PISTA1: a nestačí tam přidat do toho pravidla dst-address ! x.x.2.5 ?
Pak by to bylo zahod vse co jde ze site soused do site tvoji pokud to neni cil ten nas.

KUTNY: Jo to sem udělal. jenže v tu chvíli se nedostanu na tu nasku :(

PISTA1: na vstupnim interfacu od souseda napis ve firewallu pravidlo, ktere nepovoli komunikaci do tve site a nebo interfacu s tvoji siti napis pravidlo na vystupu, ze sit 1.0/x nemuze komunikovat do tve site.

Tak sem zas do půlnoci hrál s RB. K sobě dám AP a RB půjde k sousedoj.

Nakonfiguroval sem tam klasickýho klienta s NATem. To funguje v pohodě.
Bohužel sem se zasek na tom jak znepřístupnit moji síť :(
Moje síť je 2.x brána 2.254
u souseda mám 1.x brána 1.254

Potřeboval bych znepřístupnit celej rozsah .2.x kromě 2.5 kde mám NAS kterej bych chtěl sousedoj zpřístupnit.

Zkoušel sem všechno možný, až se mě povedlo to rozhodit tak, že sem z mojí sítě RB vůbec neviděl. Přitom z druhý strany normálně fungoval a routoval, než mě po hodině bádání napadlo zkusil restartovat AP na který je RB připojenej :)

bys asi musel mit i switch co umi vlan, nebo mikrotik pouzit jako switch s vlan.
sem spis myslel to oddeleny na fw nanobeamu

CHOROBA: Moh bych se zeptat jak nastavit tu vlan? Přiznávám že sem tohle nikdy neřešil. Hrabu se v tom už pár hodin a nemůžu se dokopat k funkčnosti. A moje google-fu něak nepomáhá.

Mám tam původní interface lan0
IP routeru 2.254 s dhcp

přidal sem vlan ID 100
interface lan0.100
IP routeru 100.254 bez dhcp

na pc připojeným do switche pevná ip 100.111 a na 100.254 si nepingnu

když sem v rozsahu 2.x tak si pingnu jak na 2.254 tak na 100.254

A na tom sem se zasek ;(

hm takže RB padá protože má jen 3 licenci takže z něj AP neudělám :(

to muzes vyresit na tom nanobeamu ne?

Jako klienta s routrem mám nanobeam M5 a obyč. gigovej switch
AHARAZ: Jo dobrej nápad, vytáhnu RB večer ze skříně a zkusím si sním pohrát.

SNIPERCZE: Ale to jsi až na routeru (o kterém zatím neřekl co tam má) a ne na tom APčku - RB411 mezi jím a sousedem ne?

Vlany nebo tunel na bráně, oboje bude potřebovat ještě nastavit firewall - forward.

PISTA1: Pokud RB nebude bridge, ale bude routovat dvě sítě (tvoje a sousedova) můžeš tam udělat pravidlo, že vše ze sítě souseda, má přístup jen na bránu do internetu a cokoliv jiného zahodit.
A nebo pokud máš RB i jako bránu, můžeš tam udělat rovnou tunel.

Mám RB411 a chěl bych jí využít pro sdílení internetu pro souseda. Board bude kabelem připojenej do switche a wifi jako AP, jde nějak nastavit aby neviděl zbytek mojí sítě a šel jen ven na internet.
Je mě jasný, že to není zrovna standartní řešení, ale RB se mě válí doma ve skříni, tak bych ho chtěl zužitkovat.

AHARAZ: neumi to radius accounting?

Nenapadá vás jak jednoduše získat veřejnou ip, ze které se připojuje roadwarrior na SSTP server? Tahle informace není k dispozici v podrobném logu SSTP - nebo jsme ji opakovaně přehlíd ;-). Zatím mě napadá jen na míru napsané pravidlo firewallu.

Log ovpn, pptp i snad l2tp (nemám log teď poruce) tu informaci vrací.
OVPN třeba vrací tohle ovpn,info TCP connection established from x.x.x.x

Chci udělat jednoduchý log, kde bude začátek a konec spojení, jméno použitého uživatele a adresa ze které šlo připojení - vše až na adresu mám. Chci to jako orientační info na disku MK, než budu hledat ve velkém remote logu a netflow.

MOPIK: , ATAN: tak v testovací konfiguraci SSTP pokořeno. Udělal jsem nové certifikáty a teď to funguje. Nejsem si bohužel jistý kde byla chyba včera, ale to už asi nezjistím.

Díky

ATAN: Díky za potvrzení

AHARAZ: pokud je to jen IP, tak v CN musi byt ip.

ATAN: Používají znamená: adresa ke které se připojuji?
Já tedy nemám doménové jméno, takže jsem do CN dával veřejnou IP toho zařízení. Ale ještě to zkontroluji.

AHARAZ: ten muj mi fungoval vzdy. hlavne at CN v serverovem certifkatu a adresa (domena), kterou pouzivaji klienti je stejna.