951Ui никогда не видел вживую :D

Вы просто много кушать©

ОпенВПН у тика кастрированный, переделать придётся на l2tp+ipsec

а у клиентов что меняется при такой настройке? Клиенты - это компы (рабочие станции, у каждого компа в удаленных филиалах, свой ключ). Там стоит OpenVPN клиент. Как мне их потом подключить к микротику?

ОпенВПН у тика кастрированный, переделать придётся на l2tp+ipsec

проблема в том, что в рабочее время, как бы не могу взять поставить микротик и сидеть долго настраивать. Сотрудники начнут вопить без интернета. Магазины типа потеряют возможность общения во внутреннем чате, который внутри впн-ки ходит. И даже если я в главном офисе быстро дам всемм интернет, без чата, без впн, все мозг вынесут. Потому хочется как-то заранее спланировать настроечку и сделать более быстро и менее болезненно. при этом что измениться у клиентов ВПН-ки?

а у клиентов что меняется при такой настройке? Клиенты - это компы (рабочие станции, у каждого компа в удаленных филиалах, свой ключ). Там стоит OpenVPN клиент. Как мне их потом подключить к микротику?

Настроить в винде впн. У народа даже IKEv2 работает

микротик в качестве роад-варриора не очень подходит

лучше использовать другие решения

проблема в том, что в рабочее время, как бы не могу взять поставить микротик и сидеть долго настраивать. Сотрудники начнут вопить без интернета. Магазины типа потеряют возможность общения во внутреннем чате, который внутри впн-ки ходит. И даже если я в главном офисе быстро дам всемм интернет, без чата, без впн, все мозг вынесут. Потому хочется как-то заранее спланировать настроечку и сделать более быстро и менее болезненно. при этом что измениться у клиентов ВПН-ки?

Более быстро - тику дать другой белый айпи и по одному перекидывать с одного впн на другой

Более быстро - тику дать другой белый айпи и по одному перекидывать с одного впн на другой

увы нет второго канала. Есть основной, могу только его отрудить и настроить заново на микротике.

микротик в качестве роад-варриора не очень подходит

Согласен, но такое решение имеет право на жизнь, если клиентов не много. И ипсек конечно лучше аппаратный юзать

увы нет второго канала. Есть основной, могу только его отрудить и настроить заново на микротике.

Тогда безболезненно не перевести

Более быстро - тику дать другой белый айпи и по одному перекидывать с одного впн на другой

взял RB750Gr3 там же 4 ядра по 880 мегагерц, должно хватить, что бы он справлялся с нагрузкой впн-ки.

Тогда безболезненно не перевести

и еще можно тупой маленький вопрос. Если я l2tp скажем настрою. Какой вариант будет лучше? 1) каждый комп в магазине, удаленном офисе, имеет свой коннект к серверной части ВПН 2) в каждом магазине или же офисе, есть такое же роутеры микротики. И вместо компов, впн настроен на роутере. То есть от магазина идет один канал вместо 100500.

взял RB750Gr3 там же 4 ядра по 880 мегагерц, должно хватить, что бы он справлялся с нагрузкой впн-ки.

"Должно хватить" это понятие зависимое. Может у вас 1000 клиентов...

и еще можно тупой маленький вопрос. Если я l2tp скажем настрою. Какой вариант будет лучше? 1) каждый комп в магазине, удаленном офисе, имеет свой коннект к серверной части ВПН 2) в каждом магазине или же офисе, есть такое же роутеры микротики. И вместо компов, впн настроен на роутере. То есть от магазина идет один канал вместо 100500.

По сути это не важно. Для обслуживания удобнее тики, для пользователя - симметрично

кто-то пользовался? какие правильно там значения установить? а то в примере написано что для версии 5.6 а там 2 глюка, и вместо 10 секунд там 1 секунда, а вот с лимитами не понятно, сколько там правильно подставить https://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking

с точки зрения оптимизации, при добавлении нового компа, если впн между роутерами, то не надо настройки делать на компе. Воткнул его в сеть и он завелся сразу на автомате. При каждом клиенте, надо отдельно настраивать. Клиентов в основном офисе около 40, остальные 30 разбросаны. Всего не более 70 компов.

с точки зрения оптимизации, при добавлении нового компа, если впн между роутерами, то не надо настройки делать на компе. Воткнул его в сеть и он завелся сразу на автомате. При каждом клиенте, надо отдельно настраивать. Клиентов в основном офисе около 40, остальные 30 разбросаны. Всего не более 70 компов.

Если нарисовать структуру, то самому станет понятно где какое решение лучше использовать. А при увеличении компов на точках, где был один, ничто не мешает туда добавить тик.

Если нарисовать структуру, то самому станет понятно где какое решение лучше использовать. А при увеличении компов на точках, где был один, ничто не мешает туда добавить тик.

Ясно, спасибо. Буду дерзать. Тут еще есть куда оптимизировать бюджет предприятия. ?

Я вообще мечтаю о микротике на батарейке с контейнером для usb модема. Чтобы пользователю выдать с ло-пасом от вайфая. Он пришел, врубил, пользуется )))

Но в реальности приходится везде настраивать всё на пользовательском устройстве. Хорошо хоть есть sstp

Ошибка при доступе на веб: Error 503: unknown method из-за чего может быть?

на чей вэб?

на чей вэб?

а разница?

Всем привет! Подскажите пожалуйста. Есть тик, у тика есть белый адрес х.х.х.х в сети /29 которую мне выдал провайдер По этому адресу я могу заходить на тик из дома, например. Так же на тике создана серая сеть у.у.у.0, из которой он дает адреса моим компьютерам У него в этой сети адрес у.у.у.1 /24 Проблема в чем - из серой сети не могу заходить на белый адрес. Я то ладно, но у некоторых клиентов схема выглядит ровно как в этой статье - https://wiki.mikrotik.com/wiki/Hairpin_NAT То есть есть сервак с серым ip, на тике он натится на белый, из вне по белому заходит - из локалки только по серому. Хочу сделать так, чтоб и по белому можно было заходить Я думаю, что сделать это можно провилами фаервола На своем тике сделал так - ip firewall nat add action=dst-nat chain=dstnat dst-address=х.х.х.х to-addresses=у.у.у.1 ip firewall nat add action=src-nat chain=srcnat src-address=у.у.у.у to-addresses=х.х.х.х ip firewall nat add action=dst-nat chain=dstnat dst-address=у.у.у.0 /24 to-addresses=у.у.у.1 Получилась хуйня, компы отвалились, у меня по белому ip доступа нет. Подскажите пожалуйста, что нужно сделать, чтоб из локала заходило на белый ip?

Всем привет! Подскажите пожалуйста. Есть тик, у тика есть белый адрес х.х.х.х в сети /29 которую мне выдал провайдер По этому адресу я могу заходить на тик из дома, например. Так же на тике создана серая сеть у.у.у.0, из которой он дает адреса моим компьютерам У него в этой сети адрес у.у.у.1 /24 Проблема в чем - из серой сети не могу заходить на белый адрес. Я то ладно, но у некоторых клиентов схема выглядит ровно как в этой статье - https://wiki.mikrotik.com/wiki/Hairpin_NAT То есть есть сервак с серым ip, на тике он натится на белый, из вне по белому заходит - из локалки только по серому. Хочу сделать так, чтоб и по белому можно было заходить Я думаю, что сделать это можно провилами фаервола На своем тике сделал так - ip firewall nat add action=dst-nat chain=dstnat dst-address=х.х.х.х to-addresses=у.у.у.1 ip firewall nat add action=src-nat chain=srcnat src-address=у.у.у.у to-addresses=х.х.х.х ip firewall nat add action=dst-nat chain=dstnat dst-address=у.у.у.0 /24 to-addresses=у.у.у.1 Получилась хуйня, компы отвалились, у меня по белому ip доступа нет. Подскажите пожалуйста, что нужно сделать, чтоб из локала заходило на белый ip?

в вики же все написано, нужн оподменить адрес получателя ds-nat, но для того чтоб ответный пакет не пришел напрямую на клиента, нужно еще дополнительно подменить и адрес отаправителя src-nat, в чем сложности?

а разница?

да вобщем-то никакой, у протокола http есть набор методов get/post/etc, и сервер сообщил что не знает такого метода который запросил клиент

да вобщем-то никакой, у протокола http есть набор методов get/post/etc, и сервер сообщил что не знает такого метода который запросил клиент

и из-за чего такой косяк?

в вики же все написано, нужн оподменить адрес получателя ds-nat, но для того чтоб ответный пакет не пришел напрямую на клиента, нужно еще дополнительно подменить и адрес отаправителя src-nat, в чем сложности?

Не хватает мозгов осмыслить эту схему

и из-за чего такой косяк?

клиент запросил несуществующий метод сервер не знает такой метод что-то поломалось по дороге нужен дебаг, например в хроме есть инструменты разработчика, там можно посмотреть что отправил клиент на сервере обычно логи, ну и сниферы всякие посмотреть что ушло и что пришло

Не хватает мозгов осмыслить эту схему

отойду мин на 15, приду объясню

у.у.у.1 - маршрутизатор у.у.у.100 - клиент у.у.у.200 - сервер х.х.х.х - белый адрес посылается пакет с клиента на белый адрес, источник у.у.у.100 получатель х.х.х.х, пакет приходит на маршрутизатор, подменяем адрес получателя на у.у.у.200 у пакетов у которых получатель х.х.х.х и пакет пришел из локальной сети у.у.у.0/24 (вместо сети можно использовать китерий in-interface) ip firewall nat add action=dst-nat chain=dstnat dst-address=х.х.х.х src-address=у.у.у.0/24 to-addresses=у.у.у.200

теперь у пакета адрес источника у.у.у.100 адрес получателя у.у.у.200

у.у.у.1 - маршрутизатор у.у.у.100 - клиент у.у.у.200 - сервер х.х.х.х - белый адрес посылается пакет с клиента на белый адрес, источник у.у.у.100 получатель х.х.х.х, пакет приходит на маршрутизатор, подменяем адрес получателя на у.у.у.200 у пакетов у которых получатель х.х.х.х и пакет пришел из локальной сети у.у.у.0/24 (вместо сети можно использовать китерий in-interface) ip firewall nat add action=dst-nat chain=dstnat dst-address=х.х.х.х src-address=у.у.у.0/24 to-addresses=у.у.у.200

Теперь вроде понятно. Спасибо. Попробую

меняем адрес источника на адрес маршрутизатора у пакетов, которые пришли из локальной сети и адрес получателя у.у.у.200 на адрес маршрутизатора ip firewall nat add action=src-nat chain=srcnat dst-address=у.у.у.200 src-address=у.у.у.0 /24 to-addresses=у.у.у.1

теперь пакет будет иметь адрес источника - адрес маршрутизатора у.у.у.1 и адрес получателя - сетрвер у.у.у.200 и согласно таблице маршрутизации пакет уйдет назад в локальную сеть, когда пакет будет идти обратно от сервера, все преобразования выполятся автоматически, посменятся адрес получателя на адрес клиента, и адрес источника на белый адрес

Обобщая написаное про нат: https://spw.ru/educate/articles/natpart5/ https://wiki.mikrotik.com/wiki/Hairpin_NAT

Обобщая написаное про нат: https://spw.ru/educate/articles/natpart5/ https://wiki.mikrotik.com/wiki/Hairpin_NAT

спс

а вообще если есть доменное имя, то проще этими костылями не заниматся а прописать статическую запись в DNS микротика и не загружать роутер всякой херней :)

Всегда пожалуйста. Сергей годно описал, но там с картинками. Некоторым людям важно увидеть ?

Добрый день Имеем цепочку: пров-адсл модем- микротик

Главный минус hairpin nat то, что сервер видит пользователей внутренней сети под IP роутера.

Адсл умеет по телнет. Хочу его скриптом ребутать по шедулеру

и не только, весь трафик идет через маршрутизатор

Как запустить телнет понятно, как передать авторизацию и команду ребута - нет :(

а вообще если есть доменное имя, то проще этими костылями не заниматся а прописать статическую запись в DNS микротика и не загружать роутер всякой херней :)

Еще такой вопрос - в случае если я из локала хочу зайти не на какой-то сервер по белому ip а на сам микротик. как будут выглядеть правила ната в этом случае?

С телнетом непросто. Проверьте, может ssh есть?

адсл, как правило, понимают перезагрузку по get запросу

С телнетом непросто. Проверьте, может ssh есть?

Вроде нет. Тупая железка. На вебморде даж логина нет(

адсл, как правило, понимают перезагрузку по get запросу

AirTies модель

как там http://login@pass/192.168.0.1/reboot.html

Есть метод паяльника. Но он не всем подходит ?

в веб морде есть кнопка перезагрузить?

как там http://login@pass/192.168.0.1/reboot.html

Это на одном вендоре или многих?

на длинках так перезагружал

в веб морде есть кнопка перезагрузить?

Да. И настройки пробросов и т.п. тож есть

но как правило на любом девайсе с вебмордой есть такая ссылка

но как правило на любом девайсе с вебмордой есть такая ссылка

Интересно. Попробую

посомтрите url ссылки на перезагрузку

но как правило на любом девайсе с вебмордой есть такая ссылка

Если изнутри с микрота - то через fetch?

по видимому да, я из bat файла делал через wget :)

Просто к модему я ван закрыл, один проброс и маскарад на тике, так что модем думает, что из лана в него ходят

нжно смотреть какой там метод get или post

Кто работал с api телеграмма?

ERROR: S client not available

Еще такой вопрос - в случае если я из локала хочу зайти не на какой-то сервер по белому ip а на сам микротик. как будут выглядеть правила ната в этом случае?

вам для какой цели? обычно так не делают, с хаирпин еще понятно, ваб/почтовые сервера для однообразия настройки ПО по доменному имени, а для доступа к маршрутизатору обычно используют локальный адрес

Надо что бы бот в группе телеграмма закреплял новость.

вам для какой цели? обычно так не делают, с хаирпин еще понятно, ваб/почтовые сервера для однообразия настройки ПО по доменному имени, а для доступа к маршрутизатору обычно используют локальный адрес

Ок. Понял

да и еще забыл добавить, с Hairpin NAT желательно добавить протокол и порт сервиса

да и еще забыл добавить, с Hairpin NAT желательно добавить протокол и порт сервиса

Почему?

чтоб путаницы не возникло, при тех правилах, запрос на любой порт по любому протоколу на былй адрес приведет пакет к серверу

а, от сервера к 254,65 работают а к 2,1 нет ?

да

и еще можно тупой маленький вопрос. Если я l2tp скажем настрою. Какой вариант будет лучше? 1) каждый комп в магазине, удаленном офисе, имеет свой коннект к серверной части ВПН 2) в каждом магазине или же офисе, есть такое же роутеры микротики. И вместо компов, впн настроен на роутере. То есть от магазина идет один канал вместо 100500.

а разве не осталост старого CA? не вижу проблем вообще в переводе на тик. единственное что нужно поменять - протокол на TCP и выключить схатие, если используется сейчас. и еще большое отличие - тик не пушит настройки до клиентов,насколько знаю. но если тебя волнуют только серты - тут ноль проблем.

да

2,1 пингуется с сервера?

2,1 пингуется с сервера?

да

я может не написал, но я на тике (2,1) вижу пакеты от сервера. обратных не вижу

на тике в смысле обратных не вижу

2,1 это микротик? он знает где искать сеть сервера? и через что влан2 или влан10

2,1 это микротик? он знает где искать сеть сервера? и через что влан2 или влан10

на схеме это все указал. роут статический до .3.0/24

если микротик, добавьте лог правило на output и посмотрите уходят ли пакеты, если уходят то куда

gw-to-inet - микротик. dsw - центральный свитч.

если микротик, добавьте лог правило на output и посмотрите уходят ли пакеты, если уходят то куда

интересная идея. че-то ваще такое в голову не пришло

какой там порт у snmp

какой там порт у snmp

161/удп

вот их и пропишите

в лог правиле

уже

и что там? :))

18:26:57 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69 18:26:58 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69 18:26:59 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69 18:27:00 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69 18:27:01 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69 18:27:02 firewall,info OUTPUT_SNMP output: in:(unknown 0) out:vlan2-mgmt, proto UDP, 192.168.2.1:161->192.168.3.100:33029, len 69

уходит через тотже интерфейс через который пришло, так?

вроде все правильно

да, тот же

ну тогда остается коммутатор

который посередине

тоже микротик?

тоже микротик?

не. L2+ свитч. eltex

acl и маршрутизацию нужн осмотреть