Jump to content
  • 0

Тунел и проблем с локалните компютри


mr_joker
 Share

Question

Здравейте,

Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.

Къща (Сървър), Windows 7, ESET Smart Security 10
Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254

Офис (Клиент), Windows XP, Windows Firewall
Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254

НАСТРОЙКИ Kъща:

/ppp secret
add name=user1 password=12345678 local-address=172.16.100.1 service=l2tp profile=default-encryption remote-address=172.16.100.2 routes="172.16.2.0/24 172.16.100.2 1"

/interface l2tp-server server
set enabled=yes

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"


НАСТРОЙКИ Офис:

/interface l2tp-client
add connect-to=1.1.1.1 disabled=no name=l2tp-out1 user=user1 password=12345678

/ip route
add distance=1 dst-address=172.16.1.0/24 gateway=l2tp-out1

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

ПРОБЛЕМ 1:
За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.

Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24

Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24

ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?

--------

ПРОБЛЕМ 2:

Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа

--------

ПРОБЛЕМ 3:

Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:

\\172.16.2.150\SharedFolder вместо \\ComputerName\SharedFolder

ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?

--------

ПРОБЛЕМ 4:

Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.

--------
Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal

Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:

---- Когато някой сайтове не искат да се отварят:
Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик

/ip firewall mangle
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - Out"
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - In"

Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp

/ ip firewall mangle
add chain=forward action=jump jump-target=mss comment="{tcp}, mss" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=!536-1460 action=change-mss new-mss=1440 comment="{tcp}, mss fixation" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1440 comment="{tcp}, mss 1440 for mtu 1492" disabled=no
add chain=mss protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="{tcp}, mss clamp-to-pmtu" disabled=no

--------

ТЕСТОВЕ:

Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.

/ip firewall nat (не минава никакъв трафик през това!!!)
add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=1.1.1.1/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=1.1.1.1/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add disabled=yes action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add disabled=yes action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

======================================
Тествах и на какво MTU се отваря локалната мрежа без да дава нито една грешка и промених MTU-то в интерфейсите, но без успех:

Find proper MTU:
netsh interface ipv4 show subinterfaces
ping www.vbox7.com -f -l 1452

Proper MTU: 1452+28=1480 Къща & Офис за www.vbox7.com
Proper MTU: 1394+28=1422 Къща & Офис за Local network

netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent

DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
NEW:  eth1=pppoe-out1, eth2=bridge - MTU=1422
======================================

Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.

Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator

EoIP e протокол на микротик ;)

в офис 1 геит задаваш х.х.х.1
в офис 2 геит х.х.х.254

Правиш един тунел от единия до другия рутер и го бриджваш към лан суича на всеки от двата,

може и dhcp да се пусне на всеки един от рутерите и през тонела да се реже.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 13 часа, mr_joker написа:

Здравейте,

Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.

Къща (Сървър), Windows 7, ESET Smart Security 10
Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254

Офис (Клиент), Windows XP, Windows Firewall
Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254

НАСТРОЙКИ Kъща:


/ppp secret
add name=user1 password=12345678 local-address=172.16.100.1 service=l2tp profile=default-encryption remote-address=172.16.100.2 routes="172.16.2.0/24 172.16.100.2 1"

/interface l2tp-server server
set enabled=yes

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"


НАСТРОЙКИ Офис:


/interface l2tp-client
add connect-to=1.1.1.1 disabled=no name=l2tp-out1 user=user1 password=12345678

/ip route
add distance=1 dst-address=172.16.1.0/24 gateway=l2tp-out1

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

ПРОБЛЕМ 1:
За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.

Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24

Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24

ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?

--------

ПРОБЛЕМ 2:

Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа

--------

ПРОБЛЕМ 3:

Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:

\\172.16.2.150\SharedFolder вместо \\ComputerName\SharedFolder

ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?

--------

ПРОБЛЕМ 4:

Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.

--------
Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal

Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:

---- Когато някой сайтове не искат да се отварят:
Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик


/ip firewall mangle
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - Out"
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - In"

Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp


/ ip firewall mangle
add chain=forward action=jump jump-target=mss comment="{tcp}, mss" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=!536-1460 action=change-mss new-mss=1440 comment="{tcp}, mss fixation" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1440 comment="{tcp}, mss 1440 for mtu 1492" disabled=no
add chain=mss protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="{tcp}, mss clamp-to-pmtu" disabled=no

--------

ТЕСТОВЕ:

Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.


/ip firewall nat (не минава никакъв трафик през това!!!)
add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=1.1.1.1/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=1.1.1.1/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно


/ip firewall raw
add disabled=yes action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add disabled=yes action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

======================================
Тествах и на какво MTU се отваря локалната мрежа без да дава нито една грешка и промених MTU-то в интерфейсите, но без успех:

Find proper MTU:
netsh interface ipv4 show subinterfaces
ping www.vbox7.com -f -l 1452

Proper MTU: 1452+28=1480 Къща & Офис за www.vbox7.com
Proper MTU: 1394+28=1422 Къща & Офис за Local network

netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent

DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
NEW:  eth1=pppoe-out1, eth2=bridge - MTU=1422
======================================

Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.

Не ползвай L2TP а си пусни между рутерите EoIP щом имаш публични адреси и ги вкарай тунелите после в бриджа съответно на всеки LAN !

Преди 9 часа, 111111 написа:

EoIP e протокол на микротик ;)

в офис 1 геит задаваш х.х.х.1
в офис 2 геит х.х.х.254

Правиш един тунел от единия до другия рутер и го бриджваш към лан суича на всеки от двата,

може и dhcp да се пусне на всеки един от рутерите и през тонела да се реже.

Има и EoIP решения в DD-WRT и в линукс се ползва дори Vtun , но не са съвместими помежду си и с EoIP в ROS също!

Edited by JohnTRIVOLTA
Link to comment
Share on other sites

  • 0

Значи с L2TP няма да стане? Всъщност първия ми тунел беше IPSec Side to Side без L2TP и имаше същите проблеми (и VPN PPTP бях пробвал), но постнах L2TP, защото настройките са най-малко.

Сега ще пробвам с EoIP варианта с един тунел и бридж, но искам мрежите ми да са x.x.1.1 и x.x.2.1, че ако добавям нови мрежи да ги увеличавам с едно.

Основната ми цел беше да ги подкарам по  IPSec Side to Side без L2TP, а защо ще разберете от тука:

http://rickfreyconsulting.com/mikrotik-vpns/

 

Edited by mr_joker
Link to comment
Share on other sites

  • 0

Напротив,ползвай точно  L2TP.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0

Имам желанието, но как да реша проблемите описани по-горе?

Link to comment
Share on other sites

  • 0

Ако питаш мен бих си вдигнал site to site ipsec с nat t - info При мен работи перфе, важното е да се ползват еднакви NTP Servers на бордовете !

Link to comment
Share on other sites

  • 0

Ами това ми е един от тунелите който направих и към който се стремя, но пак не мога да виждам шернатите компютри с имената им и останалите проблеми описани по-горе.

При тебе можеш ли да ги видиш от типа \\ComputerName\SharedFolder

Това за NTP неможах да го разбера, при мене и на двата рутера настройките за NTP Server и Client са по подразбиране - с други думи не са настройвани.

Ето и настройките ми, същите като в туториала:

---- Къща router:

/ip ipsec peer
add address=k.k.k.k/32 port=500 nat-traversal=no auth-method=pre-shared-key secret="TestIPSecKey" dpd-interval=disable-dpd dpd-maximum-failures=1

/ip ipsec policy
add src-address=172.16.1.0/24 src-port=any dst-address=172.16.2.0/24 dst-port=any sa-src-address=o.o.o.o sa-dst-address=k.k.k.k tunnel=yes action=encrypt proposal=default

/ip firewall nat
add action=accept chain=srcnat place-before=0 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - NOT traffic !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.1.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.1.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=k.k.k.k/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=k.k.k.k/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter
add disabled=yes action=accept chain=input place-before=6 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=yes action=accept chain=input place-before=6 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24
add disabled=yes action=notrack chain=prerouting src-address=o.o.o.o dst-address=k.k.k.k comment="IPSec Tunnel - Not Work !!!"
add disabled=yes action=notrack chain=prerouting src-address=k.k.k.k dst-address=o.o.o.o comment="IPSec Tunnel - Not Work !!!"

---- Офис router:

/ip ipsec peer
add address=o.o.o.o/32 port=500 nat-traversal=no auth-method=pre-shared-key secret="TestIPSecKey" dpd-interval=disable-dpd dpd-maximum-failures=1

/ip ipsec policy
add src-address=172.16.2.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any sa-src-address=k.k.k.k sa-dst-address=o.o.o.o tunnel=yes action=encrypt proposal=default

/ip firewall nat
add action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - NOT traffic !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=k.k.k.k/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=k.k.k.k/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter
add disabled=yes action=accept chain=input place-before=6 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=yes action=accept chain=input place-before=6 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

TEST:

/ip firewall nat
add chain=srcnat action=masquerade src-address=172.16.1.1/29 dst-address=!172.16.1.1/29 
/ip firewall nat
add chain=srcnat action=masquerade src-address=172.16.2.1/29 dst-address=!172.16.2.1/29 

 

Edited by mr_joker
Link to comment
Share on other sites

  • 0

Като за начало махни филтрацията и виж какво ще заработи :)

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 0

Рисетни си бордовете без деф конфиг и ги настрой без фасттрак .Спри си ненужните сървиси и виж дали ще подкараш всичко.После заздравявай стената. Аз ползвам бг сървърите  http://www.pool.ntp.org/zone/bg , като не е нужно и ти да си нтп сърв така че не го пускай, важно е времето на бордовете да е еднакво - синхронизирано! 

Link to comment
Share on other sites

  • 0

Благодаря за NTP адресите. Имаше 5 минути разлика в рутерите и вързах клиентите им и сега времето е еднакво.

Забраних всички фасттрак и дроп правила в двата рутера и пробвах да достигна до компютър от другата мрежа по име но нестава. Става само по IP.

След малко ще пробвам EoIP ...

Link to comment
Share on other sites

  • 0

Леле, само за няколко минути забраних правилата във firewall и получих масирана атака по всички фронтове и на двата рутера: web, ssh, telnet

А иначе всеки ден се мъчат да ме хакант едни руснаци докато си ограничих достъпа на услугите само за моите реални IP-та.

Ето ги и хубавците (писах им писанце и ги прегледах малко):

185.159.37.1      22, 80, 111, 179

185.159.37.20    22, 80, 443

185.159.37.40    22, 80, 111, 443

185.159.37.44    22, 443, 992

185.159.37.56    22, 53, 80, 110, 143, 465, 587, 993, 995

185.159.37.57    22, 80, 82

...

 

Your attacks from IP on our local time:

185.159.37.126 on jan/05/2017 08:47:14

185.159.37.124 on jan/08/2017 03:41:51

Link to comment
Share on other sites

  • 0
  • Administrator

ЕоИП-то ти е за да може да бриджнеш мрежата за да не ползваш рутиране,

а през какво ще го прекараш е отделна тема.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
преди 25 минути, mr_joker написа:

Леле, само за няколко минути забраних правилата във firewall и получих масирана атака по всички фронтове и на двата рутера: web, ssh, telnet

А иначе всеки ден се мъчат да ме хакант едни руснаци докато си ограничих достъпа на услугите само за моите реални IP-та.

Ето ги и хубавците (писах им писанце и ги прегледах малко):

185.159.37.1      22, 80, 111, 179

185.159.37.20    22, 80, 443

185.159.37.40    22, 80, 111, 443

185.159.37.44    22, 443, 992

185.159.37.56    22, 53, 80, 110, 143, 465, 587, 993, 995

185.159.37.57    22, 80, 82

...

 

Your attacks from IP on our local time:

185.159.37.126 on jan/05/2017 08:47:14

185.159.37.124 on jan/08/2017 03:41:51

Напълно нормално имам блек листи с по 400-500 адреса за около 3 месеца . В същият сегмент 185.159.37.ХХХ и при мен се намират няколко адреса !

Link to comment
Share on other sites

  • 0

Малко помощ и за EoIP, че нямам пинг до мрежите. Ето това са ми настройките:

----Home:

/interface eoip
add add disabled=no name=EoIPOffice local-address=1.1.1.1 remote-address=2.2.2.2 tunnel-id=1

/interface bridge port
add disabled=no bridge=bridge interface=EoIPOffice

/ip address
add address=172.16.100.1/30 interface=EoIPOffice

/ip route
add dst-address=172.16.2.0/24 gateway=172.16.100.2

---- Office:

/interface eoip
add disabled=no name=EoIPHome local-address=2.2.2.2 remote-address=1.1.1.1 tunnel-id=1

/interface bridge port
add disabled=no bridge=bridge interface=EoIPHome

/ip address
add address=172.16.100.2/30 interface=EoIPHome

/ip route
add dst-address=172.16.1.0/24 gateway=172.16.100.1

 

Link to comment
Share on other sites

  • 0

Махни рутовете и адресите на EoIP. Махни адреса и DHCP на локалната в офиса. Вкарай в бриджа и от двете страни еоип тунела, така в локалният сегмент при офиса ще получиш адрес от домашната мрежа и ще ти минава броудкаста и ще си видиш всичко шернато . 

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Similar Content

    • mladentod
      By mladentod
      Здравейте, проблемът е следния:
      Преди няколко дни лаптопът ми (Asus с win 10) изведнъж спря да се свързва с L2TP/IPSec от hAP AC 2.
      Рестартирах рутера , гледах настройките - нищо.
      Същото име и парола от се закача за смартфона и един друг лаптоп. На PPTP също се свързва.
      Само и единствено на ASUS-a на L2TP не успява.
    • mladentod
      By mladentod
      Здравейте, 
      Не знам как да си формулирам въпроса за да търся в гуугъл, затова пиша тук.
      Отскоро започнах да експериментирам с мрежата си вкъщи и да се уча да я конфигурирам.
      Накратко . Като доставчик ползвам ВИВАКОМ и след тяхното устройство имам hAP AC2. Изтрих цялата конфигурация и започнах от началото. 
      По LAN съм закачил  3 РС-та, 2 телевизора и NAS (който закупих скоро).    По WI-FI са - 6 телефона и 2 лаптопа.  Дотук всичко е ОК.
      Проблемът ми е при VPN-ите, когато не съм вкъщи.  Телефоните и лаптопите се закачат и обменям информация с  NAS-а , но опитам ли да влезна в Интернет,  ми показва че страницата не може да бъде достъпена. Това става и на PPTP, и L2TP IPSec.  Във Вивакомския модем съм пренасочил портове 4500 и 500.
      На вилата ми също пуснах VPN за пробата (там съм на Мтел,  при който няма такива схеми с портове на модем-ът им) и пак същото.
      Предполагам че пропускам някаква дребна настройка.
       Предварително благодаря.
    • windwalker78
      By windwalker78
      Здравейте,
          
             Ползваме от години един ipsec тунел на версия 5.25. Сменихме скоро доставчика на интернет на едното място и сега всеки ден тунела пада и лошото е че се вдига само с рестарт на оборудването от страна на новия доставчик. Flush SAs и Kill peer connection не помагат. Обикновено като падне тунела съобщението е packet rejected, а много ясно никой нищо не е пипал по firewall. Това е конфига
      /ip ipsec proposal set [ find default=yes ] auth-algorithms=md5,sha1 enc-algorithms=3des,aes-256 lifetime=8h pfs-group=none add enc-algorithms=aes-256 lifetime=2h name=sha-aes pfs-group=none /ip ipsec peer add generate-policy=yes hash-algorithm=sha1 nat-traversal=yes secret=SomePass add address=SomeIP1/32 comment=Maunsel dpd-maximum-failures=100 enc-algorithm=aes-256 hash-algorithm=sha1 nat-traversal=yes secret=\     "SomePasword" /ip ipsec policy add comment="Ergon to Maunsel" dst-address=192.168.99.0/24 proposal=sha-aes sa-dst-address=SomeIP1 sa-src-address=SomeIP2 src-address=\     192.168.64.0/19 tunnel=yes /ip firewall nat add chain=srcnat comment=IPSEC dst-address=192.168.99.0/24 src-address=192.168.64.0/19 Имаме и l2tp тунел за road warriors, който също пада по-често, но поне може да се свържат при retry.
      Някакви идеи? 
      Поздрави
    • windwalker78
      By windwalker78
      Здравейте,
                Опитвам се да вдигна един SSTP VPN  между mikrotik 6.40.4 (Намира се зад NAT с port forward на 443) - Windows 7 x64 sp1 и виждам зор със сертификата май:
      Генерирам ги така и пускам и sstp услугата + ppp:
      /system identity set name=sstp.tbrook /certificate add name=ca-template common-name=sstp.tbrook days-valid=3650 key-size=2048 key-usage=crl-sign,key-cert-sign add name=server-template common-name=*.sstp.tbrook days-valid=3650 key-size=2048 key-usage=digital-signature,key-encipherment,tls-server add name=client-template common-name=client1.sstp.tbrook days-valid=3650 key-size=2048 key-usage=tls-client sign ca-template name=ca-certificate sign server-template name=server-certificate ca=ca-certificate sign client-template name=client-certificate ca=ca-certificate /ip pool add name=”vpn-pool” ranges=10.30.0.2-10.30.0.10 /ppp profile add name=”vpn-profile” use-encryption=yes local-address=10.30.0.250 dns-server=10.30.0.250 remote-address=vpn-pool secret add name=client1 profile=vpn-profile password=TestPass /interface sstp-server server set enabled=yes default-profile=vpn-profile authentication=mschap2 certificate=server-certificate force-aes=yes pfs=yes /certificate export-certificate ca-certificate export-passphrase=”” След това копирам cert_export_ca-certificate.crt на Win7 и го вмъквам под  Certificates (Local Computer) -> Trusted Root Certification Authorities
      Вкарах и  sstp.tbrook с ip адрес в hosts файла.
      Като опитам да се свържа, в windows виждам това:
      Error is again 0x800B010F The certificate’s CN name does not match the passed value. В логовете на микротика само това:
      sstp,ppp,debug: LCP lowerdown sstp,ppp,debug: LCP down event in initial state Някой с идея какво да пробвам?
    • bgtelekom
      By bgtelekom
      Здравейте,
      Имам един доста конкретен въпрос и по - точно какъв е метода за разрешаване на въпросният проблем. Все още съм начинаещ и не разбирам напълно функционалността на микротик тунелите и pptp връзката.
      Случаят е следният: Имаме един рутер в София(централният рутер) с публично IP (примерно 90.90.90.90), а вторият е в Казанлък с интернет от доставчик, който отказва да даде статично IP на рутера и той е по DHCP. В цялата мрежа са вързани голям брой рутери от различни градове с различни доставчици. На този втори рутер има вързан DVR с камери. Задачата е да свържем този рутер в Казанлък с този в София, за да могат да се гледат камерите от София. 
      Вероятно ще трябва да стане с DDNS понеже не мога да задам статично IP. 
      Бих бил много благодарен, ако разбера стъпките как трябва да се случи това! Благодаря предварително!
       
      С уважение,
      Борис Недялков.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.