Mikrotik, Alix a jina mala reseni... Arduino, RaspberryPi, Mikrotik, Alix a jina mala reseni...

LEXXA --- --- 14:55:14 20.6.2016

JOINTER: ja uplne nepochopil jak ten safe mode funguje ale ano, to je presne ta situace kdy by se hodil. nicmene mne se nejak sesypala nand pamet na 800ce takze stejne jsem musel jet a delat instalaci pres netinstall.
CHOROBA: btw. kdyz jsem sundal NATy z policy-based tunelu tak se EoIP rozbehlo samo. pouziva to nativni routovani a aby to nebylo malo tak netflow funguje uzasne. ted mam prehled o tom co se mi deje na obou lokalitach a chodi mi dokonc emaily kdyz dostupnost klesne pod podepsanou SLA

JOINTER --- --- 14:12:00 19.6.2016

1 odpověď

LEXXA: To delej ve Winboxu v safe modu, kdyz to podelas tak, ze se to odpoji, vrati se to zpatky. Teda pokud je to situace kdy pres tunel delas neco na druhy strane. Ja bych jel jen 60km ale i tak...

LEXXA --- --- 13:35:10 16.6.2016

1 odpověď

CHOROBA: pred tydnem se mi to povedlo. ale to jsem psal rychleji nez jsem myslel :)

CHOROBA --- --- 13:34:04 16.6.2016

1 odpověď

:0) tak rpistupy ti to snad neshodi

LEXXA --- --- 13:08:06 16.6.2016

CHOROBA: takze lze predpokladat, ze pokud vypnu nat z tunelu, kterej mi funguje se da ocekavat ze komunikace bude v cajku. tak to vecer zkusim a kdyz ne pojedu zas 200km to spravovat :)

CHOROBA --- --- 12:10:38 16.6.2016

2 odpovědi

tyve ja sem, nska votocenej ;)
dobre to mas

LEXXA --- --- 12:02:05 16.6.2016

CHOROBA: vzdyt to co pises nemuze fungovat.
sit1 - local_eoip - remote_eoip - seit2
routa na siti 1 bude sit2 via remote_eoip.
routa na siti 2 bude sit1 via local_eoip

CHOROBA --- --- 11:53:27 16.6.2016

1 odpověď

mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na PRVNI strane.

LEXXA --- --- 11:50:38 16.6.2016

CHOROBA: to je to. by melo jit. ale nechce se mu. mam routu na kazdem mikrotiku, ktera odkazuje na vzdalenou sit a gw je definovana jako ip tunelu na druhe strane.
mne nejde do hlavy jak rict tomu mikrotiku ze kdyz mu prijde request na eoip ip na ip z jeho vnitrniho range tak at me nesere na preposle to dal.

to jak to popsal policy-based tunel s natem funguje. ale jsou tam omezeni, ktere me serou.

CHOROBA --- --- 11:44:31 16.6.2016

1 odpověď

jo ten posledni odstavec sem asi nedocetl ;)
tak dej jenom routu ty vzdaleny site pres lokalni ip toho tunelu, by melo jit.
nejsem si jistej tim acceptem v NATu, nepamatuju si packet flow. esli je driv route nebo nat

LEXXA --- --- 11:17:01 16.6.2016

CHOROBA: tak to mam a nejede mi netflow. prave proto to chci podelat a hrnout to pres VTI, tohle a to ze jakmile budu mit neco fyzickeho ceho se muzu chytnout muzu markovat pakety a na zaklade toho stavet queue tak nejak hezcejc nez "dst-address=!ip mark neco"
jakmile se to zprovozni budu moct ric ze cokoliv co tece tim ifacem ma takovou a makovou prioritu a jedno kdo s kym komunikuje

CHOROBA --- --- 11:03:44 16.6.2016

172.16.6.3/24 =172.16.3.0/28 :) a vubec si to uprav jak to mas ty

CHOROBA --- --- 11:02:28 16.6.2016

1 odpověď

LEXXA: si nastav normalni tunnel bez VTI/Tun0 etc. a dej si deny v NAT tabulce uplne nahoru. IMHO jednodussi na propojeni dvou siti, kdyz nepotrebujes zadny dalsi site routovat

ip ipsec

0 address=62.168.x.x/32 local-address=0.0.0.0 passive=no port=500 auth-method=pre-shared-key secret="hablabla" generate-policy=no policy-template-group=default exchange-mode=main
send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-128 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5

1 src-address=172.16.1.0/24 src-port=any dst-address=172.16.3.0/24 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=46.234.x.x
sa-dst-address=62.168.x.x proposal=default priority=0

ip nat

1 chain=srcnat action=accept src-address=172.16.1.0/24 dst-address=172.16.6.3/24 log=no log-prefix=""

LEXXA --- --- 10:40:37 16.6.2016

1 odpověď

a zase ja. a tentokrat je to uz skutence moje absence predstavivosti a vseobecna demence.

mam 2 lokace.
otevru eoip tunel s ipsecem.

lokace 1
lan 172.16.1.0/28
eoip 172.16.2.1/30
route 172.16.3.0/28 via 172.16.2.2

lokace 2
lan 172.16.3.0/28
eoip 172.16.2.2/30
route 172.16.1.0/28 via 172.16.2.1

spojeni se navaze. mam dynamicky ipsec peer, mam dynamickou policy
z routeru si pingnu jak opacnou stranu eoip tuneli tak i lan ip routeru.
otazka je jak to vynatovat aby klienty na sebe videli.

ted mam p2p ipsec peer s politikama a natem a vse funguje jak ma ale radsi bych mel interface a routy (aby se mi jednoduseji a spolehliveji shapovat provoz a docela rad bych v lokaci1 rozbehal netflow pro oba routery).
vim ze je to nejaka naprosta hovadina jak zprovoznit 172.16.1.0/28 <-> 172.16.2.0/30 <-> 172.16.3.0/28 ale nemuzu za boha na to prijit.

LEXXA --- --- 10:49:56 14.6.2016

GHORMOON: jaksi nevim co na to rict. tohle jsem zkousel predevcirem a nejelo to. dnes dam jen enable a nazdar hotovo, dekuji.

GHORMOON --- --- 10:47:23 14.6.2016

1 odpověď

LEXXA: ano, ten jede wan link dal jako limit na in interface, aby ti to pravidlo nezabiralo z lokalniho bridge ;)

LEXXA --- --- 10:46:54 14.6.2016

1 odpověď

GHORMOON: nemam ale ja mam jen jeden WAN link

GHORMOON --- --- 10:46:10 14.6.2016

1 odpověď

LEXXA: mas tam omezene in interface nebo nejaky podobny pravidlo na tom portforwardu?

LEXXA --- --- 10:44:52 14.6.2016

1 odpověď

potreboval bych poradit.
mam mikrotik jako domaci router, dst-nat resim pres masquerade.
chci udelat port forward zvenci dovnitr na danou IP na tcp/443
vse funguje do okamziku kdy jiny klient v siti jde na https stranku. pak ten paket jde dle port forward pravidla na muj web server.
za boha nemuzu prijit na to jak tyhle dve veci skloubit dohromady

MARECEK --- --- 9:27:45 6.6.2016

MARECEK: Nakonec jsem to splacal nejak takhle:


:local routingmark;
:local pvpniface;
:local addresslist;
:set routingmark "vpn";
:set pvpniface "PureVPN_pptp"
:set addresslist "TO_VPN"

:if ([/ip route find routing-mark=$routingmark] != "") do {:log warning "PureVPN route exists - OK"} else {/ip route add dst-address="0.0.0.0/0" gateway=$pvpniface routing-mark=$routingmark comment=PureVPN_static check-gateway=ping;
:log warning "PureVPN route does not exists - NOK"};

:if ([/ip firewall nat find out-interface=$pvpniface action=masquerade] != "") do {:log warning "PureVPN NAT exists - OK"} else {/ip firewall nat add chain=srcnat out-interface=$pvpniface action=masquerade;
:log warning "PureVPN NAT does not exists - NOK"};

:if ([/ip firewall mangle find comment="PureVPN_mangle"] != "") do {:log warning "PureVPN MARK exists - OK"} else {/ip firewall mangle add chain=prerouting src-address-list=$addresslist action=mark-routing new-routing-mark=$routingmark comment="PureVPN_mangle" passthrough=yes;
:log warning "PureVPN MARK does not exists - NOK"};

Otazkou ale stale zustava jak to spustit po pripojeni ty vpn - poustet to treba kazdou pulhodinu pro pripad ze po 3 dnech se restartne vpn mi prijde takovy divny...

MARECEK --- --- 20:21:54 5.6.2016

1 odpověď

Muzu nekoho poprosit jestli by mi pomoh s naprosto jednoduchym scriptem pro mikrotika?
Mam pptp klienta ale stava se ze mi to spojeni spadne a mikrotik ho hned navaze znovu. Problem s tim je, ze v tu chvili mi zmizi mangle prvidlo na oznacovani paketu co chci pres tu vpn posialt, zmizi mi maskarada a zmizi mi gateway...
Napadlo me, ze bych mohl mit script co by se spustil pri navazani toho pptp spojeni - umi to? Jak by takovy script co mi znova nahodi ty 3 veci vypadal?
Omlouvam se ze se ptam ja debil ale mikrotika mam ted zase po par letech a scripty jsem jeste moc nestudoval...

diky!

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?

OS

Platformy

Prislusenstvi

Reseni