VPN Tunnel L2TP/IpSec

Обсуждение оборудования и его настройки
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Доброго времени суток Уважаемые коллеги.
Давно не доходили руки до сетевого оборудования. Вот решил в новь заняться.
И так, вводная:
Есть два небольших офиса
1 Офис
WAN статика , белый ip адрес
LAN 192.168.1.0/24
Miktotik hEX RB 703 настроен IPSec
2. Офис .
WAN айпишник раздается провайдером через PPPoE.
LAN 10.47.0.0/22
Miktotik hEX RB 703 настроен IPSec
Обмен ключами и тунель созданы. Правила NAT и Routes так же сконфигурированы.
Проблема:
Ping SMB, RDP и т.д. работает без проблем из сети 10.47.0.0.22 в сеть 192.168.1.0.24
Обратно же из 192.168.1.0.24 работает только RDP и более ничего. Ping только до шлюза 10.47.1.99.
Уже сломали голову.
Вопрос:
Где ларчик открывается и в чем может быть проблема ? Я так понимаю где то на стороне роутера 10.47.1.99 ...
Заранее благодарен!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Всё что пришло в голову:

1) а где трассировки (как с роутеров, так и с компа(ов) через эти же роутеры до разных объектов/филиалов, и/или до роутеров с другой стороны)?
2) файрвол(ы) как работают? не блокируют ? Релейтед и Эстеблеш соединения разрешены?
2.1) случайно обобщённым правилом NAT не заНАТили свои сети при выходе с роутера(ов)?
3) а что с адресацией в рамках РРРоЕ (в ОФИСе), которую получаете от провайдера
(Вы сказали что получаете по РРРоЕ, но какую? Белую/Серую, из какова диапазона?)
Мне очень смущает "длинная" сетка в ОФИСе (маска аж 22).
Не могло произойти, что у Вас нахлёст с адресацией сетью провайдера?
4) Между филиалами (внутри) что настроено - маршрутизация или НАТ?
5) Банально, но: проверьте маски на всех роутерах, а также как задали адресацию, вдруг где ошибка.
5.1) Таблицу маршрутизации также, все направления верны и доступны?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Vlad-2 писал(а):Всё что пришло в голову:

1) а где трассировки (как с роутеров, так и с компа(ов) через эти же роутеры до разных объектов/филиалов, и/или до роутеров с другой стороны)?
2) файрвол(ы) как работают? не блокируют ? Релейтед и Эстеблеш соединения разрешены?
2.1) случайно обобщённым правилом NAT не заНАТили свои сети при выходе с роутера(ов)?
3) а что с адресацией в рамках РРРоЕ (в ОФИСе), которую получаете от провайдера
(Вы сказали что получаете по РРРоЕ, но какую? Белую/Серую, из какова диапазона?)
Мне очень смущает "длинная" сетка в ОФИСе (маска аж 22).
Не могло произойти, что у Вас нахлёст с адресацией сетью провайдера?
4) Между филиалами (внутри) что настроено - маршрутизация или НАТ?
5) Банально, но: проверьте маски на всех роутерах, а также как задали адресацию, вдруг где ошибка.
5.1) Таблицу маршрутизации также, все направления верны и доступны?


2.1) случайно обобщённым правилом NAT не заНАТили свои сети при выходе с роутера(ов)? - можете по подробнее ?

PPPoE отдает белый адрес 188.187.63.63 и шлюз 10.83.255.126 в эту сеть все маршрутизируется без проблем
До соседнего роутера Tracing route to 10.47.1.99 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 27 ms 29 ms 34 ms 10.47.1.99
а до узла
Tracing route to 10.47.1.201 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 * * * Request timed out.
3 *

С другой стороны до роутера
Трассировка маршрута к 192.168.1.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 25 ms * 19 ms 192.168.1.1
до узла
Трассировка маршрута к 192.168.1.233 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 * * * Превышен интервал ожидания для запроса.
3 7 ms 22 ms 22 ms 192.168.1.233


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):2.1) случайно обобщённым правилом NAT не заНАТили свои сети при выходе с роутера(ов)? - можете по подробнее ?

Ну если просто добавить НАТ, не описывая ни SRC-IP сети, ни интерфейс - то такой НАТ обобщённый,
и под него срабатывает почти всё, и может происходить так, что Ваши исходящие
запросы уходят в филиал или наоборот из филиала уже от другого адреса (осуществился НАТ и произошла замена SRC-IP).
Поэтому для выхода в интернет в правиле(ах) НАТа задайте жёсткие условия, какие сети через какой интерфейс НАТить.

cobion писал(а):PPPoE отдает белый адрес 188.187.63.63 и шлюз 10.83.255.126 в эту сеть все маршрутизируется без проблем

Ну главное чтобы Ваши сети туда автоматом не попадали....

cobion писал(а):а до узла
Tracing route to 10.47.1.201 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 * * * Request timed out.
3 *

Проверьте 192.168.1.1, что у него и как....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Я могу вам в личку конфиги выслать, может чего увидите ?
Дайте свой имейл, я вам зашлю ...


cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Да и еще хотел дополнить NAT включен на обоих микротах. Что еще обнаружил- да это неправильная маска на самом роутере 10.47.1.99- стояла /24, а надо было 22. Но это увы пока что не помогло ((


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) про НАТ я уже написал что он бывает обобщённый, поэтому после всех уточнений Вам про НАТ
ещё раз спрашиваю - как у Вас НАТ описан, покажите строчку? Расскажите? Может у Вас двойной НАТ?
(примерно так - ip firewall nat export )

2) Маску ошибочную нашли,это хорошо, но надо чтобы маска была корректной и на компьютерах и везде также

3) Конфиги напишите тут, удалив(замазав) в них реальные адреса, логины и пароли. Ну и МАС адреса можете припрятать...
зато тут я в одного могу ошибку сразу и не понять(не увидеть)....а другие коллеги опытные мож сразу и увидят проблему...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Да ладно уж, смотри так:
В проблемной сети 10.47.0.0/22


Код: Выделить всё

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
[admin@MikroTik] > /export hide-sensitive
# mar/20/2017 11:06:02 by RouterOS 6.36.1
# software id = 4YQ2-QNWD
#
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=10.47.1.10-10.47.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2-master name=defconf
/ip address
add address=10.47.1.99/22 comment=defconf interface=ether2-master network=10.47.0.0
add address=85.143.190.70/24 interface=ether1 network=85.143.190.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=10.47.1.201 comment=DC1 mac-address=00:15:5D:01:C8:00
add address=10.47.1.44 comment=Demon mac-address=20:CF:30:C9:D6:35
add address=10.47.1.220 comment=Elevolt-SRV1 mac-address=00:21:5E:C8:60:AE
add address=10.47.1.222 comment=SQL mac-address=00:15:5D:01:C8:01
add address=10.47.1.43 comment=Small mac-address=F4:6D:04:E5:6E:33
add address=10.47.1.202 comment=Term1 mac-address=00:15:5D:01:C8:04
add address=10.47.1.204 comment=it-tools mac-address=00:15:5D:01:C8:08
add address=10.47.1.221 comment=Backup01 mac-address=00:22:68:05:69:8A
add address=10.47.1.200 comment=Srv200 mac-address=34:97:F6:01:5A:9F
/ip dhcp-server network
add address=10.47.0.0/22 comment=defconf gateway=10.47.1.99 netmask=22
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip dns static
add address=10.47.1.99 name=router
add address=8.8.8.8 disabled=yes
add address=8.8.4.4 disabled=yes
add address=10.47.1.204 name=It-Tools
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input in-interface=ether1 log=yes protocol=ipsec-ah
add action=accept chain=input in-interface=ether1 log=yes protocol=ipsec-esp
add action=accept chain=input in-interface=ether1 log=yes port=500 protocol=udp
add action=accept chain=input in-interface=ether1 log=yes port=1701 protocol=udp
add action=accept chain=input in-interface=ether1 log=yes port=4500 protocol=udp
add action=accept chain=forward comment=SRV200 dst-address=10.47.1.200 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=DC1 dst-address=10.47.1.201 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=Term1 dst-address=10.47.1.202 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=SQL dst-address=10.47.1.222 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=UbunruSrv203 dst-address=10.47.1.203 dst-port=22 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=Demon dst-address=10.47.1.44 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=Small dst-address=10.47.1.43 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment="SRV IpKVM" disabled=yes dst-address=192.168.1.240 dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=Zabbix dst-address=10.47.1.210 dst-port=10051 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=Elevolt-Srv1 dst-address=10.47.1.220 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=forward comment=It-Tools dst-address=10.47.1.204 dst-port=3389 in-interface=ether1 protocol=tcp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall nat
add action=accept chain=srcnat comment="VPN Site-to-Site" dst-address=192.168.1.0/24 log=yes src-address=10.47.0.0/22
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=dst-nat chain=dstnat comment=SRV200 dst-address=85.143.190.70 dst-port=443 in-interface=ether1 protocol=tcp to-addresses=10.47.1.200 to-ports=3389
add action=dst-nat chain=dstnat comment=DC1 dst-address=85.143.190.70 dst-port=45201 in-interface=ether1 protocol=tcp to-addresses=10.47.1.201 to-ports=3389
add action=dst-nat chain=dstnat comment=Term1 dst-address=85.143.190.70 dst-port=45202 in-interface=ether1 protocol=tcp to-addresses=10.47.1.202 to-ports=3389
add action=dst-nat chain=dstnat comment=SQL dst-address=85.143.190.70 dst-port=45222 in-interface=ether1 protocol=tcp to-addresses=10.47.1.222 to-ports=3389
add action=dst-nat chain=dstnat comment=UbuntuSrv203 dst-address=85.143.190.70 dst-port=22 in-interface=ether1 protocol=tcp to-addresses=10.47.1.203 to-ports=22
add action=dst-nat chain=dstnat comment=Demon dst-address=85.143.190.70 dst-port=45044 in-interface=ether1 protocol=tcp to-addresses=10.47.1.44 to-ports=3389
add action=dst-nat chain=dstnat comment=Small dst-address=85.143.190.70 dst-port=45043 in-interface=ether1 protocol=tcp to-addresses=10.47.1.43 to-ports=3389
add action=dst-nat chain=dstnat comment="SRV IPKVM" disabled=yes dst-address=85.143.190.70 dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.1.240 to-ports=80
add action=dst-nat chain=dstnat comment=Zabbix dst-address=85.143.190.70 dst-port=33333 in-interface=ether1 protocol=tcp to-addresses=10.47.1.210 to-ports=10051
add action=dst-nat chain=dstnat comment=Elevolt-Srv1 dst-address=85.143.190.70 dst-port=45220 in-interface=ether1 protocol=tcp to-addresses=192.168.1.220 to-ports=3389
add action=dst-nat chain=dstnat comment=SRV200 dst-address=85.143.190.70 dst-port=47208 in-interface=ether1 protocol=tcp to-addresses=10.47.1.208 to-ports=3389
add action=dst-nat chain=dstnat comment=It-Tools dst-address=85.143.190.70 dst-port=45204 in-interface=ether1 protocol=tcp to-addresses=10.47.1.204 to-ports=3389
/ip ipsec peer
add address=188.187.63.63/32 local-address=0.0.0.0 nat-traversal=no
/ip ipsec policy
add dst-address=192.168.1.0/24 ipsec-protocols=ah-esp sa-dst-address=188.187.63.63 sa-src-address=85.143.190.70 src-address=10.47.0.0/22 tunnel=yes
/ip route
add check-gateway=ping distance=1 gateway=85.143.190.1
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=ipsec
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
[admin@MikroTik] >




В сети 192.168.1.0/24

Код: Выделить всё

  MikroTik RouterOS 6.36.1 (c) 1999-2016       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
[admin@MikroTik] > /export hide-sensitive
# mar/20/2017 11:02:54 by RouterOS 6.36.1
# software id = P3Q6-1QYQ
#
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 use-peer-dns=yes user=v43386994
/ip neighbor discovery
set ether1 discover=no
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=vpn
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1,md5 enc-algorithms=aes-256-cbc,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether2-master name=defconf
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
add address=192.168.1.233 name=sql.lan
/ip firewall filter
add action=accept chain=input in-interface=pppoe-out1 log=yes protocol=icmp
add action=accept chain=input in-interface=pppoe-out1 log=yes protocol=ipsec-ah
add action=accept chain=input in-interface=pppoe-out1 log=yes protocol=ipsec-esp
add action=accept chain=input in-interface=pppoe-out1 log=yes port=500 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 log=yes port=1701 protocol=udp
add action=accept chain=input in-interface=pppoe-out1 log=yes port=4500 protocol=udp
add action=accept chain=input connection-state=established,related log=yes
add action=accept chain=forward comment=SRV0 dst-address=192.168.1.103 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=Jabber dst-address=192.168.1.102 dst-port=5222 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=proxmox dst-address=192.168.1.100 dst-port=8006 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=FTP dst-address=192.168.1.103 dst-port=20-21 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=Jabber7777 dst-address=192.168.1.103 dst-port=7777 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.109 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.111 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.112 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.113 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.114 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.115 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.116 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.117 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.118 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.119 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.120 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.121 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.122 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.123 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.124 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.125 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=ZABBIX_SQL dst-address=192.168.1.233 dst-port=10050 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=NOD dst-address=192.168.1.103 dst-port=2221 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=prox_mox_ssh dst-address=192.168.1.100 dst-port=22 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=RDP dst-address=192.168.1.233 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input connection-state=established log=yes
add action=accept chain=forward comment=RDP dst-address=192.168.1.222 dst-port=3389 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat
add action=accept chain=srcnat dst-address=10.47.0.0/22 log=yes out-interface=pppoe-out1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat log=yes out-interface=pppoe-out1
add action=dst-nat chain=dstnat comment=Jabber dst-address=188.187.63.63 dst-port=5222 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.102 to-ports=5222
add action=dst-nat chain=dstnat comment=proxmox_http_45806 dst-address=188.187.63.63 dst-port=45806 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.100 to-ports=8006
add action=dst-nat chain=dstnat comment=ftp dst-address=188.187.63.63 dst-port=20-21 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.103 to-ports=20-21
add action=dst-nat chain=dstnat comment="jabber 7777" dst-address=188.187.63.63 dst-port=7777 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.102 to-ports=7777
add action=dst-nat chain=dstnat comment=router_http_45080 dst-address=188.187.63.63 dst-port=45080 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.1 to-ports=80
add action=dst-nat chain=dstnat comment=rdp45002 dst-address=188.187.63.63 dst-port=45002 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.109 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45111 dst-address=188.187.63.63 dst-port=45111 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.111 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45112 dst-address=188.187.63.63 dst-port=45112 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.112 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45113 dst-address=188.187.63.63 dst-port=45113 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.113 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45114 dst-address=188.187.63.63 dst-port=45114 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.114 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45115 dst-address=188.187.63.63 dst-port=45115 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.115 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45116 dst-address=188.187.63.63 dst-port=45116 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.116 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45117 dst-address=188.187.63.63 dst-port=45117 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.117 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45118 dst-address=188.187.63.63 dst-port=45118 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.118 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45119 dst-address=188.187.63.63 dst-port=45119 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.119 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45120 dst-address=188.187.63.63 dst-port=45120 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.120 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45121 dst-address=188.187.63.63 dst-port=45121 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.121 to-ports=3389
add action=dst-nat chain=dstnat comment=router_ssh dst-address=188.187.63.63 dst-port=45022 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.1 to-ports=22
add action=dst-nat chain=dstnat comment=sql_ip_233 dst-address=188.187.63.63 dst-port=45233 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=3389
add action=dst-nat chain=dstnat comment=sql_ip_222 dst-address=188.187.63.63 dst-port=45222 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.222 to-ports=3389
add action=dst-nat chain=dstnat comment=srv0 dst-address=188.187.63.63 dst-port=443 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.103 to-ports=3389
add action=dst-nat chain=dstnat comment=proxmox_ssh_45023 dst-address=188.187.63.63 dst-port=45023 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.100 to-ports=22
add action=dst-nat chain=dstnat comment=rdp45122 dst-address=188.187.63.63 dst-port=45122 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.122 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45123 dst-address=188.187.63.63 dst-port=45123 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.123 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45124 dst-address=188.187.63.63 dst-port=45124 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.124 to-ports=3389
add action=dst-nat chain=dstnat comment=rdp45125 dst-address=188.187.63.63 dst-port=45125 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.125 to-ports=3389
add action=dst-nat chain=dstnat comment=nod42221 dst-address=188.187.63.63 dst-port=42221 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.103 to-ports=2221
add action=dst-nat chain=dstnat comment=zabbix_sql dst-address=188.187.63.63 dst-port=30001 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.233 to-ports=10050
add action=dst-nat chain=dstnat comment=rdp_srv0 dst-address=188.187.63.63 dst-port=47208 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.103 to-ports=3389
/ip ipsec peer
add address=85.143.190.70/32 dpd-interval=1m enc-algorithm=aes-256,aes-128,3des local-address=0.0.0.0 nat-traversal=no policy-template-group=vpn
/ip ipsec policy
set 0 disabled=yes dst-address=10.47.1.0/24 group=vpn src-address=192.168.1.0/24
add dst-address=10.47.0.0/22 ipsec-protocols=ah-esp sa-dst-address=85.143.190.70 sa-src-address=188.187.63.63 src-address=192.168.1.0/24 tunnel=yes
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1
/system clock
set time-zone-name=Europe/Moscow
/system logging
add topics=ipsec
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
[admin@MikroTik] >


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Бардак....ужас... (простите)
1) почему в сфере последних событий, когда вроде бы якобы найдена уязвимость, у Вас роутеры не обновлены на последнюю прошивку!?

2) объясните сакральность данных строк
/ip route
add check-gateway=ping distance=1 dst-address=192.168.1.0/24 gateway=ether1
/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=pppoe-out1
ЗАЧЕМ мы серые сети заворачиваем в интерфейс провайдера ???????????

3) а вот и обобщённый НАТ
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
(ну разве нельзя сказать в правиле ....что если идёт запрос со своей сети, то его натить)...
на втором роутере также
add action=masquerade chain=srcnat log=yes out-interface=pppoe-out1

4) когда я вижу слово "devconf" - меня трясёт....

5) экспорт делается так (в консоле expotf file=CFG1)
и данный файл уже будет на диске....

6) и очищать роутер и приводить к чистоте....

Это то что я нашел по-быстрому....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Пользователю вынесено предупреждение за оверквотинг. podarok66
Что еще надо очищать подскажите ? И где проблемы ?


Ответить