Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (4)

Наибольший вклад в теги

Все теги (13)

Лучшие ответы пользователя

Все ответы (39)
  • Как обойти блокировку провайдера "Ростелеком" для https-сайтов внесенных в реестр запрещенных сайтов?

    HawK3D
    @HawK3D Автор вопроса
    Все оказывается очень просто. Как и в случае с http, DPI провайдера перехватывает запросы абонентов и отправляются поддельные ответы от сервера. В случае https нельзя подменить защищенное содержимое, поэтому отправляется поддельный пакет с флагом RST. Запретив такие пакеты - получаем настоящие ответы от сервера:

    /ip firewall filter
    add action=drop chain=forward disabled=no in-interface=pppoe protocol=tcp src-port=443 tcp-flags=rst packet-size=40 ttl=equal:120

    P.S. Под это правило попадает много пакетов, при этом каких-либо проблем обнаружено не было, но для более точной обработки можно поставить дополнительные условия, в моем случае packet-size=40 и ttl=equal:120 (для windows-систем) и ttl=equal:56 (соответственно для *nix-систем) и теперь счетчик правила увеличивается только при обращении к запрещенным https-сайтам. Правило со значением ttl=56 иногда отрабатывает без необходимости, при этом каких-либо проблем замечено не было. Значения ttl смотрел в поддельных пакетах от провайдера и уменьшал их на 1 в правилах.
    Ответ написан
    4 комментария
  • 2 WAN, 2 LAN разделение и переключение Mikrotik?

    HawK3D
    @HawK3D
    Ваша задача с помощью RouterOS решается очень просто без использования скриптов.
    В настройках интерфейсов ISP нужно убрать автоназначение маршрута по-умолчанию (add default route), вместо них создайте вручную маршруты по-умолчанию с маршрутными метками (routing mark). Для маршрута к ISP1 метку можно не указывать (по-умолчанию используется метка "main", которая не отображается). Для маршрута ISP2 укажите, например, routing mark = isp2.
    Для того чтобы трафик LAN2 пошел через маршрут с меткой isp2 - нужно добавить правило маршрутизации:
    /ip route rule
    add action=lookup disabled=no src-address=192.168.88.0/24 table=isp2.
    Для резервирования канала ISP2 для LAN1 - добавьте еще один маршрут по-умолчанию, указав в качестве gateway шлюз ISP2 и указав значение distance большее чем в основных маршрутах (по-умолчанию distance=1). Для резервирования ISP1 для LAN2 - дополнительных настроек не нужно, трафик пойдет через основной маршрут по-умолчанию, в случае недоступности маршрута по метке, указанной в /ip route rules.
    Этих настроек достаточно для решения вашей задачи, но резервирование будет работать только в случае, если соответствующий шлюз окажется недоступен. Для более глубокой проверки канала на доступность интернета настройте рекурсивную маршрутизацию, это подробно описано в презентации Александра Романова.
    Также должны быть настроены соответствующие правила маскарадинга в /ip firewall nat.
    Ответ написан
    1 комментарий
  • Как получить доступ к разным подсетям через VPN?

    HawK3D
    @HawK3D
    Если правильно понял, вы просто подняли впн, но не настроили маршрутизацию? Попробуйте добавить маршрут 192.168.0.0/21 через шлюз 192.168.1.1
    Ответ написан
    3 комментария
  • Почему не работает доступ к общим папкам в Windows через VPN?

    HawK3D
    @HawK3D
    В общем виде это должно быть организовано примерно так:
    - Поднят и функционирует туннель между роутерами;
    - Поверх туннеля на обоих концах поднят EoIP-туннель;
    - Локальные интерейсы и EoIP туннели объединяются в bridge на каждом роутере;
    - Настраивается 2 DHCP-сервера на обоих роутерах, в качестве интерфейса DHCP нужно указать ваш bridge-интерфейс. DHCP network должна быть единой 192.168.0.0/16 в вашем случае указана в настройках обоих DHCP-серверов, а вот диапазоны (pool) выдачи адресов должны быть непересекающимися, входящие в обозначенную подсеть. Например, 192.168.0.2-192.168.0.255 на одном роутере и 192.168.1.2-192.168.1.255 на втором, в вашем случае.
    - Создавать один DHCP на локальную и удаленную подсеть неправильно и опрометчиво - в случае разрыва туннеля между роутерами - на стороне, где нет DHCP истекут сроки аренды, со всеми вытекающими.
    - Лишний broadcast можно заблокировать с помощью /interface bridge filter.
    - Обязательно нужно создать правило, блокирующее DHCP-запросы между удаленными сетями, например так:
    /interface bribge filter
    add action=drop chain=forward comment="Drop DHCP requests over EoIP bridge" disabled=no in-interface=eoip-tunnel1 ip-protocol=udp mac-protocol=ip src-port=68

    Таким способом можно объединить и больше чем две удаленные сети, выстраивая оптимальную топологию. Работает без проблем, щироковещательный трафик незначительный.

    P.S. Вместо EoIP-туннеля предпочтительнее использовать VPLS. В своих настройках отталкивался от презентации Дмитрия Кузнецова, на деле все оказалось немного проще, приведу отличия моих настроек:
    - Необходимо настроить маршрутизацию между удаленными интерфейсами lo, при этом в качестве шлюза на стороне впн-сервера предпочтительнее указать remote address впн-клиента, а не сам впн-интерфейс, либо создать bind для впн-клиента, чтобы в маршруте интерфейс не заменялся на unknow при переподключении.
    - В список LDP-интерфейсов достаточно добавить только "пустые" bridge, впн-интерфейсы добавлять не нужно.

    После перехода на VPLS заметил некоторое "оживление" сети и прирост максимальной скорости при скачивании файлов.
    Ответ написан
    Комментировать
  • Как запретить динамическое соединение l2tp на Микротике?

    HawK3D
    @HawK3D
    Попробуйте уменьшить keepalive timeout в настройках l2tp-сервера, либо измените настройки, таким образом, чтобы не использовать L2TP Server Binding. Похоже проблема в том, что l2tp-клиенты получают один и тот же, статически прописанный ip-адрес. Можно попробовать решить проблему, создав отдельный ip-pool для l2tp-клиентов.
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (11)