есть две задачи


1. есть рынок, в нём три отдаленные  точки, которые соединенны между собой adsl-сетью. в одной из точки Х воткнута йота, которая раздаёт инет по всей сети.
хочется подключить ещё один канал инета в точке Х, чтобы через него шёл трафик только тогда, когда йота по каким-то причина не доступна
так же хочется через этот резервный канал (предоставляется статик) попадать извне по впн/рпд в сеть


2. есть офис из 15 компов, есть местный пров
хочется также пустить трафик через йоту, но переключаться на местный, если йота захлёбывается


какими устройствами это можно реализовать ?

Может это?
http://www.asus.com/ru/Networking/RX3042H/

(1) мне кажется, что проще уж тогда использовать пень4 с 1 гб оперативкой и двумя сетевухами

по стоимости будет значительно дешевле

я вот думал, что всякие "роутеры" с усб входом и одним ван-портом это умеют
которые стоят копейки

Вроде какой то микротик может через USB со свистками работать , насчет йоты-рвоты врать не буду , но с МТС точно дружат.

http://market.yandex.ru/model-spec.xml?modelid=2134262&hid=91088

http://habrahabr.ru/post/131933/

та не дорого? ))

у меня вот такая http://market.yandex.ru/model-spec.xml?modelid=10574514&hid=723087

норм железка.. и звонить умеет и 2 проводных инета может..

Сорри, ссылка с маркета не та.
Вот правильная:
http://www.oldi.ru/catalog/element/0124229/?from=ya_market&utm_source=ya_market&utm_medium=cpc&utm_term=network&utm_campaign=msk&_openstat=bWFya2V0LnlhbmRleC5ydTvQnNCw0YDRiNGA0YPRgtC40LfQsNGC0L7RgCBUUC1MSU5LIFRMLVI0ODBUKyDRgSDRgNC10LPRg9C7LtC_0YDQvtC_0YPRgdC60L3QvtC5INGB0L_QvtGB0L7QsdC90L7RgdGC0LggMldBTiszTEFOIDEwLzEwME1iL3MsIEludGVsIElYUCAyNjZNaHosIFZMQU47X2ZCbkZyMG5uVVJZM25Xb1NqVVlMQTs

(4) интересно

(5) а йоту туда как воткнуть ?*

йота-модем -- это флешка
условно, вместо йоты может быть воткнут модем от мтс/билайн/мегафон

+3 микротик отлично с ними дружит

Тогда огород городить добавляем еще 1600 в бюджет
http://www.mobilelan.ru/catalog/zyxel-keenetic-4g2/

Вот инструкция по настройке:
http://zyxel.ru/kb/2359

(11) т.е. две железки брать ?

угу

угу.

"Дружим" Zuxel с yoto-й и подключаем в TP-LINK "LAN-WAN"

(0) по идее любой девайс с усб портом на который можно потом залить dd-wrt, чтобы настроить балансировку между каналами.

p.s. а ты уже админишь?

(15) мне не нужна балансировка, мне нужно инет пустить через йоту
и если она вдруг не доступна -- пустить через местный пров
как только йота станет доступна, отключить маршрутизацию через местный пров

(14) плохо, что нет одной такой железки

(16) (17) ну да, практически любая прошивка dd-wrt/open-wrt будет тебе переключать каналы, в усб порт хочешь свисток + каналов можно подключить - сколько портов.

(0) Mikrotik или, если знания и финансы позволят - Cisco.

Однозначно микротик

(18) как раз дд-врт прошивка не позволяет
использовать

wan1 включен
wan2 выключен

как только wan1 не доступен -- включить wan2 до тех пор, пока не будет доступен wan1

там можно только распределить нагрузку

(21) ага, рассказывай )
конечно умеет, кроном делали

(22) вот у меня сейчас есть для опытов ди-линк дир-330 с прошивкой дд-врт (есть юсб вход)

как тогда реализовать основной инет через йоту (или мегафон), а если пропадёт -- через шнурок

(2) для 2wan я как-то использовал старый комп. Проблема оказалась в том, что он из-за старости ненадёжный. Периодически зависал. У него физически отваливались детали пока он окончательно не умер.
За стоимость 3-х сетевых карточек можно купить роутер микротик, который предназначен для этих задач.

(24) ссылочкой поделись на ту конфигурацию, которую предлагаешь

любой RB с USB
и курить настройки failover

(23) в 2х словах: делаешь задание в кроне с интервалом 1 мин. и пингуешь сервер снаружи. нет пинга - переключаешь.

(27) а как дд врт сказать, что в усб модем ?

(25) ссылка на железо ;)  http://market.yandex.ru/model.xml?modelid=9263634&hid=723087

http://papa-admin.ru/blog/mikrotik/nastrojka-marshrutizatora-mikrotik-rb951g-2hnd-s-nulya.html

лично 4g не пробовал на микротике, только маны успел почитать. 2WAN от проводных провайдеров работают отлично.

(29) поизучаю

Мда, микротик и правда штуковина хорошая.
Только руки "заточить" нужно.

Вот нашел список поддерживаемого оборудования различными вариантами прошивок, там есть ветка с 3G,4G модемами.

http://wiki.mikrotik.com/wiki/Supported_Hardware#4G_LTE_cards

(28) модем
http://www.dd-wrt.com/wiki/index.php/Cellular_Phone/USB_Modem_as_WAN_connection
2 коннекта с файловером:
http://www.dd-wrt.com/wiki/index.php/Dual_WAN_with_failover

говорят, что mikrotik RouterBOARD 951G-2HnD ( http://mikrotik.ru/katalog/katalog/marshrutizatory/soho/routerboard-951g-2hnd ) решит проблему

Практический любой из роутеров mikrotik.
На нем можно настроить либо резервирование канала, либо балансировку.

(33) всем хорош, только вифи 1-диапазонный :(

заинтересовался, как роутеру dir - 330 с прошивкой dd wrt сделать возможность работы с йотой

нашёл статью : http://www.mywifi.com/manuals/show/25

но там на закладке Службы есть раздел про йоту
получается -- разные прошивки поддержку осуществляют ?

нашёл ещё

Создание мода прошивки DD-WRT под Yota
http://www.network-engineer.ru/post-256.html

( http://www.network-engineer.ru/post-162.html )

только не пойму -- к существующей можно добить дрова ?

(0) обычно это делается так:
"Админ, сделай чтобы... [и далее по задаче]"
;)

(34) Можно-то оно "можно", но по факту ещё то гемор.
То есть, ламер по совету вновьвдохновлёного микротик-нуба резко пытается -- и обламывается. Ну, нету там экранных форм с галочками "стосорокшестьпроцентов володе" -- нету, всё на пальчиках. И расстраивается ламер (хотя зря), и брызжет соплёй нуб.

Вот, (38) дело говорит.

писатель

(39)Не звизди, там куча экранных форм с галочками.

есть такая же железка, но не на 4 дырки, а на 8-10 ?

ап!

(0) Microtik поставь настрой и забудь по него

(44) на 8-10 дырок есть такой же?

(45) в роутере кошерно 1 дырку в локалку использовать, которая тыкается в свич

(45) Ну по ссылке на микротике выше их там дофигища же, "красненькие" вам подойдут :))) 2011 которые
(46) это не по сетевому феншую, посему некошерно

(47) про этот что ли http://mikrotik.ru/katalog/katalog/marshrutizatory/soho/routerboard-2011uas-2hnd-in ?

(48) Или в магазин позвони.
Или задай вопрос на профильном форуме.
Или сам посчитай какой у тебя трафик.

Может тебе 2011 будет мало. Есть новая серия 1009/1016.
Или аппаратное шифрование/фильтрация и подешевле, тогда 1100

На mikrotik.ru очень порезан ассортимент.
Смотри у производителя http://routerboard.com/

А из хомеофисе с вайфаем уже собранный лучший в (48)

(49) новую серию увидел только у хохлов : http://ubiquiti-mikrotik.com.ua/p40248674-mikrotik-ccr1009.html

взял железку из 48...


где там настройка резервного канала ?

ну и традиционно
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/index.html

+ (51) поключил йоту --- а микротик её не видит

(52) Заодно CCNP получит,  пока настраивать научиться...

+ (53) оказывается была прошивка старая -- 6.18

обновил на 6.20 и йота стала видна

У меня случайно получилось два инета.
По Вифи подлючаюсь в внутреннему инету  конторы, и через Ёту (USB модем) к внешнему инету.

+ (56) оба инета работают одновременно

(54) ну и отлично, это же отстатыщ сразу )

(58) мало, было бы от трёхсот

йота блин то работает, то нет
делал по этой инструкции : http://spw.ru/solutions/sovmestimost_mikrotik_i_yota_lte/

(60) нужно зайти на какой-то ip модема йоты, там видно статистику.
А ещё может питания не хватать и модем отключается.

(61) питания хватает

status.yota.ru сейчас зачем ?

(62) то работает, то нет. Это роутер то видит модем, то нет? Или связь 4g то есть, то нет?
У status.yota.ru или подобного должен быть локальный ip и там видно есть соединение с БС или нет.

(63) так я стал вытыкать йоту, вставлять витую пару и наоборот
+ в правилах что-то намутил -- в итоге не работает

по статье из 60 непонятно, как на роутере переключить по какому инту сейчас ходить

как настроить vpn извне ?

добавил правило в фаервол, чтобы разрешить входящие подключение к порту 1723

далее включил pptp сервер

завёл юзера


подключаюсь извне по vpn -- пишет ошибка 800

почему ?*

(66) зак, зачем тебе все это?
ты же вроде программил, не?

(67) надо настроить
+ хочется разбираться в вопросе

(68) чтобы начать разбираться в вопросе, надо почитать теорию, что такое порты, какие сетевые протоколы бывают, какие утилиты есть под win/macOS для просмотра состояния сети, какие порты открыты у тебя, на удаленном хосте и т.д.

только нафига? если профи сделает за время в три раза быстрее и в три раза дешевле 1Сника.

(66) Надо еще извне доступ по протоколу GRE

(69) позвал я как-то профи-одмина (стаж более 15 лет), который не знал, как прописать маршруты с однго интерфейса на другой

(70) только неясно -- зачем ?
где-то пишется, чтот нужно, где-то не нужно

даже с этим разрешением не работает

Как это зачем? Данные то через GRE передаются.
Покажи правила. Если у тебя 2 wan то возможно исходящие по другому интерфейсу уходят

(0)Не как не пойму на чём вы остановились из оборудования и софта. Продублируйте пожалуйста )

(73) момент

(74) сейчас на настройке

(75) Для начала оставь только один интерфейс wan. И пробуй. Потом уже начнешь с 2мя крутить.

(75) Настройки чего ? ёты ? или vpn то работат то нет ? например работает какое то время после пинга, а потом нет ?

(75) По ёте. Может у тебя стоит где то в настройках Dial on demand?

(76) сбросил все настройки по умолчанию, выдернул йоту

(77) сейчас vpn не могу поднять

трассировка чего показывает ? на каком этапе проблема ?

создаю по инструкции впн-серсер : http://bozza.ru/art-188.html

вот правила


[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; vpn
      chain=input action=accept protocol=tcp dst-address=77.97.132.132
      in-interface=ether1-gateway log=no log-prefix=""

4    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=related log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

пытаюсь подключить извне по ip

создаю в win7 vpn-соединение
указываю ip,логин,пароль
получаю ошибку 800

или с GRE, но без ИП

0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; GRE
      chain=input action=accept protocol=gre in-interface=ether1-gateway log=no
      log-prefix=""

4    ;;; vpn
      chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

8    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

(83) Смотрите логи fw на микро тик, если не чего нету, уберите правило из fw если пять не чего нету, то клиент вообще не понимает куда ему стучатся, если есть ошибки в fw то нужно смотреть.

(85) вот

http://savepic.org/6162332.png

(86) Судя по скрину тунель создался и даже минуту держится.
Попробуйте из консоли винды с той и с той стороны поделать трассировку, что выдаст ?

Нужно попинговать как роутеры, так и компьютеры за роутерами

попинговать = трассировка )

(88) все компы за роутерами

что пинговать и зачем ?

(90) Ну не все же, а 1, у вас же якобы не работает, а трассировка вам покажет на каком маршруте всё валится.

трасировка уходит в никуда

(92) в некуда это как ? как трассировать сайты ? тобишь на внешку ? до определёно момента, дальше потери ?

(92) давайте трасировку сюда с описание куда и чего вы пытаетесь трассировать

вот это я лоханулся =))))

я не тот IP извне набирал
+ этот неверный IP вбил в субдомен vpn.domain.ru

(96) "все по инструкции скопировал" ? :DDD

(84) У тебя тут порт не прописан. Дыра.
chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no

(96) Ну таки завелось?
И почему у тебя "ether1-gateway"? У тебя же модем вроде, отдельный интерфейс должен быть у модема.

(97) ошибка в одной цифре IP
нет конечно, не всё копировал

(99) в итоге завелось?
расскажешь потом как впн на йоте себя чувствует. Имхо, резать должны ...

(100) Ёта как раз вроде ничего не режет. Это прерогатива мтс :)

(98)

1. забыл, сейчас на скорую руку делал
переделал

2. я же йоту отрубил и стал проверять бес свитска

(100) Нормально все поднимается. На крайняк, если провайдер режет впн - то поднимаем опенвпн. Его никак не зарезать. Он может по любому порту работать, у меня по 443 порту работает.

(100) да

по йоте будут ходить в инет
по витой паре vpn+rdp

теперь новый вопрос

извне создал vpn-соединение

извне вбиваю в mtsc IP сервера терминала

говорит -- хрен

какое правило надо создать внутри vpn-соединения ?

(105) Вопервых тебе нужно разрешить в фаерволе форвард из впн клиентов в локальную сеть.
Во вторых прописать днат на срервер по порту рдп

и еще вроде маскарадинг из твоей сети в впн сеть.

(106)

1. как это ?
2. что-что ?

(107)
3. зачем ?
если vpn клиент имеет ip адрес той же сети, куда собирается подключаться

(108)
1) В правилах фаервола в фильтре добавь типа
chain=forward src-address=192.168.91.0/24 action=accept
(192.168.91.0/24 - это подсеть впн)
Если после этого правила из впн сети пингуется сервер рдп больше ничего не надо

(109)

что-то я не понимаю


192.168.88.2 --- айПи внутренний для впн-подключения

192.168.88.200 --- айпи терминального сервера


есть мост bridge-local для всех портов2-10

в ppp профиле указываю мост bridge-local


зачем ещё какое правило фаерволе ?

(110) pptp соединение не войдет у тебя в бридж. Бридж сама суть бриджа это соединение езернет (виртуальных эзернет) устройств. А пптп у тебя при ту пир соединение.

при ту пир

блин пир тут пир

+ (111) Вот с openvpn такая тема пройдет.

зачем тогда таи поле bridge в профиле ?

нашёл твою же тему : Настройка mikrotik + pptp + bridge - есть специалисты? =)

(116) Ну вот тогда я все выяснил :)

+ (111) Такое возможно, если соединять через PPTP 2 микротика.

PPTP категорически небезопасно.
Имхо, или OpenVPN или L2TP/IPsec.

добавил

chain=forward src-address=192.168.88.2 action=accept


не работает

(120) 192.168.88.0/24 сделай.
192.168.88.2 - это адрес чего? Тебе нужен адрес удаленного хоста внутри впн.

(119) Почему?

(121) это и есть адрес внешнего подключения

Покажи что выводит на удаленном хосте с подключенным впн
ipconfig
route print

Мне кажется 192.168.88.2 - это не удаленный хост, а локальный в микротике, который создается в рамках PPTP.

(124)


C:\Users\Николай>ipconfig

Настройка протокола IP для Windows


Адаптер PPP VPN-подключение 4:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::28fb:1861:52a2:5478%11
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.80
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1

Ethernet adapter VirtualBox Host-Only Network:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::bc1b:8176:8df5:18c%18
   IPv4-адрес. . . . . . . . . . . . : 192.168.56.1
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{93FF8614-415A-4B69-A838-6D2343BE59E9}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{04A7C24D-C2FA-4D4C-A161-05D02C3E8B07}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{6B40B0BA-77D0-4709-BF9B-E405510DDEE2}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

C:\Users\Николай>

(125) да

Вот тут проблема. У тебя маршрута внутрь локальной сети нет.
Есть только до 192.168.88.2
DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

У меня
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.91.51
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

+ 128 Это в профиле безопасности pptp нужно прописывать.
У меня
/ppp profile
add bridge=br-local local-address=192.168.91.1 name=pptp-profile remote-address=pool-ip-91 use-encryption=yes

Все таки брижд укажи, может он оттуда берет какие то настройки по маршрутизации

Ошибочка. У меня это не pptp соединение, а опенвпн. В пптп все правильно, должно быть 255.255.255.255
Покажи маршруты

получилось

*не получилось

вернее =)

http://wiki.mikrotik.com/wiki/Manual:IP/ARP

(134) для кого включать ?

arsik у тебя скайп/аська есть 7

ещё в тему :

сбросил все настройки, подключил проводной инет
поднял pptp

подключать по vpn извне по IP -- ок

теперь вставлю в микротик йоту
добавляю dhcp client по имени lte1 (default route distance стало равным 0)

захожу в фаервор, добавляю нат-правило

клиенты микротика теперь идут через йоту


теперь пробую зайти по vpn извне по ip -- хрен, ошибка 800

(137) У тебя все через ету пытается выходить, т.к. это маршрут по умолчанию.

Входит через езернет, а выходит через ету.

читаю http://habrahabr.ru/post/227913/

8.4. Доступ по протоколу RDP из сети VPN во внутреннюю сеть

Chain: forward
Protocol: tcp
Src.Address: 192.168.170.0/24
Dst.Address: 192.168.0.0/22
Dst.Port: 3389
Action: accept


Src.Address -- выданный IP впн-клиенту ?
Dst.Address -- адрес к кому подключаешься ?*?

(140)Да, но посмотри лучше десятый пункт.