Доброго времени суток.
:( думал что все просто, есть инструкции, есть WinBox настроил и используй, но почему то не все получилось.
Провайдер Ростелеком подключение PPPoE
перечитал кажется все статьи в интернете по настройке, но остался ряд вопросов, прошу помощи в них и спасибо заранее
роутер hEX RB750g3
прошивка последная стабильная 6.44.3
как написано почти во всех статьях, после сброса ни какой настройки по умолчанию не принимал.
мои почему
1. нужно или нет на WAN интерфейсе поднимать DHCP client, если интернет подключается по PPPoE
2. не могу понять, почему у меня не работает ping с самого роутера, через New Terminal или Tools/Ping
ping 8.8.8.8 возвращает timeout
3. не могу понять, почему не работает, DNS провайдера я получают, но потом DNS не работает в клиентах, пришлось отключить получение DNS от провайдера и прописать 8.8.8.8 и все заработало, но так же наверное не правильно, как в локальной сети работать по именам ?
х. возможно из-за 2,3 не получается проверить наличие обновлений прошивки на роутере
4. время на роутере не понимаю, как настроить автоматическую установку времени, нашел статьи, но почему то настройки на совпадают с тем что у меня в прошивке
в SNTP client Mode: broadcast, а в инструкции Mode: unicast
5.так как провайдер дает разные ip хочу настроить сервис no-ip, нашел инструкцию, скрипт ... но потом все пишут что зачем скрипт, есть же Cloud. но при этом так же есть информация, что CLoud это не работает и не про то ... задача иметь имя используя которое подключаться по VPN к роутеру
hEX RB750g3 / первоначальная настройка - вопросы, не все получилось
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
smilerZ
- Сообщения: 7
- Зарегистрирован: 10 апр 2012, 21:31
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
1) Нет, но поскольку это канал выхода в интернет обязательно должна стоят галка "add default route" (у вас стоит), поскольку pppoe это тоннель, то этого достаточно.
2) Вы наскосячили с фаерволом.
3) DNS провайдера вы не получаете потому что вы в pppoe клиенте не поставили галку "use peer dns", соответственно вы не забираете днсы провайдера.
5) Клауд и noip одно и то же, за исключением качеств предоставляемого сервиса. Сколько лет пользуюсь noip, еще ни разу не возникало проблем, в то же время на клауд относительно недавно жаловались. Но при этом клауд штатная функция и ее предельно просто настроить, а со скриптом под noip придется хоть и немного, но повозиться - регаться на ресурсе и вбивать свои данные и интерфейс в скрипт и либо код скрипта добавлять в шедуллер, либо добавлять скрипт и в шедуллер выполнение скрипта как функции вашего роутера.
Все болячки, скорее всего, от того, как вы настроили фаервол. Все правила отрабатывают от нулевого к последнему, ваши первые же два правила зарубают любой трафик извне на ваш роутер, а это означает, что даже послав запрос, например к ntp серверу с запросом времени, роутер ответ просто откинет, именно поэтому вы не можете проверить обновления. Золотое правило - если не понимаете как работает фаервол и как его настроить, то либо откажитесь от него вообще и надейтесь на светлое будущее (которое не придет, товарищи китайцы очень быстро (иногда в пределах 10 минут, найдут вашу железку и начнут брутить), либо возьмите правила из дефолтной конфигурации и подстройте их под свои условия (лично я использую этот вариант).
2) Вы наскосячили с фаерволом.
3) DNS провайдера вы не получаете потому что вы в pppoe клиенте не поставили галку "use peer dns", соответственно вы не забираете днсы провайдера.
5) Клауд и noip одно и то же, за исключением качеств предоставляемого сервиса. Сколько лет пользуюсь noip, еще ни разу не возникало проблем, в то же время на клауд относительно недавно жаловались. Но при этом клауд штатная функция и ее предельно просто настроить, а со скриптом под noip придется хоть и немного, но повозиться - регаться на ресурсе и вбивать свои данные и интерфейс в скрипт и либо код скрипта добавлять в шедуллер, либо добавлять скрипт и в шедуллер выполнение скрипта как функции вашего роутера.
Все болячки, скорее всего, от того, как вы настроили фаервол. Все правила отрабатывают от нулевого к последнему, ваши первые же два правила зарубают любой трафик извне на ваш роутер, а это означает, что даже послав запрос, например к ntp серверу с запросом времени, роутер ответ просто откинет, именно поэтому вы не можете проверить обновления. Золотое правило - если не понимаете как работает фаервол и как его настроить, то либо откажитесь от него вообще и надейтесь на светлое будущее (которое не придет, товарищи китайцы очень быстро (иногда в пределах 10 минут, найдут вашу железку и начнут брутить), либо возьмите правила из дефолтной конфигурации и подстройте их под свои условия (лично я использую этот вариант).
-
smilerZ
- Сообщения: 7
- Зарегистрирован: 10 апр 2012, 21:31
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Код: Выделить всё
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
-
smilerZ
- Сообщения: 7
- Зарегистрирован: 10 апр 2012, 21:31
если не сложно, можете прокомментировать
add action=accept chain=input comment=Cloud log=yes protocol=udp src-port=1525
это правило достаточно и корректно ли оно для работы сервиса Cloud
или правильнее указать интерфейсы ?
add action=accept chain=input comment=Cloud log=yes protocol=udp src-port=1525
это правило достаточно и корректно ли оно для работы сервиса Cloud
или правильнее указать интерфейсы ?
-
KARaS'b
- Сообщения: 1197
- Зарегистрирован: 29 сен 2011, 09:16
Если я правильно понял то, что вы задумали то - во-первых с учетом частоты обновления клауда и если бы это был порт на микротике "log=yes" засыпало бы вам логи никому не нужной информацией но тут два но 1) зачем вам разрешающее правило на вход, если это миркотик обращается т.е. трафик исходящий и соответственно данное правило просто бесполезно 2) порт клауда другой и он вам вообще ни к чему, т.к. трафик исходящий и соответственно данное правило просто бесполезно. Во-вторых, если вы хотели применить это правило вкупе с тем, что я вам скинул, то они ни к чему, т.к. в том наборе есть разрешение на инстабилишед трафик, т.е. все соединения что создаст ваш роутер, по любым портам априори будут работать, запросили инфу у клауда, ответ вернется и пройдет, запросили у днс сервера, все точно так же, все потому что трафик будет двигаться в рамках уже установленного вашим микротиком соединения, а в правилах на это есть разрешение, при этом если кто-то или что-то обратится к вашему устройству извне, то это будет новое соединение и оно не пройдет, чего вы и добивались в своей реализации правил фаервола.
Тут наверно стоит сделать еще одну ремарку. Не лепите что непоподя только потому что где-то в интернете кто-то написал что это работает, тем более когда речь идет о фаерволе. Это очень плохая затея, можете остаться без доступа к своему устройству с последующим его сбросом "до заводских", или просто налепить такого, что вы разобраться не сможете, а те, кто возьмутся помочь, увидев то что вы навертели, просто не захотят помогать из-за сложности и неопонятности, а вы это даже прокомментировать не сможете, т.к. занимались обычным копипастом не понимая что делали. Каждую строчку что вы добавляете нужно понимать, иначе быть беде, соответсвенно перед тем, как добавить то или иное правило, подумайте над тем, как оно работает, что делает, что бы как минимум разместить его правильно, бо как я уже сказал, правила отрабатывают по очереди и эта очередь крайне важна для работы правил.
Даже то, что скинул я требует доработки, а что бы понять как и что доработать посетите вики и поизучайте его, хотя бы что бы понимать что такое цепочка "инпут", "форвард" и "аутпут". Без этого вы будете возвращаться сюда с все более глупыми и глупыми вопросами и в какой-то момент или вам надоест "такая пляска" или тут вам перестанут отвечать, так как вопросы будут примитивными.
Тут наверно стоит сделать еще одну ремарку. Не лепите что непоподя только потому что где-то в интернете кто-то написал что это работает, тем более когда речь идет о фаерволе. Это очень плохая затея, можете остаться без доступа к своему устройству с последующим его сбросом "до заводских", или просто налепить такого, что вы разобраться не сможете, а те, кто возьмутся помочь, увидев то что вы навертели, просто не захотят помогать из-за сложности и неопонятности, а вы это даже прокомментировать не сможете, т.к. занимались обычным копипастом не понимая что делали. Каждую строчку что вы добавляете нужно понимать, иначе быть беде, соответсвенно перед тем, как добавить то или иное правило, подумайте над тем, как оно работает, что делает, что бы как минимум разместить его правильно, бо как я уже сказал, правила отрабатывают по очереди и эта очередь крайне важна для работы правил.
Даже то, что скинул я требует доработки, а что бы понять как и что доработать посетите вики и поизучайте его, хотя бы что бы понимать что такое цепочка "инпут", "форвард" и "аутпут". Без этого вы будете возвращаться сюда с все более глупыми и глупыми вопросами и в какой-то момент или вам надоест "такая пляска" или тут вам перестанут отвечать, так как вопросы будут примитивными.
Последний раз редактировалось KARaS'b 17 июн 2019, 01:00, всего редактировалось 1 раз.
-
smilerZ
- Сообщения: 7
- Зарегистрирован: 10 апр 2012, 21:31
спасибо.
отдельно за внимательность, кооректность и развернутый ответ.
СПАСИБО.
отдельно за внимательность, кооректность и развернутый ответ.
СПАСИБО.