Masquerade при входящем VPN

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

Добрый день, нужна помощь имеется Микротики
Один микрот находиться удаленно и работает по LTE с динамикой, он тунелем подключается к microtik с статическим IP адресом. На втором ставлю "masquerade" для доступа к внутренним ресурсам первого микрота. Но когда он перезагружается, то на втором микроте маскарайдинг ставиться в статус "unknown".
Вопрос: как сделать так что бы он постоянно давал доступ к этому тунелю. Надеюсь вопрос понятен. сразу извиняюсь за столь тяжелое пояснение проблемы.


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

konstantin.moiseev писал(а): 05 июл 2018, 20:05 Вопрос: как сделать так что бы он постоянно давал доступ к этому тунелю.
на микротике на котором vpn сервер добавьте соответсвующий vpn интерфейс server binding


Александр
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

Простите, а можете тыкнуть меня носом куда это :sh_ok:


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

Все спасибо, гугл помог с вашей помощью.. Попробую... Спасибо за столь быстрый ответ.


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

konstantin.moiseev писал(а): 05 июл 2018, 20:17 Простите, а можете тыкнуть меня носом куда это :sh_ok:
А нет, не помог мне гугл... Зашел в интерфейсы, запустил server binding но при зарыве тунеля опять же становиться в Нате "ункнов".


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

konstantin.moiseev писал(а): 05 июл 2018, 20:26 А нет, не помог мне гугл... Зашел в интерфейсы, запустил server binding но при зарыве тунеля опять же становиться в Нате "ункнов".
1) Вы должны логин(аккаунт) Вашего туннеля "прибить", то есть сделать Binding, то есть формально, Вы создадите
постоянный интерфейс который будет ассоциироваться с Вашем туннелем. И так как это будет постоянный интерфейс,
его уже удобно описывать и в правилах и в файрволах и в таблице маршрутизации.
Поэтому спрошу явно: Вы точно сделали к Вашему туннелю(ВПНу) режим биндинга?

2) Попробовал я у себя: при-binding'овый интерфейс отображается в НАТе нормально, даже когда ВПН/туннель не активен.
То есть у меня горит красным это правило, но название интерфейса я вижу, слово "unknow" не наблюдаю.
Опять же, повторяюсь, это справедливо, когда Вы сделали биндинг и биндинговый интерфейс указали в НАТ правиле.

3) В микротике уже наверно больше с года можно делать адрес-лист для интерфейсов, по сути почти тот же биндинг,
то есть Вы привязываете какой-то интерфейс к переменной(которую придумываете сами) и уже при созданий
правил файрвола используете эту переменную. Попробовал специально на упавшем туннеле, при таком расскладе,
даже при упавшем туннеле правило не горит красным, и выглядит обычным, что разумно. Микротик использует
переменную, но не отслеживает постоянно статус интерфейса к нему привязанный.

Пробуйте/доделайте, там всё относительно просто...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

Vlad-2 писал(а): 06 июл 2018, 02:57
konstantin.moiseev писал(а): 05 июл 2018, 20:26 Поэтому спрошу явно: Вы точно сделали к Вашему туннелю(ВПНу) режим биндинга?
Возможно что и нет, походу точно нет. В интерфейсах создал "PPTP Server binding" но не разобрался как включить в него тунель.. Прошу помощи. дайте статью почитать, или помогите, что делать..


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

konstantin.moiseev писал(а): 06 июл 2018, 19:54 Возможно что и нет, походу точно нет. В интерфейсах создал "PPTP Server binding" но не разобрался как включить в него тунель.. Прошу помощи. дайте статью почитать, или помогите, что делать..
1) сначала то расскажите на чём именно Вы сделали свой ВПН? То есть какой явно сеансовый или не сеансовый протоколы Вы используете?
А то уже много сообщений, а детализации мало.

2) Забегая вперёд, и представим что у Вас рртр подключения(ВПН), соответственно есть логин и пароль, то бишь учётная запись, так вот, когда Вы вызываете
команду "PPTP Server Binding", там в первой закладке и появляется поля для имени будущего интерфейса (задайте его) и главное - это строчка "User:"
куда Вы и должны вписать логин того подключения, к которому и делаете собственно биндинг.
Это простая операция и я не совсем понимаю, почему Вы с таким простым действием не разобрались.

3) после создания биндинга, я уже не помню, сам микротик это сделает или лучше в ручном режиме, но Вы должны свой ВПН разорвать и
снова поднять, чтобы биндинг заработал.
В поле где все интерфейсе микротика отображаются (Interface List) там вместо рртр-%user% будет писаться название Вашего свежесделанного биндинга,
это значит у Вас привязка (создания) биндинга прошла удачно.
Потом уже, имея новый интерфейс, проверьте таблицу маршрутов и правила файрвола НАТ - чтобы там уже использовался биндинг-интерфейс.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
konstantin.moiseev
Сообщения: 10
Зарегистрирован: 05 июл 2018, 19:49

Спасибо большое за поддержку. Все получилось.. Оказывается все очень просто ))... Тупил сидел очень долго...Но Москва не сразу строилась, и не сразу были все инженеры.
Еще раз спасибо большое.


Не бойтесь экспериментировать, Титаник построили профессионалы, ковчег любители.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

konstantin.moiseev писал(а): 01 авг 2018, 22:09 Спасибо большое за поддержку. Все получилось.. Оказывается все очень просто ))... Тупил сидел очень долго...Но Москва не сразу строилась, и не сразу были все инженеры.
Еще раз спасибо большое.
Я рад!
Удачи в освоении микротика!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить