Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

Можно ли так настроить маршрутизатор?

https://forummikrotik.ru/viewtopic.php?t=5914

Страница 1 из 1

Можно ли так настроить маршрутизатор?

Добавлено: 22 окт 2014, 12:31
nub
Доброго времени суток!

Имеется RouterBOARD 2011UiAS-2HnD-IN. Хочется его настроить для работы с 5 компьютерами в локальной сети (в т.ч. и сервера терминала) и двумя интернетами: проводного со статическим IP и беспроводным Yota. Также к этой сети хочется подключаться извне по vpn, чтобы иметь возможность подключиться к серверу терминалов.
Причём, весь интернет-трафик локальной сети нужно пустить через Yota, если вдруг интернет от Yota пропадает (флешка отключилась, деньги закончились, скорость упала почти до нуля), то нужно пустить трафик через проводной интернет. Но как только интернет от Yota появится -- переключиться снова на него.
Удалённое подключение к сети нужно реализовать только через проводной интернет, у которого есть статический IP адрес.

Первым дело прошивка микротика была обновлена на последнюю версию 6.20.
Далее, была попытка дать возможность подключаться к локальной сети извне без участия Yota.


Локальная сеть-- это 192.168.1.0, ip-адрес микротика 192.168.1.88
192.168.1.111 -- адрес терминального сервера

В микроте был задан пул для vpn-адресов 192.168.89.2-192.168.89.8
Далее был создан pptp-профиль vpn с Local Address 192.168.89.1 и Remote Address - пул vpn-адресов
Use Encryption - yes
Далее был включен PPTP_Server с Authentication mschap2

и создан vpn-пользователь, где были указаны логин-пароль + профиль vpn + Service pptp

Далее, было создано правило для firewall, которое позволяла бы удалённо подключаться по vpn к сети.
chain=input action=accept protocol=tcp in-interface=ether1-gateway dst-port=1723 log=no log-prefix=""

В итоге удалённый клиент создаёт vpn-подключение по статическому IP-адресу, получает ip-адрес клиента 192.168.89.7 и может заходить через веб-морду на микротик по адресам 192.168.89.1 или 192.168.1.88 (кстати, почему по два может заходить?) и подключаться по rdp к серверу терминалов по адресу 192.168.1.111

Всё здорово, но весь интернет трафик клиентской машины идёт через vpn-соединение, что не устраивает, т.к. проводной интернет лимитирован по трафики. Как в микроте указать, чтобы весь трафик, кроме сети 192.168.1.0 не шёл через vpn-соединение.

На клиенте vpn в свойствах подключения, на закладке сеть, в свойствах компоненты протокола TCP/IPv4, в дополнительных параметрах TCP/IP нашёл установленную галку "Использовать основной шлюз удалённой сети".
Если эту галку снять и переподключить соединение, то весь трафик идёт через интернет клиента, но тогда веб-морда микротика по адресу 192.168.1.88 станет не доступна (хотя по 192.168.89.1 доступна) и не будет возможности подключиться к серверу терминалов.
Помогает только, если на клиенте добавить маршрут
route add 192.168.1.0 mast 255.255.255.0 192.168.89.7

и тогда сервер терминалов станет доступным и на микротик можно будет заходить по http://192.168.1.88

Как реализовать, что на клиенте никаких маршрутов не писать и весь инет-трафик не шёл через vpn-соедиенение?

Re: Можно ли так настроить маршрутизатор?

Добавлено: 22 окт 2014, 13:24
nub
теперь про Yota


как только вставляю модем в микротик, инет локальной сети теперь идёт через него
но вот доступ через vpn пропадает. Почему и как исправить ?

Re: Можно ли так настроить маршрутизатор?

Добавлено: 22 окт 2014, 13:46
Vladimir22
nub писал(а):теперь про Yota
но вот доступ через vpn пропадает. Почему и как исправить ?

пакету надо знать не только как достичь назначение но и как вернутся .... а вернутся он пытается по дефолтному маршруту , догадайтесь какой он в вашем случае :-) с ЁТОЙ

Re: Можно ли так настроить маршрутизатор?

Добавлено: 22 окт 2014, 14:18
nub
как ему указать, что по какому пришёл маршруту -- по такому и надо уходить?

Re: Можно ли так настроить маршрутизатор?

Добавлено: 09 ноя 2014, 20:32
vviz
Актуально еще?

Re: Можно ли так настроить маршрутизатор?

Добавлено: 18 дек 2014, 00:02
nub
ДА, актуально

Re: Можно ли так настроить маршрутизатор?

Добавлено: 18 дек 2014, 00:06
nub
Научился настраивать переключение канала, но вот после использования mangle теперь нельзя по проводному интернету подключить по vpn к сети
в журнале подключений виден внешний IP, который пытается подключиться к микротику оп впн, но в итоге у клиента впн появляется ошибка 507

Re: Можно ли так настроить маршрутизатор?

Добавлено: 18 дек 2014, 20:48
podarok66
Ну а Вы трафик туннеля метите? И именно в проводной направляете? Как бы без экспорта Вам никто ни в чем не признается :-)

Re: Можно ли так настроить маршрутизатор?

Добавлено: 24 дек 2014, 13:01
nub
вот конфигурация:

Код: Выделить всё

# dec/24/2014 12:53:04 by RouterOS 6.20
# software id = FR42-E3B2
#
/interface lte
set [ find ] mac-address=FC:EF:FE:EF:BF:FD name=lte1
/interface bridge
add admin-mac=4C:5E:0C:44:0A:FA auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=\
    ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=\
    ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=\
    ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=\
    ether10-slave-local
set [ find default-name=sfp1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=\
    20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge \
    ssid=MikroTik-440B03
/ip neighbor discovery
set ether1-gateway discover=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk group-ciphers=tkip \
    mode=dynamic-keys unicast-ciphers=tkip wpa-pre-shared-key=__trade123 \
    wpa2-pre-shared-key=__trade123
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn ranges=192.168.89.2-192.168.89.20
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge-local name=default
/port
set 0 name=serial0
/ppp profile
add local-address=192.168.89.1 name=vpn remote-address=vpn use-encryption=yes
/system logging action
set 2 remember=yes
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
add bridge=bridge-local interface=sfp1
add bridge=bridge-local interface=wlan1
/interface pptp-server server
set authentication=mschap2 default-profile=vpn enabled=yes
/ip address
add address=192.168.88.1/24 comment=LAN interface=ether2 network=192.168.88.0
add address=ХХХ.ХХХ.82.42/24 comment=link interface=ether1-gateway network=\
    ХХХ.ХХХ.82.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=lte1
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
    192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=ХХХ.ХХХ.82.2,ХХХ.ХХХ.65.2
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related \
    disabled=yes
add chain=input dst-port=1723 in-interface=ether1-gateway protocol=tcp
add action=drop chain=input comment="default configuration" in-interface=\
    ether1-gateway
add action=drop chain=input in-interface=lte1
add action=drop chain=forward comment="default configuration" out-interface=\
    lte1 src-address=192.168.88.253
add chain=forward comment="default configuration" connection-state=\
    established
add chain=forward comment="default configuration" connection-state=related
/ip firewall mangle
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=\
    "ISP 1 -> Input" passthrough=no
add action=mark-routing chain=output connection-mark="ISP 1 -> Input" \
    new-routing-mark="ISP 1" passthrough=no
add action=mark-connection chain=input dst-address=ХХХ.ХХХ.82.42 in-interface=\
    ether1-gateway new-connection-mark="ISP 2 -> Input" passthrough=no
add action=mark-routing chain=output connection-mark="ISP 2 -> Input" \
    new-routing-mark="ISP 2" passthrough=no
add chain=prerouting connection-mark="ISP 2 -> Input" disabled=yes dst-port=\
    1723 in-interface=ether1-gateway protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="ISP 1" out-interface=lte1
add action=masquerade chain=srcnat comment="ISP 2" out-interface=\
    ether1-gateway
/ip route
add check-gateway=arp distance=1 gateway=lte1 routing-mark="ISP 1"
add check-gateway=arp distance=1 gateway=ether1-gateway routing-mark="ISP 2"
add distance=1 gateway=ХХХ.ХХХ.82.1
/ip route rule
add action=unreachable dst-address=192.168.89.1/32 interface=ether1-gateway
/ip upnp
set allow-disable-external-interface=no
/ppp secret
add name=adm password=adm123 profile=vpn service=pptp
/snmp
set trap-community=public
#error exporting /system health
#interrupted
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB