|
два интернета -- какую железку выбрать? | ☑ | ||
---|---|---|---|---|
0
zak555
11.09.14
✎
11:04
|
есть две задачи
1. есть рынок, в нём три отдаленные точки, которые соединенны между собой adsl-сетью. в одной из точки Х воткнута йота, которая раздаёт инет по всей сети. хочется подключить ещё один канал инета в точке Х, чтобы через него шёл трафик только тогда, когда йота по каким-то причина не доступна так же хочется через этот резервный канал (предоставляется статик) попадать извне по впн/рпд в сеть 2. есть офис из 15 компов, есть местный пров хочется также пустить трафик через йоту, но переключаться на местный, если йота захлёбывается какими устройствами это можно реализовать ? |
|||
42
zak555
09.10.14
✎
14:50
|
есть такая же железка, но не на 4 дырки, а на 8-10 ?
|
|||
43
zak555
09.10.14
✎
23:05
|
ап!
|
|||
44
JedaiMaster
10.10.14
✎
03:02
|
(0) Microtik поставь настрой и забудь по него
|
|||
45
zak555
10.10.14
✎
08:43
|
(44) на 8-10 дырок есть такой же?
|
|||
46
Йохохо
10.10.14
✎
09:32
|
(45) в роутере кошерно 1 дырку в локалку использовать, которая тыкается в свич
|
|||
47
Garikk
10.10.14
✎
10:31
|
(45) Ну по ссылке на микротике выше их там дофигища же, "красненькие" вам подойдут :))) 2011 которые
(46) это не по сетевому феншую, посему некошерно |
|||
48
zak555
10.10.14
✎
11:36
|
(47) про этот что ли http://mikrotik.ru/katalog/katalog/marshrutizatory/soho/routerboard-2011uas-2hnd-in ?
|
|||
49
Mihenius
10.10.14
✎
13:16
|
(48) Или в магазин позвони.
Или задай вопрос на профильном форуме. Или сам посчитай какой у тебя трафик. Может тебе 2011 будет мало. Есть новая серия 1009/1016. Или аппаратное шифрование/фильтрация и подешевле, тогда 1100 На mikrotik.ru очень порезан ассортимент. Смотри у производителя http://routerboard.com/ А из хомеофисе с вайфаем уже собранный лучший в (48) |
|||
50
zak555
10.10.14
✎
13:32
|
(49) новую серию увидел только у хохлов : http://ubiquiti-mikrotik.com.ua/p40248674-mikrotik-ccr1009.html
|
|||
51
zak555
11.10.14
✎
18:34
|
взял железку из 48...
где там настройка резервного канала ? |
|||
52
Сержант 1С
11.10.14
✎
18:44
|
||||
53
zak555
11.10.14
✎
18:49
|
+ (51) поключил йоту --- а микротик её не видит
|
|||
54
Zamestas
11.10.14
✎
19:04
|
(52) Заодно CCNP получит, пока настраивать научиться...
|
|||
55
zak555
11.10.14
✎
19:27
|
+ (53) оказывается была прошивка старая -- 6.18
обновил на 6.20 и йота стала видна |
|||
56
tgr_2005
11.10.14
✎
19:27
|
У меня случайно получилось два инета.
По Вифи подлючаюсь в внутреннему инету конторы, и через Ёту (USB модем) к внешнему инету. |
|||
57
tgr_2005
11.10.14
✎
19:28
|
+ (56) оба инета работают одновременно
|
|||
58
Сержант 1С
11.10.14
✎
19:49
|
(54) ну и отлично, это же отстатыщ сразу )
|
|||
59
zak555
11.10.14
✎
20:01
|
(58) мало, было бы от трёхсот
|
|||
60
zak555
11.10.14
✎
20:06
|
йота блин то работает, то нет
делал по этой инструкции : http://spw.ru/solutions/sovmestimost_mikrotik_i_yota_lte/ |
|||
61
MaxS
11.10.14
✎
20:21
|
(60) нужно зайти на какой-то ip модема йоты, там видно статистику.
А ещё может питания не хватать и модем отключается. |
|||
62
zak555
11.10.14
✎
20:31
|
(61) питания хватает
status.yota.ru сейчас зачем ? |
|||
63
MaxS
11.10.14
✎
21:22
|
(62) то работает, то нет. Это роутер то видит модем, то нет? Или связь 4g то есть, то нет?
У status.yota.ru или подобного должен быть локальный ip и там видно есть соединение с БС или нет. |
|||
64
zak555
11.10.14
✎
21:36
|
(63) так я стал вытыкать йоту, вставлять витую пару и наоборот
+ в правилах что-то намутил -- в итоге не работает |
|||
65
zak555
12.10.14
✎
13:19
|
по статье из 60 непонятно, как на роутере переключить по какому инту сейчас ходить
|
|||
66
zak555
12.10.14
✎
15:15
|
как настроить vpn извне ?
добавил правило в фаервол, чтобы разрешить входящие подключение к порту 1723 далее включил pptp сервер завёл юзера подключаюсь извне по vpn -- пишет ошибка 800 почему ?* |
|||
67
sf
12.10.14
✎
15:29
|
(66) зак, зачем тебе все это?
ты же вроде программил, не? |
|||
68
zak555
12.10.14
✎
19:29
|
(67) надо настроить
+ хочется разбираться в вопросе |
|||
69
sf
13.10.14
✎
09:29
|
(68) чтобы начать разбираться в вопросе, надо почитать теорию, что такое порты, какие сетевые протоколы бывают, какие утилиты есть под win/macOS для просмотра состояния сети, какие порты открыты у тебя, на удаленном хосте и т.д.
только нафига? если профи сделает за время в три раза быстрее и в три раза дешевле 1Сника. |
|||
70
arsik
гуру
13.10.14
✎
09:52
|
(66) Надо еще извне доступ по протоколу GRE
|
|||
71
zak555
13.10.14
✎
09:53
|
(69) позвал я как-то профи-одмина (стаж более 15 лет), который не знал, как прописать маршруты с однго интерфейса на другой
|
|||
72
zak555
13.10.14
✎
09:53
|
(70) только неясно -- зачем ?
где-то пишется, чтот нужно, где-то не нужно даже с этим разрешением не работает |
|||
73
arsik
гуру
13.10.14
✎
09:56
|
Как это зачем? Данные то через GRE передаются.
Покажи правила. Если у тебя 2 wan то возможно исходящие по другому интерфейсу уходят |
|||
74
Trotter
13.10.14
✎
09:59
|
(0)Не как не пойму на чём вы остановились из оборудования и софта. Продублируйте пожалуйста )
|
|||
75
zak555
13.10.14
✎
09:59
|
(73) момент
(74) сейчас на настройке |
|||
76
arsik
гуру
13.10.14
✎
10:01
|
(75) Для начала оставь только один интерфейс wan. И пробуй. Потом уже начнешь с 2мя крутить.
|
|||
77
Trotter
13.10.14
✎
10:01
|
(75) Настройки чего ? ёты ? или vpn то работат то нет ? например работает какое то время после пинга, а потом нет ?
|
|||
78
arsik
гуру
13.10.14
✎
10:02
|
(75) По ёте. Может у тебя стоит где то в настройках Dial on demand?
|
|||
79
zak555
13.10.14
✎
10:20
|
(76) сбросил все настройки по умолчанию, выдернул йоту
|
|||
80
zak555
13.10.14
✎
10:20
|
(77) сейчас vpn не могу поднять
|
|||
81
Trotter
13.10.14
✎
10:21
|
трассировка чего показывает ? на каком этапе проблема ?
|
|||
82
zak555
13.10.14
✎
10:34
|
создаю по инструкции впн-серсер : http://bozza.ru/art-188.html
вот правила [admin@MikroTik] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 1 ;;; default configuration chain=input action=accept connection-state=established log=no log-prefix="" 2 ;;; default configuration chain=input action=accept connection-state=related log=no log-prefix="" 3 ;;; vpn chain=input action=accept protocol=tcp dst-address=77.97.132.132 in-interface=ether1-gateway log=no log-prefix="" 4 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 5 ;;; default configuration chain=forward action=accept connection-state=established log=no log-prefix="" 6 ;;; default configuration chain=forward action=accept connection-state=related log=no log-prefix="" 7 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" |
|||
83
zak555
13.10.14
✎
10:34
|
пытаюсь подключить извне по ip
создаю в win7 vpn-соединение указываю ip,логин,пароль получаю ошибку 800 |
|||
84
zak555
13.10.14
✎
10:39
|
или с GRE, но без ИП
0 ;;; default configuration chain=input action=accept protocol=icmp log=no log-prefix="" 1 ;;; default configuration chain=input action=accept connection-state=established log=no log-prefix="" 2 ;;; default configuration chain=input action=accept connection-state=related log=no log-prefix="" 3 ;;; GRE chain=input action=accept protocol=gre in-interface=ether1-gateway log=no log-prefix="" 4 ;;; vpn chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no log-prefix="" 5 ;;; default configuration chain=input action=drop in-interface=ether1-gateway log=no log-prefix="" 6 ;;; default configuration chain=forward action=accept connection-state=established log=no log-prefix="" 7 ;;; default configuration chain=forward action=accept connection-state=related log=no log-prefix="" 8 ;;; default configuration chain=forward action=drop connection-state=invalid log=no log-prefix="" |
|||
85
Trotter
13.10.14
✎
10:40
|
(83) Смотрите логи fw на микро тик, если не чего нету, уберите правило из fw если пять не чего нету, то клиент вообще не понимает куда ему стучатся, если есть ошибки в fw то нужно смотреть.
|
|||
86
zak555
13.10.14
✎
10:45
|
||||
87
Trotter
13.10.14
✎
10:52
|
(86) Судя по скрину тунель создался и даже минуту держится.
Попробуйте из консоли винды с той и с той стороны поделать трассировку, что выдаст ? |
|||
88
Trotter
13.10.14
✎
10:53
|
Нужно попинговать как роутеры, так и компьютеры за роутерами
|
|||
89
Trotter
13.10.14
✎
10:53
|
попинговать = трассировка )
|
|||
90
zak555
13.10.14
✎
10:55
|
(88) все компы за роутерами
что пинговать и зачем ? |
|||
91
Trotter
13.10.14
✎
10:59
|
(90) Ну не все же, а 1, у вас же якобы не работает, а трассировка вам покажет на каком маршруте всё валится.
|
|||
92
zak555
13.10.14
✎
11:00
|
трасировка уходит в никуда
|
|||
93
Trotter
13.10.14
✎
11:04
|
(92) в некуда это как ? как трассировать сайты ? тобишь на внешку ? до определёно момента, дальше потери ?
|
|||
94
Trotter
13.10.14
✎
11:05
|
(92) давайте трасировку сюда с описание куда и чего вы пытаетесь трассировать
|
|||
95
zak555
13.10.14
✎
11:10
|
вот это я лоханулся =))))
|
|||
96
zak555
13.10.14
✎
11:12
|
я не тот IP извне набирал
+ этот неверный IP вбил в субдомен vpn.domain.ru |
|||
97
sf
13.10.14
✎
11:18
|
(96) "все по инструкции скопировал" ? :DDD
|
|||
98
arsik
гуру
13.10.14
✎
11:18
|
(84) У тебя тут порт не прописан. Дыра.
chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no (96) Ну таки завелось? И почему у тебя "ether1-gateway"? У тебя же модем вроде, отдельный интерфейс должен быть у модема. |
|||
99
zak555
13.10.14
✎
11:20
|
(97) ошибка в одной цифре IP
нет конечно, не всё копировал |
|||
100
sf
13.10.14
✎
11:21
|
(99) в итоге завелось?
расскажешь потом как впн на йоте себя чувствует. Имхо, резать должны ... |
|||
101
arsik
гуру
13.10.14
✎
11:23
|
(100) Ёта как раз вроде ничего не режет. Это прерогатива мтс :)
|
|||
102
zak555
13.10.14
✎
11:24
|
(98)
1. забыл, сейчас на скорую руку делал переделал 2. я же йоту отрубил и стал проверять бес свитска |
|||
103
arsik
гуру
13.10.14
✎
11:25
|
(100) Нормально все поднимается. На крайняк, если провайдер режет впн - то поднимаем опенвпн. Его никак не зарезать. Он может по любому порту работать, у меня по 443 порту работает.
|
|||
104
zak555
13.10.14
✎
11:25
|
(100) да
по йоте будут ходить в инет по витой паре vpn+rdp |
|||
105
zak555
13.10.14
✎
11:27
|
теперь новый вопрос
извне создал vpn-соединение извне вбиваю в mtsc IP сервера терминала говорит -- хрен какое правило надо создать внутри vpn-соединения ? |
|||
106
arsik
гуру
13.10.14
✎
11:29
|
(105) Вопервых тебе нужно разрешить в фаерволе форвард из впн клиентов в локальную сеть.
Во вторых прописать днат на срервер по порту рдп |
|||
107
arsik
гуру
13.10.14
✎
11:31
|
и еще вроде маскарадинг из твоей сети в впн сеть.
|
|||
108
zak555
13.10.14
✎
11:48
|
(106)
1. как это ? 2. что-что ? (107) 3. зачем ? если vpn клиент имеет ip адрес той же сети, куда собирается подключаться |
|||
109
arsik
гуру
13.10.14
✎
11:56
|
(108)
1) В правилах фаервола в фильтре добавь типа chain=forward src-address=192.168.91.0/24 action=accept (192.168.91.0/24 - это подсеть впн) Если после этого правила из впн сети пингуется сервер рдп больше ничего не надо |
|||
110
zak555
13.10.14
✎
12:13
|
(109)
что-то я не понимаю 192.168.88.2 --- айПи внутренний для впн-подключения 192.168.88.200 --- айпи терминального сервера есть мост bridge-local для всех портов2-10 в ppp профиле указываю мост bridge-local зачем ещё какое правило фаерволе ? |
|||
111
arsik
гуру
13.10.14
✎
12:16
|
(110) pptp соединение не войдет у тебя в бридж. Бридж сама суть бриджа это соединение езернет (виртуальных эзернет) устройств. А пптп у тебя при ту пир соединение.
|
|||
112
arsik
гуру
13.10.14
✎
12:16
|
при ту пир
|
|||
113
arsik
гуру
13.10.14
✎
12:16
|
блин пир тут пир
|
|||
114
arsik
гуру
13.10.14
✎
12:20
|
+ (111) Вот с openvpn такая тема пройдет.
|
|||
115
zak555
13.10.14
✎
12:22
|
зачем тогда таи поле bridge в профиле ?
|
|||
116
zak555
13.10.14
✎
12:29
|
нашёл твою же тему : Настройка mikrotik + pptp + bridge - есть специалисты? =)
|
|||
117
arsik
гуру
13.10.14
✎
12:30
|
(116) Ну вот тогда я все выяснил :)
|
|||
118
arsik
гуру
13.10.14
✎
12:35
|
+ (111) Такое возможно, если соединять через PPTP 2 микротика.
|
|||
119
Hazer79
13.10.14
✎
12:48
|
PPTP категорически небезопасно.
Имхо, или OpenVPN или L2TP/IPsec. |
|||
120
zak555
13.10.14
✎
12:51
|
добавил
chain=forward src-address=192.168.88.2 action=accept не работает |
|||
121
arsik
гуру
13.10.14
✎
13:02
|
(120) 192.168.88.0/24 сделай.
192.168.88.2 - это адрес чего? Тебе нужен адрес удаленного хоста внутри впн. |
|||
122
arsik
гуру
13.10.14
✎
13:02
|
(119) Почему?
|
|||
123
zak555
13.10.14
✎
13:05
|
(121) это и есть адрес внешнего подключения
|
|||
124
arsik
гуру
13.10.14
✎
13:09
|
Покажи что выводит на удаленном хосте с подключенным впн
ipconfig route print |
|||
125
arsik
гуру
13.10.14
✎
13:10
|
Мне кажется 192.168.88.2 - это не удаленный хост, а локальный в микротике, который создается в рамках PPTP.
|
|||
126
zak555
13.10.14
✎
13:12
|
(124)
C:\Users\Николай>ipconfig Настройка протокола IP для Windows Адаптер PPP VPN-подключение 4: DNS-суффикс подключения . . . . . : IPv4-адрес. . . . . . . . . . . . : 192.168.88.2 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : 0.0.0.0 Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . : Локальный IPv6-адрес канала . . . : fe80::28fb:1861:52a2:5478%11 IPv4-адрес. . . . . . . . . . . . : 192.168.1.80 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 192.168.1.1 Ethernet adapter VirtualBox Host-Only Network: DNS-суффикс подключения . . . . . : Локальный IPv6-адрес канала . . . : fe80::bc1b:8176:8df5:18c%18 IPv4-адрес. . . . . . . . . . . . : 192.168.56.1 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : Туннельный адаптер isatap.{93FF8614-415A-4B69-A838-6D2343BE59E9}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Туннельный адаптер Teredo Tunneling Pseudo-Interface: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Туннельный адаптер isatap.{04A7C24D-C2FA-4D4C-A161-05D02C3E8B07}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : Туннельный адаптер isatap.{6B40B0BA-77D0-4709-BF9B-E405510DDEE2}: Состояние среды. . . . . . . . : Среда передачи недоступна. DNS-суффикс подключения . . . . . : C:\Users\Николай> |
|||
127
zak555
13.10.14
✎
13:14
|
(125) да
|
|||
128
arsik
гуру
13.10.14
✎
13:17
|
Вот тут проблема. У тебя маршрута внутрь локальной сети нет.
Есть только до 192.168.88.2 DNS-суффикс подключения . . . . . : IPv4-адрес. . . . . . . . . . . . : 192.168.88.2 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз. . . . . . . . . : 0.0.0.0 У меня DNS-суффикс подключения . . . . . : IPv4-адрес. . . . . . . . . . . . : 192.168.91.51 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : |
|||
129
arsik
гуру
13.10.14
✎
13:20
|
+ 128 Это в профиле безопасности pptp нужно прописывать.
У меня /ppp profile add bridge=br-local local-address=192.168.91.1 name=pptp-profile remote-address=pool-ip-91 use-encryption=yes |
|||
130
arsik
гуру
13.10.14
✎
13:21
|
Все таки брижд укажи, может он оттуда берет какие то настройки по маршрутизации
|
|||
131
arsik
гуру
13.10.14
✎
13:22
|
Ошибочка. У меня это не pptp соединение, а опенвпн. В пптп все правильно, должно быть 255.255.255.255
Покажи маршруты |
|||
132
zak555
13.10.14
✎
13:31
|
получилось
|
|||
133
zak555
13.10.14
✎
13:32
|
*не получилось
вернее =) |
|||
134
Йохохо
13.10.14
✎
13:33
|
||||
135
zak555
13.10.14
✎
13:40
|
(134) для кого включать ?
|
|||
136
zak555
13.10.14
✎
13:44
|
arsik у тебя скайп/аська есть 7
|
|||
137
zak555
13.10.14
✎
13:52
|
ещё в тему :
сбросил все настройки, подключил проводной инет поднял pptp подключать по vpn извне по IP -- ок теперь вставлю в микротик йоту добавляю dhcp client по имени lte1 (default route distance стало равным 0) захожу в фаервор, добавляю нат-правило клиенты микротика теперь идут через йоту теперь пробую зайти по vpn извне по ip -- хрен, ошибка 800 |
|||
138
arsik
гуру
13.10.14
✎
13:57
|
(137) У тебя все через ету пытается выходить, т.к. это маршрут по умолчанию.
|
|||
139
arsik
гуру
13.10.14
✎
13:58
|
Входит через езернет, а выходит через ету.
|
|||
140
zak555
15.10.14
✎
16:33
|
читаю http://habrahabr.ru/post/227913/
8.4. Доступ по протоколу RDP из сети VPN во внутреннюю сеть Chain: forward Protocol: tcp Src.Address: 192.168.170.0/24 Dst.Address: 192.168.0.0/22 Dst.Port: 3389 Action: accept Src.Address -- выданный IP впн-клиенту ? Dst.Address -- адрес к кому подключаешься ?*? |
|||
141
Jump
17.10.14
✎
16:46
|
(140)Да, но посмотри лучше десятый пункт.
|
Форум | Правила | Описание | Объявления | Секции | Поиск | Книга знаний | Вики-миста |