Russian Users MikroTik | Форум пользователей MikroTik

Приветствую!

Уcтановил Mikrotik Hex.Подключение к Инету Ростелеком- установил. PPTP Сервер поднял. по форуму нашел как решить вопрос по видимости LAN клиентам PPTP. начал поднимать firewall по рекомендациям. Открыл порт 1723 PPTP - клиенты подключаются, но внутри сеть не видят 192.168.1.0/24
п13.-14 задисаблил. какое правило нужно поставить до них, чтобы пофиксить?

второе - как пустить торренто качалку через firewall?
может какое еще правило поставить?
Заранее благодарен.

1) мало информации (адресация, сети, доступы)
2) подключение по РРТР обязательно делайте в отдельном IP-сегменте сети
3) потом между сегментами (между сетями) делайте маршрутизацию
4) настройка сервера РРТР не сложна, но от вышеназванных моментов очень разница
5) Ваша фраза - "не видят сеть" - а) не видят в сетевом окружении или б) не пингуются узлы?
===> а) сложно добиться, ибо сетевое окружение сделано на протоколе,который не маршрутизируется
===> б) как пинговаться будут - значит и сервер РРТР настроили правильно, при условии что в локальной сети шлюзом
для компьютеров является адрес микротика.
6) файрволл лучше при тестах отключать (на недолгое время), а порты ДНС'а защитить отдельными для них правилами.

Vlad-2 писал(а):1) мало информации (адресация, сети, доступы)
2) подключение по РРТР обязательно делайте в отдельном IP-сегменте сети
3) потом между сегментами (между сетями) делайте маршрутизацию
4) настройка сервера РРТР не сложна, но от вышеназванных моментов очень разница
5) Ваша фраза - "не видят сеть" - а) не видят в сетевом окружении или б) не пингуются узлы?
===> а) сложно добиться, ибо сетевое окружение сделано на протоколе,который не маршрутизируется
===> б) как пинговаться будут - значит и сервер РРТР настроили правильно, при условии что в локальной сети шлюзом
для компьютеров является адрес микротика.
6) файрволл лучше при тестах отключать (на недолгое время), а порты ДНС'а защитить отдельными для них правилами.

1. сеть внешняя Ростелеком - поднят PPOE.получен IP
внутренний LAN -192.168.1.0/24 c DHCP. Все стоит за NAT-маскарад.
Кроме того поднят PPPTP сервер с фиксированным клиентом 192.168.1.230
Тунель поднимается.Только приустановке правил по отклонению всех прочих пакетов- пакеты с клиента на внутр IP тоже дропаются
2)-3)-4) для чего огород с доп сеткой?
5) не видят сеть - нет пинга. сетевое окружение с netbios не нужно
6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?

В любом случаи делаете правила, в правилах ставите "писать в лог", смотрите попадает что-то в логах,
также у правила любого есть счётчик (как пакетов, так и трафика), смотрите и на него.
Ну и ещё раз подчеркну, файрволл дело тонкое, каждый сам его делает как хочет,
я могу лишь кратко поделиться с чего я начинаю:
а) блокирую ИНВАЛИДНЫЕ пакеты
б) по старой привычке и для верности - делаю разрешения для Эстаблиш и Рилейтед пакетов
в) создаю список внешних WAN-интерфейсов (чтобы потом можно его использовать)
г) JUMP правилами делают аналитику по нужным мне портам (в частности тот же Флуд ДНСа и так далее),
и уже после джампа создаю списки и закрываю атакующие адреса.
Параллельно надо в роутере отключить не используемые сервисы (IP-Services) и оставить то что надо.

P.S.
а) советую на роутере для локальной сети и локальной адресации использовать бридж и на бридж
дав адресацию и пересадить DHCP также.
б) почему делают отдельную сеть для РРТР - наверно так удобнее, в какой то степени безопаснее,
можно манипулировать этим(ими) подключениями, зарулить её в отдельный канал/порт, ограничить,
проНАТить или не НАТить, и иные изыскания.
А давая туже адресацию что и в локальной сети,Вы как бы "растягиваете" сеть, а при таком подходе могут быть
разные казусы и мелкие проблемы.

Вот как-то так...

Vlad-2 писал(а):

deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?

Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp

deep писал(а):

Vlad-2 писал(а):

deep писал(а):6) при отключенном фаерволле - все настроено и работает. последние 2 правила дропают пакеты с 230 адреса на все остальные
думаю какое то разрешение одно поставить и все. как его написать

Ну а кто текущий файрвол делал(правила писал)?

Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp

ВСЕ получилось! спасибо за подсказку по логам

поставил accept по интерфейсу ppptp-in на локалку -все заработало.спасибо

deep писал(а):

deep писал(а):

Vlad-2 писал(а):Ну а кто текущий файрвол делал(правила писал)?

Правила писал я. по образцу. именно в таком порядке как вы и говорите.просто дайте мне пожалуйста совет - какое правило написать для того,чтобы был рутинг на ip адреса локалки РАЗРЕШАЮЩЕЕ - еще раз - без правил дроп - все работает нормально.

дефолтный рутинг скорее всего править не нужно, без правил работает все... насчет логов - да. я как раз в эту сторону и пошел.

бридж стоит на портах внутрь сети. там стоит Proxy-arp

ВСЕ получилось! спасибо за подсказку по логам

поставил accept по интерфейсу ppptp-in на локалку -все заработало.спасибо

вот только правило красным подсвечивается когда pptp не поднят.это в порядке вещей? нет такой настройки?

deep писал(а):вот только правило красным подсвечивается когда pptp не поднят.это в порядке вещей? нет такой настройки?

Это норма.
А вообще сами посудите, есть правило, в этом правиле одна переменная это интерфейс,
интерфейс не поднят (не активен), правило не работает....вот и сигнализирует об этом.

Приветствую!

Подскажите следующее. ppp соединение работает , все хорошо. Но в какой то момент после 9-10 соединений ppp клиент заходит, но не видит сеть... странно. где можно покопаться?
после перезагрузки все восстанавливается и работает хорошо. в логах ничего сомнительного

deep писал(а):Приветствую!

Подскажите следующее. ppp соединение работает , все хорошо. Но в какой то момент после 9-10 соединений ppp клиент заходит, но не видит сеть... странно. где можно покопаться?
после перезагрузки все восстанавливается и работает хорошо. в логах ничего сомнительного

спасибо, разобрался... забыл установить keepalive timeout и поэтому сессия прошлого соединения могла висеть... видимо поэтому правило Drop forward начало дропать пакеты. Хотя при обном клиенте все работает змечатеьно