Подскажите мой конфиг
Значит вопрос вчем если правило отключенно add address=192.168.1.1 list=to_ISP2 ,то все хорошо доступ к микротику есть по рдп можно заходить по двум провайдерам на 192,168,1,1, если правило включенно add address=192.168.1.1 list=to_ISP2 ,то не могу подключаться по рдп ,как побороть эту проблему
Доступ по рдп в локалку
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
chain=srcnat action=src-nat to-addresses=192.168.1.239 protocol=tcp dst-address=192.168.1.1 dst-port=3389
проблема решена
проблема решена
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
мда.
Собственно ок, костыль вы сделали, а первопричину так и не поняли.
1. У вас входящие соединения на форварде не размечены
2.
add action=mark-routing chain=prerouting comment=to_ISP2 dst-address-list=\
!LocalNet new-routing-mark=ISP2_rout src-address-list=to_ISP2
при условии пункта 1 стоит добавить что выпускать не маркированные соеденения
Разумеется вот этот костыль грохаем и убиваем в себе на корню желание подобное делать
chain=srcnat action=src-nat to-addresses=192.168.1.239 protocol=tcp dst-address=192.168.1.1 dst-port=3389
Собственно ок, костыль вы сделали, а первопричину так и не поняли.
1. У вас входящие соединения на форварде не размечены
2.
add action=mark-routing chain=prerouting comment=to_ISP2 dst-address-list=\
!LocalNet new-routing-mark=ISP2_rout src-address-list=to_ISP2
при условии пункта 1 стоит добавить что выпускать не маркированные соеденения
Разумеется вот этот костыль грохаем и убиваем в себе на корню желание подобное делать
chain=srcnat action=src-nat to-addresses=192.168.1.239 protocol=tcp dst-address=192.168.1.1 dst-port=3389
Есть интересная задача и бюджет? http://mikrotik.site
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3389 in-interface=wan1 \
new-connection-mark=rdp protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="Rdp" connection-mark=rdp \
dst-port=3389 in-interface=wan1 protocol=tcp to-addresses=192.168.1.1
/ip firewall mangle
add action=mark-routing chain=prerouting comment=na_wan1 connection-mark=!rdp \
new-routing-mark=ISP1_rout src-address=192.168.1.1
это типо этого или как то по другому ?
add action=mark-connection chain=prerouting dst-port=3389 in-interface=wan1 \
new-connection-mark=rdp protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="Rdp" connection-mark=rdp \
dst-port=3389 in-interface=wan1 protocol=tcp to-addresses=192.168.1.1
/ip firewall mangle
add action=mark-routing chain=prerouting comment=na_wan1 connection-mark=!rdp \
new-routing-mark=ISP1_rout src-address=192.168.1.1
это типо этого или как то по другому ?
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
ну на инпуте же вы разметили соединения.
Вот почти так же и на форварде
Вот почти так же и на форварде
Есть интересная задача и бюджет? http://mikrotik.site
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
вообще не понял,что то я запутался,подскажите плиз на примере
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Вот вам пример на 2 канала.
Доступы к микротику по обоим каналам
Пробросы в сеть тоже по обоим каналам без костылей
Доступы к микротику по обоим каналам
Пробросы в сеть тоже по обоим каналам без костылей
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1_1Telecom new-connection-mark=1Tel_in
add action=mark-routing chain=output connection-mark=1Tel_in new-routing-mark=1Tel_route
add action=mark-connection chain=input in-interface=ether2_Megafon new-connection-mark=mega_in
add action=mark-routing chain=output connection-mark=mega_in new-routing-mark=Mega_route
add action=mark-connection chain=forward in-interface=ether1_1Telecom new-connection-mark=1Tel_for
add action=mark-routing chain=prerouting connection-mark=1Tel_for new-routing-mark=1Tel_route src-address-list=LAN
add action=mark-connection chain=forward in-interface=ether2_Megafon new-connection-mark=mega_for
add action=mark-routing chain=prerouting connection-mark=mega_for new-routing-mark=Mega_route src-address-list=LAN
Есть интересная задача и бюджет? http://mikrotik.site
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36
Спасибо а как теперь любой адрес с локалки заставить ходить в инет через второго провайдера
-
vqd
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
У вас же было правило, просто добавmте там признак mark connections=no-mark
Есть интересная задача и бюджет? http://mikrotik.site
-
evgeniy7676
- Сообщения: 41
- Зарегистрирован: 29 апр 2014, 15:36