Нужна помощь в настройке двух сетей.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

witalikS писал(а):На рисунке указано, что сеть за CCR 1009 172.30.40.0 с маской 255.255.248.0 и соответственно хост 172.30.42.10 нормально попадает в эту сеть. Не хочется Вас грузить своими правилами и поэтому на момент проверки просто отключаю firewall и mangle. Но если другого выхода нет, то всю инфу подготовлю и выложу завтра(сегодня к сожалению уже не успею). Нат не могу отключить, так как есть около 15 магазинов, которые работают удаленно.

Да, согласен, я стормозил, маска то у Вас другая на этом роутере.

В любом случаи, и я говорил и Дмитрий правильно говорит - нужны скрины и конфиги.
Будем их ждать...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

witalikS писал(а):На рисунке указано, что сеть за CCR 1009 172.30.40.0 с маской 255.255.248.0 и соответственно хост 172.30.42.10 нормально попадает в эту сеть. Не хочется Вас грузить своими правилами и поэтому на момент проверки просто отключаю firewall и mangle. Но если другого выхода нет, то всю инфу подготовлю и выложу завтра(сегодня к сожалению уже не успею). Нат не могу отключить, так как есть около 15 магазинов, которые работают удаленно.


Я то же не хочу тратить время на лишнюю информацию, но реально очень часто затык бывает вообще в стороне: правила PBR, файервол и многое другое. Поэтому лучше иметь полную картину.

И на всякий случай посмотрите как настраивать VPN на базе L2TP: http://mikrotik.vetriks.ru/wiki/VPN:L2T ... ние_офисов) . Там подробно расписано вместе с маршрутизацией.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

У меня настроен vpn между CCR1009 (работа) и zyxel keenetic (дом) l2tp + ipsec. И там все нормально (домашняя сеть видит рабочую и наоборот).


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

witalikS писал(а):У меня настроен vpn между CCR1009 (работа) и zyxel keenetic (дом) l2tp + ipsec. И там все нормально (домашняя сеть видит рабочую и наоборот).

Тогда я в шоке, сложную задачу решили, а подружить две сети у нас с Вами не получается.
И в маршрутах, которые Вы создаёте, (статические), верните pref-soure параметр.

P.S.
Надеюсь файрволов и в микротиках и на компах в обоих сетях нету (хотя бы временно на момент теста?)
На всякий случай лучше проверить...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

 Настройки ccr1009
# feb/07/2018 08:53:00 by RouterOS 6.39.3
#
/interface bridge
add disabled=yes fast-forward=no name=bridge1
/interface ethernet
set [ find default-name=ether4 ] name=lan1
set [ find default-name=ether1 ] name=wan1
set [ find default-name=ether2 ] name=wan2
/interface pppoe-client
add disabled=no interface=wan1 name=byfly password=xxxxxx use-peer-dns=yes \
user=xxxxxxxxxxxxxxx@beltel.by
/interface l2tp-server
add name=vpn_wital user=vpn_wital
/ip neighbor discovery
set combo1 discover=no
set ether3 discover=no
set ether5 discover=no
set ether6 discover=no
set ether7 discover=no
set sfp-sfpplus1 discover=no
set wan1 discover=no
set wan2 discover=no
set byfly discover=no
/interface list
add name=WAN
add name=VPN
add name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip firewall layer7-protocol
add name=blockSite regexp="^.*(corel.com|corel.net|corel.ru).*\$"
/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=vpn_pool1 ranges=10.20.20.20/31
/port
set 2 baud-rate=9600 data-bits=8 flow-control=none name=usb3 parity=none \
stop-bits=1
/ppp profile
add change-tcp-mss=yes name=l2tp_wital use-compression=yes use-encryption=yes
/queue tree
add max-limit=55M name=DOWNLOAD parent=global
add max-limit=28M name=UPLOAD parent=global
/queue type
add kind=pcq name=GROUP-A_DW pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=GROUP-B_DW pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=GROUP-C_DW pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=GROUP-A_Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=GROUP-B_Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=GROUP-C_Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
/queue tree
add name=GROUP-A_DW packet-mark=GROUP-A_DW parent=DOWNLOAD priority=6 queue=\
GROUP-A_DW
add limit-at=10M max-limit=55M name=GROUP-B_DW packet-mark=GROUP-B_DW parent=\
DOWNLOAD priority=7 queue=GROUP-B_DW
add limit-at=5M max-limit=55M name=GROUP-C_DW packet-mark=GROUP-C_DW parent=\
DOWNLOAD queue=GROUP-C_DW
add name=GROUP-A_Up packet-mark=GROUP-A_Up parent=UPLOAD priority=6 queue=\
GROUP-A_Up
add limit-at=6M max-limit=28M name=GROUP-B_Up packet-mark=GROUP-B_Up parent=\
UPLOAD priority=7 queue=GROUP-B_Up
add limit-at=3M max-limit=28M name=GROUP-C_Up packet-mark=GROUP-C_Up parent=\
UPLOAD queue=GROUP-C_Up
/system logging action
add name=asu2 remote=172.30.40.3 target=remote
/tool traffic-generator port
add name=port1
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6
/interface l2tp-server server
set authentication=mschap2 default-profile=l2tp_wital enabled=yes \
ipsec-secret=xxxxxxxxx use-ipsec=yes
/interface list member
add interface=byfly list=WAN
add interface=wan2 list=WAN
add interface=vpn_wital list=VPN
add interface=lan1 list=discover
add interface=ether6 list=discover
add interface=vpn_wital list=discover
add interface=bridge1 list=discover
add interface=lan1 list=mactel
add interface=lan1 list=mac-winbox
/interface ovpn-server server
set certificate=server.crt_0 cipher=blowfish128,aes128,aes192,aes256 \
require-client-certificate=yes
/interface sstp-server server
set authentication=mschap2
/ip address
add address=172.30.40.25/21 interface=lan1 network=172.30.40.0
add address=10.10.10.1/30 interface=ether6 network=10.10.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=wan1
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
interface=wan2
/ip dns
set servers=8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 disabled=yes list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/13 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
#куча пользователей. Оставил пару штук(в том числе и тестовый 172.30.42.10)
add address=172.30.41.101 comment=agubei list=OTHER
add address=172.30.41.109 comment=asheveleva list=OTHER-VIP
add address=172.30.40.1 comment=srv list=FULL
add address=172.30.42.10 comment=wital list=MTC
#сайты куда запрещенно ходить пользователям.
add address=corel.com list=Blocked_sites
add address=www.corel.com list=Blocked_sites
add address=mc.corel.com list=Blocked_sites
add address=www.mc.corel.com list=Blocked_sites
add address=apps.corel.com list=Blocked_sites
add address=www.apps.corel.com list=Blocked_sites
add address=iws.corel.com list=Blocked_sites
add address=www.iws.corel.com list=Blocked_sites
add address=www.origin-mc.corel.com list=Blocked_sites
add address=origin-mc.corel.com list=Blocked_sites
add address=104.122.241.59 list=Blocked_sites
add address=corel.ru list=Blocked_sites
add address=172.24.0.0/14 list=BOGON
add address=172.28.0.0/15 list=BOGON
add address=172.31.0.0/16 list=BOGON
add address=172.30.30.25 list=FULL
add address=172.30.40.11 comment="mail server" list=no_spammer
add address=xx.xxx.xxx.xxx comment="xxxxxx" list=no_spammer
add address=172.30.40.0/21 comment="network" list=LocalNet
add address=10.100.100.0/24 comment="home wital network" list=LocalNet
add address=172.30.30.0/24 comment="local net 2" list=LocalNet
add address=10.10.10.0/30 list=LocalNet
#куча ip из разных спамлистов.Оставил пару штук для образца
add address=1.10.16.0/20 comment=SpamHaus list=blacklist
add address=77.72.82.0/24 comment=DShield list=blacklist
add address=217.147.169.220 comment=malc0de list=blacklist
/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop \
address-list-timeout=30m chain=input comment=Perebor_portov_add_list \
dst-port=22 in-interface-list=WAN log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop \
in-interface-list=WAN protocol=tcp src-address-list=perebor_portov_drop
add action=accept chain=input comment=Allow_limited_pings in-interface-list=\
WAN limit=50/5s,2:packet protocol=icmp
add action=drop chain=input comment=Pings_Drop in-interface-list=WAN \
protocol=icmp
add action=add-dst-to-address-list address-list=connection-limit \
address-list-timeout=1d chain=input comment=Connection_limit \
connection-limit=200,32 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
in-interface-list=WAN src-address-list=connection-limit
add action=drop chain=input comment=Port_scanner_drop src-address-list=\
"port scanners"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface-list=WAN protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment=Drop_winbox_SSH_black_list dst-port=\
8291,22222 in-interface-list=WAN protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
address-list-timeout=30m chain=input comment=Winbox_add_black_list \
connection-state=new dst-port=8291,22222 in-interface-list=WAN protocol=\
tcp src-address-list=Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 \
address-list-timeout=2m chain=input comment=Winbox_Ssh_stage3 \
connection-state=new dst-port=8291,22222 in-interface-list=WAN protocol=\
tcp src-address-list=Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 \
address-list-timeout=1m chain=input comment=Winbox_Ssh_stage2 \
connection-state=new dst-port=8291,22222 in-interface-list=WAN protocol=\
tcp src-address-list=Winbox_Ssh_stage1
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 \
address-list-timeout=1m chain=input comment=Winbox_Ssh_stage1 \
connection-state=new dst-port=8291,22222 in-interface-list=WAN protocol=\
tcp
add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=8291,22222 \
protocol=tcp
add action=drop chain=input comment="Drop BOGON" connection-state=new \
in-interface-list=WAN src-address-list=BOGON
add action=drop chain=input comment=\
"Drop new connections from blacklisted IP's to this router" \
connection-state=new src-address-list=blacklist
add action=add-src-to-address-list address-list="dns flood" \
address-list-timeout=4w2d chain=input comment="#\C1\EB\EE\EA\E8\F0\F3\E5\
\EC DNS,NTP \E7\E0\EF\F0\EE\F1\FB \ED\E0 \E2\ED\E5\F8\ED\E8\E9 \E8\ED\F2\
\E5\F0\F4\E5\E9\F1" dst-port=53,123 in-interface-list=WAN protocol=udp
add action=drop chain=input dst-port=53,123 in-interface-list=WAN protocol=\
udp src-address-list="dns flood"
add action=drop chain=input dst-port=53,123 in-interface-list=WAN protocol=\
tcp src-address-list="dns flood"
add action=drop chain=input comment="Drop Invalid connections" \
connection-state=invalid
add action=accept chain=input comment="Accept established connections" \
connection-state=established
add action=accept chain=input comment="Accept related connections" \
connection-state=related
add action=accept chain=input comment="Accept L2TP protocol" \
connection-state=new port=1701,500,4500 protocol=udp
add action=accept chain=input comment="Allow L2TP - 2" connection-state=new \
protocol=ipsec-esp
add action=accept chain=input comment="Accept UDP access for Local Network" \
protocol=udp src-address=172.30.40.0/21
add action=accept chain=input in-interface=lan1 src-address=172.30.40.0/21
add action=drop chain=input comment="Drop all Mikrotik input connection"
add action=fasttrack-connection chain=forward comment=\
"fasstrack \EE\F2\EA\EB\FE\F7\E0\F2\FC \E5\F1\EB\E8 \ED\E0\E4\EE Queues" \
connection-mark=!ipsec connection-state=established,related disabled=yes
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid
add action=accept chain=forward comment=\
"allow already established connections" connection-state=established
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=log chain=forward comment="test log" connection-state=new \
protocol=tcp
add action=drop chain=forward comment="Blocked sites" connection-state=new \
dst-address-list=Blocked_sites src-address=172.30.40.0/21
add action=drop chain=forward comment=\
"Drop new connections from blacklisted IP's to this router" \
connection-state=new src-address-list=blacklist
add action=accept chain=forward comment="accept from local MTC to internet" \
connection-state=new src-address-list=MTC
add action=accept chain=forward comment=vpn_wital in-interface=vpn_wital
add action=accept chain=forward connection-state=new disabled=yes log=yes \
src-address=172.30.42.200
add action=accept chain=forward comment="accept from local FULL to internet" \
connection-state=new src-address-list=FULL
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=forward comment="Drop all"
add action=add-src-to-address-list address-list=spammer address-list-timeout=\
12h chain=tcp comment="Detect and add-list SMTP virus or spammers" \
connection-limit=30,32 connection-state=new dst-port=25 limit=50,5:packet \
protocol=tcp src-address-list=!no_spammer
add action=accept chain=tcp comment="MDAEMON & block spammers" \
connection-state=new dst-address=172.30.40.11 dst-port=\
25,465,587,110,995,3000 protocol=tcp src-address-list=!spammer
add action=accept chain=tcp comment=WebSite,OpenFire connection-state=new \
dst-address=172.30.40.11 dst-port=80,443,5222,5223 protocol=tcp
add action=accept chain=tcp comment=FTPserver connection-state=new \
dst-address=172.30.40.11 dst-port=21,989,990,20,50000-50015 protocol=tcp
add action=accept chain=tcp comment=radmin connection-state=new dst-address=\
172.30.41.105 dst-port=4899 protocol=tcp
add action=accept chain=tcp connection-state=new dst-address=172.30.41.3 \
dst-port=4899 protocol=tcp
add action=jump chain=tcp comment="terminal server srv7" connection-state=new \
dst-address=172.30.40.7 dst-port=3389 jump-target=check-bruteforce \
protocol=tcp
add action=jump chain=tcp comment="terminal server srv6" connection-state=new \
dst-address=172.30.40.6 dst-port=3389 jump-target=check-bruteforce \
protocol=tcp
add action=accept chain=tcp comment="rdp \EA\F3\EB\E8\EA\EE\E2\E8\F7" \
dst-address=172.30.41.137 dst-port=3389 protocol=tcp
add action=accept chain=tcp comment=\
HTTP,HTTPS,POP3,POP3S,SMTPmessage,SMTPS,IMAPS,nmaevski connection-state=\
new dst-port=80,443,110,995,587,465,993,9833 protocol=tcp \
src-address-list=OTHER
add action=accept chain=tcp comment=\
HTTP,HTTPS,POP3,POP3S,SMTPmessage,SMTPS,IMAPS connection-state=new \
dst-port=80,443,110,995,587,465,993 protocol=tcp src-address-list=\
OTHER-VIP
add action=accept chain=tcp comment=FTP,FTPS,TCP8080,ICQ,VIBER,VIBER1 \
connection-state=new dst-port=21,989-990,8080,5190,4244,5242 protocol=tcp \
src-address-list=OTHER
add action=accept chain=tcp comment=FTP,FTPS,TCP8080,ICQ,VIBER,VIBER1 \
connection-state=new dst-port=21,989-990,8080,5190,4244,5242 protocol=tcp \
src-address-list=OTHER-VIP
add action=accept chain=tcp comment="arm respondent,NASED" connection-state=\
new dst-port=8020,3306 protocol=tcp src-address-list=OTHER
add action=accept chain=tcp comment="arm respondent,NASED" connection-state=\
new dst-port=8020,3306 protocol=tcp src-address-list=OTHER-VIP
add action=accept chain=tcp comment=ACKUE connection-state=new dst-port=\
80,3306,3389,5151 protocol=tcp src-address=172.30.42.201
add action=accept chain=tcp comment="terminal Cafe" connection-state=new \
dst-port=5559,6009,7775,6138 log=yes protocol=tcp src-address=\
172.30.42.200
add action=accept chain=udp comment="DNS UDP" connection-state=new dst-port=\
53 protocol=udp src-address-list=OTHER
add action=accept chain=udp comment="DNS UDP" connection-state=new dst-port=\
53 protocol=udp src-address-list=OTHER-VIP
add action=accept chain=udp comment=ACKUE connection-state=new dst-port=\
5150,8900 protocol=udp src-address=172.30.42.201
add action=accept chain=icmp comment="ICMP (0:0) echo reply #\D4\E8\EB\FC\F2\
\F0\F3\E5\EC \EF\EE\EB\E5\E7\ED\FB\E9 ICMP" icmp-options=0:0 protocol=\
icmp
add action=accept chain=icmp comment="ICMP (3:0) dest / net unreachable" \
icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:1) dest / host unreachable" \
icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:3) dest / port unreachable" \
icmp-options=3:3 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:4) dest / fragment. needed" \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment=\
"ICMP (3:10) dest / comm. with-dst-host prohibited" icmp-options=3:10 \
protocol=icmp
add action=accept chain=icmp comment=\
"ICMP (3:13) dest / communication prohibited" icmp-options=3:13 protocol=\
icmp
add action=accept chain=icmp comment="ICMP (4:0) source quench" icmp-options=\
4:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (8:0) echo request" icmp-options=\
8:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (11:0) time exceeded / TTL" \
icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (12:0) parameter problem / error" \
icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="ICMP - deny ALL other types" protocol=\
icmp
add action=add-src-to-address-list address-list=bruteforcer \
address-list-timeout=10m chain=check-bruteforce comment=\
"Protection of RDP from cracking the password" disabled=yes log=yes \
log-prefix="Attack RDP" src-address-list=bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 \
address-list-timeout=1m chain=check-bruteforce disabled=yes \
src-address-list=bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 \
address-list-timeout=1m chain=check-bruteforce disabled=yes \
src-address-list=bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 \
address-list-timeout=30s chain=check-bruteforce disabled=yes \
src-address-list=bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 \
address-list-timeout=20s chain=check-bruteforce disabled=yes \
src-address-list=bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 \
address-list-timeout=20s chain=check-bruteforce disabled=yes src-address=\
!82.209.198.135
add action=accept chain=check-bruteforce connection-state=new \
src-address-list=!bruteforcer
add action=drop chain=forward comment="drop (2) everything else" disabled=yes
/ip firewall mangle
add action=mark-connection chain=forward comment="mark ipsec fasttrack" \
disabled=yes ipsec-policy=out,ipsec new-connection-mark=ipsec \
passthrough=yes
add action=mark-connection chain=forward comment="mark ipsec fasttrack" \
disabled=yes ipsec-policy=in,ipsec new-connection-mark=ipsec passthrough=\
yes
add action=mark-connection chain=prerouting comment="Mark-conn on MTC" \
in-interface=wan2 new-connection-mark=MTC passthrough=no
add action=mark-routing chain=prerouting comment=\
"Mark-rout vpn_wital (no local) to route via iface MTC" in-interface=\
vpn_wital new-routing-mark=to_MTC passthrough=no src-address-list=\
!LocalNet
add action=mark-routing chain=prerouting comment=\
"Mark-rout with mark-conn MTC to route via iface of MTC" connection-mark=\
MTC new-routing-mark=to_MTC passthrough=no src-address-list=LocalNet
add action=mark-routing chain=prerouting comment=\
"GO-to-MTC (via AddrList MTC)" connection-mark=no-mark dst-address-list=\
!LocalNet new-routing-mark=to_MTC passthrough=no src-address-list=MTC
add action=mark-routing chain=output comment=\
"Mark-rout with mark-conn MTC to route via iface MTC" connection-mark=\
MTC new-routing-mark=to_MTC passthrough=no
add action=mark-packet chain=forward comment=GROUP-A_DW dst-address-list=FULL \
new-packet-mark=GROUP-A_DW passthrough=yes
add action=mark-packet chain=forward comment=GROUP-B_DW dst-address-list=\
OTHER-VIP new-packet-mark=GROUP-B_DW passthrough=yes
add action=mark-packet chain=forward comment=GROUP-C_DW dst-address-list=\
OTHER new-packet-mark=GROUP-C_DW passthrough=yes
add action=mark-packet chain=forward comment=GROUP-A_Up new-packet-mark=\
GROUP-A_Up passthrough=yes src-address-list=FULL
add action=mark-packet chain=forward comment=GROUP-B_Up new-packet-mark=\
GROUP-B_Up passthrough=yes src-address-list=OTHER-VIP
add action=mark-packet chain=forward comment=GROUP-C_Up new-packet-mark=\
GROUP-C_Up passthrough=yes src-address-list=OTHER
/ip firewall nat
add action=netmap chain=dstnat comment="RDP tcp" dst-port=999 in-interface=\
byfly protocol=tcp to-addresses=172.30.40.7 to-ports=3389
add action=netmap chain=dstnat dst-port=888 in-interface=wan2 protocol=tcp \
to-addresses=172.30.40.6 to-ports=3389
add action=netmap chain=dstnat comment="Mdaemon POP" dst-port=110,995 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11 to-ports=110
add action=netmap chain=dstnat comment="Mdaemon SMTP" dst-port=25,465,587 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11 to-ports=25
add action=netmap chain=dstnat comment="Mdaemon Web" dst-port=3000 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11 to-ports=3000
add action=netmap chain=dstnat comment=Jabber dst-port=5222,5223 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11
add action=netmap chain=dstnat comment=FTP dst-port=21,989-990,20,50000-50015 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11
add action=netmap chain=dstnat comment=WebSite disabled=yes dst-port=80,443 \
in-interface=byfly protocol=tcp to-addresses=172.30.40.11 to-ports=80
add action=dst-nat chain=dstnat comment=HTTP dst-port=80 in-interface-list=\
WAN protocol=tcp to-addresses=172.30.40.11 to-ports=80
add action=netmap chain=dstnat comment="Radmin asu2" dst-port=6390 \
in-interface=byfly protocol=tcp to-addresses=172.30.41.105 to-ports=4899
add action=netmap chain=dstnat comment=\
"RDP \CA\D3\CB\C8\CA\CE\C2\C8\D7 \CC\C0\CA\D1\C8\CC" dst-port=6334 \
in-interface=byfly log=yes protocol=tcp to-addresses=172.30.41.137 \
to-ports=3389
add action=netmap chain=dstnat comment="radmin \CC\E0\F0\F3\F8\EA\EE" \
dst-port=6333 in-interface=byfly protocol=tcp to-addresses=172.30.41.3 \
to-ports=4899
add action=masquerade chain=srcnat out-interface=byfly src-address=!172.30.42.10
add action=masquerade chain=srcnat out-interface=wan2 src-address=!172.30.42.10
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=aes-256,aes-192,aes-128,3des \
exchange-mode=main-l2tp generate-policy=port-strict secret=xxxxxxxxx
/ip ipsec policy
set 0 disabled=yes
add dst-address=10.100.100.0/24 sa-dst-address=10.20.20.21 sa-src-address=\
10.20.20.20 src-address=172.30.40.0/21 tunnel=yes
/ip route
add check-gateway=ping distance=2 gateway=xxx.xx.xx.x routing-mark=to_MTC
add check-gateway=ping distance=1 gateway=byfly
add check-gateway=ping distance=2 gateway=xxx.xx.xx.x
add comment=vpn-wital disabled=yes distance=1 dst-address=10.100.100.0/24 \
gateway=10.20.20.21 pref-src=10.20.20.20
add distance=1 dst-address=172.30.30.0/24 gateway=10.10.10.2 pref-src=\
10.10.10.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=172.30.40.0/21
set ssh port=22222
set api disabled=yes
set api-ssl disabled=yes
/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add dst-address=172.30.40.3 port=9996
/ppp secret
add local-address=10.20.20.20 name=vpn_wital password=xxxxxxx profile=\
l2tp_wital remote-address=10.20.20.21 routes=\
"10.100.100.0/24 10.20.20.21" service=l2tp
/snmp
set enabled=yes trap-target=172.30.40.3
/system clock
set time-zone-name=Europe/Minsk
/system logging
set 0 action=asu2
add action=asu2 disabled=yes topics=ipsec
add disabled=yes topics=l2tp
add disabled=yes topics=ovpn
add action=asu2 topics=firewall
add action=asu2 topics=critical
add action=asu2 topics=error
add disabled=yes topics=ovpn
add disabled=yes topics=ipsec
add topics=info
add topics=ovpn
add disabled=yes topics=firewall
/system ntp client
set enabled=yes primary-ntp=172.30.40.1 secondary-ntp=91.215.176.2
/system scheduler
add comment="Download spamnaus list" interval=3d name=DownloadSpamhausList \
on-event=DownloadSpamhaus policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:15:25
add comment="Apply spamnaus List" interval=3d name=InstallSpamhausList \
on-event=ReplaceSpamhaus policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:20:25
add comment="Download dshield list" interval=3d name=DownloadDShieldList \
on-event=Download_dshield policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:25:25
add comment="Apply dshield List" interval=3d name=InstallDShieldList \
on-event=Replace_dshield policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:30:25
add comment="Download malc0de list" interval=3d name=Downloadmalc0deList \
on-event=Download_malc0de policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:25:25
add comment="Apply malc0de List" interval=3d name=Installmalc0deList \
on-event=Replace_malc0de policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/01/1970 start-time=13:30:25
add name=reboot on-event="/system reboot" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=jan/22/2018 start-time=02:27:17
/system script
add name=DownloadSpamhaus owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/tool fetch url=\"http://joshaven.com/spamhaus.rsc\" mode=http;\
\n:log info \"Downloaded spamhaus.rsc from Joshaven.com\";\
\n"
add name=ReplaceSpamhaus owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/ip firewall address-list remove [find where comment=\"SpamHaus\"]\
\n/import file-name=spamhaus.rsc;\
\n:log info \"Removed old Spamhaus records and imported new list\";\
\n"
add name=Download_dshield owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/tool fetch url=\"http://joshaven.com/dshield.rsc\" mode=http;\
\n:log info \"Downloaded dshield.rsc from Joshaven.com\";\
\n"
add name=Replace_dshield owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/ip firewall address-list remove [find where comment=\"DShield\"]\
\n/import file-name=dshield.rsc;\
\n:log info \"Removed old dshield records and imported new list\";\
\n"
add name=Download_malc0de owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/tool fetch url=\"http://joshaven.com/malc0de.rsc\" mode=http;\
\n:log info \"Downloaded malc0de.rsc from Joshaven.com\";\
\n"
add name=Replace_malc0de owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\
\n/ip firewall address-list remove [find where comment=\"malc0de\"]\
\n/import file-name=malc0de.rsc;\
\n:log info \"Removed old malc0de records and imported new list\";\
\n"
/tool bandwidth-server
set authenticate=no
/tool graphing interface
add
/tool graphing resource
add
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=lan1
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=lan1
/tool sniffer
set file-name=mysniff filter-interface=ether6 filter-ip-protocol=icmp \
streaming-server=172.30.42.10

 ipconfig /all хоста 172.30.42.10
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : asu3
Основной DNS-суффикс . . . . . . : xxx.xxxx.by
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : xxx.xxxx.by

Адаптер Ethernet Ethernet 2:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
Физический адрес. . . . . . . . . : 88-D7-F6-7F-20-5D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::2d59:61d5:9e8d:54be%7(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.30.42.10(Основной)
Маска подсети . . . . . . . . . . : 255.255.248.0
Основной шлюз. . . . . . . . . : 172.30.40.25
IAID DHCPv6 . . . . . . . . . . . : 76077046
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-1C-1D-05-88-D7-F6-7F-20-5D
DNS-серверы. . . . . . . . . . . : 172.30.40.1
172.30.40.3
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet VMware Network Adapter VMnet1:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet1
Физический адрес. . . . . . . . . : 00-50-56-C0-00-01
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::5c9d:60a6:e836:4e7%6(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.29.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 31 января 2018 г. 7:43:36
Срок аренды истекает. . . . . . . . . . : 7 февраля 2018 г. 10:49:18
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.29.254
IAID DHCPv6 . . . . . . . . . . . : 151015510
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-1C-1D-05-88-D7-F6-7F-20-5D
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet VMware Network Adapter VMnet8:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
Физический адрес. . . . . . . . . : 00-50-56-C0-00-08
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::b176:4626:fb08:f6f8%2(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.233.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Аренда получена. . . . . . . . . . : 31 января 2018 г. 7:43:36
Срок аренды истекает. . . . . . . . . . : 7 февраля 2018 г. 10:49:22
Основной шлюз. . . . . . . . . :
DHCP-сервер. . . . . . . . . . . : 192.168.233.254
IAID DHCPv6 . . . . . . . . . . . : 184569942
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-21-1C-1D-05-88-D7-F6-7F-20-5D
DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
Основной WINS-сервер. . . . . . . : 192.168.233.2
NetBios через TCP/IP. . . . . . . . : Включен

Адаптер Ethernet Ethernet 3:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : TAP-Windows Adapter V9
Физический адрес. . . . . . . . . : 00-FF-24-5F-44-24
DHCP включен. . . . . . . . . . . : Да
Автонастройка включена. . . . . . : Да


 Настройки RB3011
# jan/02/1970 02:34:02 by RouterOS 6.39.3
#
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip address
add address=172.30.30.25/24 interface=ether8 network=172.30.30.0
add address=10.10.10.2/30 interface=ether6 network=10.10.10.0
/ip route
add distance=1 dst-address=172.30.40.0/21 gateway=10.10.10.1 pref-src=10.10.10.2

 ipconfig /all хоста 172.30.30.1
Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : nout-avolchik
Основной DNS-суффикс . . . . . . : xxx.xxxx.xx
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : xxx.xxxx.xx

Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) 82562GT 10/100 Network Conn
ection
Физический адрес. . . . . . . . . : 00-24-81-44-4D-01
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.30.30.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.30.30.25
DNS-серверы . . . . . . . . . . . : 172.30.30.25


Да еще откатился с прошивки 6.41 на 6.39.3 на обоих mikrotik.
Еще предложение: давайте пока отбросим хост 172.30.30.1 (pc за RB3011), а работать будем с ether8 RB3011 (172.30.30.25). Мне кажется достучимся до 172.30.30.25, тогда и до всей сети за RB3011 достучимся. И может все таки давайте в firewall CCR1009 просто первыми правилами разрешу ICMP для input, output и forward(жалко Вашего времени).
Последний раз редактировалось witalikS 07 фев 2018, 14:04, всего редактировалось 2 раза.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

witalikS писал(а):/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6

Ну вот скажите мне - зачем порт 6, который нужен для маршрутизации Вы бриджуете?
Где логика?
Комп отослал пакет в локальную сеть, попал пакет в 1й порт, внутри микротика сработала
маршрутизация, на то он и роутер, он знает где и как подключена другая сеть,
маршруты заданы, пакет сам выйдет с порта 6 и уйдёт в другой роутер!!
А Вы сделали бридж...то есть взяли соединили тупо два роутера физически!...
Выводите 6й порт из бриджа.
(конфиг большой, если найду ещё что-то, то напишу)
witalikS писал(а):/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=sfp1

Ну тут тоже, но с РБ3011 я советую его обнулить без ЗАГРУЗКИ заводской конфигурации!
Бывают глюки на базе заводской конфигурации. Тут мало настроек, так что обнулите начисто,
дайте адреса 8 и 6 порту, без бриджей тут, маршруты опишите
witalikS писал(а):Да еще откатился с прошивки 6.41 на 6.39.3 на обоих mikrotik.
Еще предложение: давайте пока отбросим хост 172.30.30.1 (pc за RB3011), а работать будем с ether8 RB3011 (172.30.30.25). Мне кажется достучимся до 172.30.30.25, тогда и до всей сети за RB3011 достучимся.

Надо с одного компа до другого надо пробовать, так будет чистый эксперимент, когда пингуете роутер с кучей подсетей,
без правильности формирования пинга будет и другой результат.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

Но они отключены
/interface bridge
add disabled=yes fast-forward=no name=bridge1
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

witalikS писал(а):Но они отключены
/interface bridge
add disabled=yes fast-forward=no name=bridge1
/interface bridge port
add bridge=bridge1 disabled=yes interface=lan1
add bridge=bridge1 disabled=yes interface=ether6

Тогда вообще уберите (удалите) их из бриджа(бриджей).
Не отключайте, а удалите. (я про 6-е порты)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
witalikS
Сообщения: 0
Зарегистрирован: 02 дек 2016, 13:37

ether6 из bridge удалил. Сброс RB без загрузки заводских настроек и перенастройку сделаю.


Аватара пользователя
kursy_po_it_ru
Сообщения: 37
Зарегистрирован: 24 ноя 2016, 11:52
Контактная информация:

Конфигурация на первом маршрутизаторе у Вас "жесткая".

Пройдусь по тому, что нашел. Не все будет касаться сути вопроса, но может быть полезно в дальнейшем. Так же обращу Ваше внимание, что Вы упорно игнорируете часть моих комментариев, которые могут быть сутью проблемы. Вы хотя бы отпишитесь по ним.

1. Вы сделали ipconfig /all только с одного хоста. Надо еще с хоста во второй сети.
2. На 3011 внешний и внутренний интерфейс у Вас объединены под одним бриджем. Надо разделять.
3. Перед проверками ОБЯЗАТЕЛЬНО! Отключайте все правила файервола. У Вас там все не по детски. У Вас куча мусора там. Что бы осилить ЭТО надо много времени. Ошибка может быть и там. Проще отключать для теста. Настоятельно рекомендую прочесть статью про лженастройки файервола на MikroTik. Это по Вашу душу. Там и про BOGON написано и про другие вещи.
4. Проброс портов надо делать так: http://mikrotik.vetriks.ru/wiki/Для_нач ... рос_портов . Назначение net-map несколько в другом хотя и будет работать. Правильно делать через action=dst-nat.
5. Вы упорно игнорируете комментарии про то, что может мешать антивирус. На время тестов надо выгружать антивирус и отключать встроенный брандмауэр.
6. Понимаю, что эта информация частично уже давалась, но заново дайте, пожалуйста. С CCR у Вас проходит пинг на внешний и внутренний интерфейс RB? С RB у Вас проходит пинг на внешний и внутренний интерфейс CCR? Итого 4 пинга.


===
Скоромнов Дмитрий
Официальный тренер MikroTik
Автор видеокурса "Настройка оборудования MikroTik" (аналог MTCNA)
Отзывы на курс во ВКонтакте: https://vk.com/topic-130020919_34950142
100 дней поддержки по курсу вместо 30 по промокоду forummikrotik
Ответить