Ответы пользователя по тегу Компьютерные сети
  • Как правильно настроить связку HG8245H и MikroTik hEx?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    на хуавее указать микротик как dmz, если wifi клиентам порты пробрасывать не надо
    Ответ написан
    Комментировать
  • Как работает PPPoE у Ростелекома? Микротик вешает порты, почему сам не может получить инет?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    А перед микротиком ONT стоит или РТ витую пару уже завел?
    add action=drop chain=input  in-interface=pppoe-RTK

    запрещает только входящий трафик для микротика, nat работает раньше, поэтому трафик клиентов уже в forward.
    Если микротик работает как кеширующий днс, из за этого правила он не сможет получить ответ от днс форварда, его надо добавить после
    add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked

    Интерфейс pppoe правильно помещать в wan, eth1 в принципе не нужный, если ONT у вас, на этот интерфейс можно повесить ip для доступа к ONT.
    У меня тоже РТ, в квартире ONT. Вместо микротика x86 комп с 2 сетевухами. в 1 подключен ONT и на ней ip внутренней сети ONT, правил никаких для этого интерфейса нет.
    2 сетевуха в бридже с wlan'ами. Коннект стабильный.

    Может у вас с кабелем чего, если на 10М заводится?
    Ответ написан
    Комментировать
  • Что за странные пинги по Wi-Fi?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    inSSIDer показывает только точки, если у соседа точка далеко и у вас не видна, но его ноутбук рядом, вам он будет мешать. На 2.4ГГц микроволновки еще работают и тоже мешать могут. USB3.0 тоже помехи создает на этой частоте, если не ошибаюсь.
    А может просто роутер глючит
    Ответ написан
    2 комментария
  • Как ограничить доступ к локальной сети, но при этом сохранить доступ к интернету?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    На макоси впн сервер стоит? Или этому компу ограничить надо?
    Ответ написан
  • Как узнать по какому стандарту работает сетевая карта(Fast Ethernet\gigabit ethernet), из под windows?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    на какой скорости работает тот стандарт и используется. Пишет 100мбит/с значит 802.3u, если 1000мбит/с 802.3ab. Если она ни к чему не подключена, то и стандарт никакой не используется.
    Ответ написан
  • Как добавить маршрут в подсеть за туннелем pptp?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    делайте маршрут не через dev, а указывая gw 10.255.254.0
    Ответ написан
    Комментировать
  • Почему не работает сеть?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    Как он адрес по дхцп получил, если принятых пакетов нет. Пропишите статику, покажите вывод route print, пробуйте пинговать шлюз.
    Ответ написан
  • Какую выбрать аппаратную базу для кастомного маршрутизатора?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    вариант с неттопом не так плох. Т.к. надо много интерфейсов придется использовать коммутатор с поддержкой вланов, зато материнки хватит с 1 портом. По цене дешего, гибкость самая гибкая, возможности - на что хватит фантазии. Если гигабит через openvpn пропускать не планируете атом или селерон с нагрузкой справятся.
    Ответ написан
    Комментировать
  • Микротик проброс портов из локальной сети?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    может в фаерволе разрешить форвард лан-лан?
    /ip firewall filter
    add chain=forward in-interface=local out-interface=local
    Ответ написан
    Комментировать
  • Объеденить 2 Mikrotik по l2tp+ipsec, почему не создаются sa?

    Nerwin
    @Nerwin Автор вопроса
    И ни капельки я не тупой...просто ленивый
    Все, разобрался.
    готовый конфиг выглядит так
    для сервера
    #все, что касается l2tp
    #пул адресов для l2tp клиентов
    /ip pool
    	add name=vpn-net ranges=192.168.100.2-192.168.100.254
    
    #создадим профиль l2tp сервера
    /ppp profile
    	add name=l2tp-vpn change-tcp-mss=yes local-address=192.168.100.1 only-one=no \
    		remote-address=vpn-net use-encryption=required 
    
    #включим l2tp сервер используя наш профиль, авторизовться клиенты будут по mschap2,
    #mtu от балды, чтобы точно дефрагментации не было
    /interface l2tp-server server
    	set authentication=mschap2 default-profile=l2tp-vpn enabled=yes \
    		max-mru=1300 max-mtu=1300
    
    #пользователи l2tp
    /ppp secret
    	add name=<юзер> password=<пароль> local-address=192.168.100.1 profile=l2tp-vpn \
    		remote-address=192.168.100.2 service=l2tp
    
    #добавим отдельный интерфейс для пользователя юзер
    /interface l2tp-server
    	add name=l2tp-s user=<юзер>
    
    #все, что касается ipsec
    #писали, что в ipsec группе default есть баг, создадим свою
    /ip ipsec policy group
    	add name=l2tp 
    
    #какие алгоритмы шифрования поддерживает сервер (винда sha1-3des, android sha256-aes256cbc)
    /ip ipsec proposal
    	set [ find default=yes ] auth-algorithms=sha1,sha256 enc-algorithms=\
    		3des,aes-128-cbc,aes-256-cbc pfs-group=none
    
    #добавим пира, который будет ждать подключения по ipsec
    /ip ipsec peer
    	add address=0.0.0.0/0 \ #можно подключиться с любого адреса ip
    		enc-algorithm=3des,aes-128,aes-192,aes-256 \ #по умолчанию, используется только во время подключения
    		exchange-mode=main-l2tp \
    		generate-policy=port-override \ #создавать политики автоматически (иногда создаются не правильно)
    		my-id=user-fqdn \
    		passive=yes \ #только слушать
    		policy-template-group=l2tp \
    		secret=<секретное слово>
    
    #добавим политики ipsec	
    /ip ipsec policy
    	#добави стандартную политику шаблон в нашу группу
    	set 0 dst-address=0.0.0.0/0 group=l2tp src-address=0.0.0.0/0
    	#при подклчении политики для клиентов будут создаваться автоматически, но иногда
    	#они создаются с неправильныйми адресами, если так будет, надо добавить политику вручную
    	add dst-address=<белый ip клиента>/32 \ 
    		sa-dst-address=<белый ip клиента> \
    		src-address=<серый ip сервера, на внешнем интерфейсе>/32 \
    		sa-src-address=<серый ip сервера, на внешнем интерфейсе>
    
    #если включен firewall, добавим правила
    #используются порты 500 (для установки соединения ipsec), 4500 (через него передаются данные если включен nat-t), 1701 (l2tp)
    /ip firewall filter
    	add chain=input dst-port=500 in-interface=eth1 protocol=udp
    	add chain=input dst-port=4500 in-interface=eth1 protocol=udp
    	add chain=input dst-port=1701 in-interface=eth1 protocol=udp


    для клиента
    #все, что касается l2tp
    #создадим профиль подключения
    /ppp profile
    	add name=vpnc use-compression=yes use-encryption=required use-mpls=yes
    
    #создадим клиента используя наш профиль
    /interface l2tp-client
    	add allow=mschap2 \
    		name=l2tp-c \
    		connect-to=<белый ip сервера> \
    		disabled=no \
    		keepalive-timeout=disabled \
    		max-mru=1300 \
    		max-mtu=1300 \
    		password=<пароль> \
    		profile=vpnc \
    		user=<юзер>
    
    #все, что касается ipsec
    #как и в случае с сервером создадим отдельную группу
    /ip ipsec policy group
    	add name=l2tp
    
    #какие алгоритмы шифрования поддерживает клиент (хотя бы 1 из них должен быть и на сервере)
    /ip ipsec proposal
    	set [ find default=yes ] enc-algorithms=aes-128-cbc pfs-group=none
    
    #создадим пира, который будет подключаться
    /ip ipsec peer
    	add address=<белый ip сервера>/32 \
    		enc-algorithm=3des,aes-128,aes-192,aes-256 \ #это все по умолчанию, как и у пира на сервере
    		exchange-mode=main-l2tp \
    		generate-policy=port-override \ #может и не надо, все равно вручную создается
    		local-address=0.0.0.0 \
    		my-id=user-fqdn \
    		policy-template-group=l2tp \
    		secret=<секретное слово, как и на сервере>
    
    #создадим политики
    /ip ipsec policy
    	#как и на сервере, добавим стандартный шаблон в нашу группу
    	set 0 dst-address=0.0.0.0/0 group=l2tp src-address=0.0.0.0/0
    	#наша политика для подключения
    	add dst-address=<белый ip сервера>/32 \
    		dst-port=1701 \
    		src-address=<серый ip клиента, на внешнем интерфейсе>/32 \
    		src-port=1701
    		sa-dst-address=<белый ip сервера> \
    		sa-src-address=<белый ip клиента> \
    
    #если планируется пускать весь траффик по vpn, оставим траффик к серверу через основной шлюз
    /ip route
    	add distance=1 dst-address=<белый ip сервера>/32 gateway=<наш шлюз>
    Ответ написан
    5 комментариев
  • Какие должны быть маршруты при Site to Site OpenVpn?

    Nerwin
    @Nerwin
    И ни капельки я не тупой...просто ленивый
    За каким натом, за натом пинговаться нечего не может. Если tun интерфейс, то на сервере, в конфиге клиента должны быть iroute сеть_за_этим_клиентом, в основном конфиге push "route сеть_за_сервером" и route сеть_за_клиентом. Как это галочками в вебморде прописать не помню уже, текстовые конфиги рулят. И никакого ната.
    Ответ написан
    Комментировать