Привет,
см. скриншоты.
Откуда берется соединение 8.8.8.8? Подсеть 192.168.50.* - это сеть для впн сервера на этом микроте.
Днс сервер у меня настроен doh cloudflare.
Откуда берется соединение 8.8.8.8??
п.с. скриншот drop - я ради интереса добавил в фаервол дроп
И еще есть такое - dst address это внешний белый ип от провайдера
Откуда берется 8.8.8.8?
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Ну, а на клиентах в сети не может быть прописанного вручную DNS?
PS. Тему перенес в более удобный раздел.
PS. Тему перенес в более удобный раздел.
-
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
-
- Сообщения: 2
- Зарегистрирован: 25 фев 2021, 14:59
порпобуй отключить клиентов, может не явно приложение какое-то.
К теме не относится , но встречал провайдеров которые автоматом выдают как свои днс так и гугла.
К теме не относится , но встречал провайдеров которые автоматом выдают как свои днс так и гугла.
-
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
на данный момент там клиентов нет, кроме меня, подключенного по внешнему адресу, но уже с рабочего компа, до этого было с домашнего.
смущает еще вот такая картина
а по поводу провадерского - как я указал выше, провайдерский я не использую.
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.0.0.2/dns-query \
verify-doh-cert=yes
настроил лог по дропу фаервола
l2tpIn - это впн соединение между двумя микротиками, на втором микротике днс настроен аналогично
Последний раз редактировалось ArtVAnt 25 фев 2021, 17:32, всего редактировалось 1 раз.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Гадать можем долго п5 и 6 красных правил вверху.
Вероятно запросы приходят с другого конца туннеля.
PS для проверки можно прикрыть хождение запросов между сетями
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip
Вероятно запросы приходят с другого конца туннеля.
PS для проверки можно прикрыть хождение запросов между сетями
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
Код: Выделить всё
# feb/25/2021 17:33:34 by RouterOS 6.48.1
# software id =
#
# model = RBD52G-5HacD2HnD
# serial number =
/interface bridge
add igmp-snooping=yes name=bridge-1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=WAN
set [ find default-name=ether4 ] comment=PC
/interface l2tp-server
add name=l2tp-in1 user=*************************
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n basic-rates-a/g=\
6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps channel-width=\
20/40mhz-XX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=2437 frequency-mode=\
manual-txpower hw-protection-mode=rts-cts installation=indoor mode=ap-bridge multicast-helper=full ssid=\
Mend2.4 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-n/ac channel-width=\
20/40/80mhz-XXXX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
frequency-mode=manual-txpower hw-protection-mode=rts-cts installation=indoor max-station-count=16 mode=\
ap-bridge multicast-helper=full ssid=Mend5 tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add name=Internet
add name=LAN
add name=VPN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk disable-pmkid=yes eap-methods="" group-key-update=\
1h mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=guest_profile supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.11.100-192.168.11.200
add name=vpn ranges=192.168.50.50-192.168.50.150
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-1 lease-time=1w name=server1
/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.50 local-address=192.168.50.50 name=l2tp remote-address=vpn \
use-compression=yes use-encryption=required
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy=\
local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge-1 interface=ether2
add bridge=bridge-1 interface=ether3
add bridge=bridge-1 interface=ether4
add bridge=bridge-1 interface=wlan1
add bridge=bridge-1 interface=wlan2
add bridge=bridge-1 interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=VPN
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=required
/interface list member
add interface=WAN list=Internet
add disabled=yes interface=WAN list=VPN
add interface=bridge-1 list=LAN
add interface=l2tp-in1 list=VPN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.11.1/24 interface=bridge-1 network=192.168.11.0
/ip dhcp-client
add disabled=no interface=WAN use-peer-dns=no
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.0.0.2/dns-query verify-doh-cert=yes
/ip firewall filter
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related \
protocol=udp
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related \
protocol=tcp
add action=drop chain=forward dst-address=8.8.8.8 dst-port=53 log-prefix=GOOGLE protocol=udp src-port=""
add action=drop chain=input dst-port=53 in-interface-list=Internet log=yes log-prefix=dnsdrop protocol=udp
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop invalid Forward" connection-state=invalid
add action=drop chain=forward comment="drop all packets for lan, no nat" connection-nat-state=!dstnat \
connection-state=new in-interface-list=Internet
add action=accept chain=forward comment=New connection-nat-state="" connection-state=new disabled=yes
add action=accept chain=input comment="Accept Input established related" connection-state=established,related \
protocol=!ipsec-esp
add action=drop chain=input comment="Drop invalid input" connection-nat-state="" connection-state=invalid \
connection-type=""
add action=jump chain=input comment="Protected - WinBox, ssh, telnet chain" connection-state=new dst-port=\
8291,22,23 in-interface-list=Internet jump-target=Protected protocol=tcp
add action=add-src-to-address-list address-list=BlackListProtected address-list-timeout=3d chain=Protected \
comment="Protected - WinBox, ssh, telnet. Drop in RAW" connection-state=new src-address-list=\
"ListProtected Stage 2"
add action=add-src-to-address-list address-list="ListProtected Stage 2" address-list-timeout=2m chain=Protected \
connection-state=new src-address-list="ListProtected Stage 1"
add action=add-src-to-address-list address-list="ListProtected Stage 1" address-list-timeout=1m chain=Protected \
connection-state=new log-prefix="\D0\BB\D0\BE\D0\B3\D0\B8\D0\BD1"
add action=accept chain=Protected dst-port=8291,22,23 in-interface-list=Internet protocol=tcp
add action=accept chain=input comment=Neighbor dst-port=5678 protocol=udp
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="IKE, IPsecNAT" dst-port=500,4500 protocol=udp
add action=accept chain=input comment=L2TP dst-port=1701 protocol=udp
add action=accept chain=input comment="Winbox MAC" dst-port=20561 protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=bridge-1 protocol=igmp
add action=drop chain=input comment="Drop All Other" in-interface-list=Internet log-prefix="drop other"
/ip firewall mangle
add action=mark-connection chain=output comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=input comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" out-interface=l2tp-in1 src-address=192.168.50.0/24
add action=netmap chain=dstnat dst-port=554 in-interface=l2tp-in1 log=yes log-prefix=554 protocol=tcp \
to-addresses=192.168.0.121 to-ports=554
/ip firewall raw
add action=drop chain=prerouting comment="Protected - WinBox, ssh, telnet. Drop in RAW" in-interface-list=Internet \
src-address-list=BlackListProtected
/ip route
add disabled=yes distance=1 gateway=10.33.63.1
add disabled=yes distance=1 gateway=10.9.8.1
add distance=1 dst-address=192.168.10.0/24 gateway=l2tp-in1
/ip service
set telnet address=192.168.0.0/24,192.168.10.0/24,192.168.50.0/24
set ftp disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=192.168.0.0/24,192.168.10.0/24,192.168.50.0/24
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ppp secret
add disabled=yes name=vpn
add local-address=192.168.50.50 name=имя profile=l2tp remote-address=192.168.50.1 service=l2tp
add name=лорлорлор profile=l2tp service=l2tp
add name=орорлор profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mik_M1
/system logging
add topics=firewall
/tool romon
set enabled=yes
-
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
я может что-то не правильно понимаю, но правило добавил - счетчик 0. В бридже же у меня не добавлен интерфейс впн..
а проблема походу именно с сетью впн
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Да это у меня он в бридже, Вам нужно ставить в фаерволе входящий интерфейс выбрать l2tp-in1.
PS ищите на другом конце туннеля потому что для тунеля Вы поставили
dns-server=192.168.50.50
PS ищите на другом конце туннеля потому что для тунеля Вы поставили
dns-server=192.168.50.50
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
кстати, 192.168.50.50 - это адрес этого микротика впн..
в какую сторону копать можно, подскажите, пожалуйста?
На другой стороне все настройки аналогичны...
п.с. а если я не буду явно указывать днс для впн, то будет использовать днс у каждого клиента свой?
Последний раз редактировалось ArtVAnt 25 фев 2021, 18:11, всего редактировалось 2 раза.