настраивайте firewall filter

Я кажется понял

Dstnat надо делать

не надоникаких НАТ

Стоп, оно после включения заработало

забудьте

у вас forward дропает пакеты с телефона

добавьте правило chain=forward src address=10.10.10.11 action=aсcept

выше запрещающих

это правло разрешит пересылку пакетов с адреса телефона

в т.ч. и в интернет

Все, все работает, спасибо

ок :)

по дружбе микротика с опенвпн. я правильно понимаю что для того что бы подружить микротик как клиент с опенвпн, нужно на сервере сделать кучу всяких изменений. и в случае если у нас комбайн типа softethervpn то подружить нормально не получится?

Привет прошу прощения не по теме, но возможно кто то делал такое, как на убунте в l2tp настроить дополнительные ип

?

Как такое возможно - на компьютере интернет есть, а на микротик не пускает, в логах denied winbox/dude connect from. Создал правило инпут все и вытянул на самый верх - не пускает все равно.

Как такое возможно - на компьютере интернет есть, а на микротик не пускает, в логах denied winbox/dude connect from. Создал правило инпут все и вытянул на самый верх - не пускает все равно.

фаерволл?)

фаерволл?)

Создал правило инпут все и вытянул на самый верх - не пускает все равно.

Создал правило инпут все и вытянул на самый верх - не пускает все равно.

не пускает только винбокс? телнет/ссх/веб работают?

Как такое возможно - на компьютере интернет есть, а на микротик не пускает, в логах denied winbox/dude connect from. Создал правило инпут все и вытянул на самый верх - не пускает все равно.

А настройку через веб делаешь?

не пускает только винбокс? телнет/ссх/веб работают?

Наврал, веб работает. Спасибо.

Наврал, веб работает. Спасибо.

А остальное? Через веб настраивать - сомнительное удовольствие

А остальное? Через веб настраивать - сомнительное удовольствие

Разобрался. Во внешку выхожу, закрываясь ip микротика, а в фаерволл добавил сеть компьютера

Маршрута нет или с нат что-то

Ната нет как минимум

Ната нет как минимум

Да уж решили, форварда не было в фаерволле

Ага увидел

Коллеги, а что раньше срабатывает: ipsec policy или raw preroute в packet-flow? Хочется верить, что raw preroute.

Raw сначала

Raw сначала

Уже, спасибо )

У меня есть VPN сервер, подключение к нему не идет. Создаю chain forward, dst address указываю адрес сервера, поднимаю правило вверх. По идее доступ должен появиться?

Уже, спасибо )

С рав аккуратнее. Есть свои приколы

да, я через RAW делаю защиту от DoS/DDoS, наверху повесил whitelist EMERGENCY, чтобы себе в ногу не выстрелить и не пришлось срочно покупать билеты :)))

У меня есть VPN сервер, подключение к нему не идет. Создаю chain forward, dst address указываю адрес сервера, поднимаю правило вверх. По идее доступ должен появиться?

впн сервер где, на микротике?

и хотелось убедиться, что ipsec policy не тормознет трафик в экстренной ситуации

впн сервер где, на микротике?

Не, это физически другой сервер

ок, какой впн?

ок, какой впн?

Сервер, на нем ВПН, с тика на него пинг идет, с компьютера нет. Создал правило - связи так и нет

впн сервер в интернете?

впн сервер в интернете?

Ну в общем да

Я думаю может в аддрес листы добавить или еще куда-то

понимаете в чем дело, вам там на месте все понятно, что куда подключено и куда идет, нам отсюда ничего этого не видно

если ВПН сервер в отдельной сети за микротиком это одно дело, если в инете это другое

нужно больше деталей

если ВПН в инете, по проблем вобще не должно быть, по крайней мере с пингом

понимаете в чем дело, вам там на месте все понятно, что куда подключено и куда идет, нам отсюда ничего этого не видно

Сервер в той же сети, что и внешний адрес микротика, которым он смотрит в интернет, он пингуется. Компьютер подключен в микротик - интернет есть, но сервер не доступен

возможно не правильно настроен НАТ, это как предположение

возможно не правильно настроен НАТ, это как предположение

Я тоже так думаю, но я создал правило форвард, указав дст адрес сервера

ВЫтащил его наверх

По идее должно же пропускать любой трафик до указанного адреса?

если интернет на ПК работает, то доступ к серверу в тоже сети провайдера должен быть

без каких либо настроек

тем более что с МТ сервер пингуется

btest просто, как мне кажется, совсем штука непоказательная. Там могут быть и лосты, и скорость маленькая. А иперфом через тот же роутер все может быть просто отлично

в общем прогнал я btest 6 гигов, со связью все норм, 0 пакетов потеряно. только вот hap lite клиентский был загружен на 100%, я таких хапов штук 5 подключил. а мой 3011 на 0% xD

да, я через RAW делаю защиту от DoS/DDoS, наверху повесил whitelist EMERGENCY, чтобы себе в ногу не выстрелить и не пришлось срочно покупать билеты :)))

Из рав в можно миновать файрвол

в общем прогнал я btest 6 гигов, со связью все норм, 0 пакетов потеряно. только вот hap lite клиентский был загружен на 100%, я таких хапов штук 5 подключил. а мой 3011 на 0% xD

Надо брать ??

Надо брать ??

кого?

Девок ?

Из рав в можно миновать файрвол

0_o дропнуть если только) Можно миновать conntrack, но файрволл едва ли ) Accept и notrack все равно в chain=preroute/output зайдут и дальше а forward/input или output окажутся

0_o дропнуть если только) Можно миновать conntrack, но файрволл едва ли ) Accept и notrack все равно в chain=preroute/output зайдут и дальше а forward/input или output окажутся

Вот именно, что no track минует все остальные правила. Я еле нашёл, почему у меня пакеты не попадали в файервол из впн, сети которых засунуты в no track (для увеличения скорости и снижения нагрузки на проц)

raw preroute=notrack тебя в любом случае приведет на фильтр input/forward файрволла

а рав нотрак не приведёт:)

а как же пакеты с коннекшн стейт notrack?

А вот так

ERROR: S client not available

у меня много таких пакетиков на input/forward

Курить rtfm надо

Посоны, для чего в микротике меш?

Для меш-сетей?

Курить rtfm надо

пруфлинк в студию плиз)

пруфлинк в студию плиз)

Засунь 2 сетки за натом в нотрак в раве, подними оба правила вверх, и попробуй зайти на удалённый микротик через впн. Ощущения потом расскажи?

это ртфм?

похоже на танец с бубном пока еще

Это реальный опыт. Ртфм для слабаков?

мне на языке packetflow плиз

а не на языке шамана

очевидно, что без conntrack NAT работать не будет

но по таблице packetflow пакет полетить дальше в фильтры и без ната, если его на route=blackhole не остановят

Игорь жду контр-аргументы ^_^

notrack - do not send packet to connection tracking.

ты сам ответил на свой вопрос ))

очевидно, что без conntrack NAT работать не будет

Так это нат

conntrack != firewall filter

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

сертифицированные спецы по traffic control есть кто в зале?

Raw до фильтра, сразу на границе с физ интерфейсом

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

Сколько этой картинке лет и от какой прошивки она?

думаю она актуальна с 6.35/6.36 и с тех пор актуальность не утранила

думаю она актуальна с 6.35/6.36 и с тех пор актуальность не утранила

Не разглядел. Всё соответствует, верно

Но она упрощенная

https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6 Тут пути ipsec даже расписаны

notrack пакет летит в mangle preroute, минует dst-nat и дальше попадает в файрволл (input/forward filter)

смотри диаграмму

notrack пакет летит в mangle preroute, минует dst-nat и дальше попадает в файрволл (input/forward filter)

Возможно должен попадать, но не попадает по факту

смотри диаграмму

Смысл втыкать в картинку, когда я руками в железе пробовал