Задать вопрос

Alex_Buzz

Комментарии

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Вы поймите сначала что мешает, для этого трассировка, если запросы туда сюда ходят, и ответ достигается телефонного аппарата, то копайте отладку Астериска.


    Сменил сеть с 192.168.5.0/24 на 192.168.0.0/24.

    Вот трассировка с хоста в сети 192.168.0.0/24 до аппарата в удаленной сети 192.168.11.0/24
    1 <1 мс <1 мс <1 мс 192.168.0.1
    2 62 ms 60 ms 60 ms 192.168.200.6
    3 61 ms 60 ms 60 ms 192.168.11.253

    Это трассировка с хоста в сети 192.168.11.0/24 на адрес MyPBX в сети 192.168.0.0/24
    1 <1 мс <1 мс <1 мс 192.168.11.254
    2 60 ms 60 ms 60 ms 192.168.200.1
    3 * * * Превышен интервал ожидания для запроса.
    4 * * * Превышен интервал ожидания для запроса.
    5 * * * Превышен интервал ожидания для запроса.

    А вот трассировка с хоста в сети 192.168.11.0/24 до принтера, который находится в сети 192.168.0.0/24
    1 <1 мс <1 мс <1 мс 192.168.11.254
    2 60 ms 62 ms 60 ms 192.168.200.1
    3 70 ms 67 ms 67 ms 192.168.0.115

    Выходит что-то на стороне АТС? Если до принтера все доходит, а до нее нет?
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Что тут можно считать НАТом? Шлюз за которым установлена АТС?
    Вроде же все просто. Есть сеть в которой установлена АТС (192.168.5.0/24) от маршрутизатора А (192.168.5.0/24) до маршрутизатора Б (192.168.11.0/24), есть VPN, маршруты прописаны в обе сети. Из А в Б и из Б в А. В файерволе маршрутизатора А разрешены подключения по необходимым портам из сети 192.168.11.0/24. В файерволе АТС разрешены подключения из сети 192.168.11.0/24. В том аккаунте, который я хочу зарегистрировать не стоит ограничений на подключение из какой либо сети. Пароли менял и проверял.

    Вот сейчас написал и подумал: А может надо от маршрутизатора А до АТС пробросить порты?
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    А nat какой указать?
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Добавил в исключения всю сеть 192.168.11.0/24 в исключения по всем портам.
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Сергей, vlan не используется, АТС в отдельной подсети. Маршрут в эту подсеть из 192.168.11.0/24 есть и пинги туда и обратно проходят.

    у вари есть фильтр по SIP

    Как его включить?
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Подскажите, пожалуйста, как это посмотреть?
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Hedy, он у меня отличается, но я его открыл.
    Написано

  • SIP через VPN. Почему нет регистрации?

    @Alex_Buzz Автор вопроса
    Service port отключил.
    А 5060 это порт для регистрации, который указан в аппарате?
    Написано

  • Mikrotik сервер VPN L2TP+IPSec - клиенты Windows. Маршрутизация?

    @Alex_Buzz Автор вопроса
    Dmitry Tallmange: Спасибо за помощь! А есть какие-то бест-практис на тему фильтрации торрентов или других трафикозатратных вещей?
    Написано

  • Mikrotik сервер VPN L2TP+IPSec - клиенты Windows. Маршрутизация?

    @Alex_Buzz Автор вопроса
    Dmitry Tallmange: Да, самый разумный вариант это резать/фильтровать трафик на оборудовании в головном офисе. Это надо делать в \ip firewall filter? А распознать что это именно L2TP клиент по адресу (Src. adress) из пула клиентов L2TP? В правильном направлении думаю?
    Написано

  • Mikrotik сервер VPN L2TP+IPSec - клиенты Windows. Маршрутизация?

    @Alex_Buzz Автор вопроса
    Пускать весь трафик через удаленный шлюз, то есть через впн

    Ок. А можно фильтровать трафик проходящий в сторону хоста в VPN?
    Провайдер в головном офисе похоже застрял в прошлом веке и интернет трафик у него лимитирован. не хочется что бы клиент VPN скачивал торренты через сеть головного офиса..
    Написано

  • Как настроить маршрутизацию между клиентами VPN?

    @Alex_Buzz Автор вопроса
    Wexter:
    Соответственно чтобы из Б попасть в В, надо пройти через А, точно так же в обратную сторону, из В в Б можно попасть только через А.


    Я так и хочу, но не понимаю как должен выглядеть такой маршрут... Что будет шлюзом в этом случае? Вроде должен быть 192.168.200.1, но это не работает.
    Написано

  • Как настроить маршрутизацию между клиентами VPN?

    @Alex_Buzz Автор вопроса
    Wexter: Т.е. от МТ Б до МТ В тоже должен быть туннель?
    Написано

  • Как настроить маршрутизацию между клиентами VPN?

    @Alex_Buzz Автор вопроса
    Выходит нужно поднять еще подсеть и в ней объединять удаленные клиентские сети? А маршруты настраивать через шлюз в выделеной подсети?

    У меня вот так:
    Настроен секрет для клиент PPTP (МТ Б) на VPN сервере (МТ А) - Local adress 192.168.200.1; Remote adress 192.168.200.2.
    Маршрут на МТ А: dst. adress: 192.168.2.0/24 Gateway: 192.168.200.2.
    На МТ Б: dst. adress: 192.168.0.0/24 Gateway: 192.168.200.1
    По такому же принципу и для второго клиента:
    Секрет на сервере - Local adress 192.168.200.1; Remote adress 192.168.200.3
    Маршрут на МТ А: dst. adress: 192.168.3.0/24 Gateway: 192.168.200.3. На МТ В: dst. adress: 192.168.0.0/24 Gateway: 192.168.200.1

    Я пробовал вот так:
    Маршрут на МТ Б: dst. adress: 192.168.3.0/24 Gateway: 192.168.200.1.
    На МТ В: dst. adress: 192.168.2.0/24 Gateway: 192.168.200.1
    Не заработало...

    Я понимаю что нужна маршрутизация для удаленных сетей, но что будет являться для них шлюзом - не понимаю.
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    Прошу прощения за свой скепсис, виндовый фаервол был бОльшей частью проблемы.
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    Константин Антонов: Да, действительно в скрипте больше правил чем я указал, однако установились именно те, которые я показывал. Мне уже приходило в голову все сломать и заново построить, но мне бы все-таки не хотелось этого делать поскольку МТ А выступает еще в роли VPN L2TP сервера для удаленной работы менеджеров, а работают они почти всегда.
    Конечно, если не получиться найти решение, то так и придется все поднимать с нуля, но мне бы хотелось этого избежать.
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    Константин Антонов: И, да, те самые цепочки я отключил...
    Если по умолчанию политика Mikrotikа все разрешать, то почему нет пинга при полностью отключено файрволе?
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    Я, конечно, проверю файрвол на своем сервере. На первом этапе я взял профиль подключения для Mikrotik B/C и настроил клиента на Windows, так вот это работало.
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    Константин Антонов: Вот скрипт файрвола:
    /ip firewall filter

# INPUT
add chain=input connection-state=invalid action=drop comment="drop invalid connections"  
add chain=input connection-state=related action=accept comment="allow related connections"
add chain=input connection-state=established action=accept comment="allow established connections"

# ext input

# local input
add chain=input src-address=192.168.0.1/24 action=accept in-interface=!ether1-WAN
# drop all other input
add chain=input action=drop comment="drop everything else"

# OUTPUT
add chain=output action=accept out-interface=ether1-WAN comment="accept everything to internet"
add chain=output action=accept out-interface=!ether1-WAN comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"

# FORWARD
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"  
add chain=forward connection-state=established action=accept comment="allow already established connections"  
add chain=forward connection-state=related action=accept comment="allow related connections"
	
add chain=forward src-address=0.0.0.0/8 action=drop  
add chain=forward dst-address=0.0.0.0/8 action=drop  
add chain=forward src-address=127.0.0.0/8 action=drop 
add chain=forward dst-address=127.0.0.0/8 action=drop 
add chain=forward src-address=224.0.0.0/3 action=drop 
add chain=forward dst-address=224.0.0.0/3 action=drop

# (1) jumping
add chain=forward protocol=tcp action=jump jump-target=tcp  
add chain=forward protocol=udp action=jump jump-target=udp  
add chain=forward protocol=icmp action=jump jump-target=icmp

# (3) accept forward from local to internet
add chain=forward action=accept in-interface=!ether1-WAN out-interface=ether1-gateway \
   comment="accept from local to internet"

# (4) drop all other forward
add chain=forward action=drop comment="drop everything else"

# (2) deny some types common types
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="allow parameter bad"
add chain=icmp action=drop comment="deny all other types"

# (5) drop all other forward
add chain=forward action=drop comment="drop (2) everything else"


    В мангле только динамически созданные правила... 
    0  D chain=forward action=change-mss new-mss=1410 passthrough=yes tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535 
      log=no log-prefix="" 

 1  D chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1361-65535 log=no 
      log-prefix=""
    Написано

  • PPTP, Mikrotik, Маршрутизация... Что я делаю не так?

    @Alex_Buzz Автор вопроса
    alegzz: поторопился. 192.168.2.1 на 192.168.0.1, конечно же.
    Написано