Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.3 Подробнее... Testing: 7.15rc1 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 16:26 19-04-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack его не надо отключать, перечитайте мой последний пост да и предыдущие еще раз какой адрес на филиале 45 или 217 ? по pppoe какой адрес получается на филиале, по конфигу так 217 и насколько я понял адреса реальные и не меняющиеся. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 11:57 26-03-2024 | Исправлено: alexnov66, 12:24 26-03-2024

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66   Цитата: еще раз какой адрес на филиале 45 или 217 ?   филиале белый IP - 45... в центре белый IP - 217..   Цитата: по pppoe какой адрес получается на филиале, по конфигу так 217 это правило, чтоб с 217. можно было по интернету, напрямую подключится к 45_у, по внешнему адресу.     Цитата:   по скрину после одиннадцатого правила и выше 12 правила дропа форварда. 11 правило служит для блокировки инвалидных пакетов форварда также как и 3 правило на инпут, вот после 11 правила и переместите эти правила.   так они там и стоят сейчас, между 11 и 14, просто 11 правило отключил, сейчас включу обратно.     Итого вот что получаем:     Всего записей: 3333 | Зарегистр. 21-04-2008 | Отправлено: 12:26 26-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack подключаться к филиалу по белому адресу что бы не ломился туда весь интернет можно так сделать /ip firewall filter add action=accept chain=input comment="winbox: accept from HQ" in-interface=pppoe-out1 dst-port=8291 protocol=tcp src-address=217.13.xx.xx dst-address=45.157.xx.xx   тогда проброс порта на филиале сделан не правильно, ведь адрес на филиале 45 а не 217, а вы указываете офиса add action=dst-nat chain=dstnat dst-port=3080,3081 protocol=tcp src-address=217.13.хх.хх to-addresses=192.168.2.111   а должен быть указан адрес который получает филиал /ip firewall nat add action=dst-nat chain=dstnat dst-address=45.157.xx.xx dst-port=3080,3081 protocol=tcp to-addresses=192.168.2.111   ну и по последнему скрину вы сами не видите что пакеты по созданным правилам бегут в сторону офиса и нет трафика из офиса, значит гдето маршрут в офисе к филиалу к сети 2.0 не прописан. маршруты должны быть прописаны на обоих шлюзах к противоположной сети. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 12:51 26-03-2024 | Исправлено: alexnov66, 12:55 26-03-2024

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: подключаться к филиалу по белому адресу что бы не ломился туда весь интернет можно так сделать /ip firewall filter add action=accept chain=input comment="winbox: accept from HQ" in-interface=pppoe-out1 dst-port=8291 protocol=tcp src-address=217.13.xx.xx dst-address=45.157.xx.xx   ну так сделано это вроде. вон 2_е правило.     Цитата: тогда проброс порта на филиале сделан не правильно, ведь адрес на филиале 45 а не 217, а вы указываете офиса add action=dst-nat chain=dstnat dst-port=3080,3081 protocol=tcp src-address=217.13.хх.хх to-addresses=192.168.2.111   оно работает ))) Это, чтоб с центра подключится по видеонаблюдению. Ну там связь какая то по видеонаблюдению. то ли на оборот..             Цитата: ну и по последнему скрину вы сами не видите что пакеты по созданным правилам бегут в сторону офиса и нет трафика из офиса, значит гдето маршрут в офисе к филиалу к сети 2.0 не прописан. маршруты должны быть прописаны на обоих шлюзах к противоположной сети.   да я реально запутался уже. Не работает всего лишь одна программа (а остальные почему то работают) и тут столько косяков ))) В итоге не пойму что делать Всего записей: 3333 | Зарегистр. 21-04-2008 | Отправлено: 13:27 26-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack в правиле проброса порта прописывается внешний ip адрес получаемый на внешнем интерфейсе а не известно какой адрес, и не src адрес а dst, вы по какой интструкции настраивали или методом тыка. в принципе оно работать будет потому что в правиле указано с какого адреса делать нат.   в нате попробуйте создать правило еще одно masquerade без указания адресов и интерфейсов, возможно между сетями нужно включить masquerade   в офисе тоже микротик стоит или нет. проверте марщрут в тунель к сети филиала на офисном шлюзе. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 14:33 26-03-2024 | Исправлено: alexnov66, 14:47 26-03-2024

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: в правиле проброса порта прописывается внешний ip адрес получаемый на внешнем интерфейсе а не известно какой адрес, и не src адрес а dst, вы по какой интструкции настраивали или методом тыка. в принципе оно работать будет потому что в правиле указано с какого адреса делать нат.   да хрен знает, не факт даже, что это я делал. ну да ладно, работает - не трогай.   давайте лучше по изначальному вопросу - почему не подключается RMS.     Цитата: в нате попробуйте создать правило еще одно masquerade без указания адресов и интерфейсов, возможно между сетями нужно включить masquerade   не помню, что ранее такое делали. на другом фиалиле смотрел, там нет другого маскарада. только один. Там просто GRE туннель.     Цитата: в офисе тоже микротик стоит или нет.   да, микротик   Цитата: проверте марщрут в тунель к сети филиала на офисном шлюзе.   с маршрутами все в порядке: Вот в центре: (отмеченные это касаемо данному филиалу). дистанции стоят 0 и 1, стандартно, как с другими филиалами.     Всего записей: 3333 | Зарегистр. 21-04-2008 | Отправлено: 15:03 26-03-2024 | Исправлено: contrafack, 15:03 26-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack Цитата: не помню, что ранее такое делали. на другом фиалиле смотрел, там нет другого маскарада. только один. Там просто GRE туннель. там может просто не указан внешний интерфейс в правиле и работает на всё. Цитата: почему не подключается RMS. писать надо полностью к чему а не сокрашенно, как ваши сокращения расшифровывать, возможно на нём нет разрешающего правила для подключения, железки же у вас под рукой, проверяйте, проверте к другой железке доступ есть или нет.   у железки куда пытаетесь подключиться шлюз указан не микротика а другого шлюза, возможно на ней не прописан маршрут к сети через микротик. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 15:11 26-03-2024 | Исправлено: alexnov66, 15:29 26-03-2024

contrafack Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66   да с железками все в порядке. там 5 компов и не к одной не подключается из центра.   по Anydesk смотрим все нормально, агенты запущены, а вот с центра не принимает подкючение.     На соседний филиал, точно такой же набор оборудования, кажись идентичные настройки и там все хорошо с RMS.   Вот там такие правила:   Всего записей: 3333 | Зарегистр. 21-04-2008 | Отправлено: 15:29 26-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack это дефолтный конфиг настроек микротика. там нет второго шлюза, а тут у вас шлюз есть основной куда возможно и утекают пакеты а не в микротик, проверяйте маршруты на самих железках что бы были прописаны. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 15:32 26-03-2024 | Исправлено: alexnov66, 15:36 26-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору contrafack Цитата: не понял о каком шлюзе идет речь. вы же говорили что там есть основной шлюз а микротик только для тунеля с офисом. Цитата: A что сказали насчет fatsttrack ? если у вас это все настройки будут на микротике то не трогайте, не все функции работают при включенном fatsttrack   а что за маршрут, у вас же подсеть 2.0 а в офисе 0.0 что ли, значит в правиле надо не 1.0 прописывать а 0.0 Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 16:50 26-03-2024 | Исправлено: alexnov66, 17:20 26-03-2024

dddimmm Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору HERSOFT Цитата: Зачем такой большой диапазон частот? Да и "для" ни в какие ворота. спасибо за замечания, кириллицу убрал, диапазон указал из соображений "чем больше размах, тем вероятнее подключение любых устройств по wifi"   вопрос еще по типу авторизации и алгоритму шифрования WPA2 использует алгоритм CCMP WPA3 использует алгоритм GCMP256 можно ли использовать оба варианта авторизации и шифрования? iOS не "поперхнется" этим букетом? чем отличается графа Encryption от Group Encryption? Они не взаимозаменяемые? Всего записей: 1857 | Зарегистр. 28-07-2007 | Отправлено: 21:33 26-03-2024

dddimmm Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ура! WiFi на iOS запустился!   Косяк у меня был еще в том что тип авторизации у меня был WPA2 а шифрование было выбрано GCMP256, которое предназначено для WPA3   Всем спасибо) Извиняюсь за возможное засорение эфира своими мелкими вопросами, "я еще не волшебник, я только учусь" Всего записей: 1857 | Зарегистр. 28-07-2007 | Отправлено: 09:31 27-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору dddimmm Цитата: Ура! WiFi на iOS запустился! если долго мучится что нибудь получится !!! Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 14:43 27-03-2024

lsd11 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Перед прошивкой надеюсь дамп сняли с флеша? Если сняли, то копируйте со старого дампа E000-10000, будет и лицензия и ваши родные mac адреса. digital422, спасибо большое! Дамп снимали, передам коллеге.   P.S. Саппорт, сославшись на санкции, в любом решении проблемы отказал. Всего записей: 146 | Зарегистр. 29-08-2007 | Отправлено: 05:17 28-03-2024 | Исправлено: lsd11, 05:28 28-03-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору фигня какая то творится на последних версиях, доступ к нескольким сайтам пущен через vpn канал, в адрес листе определяется адрес а в кеше днс адрес с нолями, в итоге ресурс недоступен. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 10:23 28-03-2024 | Исправлено: alexnov66, 17:13 01-04-2024

Kernell32 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток:   Model:        RB750Gr3 Revision:            r4 FW:                mt7621L Factory FW:    6.48.6 Current FW:    7.14.2   белая статика dns есть dhcp нет   для бриджа сделано два ip адреса один с 22 подсетью для lan второй с 30 подсетью(192.168.20.5/30) для единственного ip телефона у которого тоже 30 подсеть(192.168.20.6/30)     firewall настроен nat настроен nat настроен для ipsec подсетей и всё в самом верху до основного src-nat   raw не стал настраивать   ipsec:        профиль создан proposals:            создан(sha1-aes256cbc-modp1024) identites:            записи с паролями созданы peers:        созданы с вышестоящим профилем ipsec policies:            созданы с выбранным proposal   Созданы 3 Policies, все связаны со своими пирами, с разными белыми ip, все работают, к ним нет вопросов.   Амбула: нужно еще три policies для одного пира - всё это связывается с циской. три - потому, что надо три подсети завести для телефона.   для этих трёх последних polices указал level=unique, сеть источник 192.168.20.4/30 и нифига   подключу любой один из трёх - он работает. подключу любой дополнительный из оставшихся - отваливается первый и оба начинают сыпать msg1/ no phase 2, ну если третий то тоже самое.   изначально стоял Tplink ER605 - в нём были те же самые туннели, стал безбожно глючить, взяли микротик - у него аппаратная поддержка этого всего.   Tplink работал на тех же самых протоколах только был IKEv1, я перевел на IKEv2   куда еще можно покопать ? Всего записей: 359 | Зарегистр. 22-12-2007 | Отправлено: 10:54 18-04-2024

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Kernell32 а трубки одинаковые, может какая то не поддерживает те настройки и надо ей другие, каждой трубке настройте своё подключение для ipsec, у вас же выдаёт не проходит фаза 2 плохая идея на одном бридже прописывать несколько подсетей, для начала можно попробовать каждой отдельный интерфейс, каждой подсети отдельный нат настроить а не один общий. каждому телефону свой туннель. отключить на микротике sip сервис /ip firewall service-port disable sip разные порты телефонам Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 17:35 18-04-2024 | Исправлено: alexnov66, 18:59 18-04-2024

Kernell32 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 ненене трубка знать не знает о ipsec, туннелях и прочем.   переподнял настройки старого tplink - у него был доп. интерфйес *.*.*.*/30 + vlan еще   уберу с бриджа тогда дополнительный ip/30 выведу свободный порт из бриджа повешу ip/30 на свободный порт, которых имеется в запасе. добавлю для него vlan подключу патчкордом к сети.   но это ведь не решит отказ в подключении 3-х туннелей для одного пира. - вот с ними то мне что сделать можно ?   фаза два проходит везде если задействовать любой из трёх для одного пира.(я пробовал сделать на тот же адрес назначения дополнительный пир - не даёт он его добавить[Couldn't add New IPsec Peer - Multiple initiator peers for the same address/dns (6)])   подключаю первый - всё ок. не отключая первого подключаю второго - оба не работают. отключу первого, подключу второго - второй работает. точно так же с третьим. Всего записей: 359 | Зарегистр. 22-12-2007 | Отправлено: 07:53 19-04-2024

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование