Откуда берется 8.8.8.8?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

Привет,
см. скриншоты.
Откуда берется соединение 8.8.8.8? Подсеть 192.168.50.* - это сеть для впн сервера на этом микроте.
Днс сервер у меня настроен doh cloudflare.

Откуда берется соединение 8.8.8.8??

п.с. скриншот drop - я ради интереса добавил в фаервол дроп
Изображение
:smu:sche_nie:


Изображение

:ne_ne_ne:

Изображение
:ze_va_et:
Изображение


И еще есть такое - dst address это внешний белый ип от провайдера
Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну, а на клиентах в сети не может быть прописанного вручную DNS?



PS. Тему перенес в более удобный раздел.


ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

gmx писал(а): 25 фев 2021, 15:27 Ну, а на клиентах в сети не может быть прописанного вручную DNS?
Нет
Все проверил, клиентов-то раз два)


kot.naum
Сообщения: 2
Зарегистрирован: 25 фев 2021, 14:59

порпобуй отключить клиентов, может не явно приложение какое-то.

К теме не относится , но встречал провайдеров которые автоматом выдают как свои днс так и гугла.


ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

kot.naum писал(а): 25 фев 2021, 17:09 порпобуй отключить клиентов, может не явно приложение какое-то.

К теме не относится , но встречал провайдеров которые автоматом выдают как свои днс так и гугла.
на данный момент там клиентов нет, кроме меня, подключенного по внешнему адресу, но уже с рабочего компа, до этого было с домашнего.

смущает еще вот такая картина
Изображение


а по поводу провадерского - как я указал выше, провайдерский я не использую.
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.0.0.2/dns-query \
verify-doh-cert=yes


настроил лог по дропу фаервола
l2tpIn - это впн соединение между двумя микротиками, на втором микротике днс настроен аналогично


Изображение
Последний раз редактировалось ArtVAnt 25 фев 2021, 17:32, всего редактировалось 1 раз.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Гадать можем долго п5 и 6 красных правил вверху.
Вероятно запросы приходят с другого конца туннеля.

PS для проверки можно прикрыть хождение запросов между сетями
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

Ca6ko писал(а): 25 фев 2021, 17:32 Гадать можем долго п5 и 6 красных правил вверху.
Вероятно запросы приходят с другого конца туннеля.

PS для проверки можно прикрыть хождение запросов между сетями
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip

Код: Выделить всё

# feb/25/2021 17:33:34 by RouterOS 6.48.1
# software id = 
#
# model = RBD52G-5HacD2HnD
# serial number = 
/interface bridge
add igmp-snooping=yes name=bridge-1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=WAN
set [ find default-name=ether4 ] comment=PC
/interface l2tp-server
add name=l2tp-in1 user=*************************
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n basic-rates-a/g=\
    6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps channel-width=\
    20/40mhz-XX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=2437 frequency-mode=\
    manual-txpower hw-protection-mode=rts-cts installation=indoor mode=ap-bridge multicast-helper=full ssid=\
    Mend2.4 tx-power-mode=all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode band=5ghz-n/ac channel-width=\
    20/40/80mhz-XXXX country=russia3 disabled=no disconnect-timeout=15s distance=indoors frequency=auto \
    frequency-mode=manual-txpower hw-protection-mode=rts-cts installation=indoor max-station-count=16 mode=\
    ap-bridge multicast-helper=full ssid=Mend5 tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
    wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add name=Internet
add name=LAN
add name=VPN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk disable-pmkid=yes eap-methods="" group-key-update=\
    1h mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys name=guest_profile supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.11.100-192.168.11.200
add name=vpn ranges=192.168.50.50-192.168.50.150
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-1 lease-time=1w name=server1
/ppp profile
add change-tcp-mss=yes dns-server=192.168.50.50 local-address=192.168.50.50 name=l2tp remote-address=vpn \
    use-compression=yes use-encryption=required
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy=\
    local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api,romon,dude,tikapp
/interface bridge port
add bridge=bridge-1 interface=ether2
add bridge=bridge-1 interface=ether3
add bridge=bridge-1 interface=ether4
add bridge=bridge-1 interface=wlan1
add bridge=bridge-1 interface=wlan2
add bridge=bridge-1 interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=VPN
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp enabled=yes use-ipsec=required
/interface list member
add interface=WAN list=Internet
add disabled=yes interface=WAN list=VPN
add interface=bridge-1 list=LAN
add interface=l2tp-in1 list=VPN
/interface sstp-server server
set default-profile=default-encryption
/ip address
add address=192.168.11.1/24 interface=bridge-1 network=192.168.11.0
/ip dhcp-client
add disabled=no interface=WAN use-peer-dns=no
/ip dhcp-server network
add address=192.168.11.0/24 dns-server=192.168.11.1 gateway=192.168.11.1 netmask=24
/ip dns
set allow-remote-requests=yes use-doh-server=https://1.0.0.2/dns-query verify-doh-cert=yes
/ip firewall filter
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related \
    protocol=udp
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related \
    protocol=tcp
add action=drop chain=forward dst-address=8.8.8.8 dst-port=53 log-prefix=GOOGLE protocol=udp src-port=""
add action=drop chain=input dst-port=53 in-interface-list=Internet log=yes log-prefix=dnsdrop protocol=udp
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop invalid Forward" connection-state=invalid
add action=drop chain=forward comment="drop all packets for lan, no nat" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=Internet
add action=accept chain=forward comment=New connection-nat-state="" connection-state=new disabled=yes
add action=accept chain=input comment="Accept Input established related" connection-state=established,related \
    protocol=!ipsec-esp
add action=drop chain=input comment="Drop invalid input" connection-nat-state="" connection-state=invalid \
    connection-type=""
add action=jump chain=input comment="Protected - WinBox, ssh, telnet chain" connection-state=new dst-port=\
    8291,22,23 in-interface-list=Internet jump-target=Protected protocol=tcp
add action=add-src-to-address-list address-list=BlackListProtected address-list-timeout=3d chain=Protected \
    comment="Protected - WinBox, ssh, telnet. Drop in RAW" connection-state=new src-address-list=\
    "ListProtected Stage 2"
add action=add-src-to-address-list address-list="ListProtected Stage 2" address-list-timeout=2m chain=Protected \
    connection-state=new src-address-list="ListProtected Stage 1"
add action=add-src-to-address-list address-list="ListProtected Stage 1" address-list-timeout=1m chain=Protected \
    connection-state=new log-prefix="\D0\BB\D0\BE\D0\B3\D0\B8\D0\BD1"
add action=accept chain=Protected dst-port=8291,22,23 in-interface-list=Internet protocol=tcp
add action=accept chain=input comment=Neighbor dst-port=5678 protocol=udp
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment="IKE, IPsecNAT" dst-port=500,4500 protocol=udp
add action=accept chain=input comment=L2TP dst-port=1701 protocol=udp
add action=accept chain=input comment="Winbox MAC" dst-port=20561 protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=bridge-1 protocol=igmp
add action=drop chain=input comment="Drop All Other" in-interface-list=Internet log-prefix="drop other"
/ip firewall mangle
add action=mark-connection chain=output comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
add action=mark-connection chain=input comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" out-interface=l2tp-in1 src-address=192.168.50.0/24
add action=netmap chain=dstnat dst-port=554 in-interface=l2tp-in1 log=yes log-prefix=554 protocol=tcp \
    to-addresses=192.168.0.121 to-ports=554
/ip firewall raw
add action=drop chain=prerouting comment="Protected - WinBox, ssh, telnet. Drop in RAW" in-interface-list=Internet \
    src-address-list=BlackListProtected
/ip route
add disabled=yes distance=1 gateway=10.33.63.1
add disabled=yes distance=1 gateway=10.9.8.1
add distance=1 dst-address=192.168.10.0/24 gateway=l2tp-in1
/ip service
set telnet address=192.168.0.0/24,192.168.10.0/24,192.168.50.0/24
set ftp disabled=yes
set www address=0.0.0.0/0 disabled=yes
set ssh address=192.168.0.0/24,192.168.10.0/24,192.168.50.0/24
set api disabled=yes
set winbox address=0.0.0.0/0
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ppp secret
add disabled=yes name=vpn
add local-address=192.168.50.50 name=имя profile=l2tp remote-address=192.168.50.1 service=l2tp
add name=лорлорлор profile=l2tp service=l2tp
add name=орорлор profile=l2tp service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Mik_M1
/system logging
add topics=firewall
/tool romon
set enabled=yes


ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

Ca6ko писал(а): 25 фев 2021, 17:32 PS для проверки можно прикрыть хождение запросов между сетями
/interface bridge filter
add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip
я может что-то не правильно понимаю, но правило добавил - счетчик 0. В бридже же у меня не добавлен интерфейс впн..
а проблема походу именно с сетью впн


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Да это у меня он в бридже, Вам нужно ставить в фаерволе входящий интерфейс выбрать l2tp-in1.

PS ищите на другом конце туннеля потому что для тунеля Вы поставили
dns-server=192.168.50.50


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
ArtVAnt
Сообщения: 158
Зарегистрирован: 30 окт 2020, 15:00

Ca6ko писал(а): 25 фев 2021, 17:53 PS ищите на другом конце туннеля потому что для тунеля Вы поставили
dns-server=192.168.50.50
кстати, 192.168.50.50 - это адрес этого микротика впн..
в какую сторону копать можно, подскажите, пожалуйста?
На другой стороне все настройки аналогичны...

п.с. а если я не буду явно указывать днс для впн, то будет использовать днс у каждого клиента свой?
Последний раз редактировалось ArtVAnt 25 фев 2021, 18:11, всего редактировалось 2 раза.


Ответить