LINUX.ORG.RU

38
Всего сообщений: 355

Сеть за клиентом OpenVPN. Клиент Mikrotik.

Собсна, вот. Надо с компа под управлением 2012-го сервера (назовём эту фигню control) получить доступ до машин в удалённых сетях. Шлюзами в удалённых сетях стоят Микротики. В связи с этим был настроен сервер с OpenVPN. Микротики и control настроены клиентами. Клиенты подключаются к серверу, друг друга пингуют, control получает маршруты. Машины за Микротиками не пингуются ни с сервера OpenVPN, ни с control'а. Сервер:

port 22222
proto tcp
dev tun

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/server.crt
key /etc/openvpn/server/server.key
dh /etc/openvpn/server/dh.pem

topology subnet

server 10.8.10.0 255.255.255.0
client-config-dir /etc/openvpn/server/ccd
client-to-client
keepalive 10 60
cipher AES-256-CBC
max-clients 16
user nobody
group nobody
persist-key
persist-tun
status /etc/openvpn/server/openvpn-status.log
log         /var/log/openvpn.log
verb 3
route 192.168.192.0 255.255.255.0 10.8.10.192

ccd клиента control

ifconfig-push 10.8.10.10 255.255.255.0
push "route 192.168.192.0 255.255.255.0"

ccd клиента, в чью сеть нужно попасть

ifconfig-push 10.8.10.192 255.255.255.0
iroute 192.168.192.0 255.255.255.0

маршруты на control

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

        10.8.10.0    255.255.255.0         On-link        10.8.10.10    281
       10.8.10.10  255.255.255.255         On-link        10.8.10.10    281
      10.8.10.255  255.255.255.255         On-link        10.8.10.10    281

    192.168.192.0    255.255.255.0        10.8.10.1       10.8.10.10     25

===========================================================================

Маршруты на сервере:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         gateway         0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
10.8.10.0       0.0.0.0         255.255.255.0   U     0      0        0 tun0

192.168.192.0   10.8.10.192     255.255.255.0   UG    0      0        0 tun0

И вот как-то оно не работает. На Микротике в фаерволе запрещающих правил нет. Вобчем, что сделано не так и почему не работает?

UPD. Таки немножечко опять не работает. Микротик уехал на объект, его там воткнули в сеть и... И на этом всё. В смысле, с удалённой машины внутренний IP Микротика пингуется, железка за Микротиком на внешние раздражители не реагирует. На внутренние раздражители в виде пингов с Микротика железка отвечает.

 ,

robert_d ()

Убунте GRE, а она в ответ ICMP protocol 47 port *** unreachable

Пытаюсь поднять GRE между роутером и Ubuntu 20

С роутера GRE пакеты улетают, а сервак отвечает анричибл.(логи с сервера) На роутере тоже тоже видно что пакеты по 3 gre\icmp прилетают\улетают.

tcpdump

13:14:41.894242 IP mikrotik > Ubuntu20: GREv0, length 141: IP mikrotik_gre.5678 > 255.255.255.255.5678: UDP, length 109

13:14:41.894284 IP Ubuntu20 > mikrotik: ICMP Ubuntu20 protocol 47 port 2048 unreachable, length 169

13:14:41.894965 IP mikrotik > Ubuntu20: GREv0, length 106: gre-proto-0x4

13:14:41.894977 IP Ubuntu20 > mikrotik: ICMP Ubuntu20 protocol 47 port 4 unreachable, length 134

13:14:41.894989 IP mikrotik > Ubuntu20: GREv0, length 122: gre-proto-0x88cc

13:14:41.894994 IP Ubuntu20 > mikrotik: ICMP Ubuntu20 protocol 47 port 35020 unreachable, length 150

ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9000 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
    link/ether 02:00:17:00:86:31 brd ff:ff:ff:ff:ff:ff
3: gre0@NONE: <NOARP> mtu 1476 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/gre 0.0.0.0 brd 0.0.0.0
4: gretap0@NONE: <BROADCAST,MULTICAST> mtu 1462 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
5: erspan0@NONE: <BROADCAST,MULTICAST> mtu 1450 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
6: gre1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000
    link/gre Ubuntu20 peer Mikrotik

sudo ufw status Status: inactive

ifconfig

ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 9000
        inet 10.0.0.3  netmask 255.255.255.0  broadcast 10.0.0.255
        inet6 fe80::17ff:fe00:8631  prefixlen 64  scopeid 0x20<link>
        ether 02:00:17:00:86:31  txqueuelen 1000  (Ethernet)
        RX packets 7146  bytes 2898696 (2.8 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 8988  bytes 5897030 (5.8 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

gre1: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 1476
        inet 192.168.255.254  netmask 255.255.255.0  destination 192.168.255.254  -Вот незнаю откуда это вылезло
        unspec 9E-65-C3-E6-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 1000  (UNSPEC)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 6  dropped 0 overruns 0  carrier 6  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 2256  bytes 246084 (246.0 KB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2256  bytes 246084 (246.0 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

netplan

network:
    ethernets:
        ens3:
            dhcp4: true
            match:
                macaddress: 02:00:17:00:86:31
            set-name: ens3
    version: 2
    tunnels:
        gre1:
            mode: gre
            local: Ubuntu20
            remote: Mikrotik
            mtu: 1476
            addresses: [192.168.255.254/24]

ip tunnel show

gre0: gre/ip remote any local any ttl inherit nopmtudisc
gre1: gre/ip remote mikrotik local ubuntu20 ttl inherit

Если пытаться пинговать с сервера роутер, то растёт счётчик carrier, пинги не проходят

iptables-save

# Generated by iptables-save v1.8.4 on Sat Jul 18 10:43:24 2020
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:InstanceServices - [0:0]
-A INPUT -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p udp -m udp --sport 123 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j ACCEPT
-A OUTPUT -d 169.254.0.0/16 -j InstanceServices
-A InstanceServices -d 169.254.0.2/32 -p tcp -m owner --uid-owner 0 -m tcp --dpo                                                                                                                                   rt 3260 -m comment --comment "See the Oracle-Provided Images section in the Orac                                                                                                                                   le Cloud Infrastructure documentation for security impact of modifying or removi                                                                                                                                   ng this rule" -j ACCEPT
-A InstanceServices -d 169.254.2.0/24 -p tcp -m owner --uid-owner 0 -m tcp --dpo                                                                                                                                   rt 3260 -m comment --comment "See the Oracle-Provided Images section in the Orac                                                                                                                                   le Cloud Infrastructure documentation for security impact of modifying or removi                                                                                                                                   ng this rule" -j ACCEPT
-A InstanceServices -d 169.254.0.2/32 -p tcp -m tcp --dport 80 -m comment --comm                                                                                                                                   ent "See the Oracle-Provided Images section in the Oracle Cloud Infrastructure d                                                                                                                                   ocumentation for security impact of modifying or removing this rule" -j ACCEPT
-A InstanceServices -d 169.254.169.254/32 -p udp -m udp --dport 53 -m comment --                                                                                                                                   comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastructu                                                                                                                                   re documentation for security impact of modifying or removing this rule" -j ACCE                                                                                                                                   PT
-A InstanceServices -d 169.254.169.254/32 -p tcp -m tcp --dport 53 -m comment --                                                                                                                                   comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastructu                                                                                                                                   re documentation for security impact of modifying or removing this rule" -j ACCE                                                                                                                                   PT
-A InstanceServices -d 169.254.0.3/32 -p tcp -m owner --uid-owner 0 -m tcp --dpo                                                                                                                                   rt 80 -m comment --comment "See the Oracle-Provided Images section in the Oracle                                                                                                                                    Cloud Infrastructure documentation for security impact of modifying or removing                                                                                                                                    this rule" -j ACCEPT
-A InstanceServices -d 169.254.0.4/32 -p tcp -m tcp --dport 80 -m comment --comm                                                                                                                                   ent "See the Oracle-Provided Images section in the Oracle Cloud Infrastructure d                                                                                                                                   ocumentation for security impact of modifying or removing this rule" -j ACCEPT
-A InstanceServices -d 169.254.169.254/32 -p tcp -m tcp --dport 80 -m comment --                                                                                                                                   comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastructu                                                                                                                                   re documentation for security impact of modifying or removing this rule" -j ACCE                                                                                                                                   PT
-A InstanceServices -d 169.254.169.254/32 -p udp -m udp --dport 67 -m comment --                                                                                                                                   comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastructu                                                                                                                                   re documentation for security impact of modifying or removing this rule" -j ACCE                                                                                                                                   PT
-A InstanceServices -d 169.254.169.254/32 -p udp -m udp --dport 69 -m comment --                                                                                                                                   comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastructu                                                                                                                                   re documentation for security impact of modifying or removing this rule" -j ACCE                                                                                                                                   PT
-A InstanceServices -d 169.254.169.254/32 -p udp -m udp --dport 123 -m comment -                                                                                                                                   -comment "See the Oracle-Provided Images section in the Oracle Cloud Infrastruct                                                                                                                                   ure documentation for security impact of modifying or removing this rule" -j ACC                                                                                                                                   EPT
-A InstanceServices -d 169.254.0.0/16 -p tcp -m tcp -m comment --comment "See th                                                                                                                                   e Oracle-Provided Images section in the Oracle Cloud Infrastructure documentatio                                                                                                                                   n for security impact of modifying or removing this rule" -j REJECT --reject-wit                                                                                                                                   h tcp-reset
-A InstanceServices -d 169.254.0.0/16 -p udp -m udp -m comment --comment "See th                                                                                                                                   e Oracle-Provided Images section in the Oracle Cloud Infrastructure documentatio                                                                                                                                   n for security impact of modifying or removing this rule" -j REJECT --reject-wit                                                                                                                                   h icmp-port-unreachable
COMMIT
# Completed on Sat Jul 18 10:43:24 2020

 , ,

Lurker-beta ()

Mikrotik. Срок поддержки оборудования

Всем привет.

Почитал сайт микротика, но до конца не вкурил. При покупке маршрутизатора, ключ для RouterOS уже какбы встроен. Не ясен момент срока поддержки.

Как долго поддерживаются их железки? При выходе новой версии RouterOS (мажорной) возможны ли обновления? Или как обычно - полгодика обновления приходят, а потом тыква\openwrt (в лучшем случае)?

Или все также, как у всех и проще связаться с туполинком+openwrt?

 , ,

gutaper ()

mikrotik, ikev2, ipsec

Добрый день!

Коллеги, помогите разобраться с проблемой, пожалуйста. Проблема на серверной стороне или на стороне клиента? Соединение рвется каждые пару секунд

vps - адрес Mikrotik, tele2 и wifi - адрес на iOS

03:30:00 ipsec,info acquired 10.0.88.249 address for __TELE2__, 01-ike
03:30:01 ipsec,info new ike2 SA (R): __VPS__[500]-__WIFI__[500] spi:30e41204fd1b0541:7f380206ae0af9f9
03:30:01 ipsec,info,account peer authorized: __VPS__[4500]-__WIFI__[4500] spi:30e41204fd1b0541:7f380206ae0af9f9
03:30:01 ipsec,info killing ike2 SA: __VPS__[4500]-__TELE2__[65416] spi:0ae2fdfa3151043b:0e56ca87db64ba62
03:30:01 ipsec,info releasing address 10.0.88.249
03:30:01 ipsec,info acquired 10.0.88.253 address for __WIFI__, 01-ike
03:30:08 ipsec,info new ike2 SA (R): __VPS__[500]-__TELE2__[25024] spi:3d8b3a9bae048758:073fe7b8d363b1b3
03:30:08 ipsec,info,account peer authorized: __VPS__[4500]-__TELE2__[65416] spi:3d8b3a9bae048758:073fe7b8d363b1b3
03:30:08 ipsec,info killing ike2 SA: __VPS__[4500]-__WIFI__[4500] spi:30e41204fd1b0541:7f380206ae0af9f9
03:30:08 ipsec,info releasing address 10.0.88.253
03:30:08 ipsec,info acquired 10.0.88.249 address for __TELE2__, 01-ike
03:30:10 ipsec,info new ike2 SA (R): __VPS__[500]-__WIFI__[500] spi:a96bb8e575c633d6:c6eee78965e0b120
03:30:10 ipsec,info,account peer authorized: __VPS__[4500]-__WIFI__[4500] spi:a96bb8e575c633d6:c6eee78965e0b120
03:30:10 ipsec,info killing ike2 SA: __VPS__[4500]-__TELE2__[65416] spi:3d8b3a9bae048758:073fe7b8d363b1b3
03:30:10 ipsec,info releasing address 10.0.88.249
03:30:10 ipsec,info acquired 10.0.88.253 address for __WIFI__, 01-ike
03:30:16 ipsec,info new ike2 SA (R): __VPS__[500]-__TELE2__[25024] spi:d4f6ccf296344fd9:ce5d61c47d63d64d
03:30:16 ipsec,info,account peer authorized: __VPS__[4500]-__TELE2__[65416] spi:d4f6ccf296344fd9:ce5d61c47d63d64d
03:30:16 ipsec,info killing ike2 SA: __VPS__[4500]-__WIFI__[4500] spi:a96bb8e575c633d6:c6eee78965e0b120
03:30:16 ipsec,info releasing address 10.0.88.253
03:30:16 ipsec,info acquired 10.0.88.249 address for __TELE2__, 01-ike
03:30:17 ipsec,info new ike2 SA (R): __VPS__[500]-__WIFI__[500] spi:f7b1719bfdfe0dda:365dec7519a74048
03:30:18 ipsec,info,account peer authorized: __VPS__[4500]-__WIFI__[4500] spi:f7b1719bfdfe0dda:365dec7519a74048
03:30:18 ipsec,info killing ike2 SA: __VPS__[4500]-__TELE2__[65416] spi:d4f6ccf296344fd9:ce5d61c47d63d64d
03:30:18 ipsec,info releasing address 10.0.88.249
03:30:18 ipsec,info acquired 10.0.88.253 address for __WIFI__, 01-ike
03:30:24 ipsec,info new ike2 SA (R): __VPS__[500]-__TELE2__[25024] spi:7309ef83e940cc76:383e52937bcb58ed
03:30:24 ipsec,info,account peer authorized: __VPS__[4500]-__TELE2__[65416] spi:7309ef83e940cc76:383e52937bcb58ed
03:30:24 ipsec,info killing ike2 SA: __VPS__[4500]-__WIFI__[4500] spi:f7b1719bfdfe0dda:365dec7519a74048
03:30:24 ipsec,info releasing address 10.0.88.253
03:30:24 ipsec,info acquired 10.0.88.249 address for __TELE2__, 01-ike
03:30:25 ipsec,info new ike2 SA (R): __VPS__[500]-__WIFI__[500] spi:2016f203517113bf:82a3bec8fddeeb3c
03:30:25 ipsec,info,account peer authorized: __VPS__[4500]-__WIFI__[4500] spi:2016f203517113bf:82a3bec8fddeeb3c
03:30:25 ipsec,info killing ike2 SA: __VPS__[4500]-__TELE2__[65416] spi:7309ef83e940cc76:383e52937bcb58ed
03:30:25 ipsec,info releasing address 10.0.88.249
03:30:25 ipsec,info acquired 10.0.88.253 address for __WIFI__, 01-ike
/ip ipsec mode-config
add address-pool=pool2 address-prefix-length=32 name=modeconf2 split-include=0.0.0.0/0 static-dns=10.0.88.1 system-dns=no
/ip ipsec policy group
add name=group2
/ip ipsec profile
add dh-group=ecp384 enc-algorithm=aes-256 hash-algorithm=sha512 name=profile2
/ip ipsec peer
add exchange-mode=ike2 local-address=__VPS__ name=peer2 passive=yes profile=profile2
/ip ipsec proposal
add auth-algorithms=sha512 enc-algorithms=aes-256-gcm lifetime=8h name=proposal2 pfs-group=ecp384
/ip ipsec identity
add auth-method=digital-signature certificate=vps-ike.p12 generate-policy=port-strict match-by=certificate mode-config=modeconf2 peer=peer2 policy-template-group=group2 remote-certificate=01-ike.crt remote-id=ignore
/ip ipsec policy
add dst-address=10.0.88.0/24 group=group2 proposal=proposal2 src-address=0.0.0.0/0 template=yes

 ,

joledom950 ()

Порекомендуйте точку доступа для покрытия двора

Скоро лето, хочется почаще выходить на улицу, но как же без интернетов? 4G не нужно, через него я слышал, коронавирус передаётся.

Есть такой двор который желательно весь, ну если не весь, то хотя бы лавочки рядом с песочницей покрыть домашним Wi-Fi с хорошей скоростью и латенси. Условия скорее всего будут тепличными т.к. прямо туда смотрит окно, есть возможность направить точку антеннами во двор. Розетки, ethernet кабель, всё под боком, опять же. Уровень действия — 9 этаж.

Какую точку доступа подальнобойнее и пошире взять? Желательно mikrotik, т.к. у неё много других плюсов, но не критично если есть альтернативы.

 ,

Spoofing ()

Несколько белых IP , proxmox и микротик на нем.

Доброго времени.

Есть сервер в hetzner с одним сетевым интерфейсом. Докуплен еще один белый айпи, к тому . что дали. Поставил на сервак proxmox. На него поставил виртуалкой микротик. ProxMox сам по dhcp подхватил один из айпишников , и у него есть инет. Задача такая, чтобы на микротике тоже был белый IP.

Почитал вики на хетцнер. Включил ip forward на хосте проксмокса. В итоге интерфейс на микротике поднимается, я ему даю белый айпи, шлюзом указываю айпи прокс-мокса (бриджа) и на этом все. Микротик не видит ничего. arp таблица на нем пустая. Понятно, что тут нужно покрутить proxmox, но не знаю куда копнуть.

Подскажите , пожалуйста.

 ,

propeller25 ()

зайти в домашнюю сеть через Openvpn тунель. связь установлена. Не получается завести трафик

Есть vps(debian 10) - server openvpn, белый ip 185.X.X.X Есть микротик (на нем клиент openvpn)за ним сеть 192.168.1.0/24 из нескольких машин.

Цель попадать по белому ip в домашнюю сеть на разные машины.

вот то что есть

server

ifconfig

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 185.x.x.x  netmask 255.255.255.0  broadcast 185.x.x.x
        inet6 fe80::f816:3eff:fe1f:59c6  prefixlen 64  scopeid 0x20<link>
        ether fa:16:3e:1f:59:c6  txqueuelen 1000  (Ethernet)
        RX packets 163466  bytes 12208191 (11.6 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 24934  bytes 2306059 (2.1 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 124  bytes 9456 (9.2 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 124  bytes 9456 (9.2 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
        inet 10.0.0.1  netmask 255.255.255.255  destination 10.0.0.2
        inet6 fe80::e696:8c04:2c8:f61c  prefixlen 64  scopeid 0x20<link>
        unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
        RX packets 73  bytes 9058 (8.8 KiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 127  bytes 7680 (7.5 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

server.conf

dev tun
port 1194
proto tcp
tls-server

server 10.0.0.0 255.255.255.0

ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/serversky.crt
key /etc/openvpn/keys/serversky.key
dh /etc/openvpn/keys/dh.pem

#tls-auth /etc/openvpn/keys/ta.key 0
cipher AES-256-CBC

#link-mtu 1500
mssfix 1400

#user     nobody
#group    nobody

client-to-client
client-config-dir /etc/openvpn/ccd
#comp-lzo
persist-tun
persist-key
verb 5
keepalive 10 60
ifconfig-pool-persist ipp.txt # Тут будут храниться ip адреса клиентов


sndbuf 0
rcvbuf 0
push "redirect-gateway def1"
push "dhcp-options DNS 8.8.8.8"

log-append /var/log/openvpn.log
status /var/log/openvpn_status_tun.log

ccd/mirotik5


iproute 192.168.1.0/24
ifconfig-push 10.0.0.4 10.0.0.0
push "route 192.168.1.0 255.255.255.0"

Связь установить получилось пинги проходят в обе стороны.

не хватает знаний настроить роуты и iptables. помогите пожалуйста. Вот то что в роуты автоматом пишется при подъеме tun0

ip route

default via 185.x.x.x dev eth0 
10.0.0.0/24 via 10.0.0.2 dev tun0 
10.0.0.2 dev tun0 proto kernel scope link src 10.0.0.1 
169.254.169.254 via 185.159.129.240 dev eth0 
185.159.129.0/24 dev eth0 proto kernel scope link src 185.x.x.x

а вот то что поднялось на микротике

[admin@MikroTik] > ip route  
[admin@MikroTik] /ip route> print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          ppp-out1                  1
 1 ADS  10.0.0.0/24                        10.0.0.0                  1
 2 ADC  10.0.0.0/32        10.0.0.4        ovpn-out1                 0
 3 ADC  10.112.127.127/32  10.82.224.95    ppp-out1                  0
 4 ADC  192.168.1.0/24     192.168.1.1     LAN                       0
 5  DS  192.168.1.0/24                     10.0.0.0                  1
[admin@MikroTik] > ip address  
[admin@MikroTik] /ip address> print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                   
 0   192.168.1.1/24     192.168.1.0     LAN                                                                                                                                         
 1 D 10.82.224.95/32    10.112.127.127  ppp-out1                                                                                                                                    
 2 D 10.0.0.4/32        10.0.0.0        ovpn-out1   

 , ,

mmm33 ()

Шлюз-самозванец Mikrotik

Приветствую всех. Есть 3 микротика, у каждого своя подсеть: 192.168.121(122,123).0/24. Мне нужно добавить их в 4-ую, общую подсеть 192.168.24.0/24. Отвязываю на каждом микротике по интерфейсу из бриджа, назначаю этому интерфейсу IP адрес 192.168.24.11(12,13 соответственно). И тут начинаются чудеса на сервере - не успев добавить маршруты, замечаю потерю пакетов. Начинаю пинговать 192.168.24.12 и вижу:

64 bytes from 192.168.24.12: icmp_seq=10 ttl=64 time=0.217 ms
From 192.168.24.13: icmp_seq=11 Redirect Host(New nexthop: 192.168.24.12)
route выдает:
default         192.168.24.1    0.0.0.0         UG    0      0        0 enp3s0
192.168.24.0    *               255.255.255.0   U     0      0        0 enp3s0
тем не менее, отсылка пакетов на один из микротиков (не смотря на то что они в одной подсети с отсылаемым сервером) почему-то пытается пройти через шлюз, считая им другой микротик. С микротиками работал очень мало, но такую картину с маршрутизацией вижу впервые. Левых таблиц нет, в main все как написано выше. Подскажите, куда копать?

 

nike-tesla ()

Postfix в локальной сети по доменному имени

Сервер Postfix на компьютере в локальной сети за микротиком, на микротике проброшены порты для доступа к postfix извне (25,80, 110,443,587 и т.д.) Снаружи есть доступ к почте через почтовые клиенты если указывать в качестве сервера mail.domain.ltd (где domain.ltd мой домен), доступ через веб интерфейс к roundcube так же есть, а с компьютеров в локальной сети доступ к почте только по локальному ip адресу, доступа по mail.domain.ltd и по внешнему ip нет, подскажите как его получить.

 , ,

wassup ()

Глупый вопрос по конфигурированию микротиков

Пытаюсь решить одну маленькую (на самом деле, нет) проблему с маршрутизатором mikrotik. Конфигурация сети следующая: интернеты — некий маршрутизатор в режиме nat (контроля над ним нет) — мой микротик — локалка микротика. До микротика проброшен VPN, хочется получить доступ к устройствам в его локалке через этот VPN. К несчастью, (1) он настроен бриджом, (2) он далеко, физическое пристутствие не канает, и (3) я, очевидно, слабовато шарю в сетях. Как можно перенастроить его с бриджа в адекватный режим, т.е. routing?

Пробовал осуществить это в модельной сети рядом, но неизменно оканчивалось неудачей: как я понял, нужно одновременно вывести один из интерфейсов из бриджа и включить на нем dhcp-клиент (потом еще включить dhcp-сервер в локалке и srcnat, но это можно позже); при выполнении одного из действий микротик отваливался по VPN.

Модель RB750Gr3, если это важно.

EDIT: мое решение.

 , ,

lu4nik ()

Свитч перестаёт нормально работать при подключении роутера

Здравствуйте товарищи!

Вопрос не столько по администрированию Linux-систем, сколько по сетям, и их отладке и настройке с помощью Linux-систем :)

Исходные данные:

В организации есть:

  • Неуправляемый свитч на 48 портов (марку и модель записать забыл, добавлю позже, сейчас пишу уже из дома), к которому подключены по проводам некоторое количество рабочих станций на Linux, MacOS и Windows.
  • Роутер MikroTik hEX RB750Gr3 (на RouterOS), через который заходит интернет
  • Несколько Wifi-тарелок MikroTik подключённые также к свитчу

Настроено это всё по мануалам из интернета, знания у меня в сетях чуть выше чем «продвинутый пользователь», никаких научных степеней по MTCNA конечно нет. Всевозможные «защиты от взлома» постарался настроить (например эти: https://habr.com/ru/post/424433/), веб-морду из интернета закрыл, так же как и все остальные службы.

Проблема:

Долгое время работало прекрасно, но в какой-то момент стало просто тупо пропадать подключение, и даже не через WiFi а прямо по проводам. То всё работает, то не работает ничего, не пингуется ни соседний ПК, ни сам роутер на 192.168.1.1, не идёт трассировка никуда, а то и вовсе arp -a ничего не возвращает.

Что было сделано для анализа:

  • Попробовал перезагрузить роутер и свитч несколько раз - не помогло. Точнее помогало, но ненадолго, минут на 10.
  • Проанализировал логи роутера, а также всех WiFi-тарелок. Ничего опасного или даже интересного там не было.
  • Проанализировал записи /system sheduler, /ip proxy, /ip socks, /ppp secret роутера - ничего не нашлось.
  • Два ноутбука подключил короткими проводами непосредственно к свитчу, на одном поднял сервер iperf, на другом запустил простенький скрипт:
# Бесконечно проверять скорость с частотой раз в 0.5 секунды
while true; do iperf -c 192.168.1.121 -p 5001 -i 0.5; done

При подключении ноутбуков к свитчу скорость по iperf то была около 100 МБит, но временами, раз в несколько секунд, резко просаживалась до нуля или почти до нуля, после чего снова возрастая до 100МБит.

  • Попробовал подключить эти два ноутбука к свободным выходным портам роутера - там никаких просадок скорости не было, всё отлично.
  • Достал маленький свитч на 5 портов, воткнул его проводом в большой свитч, переткнул два ноутбука в маленький свитч - точно также, просадки скорости.
  • Отключил провод соединяющий маленький свитч с большим, т.е. ноутбуки остались сидеть на маленьком свитче в одиночестве, и скорость, естественно, не проседала а шла стабильно около 100МБит. При повторном подключении мелкого свитча к большому - скорость снова начинала периодически проседать.

Итого я сделал вывод, достойный капитана очевидность, о том, что похоже проблема в свитче, я слышал о каких то flood-ах сети (хотя и не очень представляю принципов), и подумал, что может какой-то ПК не даёт жить остальным.

  • Стал отключать потребителей от большого свитча, тем временем глядя на то как меняются показания iperf.

  • Обнаружил, что iperf начинает стабильно показывать почти 100 МБит когда отключён САМ РОУТЕР.

  • Ещё раз перепроверил все настройки роутера в которых я что-то понимал, долго и вдумчиво посмотрел на те, которых я не понимаю.

  • Пробовал подключать роутер не напрямую в большой свитч, а «сквозь» маленький. Безрезультатно.

  • Параллельно прогуглил весь интернет, но похоже я даже не могу сформулировать вопрос так чтобы найти его на английском (на русском и подавно)

Ну и собственно, сотрудники разошлись, и проблема стала сходить на нет, когда осталось совсем мало народу, проседание скорости были уже не до 0 а до 60-70 МБит, и проблему больше не получалось воспроизвести.

Что хотелось бы понять (но не получается):

  1. Бывают ли такие flood-атаки (пусть даже и не «специальные») которые могут привести к такому поведению свитча?

  2. Какими инструментами можно это проверить? Как их найти? Я конечно пробовал включить wireshark, но в сети такой объём пакетов, что понять в них что-то можно только статистическим анализом, сдампив несколько гигов этих пакетов, и написав скрипты для анализа, что я наверное буду делать в случае если вообще ничего больше не поможет.

  3. Как можно проверить что в свитче есть проблема? Как его можно «отладить» если он неуправляемый? На мысль что дело не в нём меня навело то, что при подключении его к новенькому 5-портовому свитчу, он его «заражал» своим странным поведением. Но может это он как-то неверно реагирует на передаваемые данные и сам устраивает какой-то flood?

  4. Может быть есть какие-то «кривые» пакеты которые могут приводить к таким результатам? Откуда они могут браться? Как их обнаружить, как отладить?

Понимаю что на эти вопросы я должен знать ответы изучив стек сетевой стек TCP/IP до основания, устройство низкоуровневых протоколов и т.д., но я не сетевик, поэтому прошу помощи у более опытных товарищей.

 , ,

MihanEntalpo ()

Проблема с настройкой pptp между debian и mikrotik

Доброго времени суток. Нужна ваша помощь. Не могу ни как настроить соединение по pptp между сервером на базе debian и клиентом на базе mikrotik. Прошу помогите с этим. Просмотрел уже с десяток сайтов, проделал уже фиг знает сколько разных методов и все не получается. По сути имеется debian который выступает в роли шлюза (он должен быть pptp сервером), и есть mikrotik который находится в другой части города на котором висят компы. Нужно что бы связь была по pptp и оборудование просматривалось что с одной стороны, что с другой. Может кто ссылку предоставит на похожую работу.

 , , , ,

drdragen ()

Туннель в связке с Микротик

Хочется анонимизировать весь трафик с домашнего ПК (in,out). Схема VPN такая: ПК->Mikrotik (PPTP)-> Арендованный сервер UBUNTU на ruvds c белым IP ->Весь мир. Вопрос - будет ли работать такая схема? Если да, что надо на UBUNTU настроить, только клиента PPTP? А если ПК за NAT?

 ,

Eeev ()

Сдох RouterBOARD

Привет.

Есть Mikrotik RouterBOARD 912G-2HPnD, а точнее BaseBox 2. Железка висела на улице где-то год (Wi-Fi + mPCIe сотовый модем) под управлением OpenWRT, после чего сдохла следующим образом:

  • загружается, но вскоре после загрузки уходит в бутлуп (лог загрузки с UART’а: http://ix.io/2b07, спам ^@ исходит из самой железки, на любые вводимые символы не реагирует никак, лог загрузчика не виден)
  • сама OpenWRT на кнопку RESET не реагирует (т. е. войти в Failsafe не получается)
  • загрузчик же на RESET реагирует (т. е. задерживает загрузку и входит в режим загрузки по сети), но при этом сам Netinstall не работает (ни собственно микротиковский Netinstall, ни загрузка OpenWRT по сети)

Что это может быть? И есть ли на ЛОРе железячники, которые могли бы на это дело посмотреть/починить?

P. S.: как там у @K50 со скором? Просьба модераторам при необходимости переместить куда-нибудь в Linux-hardware или даже в Job.

 , , ,

intelfx ()

Роутер и мультивпн.

Хотелось бы роутер, который мог подцепляться клиентом одновременно к нескольки сторонним поднятым OpenVPN серверам,
и второй момент, не совсем обязательный, как то балансировать между впн-серверами, в случае если сайт недоступен через один VPN-сервер, то переключаться на другой.

п.с. к роутеру второе требование , гигабитный лан порт, так что круг несколько сужается.

 , , , ,

darkenshvein ()

запуск winbox из под wine

Не определяется Mikrotik при запуске Winbox через Wine

 ,

RazorBG ()

Проброс портов в Mikrotik через VPN. Чегой-та не работает.

Собсна, вот. Микротик воткнут в локалку с единственным прибором (Moxa NPort, если что), ip-адреса у обоих прописаны руками (192.168.192.100 - Mikrotik, 192.168.192.50 - Moxa). На микротике поднят VPN-клиент для коннекта с удалённым офисом. Сеть между микротиком и офисом есть, всё коннектится и пингуется. Пинги с микротика до прибора во внутренней сети есть. Пытаюсь пробросить порт из VPN-сети в сеть за микротиком:

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.192.50 to-ports=80 protocol=tcp in-interface=ovpn-out1 dst-port=80
И оно чего-то не работает... С этим микротиком даже не понять толком, то ли порт не пробрасывается, то ли сама Moxa отвечать не хочет. Возникает вопрос, а чего этой заразе не хватает, чтоб заработать?

 ,

robert_d ()

Скорость OpenVPN Mikrotik -> VPS -> Mikrotik

Здравствуйте, коллеги! Есть VPS (ubuntu) с сервером OpenVPN, клиенты - роутеры mikrotik, к примеру 951-й, все клиенты за провайдерскими NAT, от провайдеров везде куплено 100Мбит. на сервере:

proto tcp

tun-mtu 1455
mssfix 1440
sndbuf 0
rcvbuf 0
push "sndbuf 1048576"
push "rcvbuf 1048576"
cat /proc/sys/net/core/rmem_max
6291456
cat /proc/sys/net/core/wmem_max 
4194304

на клиентах:

Max MTU		1455

смена значений на сервере и клиентах

MTU 1396 (1500-20(ppoe)-60-24)
mssfix 1360

не приводит к сколь-нибудь существенному приросту скорости, максимум 1-2Мбит


iperf3 -c 192.168.88.2  
Connecting to host 192.168.88.2, port 5201
[  4] local 192.168.89.2 port 58046 connected to 192.168.88.2 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec   185 KBytes  1.52 Mbits/sec    0   49.4 KBytes       
[  4]   1.00-2.00   sec   232 KBytes  1.90 Mbits/sec   15   38.3 KBytes       
[  4]   2.00-3.00   sec   272 KBytes  2.23 Mbits/sec    0   50.6 KBytes       
[  4]   3.00-4.00   sec   272 KBytes  2.23 Mbits/sec    0   55.6 KBytes       
[  4]   4.00-5.00   sec   346 KBytes  2.83 Mbits/sec    0   55.6 KBytes       
[  4]   5.00-6.00   sec   269 KBytes  2.21 Mbits/sec    0   55.6 KBytes       
[  4]   6.00-7.00   sec   292 KBytes  2.39 Mbits/sec    0   58.1 KBytes       
[  4]   7.00-8.00   sec   348 KBytes  2.85 Mbits/sec    0   65.5 KBytes       
^C[  4]   8.00-8.16   sec  44.5 KBytes  2.31 Mbits/sec    0   67.9 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-8.16   sec  2.21 MBytes  2.27 Mbits/sec   15             sender
[  4]   0.00-8.16   sec  0.00 Bytes  0.00 bits/sec                  receiver
iperf3: interrupt - the client has terminated
iperf3 -c 192.168.88.2 -M 1400
Connecting to host 192.168.88.2, port 5201
[  4] local 192.168.89.2 port 58050 connected to 192.168.88.2 port 5201
[ ID] Interval           Transfer     Bandwidth       Retr  Cwnd
[  4]   0.00-1.00   sec   195 KBytes  1.60 Mbits/sec    0   48.2 KBytes       
[  4]   1.00-2.00   sec   272 KBytes  2.23 Mbits/sec    0   59.3 KBytes       
[  4]   2.00-3.00   sec   342 KBytes  2.80 Mbits/sec    0   75.4 KBytes       
[  4]   3.00-4.00   sec   550 KBytes  4.50 Mbits/sec    0    103 KBytes       
[  4]   4.00-5.00   sec   629 KBytes  5.15 Mbits/sec   18   71.7 KBytes       
[  4]   5.00-6.00   sec   466 KBytes  3.82 Mbits/sec    9   69.2 KBytes       
[  4]   6.00-7.00   sec   363 KBytes  2.98 Mbits/sec    7   51.9 KBytes       
[  4]   7.00-8.00   sec   252 KBytes  2.06 Mbits/sec    0   60.5 KBytes       
[  4]   8.00-9.00   sec   335 KBytes  2.74 Mbits/sec    0   63.0 KBytes       
[  4]   9.00-10.00  sec   424 KBytes  3.47 Mbits/sec    0   63.0 KBytes       
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec  3.74 MBytes  3.14 Mbits/sec   34             sender
[  4]   0.00-10.00  sec  3.58 MBytes  3.00 Mbits/sec                  receiver

 , , ,

jun33 ()

Mikrotik

Выдали железку Mikrotik Cloud Router Switch CRS…(куча символов)…

Позиционируется как продвинутый коммутатор вполне себе работающий в режиме роутера. Ну ок, слюньки потекли, пошёл изучать. Весьма быстро настроил все основные функции роутера и прочие плюшки.

Счастье? Как бы не так! Мне же ещё нужно локалку в офисе подключить к VPN серверу. Отлично! Видим возможность подцепится по ovpn! И… нет поддержки UDP (в бажной бете есть) и протухший sha1/md5… 2020 на дворе!

Ладно, что же ещё есть кроме ovpn? Тухлый pptp и ужасный и тугой L2TP. Всё!

И как это переварить? Mikrotik - говно.

P.S Их форум завален реквестами на нормальную реализацию ovpn… Уже как 10 лет просят. Так и ещё тех. поддержка максимально тухлая.

 , ,

Hg194 ()

Mikrotik RB2011UiAS-2HnD-IN и Web-Proxy

Поясняю как могу. Предыстория, на работу провели скоростной инет. Настроили роутер все хорошо. НО на всех рабочих местах необходимо в настройках обозревателя прописать ip и порт прокси сервера, думаю ладно фиг с ним. Купим оборудование Mikrotik RB2011UiAS-2HnD-IN там все это есть. Статику вбил, которую необходимо. Применил в свойствах обозревателя настройки прокси, все ок. Работает инет. Иду в веб прокси микротик прописываю ip и порт. Сохраняю. Убираю настройки с компа инета нет. Как можно реализовать в данной системе, чтобы не прописывать на каждом компе ip и порт прокси, и чтобы он делал все сам. То есть подключили новый комп и все ок, он в инете. Web proxy находиться за пределами лвс.

PS я чайник в роутере Микротик.

 , ,

wolodyawggu ()