Повезло

Да, забыл, поектирование и эксплуатация сетей iDirect

Да, забыл, поектирование и эксплуатация сетей iDirect

Круто!

Ту в приципе все налажено. Работа простоя смотреть чтоб все работало дальше и не падало.

Всем привет! Кто подскажет. Как открыть порт МИРУ на Микротике который подключен по PPTP к другому микротику за белым IP

Всем привет! Кто подскажет. Как открыть порт МИРУ на Микротике который подключен по PPTP к другому микротику за белым IP

NAT

https://imgprx.livejournal.net/0ecb49377823cfbc695a893ea9dd82ad4870a534/dD3eOJG0QHS-Znw7GPYUcg8xGWYd_Et4kBMwRvK_HCv6t5hdE3JCN7s_sB-1QctYiK3JLh07WZZp3dOX3BvGC7PSdGjgNfHmyfFSCx8dYaekOrq5phNCsff5R41bTeT9on1gih2lpxSUhQLfFeJ-HkROkf63yuEbJop8iynfxs0

Костыльно. Чаще всего методом 2 dst-nat. Либо 1dst-nat + 1 src-nat

Костыльно. Чаще всего методом 2 dst-nat. Либо 1dst-nat + 1 src-nat

по любому дстнат и срцнат. иначе уйдет ответ через интернет2. ну и еще маршрут на сеть2 прописать на мик1

Можно и 2 dst-nat. Смотря как маршруты

Николай, а как без срцната заставить не отвечать через интернет2?

Тут спасает connection tracker. 1 dst-nat M1->M2 , 2 dst-nat M2->serv

Ответы серва придут на M2 и трекером развернутся на M1

а, ясно

хотя не совсем уверен

Но, если на M2 default и без этого смотрит на M1 через PPTP, то хватит и одного dst-nat. Мы же не знаем, как у автора роутинг настроен, а он не описал задачу полностью.

мик2 получает овтет от хоста с локалки. у него ДСТадрес стоит интернетовский. не уверен что он пошлет ответ туда же откуда запрос пришел

вот за контрак и дстнат не уверен

Пошлёт, т.к. трансляция уже создана

е , а чего линукс убрал? уже не уверен будет ли работать? ?

Хотя, нет.

Будет забавно. Будет слать в инет неNATованые пакеты, кажись.

Блин, доберусь до похожей пары - проверю. Давно настроил и забыл.

не натированые. ДСТнат вроде только в одну сторону работает. Тоесть ответ не подпадает под контрак вроде.

Вот! Сергей верно гворит.

Блин, доберусь до похожей пары - проверю. Давно настроил и забыл.

ты будешь онлайн еще минут 5? я щас бы сделал проброс с рабочего микротика на домашний, а ты бы пинганул

Точно описана моя задача тут https://catbasil.livejournal.com/44028.html

Ответ попадет под контрак, соединение будет считаться установленным. Далее, пакеты могут пойти через WAN, но не подвергнутся NATу, т.к. трансляция для них уже есть в contracke

ты щас о каком НАТе, не подвергнуться СРЦнату через ВАН? ?

Ага

Бывает еще и наоборот. В multy-gw конфигах. Когда NAT делается с одного IP, а пакеты полетели в другой линк, т.к. основной канал флапнул, но conntrack считает соединение установленным

добрый день. подскажите плиз как выключить проброс с коментарием "на сервер" с терминала. спасибо

С комментарием на кириллице вы задолбаетесь

/ip firewall nat set [find comment="server"] disabled=yes ПРИБЛИЗИТЕЛЬНО так

точный синтаксим не помню

С комментарием на кириллице вы задолбаетесь

HA CEPBEP

Да. Только лучше начинать с "/"

HA CEPBEP

это латиница есичо

это латиница есичо

на сервер - а это кирилица ?

Если латиница - тогда как Sergey написал выше

И как всё же получить ответ от порта внутри впн?

И как всё же получить ответ от порта внутри впн?

Dstnat srcnat dstnat

И как всё же получить ответ от порта внутри впн?

В смысле? Вам же далии ссылку https://catbasil.livejournal.com/44028.html Там всё прописано. Только вместо дикарского "action=netmap" используйте "action=dst-nat"

Не.. нифига чот.

"/ip firewall export" сюда

Или сами для начала посмотрите через TORCH на интерфейсе КЛИЕНТА PPTP приходят ли переадресованые пакеты

[admin@MikroTik] > /ip firewall export # jan/22/2018 10:25:15 by RouterOS 6.40.1 # software id = J5SQ-AEQ4 # # model = RouterBOARD 750P r2 # serial number = 67D506D3F584 /ip firewall filter add action=accept chain=input dst-port=1723 protocol=tcp add action=accept chain=input protocol=gre add action=accept chain=input dst-port=8291 in-interface=pppoe-out1 protocol=\ tcp add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp add action=accept chain=input dst-port=80 protocol=tcp add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp add action=accept chain=input comment=BTest dst-port=2000 protocol=tcp add action=accept chain=input comment=BTest dst-port=8001 protocol=tcp add action=accept chain=forward protocol=gre add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related disabled=yes add action=accept chain=forward comment="defconf: accept established,related" \ connection-state=established,related add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface=ether1-wan add action=drop chain=forward comment="defconf: drop invalid" connection-state=\ invalid add action=accept chain=input protocol=icmp add action=accept chain=input connection-state=established add action=accept chain=input connection-state=related add action=drop chain=input in-interface=pppoe-out1 /ip firewall nat add action=netmap chain=dstnat dst-address=95.165.163.5 dst-port=8123 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.123 to-ports=\ 8080 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\ pppoe-out1 add action=masquerade chain=srcnat out-interface=ether1-wan add action=masquerade chain=srcnat comment="masq. vpn traffic" out-interface=\ all-ppp src-address=192.168.89.0/24 add action=masquerade chain=srcnat out-interface=BS-sad25-1 add action=netmap chain=dstnat disabled=yes dst-address=95.165.163.5 dst-port=\ 8500 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.123 \ to-ports=5000 add action=netmap chain=dstnat disabled=yes dst-address=95.165.163.5 dst-port=\ 8501 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.121 \ to-ports=5000 add action=dst-nat chain=dstnat dst-address=95.165.163.5 dst-port=8567 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.123 to-ports=\ 34567 add action=dst-nat chain=dstnat dst-address=95.165.163.5 dst-port=8568 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.121 to-ports=\ 8568 add action=dst-nat chain=dstnat dst-address=95.165.163.5 dst-port=8568 \ in-interface=pppoe-out1 protocol=udp to-addresses=192.168.89.121 to-ports=\ 8568 add action=netmap chain=dstnat dst-address=95.165.163.5 dst-port=8001 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.103 to-ports=\ 6001 add action=netmap chain=dstnat dst-address=95.165.163.5 dst-port=8001 \ in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.103 to-ports=\ 8001 add action=netmap chain=dstnat disabled=yes dst-address=95.165.163.5 dst-port=\ 8554 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.123 \ to-ports=554 add action=netmap chain=dstnat disabled=yes dst-address=95.165.163.5 dst-port=\ 8551 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.89.121 \ to-ports=554

Николай абсолютно прав. ПОСТЕПЕННО смотрите торчем екаждый отрезок. идет ли нужный трафик Так будет ясно на каком именно этапе затор

Да! Порт 8568 приходит к М2

Но обратно собака не уходит

Стучится в М1 - в ТОРЧ его видно, - но соединение не происходит. 3 сек и обрыв

Сделайте на втором MT: /ip fi fi add chain=forward protocol=tcp port=8568 action=log place-before=0 Это правило будет логировать пакеты TCP c/на 8568 порт. Там будет видно in/out interface

Камраден хай. а микротик может сам получить данные с какого то узла по 161 порту по определенному OID ?

чтоб эти данные потом в скрипт засунуть

или только dude может получить ?

Сделал.

Порт 8568 на втором настроек как ДСТнат на порт 34567

Камраден хай. а микротик может сам получить данные с какого то узла по 161 порту по определенному OID ?

смотрите /tool snmp-get

смотрите /tool snmp-get

уже параллельно гуглил :-) читаю спасибоу

Порт 8568 на втором настроек как ДСТнат на порт 34567

Ну, тогда /ip fi fi add chain=forward protocol=tcp port=34567action=log place-before=0

Опять видеорегистраторы...

ага, китайщина эта

Похоже чтопакеты уходят по default route, получив на выходе не тот внешний IP-адрес, на который был изначальный запрос и такой ответ с неверного IP-адреса будет убит на принимающей стороне как некорретный TCP-пакет, не принадлежащий ни к одному установленному TCP-соединению.

Обратите внимание на правило в статье, пердназначенное для второго MT /ip firewall filter add action=src-nat chain=srcnat dst-address=<адрес получателя> dst-port=<порт получателя> protocol=<tcp|udp> to-addresses=<адрес МТ, шлюз сети 192.168.2.0>

/ip firewall nat set [find comment="server"] disabled=yes ПРИБЛИЗИТЕЛЬНО так

спасибо. комент был на английском. на руском написал автоматом

И на первом тоже /ip firewall add action=src-nat chain=srcnat dst-address=192.168.5.2 dst-port=55555 protocol=tcp to-addresses=192.168.5.1

смотрите /tool snmp-get

а как бы таймаут теперь увеличить?

ERROR: S client not available

/tool snmp-walk 10.249.21.1 oid=1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0

а как бы таймаут теперь увеличить?

ключевое слово "try-timeout"

что get что walk облом

фаервол? коммюнити? Разрешения чтения на объекте?

фаервол? коммюнити? Разрешения чтения на объекте?

нет. я баран

не на том микротике проверяю :-)))

Бывает запара...

ага. по привычке на тестовом начал, а не на головном :-)

а он банально об этой сети не знает

арбайтен и без таймаута :-)

спасибо, Николай

Вот чо делать. Фиг знает. Если соедениться по ВПН - то норм все порты щупаются и видеорегистратор норм работает. но мне надо что бы эти же порты работали за НАТом через М1

простите за нубский вопрос а можно сылку где скорость посмотреть ?

megabit.moscow - вкладка ТЕСТ СКОРОСТИ

простите за нубский вопрос а можно сылку где скорость посмотреть ?

speedtest.net, internet.yandex.ru

Бывает запара...

:local rxstate [/tool snmp-walk 10.249.21.1 oid=1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0] /log warning "$rxstate ..."

что то где то ошибка. но не возвращает значение...

в логе пишет ...

Делайте: :put [/tool snmp-walk 10.249.21.1 oid=1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0]

Смотрите, что выдаст

Это кому?

Делайте: :put [/tool snmp-walk 10.249.21.1 oid=1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0]

странно. пусто теперь пишет даже из терминала, хотя узел пингуется

так. не -walk а -get должно быть. начинаем заново :-)

:put [/tool snmp-walk 10.249.21.1 oid=1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0] выдает OID TYPE VALUE 1.3.6.1.4.1.303.3.3.19.3.3.3.2.19.0 gauge 92

интересует теперь получить 92 в скрипте

Это кому?

это мне. я извращаюсь тут

О. Решил вопрос. Как сам не понял. тыкал что попало. Ща буду разбиравться как это получилось.

О. Решил вопрос. Как сам не понял. тыкал что попало. Ща буду разбиравться как это получилось.

это нормально в РФ, главное детей так не заводить. чтоб потом не разбираться как это получилось

С этим уже всё знаю. С микротиками бы так.

Печально. Что-то не могу заставить snmp-get писать результаты в переменную. Такое впечатления, что это тупо консольная утилита

Направляет вывод в консоль и баста

хм. пинг жеж выдает результат