В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Mikrotik-Training

3635 membersпожаловаться на группу
2020 February 09

СБ

Сергей Беликов in Mikrotik-Training
а может кто еще подскажет попутно?
есть голова которая раздает интернет. rb951
есть еще такой же роутер его нужно настроить в качестве точки wifi (одна сеть гостевая а вторая для работы).
можно ли второй роутер так настроить? чтобы рабочий wifi раздавал адреса головного роутера
источник
19:30пожаловаться#1

RK

Roman Kozlov in Mikrotik-Training
Все в бридж и все, кроме виртуальной точки для гостей
источник
19:31пожаловаться#2

RK

Roman Kozlov in Mikrotik-Training
Для гостей отдельный bridge
источник
19:31пожаловаться#3

RK

Roman Kozlov in Mikrotik-Training
Для связи с головным гостевым vlan
источник
19:31пожаловаться#4

i

imoto in Mikrotik-Training
Nickolay
если вы через ether1 или там l2tp попадаете в мир, тогда укажите его. ipsec policy=out:none еще забыл.
Нет, у меня просто кабель заходит, и настройки по dhcp.
>10.9.6.188 - это серый ip на второй стороне верно?
>ipsec policy=out:none - вот это где указать?
Пакеты же больше не нужно маркировать? Мы теперь просто натим обращения на unblocked_list в туннель?

Вижу, что обращения пошли в туннель, но тестируемый сайт не открывается 😕
источник
19:35пожаловаться#5

N

Nickolay in Mikrotik-Training
imoto
Нет, у меня просто кабель заходит, и настройки по dhcp.
>10.9.6.188 - это серый ip на второй стороне верно?
>ipsec policy=out:none - вот это где указать?
Пакеты же больше не нужно маркировать? Мы теперь просто натим обращения на unblocked_list в туннель?

Вижу, что обращения пошли в туннель, но тестируемый сайт не открывается 😕
10.9.6.188 это адрес вашего конца туннеля. Кабель в какой интерфейс подключен? Политика соответсвенно должна быть из 10.9.6.0/24 в 0.0.0.0/0 Не забудьте пофиксить MSS.
источник
19:38пожаловаться#6

N

Nickolay in Mikrotik-Training
imoto
Нет, у меня просто кабель заходит, и настройки по dhcp.
>10.9.6.188 - это серый ip на второй стороне верно?
>ipsec policy=out:none - вот это где указать?
Пакеты же больше не нужно маркировать? Мы теперь просто натим обращения на unblocked_list в туннель?

Вижу, что обращения пошли в туннель, но тестируемый сайт не открывается 😕
Туннельный ipsec работает так: грубо говоря, когда трафик попадает под политику, тогда он зашифруется и полетит в туннель, если src или dst адрес не совпадают с политикой, тогда туннель не сработает.
источник
19:41пожаловаться#7

i

imoto in Mikrotik-Training
Nickolay
10.9.6.188 это адрес вашего конца туннеля. Кабель в какой интерфейс подключен? Политика соответсвенно должна быть из 10.9.6.0/24 в 0.0.0.0/0 Не забудьте пофиксить MSS.
Подключен тот, который выбран в out-interface. Вот так:
add action=src-nat chain=srcnat dst-address-list=unblocked_list out-interface=WAN to-addresses=10.100.0.1

>ipsec policy=out:none
вот это не понял, где поменять?

>Политика соответсвенно должна быть из 10.9.6.0/24 в 0.0.0.0/0
Это вы про ipsec policy? Почему 0.0.0.0/0? Разве не адрес первого роутера?
источник
19:59пожаловаться#8

N

Nickolay in Mikrotik-Training
imoto
Подключен тот, который выбран в out-interface. Вот так:
add action=src-nat chain=srcnat dst-address-list=unblocked_list out-interface=WAN to-addresses=10.100.0.1

>ipsec policy=out:none
вот это не понял, где поменять?

>Политика соответсвенно должна быть из 10.9.6.0/24 в 0.0.0.0/0
Это вы про ipsec policy? Почему 0.0.0.0/0? Разве не адрес первого роутера?
out:none во второй вкладочке правила NAT(advanced). 0.0.0.0/0 потому-что я не знаю, к каким адресам вы будете обращаться, поэтому любые адреса.
источник
20:08пожаловаться#9

i

imoto in Mikrotik-Training
Nickolay
out:none во второй вкладочке правила NAT(advanced). 0.0.0.0/0 потому-что я не знаю, к каким адресам вы будете обращаться, поэтому любые адреса.
0.0.0.0/0 прописал - туннель упал, вернул обратно.
out:none - не помогло

Должно ли быть прописано на обоих роутерах это?
Первый: /ip route add distance=1 dst-address=10.100.0.0/24 gateway=Bridge-Local
Второй: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=WAN (это vps-сервер, тут только wan)
источник
20:25пожаловаться#10

N

Nickolay in Mikrotik-Training
imoto
0.0.0.0/0 прописал - туннель упал, вернул обратно.
out:none - не помогло

Должно ли быть прописано на обоих роутерах это?
Первый: /ip route add distance=1 dst-address=10.100.0.0/24 gateway=Bridge-Local
Второй: /ip route add distance=1 dst-address=192.168.1.0/24 gateway=WAN (это vps-сервер, тут только wan)
роуты не нужны. Политики должны быть на обоих роутерах идентичные-симметричные, тогда не будет падать.
источник
20:27пожаловаться#11

I

I-1 in Mikrotik-Training
Roman Kozlov
Готовлю новую версию вебинара про hotspot
А про wifi EAP будет?
источник
20:28пожаловаться#12

RK

Roman Kozlov in Mikrotik-Training
Было
источник
20:29пожаловаться#13

RK

Roman Kozlov in Mikrotik-Training
Radius
источник
20:29пожаловаться#14

I

I-1 in Mikrotik-Training
Буду искать, спасибо
источник
20:29пожаловаться#15

i

imoto in Mikrotik-Training
Nickolay
роуты не нужны. Политики должны быть на обоих роутерах идентичные-симметричные, тогда не будет падать.
да, затупил про то что должны быть симметричные). Все сделал, но сайт не алё(
Вот такие правила ната у меня:
/ip firewall nat
add action=accept chain=srcnat dst-address=10.100.0.0/24 src-address=192.168.1.0/24
add action=src-nat chain=srcnat dst-address-list=unblocked_list ipsec-policy=out,none out-interface=WAN to-addresses=10.100.0.1
источник
20:37пожаловаться#16

N

Nickolay in Mikrotik-Training
imoto
да, затупил про то что должны быть симметричные). Все сделал, но сайт не алё(
Вот такие правила ната у меня:
/ip firewall nat
add action=accept chain=srcnat dst-address=10.100.0.0/24 src-address=192.168.1.0/24
add action=src-nat chain=srcnat dst-address-list=unblocked_list ipsec-policy=out,none out-interface=WAN to-addresses=10.100.0.1
Трасерт запустите - посмотрите, летит ли через туннель трафик к этому сайту.
источник
20:40пожаловаться#17

i

imoto in Mikrotik-Training
Nickolay
Трасерт запустите - посмотрите, летит ли через туннель трафик к этому сайту.
🤔
источник
20:50пожаловаться#18

N

Nickolay in Mikrotik-Training
imoto
🤔
с винды попробуйте. второй хоп должен быть ваш удаленный роутер. покажите политики обоих
источник
20:52пожаловаться#19

i

imoto in Mikrotik-Training
Nickolay
с винды попробуйте. второй хоп должен быть ваш удаленный роутер. покажите политики обоих
источник
21:06пожаловаться#20