ATAN:
KUTNY:

chalupa ma svoji gateway pres lokalniho poskytovatele..ale pokud bych dostal zaroven i radu, jak stahnout cely provoz pres byt, tak by to taky nebylo spatne..
ale na chalupe je default gateway na vychozi branu ISP na chalupe a tim ze je to dynamicky, tak se mi ji nepovedlo nejak rozumne zmenit..

HAWKS: jak jz bylo receno. pokud chalupa ma pristup do Internetu pres Ovpn tunel pres byt (je v byte preklad pro 2.0/24 pres wan routeru v byte) pak ti bude fungovat neco ve smyslu src-ip=neco_v_Internetu(nebo any) dst-ip-address=192.168.2.x protocol=tcp to-port=80 port-pro-pakety-z-Inetu-na-NAT-routeru=80.

HAWKS: rekl bych, ze chalupa by mela lezt na internet pres byt (pres tunel), aby to jelo.

Muzu poprosit o radu ?
Mam dva miktoriky, jeden mam v byte(B) a jeden na chate (Ch). Ten co je v byte, tak ma verejnou IP adresu na WAN, ten co je na chalupe, tak nema verejnou IP
Mikrotik v byte dela LAN 192.168.4.0/24 a ten na chalupe dela LAN 192.168.2.0/24. Mezi mikrotiky je OVPN tunel. Routery maji oba udelane routy, aby site videly na sebe.

Ted potrebuju udelat NAT, aby pozadavek z venkovni site na portu 80 (web server) sel na vnitrni LAN, ale na tu na chalupe, na adresu 192.168.2.50, nikoliv do LAN v byte. NAT do site v byte bez problemu funguje, ale pokud udelam nat do site 192.168.2. Je toto vubec mozne udelat?
Diky

S pravidlama FW z netu sem se dostal do tohodle stavu a nic víc mě zatím nenapadá, nechybí mě tam něco důležitýho ? Dík

0 ;;; povolené spojení zevnitř
chain=forward action=accept connection-state=established
in-interface=1 wan log=no log-prefix=""

1 chain=forward action=accept connection-state=related in-interface=1 wan
log=no log-prefix=""

2 chain=forward action=accept out-interface=1 wan log=no log-prefix=""

3 chain=input action=drop connection-state=invalid log=no log-prefix=""

4 ;;; blokování DNS zvenčí
chain=input action=drop protocol=udp in-interface=1 wan dst-port=53
log=no log-prefix=""

5 chain=input action=drop protocol=tcp in-interface=1 wan dst-port=53
log=no log-prefix=""

6 ;;; Povolení ICMP
chain=input action=accept protocol=icmp in-interface=1 wan log=no
log-prefix=""

7 ;;; povolené porty z netu
chain=forward action=accept protocol=tcp in-interface=1 wan dst-port=80
log=no log-prefix=""

8 chain=forward action=accept protocol=tcp in-interface=1 wan dst-port=443
log=no log-prefix=""

9 ;;; zahození 5.2
chain=forward action=drop dst-address=192.168.5.2 log=no log-prefix=""

10 ;;; Povolení RB mailu
chain=input action=accept protocol=tcp src-address=91.x.x.x
dst-address=91.x.x.x src-port=25 log=no log-prefix=""

11 X ;;; Zahození zbytků
chain=input action=log in-interface=1 wan log=yes log-prefix="zahozeni"

12 chain=input action=drop in-interface=1 wan log=no log-prefix=""

MICHNZEE: Mám starou smartku 450, potom co sem kuchnul kabel a zapojil ho tak jak je potřeba komunikuje s RB bez problémů. Šlo mě jen o poslání mailu.

Ale už sem to vyřešil tímhle skriptem http://wiki.mikrotik.com/wiki/UPS_scripts
sice sem stím chvíli bojoval než sem přišel na to že problém není ve skriptu, ale v tom že si ve firewallu dropuju všechno nevyžádaný z venku. A pro RB mail nefunguje pravidlo "established" na wan, takže sem si zahazoval všechny odpovědi z ISPčkovýho SMTP serveru :D
Po tom co sem si povolil port25 od ISP mail serveru to šlape parádně :)

PISTA1: jestli je to smartka, mikrotik má balíček UPS, přes kabel to někdy funguje. Já jsem měl smartku 350, 650 a údaje jsem z toho občas dostal (základní info) ale jinak to moc nefungovalo.

Připojil sem si k RB upsku a chtěl bych aby mě přišel mail o výpadku proudu a znovu nahození.
Zkusil sem to přes logging jenže to nejde, protože UPSka posílá každou půl minutu trap o výpadku.

Neporadil by někdo jak ho nastavit?

no ale kdybys na druhy straně měl proxy na vps tak si myslím ze by to šlo... mel bys navázány PPTP na každým iface ...

jojo

aha takze opakovani setupuco je treba tusim u student agency...

CHOROBA: hele a fungovalo by to uplne stejne i u LTE pripojeni?

vzhledem k tomu ze sou gsm/ppp a dostavas ip dynamicky od providera, tak ne
teda esli natujou.

CHOROBA: no vzhledem k tomu, ze se mu bude menit ip GW, tak asi bude potrebovat skript co mu prida ty marky do rout, ale jinak by to melo jit

MICHNZEE: tyvoe markujes packety a navazany sessions posilas pres stejnej iface
BUNA: to co pisu funkuje

MICHNZEE: presne proto se to dela connection-based :)

BUNA: nooo ale to preci pres tri ruzny providery nemuzes udelat ne? Vem si ze si chces neco stahnout tak reknes tretine packetu "ty jdes pres O2", druhe treti reknes "ty jdes pres Vodafone" a treti tretine reknes "ty jdes pres TM"? To ten packet preci nema moznost dat uz nic dohromady. Dokazal bych si to predstavit mit tenhle bonding treba jen pres TM, kde si to ta BTSka poskytovatele nejak prebere ale ne takhle pres tri ruzny poskytovatele. Co by se stalo kdyby treba "O2" vypadl? to by dorazili jen 2/3 obsahu dat? :)

MICHNZEE: blizis se, scenar je: mas tri modemy, vsechny jsou vytoceny a jejich sectena kapacita se posila ven na wifi

BUNA: takze se jedna o 3 USB modemy pripojene k MK jestli dobre rozumim? Podle toho PCC se ale pinga na gateway a vybira si to ten "dostupnejsi a rychlejsi" ne?

paklize modem natuje tak je to jedno, provozujem to takle s dsl linkama
ale jako jedna pevn se hodi