Микротик и ЕСПД

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
DuKle
Сообщения: 10
Зарегистрирован: 31 янв 2022, 22:30

Доброго времени суток уважаемые коллеги!
Неделю бьюсь с настройкой подключения к сервису ЕСПД компании Ростелеком
Суть в следующем:
Есть два канала от ростелекома.
Один приходит прямо в порт микротика
Этот канал повешен на одну подсетку
Второй канал ростелекома приходит в их криптошлюз, который в свою очередь подключен к другому порту микротика
Канал повешен на другую подсетку
Для работы этого канала мне выдали следующие данные:
айпи адрес,маску, шлюз, днс-серверы, адрес прокси и сертификат. в формате crt
Указал в настройках айпишник, днсы.
Сделал редиректы на их проксю командами подсмотренными на одном из форумов:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-addresses=10.0.66.52 to-ports=3128

/ip firewall nat add chain=dstnat protocol=tcp dst-port=443 action=redirect to-addresses=10.0.66.52 to-ports=3128
Айпишники клиентским машинам выдаются по DHCP
НА конечных машинах ставлю сертификат, и при таких настройках пингуются любые сайты, tracert также показывает маршрут до любого сайта, но в браузере открывается только яндекс. Никакие другие сайты не открываются.
Если в настройках клиентской машины указать еще и проксю, то перестают открываться любые сайты. Пинги и tracert работают

Вопрос: что я делаю не так? На роутере тоже надо ставить сертификат? Надо включать микротиковскую прокси?
Ставить все параметры в статику на клиентских машинах?

Помогите пожалуйста! Нормальный инет отрубят через неделю и школа останется без интернета.Может кто-то уже сталкивался с этим ЕСПД?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Поищите поиском. Много раз обсуждалось.
Микротик не помощник этом подключению.


У меня школа, помучалась с этим каналом и купила нормальный. Школа большая, много техники. Прокси и сертификат - это какой-то прошлый век.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33



DuKle
Сообщения: 10
Зарегистрирован: 31 янв 2022, 22:30

Erik_U писал(а): 01 фев 2022, 12:58 Это ЕСПД?
http://imcluga.ru/wp-content/uploads/20 ... %D0%BC.pdf
Да. Он самый. Обычный канал у нас есть уже. Тоже Ростелеком. Но его грозятся отключить :-(

Эх, придется опять изобретать велосипед. Или менять роутер


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

DuKle писал(а): 01 фев 2022, 19:29
Да. Он самый. Обычный канал у нас есть уже. Тоже Ростелеком. Но его грозятся отключить :-(
Общался вчера с менеджером РТК - сказала "узпакойтесь". Никто ничего не отключит, если будете платить.


DuKle
Сообщения: 10
Зарегистрирован: 31 янв 2022, 22:30

У школы нет бюджета на оплату сторонней контент фильтрации для имеющихся 550 компьютеров. Из которых одномоментно в сети могут быть более 300. Надеялись на этот ЕСПД
Нам разрекламировали ЕСПД, и директор не дал добро на оплату контент-фильтрации на новый год.
Вот сейчас ищу варианты. Если поставить между каналом ЕСПД и микротиком комп с настроенным прозрачным прокси, а с него уже гнать в микротик трафик "как есть"... это проканает?
Извините за ламерские вопросы. Раньше с сетями мало сталкивался. чистый "железячник" по жизни... в сетях волоку слабо :smu:sche_nie:


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Я пробовал ставить комп с вин 2008 и эту утилиту https://proxifier.com/

И даже работало, но были проблемы с некоторыми сайтами.

Но у меня некуда поставить комп около роутера, надо тянуть дополнительные кабели. И я от этой идеи отказался.

Ну плюс сама утилита тоже платная...


Что касается фильтрации - для отчётности у меня куплен skydns на 50 компов. А для фактической эксплуатации использую nextdns за 150 р в месяц.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну, что? У меня подключили этот ЕСПД. Заставляют "под страхом смерти" отключать все остальные "нормальные" каналы.

Все просто в шоке. Сейчас в школе 300 мегабит, а ЕСПД - 50. Как жить дальше - просто не знаю.
У меня 200+ компьютеров в школе. Надо на каждом прописать proxy и положить сертификат.
Буду пробовать настроить через WPAD хотя бы прокси, сертификат один фиг придется ручками.
У ростелекома есть утилита, которая автоматически поставит сертификат. Отправлю ссылку учителям, даже если 30% поставят сами - уже будет легче!
Все проблемы предлагают решать через поддержку РТК. Ну то есть - "е#итесь сами".
Предлагаю сделать эту тему основной для обсуждения проблем ЕСПД и их решения.


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

Ребята, пожалуйста по существу.
Пишите на офф бланке школы заявление на открытие "белого" инета для одного адреса из пула криптошлюза с развернутым списком компов за натом этого адреса, с перечислением фамилий ответственных лиц и подписями и отправляете на поддержку ЕСПД espd_ce@rt.ru. Следом пишите второе письмо с указанием протоколов, программ и портов на открытие (чем больше, тем лучше), типа anydesk, l2tp, skype, 1701, gre и т.д тел поддержки 8-800-301-32-31. Все по закону.
Итог: имеем адрес из подсети криптошлюза без фильтра. Заворачиваем в него нужную подсеть.

Оставьте вопросы по расстановке проксей и сертификатов по хостам. Это и так ясно.
Вот теперь есть два больших вопроса
1) как завернуть "белую" подсеть хотя бы без прописывания прокси на хостах в "белый" адрес криптошлюза
2) wifi "белой" подсети работает только для ПК, мобильные устройства - нет(( Решение первого вопроса спасло бы ситуацию

И альтернативное решение: купить внебюджетный канал интернета на другом патч-корде за небюджетные деньги (скажем 20Мбит/с) и завернуть его в "белую" подсеть. И тут уже не нужно ни проксей не сертификатов.

Друзья есть у кого мыли технического плана по вопросу 1?


Skylear
Сообщения: 118
Зарегистрирован: 06 авг 2017, 17:50

может быть так в рамках теста
на сервере IIS или Apache кладем wpad файл, а микротик через опцию DHCP 252 направляет клиентов к этому файлу..?
в этом случае как будут работать смартфоны?


Ответить