Имя: Пароль:
IT
 
два интернета -- какую железку выбрать?
, , ,
0 zak555
 
11.09.14
11:04
есть две задачи


1. есть рынок, в нём три отдаленные  точки, которые соединенны между собой adsl-сетью. в одной из точки Х воткнута йота, которая раздаёт инет по всей сети.
хочется подключить ещё один канал инета в точке Х, чтобы через него шёл трафик только тогда, когда йота по каким-то причина не доступна
так же хочется через этот резервный канал (предоставляется статик) попадать извне по впн/рпд в сеть


2. есть офис из 15 компов, есть местный пров
хочется также пустить трафик через йоту, но переключаться на местный, если йота захлёбывается


какими устройствами это можно реализовать ?
42 zak555
 
09.10.14
14:50
есть такая же железка, но не на 4 дырки, а на 8-10 ?
43 zak555
 
09.10.14
23:05
ап!
44 JedaiMaster
 
10.10.14
03:02
(0) Microtik поставь настрой и забудь по него
45 zak555
 
10.10.14
08:43
(44) на 8-10 дырок есть такой же?
46 Йохохо
 
10.10.14
09:32
(45) в роутере кошерно 1 дырку в локалку использовать, которая тыкается в свич
47 Garikk
 
10.10.14
10:31
(45) Ну по ссылке на микротике выше их там дофигища же, "красненькие" вам подойдут :))) 2011 которые
(46) это не по сетевому феншую, посему некошерно
48 zak555
 
10.10.14
11:36
49 Mihenius
 
10.10.14
13:16
(48) Или в магазин позвони.
Или задай вопрос на профильном форуме.
Или сам посчитай какой у тебя трафик.

Может тебе 2011 будет мало. Есть новая серия 1009/1016.
Или аппаратное шифрование/фильтрация и подешевле, тогда 1100

На mikrotik.ru очень порезан ассортимент.
Смотри у производителя http://routerboard.com/

А из хомеофисе с вайфаем уже собранный лучший в (48)
50 zak555
 
10.10.14
13:32
(49) новую серию увидел только у хохлов : http://ubiquiti-mikrotik.com.ua/p40248674-mikrotik-ccr1009.html
51 zak555
 
11.10.14
18:34
взял железку из 48...


где там настройка резервного канала ?
52 Сержант 1С
 
11.10.14
18:44
53 zak555
 
11.10.14
18:49
+ (51) поключил йоту --- а микротик её не видит
54 Zamestas
 
11.10.14
19:04
(52) Заодно CCNP получит,  пока настраивать научиться...
55 zak555
 
11.10.14
19:27
+ (53) оказывается была прошивка старая -- 6.18

обновил на 6.20 и йота стала видна
56 tgr_2005
 
11.10.14
19:27
У меня случайно получилось два инета.
По Вифи подлючаюсь в внутреннему инету  конторы, и через Ёту (USB модем) к внешнему инету.
57 tgr_2005
 
11.10.14
19:28
+ (56) оба инета работают одновременно
58 Сержант 1С
 
11.10.14
19:49
(54) ну и отлично, это же отстатыщ сразу )
59 zak555
 
11.10.14
20:01
(58) мало, было бы от трёхсот
60 zak555
 
11.10.14
20:06
йота блин то работает, то нет
делал по этой инструкции : http://spw.ru/solutions/sovmestimost_mikrotik_i_yota_lte/
61 MaxS
 
11.10.14
20:21
(60) нужно зайти на какой-то ip модема йоты, там видно статистику.
А ещё может питания не хватать и модем отключается.
62 zak555
 
11.10.14
20:31
(61) питания хватает

status.yota.ru сейчас зачем ?
63 MaxS
 
11.10.14
21:22
(62) то работает, то нет. Это роутер то видит модем, то нет? Или связь 4g то есть, то нет?
У status.yota.ru или подобного должен быть локальный ip и там видно есть соединение с БС или нет.
64 zak555
 
11.10.14
21:36
(63) так я стал вытыкать йоту, вставлять витую пару и наоборот
+ в правилах что-то намутил -- в итоге не работает
65 zak555
 
12.10.14
13:19
по статье из 60 непонятно, как на роутере переключить по какому инту сейчас ходить
66 zak555
 
12.10.14
15:15
как настроить vpn извне ?

добавил правило в фаервол, чтобы разрешить входящие подключение к порту 1723

далее включил pptp сервер

завёл юзера


подключаюсь извне по vpn -- пишет ошибка 800

почему ?*
67 sf
 
12.10.14
15:29
(66) зак, зачем тебе все это?
ты же вроде программил, не?
68 zak555
 
12.10.14
19:29
(67) надо настроить
+ хочется разбираться в вопросе
69 sf
 
13.10.14
09:29
(68) чтобы начать разбираться в вопросе, надо почитать теорию, что такое порты, какие сетевые протоколы бывают, какие утилиты есть под win/macOS для просмотра состояния сети, какие порты открыты у тебя, на удаленном хосте и т.д.

только нафига? если профи сделает за время в три раза быстрее и в три раза дешевле 1Сника.
70 arsik
 
гуру
13.10.14
09:52
(66) Надо еще извне доступ по протоколу GRE
71 zak555
 
13.10.14
09:53
(69) позвал я как-то профи-одмина (стаж более 15 лет), который не знал, как прописать маршруты с однго интерфейса на другой
72 zak555
 
13.10.14
09:53
(70) только неясно -- зачем ?
где-то пишется, чтот нужно, где-то не нужно

даже с этим разрешением не работает
73 arsik
 
гуру
13.10.14
09:56
Как это зачем? Данные то через GRE передаются.
Покажи правила. Если у тебя 2 wan то возможно исходящие по другому интерфейсу уходят
74 Trotter
 
13.10.14
09:59
(0)Не как не пойму на чём вы остановились из оборудования и софта. Продублируйте пожалуйста )
75 zak555
 
13.10.14
09:59
(73) момент

(74) сейчас на настройке
76 arsik
 
гуру
13.10.14
10:01
(75) Для начала оставь только один интерфейс wan. И пробуй. Потом уже начнешь с 2мя крутить.
77 Trotter
 
13.10.14
10:01
(75) Настройки чего ? ёты ? или vpn то работат то нет ? например работает какое то время после пинга, а потом нет ?
78 arsik
 
гуру
13.10.14
10:02
(75) По ёте. Может у тебя стоит где то в настройках Dial on demand?
79 zak555
 
13.10.14
10:20
(76) сбросил все настройки по умолчанию, выдернул йоту
80 zak555
 
13.10.14
10:20
(77) сейчас vpn не могу поднять
81 Trotter
 
13.10.14
10:21
трассировка чего показывает ? на каком этапе проблема ?
82 zak555
 
13.10.14
10:34
создаю по инструкции впн-серсер : http://bozza.ru/art-188.html

вот правила


[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; vpn
      chain=input action=accept protocol=tcp dst-address=77.97.132.132
      in-interface=ether1-gateway log=no log-prefix=""

4    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=related log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
83 zak555
 
13.10.14
10:34
пытаюсь подключить извне по ip

создаю в win7 vpn-соединение
указываю ip,логин,пароль
получаю ошибку 800
84 zak555
 
13.10.14
10:39
или с GRE, но без ИП

0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix=""

1    ;;; default configuration
      chain=input action=accept connection-state=established log=no
      log-prefix=""

2    ;;; default configuration
      chain=input action=accept connection-state=related log=no log-prefix=""

3    ;;; GRE
      chain=input action=accept protocol=gre in-interface=ether1-gateway log=no
      log-prefix=""

4    ;;; vpn
      chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no
      log-prefix=""

5    ;;; default configuration
      chain=input action=drop in-interface=ether1-gateway log=no log-prefix=""

6    ;;; default configuration
      chain=forward action=accept connection-state=established log=no
      log-prefix=""

7    ;;; default configuration
      chain=forward action=accept connection-state=related log=no log-prefix=""

8    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix=""
85 Trotter
 
13.10.14
10:40
(83) Смотрите логи fw на микро тик, если не чего нету, уберите правило из fw если пять не чего нету, то клиент вообще не понимает куда ему стучатся, если есть ошибки в fw то нужно смотреть.
86 zak555
 
13.10.14
10:45
87 Trotter
 
13.10.14
10:52
(86) Судя по скрину тунель создался и даже минуту держится.
Попробуйте из консоли винды с той и с той стороны поделать трассировку, что выдаст ?
88 Trotter
 
13.10.14
10:53
Нужно попинговать как роутеры, так и компьютеры за роутерами
89 Trotter
 
13.10.14
10:53
попинговать = трассировка )
90 zak555
 
13.10.14
10:55
(88) все компы за роутерами

что пинговать и зачем ?
91 Trotter
 
13.10.14
10:59
(90) Ну не все же, а 1, у вас же якобы не работает, а трассировка вам покажет на каком маршруте всё валится.
92 zak555
 
13.10.14
11:00
трасировка уходит в никуда
93 Trotter
 
13.10.14
11:04
(92) в некуда это как ? как трассировать сайты ? тобишь на внешку ? до определёно момента, дальше потери ?
94 Trotter
 
13.10.14
11:05
(92) давайте трасировку сюда с описание куда и чего вы пытаетесь трассировать
95 zak555
 
13.10.14
11:10
вот это я лоханулся =))))
96 zak555
 
13.10.14
11:12
я не тот IP извне набирал
+ этот неверный IP вбил в субдомен vpn.domain.ru
97 sf
 
13.10.14
11:18
(96) "все по инструкции скопировал" ? :DDD
98 arsik
 
гуру
13.10.14
11:18
(84) У тебя тут порт не прописан. Дыра.
chain=input action=accept protocol=tcp in-interface=ether1-gateway log=no

(96) Ну таки завелось?
И почему у тебя "ether1-gateway"? У тебя же модем вроде, отдельный интерфейс должен быть у модема.
99 zak555
 
13.10.14
11:20
(97) ошибка в одной цифре IP
нет конечно, не всё копировал
100 sf
 
13.10.14
11:21
(99) в итоге завелось?
расскажешь потом как впн на йоте себя чувствует. Имхо, резать должны ...
101 arsik
 
гуру
13.10.14
11:23
(100) Ёта как раз вроде ничего не режет. Это прерогатива мтс :)
102 zak555
 
13.10.14
11:24
(98)

1. забыл, сейчас на скорую руку делал
переделал

2. я же йоту отрубил и стал проверять бес свитска
103 arsik
 
гуру
13.10.14
11:25
(100) Нормально все поднимается. На крайняк, если провайдер режет впн - то поднимаем опенвпн. Его никак не зарезать. Он может по любому порту работать, у меня по 443 порту работает.
104 zak555
 
13.10.14
11:25
(100) да

по йоте будут ходить в инет
по витой паре vpn+rdp
105 zak555
 
13.10.14
11:27
теперь новый вопрос

извне создал vpn-соединение

извне вбиваю в mtsc IP сервера терминала

говорит -- хрен

какое правило надо создать внутри vpn-соединения ?
106 arsik
 
гуру
13.10.14
11:29
(105) Вопервых тебе нужно разрешить в фаерволе форвард из впн клиентов в локальную сеть.
Во вторых прописать днат на срервер по порту рдп
107 arsik
 
гуру
13.10.14
11:31
и еще вроде маскарадинг из твоей сети в впн сеть.
108 zak555
 
13.10.14
11:48
(106)

1. как это ?
2. что-что ?

(107)
3. зачем ?
если vpn клиент имеет ip адрес той же сети, куда собирается подключаться
109 arsik
 
гуру
13.10.14
11:56
(108)
1) В правилах фаервола в фильтре добавь типа
chain=forward src-address=192.168.91.0/24 action=accept
(192.168.91.0/24 - это подсеть впн)
Если после этого правила из впн сети пингуется сервер рдп больше ничего не надо
110 zak555
 
13.10.14
12:13
(109)

что-то я не понимаю


192.168.88.2 --- айПи внутренний для впн-подключения

192.168.88.200 --- айпи терминального сервера


есть мост bridge-local для всех портов2-10

в ppp профиле указываю мост bridge-local


зачем ещё какое правило фаерволе ?
111 arsik
 
гуру
13.10.14
12:16
(110) pptp соединение не войдет у тебя в бридж. Бридж сама суть бриджа это соединение езернет (виртуальных эзернет) устройств. А пптп у тебя при ту пир соединение.
112 arsik
 
гуру
13.10.14
12:16
при ту пир
113 arsik
 
гуру
13.10.14
12:16
блин пир тут пир
114 arsik
 
гуру
13.10.14
12:20
+ (111) Вот с openvpn такая тема пройдет.
115 zak555
 
13.10.14
12:22
зачем тогда таи поле bridge в профиле ?
116 zak555
 
13.10.14
12:29
117 arsik
 
гуру
13.10.14
12:30
(116) Ну вот тогда я все выяснил :)
118 arsik
 
гуру
13.10.14
12:35
+ (111) Такое возможно, если соединять через PPTP 2 микротика.
119 Hazer79
 
13.10.14
12:48
PPTP категорически небезопасно.
Имхо, или OpenVPN или L2TP/IPsec.
120 zak555
 
13.10.14
12:51
добавил

chain=forward src-address=192.168.88.2 action=accept


не работает
121 arsik
 
гуру
13.10.14
13:02
(120) 192.168.88.0/24 сделай.
192.168.88.2 - это адрес чего? Тебе нужен адрес удаленного хоста внутри впн.
122 arsik
 
гуру
13.10.14
13:02
(119) Почему?
123 zak555
 
13.10.14
13:05
(121) это и есть адрес внешнего подключения
124 arsik
 
гуру
13.10.14
13:09
Покажи что выводит на удаленном хосте с подключенным впн
ipconfig
route print
125 arsik
 
гуру
13.10.14
13:10
Мне кажется 192.168.88.2 - это не удаленный хост, а локальный в микротике, который создается в рамках PPTP.
126 zak555
 
13.10.14
13:12
(124)


C:\Users\Николай>ipconfig

Настройка протокола IP для Windows


Адаптер PPP VPN-подключение 4:

   DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

Ethernet adapter Подключение по локальной сети:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::28fb:1861:52a2:5478%11
   IPv4-адрес. . . . . . . . . . . . : 192.168.1.80
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.1.1

Ethernet adapter VirtualBox Host-Only Network:

   DNS-суффикс подключения . . . . . :
   Локальный IPv6-адрес канала . . . : fe80::bc1b:8176:8df5:18c%18
   IPv4-адрес. . . . . . . . . . . . : 192.168.56.1
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :

Туннельный адаптер isatap.{93FF8614-415A-4B69-A838-6D2343BE59E9}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{04A7C24D-C2FA-4D4C-A161-05D02C3E8B07}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

Туннельный адаптер isatap.{6B40B0BA-77D0-4709-BF9B-E405510DDEE2}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :

C:\Users\Николай>
127 zak555
 
13.10.14
13:14
(125) да
128 arsik
 
гуру
13.10.14
13:17
Вот тут проблема. У тебя маршрута внутрь локальной сети нет.
Есть только до 192.168.88.2
DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 192.168.88.2
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . : 0.0.0.0

У меня
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.91.51
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
129 arsik
 
гуру
13.10.14
13:20
+ 128 Это в профиле безопасности pptp нужно прописывать.
У меня
/ppp profile
add bridge=br-local local-address=192.168.91.1 name=pptp-profile remote-address=pool-ip-91 use-encryption=yes
130 arsik
 
гуру
13.10.14
13:21
Все таки брижд укажи, может он оттуда берет какие то настройки по маршрутизации
131 arsik
 
гуру
13.10.14
13:22
Ошибочка. У меня это не pptp соединение, а опенвпн. В пптп все правильно, должно быть 255.255.255.255
Покажи маршруты
132 zak555
 
13.10.14
13:31
получилось
133 zak555
 
13.10.14
13:32
*не получилось

вернее =)
134 Йохохо
 
13.10.14
13:33
135 zak555
 
13.10.14
13:40
(134) для кого включать ?
136 zak555
 
13.10.14
13:44
arsik у тебя скайп/аська есть 7
137 zak555
 
13.10.14
13:52
ещё в тему :

сбросил все настройки, подключил проводной инет
поднял pptp

подключать по vpn извне по IP -- ок

теперь вставлю в микротик йоту
добавляю dhcp client по имени lte1 (default route distance стало равным 0)

захожу в фаервор, добавляю нат-правило

клиенты микротика теперь идут через йоту


теперь пробую зайти по vpn извне по ip -- хрен, ошибка 800
138 arsik
 
гуру
13.10.14
13:57
(137) У тебя все через ету пытается выходить, т.к. это маршрут по умолчанию.
139 arsik
 
гуру
13.10.14
13:58
Входит через езернет, а выходит через ету.
140 zak555
 
15.10.14
16:33
читаю http://habrahabr.ru/post/227913/

8.4. Доступ по протоколу RDP из сети VPN во внутреннюю сеть

Chain: forward
Protocol: tcp
Src.Address: 192.168.170.0/24
Dst.Address: 192.168.0.0/22
Dst.Port: 3389
Action: accept


Src.Address -- выданный IP впн-клиенту ?
Dst.Address -- адрес к кому подключаешься ?*?
141 Jump
 
17.10.14
16:46
(140)Да, но посмотри лучше десятый пункт.