Страница 1 из 3
Доступ по рдп в локалку
Добавлено: 12 фев 2016, 21:49
evgeniy7676
Подскажите мой конфиг
# feb/12/2016 14:16:07 by RouterOS 6.34
/interface ethernet
set [ find default-name=sfp1 ] name=ISP1
set [ find default-name=ether6 ] name=ISP2
set [ find default-name=ether1 ] name=LAN
/ip address
add address=192.168.1.239/24 interface=LAN network=192.168.1.0
add address=93.200.64.142/30 interface=ISP2 network=93.200.64.140
add address=81.40.111.10/24 interface=ISP1 network=81.40.111.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,80.73.1.1
/ip firewall address-list
add address=192.168.1.0/24 list=LocalNet
add address=192.168.1.1 list=to_ISP2
/ip firewall mangle
add action=mark-connection chain=input dst-address=81.40.111.10 in-interface=\
ISP1 new-connection-mark=ISP1_con
add action=mark-connection chain=input dst-address=93.200.64.142 \
in-interface=ISP2 new-connection-mark=ISP2_con
add action=mark-routing chain=prerouting comment=to_ISP2 dst-address-list=\
!LocalNet new-routing-mark=ISP2_rout src-address-list=to_ISP2
add action=mark-routing chain=output connection-mark=ISP1_con \
new-routing-mark=ISP1_rout
add action=mark-routing chain=output connection-mark=ISP2_con \
new-routing-mark=ISP2_rout
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=81.40.111.10 dst-port=3389 log=\
yes log-prefix=rdp_ protocol=tcp src-address-list=RDP_Net to-addresses=\
192.168.1.1 to-ports=3389
add action=dst-nat chain=dstnat dst-address=93.200.64.142 dst-port=3389 log=\
yes log-prefix=rdp_ protocol=tcp src-address-list=RDP_Net to-addresses=\
192.168.1.1 to-ports=3389
/ip route
add comment=ISP2_rout distance=1 gateway=93.200.64.141 routing-mark=ISP2_rout
add comment=ISP1_rout distance=1 gateway=81.40.111.1 routing-mark=ISP1_rout
add comment=GW1 distance=1 gateway=81.40.111.1
add comment=GW2 distance=2 gateway=93.200.64.141
Значит вопрос вчем если правило отключенно add address=192.168.1.1 list=to_ISP2 ,то все хорошо доступ к микротику есть по рдп можно заходить по двум провайдерам на 192,168,1,1, если правило включенно add address=192.168.1.1 list=to_ISP2 ,то не могу подключаться по рдп ,как побороть эту проблему
Re: Доступ по рдп в локалку
Добавлено: 12 фев 2016, 22:33
evgeniy7676
chain=srcnat action=src-nat to-addresses=192.168.1.239 protocol=tcp dst-address=192.168.1.1 dst-port=3389
проблема решена
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 05:32
vqd
мда.
Собственно ок, костыль вы сделали, а первопричину так и не поняли.
1. У вас входящие соединения на форварде не размечены
2.
add action=mark-routing chain=prerouting comment=to_ISP2 dst-address-list=\
!LocalNet new-routing-mark=ISP2_rout src-address-list=to_ISP2
при условии пункта 1 стоит добавить что выпускать не маркированные соеденения
Разумеется вот этот костыль грохаем и убиваем в себе на корню желание подобное делать
chain=srcnat action=src-nat to-addresses=192.168.1.239 protocol=tcp dst-address=192.168.1.1 dst-port=3389
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 10:58
evgeniy7676
/ip firewall mangle
add action=mark-connection chain=prerouting dst-port=3389 in-interface=wan1 \
new-connection-mark=rdp protocol=tcp
/ip firewall nat
add action=dst-nat chain=dstnat comment="Rdp" connection-mark=rdp \
dst-port=3389 in-interface=wan1 protocol=tcp to-addresses=192.168.1.1
/ip firewall mangle
add action=mark-routing chain=prerouting comment=na_wan1 connection-mark=!rdp \
new-routing-mark=ISP1_rout src-address=192.168.1.1
это типо этого или как то по другому ?
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 11:00
vqd
ну на инпуте же вы разметили соединения.
Вот почти так же и на форварде
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 14:34
evgeniy7676
вообще не понял,что то я запутался,подскажите плиз на примере
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 14:47
vqd
Вот вам пример на 2 канала.
Доступы к микротику по обоим каналам
Пробросы в сеть тоже по обоим каналам без костылей
Код: Выделить всё
/ip firewall mangle
add action=mark-connection chain=input in-interface=ether1_1Telecom new-connection-mark=1Tel_in
add action=mark-routing chain=output connection-mark=1Tel_in new-routing-mark=1Tel_route
add action=mark-connection chain=input in-interface=ether2_Megafon new-connection-mark=mega_in
add action=mark-routing chain=output connection-mark=mega_in new-routing-mark=Mega_route
add action=mark-connection chain=forward in-interface=ether1_1Telecom new-connection-mark=1Tel_for
add action=mark-routing chain=prerouting connection-mark=1Tel_for new-routing-mark=1Tel_route src-address-list=LAN
add action=mark-connection chain=forward in-interface=ether2_Megafon new-connection-mark=mega_for
add action=mark-routing chain=prerouting connection-mark=mega_for new-routing-mark=Mega_route src-address-list=LAN
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 16:34
evgeniy7676
Спасибо а как теперь любой адрес с локалки заставить ходить в инет через второго провайдера
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 16:40
vqd
У вас же было правило, просто добавmте там признак mark connections=no-mark
Re: Доступ по рдп в локалку
Добавлено: 15 фев 2016, 16:50
evgeniy7676
up