есть две задачи


1. есть рынок, в нём три отдаленные  точки, которые соединенны между собой adsl-сетью. в одной из точки Х воткнута йота, которая раздаёт инет по всей сети.
хочется подключить ещё один канал инета в точке Х, чтобы через него шёл трафик только тогда, когда йота по каким-то причина не доступна
так же хочется через этот резервный канал (предоставляется статик) попадать извне по впн/рпд в сеть


2. есть офис из 15 компов, есть местный пров
хочется также пустить трафик через йоту, но переключаться на местный, если йота захлёбывается


какими устройствами это можно реализовать ?

есть такая же железка, но не на 4 дырки, а на 8-10 ?

ап!

(0) Microtik поставь настрой и забудь по него

(44) на 8-10 дырок есть такой же?

(45) в роутере кошерно 1 дырку в локалку использовать, которая тыкается в свич

(45) Ну по ссылке на микротике выше их там дофигища же, "красненькие" вам подойдут :))) 2011 которые
(46) это не по сетевому феншую, посему некошерно

(47) про этот что ли http://mikrotik.ru/katalog/katalog/marshrutizatory/soho/routerboard-2011uas-2hnd-in ?

(48) Или в магазин позвони.
Или задай вопрос на профильном форуме.
Или сам посчитай какой у тебя трафик.

Может тебе 2011 будет мало. Есть новая серия 1009/1016.
Или аппаратное шифрование/фильтрация и подешевле, тогда 1100

На mikrotik.ru очень порезан ассортимент.
Смотри у производителя http://routerboard.com/

А из хомеофисе с вайфаем уже собранный лучший в (48)

(49) новую серию увидел только у хохлов : http://ubiquiti-mikrotik.com.ua/p40248674-mikrotik-ccr1009.html

взял железку из 48...


где там настройка резервного канала ?

ну и традиционно
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/index.html

+ (51) поключил йоту --- а микротик её не видит

(52) Заодно CCNP получит,  пока настраивать научиться...

+ (53) оказывается была прошивка старая -- 6.18

обновил на 6.20 и йота стала видна

У меня случайно получилось два инета.
По Вифи подлючаюсь в внутреннему инету  конторы, и через Ёту (USB модем) к внешнему инету.

+ (56) оба инета работают одновременно

(54) ну и отлично, это же отстатыщ сразу )

(58) мало, было бы от трёхсот

йота блин то работает, то нет
делал по этой инструкции : http://spw.ru/solutions/sovmestimost_mikrotik_i_yota_lte/

(60) нужно зайти на какой-то ip модема йоты, там видно статистику.
А ещё может питания не хватать и модем отключается.

(61) питания хватает

status.yota.ru сейчас зачем ?

(62) то работает, то нет. Это роутер то видит модем, то нет? Или связь 4g то есть, то нет?
У status.yota.ru или подобного должен быть локальный ip и там видно есть соединение с БС или нет.

(63) так я стал вытыкать йоту, вставлять витую пару и наоборот
+ в правилах что-то намутил -- в итоге не работает

по статье из 60 непонятно, как на роутере переключить по какому инту сейчас ходить

как настроить vpn извне ?

добавил правило в фаервол, чтобы разрешить входящие подключение к порту 1723

далее включил pptp сервер

завёл юзера


подключаюсь извне по vpn -- пишет ошибка 800

почему ?*

(66) зак, зачем тебе все это?
ты же вроде программил, не?

(67) надо настроить
+ хочется разбираться в вопросе

(68) чтобы начать разбираться в вопросе, надо почитать теорию, что такое порты, какие сетевые протоколы бывают, какие утилиты есть под win/macOS для просмотра состояния сети, какие порты открыты у тебя, на удаленном хосте и т.д.

только нафига? если профи сделает за время в три раза быстрее и в три раза дешевле 1Сника.

(66) Надо еще извне доступ по протоколу GRE

(69) позвал я как-то профи-одмина (стаж более 15 лет), который не знал, как прописать маршруты с однго интерфейса на другой

(70) только неясно -- зачем ?
где-то пишется, чтот нужно, где-то не нужно

даже с этим разрешением не работает

Как это зачем? Данные то через GRE передаются.
Покажи правила. Если у тебя 2 wan то возможно исходящие по другому интерфейсу уходят

(0)Не как не пойму на чём вы остановились из оборудования и софта. Продублируйте пожалуйста )

(73) момент

(74) сейчас на настройке

(75) Для начала оставь только один интерфейс wan. И пробуй. Потом уже начнешь с 2мя крутить.

(75) Настройки чего ? ёты ? или vpn то работат то нет ? например работает какое то время после пинга, а потом нет ?

(75) По ёте. Может у тебя стоит где то в настройках Dial on demand?

(76) сбросил все настройки по умолчанию, выдернул йоту

(77) сейчас vpn не могу поднять

трассировка чего показывает ? на каком этапе проблема ?

создаю по инструкции впн-серсер : http://bozza.ru/art-188.html

вот правила


[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; vpn
      chain=input action=accept protocol=tcp dst-address=77.97.132.132
      in-interface=ether1-gateway log=no log-prefix=""

4    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=related log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

пытаюсь подключить извне по ip

создаю в win7 vpn-соединение
указываю ip,логин,пароль
получаю ошибку 800

или с GRE, но без ИП

0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; GRE
      chain=input action=accept protocol=gre in-interface=ether1-gateway log=no
      log-prefix=""

4    ;;; vpn
      chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

8    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

(83) Смотрите логи fw на микро тик, если не чего нету, уберите правило из fw если пять не чего нету, то клиент вообще не понимает куда ему стучатся, если есть ошибки в fw то нужно смотреть.

(85) вот

http://savepic.org/6162332.png

(86) Судя по скрину тунель создался и даже минуту держится.
Попробуйте из консоли винды с той и с той стороны поделать трассировку, что выдаст ?

Нужно попинговать как роутеры, так и компьютеры за роутерами

попинговать = трассировка )

(88) все компы за роутерами

что пинговать и зачем ?

(90) Ну не все же, а 1, у вас же якобы не работает, а трассировка вам покажет на каком маршруте всё валится.

трасировка уходит в никуда

(92) в некуда это как ? как трассировать сайты ? тобишь на внешку ? до определёно момента, дальше потери ?

(92) давайте трасировку сюда с описание куда и чего вы пытаетесь трассировать

вот это я лоханулся =))))

я не тот IP извне набирал
+ этот неверный IP вбил в субдомен vpn.domain.ru

(96) "все по инструкции скопировал" ? :DDD

(84) У тебя тут порт не прописан. Дыра.
chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no

(96) Ну таки завелось?
И почему у тебя "ether1-gateway"? У тебя же модем вроде, отдельный интерфейс должен быть у модема.

(97) ошибка в одной цифре IP
нет конечно, не всё копировал

(99) в итоге завелось?
расскажешь потом как впн на йоте себя чувствует. Имхо, резать должны ...

(100) Ёта как раз вроде ничего не режет. Это прерогатива мтс :)

(98)

1. забыл, сейчас на скорую руку делал
переделал

2. я же йоту отрубил и стал проверять бес свитска

(100) Нормально все поднимается. На крайняк, если провайдер режет впн - то поднимаем опенвпн. Его никак не зарезать. Он может по любому порту работать, у меня по 443 порту работает.

(100) да

по йоте будут ходить в инет
по витой паре vpn+rdp

теперь новый вопрос

извне создал vpn-соединение

извне вбиваю в mtsc IP сервера терминала

говорит -- хрен

какое правило надо создать внутри vpn-соединения ?

(105) Вопервых тебе нужно разрешить в фаерволе форвард из впн клиентов в локальную сеть.
Во вторых прописать днат на срервер по порту рдп

и еще вроде маскарадинг из твоей сети в впн сеть.

(106)

1. как это ?
2. что-что ?

(107)
3. зачем ?
если vpn клиент имеет ip адрес той же сети, куда собирается подключаться

(108)
1) В правилах фаервола в фильтре добавь типа
chain=forward src-address=192.168.91.0/24 action=accept
(192.168.91.0/24 - это подсеть впн)
Если после этого правила из впн сети пингуется сервер рдп больше ничего не надо

(109)

что-то я не понимаю


192.168.88.2 --- айПи внутренний для впн-подключения

192.168.88.200 --- айпи терминального сервера


есть мост bridge-local для всех портов2-10

в ppp профиле указываю мост bridge-local


зачем ещё какое правило фаерволе ?

(110) pptp соединение не войдет у тебя в бридж. Бридж сама суть бриджа это соединение езернет (виртуальных эзернет) устройств. А пптп у тебя при ту пир соединение.

при ту пир

блин пир тут пир

+ (111) Вот с openvpn такая тема пройдет.

зачем тогда таи поле bridge в профиле ?

нашёл твою же тему : Настройка mikrotik + pptp + bridge - есть специалисты? =)

(116) Ну вот тогда я все выяснил :)

+ (111) Такое возможно, если соединять через PPTP 2 микротика.

PPTP категорически небезопасно.
Имхо, или OpenVPN или L2TP/IPsec.

добавил

chain=forward src-address=192.168.88.2 action=accept


не работает

(120) 192.168.88.0/24 сделай.
192.168.88.2 - это адрес чего? Тебе нужен адрес удаленного хоста внутри впн.

(119) Почему?

(121) это и есть адрес внешнего подключения

Покажи что выводит на удаленном хосте с подключенным впн
ipconfig
route print

Мне кажется 192.168.88.2 - это не удаленный хост, а локальный в микротике, который создается в рамках PPTP.

(124)


C:\Users\Николай>ipconfig

Настройка протокола IP для Windows


Адаптер PPP VPN-подключение 4:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::28fb:1861:52a2:5478%11
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.80
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1

Ethernet adapter VirtualBox Host-Only Network:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::bc1b:8176:8df5:18c%18
   IPv4-адрес. . . . . . . . . . . . : 192.168.56.1
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{93FF8614-415A-4B69-A838-6D2343BE59E9}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{04A7C24D-C2FA-4D4C-A161-05D02C3E8B07}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{6B40B0BA-77D0-4709-BF9B-E405510DDEE2}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

C:\Users\Николай>

(125) да

Вот тут проблема. У тебя маршрута внутрь локальной сети нет.
Есть только до 192.168.88.2
DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

У меня
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.91.51
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :

+ 128 Это в профиле безопасности pptp нужно прописывать.
У меня
/ppp profile
add bridge=br-local local-address=192.168.91.1 name=pptp-profile remote-address=pool-ip-91 use-encryption=yes

Все таки брижд укажи, может он оттуда берет какие то настройки по маршрутизации

Ошибочка. У меня это не pptp соединение, а опенвпн. В пптп все правильно, должно быть 255.255.255.255
Покажи маршруты

получилось

*не получилось

вернее =)

http://wiki.mikrotik.com/wiki/Manual:IP/ARP

(134) для кого включать ?

arsik у тебя скайп/аська есть 7

ещё в тему :

сбросил все настройки, подключил проводной инет
поднял pptp

подключать по vpn извне по IP -- ок

теперь вставлю в микротик йоту
добавляю dhcp client по имени lte1 (default route distance стало равным 0)

захожу в фаервор, добавляю нат-правило

клиенты микротика теперь идут через йоту


теперь пробую зайти по vpn извне по ip -- хрен, ошибка 800

(137) У тебя все через ету пытается выходить, т.к. это маршрут по умолчанию.

Входит через езернет, а выходит через ету.

читаю http://habrahabr.ru/post/227913/

8.4. Доступ по протоколу RDP из сети VPN во внутреннюю сеть

Chain: forward
Protocol: tcp
Src.Address: 192.168.170.0/24
Dst.Address: 192.168.0.0/22
Dst.Port: 3389
Action: accept


Src.Address -- выданный IP впн-клиенту ?
Dst.Address -- адрес к кому подключаешься ?*?

(140)Да, но посмотри лучше десятый пункт.