@MikrotikRu

Страница 3424 из 3964
 
Aleksey
13.08.2018
03:45:39
Беда твоя наверное в таблице маршрутизации. Кто есть 192.168.0.8

 
DEFACE
13.08.2018
03:46:23
192.168.0.88 сервер телефонии в сети что за впн сервером

 
впн сервер в этой сети 192.168.0.1 ( 192.168.8.1 vpn ip)

 
Aleksey
13.08.2018
03:47:04
Подскажите пожалуйста, у меня есть vpn server и vpn client на микротиках, сервер имеет адрес 192.168.8.1 клиент 192.168.8.99, с сервером связана сеть 192.168.0.0/24 с клиентом 192.168.87.0/24. трасирую пакет из клиентской сети 192.168.87.0/24 в 192.168.0.0/24 он движется через впн, но в соединениях на сервере вижу почему то внешний адрес. так ведь не должно быть?
Здесь от баллы написал?

Google
 
DEFACE
13.08.2018
03:47:36
ой тупанул ща в том сообщении поправлю

 
Aleksey
13.08.2018
03:48:06
Овпн сервер на чем ?

 
DEFACE
13.08.2018
03:48:14
Овпн сервер на чем ?
на микротике

 
Aleksey
13.08.2018
03:48:22
И клиент тоже?

 
DEFACE
13.08.2018
03:48:38
Подскажите пожалуйста, у меня есть vpn server и vpn client на микротиках, сервер имеет адрес 192.168.8.1 клиент 192.168.8.99, с сервером связана сеть 192.168.0.0/24 с клиентом 192.168.87.0/24. трасирую пакет из клиентской сети 192.168.87.0/24 в 192.168.0.0/24 он движется через впн, но в соединениях на сервере вижу почему то внешний адрес. так ведь не должно быть?

 
да и клиент тоже

 
Aleksey
13.08.2018
03:48:58
Коннекция поднялась?

 
DEFACE
13.08.2018
03:49:11
концепция это?

 
Aleksey
13.08.2018
03:49:18
По овпн

 
DEFACE
13.08.2018
03:49:19
коннект есть

 
я спокойно из любой сети к любой подключаюсь по внутренним адресам

 
Aleksey
13.08.2018
03:49:42
Тогда смотри в таблицу маршрутизации почему траффик у тебя так ходит

 
Трассировку покажи например с телефонии до узла в клиентской сети

Google
 
DEFACE
13.08.2018
03:50:58


 
ща сделаю

 
root@asterisk-voip:~# traceroute 192.168.87.254 traceroute to 192.168.87.254 (192.168.87.254), 30 hops max, 60 byte packets 1 maingateway.local (192.168.0.1) 0.311 ms 0.277 ms 0.286 ms 2 192.168.8.99 (192.168.8.99) 165.384 ms 165.359 ms 70.679 ms 3 * 192.168.87.254 (192.168.87.254) 165.345 ms *

 
Aleksey
13.08.2018
03:51:32
Не то пальто

 
DEFACE
13.08.2018
03:51:51
root@asterisk-voip:~# ip a | grep 192 inet 192.168.0.88/24 brd 192.168.0.255 scope global ens18 ]

 
с клиента?

 
в обратную сторону?

 
Aleksey
13.08.2018
03:52:23
Хорошо все у тебя

 
DEFACE
13.08.2018
03:52:50
почему то клиент с внешним адресом приходит на астериск

 
Aleksey
13.08.2018
03:52:58
Это сип наружу полез

 
DEFACE
13.08.2018
03:53:11
:53:01.847577 IP asterisk.local.sip > 46.52.188.116.sip: SIP: SIP/2.0 401 Unauthorized

 
пытается прямое соединение сделать?

 
Aleksey
13.08.2018
03:53:38
А зачем ты 5060 наружу анонсировал в нате

 
?????

 
DEFACE
13.08.2018
03:54:49
у меня небыло впна, там стоит фильтр на ип адреса

 
часть клиентов еще не переве

 
и мультифон по другому работать не хочет

 
Aleksey
13.08.2018
03:55:23
Странное оправдание ;)

 
Ну собственно говоря у тебя все нормально ровно на столько насколько корректно сконфигурировано

 
Теперь. У тебя есть впн

Google
 
DEFACE
13.08.2018
03:57:02
а ты незнаешь как заставить сип клиента не лезьт мимо впна

 
?

 
Aleksey
13.08.2018
03:57:27
Перенастроить клиента

 
Чтобы он ходил по впн

 
Как минимум адрес астериска указать внутренний

 
Что доступен по впн

 
DEFACE
13.08.2018
03:59:10
я и указал внутренний

 
я же не идиот)

 
авг 13 13:59:39 hermes socat[18579]: GXP1610_PHONE[00:0b:82:d3:b7:15][1.0.4.82] Host name resolved авг 13 13:59:39 hermes socat[18579]: GXP1610_PHONE[00:0b:82:d3:b7:15][1.0.4.82] Resolving Host: ats.local

 
вот лог с телефона

 
ats.local резолвится в 192.168.0.88

 
у клиента есть настройка nat traversal...может она такое поведение генерирует

 
DEFACE
13.08.2018
04:02:52
сейчас покручу

 
нет, не в этом дело

 
Sergey
13.08.2018
05:25:19
покажите еще раз таблицу маршрутизации на микротике

 
DEFACE
13.08.2018
06:09:38
я нашел виновника

 
попробывал на соседней машине запустить простой сип клиент и все заработало как надо

 
дело в каких то параметрах в телефоне

 
Спасибо всем большое за помощь

 
Sergey
13.08.2018
06:11:04
запретите ему доступ в интернет

Google
 
DEFACE
13.08.2018
06:11:08
у меня еще есть не решенный вопрос, мне нужно клиенту маршрут давать при соединении с впном

 
Sergey
13.08.2018
06:11:43
openvpn?

 
DEFACE
13.08.2018
06:11:58
угу, на микротике и клиент и сервер

 
но я так понимаю если я пропишу статический маршрут у клиента то он при потере связи будет отваливатся потому что интерфейс динамический

 
на сервере я прям в клиента засунул маршрут

 
а в клиенте незнаю как

 
Sergey
13.08.2018
06:12:32
в качестве клиента тоже микротик?

 
DEFACE
13.08.2018
06:12:36
ага

 
Sergey
13.08.2018
06:14:47
на клиенте в secrets в настройках пользователя есть routes, пишите туда

 
DEFACE
13.08.2018
06:15:56
я на сервере где создана учетная записать прописал в сикретс

Admin
ERROR: S client not available

 
DEFACE
13.08.2018
06:16:06
а на клиенте у меня сикретс пустое

 
только владка interfaces с подключением

 
там же логин и пароль и серты вписаны

 
Kenig
13.08.2018
06:22:51
есть кто делал тунель между Unifi и mik?

 
Sergey
13.08.2018
06:23:43
я на сервере где создана учетная записать прописал в сикретс
через костыли, в профайле есть scripts, on up on down, там можно получить интерфейс итам добавлять и удалять маршруты

 
DEFACE
13.08.2018
06:28:37
через костыли, в профайле есть scripts, on up on down, там можно получить интерфейс итам добавлять и удалять маршруты
спасибо. нужно быть аккуратным чтобы не назначить этот профаил потом другим подключениям да?

 
Sergey
13.08.2018
06:29:21
да, лучше создать отдельный профайл

 
DEFACE
13.08.2018
06:30:51
да, лучше создать отдельный профайл
спасибо.

 
Combot
13.08.2018
06:30:51
PANDA RESISTANCE (0) увеличил репутацию Sergey R. (1)

Google
 
Igor
13.08.2018
06:47:39
всем привет, подскажите как правильно изолировать каждый лан порт в хап ац лайт ? задача: в каждом порту должна быть своя сеть с куртизанками и т.д. всем нужен интернет, но чтобы небыло возможность видеть и ходить в соседние порты (сети).

 
Sergey
13.08.2018
06:49:10
обычно или firewall filter или ip route rules

 
Slan
13.08.2018
06:49:12
всем привет, подскажите как правильно изолировать каждый лан порт в хап ац лайт ? задача: в каждом порту должна быть своя сеть с куртизанками и т.д. всем нужен интернет, но чтобы небыло возможность видеть и ходить в соседние порты (сети).
Делай виланы на интерфейсы, а потом в адрес листе указывай те подсети которые ты будешь использовать в отделах. Потом в DHCP так же указывай

 
Sergey
13.08.2018
06:49:49
в первом случае можно указать интерфейсы, во втором ip адреса или сети

 
Igor
13.08.2018
06:50:01
просто я создаю дхцп к примеру на 3 порт, он говорит что порт в слейве

 
Vladimir
13.08.2018
06:50:12
просто я создаю дхцп к примеру на 3 порт, он говорит что порт в слейве
Разберите бридж

 
Slan
13.08.2018
06:50:18
просто я создаю дхцп к примеру на 3 порт, он говорит что порт в слейве
Сними со слейва и сделай бридж

 
Sergey
13.08.2018
06:50:51
не надо бриджей

 
если прошивка старая, убрать мастер порт в настройках если новая убрать из бриджа

 
Institor
13.08.2018
07:01:57
Делай виланы на интерфейсы, а потом в адрес листе указывай те подсети которые ты будешь использовать в отделах. Потом в DHCP так же указывай
Чего все помешались на vlan. Есть же физические порты... не бриджевать их да и все.....

 
Igor
13.08.2018
07:02:01
ок, спасибо

 
Slan
13.08.2018
07:05:05
Чего все помешались на vlan. Есть же физические порты... не бриджевать их да и все.....
Удобно с виланами, если после микрота еще свитчи идут.

 
Vladimir
13.08.2018
07:05:52
Удобно с виланами, если после микрота еще свитчи идут.
если на каждом интерфейсе микротика своя сеть - то вланы не нужны.

 
Sergey
13.08.2018
07:09:16
однозначно :)

 
Игорь
13.08.2018
07:51:19
всем привет подскажите, как работает цепочка jump -> prerouting в RAW? и вообще зачем она там, если логически она рекурсивно работает?

 
Pavel
13.08.2018
07:54:39
ребят подскажите пожалуйста, есть chr микротик, планируем купить на него лицензию, но он будет стоять глубоко в инфраструктуре и не хотелось бы ему давать доступ в интернет. Вариантов 1 раз активировать его лицензией и что бы он не лез её проверять больше нет?

 
Ilya
13.08.2018
07:56:08
откройте ему доступ только до сайта микротик

 
Pavel
13.08.2018
07:59:02
Без разницы куда открывать - между ним и внешним миром достаточно много фаерволлов

 
Игорь
13.08.2018
07:59:41
Без разницы куда открывать - между ним и внешним миром достаточно много фаерволлов
Открыть туннель

 
Антон
13.08.2018
08:10:10
Что за инфрастуктура такая которой управлять не возможно

 
Тунель через свою же структуру )

 
Иван
13.08.2018
08:12:07
Коллеги, подскажите как сдлать доступ к локальной сети для ppp клиентов. Раньше было организовано, через proxy-arp на бридже, все работало хорошо, но идет постоянное переподключение к wi-fi техники apple, dhcp дает адреса на 7 дней. При отключении proxy-arp все работает отлично, но ppp клиенты не видят сеть.

 
Рамиль М.
13.08.2018
08:22:40
Коллеги, подскажите как сдлать доступ к локальной сети для ppp клиентов. Раньше было организовано, через proxy-arp на бридже, все работало хорошо, но идет постоянное переподключение к wi-fi техники apple, dhcp дает адреса на 7 дней. При отключении proxy-arp все работает отлично, но ppp клиенты не видят сеть.
нужен доступ только к определенным хостам или к сети в целом?

Страница 3424 из 3964