Может кому пригодится. Но на данный момент я уперся. И нужна помощь.
1.Находим сервер KVM с прямыми IP адресами на интерфейсе (много у кого в алиасе или еще через какие-то правила)
Покупаем. Настраиваем на базе Centos 6.
Далее предустановка системы. По установке ничего сложного, когда делаешь это 10 раз.
Заходим под рутом через vnc или внутренний терминал.
2.скачиваем и развертываем.
wget https://download.mikrotik.com/routeros/ ... .4.img.zip
echo u > /proc/sysrq-trigger && gunzip -c chr-6.43.4.img.zip | dd of=/dev/vda
reboot
3.Если все хорошо, то появится приветствие для авторизации.
Если появится ошибка, то что - то пошло не так. Так как перебирал разные сервисы, с разной ценой, то не у всех все так хорошо.
4. Авторизируемся под admin без пароля.
Первым делом ставим пароль для авторизации. Когда вы пропишете IP адрес на сетевой интерфейс, то к вам сразу начнут пытаться подключиться по telnet и ssh.
/user set admin password=PassWord$
По умолчанию ssh и ftp под этим пользователем. Так что, обязательно, в первую очередь меняем пароль.
Прописываем Ip адрес на интерфейс ether1
/ip address add address=185.224.247.21/22 interface=ether1
Прописываем шлюз.
/ip route add gateway=185.224.246.1
Проверяем ping 8.8.8.8
Должно все идти.
/ip dns set servers-8.8.8.8
Подключаем DNS
Маленькая защита от подбора пароля по telnet ssh ftp
Правила не мои, но работают.
/ip firewall filter
add action=drop chain=input comment="SSH drop" dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input \
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input connection-state=\
new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input connection-state=\
new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input connection-state=\
new dst-port=22 protocol=tcp
add action=drop chain=input comment=telnet_drop dst-port=23 protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1w3d chain=input \
connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m chain=input \
connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m chain=input \
connection-state=new dst-port=23 protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m chain=input \
connection-state=new dst-port=23 protocol=tcp
add action=drop chain=input comment="ftp drop ftp brute forcers" dst-port=21 protocol=tcp src-address-list=\
ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=1/1m,4,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output content=\
"530 Login incorrect" protocol=tcp
Далее, на всякий случай, сохраняем конфигурацию для восстановления, если что - то пойдет не так
/system backup save name=05112018_135
Далее VPN l2tp ipsec
Тут уже буду делать через winbox.
1.Создаем ip pool.
ip pool add name=vpn_pool ranges=172.16.3.100-172.16.3.200
2.Создаем ppp профиль
ppp profile add name=vpn_profile local-address=172.16.3.1 remote-address=vpn_pool
3. Настраиваем Secret
ppp secret add name=vpn_mag4 password=PassWord123 service=l2tp profile=vpn_profile local-address=172.16.3.1 remote-address=172.16.3.10
4. Активируем l2tp server
/interface l2tp-server server set authentication=mschap2 enabled=yes ipsec-secret=PassWord123 use-ipsec=yes
сохраняем конфигурацию
/system backup save name=05112018_1411
Теперь идем на mag4
/interface l2tp-client add connect-to=185.224.247.21 disabled=no ipsev-secret=PassWord123 name=vpn_mag4 password=PassWord123 use-ipsec=yes user=vpn_mag4
Чтоб сети видели между собой
На Сервере
/ip route add distance=1 dst-address=192.168.10.0/24 gateway=172.16.3.10
Тепень микротик 21 видит сеть 192.168.10.0
Компьютеры из сети 192.168.10.0 видят компьютеры 172.16.3.0
system backup save name=05112018_1502
теперь то, что не получается:
1. От mag4 завернуть весь трафик через VPN.?
2. От mag1,2,3 завернуть весь трафик, кроме 10 подсети.?
3. Перенаправить порт для сервисов.?
4. Что лучше и безопаснее? Пробросить порт RDP, или сделать отдельную учетную запись VPN для компьютеров сотрудников (работа из дома).
Если делать проброс RDP, то это:
/ip firewall nat add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=61001 protocol=tcp to-addresses=172.16.2.19 to-ports=3389
Для почтового сервера 80,443,:
/ip firewall nat
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=80 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=80
add action=dst-nat chain=dstnat comment=test dst-address=185.224.247.21 dst-port=443 in-interface=inetTest protocol=tcp to-addresses=172.16.2.10 to-ports=443
про 25 и остальные еще не надумал как.
Конфигурация выделенного сервера:
CHR, VPS\VDS, VPN l2t+ipsek настройка и проблемы
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 20
- Зарегистрирован: 05 ноя 2018, 20:58
Из нового:
Решил разбивать задачу на части.
1. Создал пользователя ipsec vpn в роутере.
2. Подключился с Windows клиента. Ipsec грузит процессор но работает.
В настройках указал пароль для Ipsec. По умолчанию он не спросил ничего.
3. Компьютер видит ip сервер сети но не выходит через него.
ping 172.16.3.1 пингуется.
ping 8.8.8.8 не пингуется.
Прописал нат для сети.
/ip firewall nat add action=masquerade chain=srcnat src-address=172.16.3.0/24
пинг пошел, из сети наружу.
При тесте скорости загрузка процессора виртуальной машины подлетает до 60%. При том что одно ядро и 2700mghz.
Задачи которые в процессе:
1.VPN на роутере подключается но трафик не заворачивается. Надо завернуть весь трафик в VPN.
ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.11 routing-mark=tst scope=30 target-scope=10
ip firewall mangle add action=mark-routing chain=prerouting disabled=no new-routing-mark=tst passthrough=yes src-address=192.168.10.23
пинг хороший 5-10мс.
но Браузер как будто тормозит
Тесты скорости почему-то вываливаются с ошибками и с диким пингом.
PING forummikrotik.ru (217.107.219.12): 56 data bytes
64 bytes from 217.107.219.12: icmp_seq=0 ttl=56 time=5.106 ms
64 bytes from 217.107.219.12: icmp_seq=1 ttl=56 time=4.690 ms
64 bytes from 217.107.219.12: icmp_seq=2 ttl=56 time=4.709 ms
64 bytes from 217.107.219.12: icmp_seq=3 ttl=56 time=4.609 ms
64 bytes from 217.107.219.12: icmp_seq=4 ttl=56 time=4.512 ms
64 bytes from 217.107.219.12: icmp_seq=5 ttl=56 time=4.654 ms
raceroute to forummikrotik.ru (217.107.219.12), 64 hops max, 52 byte packets
1 router.lan (192.168.10.10) 1.346 ms 0.650 ms 0.787 ms
2 172.16.3.1 (172.16.3.1) 4.010 ms 3.465 ms 3.470 ms
3 gw.infra.ds.melbicom.net (213.183.48.1) 4.015 ms * 3.986 ms
4 185.131.64.113 (185.131.64.113) 3.852 ms 4.072 ms 3.863 ms
5 82.138.2.153 (82.138.2.153) 8.238 ms 6.981 ms 7.848 ms
6 188.254.60.169 (188.254.60.169) 4.909 ms 7.860 ms 4.924 ms
7 213.59.211.245 (213.59.211.245) 4.565 ms 4.624 ms
213.59.212.231 (213.59.212.231) 6.512 ms
8 188.254.8.154 (188.254.8.154) 4.719 ms 4.440 ms 4.473 ms
9 msk-bgw1-xe-1-3-0-0.rt-comm.ru (217.106.0.14) 4.618 ms 4.533 ms
msk-bgw1-xe-0-2-0-0.rt-comm.ru (217.106.6.166) 5.041 ms
10 srv192-vps-st.jino.ru (217.107.219.12) 5.007 ms !Z 4.801 ms !Z 4.695 ms !Z
2. Заворачивать Весь трафик кроме 10 подсети. (подсеть провайдера)
3. По списку 1-2 правило. Остальное через обычное подключение в wan.
Решил разбивать задачу на части.
1. Создал пользователя ipsec vpn в роутере.
2. Подключился с Windows клиента. Ipsec грузит процессор но работает.
В настройках указал пароль для Ipsec. По умолчанию он не спросил ничего.
3. Компьютер видит ip сервер сети но не выходит через него.
ping 172.16.3.1 пингуется.
ping 8.8.8.8 не пингуется.
Прописал нат для сети.
/ip firewall nat add action=masquerade chain=srcnat src-address=172.16.3.0/24
пинг пошел, из сети наружу.
При тесте скорости загрузка процессора виртуальной машины подлетает до 60%. При том что одно ядро и 2700mghz.
Задачи которые в процессе:
1.VPN на роутере подключается но трафик не заворачивается. Надо завернуть весь трафик в VPN.
ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.11 routing-mark=tst scope=30 target-scope=10
ip firewall mangle add action=mark-routing chain=prerouting disabled=no new-routing-mark=tst passthrough=yes src-address=192.168.10.23
пинг хороший 5-10мс.
но Браузер как будто тормозит
Тесты скорости почему-то вываливаются с ошибками и с диким пингом.
PING forummikrotik.ru (217.107.219.12): 56 data bytes
64 bytes from 217.107.219.12: icmp_seq=0 ttl=56 time=5.106 ms
64 bytes from 217.107.219.12: icmp_seq=1 ttl=56 time=4.690 ms
64 bytes from 217.107.219.12: icmp_seq=2 ttl=56 time=4.709 ms
64 bytes from 217.107.219.12: icmp_seq=3 ttl=56 time=4.609 ms
64 bytes from 217.107.219.12: icmp_seq=4 ttl=56 time=4.512 ms
64 bytes from 217.107.219.12: icmp_seq=5 ttl=56 time=4.654 ms
raceroute to forummikrotik.ru (217.107.219.12), 64 hops max, 52 byte packets
1 router.lan (192.168.10.10) 1.346 ms 0.650 ms 0.787 ms
2 172.16.3.1 (172.16.3.1) 4.010 ms 3.465 ms 3.470 ms
3 gw.infra.ds.melbicom.net (213.183.48.1) 4.015 ms * 3.986 ms
4 185.131.64.113 (185.131.64.113) 3.852 ms 4.072 ms 3.863 ms
5 82.138.2.153 (82.138.2.153) 8.238 ms 6.981 ms 7.848 ms
6 188.254.60.169 (188.254.60.169) 4.909 ms 7.860 ms 4.924 ms
7 213.59.211.245 (213.59.211.245) 4.565 ms 4.624 ms
213.59.212.231 (213.59.212.231) 6.512 ms
8 188.254.8.154 (188.254.8.154) 4.719 ms 4.440 ms 4.473 ms
9 msk-bgw1-xe-1-3-0-0.rt-comm.ru (217.106.0.14) 4.618 ms 4.533 ms
msk-bgw1-xe-0-2-0-0.rt-comm.ru (217.106.6.166) 5.041 ms
10 srv192-vps-st.jino.ru (217.107.219.12) 5.007 ms !Z 4.801 ms !Z 4.695 ms !Z
2. Заворачивать Весь трафик кроме 10 подсети. (подсеть провайдера)
3. По списку 1-2 правило. Остальное через обычное подключение в wan.