Сначала показывайте конфиг
если на другой стороне есть свой выход в инет то блокируйте хождение 53 порта в туннель.
PS в примерах выше я показывал блокирование запросов DHCP, для DNS нужно подправить.
Откуда берется 8.8.8.8?
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
Ca6ko
- Сообщения: 1485
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
Конфиг второго микрота - клиента впн
Код: Выделить всё
# feb/25/2021 21:13:34 by RouterOS 6.48.1
# software id = D
#
# model = RBD52G-5HacD2HnD
# serial number =
/interface bridge
add igmp-snooping=yes name=bridge-1 protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] name=WAN
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
band=2ghz-b/g/n basic-rates-a/g=\
6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=\
1Mbps,2Mbps,5.5Mbps,11Mbps channel-width=20/40mhz-XX country=russia3 \
disabled=no disconnect-timeout=15s distance=indoors frequency=2437 \
frequency-mode=manual-txpower hw-protection-mode=rts-cts installation=\
indoor mode=ap-bridge multicast-helper=full ssid=Mik2.4 tx-power-mode=\
all-rates-fixed wireless-protocol=802.11 wmm-support=enabled wps-mode=\
disabled
set [ find default-name=wlan2 ] adaptive-noise-immunity=ap-and-client-mode \
band=5ghz-n/ac channel-width=20/40/80mhz-XXXX country=russia3 disabled=no \
disconnect-timeout=15s distance=indoors frequency=auto frequency-mode=\
manual-txpower hw-protection-mode=rts-cts installation=indoor \
max-station-count=16 mode=ap-bridge multicast-helper=full ssid=Mik5 \
tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=802.11 \
wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
set wlan2 enable-polling=no
/interface list
add name=Internet
add name=LAN
add name=VPN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk disable-pmkid=\
yes eap-methods="" group-key-update=1h mode=dynamic-keys \
supplicant-identity=MikroTik wpa-pre-shared-key=2******8 \
wpa2-pre-shared-key=28************
add authentication-types=wpa2-psk eap-methods="" group-key-update=1h mode=\
dynamic-keys name=guest_profile supplicant-identity=MikroTik \
wpa-pre-shared-key=freewifi wpa2-pre-shared-key=************
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=\
aes-256-cbc,aes-192-cbc,aes-128-cbc,3des
/ip pool
add name=dhcp ranges=192.168.10.100-192.168.10.200
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge-1 lease-time=\
1w name=server1
/ppp profile
add change-tcp-mss=yes name=vpn use-compression=yes use-encryption=required
/interface l2tp-client
add allow=mschap2 connect-to=188.***.**.202 disabled=no ipsec-secret=\
************* name=l2tp-out1 password=*********** profile=vpn use-ipsec=\
yes user=rem
add connect-to=130.**.**.83 disabled=no ipsec-secret=***********t \
name=l2tp-out2 password=i********** profile=vpn use-ipsec=yes user=\
****************
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge-1 interface=ether2
add bridge=bridge-1 interface=ether3
add bridge=bridge-1 interface=wlan1
add bridge=bridge-1 interface=wlan2
add bridge=bridge-1 interface=ether5
add bridge=bridge-1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set tcp-syncookies=yes
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=WAN list=Internet
add disabled=yes interface=l2tp-out1 list=VPN
add interface=bridge-1 list=LAN
/ip address
add address=192.168.10.1/24 interface=bridge-1 network=192.168.10.0
add address=10.**.**.58/24 interface=WAN network=10.**.**.0
/ip dhcp-server lease
add address=192.168.10.121 client-id=1:7c:dd:90:ea:8f:ee mac-address=\
7C:DD:90:EA:8F:EE server=server1
add address=192.168.10.122 client-id=1:0:6:67:26:6:2b mac-address=\
00:06:67:26:06:2B server=server1
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
netmask=24 ntp-server=192.168.10.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d cache-size=32768KiB \
use-doh-server=https://1.0.0.2/dns-query verify-doh-cert=yes
/ip firewall address-list
add address=sknt.ru disabled=yes list=ToSknt
add address=rutracker.org list=ToSknt
/ip firewall filter
add action=fasttrack-connection chain=forward connection-mark=!ipsec \
connection-state=established,related protocol=udp
add action=fasttrack-connection chain=forward connection-mark=!ipsec \
connection-state=established,related protocol=tcp
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward comment="Drop invalid Forward" \
connection-state=invalid
add action=accept chain=forward comment=New connection-state=new disabled=yes
add action=accept chain=input comment="Accept Input established related" \
connection-state=established,related protocol=!ipsec-esp
add action=drop chain=input comment="Drop Invalid Input" connection-state=\
invalid
add action=drop chain=forward comment="drop all packets for lan, no nat" \
connection-nat-state=!dstnat connection-state=new in-interface-list=\
Internet
add action=jump chain=input comment="Protected - WinBox, ssh, telnet chain" \
connection-state=new dst-port=8291,22,23 in-interface-list=Internet \
jump-target=Protected log-prefix=jumpproverka protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=Internet protocol=\
udp
add action=add-src-to-address-list address-list=BlackListProtected \
address-list-timeout=3d chain=Protected comment=\
"Protected - WinBox, ssh, telnet. Drop in RAW" connection-state=new \
src-address-list="ListProtected Stage 2"
add action=add-src-to-address-list address-list="ListProtected Stage 2" \
address-list-timeout=2m chain=Protected connection-state=new \
src-address-list="ListProtected Stage 1"
add action=add-src-to-address-list address-list="ListProtected Stage 1" \
address-list-timeout=1m chain=Protected connection-state=new log-prefix=\
"\D0\BB\D0\BE\D0\B3\D0\B8\D0\BD1"
add action=accept chain=Protected dst-port=8291,22,23 in-interface-list=\
Internet protocol=tcp
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment=Neighbor dst-port=5678 protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=bridge-1 \
protocol=igmp
add action=accept chain=input comment="Winbox MAC" dst-port=20561 protocol=\
udp
add action=accept chain=input comment=L2TP connection-state="" dst-port=1701 \
protocol=udp
add action=accept chain=input comment="IKE, IPsecNAT" connection-state="" \
dst-port=500,4500 protocol=udp
add action=accept chain=forward disabled=yes dst-port=554,8091 log-prefix=\
rstp protocol=tcp
add action=drop chain=input comment="Drop All Other" in-interface-list=\
Internet log-prefix="drop other"
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark to SkyNet" \
dst-address-list=ToSknt in-interface=bridge-1 new-routing-mark=SKNT \
passthrough=no
add action=mark-routing chain=prerouting dst-address-list=rkn in-interface=\
bridge-1 new-routing-mark=RKN passthrough=yes
add action=mark-connection chain=input comment="Mark IPSec" ipsec-policy=\
in,ipsec new-connection-mark=ipsec passthrough=yes
add action=mark-connection chain=output comment="Mark IPSec" connection-mark=\
ipsec ipsec-policy=out,ipsec new-connection-mark=ipsec passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN
add action=redirect chain=dstnat dst-port=53 in-interface-list=LAN protocol=\
udp
add action=accept chain=srcnat disabled=yes out-interface=l2tp-out1
add action=masquerade chain=srcnat disabled=yes out-interface=l2tp-out1 \
src-address=192.168.50.0/24
add action=masquerade chain=srcnat out-interface=l2tp-out2
/ip firewall raw
add action=drop chain=prerouting in-interface-list=Internet src-address-list=\
BlackListProtected
/ip route
add distance=1 gateway=l2tp-out1 routing-mark=SKNT
add distance=1 gateway=l2tp-out2 routing-mark=RKN
add distance=1 gateway=10.33.63.1
add disabled=yes distance=1 gateway=10.9.8.1
add distance=1 dst-address=192.168.11.0/24 gateway=l2tp-out1
/system ntp client
set enabled=yes primary-ntp=162.159.200.1 server-dns-names=\
time.cloudflare.com
сверху сервер впн, снизу клиент впн, одновременно
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
и в другом впн тоже засветилось...
откуда оно берется, почему именно в впн сети, из подключенных к впн клиентов только микротики.
Второй впн на vds на убунте, микротик 2 в качестве клиента, на нем тоже днс прописаны 1.1.1.1.
42 - это сеть еще одного впн соединения.
откуда оно берется, почему именно в впн сети, из подключенных к впн клиентов только микротики.
Второй впн на vds на убунте, микротик 2 в качестве клиента, на нем тоже днс прописаны 1.1.1.1.
42 - это сеть еще одного впн соединения.
-
ArtVAnt
- Сообщения: 162
- Зарегистрирован: 30 окт 2020, 15:00
Я РАЗОБРАЛСЯ!
Это функция Detect Internet в микротике!
на микротике-клиенте доступность интернета на этом интерфейсе не показывалась. При отключении этого правила детект-интернет сразу обнаруживался.
Странно конечно, что микротик для этих целей использует днс гугла, а не что-то свое.
п.с. как-то изменить 8.8.8.8 на что-то другое я так понимаю нельзя?
Это функция Detect Internet в микротике!
Собственно со включнным правилом на микротике-сервере впнИнтерфейсы второго уровня (L2) также могут получить статус WAN, для этого необходимо выполнение двух условий: интерфейс имеет активный маршрут до IP 8.8.8.8 (сервис Google DNS); интерфейс может или уже получил сетевой адрес и параметры сети от DHCP-сервера (не применимо в том случае, если на интерфейсе DHCP-сервер работает Detect Internet).
https://wiki.mikrotik.com/wiki/Manual:Detect_internet
Код: Выделить всё
add action=drop chain=forward dst-address=8.8.8.8 \
dst-port=53 protocol=udp src-address=192.168.50.0/24 \
src-port=""Странно конечно, что микротик для этих целей использует днс гугла, а не что-то свое.
п.с. как-то изменить 8.8.8.8 на что-то другое я так понимаю нельзя?