again I have a strange problem and cannot find any info in www.
I have a MikTik as a VPN gateway in my office, my remote networks
build up a PPtP tunnel for management. Everything worked OK until
the guy who lets me use his network set up a IPSec tunnel between his
endpoints.
Now two of the VPN connection are lost and a third disconnects every
few seconds:
14:01:15 pptp,info TCP connection established from <remote DSL>
14:01:15 pptp,ppp,info,account <SITE> logged in, 172.18.255.42 from <remote DSL>
14:01:15 pptp,ppp,info <pptp-<SITE>>: authenticated
14:01:15 pptp,ppp,info <pptp-<SITE>>: using encoding - MPPE128 stateless
14:01:15 pptp,ppp,info <pptp-<SITE>>: connected
14:01:19 pptp,ppp,info <pptp-<SITE>>: terminating... - spurios reauthentication
14:01:19 pptp,ppp,info,account <SITE> logged out, 0 473 280 10 11 from <remote DSL>
14:01:19 pptp,ppp,info <pptp-<SITE>>: disconnected
14:01:20 pptp,info TCP connection established from <remote DSL>
14:01:21 pptp,ppp,info,account <SITE> logged in, 172.18.255.42 from <remote DSL>
14:01:21 pptp,ppp,info <pptp-<SITE>>: authenticated
14:01:21 pptp,ppp,info <pptp-<SITE>>: connected
14:01:21 pptp,ppp,info <pptp-<SITE>>: using encoding - MPPE128 stateless
14:01:26 pptp,ppp,info <pptp-<SITE>>: terminating... - spurios reauthentication
14:01:26 pptp,ppp,info,account <SITE> logged out, 0 492 260 9 9 from <remote DSL>
14:01:26 pptp,ppp,info <pptp-<SITE>>: disconnected
14:01:26 pptp,info TCP connection established from <remote DSL>
14:01:27 pptp,ppp,info,account <SITE> logged in, 172.18.255.42 from <remote DSL>
14:01:27 pptp,ppp,info <pptp-<SITE>>: authenticated
14:01:27 pptp,ppp,info <pptp-<SITE>>: connected
14:01:27 pptp,ppp,info <pptp-<SITE>>: using encoding - MPPE128 stateless
14:01:38 pptp,ppp,info <pptp-<SITE>>: terminating... - spurios reauthentication
14:01:38 pptp,ppp,info,account <SITE> logged out, 0 492 402 9 10 from <remote DSL>
14:01:38 pptp,ppp,info <pptp-<SITE>>: disconnected
14:01:38 pptp,info TCP connection established from <remote DSL>
14:01:38 pptp,ppp,info,account <SITE> logged in, 172.18.255.42 from <remote DSL>
14:01:38 pptp,ppp,info <pptp-<SITE>>: authenticated
14:01:39 pptp,ppp,info <pptp-<SITE>>: connected
14:01:39 pptp,ppp,info <pptp-<SITE>>: using encoding - MPPE128 stateless
14:01:57 pptp,ppp,info <pptp-<SITE>>: terminating... - spurios reauthentication
14:01:57 pptp,ppp,info,account <SITE> logged out, 0 396 477 9 11 from <remote DSL>
14:01:57 pptp,ppp,info <pptp-<SITE>>: disconnectedname="<SITE>" service=pptp caller-id="" password=<password> profile=DMZ-Encryption remote-address=172.18.255.42 routes="" ipv6-routes="" limit-bytes-in=0 limit-bytes-out=0 last-logged-out=jul/22/2021 14:06:26 last-caller-id=<remote DSL> last-disconnect-reason=nas-error The only information on nas-error I can find is related to a RADIUS problem. But there is no RADIUS and has never been.
Unfortunately I have no access to the hardware offering the IPSec tunnel, so I have to change my setting to work through it.
Содержание
- Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
- Proxy-arp на внутреннем бридже
- Глюк default policy на микротик
- Ошибки firewall на всех этапах
- Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet
- Mikrotik l2tp nas error
- Mikrotik l2tp nas error
- Mikrotik l2tp nas error
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
- Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Ошибки при установке VPN соединения с сервером L2TP IPSec Mikrotik
При настройке VPN-сервера на Mikrotik, могут быть ошибки. Некоторые из них не связаны с очепятками и недостатком знаний. Могут встречаться нелогичные или специфичные для какой-то ситуации ошибки.
Proxy-arp на внутреннем бридже
При подключении по VPN вы можете неприятно удивиться, почему вы можете открыть страницу логина в роутер, 192.168.88.1 (если у вас такой), но не сможете открыть ни один внутренний ресурс. Штука в том, что надо включить proxy-arp на внутреннем интерфейсе, за которым есть нужный вам ресурс. У меня proxy-arp включен на весь bridge-local. Этот параметр позволяет взаимодействовать хостам, находящимся в разных сегментах сети, между друг другом.
Меню Interfaces -> открываете bridge-local, в пункте ARP выбираете proxy-arp.
Глюк default policy на микротик
При абсолютно верных настройках L2TP/IPSec подключения на клиенте (например, Windows 7) и на сервере (Mikrotik), не удается установить VPN-подключение. При этом в лог Mikrotik идет сообщение «failed to pre-process ph2 packet», а на клиенте Windows 7 выходит ошибка 789: попытка L2TP-подключения не удалась из-за ошибки, произошедшей на уровне безопасности. Данная проблема может иметь место на прошивках вплоть до последней стабильной на текущий момент (6.30).
Решение: удалить созданную по умолчанию группу в меню IP — IPSec — Groups, создать новую и указать ее в IP — IPSec — Peers в поле Policy Template Group.
По сообщению Hopy, еще одним решением проблемы с группами может стать выполнение этой команды после пересоздания группы:
ip ipsec peer set 0 policy-template-group=*FFFFFFFF
Возможно, это наследие от старых конфигураций, точного ответа нет, но тем не менее, это вариант. Кстати, возможно по этой причине (и ей подобным) все же стоит выполнять полный сброс устройства перед начальной настройкой. Но требованием это не является, это уж точно.
Ошибки firewall на всех этапах
Ну и не забывайте про то, что в нормальной ситуации при подключении удаленного клиента действуют сразу несколько ограничений, в числе которых брандмауэр клиента, брандмауэр шлюза клиента (или провайдерский прокси), брандмауэр самого микротик (и не только цепочка input — серьезно помешать может цепочка forward), который вы раньше настроили максимально строго, не так ли? Всякие NAT через NAT и траверсом погонять могут. Так что старайтесь всегда разумно и спокойно локализовывать проблему.
Источник
Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet
При использовании Mikrotik за NAT (в частности за всякими USB GSM модемами) в режиме клиента L2TP/IPSec, у некоторых операторов в определенных режимах, получал проблему с ошибкой ipsec,error failed to pre-process ph2 packet.
Но с появлением RoS 6.38 появилась возможность справиться с ошибкой.
Итак, ошибка появляется в обычной конфигурации клиента L2TP как на картинке: 
Основная проблема в том, что политика IPSec, применяемая в такой настройке, прибита гвозьдями и использует ike1. Ike1 в свою очередь, в реализации RoS, имеет проблему при прохождении NAT без проброса портов и как отягчающие обстоятельство: множественные туннели с l2tp тоже не проходят из-а одного NAT (а количество клиентов на модеме огромное).
Решить проблему можно при использование IKE2 (а для кучи клиентов за одним NAT нужно отказаться от авторизации PSK в пользу RSA Signature), который невозможно настроить из меню выше, но можно сделать трюк: заходим в меню IP -> IPSec 
Копируем динамически создаваемый пир, и меняем в нем настройки как показано ниже: 
А именно меняем Exchange Mode на IKE2, в закладке Encryption настраиваем необходимые параметры шифрования.
Осталось отключить в настройках L2TP/IPSec использование IPSec.
Вот собственно и все, соединение поднимается, шифрование работает.
Источник
Mikrotik l2tp nas error
При использовании Mikrotik за NAT (в частности за всякими USB GSM модемами) в режиме клиента L2TP/IPSec, у некоторых операторов в определенных режимах, получал проблему с ошибкой ipsec,error failed to pre-process ph2 packet.
Но с появлением RoS 6.38 появилась возможность справиться с ошибкой.
Итак, ошибка появляется в обычной конфигурации клиента L2TP как на картинке:
.PNG)
Основная проблема в том, что политика IPSec, применяемая в такой настройке, прибита гвозьдями и использует ike1. Ike1 в свою очередь, в реализации RoS, имеет проблему при прохождении NAT без проброса портов и как отягчающие обстоятельство: множественные туннели с l2tp тоже не проходят из-а одного NAT (а количество клиентов на модеме огромное).
Решить проблему можно при использование IKE2 (а для кучи клиентов за одним NAT нужно отказаться от авторизации PSK в пользу RSA Signature), который невозможно настроить из меню выше, но можно сделать трюк: заходим в меню IP -> IPSec:
.PNG)
Копируем динамически создаваемый пир, и меняем в нем настройки как показано ниже:
.PNG)
А именно меняем Exchange Mode на IKE2, в закладке Encryption настраиваем необходимые параметры шифрования.
Осталось отключить в настройках L2TP/IPSec использование IPSec.
Вот собственно и все, соединение поднимается, шифрование работает.
Источник
Mikrotik l2tp nas error
Fri Apr 10, 2020 3:52 pm
I have just change my ISP router with a new RD4011iGS WIFI router (Mikrotik RB4011iGS+5HacQ2HnD). So far everything is working as expected except for the VPN. I have tried several things and it is not working as expected (as it was with the old router). It is a Home fiber connection. I omit the ONT connection with the router since it seems not to be related to the problem.
It seems to be a routing/firewall misconfiguration in the router.
I’m using OpenVPN (UDP) on a Synology NAS. I’m using a mobile phone as the tester of the VPN. Nothing has change on the server (NAS) or client (mobile) from former configuration just the router.
Current situation is: the tunnel get established properly. I’m «seeing» all the other element in my LAN (ICMP/UDP/TCP). I can connect to port 80 of an IP camera or to the printer server (http) properly. But I am NOT able to connect to the NAS server (web or other services). The NAS is ICMP visible since it responding to ping properly but I cannot access it via Web or SSH. I can not access Internet throught the VPN (in the mobile I have set that all traffic shall be tx to the VPN). I can access the router admin web page throught the VPN. This scenario is displayed in the Not Working image. LAN range is 192.168.0.0/24 and VPN 10.8.0.0/24. Synology NAS IP is 192.168.0.15 in LAN and 10.8.0.1 in VPN
— I have tried to check again both NAS config and mobile config trying to VPN connect withing the same LAN (mobile connected to LAN via WIFI, with a hairpin rule on mikrotik) and everything worked properly.
Current config:
— NAS directly conected to mikrotik with link agreggation 802.3ad bonding interface aggregated to
a bridge in mikrotik.
Firewall (Filter & NAT):
[admin@MikroTik] /ip firewall filter> print
So there is something that I am missing in the router’s configuration.
I have run out of ideas now. Can someone help me on this?
Источник
Mikrotik l2tp nas error
Mon Sep 30, 2019 1:06 pm
just as the title says, i am unable to establish VPN connection from my RB2011iLS-iN to L2TP VPN Server hosted on another MikroTik which i do not have access to, so not sure about model, but Server version has ROS Version 6.45.3, while my Client is on 6.45.6.
Credentials and IPSec key is fine, i can connect to VPN from a PC that is connected to MikroTik via LAN cable. But on that same mikrotik i cannot establish VPN Tunnel.
This is log file, if i haven’t disabled connection at the end, it would go to endless loop.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 1:22 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:01 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 6:15 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:17 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 7:47 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Mon Sep 30, 2019 8:09 pm
Under L2TP server, IPsec is set to required or yes ?
Yes means the client can connect without IPsec while on required the client must provide the IPsec key.
Test it on both.
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:23 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 1:43 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:01 am
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 2:23 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 3:59 pm
Re: L2TP (IPSec) connection fails from MikroTik Client to MikroTik Server
Tue Oct 01, 2019 4:42 pm
Ok, i had to do some deeper troubleshooting. I’ve enabled «ipsed,!debug» logging on my MT and found this inside logs:
faata, NO-PROPOSAL-CHOSEN notify message, phase1 should be deleted.
So I’ve checked debug logs on a laptop to see the negotiation and found that connection established using 3des-aes128 with modp2048 PFS Group. On MT client, by default it was set to modp1024 PFS Group and no 3des. After making those changes, i have managed to establish connection to VPN! Thanks for giving a helping hand everyone
Источник
-
Joe.Hollins
- Сообщения: 3
- Зарегистрирован: 24 июл 2019, 12:41
Здравствуйте, имеется точка доступа MikroTik RBD52G-5HacD2HnD-TC hAP ac², приобретенная взамен погибшего netgear.
Выполнил общую настройку. В локальной сети имеются два компьютера, медиаплеер Duna и Nas Qnap, подключенные к Микротику через патч корды. Ранее через netgear все устройства нормально заходили на Nas, однако сейчас компьютеры и Дюна видят Nas, но зайти на него не могут. Пробовал зайти через веб интрфейс по адресу, присвоенному микротиком, но ничего не выходит. Вместе с тем на расшаренный диск дюны зайти можно. Подозреваю, что где-то надо дополнительно настроить роутер, но где пока не могу понять. Прошу помощи от знающих людей, Заранее благодарен!
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
24 июл 2019, 14:51
Очень тяжело понять Ваш сленг. Что значит видят, но зайти не могут. Вы всё таки на техническом форуме.
На сколько я помню у Qnap используются свои программы. Вы их перенастроили? Обновления сделали?
Внутри локальной сети роутер не работает, устройства общаются на прямую.
У меня есть клиент с такими устройствами в домашней сети (Dune и Qnap) все работает без проблем на RB 2011 уже несколько лет.
PS Web у Qnap по 443 порту (HTTPS) заходили?
1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Joe.Hollins
- Сообщения: 3
- Зарегистрирован: 24 июл 2019, 12:41
24 июл 2019, 15:56
Отвечаю по порядку. Из-под Windows для настройки Qnap можно использовать программу QNAPQfinderPro, которая сейчас роутер вообще не видит в сети. Далее Qnap можно настроить через web интерфейс. Раньше через netgear я заходил, используя браузер и адрес 192.168.1.3 (статический назначенный адрес для наса) и порт 8080. Сейчас я пытался зайти в web интерфейс через браузер используя адрес, назначенный микротиком. Далее NAS отображается в проводнике Windows в сетевом окружении, но зайти в него невозможно, то же самое и через дюну, она видит его в workgroup, но дальше ничего сделать не дает. В самом насе раньше все был настроено. Все разрешения и настройки были сделаны, так что я не понимаю, что там еще настраивать. Сейчас нас должен только получить адрес от микротика. Он его получает, но дальше никаким образом не дает открыть ресурсы. По адресу https//192.168.88.252:443 пишет «по запросу https//192.168.88.252:443 ничего не найдено».
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
24 июл 2019, 22:27
Ну что ж будем гадать по тем каплям информации что выдали.
1. http://192.168.88.252:8080 пробовали заходить?
2. Вероятно часть адресов на устройствах была задана статически из подсети 192.168.1.0/24. Самый простой способ смените IP микротика на 192.168.1.1 и задайте диапазон DHCP из этой же подсети.
Все что могу …
1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
26 июл 2019, 00:54
(были глюки) поэтому вижу:
IP адрес роутера «стоит» на ether2 (это пре-заводские настройки).
Надо поправить: адрес локальный роутера должен быть установлен
на бридже. Думаю в этом часть проблемы.
Зайдите в IP — Addreses — там кликните по своему локальному адресу,
и внизу вместе порт2 выберите (из списка) Ваш локальный бридж.
Лучше для чистоты эксперимента = роутер перезагрузить.
P.S.
Я бы на 2-4 минуты отключил правила файрвола….
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
26 июл 2019, 19:47
Joe.Hollins писал(а): ↑
26 июл 2019, 19:42
Благодарю за помощь, проблема решена.
Без конкретики?
На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
-
Atomic79
- Сообщения: 116
- Зарегистрирован: 25 сен 2017, 19:07
04 сен 2019, 18:04
Хоть бы написали что сделали, а то спасибо итд…
У меня похожая проблема нарисовалась, уже неделю бьюсь-NAS Synology обновился 26 августа после этого сломался доступ к насу по ftp… причем ничего не менял, во всяком случае сам и специально. ТП говорят что с mikrotik проблемы постоянные и типа у нас все ок. В локалке ftp робит и как бы вопросов нет, но проблема доступа извне осталась. Насу железно приколочен ip адрес, извне на сам нас попасть не проблема там через vpn и облачные сервера Synology, на synology настроен ddns. В микротике проброшены порты 20 и 21 соответственно до 26 августа все работало-что случилось потом история умалчивает.
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
04 сен 2019, 22:36
Atomic79 писал(а): ↑
04 сен 2019, 18:04
соответственно до 26 августа все работало-что случилось потом…
What’s new in 6.45.5 (2019-Aug-26 10:56): 
попробуйте строку
Atomic79 писал(а): ↑
04 сен 2019, 18:04
add action=netmap chain=dstnat dst-address=0.0.0.0 dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=20
заменить на
add action=netmap chain=dstnat dst-port=20 in-interface=ether1 protocol=tcp to-addresses=192.168.1.16 to-ports=20
1-е Правило WiFi — Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
Atomic79
- Сообщения: 116
- Зарегистрирован: 25 сен 2017, 19:07
05 сен 2019, 08:14
Изменения внес, по ftp подключается но не могу допереть почему я попадаю не на NAS, а на флешки самого микротика … скорее всего из-за того что открыт 21-й порт на микроте ip-services… пока не соображу как на Synology попадать …
Дома: Mikrotik hAP AC (RB962UiGS-5HacT2HnT )
MikroTik hAP AC^2 (RBD52G-5HacD2HnD)
Mikrotik mAP Lite (RBmAPL-2nD)
Работа: MikroTik RB750Gr3
Тогда:
1. переделываем сначала это:
Код
/ip address add address=192.168.0.2/24 interface=LAN-bridge1 network=192.168.0.0 add address=192.168.6.1/24 interface=LAN-bridge1 network=192.168.6.0
2. в списках интерфейсов оставляем ТОЛЬКО это
/interface list member
add interface=pppoe-out1 list=WAN
add interface=LAN-bridge1 list=LAN
3. вот тут шлюз зачем закрасили? 192.168.0.2 должен быть
Код
/ip dhcp-server network add address=192.168.0.0/24 dns-server=109.194.192.3,109.194.193.3,5.3.3.3 gateway=X.X.X.X netmask=24
И сразу: адрес 192.168.0.1 у кого?
4.
Код
/ip dns set allow-remote-requests=yes servers=8.8.8.8,109.194.192.3,109.194.193.3
если вы клиентам в п.3 отдаете внешние DNS сервера, зачем тогда кэшер включать (set allow-remote-requests=yes ) на роутере?
5.
Сообщение от jekh
На курсах MTCNA мне с точностью до наоборот было сказано использовать netmap при маппинге как более совершенный вариант, а dst-nat оставить продвинутым специалистам.
это на каких курсах? кто тренер?
переделайте на dst-nat
6. сейчас файрволл посмотрим
через firewall filter l2tp over ipsec nat-t пройдет
7. теперь NAT
и так, я исключил disabled правила
в правилах ниже меняйте netmap на dst-nat и в каждом правиле обязательно укажите ваш внешний адрес pppoe-out1 через параметр dst-address или in-interface=pppoe-out1
Код
/ip firewall nat add action=netmap chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3080 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3080 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=3081 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3081 add action=netmap chain=dstnat comment="Trassir ladaserver" dst-port=1555 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=555 add action=netmap chain=dstnat comment="FTP ladaserver" dst-port=21 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=21 add action=netmap chain=dstnat comment=oracle dst-port=1521 protocol=tcp src-address-list=white to-addresses=X.X.X.X to-ports=1521 add action=netmap chain=dstnat comment=ora-ssh dst-port=22 protocol=tcp src-address-list=white to-addresses=X.X.X.X to-ports=22 add action=netmap chain=dstnat comment=ezattendant disabled=yes dst-port=6000 protocol=tcp to-addresses= X.X.X.X to-ports=6000 add action=netmap chain=dstnat comment="1C RDP" dst-port=23389 protocol=tcp src-address-list=white_1C to-addresses=X.X.X.X to-ports=3389 add action=netmap chain=dstnat comment="1C TSD" dst-port=8080 protocol=tcp src-address-list=white_1C to-addresses=X.X.X.X to-ports=8080 add action=netmap chain=dstnat comment="1C SQL" dst-port=1433 protocol=tcp src-address-list=white_1C to-addresses=X.X.X.X to-ports=1433
Например
Код
/ip firewall nat add action=dst-nat in-interface=pppoe-out1 chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3389
ИЛИ
Код
/ip firewall nat add action=dst-nat dst-address=Y.Y.Y.Y chain=dstnat comment="RDP ladaserver" dst-port=13389 protocol=tcp src-address-list= white to-addresses=X.X.X.X to-ports=3389
Y.Y.Y.Y — ваш внешний белый адрес
Если не измените — ждите косяков при обращении по этим портам из локалки
PS — закрашивать каждый адрес не нужно, тем более внутренние, прятать можно было только ваш внешний адрес, а его вы получаете по PPP динамически, потому в конфиге его нет
logged out: host removed: mac roaming to other hotspot server
Несколько одинаковых MAC в хотспоте
микротик работает с клиентскими маками, поэтому надо чтобы клиентские маки были разные
Idle Timeout: ограничение времени бездействия. Подключение будет сброшено, если по нему нет активности в течение указанного времени.
warning ipv4 neighbour table overflow, please consider increasing max-arp-entries
/ip settings set max-arp-entries=16384
Подключаем лицензию Lvl 1
http://xcat.su/mikrotik/activate-demokey-mikrotik-routeros/
Меняем время обновления данных по сессиям
/ppp aaa set interim-update=30s
/ppp aaa print
Блокировка днс через интерфейс (WAN)
add action=drop chain=input comment=»DNS WAN drop» dst-port=53 in-interface=WAN protocol=udp
Блокируем ssd брутфорс (форвард)
/ip firewall filter
add action=drop chain=forward comment=»Drop SSH forward brutforce» disabled=no dst-port=22 protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=30m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=forward connection-state=new disabled=no dst-port=22 protocol=tcp
INPUT
/ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment=»drop ssh brute forcers» disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=»» disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=»» disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=»» disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=»» disabled=no
INPUT WINBOX
/ip firewall filter
add chain=input protocol=tcp dst-port=8291 src-address-list=ssh_blacklist action=drop comment=»drop winbox brute forcers» disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment=»» disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment=»» disabled=no
add chain=input protocol=tcp dst-port=8291 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment=»» disabled=no src-address-list=!white
add chain=input protocol=tcp dst-port=8291 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment=»» disabled=no src-address-list=!white
Блокируем левые запросы DHCP
/ip firewall filter add chain=forward action=drop protocol=udp src-address=!192.168.10.1 src-port=67 dst-port=68
проблема с работой неразрешенных подсетей на хотспоте
в IP Binding добавь сети разрешенные в Regular а в конце поставь запись 0.0.0.0/0 blocked
ошибка невозможно подключиться к микротику по ссш
/ip ssh regenerate-host-key
https://m.habrahabr.ru/post/164873/
Создание отказоустойчивого шлюза на основе Mikrotik RouterOS
Изолируем порты
- add action=drop chain=forward in-interface=ether2 out-interface=ether3 comment=»Isolate port 2 from port 3″
- add action=drop chain=forward in-interface=ether3 out-interface=ether2 comment=»and port 3 from port 2″
Изменение частоты процессора (на виртуалке не работает)
- /system routerboard settings set cpu-frequency=750MHz
Простая балансировка
http://wiki.mikrotik.com/wiki/ECMP_load_balancing_with_masquerade
Смена MAC адреса
/interface ethernet set ether1-gateway mac-address=xx:xx:xx:xx:xx:xx
БИНАТ МИКРОТИК
add action=src-nat chain=srcnat comment=»D0E5E0EBFCEDE8EA E4EBFF 92″ disabled=no
src-address=172.17.122.19 to-addresses=195.0.0.1
add action=dst-nat chain=dstnat comment=»D0E5E0EBFCEDE8EA E4EBFF 92″ disabled=no
dst-address=195.0.0.1 to-addresses=172.17.122.19
Страница заглушки прокси на микротике
1. Включаем Web Proxy без кеша, без ничего просто enabled=yes
[admin@MikroTik] ip proxy> set enabled=yes port=8080
2. Сбрасываем страницу прокси которую она выдает в браузер во время ошибки. Жмем Y
[admin@MikroTik] ip proxy> reset-html
Current html pages will be lost! Reset anyway? [y/N]
3. В WinBox идем в раздел Files — и видем что там появилась папочка webproxy а в этой папке есть файл error.html, вот она та самая страница корорую мы сбрасывали в пункте 2;
4.Копируем эту страницу себе на компьютер (методом перетаскивания), а на роутере удаляем error.html, папка webproxy остается пустой. Открываем скопированый error.html обычным блакнотом. Правим его, пишим в нем наше послание
5. Идем в
[admin@MikroTik] ip firewall nat>
и добавляем правило: всех кто идет на 80 порт кидать на прокси порт 8080, кроме тех ip кто находится в ip firewall address-list> под именем «Pro4itali».
chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address-list=!»Pro4itali» dst-port=80
[admin@MikroTik] ip proxy access>
добавляем правило которое будет всех отбрасывать — deny. Т.е. прокси никого не пропускает и выдает при этом error.html юзеру в его браузер и он лицезреет наше творение.
/system logging disable 0
:foreach i in [ /ip hotspot host find where idle-time>00:01:00 and authorized =no ] do={
/ip hotspot host remove $i
}
:foreach i in [ /ip hotspot host find where authorized =no and bypassed =no ] do={
/ip hotspot host remove $i
}
/system logging enable 0
Сброс всех сессий
:foreach i in [ /ip hotspot host find dynamic ] do={
/ip hotspot host remove $i
}
}
Проброс реальников на порт
Добавляем bridge, в bridge ports добавляем WAN port и порты куда нужно пробросить реальники, в такой реализации создается прозрачная сеть
Если нужно шейпить трафик, добавляем Bridge- Settigs- Use Ip Firewall
Блокировка доступа по SSH на 1 день
/ ip firewall filter
add chain=input protocol=tcp dst-port=22 src-address-list=black_list action=drop disabled=no comment=”drop ssh brute forcers”
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=black_list address-list-timeout=1d disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m disabled=no
add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m disabled=no
Команды
ip route set numbers=2 disabled=no
interface set ether1 disabled=no
interface pppoe-server server set disabled=no numbers=0,1,2,3,4,5,6,7,8,9,10
ip firewall filter set numbers=41 disabled=yes
ip route set numbers=[find gateway=82.207.59.1] disabled=no
Подключение USB накопителя к роутеру MikroTik и расшаривание ресурсов
Src-nat (вместо masquerade)
chain = srcnat
Src. Address = 172.17.0.0/24
Action = src-nat
To Addresses = 192.168.137.2 (адрес который смотрит на провайдера или с помощью которого на микротике есть доступ в интернет)
Передача файла с микротика на почту
/tool e-mail send to=login@gmail.coml subject=MikroTikBackup body=123 server=195.0.0.1 port=587 user=login password=pass tls=yes
проверить адрес telnet smtp.gmail.com
Исключаем ип из правила подсети
Например добавляем в правило src address list «no masquerade» со знаком ! и в адрес лист дабавляем лист «no masquerade» с нашим ип
Ошибка
could not get index: missing file! — не совпадают версии микротика и винбокса
could not get index missing file mikrotikТоже самое, проверить обновления на WinBox
Ошибка при подключении пппое
could not determine remote ip address
выставить local address в профиле подключения или неверные настройки vpn в админке (не 16 маска)
Как автоматически выполнить какие-либо действия не заходя на рутер?
По правильному для этого стоит использовать API или WebFig. Система разрешений на данный момент не позволяет детально разграничивать права пользователей в ROS.
Простенький бат-скрипт для включения wlan1-private интерфейса может выглядеть так:
Код:
::
set host=192.168.1.1
set port=22
set user=robot
set password=******
set «command=/interface wireless enable wlan1-private»
::
echo y | d:InstallProgramsSSHPuttyPLINK.EXE -P %port% -l %user% -pw %password% %host% «%command%»
::
Где утилита Winbox хранит свои настройки?
в Windows XP — C:Documents and Settings%USER%Application DataMikrotik
в Windows 7 — C:Users%USER%AppDataRoamingMikrotik
Рекомендованные сообщения
-
- Share
Все работало отлично, но в какой то момент перестал соединяться с микротиком. В настройках NAS выдает ошибку Notice: Undefined offset: 0 in /usr/local/www/apache24/data/billing/api/libs/api.routeros.php on line 61. Второй микротик подключен и работает, настройки не менялись.
Подскажите, что может быть?
Ссылка на сообщение
Поделиться на других сайтах
-
- Share
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
3 часа назад, nightfly сказал:
а можно пнуть в нужном направлении? настройка устройств производилась по этой инструкции. 2 устройства 2 дня назад работали по одному типу настроек и функций, никакие правки в устройства или в биллинг не вносились в это время, однако вчера одно из них стало вызывать эту ошибку. в общих чертах я понял, что ошибка возникает из за того, что микротик возвращает ubilling не верный аргумент во время запроса подключения. Как решить эту проблему?
Ссылка на сообщение
Поделиться на других сайтах
-
- Share
3 минуты назад, dimonian сказав:
а можно пнуть в нужном направлении?
У вас линейка есть?
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
2 минуты назад, nightfly сказал:
у вас дурная привычка, не помогать в вопросах, а множить их. Если дать развернутый ответ, вопросов по нему больше не возникнет, а если плодить кучу тем с одинаковыми вопросами, но с такими ответами-это не есть путь в светлое будущее. Вам самому не жалко времени плодить глупые вопросы, которые стоило раскрыть ранее. или сразу указать на ошибку.
Ссылка на сообщение
Поделиться на других сайтах
-
- Share
3 минуты назад, dimonian сказал:
у вас дурная привычка, не помогать в вопросах, а множить их. Если дать развернутый ответ, вопросов по нему больше не возникнет, а если плодить кучу тем с одинаковыми вопросами, но с такими ответами-это не есть путь в светлое будущее. Вам самому не жалко времени плодить глупые вопросы, которые стоило раскрыть ранее. или сразу указать на ошибку.
Вы уж извините, но для Вас же создали бесплатный биллинг, который ещё и поддерживается и обновляется, допиливается постоянно.
В благодарность этому можно хотя бы пытаться мозгами поактивнее шевелить?
Без обид, но это пздц, чесслово.
-
1
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
3 минуты назад, Туйон сказал:
Вы уж извините, но для Вас же создали бесплатный биллинг, который ещё и поддерживается и обновляется, допиливается постоянно.
В благодарность этому можно хотя бы пытаться мозгами поактивнее шевелить?
Без обид, но это пздц, чесслово.
я благодарен этой группе лиц, которые на своем энтузиазме создали этот прекрасный продукт. но если возникают впросы, неужели тяжело прямо ткнуть носом в ошибку, а не плодить кучу вопросов. у нас переписка над одним вопросом уже заняла определенное время, а могло решиться одним конкретным ответом, который бы пригодился остальным пользователям.
Ссылка на сообщение
Поделиться на других сайтах
-
- Share
4 часа назад, dimonian сказал:
Подскажите, что может быть?
ничего, оно всратое и чинит его никто не будет
даже смотреть что с ним там никто не будет, потому что:
-
1
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
3 минуты назад, l1ght сказал:
ничего, оно всратое и чинит его никто не будет
даже смотреть что с ним там никто не будет, потому что:
и на этом спасибо. пока нет возможности перейти на кучаген. хотя бы что значит эта ошибка может кто пояснить?
Ссылка на сообщение
Поделиться на других сайтах
-
- Share
годину тому, dimonian сказав:
Вам самому не жалко времени плодить глупые вопросы, которые стоило раскрыть ранее. или сразу указать на ошибку.
Вопрос кстати довольно умный. И достаточно простой. К сожалению вы даже на него не ответили.
Засим не вижу глубинного смысла что-то объяснять дальше.
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
1 минуту назад, nightfly сказал:
Вопрос кстати довольно умный. И достаточно простой. К сожалению вы даже на него не ответили.
Засим не вижу глубинного смысла что-то объяснять дальше.
спасибо. ничего более от вас и не ожидал.
Ссылка на сообщение
Поделиться на других сайтах
- Автор
-
- Share
проблема решилась перезагрузкой микротика.
-
2
Ссылка на сообщение
Поделиться на других сайтах
- 1 month later…
-
- Share
В 1/6/2020 в 12:25, l1ght сказал:
nada, está bien y nadie lo reparará
incluso mira que nadie estará allí con él, porque:
It is unfortunate that the mikrotik Api is no longer being developed because mikrotik by radio requires Level 6 equipment to be able to use all the radio functionalities with lower levels, it only allows up to 50 clients to connect.
Ссылка на сообщение
Поделиться на других сайтах
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий