском, и при принте конфига не вышли - на скорую руку просто дописал
Output правило - оно ведь создано у меня, я его писал и в самом первом сообщении в данной теме, и в конфиге сообщением выше.
Код: Выделить всё
chain=output action=mark-routing new-routing-mark=MTS_IP_route passthrough=no connection-mark=MTS_IP log=noНо не суть, я решил озвученную проблему, самым неожиданным для меня способом, после прочтения одной из статей, цитирую:
И таки да, после создания маршрута по умолчанию с замыканием на себя, роутер стал отвечать на входящие соединения, появилась возможность подключения по PPTP и другим сервисам, которые запускаются на самом роутере.
Так же, исходя из цитаты выше, мне стало понятно, почему на пинг ответ приходил, но не работало остальное. И первый пакет сейчас перестал теряться, после добавления маршрута по умолчанию.
Поскольку вопрос решен, конфиг выкладывать пока не буду, не хочу шокировать вас еще больше
Но с правилами и адрес листами разберусь, спасибо.
Еще у меня остался не закрыт вопрос с hairpin nat, пусть и не поднимался конкретно в этой теме.
Стандартные правила, описываемые во всех мануалах не дают результата - наверное, для моей конфигурации с нескольких провайдеров и ip правило должно принимать другую, дополненную форму?
Стандартное выглядит так:
Код: Выделить всё
0 chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=tcp src-address=10.10.100.0/24 dst-address=109.xxx.xxx.172 dst-port=49152
log=no log-prefix=""
1 chain=srcnat action=src-nat to-addresses=109.xxx.xxx.172 protocol=tcp src-address=10.10.100.0/24 dst-address=10.10.100.2 dst-port=40876 log=no
log-prefix=""
2 chain=dstnat action=dst-nat to-addresses=10.10.100.2 to-ports=40876 protocol=tcp dst-address=109.xxx.xxx.172 in-interface=wan2 dst-port=49152
log=no log-prefix="" -
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1) Костыльное решение.
2) Вы используете только марк-роутинг, а надо ещё и марк-коннекшен
2.1) Порядок правил в Мангле = очень Важен
2.2) в Мангле на каждого провайдера у меня (минимум) 4 правила (вход, транзит(двумя правилами) и выход)
2.3) 5-м правилом (на каждого провайдера) у меня сделан вызов адрес-листа, кому можно работать
явно через этого провайдера (кто в этом адрес-листе, тот и работает).
2.4) в таблице маршрутизации у меня есть:
а) маршрут маркированный на каждого провайдера, благодаря этому маршруту,
пакеты ранее помеченные марк-коннекшион туда обратно возвращаются.
И туда же уходят те, кто работает по адрес-листу принудительно.
б) также, у роутера есть дефолтный маршрут, без маркировки, по-умолчанию
я делаю его на основного/скоростного провайдера, но метрикой 1, а с метрикой
2 уже второй провайдер, с метрикой 3 = третий.
Так что в случаи падения каналов, всё что явно было не описано, пойдёт во второй канал,
когда он станет по-умолчанию.
Вот и всё...
3) У меня нет "костылей" в таблице маршрутов, и всё работает, и сервисы, и пробросы и прочее.
4) Да, про бридж и то что он всегда в "Up'е" я знаю, и пользуюсь этим функционалом,
но больше в рамках работы служб, а именно тот же DHCP я поднимаю только
на бридже, и есть в бридже порты(или нет их), подключены к портам что-то или кто-то,
не важно, бридж есть, он в Up'е, и DHCP как сервис работает без алармов.
5) Интернет можно давать всем, а тем кому не надо, сделать правило-ловушку (в закладке НАТ),
и естественно это правило должно быть выше (первее) чем другие правила НАТ.
И в этом правиле ссылаться на адрес-лист (у меня к примеру LNAT-DENY).
Интернет им запрещён, но в рамках локальной сети, и даже если есть какая-то лок. сеть, куда
можно попасть лишь с трансляцией = всё это для них также можно и работает.
6) Может Вам часть сервисов вынести на отдельный сервер, и делать пробросы на него (так
хоть сервер в случаи атак умрёт, а не пол-сети с компами) или как-то иначе продумать и пересмотреть.
Каждый порт наружу = это лишняя лазейка, почти открытая дверь....
2) Вы используете только марк-роутинг, а надо ещё и марк-коннекшен
2.1) Порядок правил в Мангле = очень Важен
2.2) в Мангле на каждого провайдера у меня (минимум) 4 правила (вход, транзит(двумя правилами) и выход)
2.3) 5-м правилом (на каждого провайдера) у меня сделан вызов адрес-листа, кому можно работать
явно через этого провайдера (кто в этом адрес-листе, тот и работает).
2.4) в таблице маршрутизации у меня есть:
а) маршрут маркированный на каждого провайдера, благодаря этому маршруту,
пакеты ранее помеченные марк-коннекшион туда обратно возвращаются.
И туда же уходят те, кто работает по адрес-листу принудительно.
б) также, у роутера есть дефолтный маршрут, без маркировки, по-умолчанию
я делаю его на основного/скоростного провайдера, но метрикой 1, а с метрикой
2 уже второй провайдер, с метрикой 3 = третий.
Так что в случаи падения каналов, всё что явно было не описано, пойдёт во второй канал,
когда он станет по-умолчанию.
Вот и всё...
3) У меня нет "костылей" в таблице маршрутов, и всё работает, и сервисы, и пробросы и прочее.
4) Да, про бридж и то что он всегда в "Up'е" я знаю, и пользуюсь этим функционалом,
но больше в рамках работы служб, а именно тот же DHCP я поднимаю только
на бридже, и есть в бридже порты(или нет их), подключены к портам что-то или кто-то,
не важно, бридж есть, он в Up'е, и DHCP как сервис работает без алармов.
5) Интернет можно давать всем, а тем кому не надо, сделать правило-ловушку (в закладке НАТ),
и естественно это правило должно быть выше (первее) чем другие правила НАТ.
И в этом правиле ссылаться на адрес-лист (у меня к примеру LNAT-DENY).
Интернет им запрещён, но в рамках локальной сети, и даже если есть какая-то лок. сеть, куда
можно попасть лишь с трансляцией = всё это для них также можно и работает.
6) Может Вам часть сервисов вынести на отдельный сервер, и делать пробросы на него (так
хоть сервер в случаи атак умрёт, а не пол-сети с компами) или как-то иначе продумать и пересмотреть.
Каждый порт наружу = это лишняя лазейка, почти открытая дверь....
-
tegr
- Сообщения: 8
- Зарегистрирован: 09 апр 2019, 16:29
Прошу прощения, можете показать пример манглов для одного из ваших провайдеров?
Про количество пробросов - не все предназначены для общей публикации в интернет.
Там где можно было ограничить по src adr, я ограничил, в некоторых случаях возможности нет.
Используя VPN можно будет ограничить все остальное и избавиться от большого количества правил.
Про количество пробросов - не все предназначены для общей публикации в интернет.
Там где можно было ограничить по src adr, я ограничил, в некоторых случаях возможности нет.
Используя VPN можно будет ограничить все остальное и избавиться от большого количества правил.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
В рамках одного вряд ли поймёте.
(ссылка ниже), Вот писал "шпору", 90% описано как сделать с нуля работающую конфигурацию,
уже где-то 3-4 человек отблагодарили за это время через ЛС (сказали спасибо),
а 10% это на самостоятельность и на внимательность.
Статья (читать внимательно):
viewtopic.php?p=58201#p58201