Jump to content
  • 0

Тунел и проблем с локалните компютри


mr_joker

Въпрос

Здравейте,

Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.

Къща (Сървър), Windows 7, ESET Smart Security 10
Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254

Офис (Клиент), Windows XP, Windows Firewall
Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254

НАСТРОЙКИ Kъща:

/ppp secret
add name=user1 password=12345678 local-address=172.16.100.1 service=l2tp profile=default-encryption remote-address=172.16.100.2 routes="172.16.2.0/24 172.16.100.2 1"

/interface l2tp-server server
set enabled=yes

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"


НАСТРОЙКИ Офис:

/interface l2tp-client
add connect-to=1.1.1.1 disabled=no name=l2tp-out1 user=user1 password=12345678

/ip route
add distance=1 dst-address=172.16.1.0/24 gateway=l2tp-out1

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

ПРОБЛЕМ 1:
За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.

Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24

Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24

ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?

--------

ПРОБЛЕМ 2:

Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа

--------

ПРОБЛЕМ 3:

Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:

\\172.16.2.150\SharedFolder вместо \\ComputerName\SharedFolder

ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?

--------

ПРОБЛЕМ 4:

Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.

--------
Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal

Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:

---- Когато някой сайтове не искат да се отварят:
Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик

/ip firewall mangle
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - Out"
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - In"

Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp

/ ip firewall mangle
add chain=forward action=jump jump-target=mss comment="{tcp}, mss" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=!536-1460 action=change-mss new-mss=1440 comment="{tcp}, mss fixation" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1440 comment="{tcp}, mss 1440 for mtu 1492" disabled=no
add chain=mss protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="{tcp}, mss clamp-to-pmtu" disabled=no

--------

ТЕСТОВЕ:

Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.

/ip firewall nat (не минава никакъв трафик през това!!!)
add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=1.1.1.1/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=1.1.1.1/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add disabled=yes action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add disabled=yes action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

======================================
Тествах и на какво MTU се отваря локалната мрежа без да дава нито една грешка и промених MTU-то в интерфейсите, но без успех:

Find proper MTU:
netsh interface ipv4 show subinterfaces
ping www.vbox7.com -f -l 1452

Proper MTU: 1452+28=1480 Къща & Офис за www.vbox7.com
Proper MTU: 1394+28=1422 Къща & Офис за Local network

netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent

DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
NEW:  eth1=pppoe-out1, eth2=bridge - MTU=1422
======================================

Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.

Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
  • Администратор

EoIP e протокол на микротик ;)

в офис 1 геит задаваш х.х.х.1
в офис 2 геит х.х.х.254

Правиш един тунел от единия до другия рутер и го бриджваш към лан суича на всеки от двата,

може и dhcp да се пусне на всеки един от рутерите и през тонела да се реже.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
Преди 13 часа, mr_joker написа:

Здравейте,

Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.

Къща (Сървър), Windows 7, ESET Smart Security 10
Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254

Офис (Клиент), Windows XP, Windows Firewall
Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254

НАСТРОЙКИ Kъща:


/ppp secret
add name=user1 password=12345678 local-address=172.16.100.1 service=l2tp profile=default-encryption remote-address=172.16.100.2 routes="172.16.2.0/24 172.16.100.2 1"

/interface l2tp-server server
set enabled=yes

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"


НАСТРОЙКИ Офис:


/interface l2tp-client
add connect-to=1.1.1.1 disabled=no name=l2tp-out1 user=user1 password=12345678

/ip route
add distance=1 dst-address=172.16.1.0/24 gateway=l2tp-out1

/ip firewall filter
add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

ПРОБЛЕМ 1:
За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.

Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24

Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24

ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?

--------

ПРОБЛЕМ 2:

Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа

--------

ПРОБЛЕМ 3:

Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:

\\172.16.2.150\SharedFolder вместо \\ComputerName\SharedFolder

ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?

--------

ПРОБЛЕМ 4:

Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.

--------
Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal

Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:

---- Когато някой сайтове не искат да се отварят:
Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик


/ip firewall mangle
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - Out"
add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - In"

Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp


/ ip firewall mangle
add chain=forward action=jump jump-target=mss comment="{tcp}, mss" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=!536-1460 action=change-mss new-mss=1440 comment="{tcp}, mss fixation" disabled=no
add chain=mss protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1440 comment="{tcp}, mss 1440 for mtu 1492" disabled=no
add chain=mss protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="{tcp}, mss clamp-to-pmtu" disabled=no

--------

ТЕСТОВЕ:

Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.


/ip firewall nat (не минава никакъв трафик през това!!!)
add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=1.1.1.1/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=1.1.1.1/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно


/ip firewall raw
add disabled=yes action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add disabled=yes action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

======================================
Тествах и на какво MTU се отваря локалната мрежа без да дава нито една грешка и промених MTU-то в интерфейсите, но без успех:

Find proper MTU:
netsh interface ipv4 show subinterfaces
ping www.vbox7.com -f -l 1452

Proper MTU: 1452+28=1480 Къща & Офис за www.vbox7.com
Proper MTU: 1394+28=1422 Къща & Офис за Local network

netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent

netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent

DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
NEW:  eth1=pppoe-out1, eth2=bridge - MTU=1422
======================================

Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.

Не ползвай L2TP а си пусни между рутерите EoIP щом имаш публични адреси и ги вкарай тунелите после в бриджа съответно на всеки LAN !

Преди 9 часа, 111111 написа:

EoIP e протокол на микротик ;)

в офис 1 геит задаваш х.х.х.1
в офис 2 геит х.х.х.254

Правиш един тунел от единия до другия рутер и го бриджваш към лан суича на всеки от двата,

може и dhcp да се пусне на всеки един от рутерите и през тонела да се реже.

Има и EoIP решения в DD-WRT и в линукс се ползва дори Vtun , но не са съвместими помежду си и с EoIP в ROS също!

Редактирано от JohnTRIVOLTA
Адрес на коментара
Сподели в други сайтове

  • 0

Значи с L2TP няма да стане? Всъщност първия ми тунел беше IPSec Side to Side без L2TP и имаше същите проблеми (и VPN PPTP бях пробвал), но постнах L2TP, защото настройките са най-малко.

Сега ще пробвам с EoIP варианта с един тунел и бридж, но искам мрежите ми да са x.x.1.1 и x.x.2.1, че ако добавям нови мрежи да ги увеличавам с едно.

Основната ми цел беше да ги подкарам по  IPSec Side to Side без L2TP, а защо ще разберете от тука:

http://rickfreyconsulting.com/mikrotik-vpns/

 

Редактирано от mr_joker
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Напротив,ползвай точно  L2TP.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Ако питаш мен бих си вдигнал site to site ipsec с nat t - info При мен работи перфе, важното е да се ползват еднакви NTP Servers на бордовете !

Адрес на коментара
Сподели в други сайтове

  • 0

Ами това ми е един от тунелите който направих и към който се стремя, но пак не мога да виждам шернатите компютри с имената им и останалите проблеми описани по-горе.

При тебе можеш ли да ги видиш от типа \\ComputerName\SharedFolder

Това за NTP неможах да го разбера, при мене и на двата рутера настройките за NTP Server и Client са по подразбиране - с други думи не са настройвани.

Ето и настройките ми, същите като в туториала:

---- Къща router:

/ip ipsec peer
add address=k.k.k.k/32 port=500 nat-traversal=no auth-method=pre-shared-key secret="TestIPSecKey" dpd-interval=disable-dpd dpd-maximum-failures=1

/ip ipsec policy
add src-address=172.16.1.0/24 src-port=any dst-address=172.16.2.0/24 dst-port=any sa-src-address=o.o.o.o sa-dst-address=k.k.k.k tunnel=yes action=encrypt proposal=default

/ip firewall nat
add action=accept chain=srcnat place-before=0 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - NOT traffic !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.1.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.1.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=k.k.k.k/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=k.k.k.k/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter
add disabled=yes action=accept chain=input place-before=6 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=yes action=accept chain=input place-before=6 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24
add disabled=yes action=notrack chain=prerouting src-address=o.o.o.o dst-address=k.k.k.k comment="IPSec Tunnel - Not Work !!!"
add disabled=yes action=notrack chain=prerouting src-address=k.k.k.k dst-address=o.o.o.o comment="IPSec Tunnel - Not Work !!!"

---- Офис router:

/ip ipsec peer
add address=o.o.o.o/32 port=500 nat-traversal=no auth-method=pre-shared-key secret="TestIPSecKey" dpd-interval=disable-dpd dpd-maximum-failures=1

/ip ipsec policy
add src-address=172.16.2.0/24 src-port=any dst-address=172.16.1.0/24 dst-port=any sa-src-address=k.k.k.k sa-dst-address=o.o.o.o tunnel=yes action=encrypt proposal=default

/ip firewall nat
add action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - NOT traffic !!!"

/ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!"
add disabled=yes action=accept chain=input protocol=tcp src-address=k.k.k.k/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!"
add disabled=yes action=accept chain=input protocol=udp src-address=k.k.k.k/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!"

/ip firewall filter
add disabled=yes action=accept chain=input place-before=6 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!"
add disabled=yes action=accept chain=input place-before=6 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"

/ip firewall filter (не минава никакъв трафик през тях!!!)
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"
add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"

да използвам долното, защото горното е много бавно

/ip firewall raw
add action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24
add action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24

TEST:

/ip firewall nat
add chain=srcnat action=masquerade src-address=172.16.1.1/29 dst-address=!172.16.1.1/29 
/ip firewall nat
add chain=srcnat action=masquerade src-address=172.16.2.1/29 dst-address=!172.16.2.1/29 

 

Редактирано от mr_joker
Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Като за начало махни филтрацията и виж какво ще заработи :)

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Рисетни си бордовете без деф конфиг и ги настрой без фасттрак .Спри си ненужните сървиси и виж дали ще подкараш всичко.После заздравявай стената. Аз ползвам бг сървърите  http://www.pool.ntp.org/zone/bg , като не е нужно и ти да си нтп сърв така че не го пускай, важно е времето на бордовете да е еднакво - синхронизирано! 

Адрес на коментара
Сподели в други сайтове

  • 0

Благодаря за NTP адресите. Имаше 5 минути разлика в рутерите и вързах клиентите им и сега времето е еднакво.

Забраних всички фасттрак и дроп правила в двата рутера и пробвах да достигна до компютър от другата мрежа по име но нестава. Става само по IP.

След малко ще пробвам EoIP ...

Адрес на коментара
Сподели в други сайтове

  • 0

Леле, само за няколко минути забраних правилата във firewall и получих масирана атака по всички фронтове и на двата рутера: web, ssh, telnet

А иначе всеки ден се мъчат да ме хакант едни руснаци докато си ограничих достъпа на услугите само за моите реални IP-та.

Ето ги и хубавците (писах им писанце и ги прегледах малко):

185.159.37.1      22, 80, 111, 179

185.159.37.20    22, 80, 443

185.159.37.40    22, 80, 111, 443

185.159.37.44    22, 443, 992

185.159.37.56    22, 53, 80, 110, 143, 465, 587, 993, 995

185.159.37.57    22, 80, 82

...

 

Your attacks from IP on our local time:

185.159.37.126 on jan/05/2017 08:47:14

185.159.37.124 on jan/08/2017 03:41:51

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

ЕоИП-то ти е за да може да бриджнеш мрежата за да не ползваш рутиране,

а през какво ще го прекараш е отделна тема.

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор
преди 25 минути, mr_joker написа:

Леле, само за няколко минути забраних правилата във firewall и получих масирана атака по всички фронтове и на двата рутера: web, ssh, telnet

А иначе всеки ден се мъчат да ме хакант едни руснаци докато си ограничих достъпа на услугите само за моите реални IP-та.

Ето ги и хубавците (писах им писанце и ги прегледах малко):

185.159.37.1      22, 80, 111, 179

185.159.37.20    22, 80, 443

185.159.37.40    22, 80, 111, 443

185.159.37.44    22, 443, 992

185.159.37.56    22, 53, 80, 110, 143, 465, 587, 993, 995

185.159.37.57    22, 80, 82

...

 

Your attacks from IP on our local time:

185.159.37.126 on jan/05/2017 08:47:14

185.159.37.124 on jan/08/2017 03:41:51

Напълно нормално имам блек листи с по 400-500 адреса за около 3 месеца . В същият сегмент 185.159.37.ХХХ и при мен се намират няколко адреса !

Адрес на коментара
Сподели в други сайтове

  • 0

Малко помощ и за EoIP, че нямам пинг до мрежите. Ето това са ми настройките:

----Home:

/interface eoip
add add disabled=no name=EoIPOffice local-address=1.1.1.1 remote-address=2.2.2.2 tunnel-id=1

/interface bridge port
add disabled=no bridge=bridge interface=EoIPOffice

/ip address
add address=172.16.100.1/30 interface=EoIPOffice

/ip route
add dst-address=172.16.2.0/24 gateway=172.16.100.2

---- Office:

/interface eoip
add disabled=no name=EoIPHome local-address=2.2.2.2 remote-address=1.1.1.1 tunnel-id=1

/interface bridge port
add disabled=no bridge=bridge interface=EoIPHome

/ip address
add address=172.16.100.2/30 interface=EoIPHome

/ip route
add dst-address=172.16.1.0/24 gateway=172.16.100.1

 

Адрес на коментара
Сподели в други сайтове

  • 0
  • Администратор

Махни рутовете и адресите на EoIP. Махни адреса и DHCP на локалната в офиса. Вкарай в бриджа и от двете страни еоип тунела, така в локалният сегмент при офиса ще получиш адрес от домашната мрежа и ще ти минава броудкаста и ще си видиш всичко шернато . 

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.