Davli

MikroTik RB/MRTG (miniROUTERG) Часть 1

Рекомендованные сообщения

Получите все маршруты от dhcp сервера билайна, там все нужные маршруты должны быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо.

хорошая штука оказалась. Фтп настроил с флешки, очень удобно)

 

Ещё вопрос появился. Смотрю лог и вижу странную картинку. Я правильно понимаю что кто-то по ssh пытается подключиться к роутеру но неверный логин? Что это может быть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получите все маршруты от dhcp сервера билайна, там все нужные маршруты должны быть.

Получил. но толку нет... регистрация не проходит... Для СИПа еще что то требуется? у меня gigaset 610 на фору все кричат что работает с микротиком. На гигасете у меня настроен другой работоспособный провайдер, а билайн пишет нет регистрации... Ч понять не могу в чем эта проблема... СЕрвера все правильно указал(см скрин)? делал как в инструкции. Там указал имя именно Никнейма который в телефонии, а не логин авторизации л2тп- это надеюсь правильно.

 

Смотрю лог и вижу странную картинку. Я правильно понимаю что кто-то по ssh пытается подключиться к роутеру но неверный логин? Что это может быть?

Ломают тебя. смотри скрин

post-550291-004252800 1420930276_thumb.jpg

post-550291-093678600 1420930433_thumb.jpg

Изменено пользователем Sharik987

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Х.з. у меня нет сипа. Но тут в ветке уже кто то отписывался о работоспособности, поищите.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получите все маршруты от dhcp сервера билайна, там все нужные маршруты должны быть.

Получил. но толку нет... регистрация не проходит... Для СИПа еще что то требуется? у меня gigaset 610 на фору все кричат что работает с микротиком. На гигасете у меня настроен другой работоспособный провайдер, а билайн пишет нет регистрации... Ч понять не могу в чем эта проблема... СЕрвера все правильно указал(см скрин)? делал как в инструкции. Там указал имя именно Никнейма который в телефонии, а не логин авторизации л2тп- это надеюсь правильно.

 

Смотрю лог и вижу странную картинку. Я правильно понимаю что кто-то по ssh пытается подключиться к роутеру но неверный логин? Что это может быть?

Ломают тебя. смотри скрин

 

Я свою картинку не прикрепил

b3155505cb30.jpg

 

Отключил ssh и телнет. Вроде все прекратилось. Странно, кто мог узнать айпишник окторый я получил пол часа назад, чтобы ещё брутить логин к роутеру. Да и если по войсу посмотреть этот айпишник, то выдает что из китая. В общем не пойму что это...

Изменено пользователем Hacked

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Hacked, отключите ssh

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Hacked, отключите ssh

Так и поступил. Странно просто это немного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Hacked, отключите ssh

Так и поступил. Странно просто это немного.

А что странного? у тебя предположу не статика внешнего IP. Видимо китаец ломал до тебя другого абонента билайн, либо просто тебе не повезло.

 

Скажите как прописать этот и проверить это?

 

Как идет маршрут до msk.sip.beeline.ru

 

и есть ли маршрут на 10.0.0.0 255.0.0.0

 

UPD

Сами спрашиваем, сами отвечаем ))

Дело было в маршруте. Прописал статический до 10.25.0.50 через External и всё заработало ))

 

вот в данной ветки нашел думаю ответ на свой вопрос. Как это прописать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

вот в данной ветки нашел думаю ответ на свой вопрос. Как это прописать?

ip->routes

Изменено пользователем Hacked
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SIP норм работает если пингануть адрес местного сервера и внести его IP в маршруты. В Питере это 10.25.0.35

 

Если настроить фаер, то сервисы трогать даже не придется. А ненужные можно вообще сразу отрубить.

Изменено пользователем Kuja Leonhart
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Билайн опять что-то мутит, проверяйте у себя MTU:

post-598331-028152800 1420974557_thumb.png

 

Если MTU=1456,то для тех у кого MSS забито жёстко, надо изменять правила:

 

 

/ip firewall mangle

add action=change-mss chain=forward in-interface=Beeline new-mss=1416 protocol=tcp tcp-flags=syn tcp-mss=1417-65535

add action=change-mss chain=forward new-mss=1420 out-interface=Beeline protocol=tcp tcp-flags=syn tcp-mss=1421-65535

 

Немного поэкспериментировал:

 

Люди которые работают в Билайне, действительно утонули в бюрократии и не видят всей картины происходящего? Или просто дебилы?

 

Мой регион Москва. Некоторые vpn сервера переведены на новую схему работы, некоторые нет – Ну так переводите все для одного региона.

 

1) К одним цепляется по старой схеме, где требуется подмена адреса тунеля(mtu=1460).

 

2) К другим цепляется по новой схеме, адреса раздаются разные и подмена не нужна(mtu=1456).

Изменено пользователем NikIv
Мат , устное предупреждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SIP норм работает если пингануть адрес местного сервера и внести его IP в маршруты. В Питере это 10.25.0.35

 

Если настроить фаер, то сервисы трогать даже не придется. А ненужные можно вообще сразу отрубить.

Я не совсем понял пинганут сервер какой? Шлюз Внутреней сети? у меня шлюз внутреней сети в Москве 10.59.120.1

И какой маршрут должен быть dst.adres 10.59.120.1 , gateway 192.168.1.1(моя внутреняя сеть) ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10.0.0.0/8 gateway 10.59.120.1

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ещё возник вопрос. У меня вышло поднять ВПН, но к сожалению, но вот поднять прокси не выходить. Я правильно понимаю, что в разделе ip, web-proxy, немного для других задач, нежели прокси-сервер который я пытаюсь сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь точно все. Фаерволл, вафлю и т.д. по своему вкусу.

легко сказать. а если для раньше для меня фаерволл настраивал сам бытовой роутер?

какой должен быть минимум? сейчас я настроил вот так:

 

/ip firewall filter
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"
add chain=input action=drop comment="drop everything else" in-interface=external
add chain=input action=drop comment="drop everything else" in-interface=beeline-l2tp

или настроить, как написано тут: http://forum.ixbt.com/topic.cgi?id=14:51525:2073#2073

или так:

 

# Protect router - команды для защиты роутера:
ip firewall filter add action=accept chain=input disabled=no protocol=icmp
ip firewall filter add action=accept chain=input connection-state=established disabled=no in-interface=beeline-l2tp
ip firewall filter add action=accept chain=input connection-state=related disabled=no in-interface=beeline-l2tp
ip firewall filter add action=drop chain=input disabled=no in-interface=beeline-l2tp
# Protect LAN - защита внутренней сети:
ip firewall filter add action=jump chain=forward disabled=no in-interface=beeline-l2tp jump-target=customer
ip firewall filter add action=accept chain=customer connection-state=established disabled=no
ip firewall filter add action=accept chain=customer connection-state=related disabled=no
ip firewall filter add action=drop chain=customer disabled=no

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То. что вы настроили вполне реализует то, что за вас делал раньше роутер.

Вы закрыли подключения извне(билайновская сеть и интернет) к своему роутеру. Этого достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте!

 

Перед новым годом купил MikroTik RB951G-2HnD, но до сих пор не осилил его настроить под пчелайн...

 

Сделал настройки по инструкции "конфиг в 12 строчек от Kuja Leonhart"

 

За исключением одной строки:

add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
выдавала ошибку: "input does not match any value of interface"
Вместо неё выполнил:
add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=ether1

 

Интернет не появился

 

 

[admin@MikroTik] > ping www.ru

HOST SIZE TTL TIME STATUS

193.124.3.1 timeout

193.124.3.1 timeout

193.124.254.163 56 248 2ms admin prohibited

193.124.3.1 timeout

193.124.254.163 56 248 2ms admin prohibited

193.124.254.163 56 248 2ms admin prohibited

193.124.3.1 timeout

193.124.3.1 timeout

193.124.3.1 timeout

193.124.3.1 timeout

193.124.3.1 timeout

193.124.3.1 timeout

193.124.254.163 56 248 2ms admin prohibited

193.124.254.163 56 248 2ms admin prohibited

193.124.3.1 timeout

193.124.254.163 56 248 2ms admin prohibited

sent=16 received=0 packet-loss=100%

 

 

В DHCP Client добавил:

parameter_request_list
55
0x01F90321062A

 

Интернет не появился.

 

Мой конфиг:

 

 

 

[admin@MikroTik] > export

# jan/02/1970 00:49:09 by RouterOS 6.20

# software id = UNEE-EWD6

#

/interface wireless

set [ find default-name=wlan1 ] l2mtu=2290

/ip dhcp-client option

add code=55 name=parameter_request_list value=0x01F90321062A

/ppp profile

add name=Beeline remote-address=192.168.255.254 use-compression=no \

use-encryption=no use-vj-compression=no

/interface l2tp-client

add add-default-route=yes allow=chap connect-to=tp.internet.beeline.ru \

default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=60 \

max-mru=1500 max-mtu=1460 mrru=disabled name=Beeline password=*** \

profile=Beeline user=***

/system logging action

set 2 remember=yes

/ip dhcp-client

add default-route-distance=2 dhcp-options=\

hostname,clientid,parameter_request_list disabled=no interface=ether1

/ip dns

set servers=85.21.0.231,85.21.0.232

/ip firewall mangle

add action=change-mss chain=forward in-interface=Beeline new-mss=1420 protocol=\

tcp tcp-flags=syn tcp-mss=1421-65535

add action=change-mss chain=forward new-mss=1420 out-interface=Beeline \

protocol=tcp tcp-flags=syn tcp-mss=1421-65535

/ip firewall nat

add action=masquerade chain=srcnat out-interface=Beeline

/ip route

add comment="Beeline DNS server subnet" distance=1 dst-address=78.107.1.0/24 \

gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=85.21.0.0/24 \

gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=85.21.192.0/24 \

gateway=10.59.184.1

add comment="Beeline VPN server subnet" distance=1 dst-address=213.234.192.0/24 \

gateway=10.59.184.1

/ip upnp

set allow-disable-external-interface=no

/snmp

set trap-community=public

/system leds

set 0 interface=wlan1

[admin@MikroTik] >

 

 

 

Мой скрипт (без логина/пароля):

 

/ppp profile

add name=Beeline remote-address=192.168.255.254 use-compression=no use-encryption=no use-vj-compression=no

 

/interface l2tp-client

add add-default-route=yes allow=chap connect-to=tp.internet.beeline.ru disabled=no max-mru=1500 max-mtu=1460 name=Beeline password=*** profile=Beeline user=***

 

/ip dhcp-client

add default-route-distance=2 dhcp-options=hostname,clientid disabled=no interface=ether1-gateway

 

/ip firewall nat

add action=masquerade chain=srcnat out-interface=Beeline

 

/ip route

add comment="Beeline VPN server subnet" distance=1 dst-address=213.234.192.0/24 gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=85.21.0.0/24 gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=85.21.192.0/24 gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=78.107.1.0/24 gateway=10.59.184.1

 

/ip firewall mangle

add action=change-mss chain=forward in-interface=Beeline new-mss=1420 protocol=tcp tcp-flags=syn tcp-mss=1421-65535

add action=change-mss chain=forward new-mss=1420 out-interface=Beeline protocol=tcp tcp-flags=syn tcp-mss=1421-65535

 

 

При подключении кабеля от провайдера в компьютер и выполнении команды "C:\Users\rampage>nslookup tp.internet.beeline.ru":

 

╤хЁтхЁ: hdns1.corbina.net

Address: 213.234.192.8

 

╚ь : tp.internet.beeline.ru

Addresses: 85.21.0.231

85.21.0.232

 

 

 

Мой лог (не знаю как его в текстовом виде можно получить): ссылка на скриншот

Изменено пользователем rampage_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

/ip dns

set servers=85.21.0.231,85.21.0.232

У вас прописаны неверные IP-адреса DNS-серверов. Эти адреса похожи на адреса VPN-серверов.

У меня DNS выдаются автоматически, такие:

213.234.192.8

85.21.192.3

 

P.S. посмотрите Личные сообщения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@krevetkaa, поменял ДНС/ВПН

 

ya.ru пингуется, www.ru - нет

 

[admin@MikroTik] > ping ya.ru

HOST SIZE TTL TIME STATUS

213.180.204.3 56 54 3ms

213.180.204.3 56 54 3ms

213.180.204.3 56 54 3ms

213.180.204.3 56 54 3ms

213.180.204.3 56 54 3ms

sent=5 received=5 packet-loss=0% min-rtt=3ms avg-rtt=3ms max-rtt=3ms

 

[admin@MikroTik] > ping www.ru

HOST SIZE TTL TIME STATUS

193.124.3.1 timeout

193.124.254.163 56 248 2ms admin prohibited

193.124.254.163 56 248 2ms admin prohibited

193.124.254.163 56 248 2ms admin prohibited

193.124.254.163 56 248 2ms admin prohibited

sent=5 received=0 packet-loss=100%

 

[admin@MikroTik] > ping 213.234.192.8

HOST SIZE TTL TIME STATUS

213.234.192.8 56 249 1ms

213.234.192.8 56 249 1ms

213.234.192.8 56 249 1ms

213.234.192.8 56 249 1ms

213.234.192.8 56 249 1ms

sent=5 received=5 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=1ms

 

[admin@MikroTik] > ping ruzouk.ru

HOST SIZE TTL TIME STATUS

31.170.164.126 56 50 54ms

31.170.164.126 56 50 54ms

31.170.164.126 56 50 54ms

31.170.164.126 56 50 54ms

31.170.164.126 56 50 54ms

sent=5 received=5 packet-loss=0% min-rtt=54ms avg-rtt=54ms max-rtt=54ms

 

 

Внутри роутера интернет заработал?

 

Конфиг:

 

[admin@MikroTik] > export

# jan/02/1970 00:08:57 by RouterOS 6.20

# software id = UNEE-EWD6

#

/interface wireless

set [ find default-name=wlan1 ] l2mtu=2290

/ppp profile

add name=Beeline remote-address=192.168.255.254 use-compression=no \

use-encryption=no use-vj-compression=no

/interface l2tp-client

add add-default-route=yes allow=chap connect-to=tp.internet.beeline.ru \

default-route-distance=1 dial-on-demand=no disabled=no keepalive-timeout=\

60 max-mru=1500 max-mtu=1460 mrru=disabled name=Beeline password=***пароль*** \

profile=Beeline user=***логин***

/system logging action

set 2 remember=yes

/ip dhcp-client

add default-route-distance=2 dhcp-options=hostname,clientid disabled=no \

interface=ether1

/ip dns

set servers=213.234.192.8,85.21.192.3

/ip firewall mangle

add action=change-mss chain=forward in-interface=Beeline new-mss=1420 \

protocol=tcp tcp-flags=syn tcp-mss=1421-65535

add action=change-mss chain=forward new-mss=1420 out-interface=Beeline \

protocol=tcp tcp-flags=syn tcp-mss=1421-65535

/ip firewall nat

add action=masquerade chain=srcnat out-interface=Beeline

/ip route

add comment="Beeline DNS server subnet" distance=1 dst-address=78.107.1.0/24 \

gateway=10.59.184.1

add comment="Beeline VPN server subnet" distance=1 dst-address=85.21.0.0/24 \

gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=85.21.192.0/24 \

gateway=10.59.184.1

add comment="Beeline DNS server subnet" distance=1 dst-address=\

213.234.192.0/24 gateway=10.59.184.1

/ip upnp

set allow-disable-external-interface=no

/snmp

set trap-community=public

/system leds

set 0 interface=wlan1

[admin@MikroTik] >

 

 

 

Скришоты (мб помогут):

Interface list...

Route list...

Log

Изменено пользователем rampage_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@rampage_, домашняя сеть у вас как настроена?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в роутере почему нет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внезапно перестало подключаться с chap. Методом перебора удалось подключиться только с pap. Хочу заметить, что, если "поднять" l2tp на компьютере (через роутер, без переключения кабеля), то подключается без проблем, и с chap.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хочу заметить, что L2TP через роутер – это очень затейная идея (с подводными камнями).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внезапно заработало как и прежде, с chap. Что это было - я не знаю...

 

затейная идея (с подводными камнями).

Что за камни? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по гуглить?

 

Забейте l2tp через nat или nat-traversal, правда, относится это всё к куску IPsec, которого у Би нет, но некоторые костыли могут выскочить.

Изменено пользователем pepelxl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

У меня вопрос по настройке mikrotika, ответ на который не могу найти уже несколько дней:

Mikrotik пингуется из Инета по внешнему ip, НО все порты закрыты, несмотря на выставленные порты самого mikrotika и проброшенный netmap-ом порт на внутренний ресурс. И ХЗ что делать. Помогите, кто чем может. :help:

 

Данные:

Beeline Москва L2TP

В mikrotike занято всего два порта - WAN и LAN.

В локальной сети все работает отлично, интернет летает. Маршруты к локальным ресурсам билайна прописаны через WAN, к интернету через L2TP.

NAT висит на исходящем трафике на WAN и L2TP.

На L2TP с моей стороны белый ip.

Firewall отключал (разрешал весь трафик),- не помогает.

При обращении из интернета к проброшенному в локалку порту, фиксирую передачу данных в цепочке forward, но на локальном компе, к которому проброшен порт, пакетов нет. :shok:

Где проблема не знаю, уже всю голову сломал. :bang:

 

Если для ответа требуются дополнительные данные, скажите какие. Могу дать конфиги, если надо, скажите какие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По статье на хабре настраивали?

dst-nat пробовали?

у кого нибудь этот netmap вообще работает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, по статье на хабре тоже. Dst-nat пробовал. Честно говоря с него и начал, но эффект абсолютно одинаковый.

Изменено пользователем oldvolt13

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.