- 0
Тунел и проблем с локалните компютри
Запитване от
mr_joker,
Запитване от
mr_joker,
By using this site, you agree to our Terms of Use.
Въпрос
mr_joker
Здравейте,
Може ли малко помощ. До скоро имах два рутера флашнати с DD-WRT - в офиса и в къщи и правех EoIP връзка по между им и като отворя файл експлорера виждах наредени всичките ми компютри зад рутерите и шернатите папки в тях. Сега смених рутерите с Микротици, като за целта съм напрвил L2TP тунел. (Забележете, че мрежите не са в един сегмент.) Не искам клиента да черпи интернет от сървъра, защото всеки рутер е вързан към PPOE доставчик на интернет.
Къща (Сървър), Windows 7, ESET Smart Security 10
Public IP: 1.1.1.1, Gateway:172.16.1.1, DHCP Pool:172.16.1.150-254
Офис (Клиент), Windows XP, Windows Firewall
Public IP: 2.2.2.2, Gateway:172.16.2.1, DHCP Pool:172.16.2.150-254
НАСТРОЙКИ Kъща:
/ppp secret add name=user1 password=12345678 local-address=172.16.100.1 service=l2tp profile=default-encryption remote-address=172.16.100.2 routes="172.16.2.0/24 172.16.100.2 1" /interface l2tp-server server set enabled=yes /ip firewall filter add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!" add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"НАСТРОЙКИ Офис:
/interface l2tp-client add connect-to=1.1.1.1 disabled=no name=l2tp-out1 user=user1 password=12345678 /ip route add distance=1 dst-address=172.16.1.0/24 gateway=l2tp-out1 /ip firewall filter add disabled=no action=accept chain=input place-before=4 protocol=udp dst-port=500,4500,1701 comment="IPSec Tunnel IKE, NAT Traversal - test !!!" add disabled=no action=accept chain=input place-before=4 protocol=ipsec-esp comment="IPSec Tunnel ESP - test !!!"ПРОБЛЕМ 1:
За да има пинг до всеки компютър трябваше да ги разреша РЪЧНО в антивирусната и защитната стена, докато при DD-WRT-то не съм парвил нищо и пак се виждаха компютрите по между си.
Къща->windows 7->ESET->Разширени настройки->ЛИЧНА ЗАЩИТНА СТЕНА->РАЗШИРЕНИ->Зони->Редактиране->Доверена зона->Редактиране->Адрес на отдалечен компютър:172.16.2.0/24
Офис->Windows XP->Control Panel->Security Center->Windows Firewall->Exceptions->File and Printer Sharing->Edit->Port 445->Change scope->Custom list:172.16.1.0/24
ВЪПРОС 1: Как да настроя микротиците без да настройвам антивирусната и файъруола?
--------
ПРОБЛЕМ 2:
Компютрите не искат да се наредят автоматично във Файл експлорера->Мрежа
--------
ПРОБЛЕМ 3:
Компютрите се виждат само чрез IP адреса им и не могат чрез името си, докато при DD-WRT се виждаха с имената си:
\\172.16.2.150\SharedFolder вместо \\ComputerName\SharedFolder
ВЪПРОС 3: Как да настроя микротиците за да се виждат компютрите в общата мрежа чрез имената си?
--------
ПРОБЛЕМ 4:
Когато компютър влезе в "стенд бай" режим (изгаснал му е екрана след 15-тата минута, но не и харда (след 30-тата)), но не е заспал, вече няма пинг до него, като при DD-WRT имаше пинг.
--------
Пуснал съм UpNP и на двата рутера с ether1: external и bridge: internal
Всички правила във файъруола са след ресет и няма добавено нищо освен в Mangle:
---- Когато някой сайтове не искат да се отварят:
Правилата трябва да са най-отгоре, като изтривам динамичните създадени от Микротик
/ip firewall mangle add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - Out" add chain=forward action=change-mss new-mss=1400 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1401-65535 comment="Mikrotik unable to load websites - In"Да ползвам долното а не горното, че генерира много голям трафик може би заради all-ppp
/ ip firewall mangle add chain=forward action=jump jump-target=mss comment="{tcp}, mss" disabled=no add chain=mss protocol=tcp tcp-flags=syn tcp-mss=!536-1460 action=change-mss new-mss=1440 comment="{tcp}, mss fixation" disabled=no add chain=mss protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1440 comment="{tcp}, mss 1440 for mtu 1492" disabled=no add chain=mss protocol=tcp tcp-flags=syn action=change-mss new-mss=clamp-to-pmtu comment="{tcp}, mss clamp-to-pmtu" disabled=no--------
ТЕСТОВЕ:
Тествах с различни вариации на долните правила, но без успех, като или нямаше никакъв ефект или разкачаха връзката. Променях ETH1 и Bridge интерфейсите на ARP-Proxy и на двата рутера, на пак без успех.
/ip firewall nat (не минава никакъв трафик през това!!!) add disabled=yes action=accept chain=srcnat place-before=0 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 out-interface=ether1 comment="IPSec Tunnel - NAT bypass rule - test !!!" /ip firewall filter (няма ефект и в NAT, но е за FILTER - не минава никакъв трафик през тях!!!) add disabled=yes action=accept chain=input protocol=tcp src-address=172.16.2.0/24 dst-port=139,445 comment="IPSec Tunnel - Shared folders LAN TCP - test !!!" add disabled=yes action=accept chain=input protocol=udp src-address=172.16.2.0/24 dst-port=137,138 comment="IPSec Tunnel - Shared folders LAN UDP - test !!!" add disabled=yes action=accept chain=input protocol=tcp src-address=1.1.1.1/31 dst-port=139,445 comment="IPSec Tunnel - Shared folders WAN TCP - test !!!" add disabled=yes action=accept chain=input protocol=udp src-address=1.1.1.1/31 dst-port=137,138 comment="IPSec Tunnel - Shared folders WAN UDP - test !!!" /ip firewall filter (не минава никакъв трафик през тях!!!) add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.2.0/24 dst-address=172.16.1.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall" add disabled=yes action=accept chain=forward place-before=1 src-address=172.16.1.0/24 dst-address=172.16.2.0/24 connection-state=established,related comment="IPSec Tunnel - If fasttrack enabled - Slow!!! must use RAW firewall"да използвам долното, защото горното е много бавно
/ip firewall raw add disabled=yes action=notrack chain=prerouting src-address=172.16.2.0/24 dst-address=172.16.1.0/24 add disabled=yes action=notrack chain=prerouting src-address=172.16.1.0/24 dst-address=172.16.2.0/24======================================
Тествах и на какво MTU се отваря локалната мрежа без да дава нито една грешка и промених MTU-то в интерфейсите, но без успех:
Find proper MTU:
netsh interface ipv4 show subinterfaces
ping www.vbox7.com -f -l 1452
Proper MTU: 1452+28=1480 Къща & Офис за www.vbox7.com
Proper MTU: 1394+28=1422 Къща & Офис за Local network
netsh interface ipv4 set subinterface "Local Area Connection" mtu=1480 store=persistent
netsh interface ipv4 set subinterface "Wireless Network Connection" mtu=1480 store=persistent
netsh interface ipv4 set subinterface "Bluetooth Network Connection" mtu=1480 store=persistent
DEFAULT: eth1=pppoe-out1, eth2=bridge - MTU=1500, L2MTU=1598
NEW: eth1=pppoe-out1, eth2=bridge - MTU=1422
======================================
Това което си мисля, че ми се изясни от четенето в нета е, че трябва да разреша по някаъв начин broadcast трафика и другото е, че WINS сървър не ми трябва. Моля, да ми помогнете да реша проблемите.
Адрес на коментара
Сподели в други сайтове
28 отговори на този въпрос
Recommended Posts
Създайте нов акаунт или се впишете, за да коментирате
За да коментирате, трябва да имате регистрация
Създайте акаунт
Присъединете се към нашата общност. Регистрацията става бързо!
Регистрация на нов акаунтВход
Имате акаунт? Впишете се оттук.
Вписване