Доброго времени суток.
Уважаемые форумчане. Помогите сделать VPN подключение к серверу 1C для его обслуживания удалённо. В замен RDP. Подключение сервера к Internet через PPoE (Ростелеком), статический белый IP. Подключаться будут двое с динамических IP. Раньше было подключение через RDP. Взломали. Чуть восстановил из копий. Теперь страшно. Много статей прочитал, но не получается сделать. Я подключение по VPN ни разу не делал. Да и Mikrotik только, только начал осваивать. Какие данные нужны пишите. Спасибо за любой ответ.
VPN для доступа к серверу.
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
https://lantorg.com/article/nastrojka-v ... tp-i-pppoe
https://bozza.ru/art-188.html
и еще несколько сотен ссылок в google...
https://www.google.ru/search?q=%D0%BD%D ... 80&bih=669
https://bozza.ru/art-188.html
и еще несколько сотен ссылок в google...
https://www.google.ru/search?q=%D0%BD%D ... 80&bih=669
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
gmx писал(а):https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-pptp-i-pppoe
https://bozza.ru/art-188.html
и еще несколько сотен ссылок в google...
https://www.google.ru/search?q=%D0%BD%D ... 80&bih=669
Спасибо за ответ. Пойду разбираться.
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
gmx писал(а):https://lantorg.com/article/nastrojka-vpn-cherez-mikrotik-pptp-i-pppoe
https://bozza.ru/art-188.html
и еще несколько сотен ссылок в google...
https://www.google.ru/search?q=%D0%BD%D ... 80&bih=669
Пробовал сегодня целый день. Знаний явно не хватает. Может поможете "на пальцах" применительно к моему случаю? Для чайника.
-
- Модератор
- Сообщения: 3323
- Зарегистрирован: 01 окт 2012, 14:48
Давайте больше конкретики. Что не получается?
Давайте конфиг микротика.
Расписывайте подробно, что уже сделали и что именно не получается?
Давайте конфиг микротика.
Расписывайте подробно, что уже сделали и что именно не получается?
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
Я уже минимум 5 раз всё "настраивал". Сейчас всё верну, как было и настрою снова(не рассчитывал на столь быстрый ответ).
Настраивал l2tp/IPSec, как описано в этой статье:
http://bozza.ru/art-248.html
Хотя думаю IPsec это лишнее. Или вообще остановиться на VPN pptp? Как тут:
https://bozza.ru/art-188.html
Настраивал l2tp/IPSec, как описано в этой статье:
http://bozza.ru/art-248.html
Хотя думаю IPsec это лишнее. Или вообще остановиться на VPN pptp? Как тут:
https://bozza.ru/art-188.html
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
При вот такой настройке выдаётся сообщение:
Удалённое подключение не удалось из-за сбоя использования VPN-туннелей. Возможно VPN сервер недоступен. Если это подключение пытается испльзовать L2TP- или IPsec-туннель, параметры безопасности, необходимые для согласования IPsec, могут быть настроены не верно.
Конфигурация:
Удалённое подключение не удалось из-за сбоя использования VPN-туннелей. Возможно VPN сервер недоступен. Если это подключение пытается испльзовать L2TP- или IPsec-туннель, параметры безопасности, необходимые для согласования IPsec, могут быть настроены не верно.
Конфигурация:
Код: Выделить всё
# dec/23/2017 18:18:42 by RouterOS 6.40.5
# software id = T3C1-24TA
#
# model = RouterBOARD 750G r3
# serial number = 6F3807D04E**
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=*** service-name=Internet use-peer-dns=yes user=***
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=Policy
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.254
add name=vpn_pool ranges=192.168.10.1-192.168.10.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
ether2-master name=defconf
/ppp profile
add local-address=vpn_pool name=L2TP_profile remote-address=vpn_pool
/queue type
add kind=pfifo name=MikroBILL_PFIFO pfifo-limit=500
add kind=sfq name=MikroBILL_SFQ
add kind=pcq name=MikroBILL_PCQ_DOWN pcq-classifier=dst-address \
pcq-total-limit=500KiB
add kind=pcq name=MikroBILL_PCQ_UP pcq-classifier=src-address \
pcq-total-limit=500KiB
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=tumba-yumba-setebryaki
/interface pptp-server server
set authentication=pap,chap enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=\
192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:c8:3a:35:15:31:e0 comment="TENDA N3" \
mac-address=C8:3A:35:15:31:E0 server=defconf
add address=192.168.1.10 always-broadcast=yes client-id=1:14:da:e9:c:58:4c \
mac-address=14:DA:E9:0C:58:4C server=defconf
add address=192.168.1.55 always-broadcast=yes mac-address=74:D4:35:1A:56:15 \
server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
add address=192.168.1.1 name=time.windows.com
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=192.168.1.25 comment="\DF\F0\EE\F1\EB\E0\E2\F6\E5\E2\E0" list=\
OPEN
add address=192.168.1.21 comment="\CC\E8\F5\E0\E8\EB" list=OPEN
add address=192.168.1.17 comment="\D2\F0\E5\EC\E0\F1\EE\E2" list=OPEN
add address=192.168.1.38 comment="\D1\EB\E5\F1\E0\F0\EA\E0" list=OPEN
add address=192.168.1.10 comment="\DF" list=OPEN
add address=192.168.1.5 list=OPEN
add address=192.168.1.4 disabled=yes list=OPEN
add address=192.168.1.3 disabled=yes list=OPEN
add address=192.168.1.2 disabled=yes list=OPEN
add address=192.168.1.6 list=STOP
add address=192.168.1.100 list=RDP
/ip firewall filter
add action=drop chain=forward comment="x.STOP Internet" disabled=yes \
src-address-list=STOP
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=">\DF" disabled=yes src-address=\
192.168.1.10
add action=accept chain=forward comment=">OPEN List" src-address-list=OPEN
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=accept chain=input protocol=icmp
add action=accept chain=input comment="VPN test" port=1701,500,4500 protocol=\
udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow IPsec NAT" disabled=yes \
dst-port=4500 protocol=udp
add action=drop chain=input in-interface=pppoe-out1
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
protocol=tcp
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment=BOGON-drop in-interface=ether1 \
src-address-list=BOGON
add action=add-dst-to-address-list address-list=connection-limit \
address-list-timeout=1d chain=input comment=\
"Llimit 200 soedinenii` s odnogo IP i blokom na sutki" connection-limit=\
200,32 in-interface=ether1 protocol=tcp
add action=drop chain=input comment=\
"Port_scanner_drop-zashchitu ot skanerov portov na WAN-interfei`se" \
src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp psd=\
21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
# inactive time
add action=drop chain=forward comment=OK.ru dst-address=5.61.23.11 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=217.20.147.1 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=217.20.155.13 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=FACEBOOK.com dst-address=\
157.240.20.0/24 time=7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=185.60.216.35 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=VK.com dst-address=87.240.129.71 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.129.72 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.165.80 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.182.224 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=95.213.11.181 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=TWITTER.com dst-address=104.244.42.0/24 \
time=7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment="m.YOUTUBE.com + www.YOUTUBE.com" \
dst-address=46.61.170.0/24 time=7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=52.221.153.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=64.233.165.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=64.233.162.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=74.125.205.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=74.125.232.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=108.177.14.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=173.194.222.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=209.85.233.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=213.59.237.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
add action=drop chain=input comment=\
"Block hole Windows-blokirovka vzloma Windows" dst-port=\
135,137-139,445,593,4444 protocol=tcp
add action=drop chain=forward dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=input dst-port=135,137-139 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=pppoe-out1
add action=redirect chain=dstnat comment="Blocking DNS port 53 TCP" dst-port=\
53 protocol=tcp
add action=redirect chain=dstnat comment="Blocking DNS port 53 UDP" dst-port=\
53 protocol=udp
add action=netmap chain=dstnat comment=VIDEO-1:81 dst-port=81 protocol=tcp \
to-addresses=192.168.1.201 to-ports=81
add action=netmap chain=dstnat dst-port=34581 protocol=tcp to-addresses=\
192.168.1.201 to-ports=34581
add action=netmap chain=dstnat dst-port=34581 protocol=udp to-addresses=\
192.168.1.201 to-ports=34581
add action=netmap chain=dstnat comment=VIDEO-2:82 dst-port=82 protocol=tcp \
to-addresses=192.168.1.202 to-ports=82
add action=netmap chain=dstnat dst-port=34582 protocol=tcp to-addresses=\
192.168.1.202 to-ports=34582
add action=netmap chain=dstnat dst-port=34582 protocol=udp to-addresses=\
192.168.1.202 to-ports=34582
add action=netmap chain=dstnat comment="DMZ 192.168.1.55" in-interface=\
pppoe-out1 to-addresses=192.168.1.55
/ip proxy
set enabled=yes
/ip proxy access
add action=deny
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24 port=88
set ssh address=192.168.1.0/24
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=*2
/ppp secret
add name=user1 password=*** profile=L2TP_profile service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.228
/system ntp server
set broadcast=yes enabled=yes
/system routerboard mode-button
set enabled=no on-event=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
- DrMini
- Сообщения: 24
- Зарегистрирован: 19 ноя 2017, 21:40
Сегодня добавил IPsec. Та же самая ошибка.
Удалённое подключение не удалось из-за сбоя использования VPN-туннелей. Возможно VPN сервер недоступен. Если это подключение пытается испльзовать L2TP- или IPsec-туннель, параметры безопасности, необходимые для согласования IPsec, могут быть настроены не верно.
Удалённое подключение не удалось из-за сбоя использования VPN-туннелей. Возможно VPN сервер недоступен. Если это подключение пытается испльзовать L2TP- или IPsec-туннель, параметры безопасности, необходимые для согласования IPsec, могут быть настроены не верно.
Код: Выделить всё
# dec/24/2017 07:12:17 by RouterOS 6.40.5
# software id = T3C1-24TA
#
# model = RouterBOARD 750G r3
# serial number = 6F3807D04E**
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
password=*** service-name=Internet use-peer-dns=yes user=***
/ip neighbor discovery
set ether1 discover=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec policy group
add name=Policy
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-256-ctr,3des
/ip pool
add name=dhcp ranges=192.168.1.2-192.168.1.254
add name=vpn_pool ranges=192.168.10.1-192.168.10.10
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
ether2-master name=defconf
/ppp profile
add change-tcp-mss=yes local-address=vpn_pool name=L2TP_profile \
remote-address=vpn_pool
/queue type
add kind=pfifo name=MikroBILL_PFIFO pfifo-limit=500
add kind=sfq name=MikroBILL_SFQ
add kind=pcq name=MikroBILL_PCQ_DOWN pcq-classifier=dst-address \
pcq-total-limit=500KiB
add kind=pcq name=MikroBILL_PCQ_UP pcq-classifier=src-address \
pcq-total-limit=500KiB
/interface l2tp-server server
set authentication=mschap2 enabled=yes ipsec-secret=proverka use-ipsec=yes
/interface pptp-server server
set authentication=pap,chap enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether2-master network=\
192.168.1.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server lease
add address=192.168.1.2 client-id=1:c8:3a:35:15:31:e0 comment="TENDA N3" \
mac-address=C8:3A:35:15:31:E0 server=defconf
add address=192.168.1.10 always-broadcast=yes client-id=1:14:da:e9:c:58:4c \
mac-address=14:DA:E9:0C:58:4C server=defconf
add address=192.168.1.55 always-broadcast=yes mac-address=74:D4:35:1A:56:15 \
server=defconf
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.1 gateway=\
192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.1.1 name=router
add address=192.168.1.1 name=time.windows.com
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=192.168.1.25 comment="\DF\F0\EE\F1\EB\E0\E2\F6\E5\E2\E0" list=\
OPEN
add address=192.168.1.21 comment="\CC\E8\F5\E0\E8\EB" list=OPEN
add address=192.168.1.17 comment="\D2\F0\E5\EC\E0\F1\EE\E2" list=OPEN
add address=192.168.1.38 comment="\D1\EB\E5\F1\E0\F0\EA\E0" list=OPEN
add address=192.168.1.10 comment="\DF" list=OPEN
add address=192.168.1.5 list=OPEN
add address=192.168.1.4 disabled=yes list=OPEN
add address=192.168.1.3 disabled=yes list=OPEN
add address=192.168.1.2 disabled=yes list=OPEN
add address=192.168.1.6 list=STOP
add address=192.168.1.100 list=RDP
/ip firewall filter
add action=drop chain=forward comment="x.STOP Internet" disabled=yes \
src-address-list=STOP
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related
add action=accept chain=forward comment=">\DF" disabled=yes src-address=\
192.168.1.10
add action=accept chain=forward comment=">OPEN List" src-address-list=OPEN
add action=accept chain=input connection-state=related
add action=accept chain=input connection-state=established
add action=accept chain=input protocol=icmp
add action=accept chain=input comment="VPN test" port=1701,500,4500 protocol=\
udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow IPsec NAT" disabled=yes \
dst-port=4500 protocol=udp
add action=accept chain=forward comment="allow vpn to lan" in-interface=\
!ether1 out-interface=ether2-master src-address=192.168.10.0/24
add action=accept chain=input port=1701,500,4500 protocol=udp
add action=drop chain=input in-interface=pppoe-out1
add action=accept chain=input comment="allow sstp" disabled=yes dst-port=443 \
protocol=tcp
add action=accept chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=input comment=BOGON-drop in-interface=ether1 \
src-address-list=BOGON
add action=add-dst-to-address-list address-list=connection-limit \
address-list-timeout=1d chain=input comment=\
"Llimit 200 soedinenii` s odnogo IP i blokom na sutki" connection-limit=\
200,32 in-interface=ether1 protocol=tcp
add action=drop chain=input comment=\
"Port_scanner_drop-zashchitu ot skanerov portov na WAN-interfei`se" \
src-address-list="port scanners"
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp psd=\
21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
address-list-timeout=2w chain=input in-interface=ether1 protocol=tcp \
tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1
add action=drop chain=forward comment="defconf: drop invalid" \
connection-state=invalid
# inactive time
add action=drop chain=forward comment=OK.ru dst-address=5.61.23.11 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=217.20.147.1 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=217.20.155.13 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=FACEBOOK.com dst-address=\
157.240.20.0/24 time=7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=185.60.216.35 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=VK.com dst-address=87.240.129.71 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.129.72 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.165.80 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=87.240.182.224 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=95.213.11.181 time=\
7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment=TWITTER.com dst-address=104.244.42.0/24 \
time=7h1s-16h59m59s,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward comment="m.YOUTUBE.com + www.YOUTUBE.com" \
dst-address=46.61.170.0/24 time=7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=52.221.153.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=64.233.165.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=64.233.162.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=74.125.205.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=74.125.232.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=108.177.14.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=173.194.222.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=209.85.233.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
# inactive time
add action=drop chain=forward dst-address=213.59.237.0/24 time=\
7h-17h,mon,tue,wed,thu,fri
add action=drop chain=input comment=\
"Block hole Windows-blokirovka vzloma Windows" dst-port=\
135,137-139,445,593,4444 protocol=tcp
add action=drop chain=forward dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=input dst-port=135,137-139 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
out-interface=pppoe-out1
add action=redirect chain=dstnat comment="Blocking DNS port 53 TCP" dst-port=\
53 protocol=tcp
add action=redirect chain=dstnat comment="Blocking DNS port 53 UDP" dst-port=\
53 protocol=udp
add action=netmap chain=dstnat comment=VIDEO-1:81 dst-port=81 protocol=tcp \
to-addresses=192.168.1.201 to-ports=81
add action=netmap chain=dstnat dst-port=34581 protocol=tcp to-addresses=\
192.168.1.201 to-ports=34581
add action=netmap chain=dstnat dst-port=34581 protocol=udp to-addresses=\
192.168.1.201 to-ports=34581
add action=netmap chain=dstnat comment=VIDEO-2:82 dst-port=82 protocol=tcp \
to-addresses=192.168.1.202 to-ports=82
add action=netmap chain=dstnat dst-port=34582 protocol=tcp to-addresses=\
192.168.1.202 to-ports=34582
add action=netmap chain=dstnat dst-port=34582 protocol=udp to-addresses=\
192.168.1.202 to-ports=34582
add action=netmap chain=srcnat comment="NAT loopback" disabled=yes dst-port=\
0-65535 protocol=tcp src-address=192.168.1.0/24 to-addresses=\
89.151.129.84 to-ports=0-65535
add action=netmap chain=dstnat comment=RDP disabled=yes dst-port=54321 \
protocol=tcp to-addresses=192.168.1.100 to-ports=3389
add action=netmap chain=dstnat comment="DMZ 192.168.1.55" in-interface=\
pppoe-out1 to-addresses=192.168.1.55
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 enc-algorithm=aes-256,aes-128,3des \
exchange-mode=main-l2tp generate-policy=port-override passive=yes secret=\
proverka
/ip proxy
set enabled=yes
/ip proxy access
add action=deny
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24 port=88
set ssh address=192.168.1.0/24
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=*2
/ppp secret
add name=user1 password=*** profile=L2TP_profile service=l2tp
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=88.147.254.235 secondary-ntp=88.147.254.228
/system ntp server
set broadcast=yes enabled=yes
/system routerboard mode-button
set enabled=no on-event=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master
-
- Сообщения: 4
- Зарегистрирован: 05 ноя 2016, 22:00
приветствую.
настраиваю очередной впн.
все по картинках ,все настроил,отдал для удаленого офиса.
пытаюсь подключиться - ошибка 789. проверяю ,что и как не доделал - все на месте.
решил попробовать pptp - все сделал по инструкциям - ошибка 800,позже 807
микротик стоит в Тульской области, пытаюсь подключиться из Москвы.
может ли быть в этом причина - расстояние? (из за границы не мог подключиться к работающему впн)
благодарю.
настраиваю очередной впн.
все по картинках ,все настроил,отдал для удаленого офиса.
пытаюсь подключиться - ошибка 789. проверяю ,что и как не доделал - все на месте.
решил попробовать pptp - все сделал по инструкциям - ошибка 800,позже 807
микротик стоит в Тульской области, пытаюсь подключиться из Москвы.
может ли быть в этом причина - расстояние? (из за границы не мог подключиться к работающему впн)
благодарю.
-
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
В Тульской области Ростелеком оператор? Или Теле-2?
Если у них не купить real_ip, то доступа к впн по имени в ddns нет.
Если у них не купить real_ip, то доступа к впн по имени в ddns нет.