Επιστροφή στο Forum : Mikrotik Dual-Wan με PCC --> πρόβλημα με VPN
Πειραματίζομαι με το dual-wan load balancing & failover σε mikrotik με pcc σύμφωνα με τον παρακάτω οδηγό:
http://wiki.mikrotik.com/wiki/Manual:PCC
Παίζει κανονικά, αλλά έχει πρόβλημα με τις vpn εισερχόμενες συνδέσεις.
Φτιάχνω δλδ pptp vpn, συνδέομαι απ'έξω στο εσωτερικό δίκτυο, αλλά δε μπορώ να δω καμία συσκευή του εσωτερικού δικτύου.
Με το που κάνω disable ότι έχω στο /ip firewall mangle βλέπω κανονικά τις συσκευές του δικτύου.
Οπότε για την ώρα το έχω αφήσει να παίζει μόνο σαν failover (distance=1 & distance=2).
Ο κώδικας που χρησιμοποιώ:
/ip firewall mangle
add chain=input in-interface=OtenetA action=mark-connection new-connection-mark=internet1_conn
add chain=input in-interface=OtenetB action=mark-connection new-connection-mark=internet2_conn
add chain=output connection-mark=internet1_conn action=mark-routing new-routing-mark=to_internet1
add chain=output connection-mark=internet2_conn action=mark-routing new-routing-mark=to_internet2
add chain=prerouting dst-address-type=!local in-interface=ether3-master per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=internet1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=ether3-master per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=internet2_conn passthrough=yes
add chain=prerouting connection-mark=internet1_conn in-interface=ether3-master action=mark-routing new-routing-mark=to_internet1
add chain=prerouting connection-mark=internet2_conn in-interface=ether3-master action=mark-routing new-routing-mark=to_internet2
/ip route
add dst-address=0.0.0.0/0 gateway=OtenetA routing-mark=to_internet1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=OtenetB routing-mark=to_internet2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=OtenetA distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=OtenetB distance=2 check-gateway=ping
/ip firewall nat
add chain=srcnat out-interface=OtenetA action=masquerade
add chain=srcnat out-interface=OtenetB action=masquerade
Τάσο, ping και τέτοια κάνεις στις εσωτερικές ip;
Με τον παραπάνω κώδικα συνδέεται στο vpn, αλλά δεν έκανε τίποτα ping.
Για να παίξει χρειάζεται στην αρχή ένα accept rule την remote ip που έχω δώσει στον χρήστη.
add action=accept chain=prerouting dst-address=*remote ip*
το vpn είναι σε διαφορετικό subnet λογικά. οπότε θέλει masquarade και nat. εγώ έκανα το pptp όπως λένε στο wiki καί παίζει κανονικά.
Αν η remote ip είναι στο ίδιο subnet με το τοπικό σου δίκτυο, δημιούργησε ένα address list στο firewall που θα περιλαμβάνει όλο το τοπικό σου δίκτυο (πχ. 192.168.0.0/24) και κάνε accept rule στο mangle το address list (το accept rule να το βάλεις πρώτο στη λίστα των mangle rules).
Με το vpn όλα εντάξει, είναι αυτό που είπαμε ότι θέλει accept rule την remote ip που έχω δώσει στον vpn χρήστη ( ή όλο το subnet του εσωτερικού μας δικτύου για να μην ψαχνόμαστε).
Σήμερα το δοκίμασα με 2 γραμμές vdsl.
Όταν είχα bridge τα modem και τα pppoe γινόντουσαν στο rb δεν με άφηνε να κατεβάσω torrents.
Με το που έμπαινα torrentz.com έβγαζε μήνυμα λάθους ότι επειδή εντοπίστηκε load balancing δε μπορώ να συνεχίσω :P
Το ίδιο κ το jdownloader, έβγαζε σφάλμα κατευθείαν.
Οπότε σκέφτηκα να αφήσω τα modem/router να κάνουν pppoe για να τα ξεγελάσω.
Με τα torrents κομπλέ, αλλά το jdownloader συνέχιζε να βγάζει σφάλμα...
Καμία ιδέα?
Εχεις μηπως χρονο να γραψεις πιο αναλυτικα την διαδικασια?
Για τουλαχιστον 2 ρουτερ παροχων που θα κανουν τα ιδια το pppoe .
Αν τα pppoe γίνονται από τα modem των παρόχων τότε χρησιμοποίησε τα παρακάτω:
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether1-wan1 passthrough=yes per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether2-wan2 passthrough=yes per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting connection-mark=ether1-wan1 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ether2-wan2 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=ether1-wan1 disabled=no new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=ether2-wan2 disabled=no new-routing-mark=to_WAN2 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether1 new-connection-mark=ether1-wan1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether2 new-connection-mark=ether2-wan2 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.0.0/24
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=30 target-scope=10
Θεωρώ ότι:
modem1 = 192.168.1.1 --> ether1=192.168.1.2
modem2 = 192.168.2.1 --> ether2=192.168.2.2
Lan = 192.168.0.0/24 --> ether3-lan-master=192.168.0.1
Στα modem το dhcp είναι κλειστό.
Απλά αν τα pppoe γίνονται από τα modem των παρόχων δεν παίζει το failover.
Αν πέσει δλδ μία από τις δύο γραμμές, δεν γίνεται να το καταλάβει το mikortik.
Αν τα pppoe γίνονται από τα modem των παρόχων τότε χρησιμοποίησε τα παρακάτω:
/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether1-wan1 passthrough=yes per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether2-wan2 passthrough=yes per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting connection-mark=ether1-wan1 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ether2-wan2 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN2 passthrough=yes
add action=mark-routing chain=output connection-mark=ether1-wan1 disabled=no new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=ether2-wan2 disabled=no new-routing-mark=to_WAN2 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether1 new-connection-mark=ether1-wan1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether2 new-connection-mark=ether2-wan2 passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.0.0/24
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=30 target-scope=10
Θεωρώ ότι:
modem1 = 192.168.1.1 --> ether1=192.168.1.2
modem2 = 192.168.2.1 --> ether2=192.168.2.2
Lan = 192.168.0.0/24 --> ether3-lan-master=192.168.0.1
Στα modem το dhcp είναι κλειστό.
Απλά αν τα pppoe γίνονται από τα modem των παρόχων δεν παίζει το failover.
Αν πέσει δλδ μία από τις δύο γραμμές, δεν γίνεται να το καταλάβει το mikortik.
Δεν μου δουλεψε... :( μηπως καποιο απο τα distance ειναι λαθος?
Αν κανω speedtest τοτε μονο η μια γραμμη τερματιζει. Αν κανω disable αυτο το if τοτε τερματιζει το αλλο.
Σαν failsafe συμπεριφερεται.
Αν κάνεις δοκιμή μόνο από 1 pc τότε λογικό.
Με το παρακάτω:
per-connection-classifier=src-address:2/0
Αν έχεις 10 pc τότε τα 5 θα βγουν από τη μία γραμμή και τα άλλα 5 από την άλλη.
Αν θες να έχεις μέγιστη ταχύτητα σε torrents κτλ. από 1 pc δοκίμασε dst address ή dst address and port.
Ενδέχεται όπως κάποια site με μέγιστη ασφάλεια (π.χ. τράπεζες) που κοιτάνε από ποια ip βγήκες, να σου πετάξουν σφάλμα.
Το βρηκα το προβλημα. Μπερδευτηκα λιγο στο magle. ΝΑΤ και route σωστα τα εβαζα.
Επαιξε.... :worthy: Επιτελους "αθροιζω" το bandwidth...
Σημαντικο...... εκανα σε ΟΛΑ ενα reboot για να παιξουν. Αλλιως εβγαινα μονο με την μια WAN.
Επισυναπτω τον κωδικα οπως τον εβαλα εγω. Για οποιον μπορει να ενδιαφερεται.
Επισης αν πεσει καποια WAN απο τις δυο συνεχιζει ακαθεκτο με την αλλη. (failsafe)
/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn
add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=WAN-OUT
add chain=prerouting dst-address=192.168.2.0/24 action=accept in-interface=WAN-OUT
add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting connection-mark=WAN1_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN2
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 distance=2 check-gateway=ping
/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
WAN1 modem-router => 192.168.1.1/24 και στο μικροτικ => 192.168.1.2/24
WAN2 modem-router => 192.168.2.1/24 και στο μικροτικ => 192.168.2.2/24
WAN-OUT μικροτικ => 192.168.4.1/24 Απλα μετα εφτιαξα και ενα DHCP server σε αυτο το if.
και στα 2 Modem-router εκλεισα το dhcp καθως επισης και το nat.
@tsatasos ριξε μια ματια αν θες. σαν πιο εμπειρος που εισαι περιμενω σχολια. :)
Μαρκάρει τις συνδέσεις (στα πακέτα δεν βλεπει τίποτα) και κανεις fail over αν πέσει η μια σύνδεση. Routing δεν βλέπω πουθενά ωστε να χρησιμοποιεί και τις δύο. Δηλαδη κανε disable ολο το mangle και θα είναι το ίδιο
- - - Updated - - -
Δες ενα config που μαλλον λειτουργεί
http://farolan.blogspot.gr/2009/03/how-to-multi-wan-on-mikrotik-routeros_14.html?m=1
Καλημερα, ευχαριστω για το λινκ.
Μπορει να ειναι οπως τα λες... αλλα ηταν το μονο configuration που καταφερα να "προσθεσω" τις ταχυτητες. Αυτο στην ουσια ηταν το ζητουμενο.
Απο εκει και περα, ξεκουμπωνα χειροκινητα τις wan μια καθε φορα και συνεχιζε και επαιζε το ιντερνετ στο lan μου.
Θα διαβασω και αυτο που εστειλες για να δω τι λεει και πως το κανει. :)
@griniaris
Κομπλέ τα έφτιαξες!
@xhaos
Αν δεις μαρκάρει τις συνδέσεις κ μετα χρησιμοποιεί τα routing marks στο ip route. Έτσι το πετυχαίνει.
WAN1 modem-router => 192.168.1.1/24 και στο μικροτικ => 192.168.1.2/24
WAN2 modem-router => 192.168.2.1/24 και στο μικροτικ => 192.168.2.2/24
WAN-OUT μικροτικ => 192.168.4.1/24 Απλα μετα εφτιαξα και ενα DHCP server σε αυτο το if.
και στα 2 Modem-router εκλεισα το dhcp καθως επισης και το nat.
Για πες πως γίνεται να έχεις παντού 192.168.χ.χ και να βγαίνεις από τα prov's router με pppoe και κλειστό nat.
Σου φέρνουν κάπως την public ip στο mikrotik ?
puntomania
11-01-18, 20:25
Το βρηκα το προβλημα. Μπερδευτηκα λιγο στο magle. ΝΑΤ και route σωστα τα εβαζα.
Επαιξε.... :worthy: Επιτελους "αθροιζω" το bandwidth...
Σημαντικο...... εκανα σε ΟΛΑ ενα reboot για να παιξουν. Αλλιως εβγαινα μονο με την μια WAN.
Επισυναπτω τον κωδικα οπως τον εβαλα εγω. Για οποιον μπορει να ενδιαφερεται.
Επισης αν πεσει καποια WAN απο τις δυο συνεχιζει ακαθεκτο με την αλλη. (failsafe)
/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn
add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=WAN-OUT
add chain=prerouting dst-address=192.168.2.0/24 action=accept in-interface=WAN-OUT
add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes
add chain=prerouting connection-mark=WAN1_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN2
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 distance=2 check-gateway=ping
/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade
WAN1 modem-router => 192.168.1.1/24 και στο μικροτικ => 192.168.1.2/24
WAN2 modem-router => 192.168.2.1/24 και στο μικροτικ => 192.168.2.2/24
WAN-OUT μικροτικ => 192.168.4.1/24 Απλα μετα εφτιαξα και ενα DHCP server σε αυτο το if.
και στα 2 Modem-router εκλεισα το dhcp καθως επισης και το nat.
@tsatasos ριξε μια ματια αν θες. σαν πιο εμπειρος που εισαι περιμενω σχολια. :)
το παραπάνω πως διαμορφώνετε αν θέλουμε το μικροτικ να κάνει και το pppoe στα ρουτερ μας?
Δεν το εχω δοκιμασει... αλλα θεωρητικα οπου εχει WAN (1 ή 2 ) θα βαλεις το αντιστοιχο ΡΡΡΟΕ ( 1 ή 2 )
Στην ουσια σαν if (interface) αντιμετωπιζεται και το wan1 και το ΡΡΡΟΕ
Ο @Tsatasos νομιζω το εχει κανει με PPPOE . Ας μας δωσει τα φωτα του.
puntomania
11-01-18, 22:04
δοκιμάζω αυτό τώρα...
2 wan pppoe
/interface ethernet
set [ find default-name=ether1 ] name=ether1
set [ find default-name=ether2 ] name=ether2
set [ find default-name=ether3 ] name=ether3
/ip address
add address=192.168.1.2/24 interface=ether1 network=192.168.1.0
add address=192.168.2.2/24 interface=ether2 network=192.168.2.0
add address=192.168.5.1/24 interface=ether3 network=192.168.5.0
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 max-mtu=1480 name=pppoe-out1 password=pass use-peer-dns=no user=user
add add-default-route=yes disabled=no interface=ether2 max-mtu=1480 name=pppoe-out2 password=pass use-peer-dns=no user=user
/ip pool
add name=dhcp_pool1 ranges=192.168.5.2-192.168.5.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether1 name=dhcp1
/ip dhcp-server network
add address=192.168.5.0/24 gateway=192.168.5.1
/ip dns
set allow-remote-requests=yes cache-size=15000KiB servers=\
8.8.8.8,8.8.4.4
/system note set note="Server Configuration By Christos
/ip firewall mangle
add chain=prerouting in-interface=pppoe-out1
add chain=prerouting in-interface=pppoe-out2
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan1_conn per-connection-classifier=\
both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan2_conn per-connection-classifier=\
both-addresses-and-ports:2/1
add action=mark-routing chain=prerouting connection-mark=wan1_conn \
new-routing-mark=to_wan1
add action=mark-routing chain=prerouting connection-mark=wan2_conn \
new-routing-mark=to_wan2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat out-interface=pppoe-out2
add action=masquerade chain=srcnat comment="Masquerade Dhcp Network" src-address=192.168.5.0/24
/ip route
add check-gateway=ping distance=1 gateway=pppoe-out1 routing-mark=to_wan1
add check-gateway=ping distance=1 gateway=pppoe-out2 routing-mark=to_wan2
add check-gateway=ping distance=1 gateway=pppoe-out1
add distance=2 gateway=pppoe-out2
puntomania
13-01-18, 15:02
το βρήκα εδώ (http://www.itlearnweb.com/2016/07/4-wan-equal-load-balancing-pppoe.html)...
το δοκίμασα με 2 και 3 wan
ναι φαίνεται ότι δουλεύει καλά.
στην περίπτωση μου... όλες οι γραμμές μου.. έχουν ίδια ταχύτητα... δεν ξέρω τι γίνετε όταν έχουμε διαφορετικές.
An εχεις διαφορετικες ταχυτητες βαζεις ακομη εναν divider στη πιο μεγαλη ταχυτητα. Ακομη αντι για pppoe, μπορεις να βαλεις κατευθειαν τις ether.
π.χ. αν η wan1 ειναι η μεγαλυτερη.......
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan1_conn per-connection-classifier=\
both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan2_conn per-connection-classifier=\
both-addresses-and-ports:2/1
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan1_conn per-connection-classifier=\
both-addresses-and-ports:2/2
puntomania
13-01-18, 19:03
An εχεις διαφορετικες ταχυτητες βαζεις ακομη εναν divider στη πιο μεγαλη ταχυτητα. Ακομη αντι για pppoe, μπορεις να βαλεις κατευθειαν τις ether.
π.χ. αν η wan1 ειναι η μαγαλυτερη.......
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan1_conn per-connection-classifier=\
both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan2_conn per-connection-classifier=\
both-addresses-and-ports:2/1
add action=mark-connection chain=prerouting dst-address-type=!local \
new-connection-mark=wan1_conn per-connection-classifier=\
both-addresses-and-ports:2/2
Ακομη αντι για pppoe, μπορεις να βαλεις κατευθειαν τις ether. άρα θα μπορούσα πχ να έχω 1 γραμμή με pppoe και 1 στατική ή δυναμική Ip?
divider???
Nαι θα μπορουσες, ας πουμε καποτε ειχα pppoe και wlan με pcc load balance. Oτι θες μπορεις να κανεις σε αυτο το κοματι.
divider ειναι τα 2/0 2/1 που εχεις στο κωδικα. Και βαζεις αλλον εναν στη μεγαλυτερη wan που εχεις για να παιρνει πιο πολυ απο εκεινην. Δες το παραδειγμα που σου εδωσα.
puntomania
19-01-18, 23:17
Τρόπος ώστε να κανου με port forward πχ voip server μας... υπαρχει? Όταν τρέχει το μικροτικ 3 wan με pppoe!!!
Για τι ότι και αν δοκίμασα... δεν!!!
Μια χαρα κανω PF. Τι εννοεις και δε μπορεις?
puntomania
20-01-18, 12:32
...θέλω απο έξω... να έχω πρόσβαση στην udp 15201 και udp 15100-15110
φτιάχνω πχ κανόνα στο NAT
0 chain=dstnat action=dst-nat to-addresses=192.168.0.240 to-ports=15201
protocol=udp port=15201 log=no log-prefix=""
..στο filter
8 chain=input action=accept protocol=udp dst-port=15201 log=no log-prefix=""
και στο mangle...
8 chain=prerouting action=accept dst-address=192.168.0.240 in-interface=Loca>
log=no log-prefix=""
κάποιες φορές δουλεύει... κάποιες όχι...
η μάλλον πιο σωστά... δουλεύει μόνο όταν τα remote extension είναι συνδεμένα στο τοπικό wifi....
- - - Updated - - -
Δωσμου ένα παράδειγμα...
vpn (pptp) με το cloud του mikrotik μπαίνω... με το no-ip οχι.
λαθος βλεπω τις δηλωσεις σου.........
Ενας σωστος κανονας στο ΝΑΤ ειναι ο παρακατω, παρτον και διαμορφωσε τον ακριβως για σενα σε πορτες και ip.
add action=dst-nat chain=dstnat comment=Hamachi_Lapi dst-port=1320 in-interface=WAN1 protocol=tcp to-addresses=10.157.138.101 to-ports=1320
Kαι μετα για να το βγαζεις απο το firewall δοκιμασε να αφηνεις ολο το dst_nat με εναν κανονα για να μη φτιαχνεις συνεχεια καινουργια και πολλα filter rules.
Eγω το χρησιμοποιω μαζι με το τελευταιο κανονα που εχω στο firewall του"Drop everything else Forward", για να μην εχω στην ουσια ουτε αυτο το κανονα.
δλδ αντι να βαλω εναν κανονα accept>forward>connection-nat-state=dstnat που σου λεω να βαλεις για ολο το ΝΑΤ, εχω το παρακατω.
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
Για να μη μπερδευεσαι εσυ εχεις βαλει στο firewall input. Forward θελει παντα το PF, επειδη στο ΝΑΤ εχει περασει ηδη απο το input.
puntomania
20-01-18, 12:47
add action=drop chain=forward comment="Drop everything else Forward____!DST_NAT" connection-nat-state=!dstnat
αν βάλω αυτό... μου κόβει το ίντερνετ!!!
- - - Updated - - -
add action=dst-nat chain=dstnat comment=Hamachi_Lapi dst-port=1320 in-interface=WAN1 protocol=tcp to-addresses=10.157.138.101 to-ports=1320
αυτών αν βάλω in-interface=all ppp
σημαίνει οτι δέχεται απο όλες τις wan?
Ναι γιατι δεν εχεις βαλει το allow all input-forward from LAN φανταζομαι. Ποσταρε το firewall που εχεις στο firewall section να το δουμε.
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
Aυτα πρεπει να μπουν ακριβως πανω απο τα 2 τελευταια Drop everything else input-forward
Για αυτο που ρωτας στο edit που εκανες........... οχι........ το all ppp ειναι μονο all ppp.
Eγω το εχω βαλει wan1 επειδη μεσω mangle το hamachi το βγαζω απο το wan1 μονο με routing mark.
Ή θα κανεις οτι και εγω, ή θα φτιαξεις και αλλους κανονες για ολα τα wan που εχεις.
puntomania
20-01-18, 12:51
Ναι γιατι δεν εχεις βαλει το allow all input-forward from LAN φανταζομαι. Ποσταρε το firewall που εχεις στο firewall section να το δουμε.
add action=accept chain=input comment="Allow all input from LAN" in-interface=Bridge
add action=accept chain=forward comment="Allow all forward from LAN" in-interface=Bridge
Aυτα πρεπει να μπουν ακριβως πανω απο τα 2 τελευταια drop input-forward
Για αυτο που ρωτας στο edit που εκανες........... οχι........ το all ppp ειναι μονο all ppp.
Eγω το εχω βαλει wan1 επειδη μεσω mangle το hamachi το βγαζω απο το wan1 μονο.
Ή θα κανεις οτι και εγω, ή θα φτιαξεις και αλλους κανονες για ολα τα wan που εχεις.
0 chain=output action=drop src-address=192.168.0.249 out-interface=pppoe-out2 log=no log-prefix=""
1 chain=output action=drop src-address=192.168.0.249 out-interface=pppoe-out3 log=no log-prefix=""
2 chain=output action=drop src-address=192.168.0.247 out-interface=pppoe-out1 log=no log-prefix=""
3 chain=output action=drop src-address=192.168.0.247 out-interface=pppoe-out3 log=no log-prefix=""
4 chain=input protocol=tcp dst-port=8291
5 chain=input protocol=udp dst-port=53
6 chain=input protocol=tcp dst-port=80
7 chain=forward protocol=udp dst-port=53
8 chain=input action=accept protocol=udp dst-port=15100-15201 log=no log-prefix=""
Αυτο δεν ειναι ολοκληρωμενο firewall αλλα λουνα παρκ.
Ζητα βοηθεια στο firewall section να το δουν ολοι επειδη φευγω τωρα.
@ ADSLgr.com All rights reserved.