https://routerboard.com/SplusDA0003

Как на микротике настроить фильтр ospf, что принимать только свои сети и роуты?

так может лучше DAC?

о, круто, даже не знал про такие штуки)

wiki в помощь

в вики серверный сертификат, хочется клиентский и без паролей

о, круто, даже не знал про такие штуки)

есть на 1м

есть на 1м

угу, нашел на офф сайте, спасибо)

бдуешь теперь чаще бэкапы делать :)

по ssh сливаю rsc под git и backup файлик сам, оч удобно, в bitbucket держать, например

по ssh сливаю rsc под git и backup файлик сам, оч удобно, в bitbucket держать, например

расскажи подробнее про часть где git

может тоже приспособлю свои кнфиги, чтобы видеть разницу. хотя я не часто конфиг меняю

забираешь файлик и коммитишь его в гит

http://wiki.mikrotik.com/wiki/Automated_Backups

какая нафиг разница?

в вики серверный сертификат, хочется клиентский и без паролей

Сам не ковырял, так что не подскажу. Так что видимо остаётся только OpenVPN

или вот http://wiki.mikrotik.com/wiki/Using_SSH_for_system_backup

всё уже придумано до нас :)

Поделись экспортом на bitbucket

Поделись экспортом на bitbucket

а ты с гитом умеешь вообще работать?)

чутка)

https://habrahabr.ru/post/143320/

только вместо SVN - git заюзать

Поделись экспортом на bitbucket

git remote add ..

git push origin master

а он у тебя в бэкап включает сертификаты и прочее ?

хотя я поторопился. я в систему бэкапов складываю конфиги. дифф между двумя файлами несложно сделать.

в экспорте сертификатов нет вроде

думаю они только в бинарном бэкапе будут. как и логины/пароли

Народ , есть проблема настроили OpenVPN с клиентами , не получаеться пробросить порты для доступа из внешки , WAN:port->Microtik->OpenVPN->Client:port

Клиенты между собой пингуются

а он у тебя в бэкап включает сертификаты и прочее ?

не, сертификаты у меня отдельно хранятся

Клиенты между собой пингуются

а как делаете?

а как делаете?

Что именно ? Пинг

проброс

а можно правее сфоткать, магнитики посмотреть?

тик - одна железка, овпн - другая. кдиент - третья. так?

и пока непонял кто куда и как ходит. где wan и т.п.

тик и овпн , одна . Клиент другая

и пока непонял кто куда и как ходит. где wan и т.п.

.

Народ , есть проблема настроили OpenVPN с клиентами , не получаеться пробросить порты для доступа из внешки , WAN:port->Microtik->OpenVPN->Client:port

клиент знает маршрут к отправителю запроса?

клиент знает маршрут к отправителю запроса?

Как узнать ? На пинги отвечает

а что такое gateway?

а что такое gateway?

Врата

Как узнать ? На пинги отвечает

ну например из тырнета 1.1.1.1:1111 просит ваш внешний 2.2.2.2:2222>192.168...:3389, а 192.168 как видит 1.1.1.1?

а что такое gateway?

ip микротика в ovpn

кидаю скрины с настройками

у вас точно где-то src-nat не хватает

кратко резюме: есть тик с поднятым сервером овпн. клиент из интернета к нему подключился. теперь надо до клиента докинуть запрос на 3389 на wan интерфейс того же тика. так?

в питере есть клёвые магниты же!

кратко резюме: есть тик с поднятым сервером овпн. клиент из интернета к нему подключился. теперь надо до клиента докинуть запрос на 3389 на wan интерфейс того же тика. так?

Надо с интернета докинуть запрос до клиента через ван интерфейс тика

Как на микротике настроить фильтр ospf, что принимать только свои сети и роуты?

никак. приниматься будет всё. другое дело, что можно ограничить редистрибьюцию этих маршрутов в таблицу маршрутизации.

имхо надо src-nat делать на адрес самого тика, точнее на адрес сервера овпн. dst-nat на адрес клиента и маршруты между тиком и клиентом.

хотя что-то не уверен про src-nat

как сейчас-то сделано?

имхо надо src-nat делать на адрес самого тика, точнее на адрес сервера овпн. dst-nat на адрес клиента и маршруты между тиком и клиентом.

Т.е в разделе NAT делаем правило: Chain dstnat Protocol 6 (tcp) dst port 44444 In Interface: WAN action dst-nat To Adresses 192.168.11.1 ( адрес ovpn на микротике ) To ports 3389

dst на адрес клиента надо

ERROR: S client not available

Сейчас было на адрес клиента ovpn

ну смотри. пришел пакет на тик. ты ему поменял адрес назначения на адрес клиента

роутер направил его туда (маршруты есть - знает куда отправлять)

клиент получил пакет для него и от адреса в интернете

роутер направил его туда (маршруты есть - знает куда отправлять)

Да, он же роутер ?

он его обратно в интернет и отправит

вопрос куда, в свой локальный гейт или в туннель овпн?

вопрос куда, в свой локальный гейт или в туннель овпн?

я так думаю что может в локальный отправляет. потому что интернет через локальный гейт идёт.

воооот

я так думаю /ip route print покажет

надо либо все рулить в туннель, либо менять адрес источника в пакете

я так думаю /ip route print покажет

на клиенте естессно

надо либо все рулить в туннель, либо менять адрес источника в пакете

надо менять адрес источика. Как?

src-nat

надо менять его на адрес роутера. чтобы клиент его отправил в туннель

вот тут хз. маскарадить или просто src-nat

по идее при получении ответа роутер его должен размаскарадить и получится что он должен будет улететь обратно в интернет

лучше почитать как работают оба этих ната. я сейчас не скажу точно

маскарад

маскарад

ну вот. это потому, что в случае с src-nat надо делать еще один нат обратно, а это динамика, так же?

Firewall NAT action=masquerade is unique subversion of action=srcnat, it was designed for specific use in situations when public IP can randomly change

src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters

маскарада вполне хватит

ну он типа чуток затратнее, но в данном случае это неважно, так что соглашусь

вот интересно, а интерфейс же динамический, видимо надо в правиле dst-address прописать

сейчас про wan или про клиента?

маскарада вполне хватит

Идею понял. Как правильно прописать не совсем понимаю.

Идею понял. Как правильно прописать не совсем понимаю.

Нарисуй схему движения пакета в одну сторону и обратно

Станет нагляднее и понятнее

Идею понял. Как правильно прописать не совсем понимаю.

а ты посмотри что и когда срабатывает. станет проще

И тут такое дело - один раз разобраться и понять, и дальше сильно проще будет

сейчас про wan или про клиента?

для сервера клиентский интерфейс динамический