Σελ. 1 από 2 12 ΤελευταίαΤελευταία
Εμφάνιση 1-15 από 24
  1. #1
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Exclamation
    Τελικά αυτά τα δύο μπορούν να συνδυαστούν; Απενεργοποιώντας τα 15 mangles rules που έχουν σχέση με το PCC (υπάρχουν 3 WAN συνδέσεις), μπορώ να κάνω σύνδεση και σε PPTP και σε L2TP από το WAN1 interface. Με το που τα ξαναενεργοποιώ, σταματάει να δουλεύει το VPN. Κάπου διάβασα πως θα πρέπει να μαρκαριστούν τα VPN πακέτα από πριν, για να γίνει η σωστή δρομολόγηση, αλλά μην έχοντας κάποιο παράδειγμα και σαν νέος στο χώρο του mikrotik, δεν κατάφερα να το κάνω να δουλέψει.

    Υπάρχει λύση ή το ξεχνάω το VPN;

  2. #2
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.529
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Ναι ετσι ειναι, πρεπει να μαρκαρεις τα πακετα πριν απο το pcc για να μπορεσεις να συνδεθεις και για να το επιτυχεις αυτο θα το κανεις me routing mark.

    Εγω π.χ. για να στειλω τα https στη μια γραμμη για να μην εχω θεμα με τραπεζικα sites κ.λ.π. που εχουν αυξημενο security χρησιμοποιω το παρακατω κανονα.

    Κώδικας:
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment=______HTTPS_TO_ETHER3 new-routing-mark=to_ether3 passthrough=no port=443 protocol=tcp src-address=192.168.16.0/24
    Σου εβαλα σε bold τις αλλαγες που πρεπει να κανεις για τις δικες σου αναγκες.


    Αυτο μπορεις να το κανεις και απευθειας με route κανονες, αλλα εμενα με βολεψε το παραπανω.
    Τελευταία επεξεργασία από το μέλος macro : 02-10-17 στις 11:06.
    Άλλα Ντάλλα....

  3. #3
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Καταρχήν σε ευχαριστώ για την απάντησή σου.

    Υποθέτω ότι θα πρέπει αυτός ο κανόνας να μπει στην πρώτη θέση με port το 1723, μαζί με έναν δεύτερο σχεδόν πανομοιότυπο, που αντί για το tcp πρωτόκολλο θα έχει στη θέση του το gre.

    Υποθέτω πως αντί για το μαρκάρισμα "to_ether3" θα πρέπει να βάλω το μαρκάρισμα που δουλεύω ήδη στα rules του PCC και στο Route, δηλαδή "to_WAN1" μιας και από το 1o gateway θέλω να κάνω την VPN σύνδεση.

    Μια ακόμα ερώτηση, το 192.168.16.0/24 είναι το subnet στο ether3, στην δική σου περίπτωση;

  4. #4
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.529
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Για τα 2 πρωτα ειναι ετσι οπως τα κατανοησες, δε γνωριζω βεβαια αν πρεπει να μπει το gre. Υποθετω πως εσυ ξερεις καλυτερα. Πιστευω πως οχι.... με tcp 1723 νομιζω θα κανεις τη δουλεια σου. Δοκιμασε το.

    Και wan1 οπως σωστα ειπες αν θες να βγαινει απο εκει το vpn σου και ναι πρωτος κανονας θα ειναι, ή τουλαχιστον πανω απο το pcc αν εχεις μερικους τετοιους κανονες. Επειδη εγω εχω καμια 10ρια, για αυτο το λεω.


    Το 192.168.16.0/24 ειναι το τοπικο LAN, εκει θα βαλεις το αντιστοιχο δικο σου. Αν εχεις π.χ. λαν 192.168.1.χ , θα βαλεις 192.168.1.0/24 που σημαινει οτι ο κανονας αυτος θα καλυπτει ολο το λαν σου.
    Τελευταία επεξεργασία από το μέλος macro : 03-10-17 στις 11:28.
    Άλλα Ντάλλα....

  5. #5
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο. Στην δική μου περίπτωση, υπάρχουν στο mikrotik 3 WAN subnets, 1 LAN, 1 Hotspot και 1 για το VPN που έχει το δικό του subnet.

    Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication. Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.

    - - - Updated - - -

    Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.

    Κώδικας:
    /ip firewall mangle
    add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
    add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept
    Το 10.20.0.1 είναι το gateway του vpn.

    Μου παρουσιάστηκε όμως ένα κουφό πρόβλημα. Από λειτουργικά που τρέχουν windows server 2003 όλα είναι άψογα, αλλά από windows 7 έχω error 807 και καμία καταγραφή στο log του mikrotik! Σαν να μην φτάνει καν σε αυτό κανένα πακέτο. Όμως αν βγεί εκτός το load balancing, τότε συνδέονται και τα seven.

    Καμιά καλή ιδέα για το τι συμβαίνει;

  6. #6
    Εγγραφή
    16-01-2006
    Ηλικία
    46
    Μηνύματα
    26
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    ΟΤΕ Conn-x
    Router
    mk750gr3
    Παράθεση Αρχικό μήνυμα από alefgr Εμφάνιση μηνυμάτων
    Σχετικά με το 192.168.16.0/24 και το τοπικό LAN, δεν κατανοώ το τι σχέση έχει με το VPN. Δεν θέλω να στήσω VPN Server στο τοπικό δίκτυο, αλλά να αναλάβει το ίδιο το mikrotik το ρόλο του VPN Server, που θα μου δίνει πρόσβαση για να συνδέομαι από το Internet, όπου θα μου κάνει bridge στο Hotspot δίκτυο.
    Προσωπικά, μου ακούγεται λίγο μπερδεμένο αυτό. Μπορείς να εξηγήσεις πιο απλοϊκά τι _ακριβώς_ προσπαθείς να επιτύχεις?


    Το balance του traffic ανάμεσα στα 3 gateway με χρήση του PCC, γίνεται μόνο στο Hotspot δίκτυο και μάλιστα μόνο σε αυτούς που έχουν κάνει authentication.
    Όλα τα υπόλοιπα connections γίνονται στο default gateway, που λόγο ρύθμισης είναι το WAN1, μέχρι να πέσει και να πάει στο επόμενο.
    Και γιατί δεν τα βάζεις όλα με όλα να γίνει ωραίο blending? Υποθέτω ότι έχεις βάλει firewall filter να μην επικοινωνούν τα δύο υποδίκτυα μεταξύ τους, σωστα?


    Τελικά με 2 απλά mangle rules στην κορυφή, κατάφερα να κάνω σύνδεση vpn και να μπορώ να δω ολόκληρο το hotspot subnet.

    Κώδικας:
    /ip firewall mangle
    add chain=prerouting dst-address=10.20.0.1 protocol=tcp dst-port=1723 action=accept
    add chain=prerouting dst-address=10.20.0.1 protocol=gre action=accept
    O λόγος που έπαιξε αυτό είναι ότι στα pptp το gre πρωτόκολλο και το control port του πάνε δυο δυο σαν τους Χιώτες.
    Αν το gre βγαίνει από την 2.2.2.2 wan ip και το control port από την 3.3.3.3 wan ip, θα έχεις broken connection.
    O Κανόνας που έβαλες επάνω επάνω με accept, είναι να ΜΗΝ προχωρήσει στην αλυσίδα του mangle η περαιτέρω επεξεργασία, άρα να βγεις από το default route.

    To pcc τι το έχεις βάλει? both destination ip and ports ίσως?

  7. #7
    Εγγραφή
    03-09-2011
    Μηνύματα
    3.529
    Downloads
    8
    Uploads
    0
    Ταχύτητα
    Όσο πιάνει
    ISP
    Cosmote-LTE
    Router
    Mikrotik Chateau LTE18
    Στοο κανονα που σου εβαλα πιο πανω εσυ θα βαλεις 10.20.0.0/24 και θα βγαινει απο τη wan1. Και δε θα εχεις κανενα προβλημα το πιθανοτερο.
    Άλλα Ντάλλα....

  8. #8
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Αυτό που προσπαθώ να πετύχω, είναι να μπορώ μέσω απομακρυσμένης σύνδεσης vpn, να μπορώ να συνδεθώ σε οποιαδήποτε συσκευή είναι συνδεδεμένη, είτε στο Hotspot δίκτυο είτε στο LAN και φυσικά να μπορώ να πάρω τον έλεγχο των 3 modems μέσω μπρόσορα. Το κακό είναι με τα τελευταία modems-boosters του ΟΤΕ Huawei HA35 έχω θέματα, όπως σε κάποιο από αυτά θέλει διαφορετική ip διεύθυνση για να συνδεθώ στο WebUI του modem, από την διεύθυνση wan που μπορώ να την ξέρω μέσω του noip και με την βοήθεια του mikrotik. Και την διεύθυνση αυτή που είναι στο bonding tunnel, την ξέρει μόνο το ίδιο το modem.

    Όσο για το PCC είναι όντως στο both address & ports, μιας που προς το παρόν έχω δει καλύτερες επιδώσεις με αυτή την επιλογή, ιδιαίτερα όταν ανοίγω βαριές σελίδες με πολλαπλές συνδέσεις.

    Το πρόβλημα όμως παραμένει με τα seven. Και με τρίτο μηχάνημα που τρέχει Win2K3 μπαίνω κανονικά, αλλά με seven ούτε με σφαίρες. Ένα μόνο προβληματάκι αντιμετωπίζω με την πρόσβαση στα subnets των wan, είναι ότι κάθε φορά θα πρέπει να τρέχω ένα script στο τοπικό μηχάνημα και να προσθέτω το route 192.168.0.0/22 ώστε να βγαίνει από την διεύθυνση που έχω πάρει από το vpn. Το κακό είναι ότι η διεύθυνση αυτή είναι δυναμική και αλλάζει κάθε φορά, οπότε θα πρέπει να δουλέψω static διευθύνσεις στο vpn. Αυτό διορθώνεται. Αυτό που δεν ξέρω πως θα διορθώσω είναι το πώς θα κάνω πρόσβαση vpn από το φορητό μου που τρέχει seven. Μένει να προσθέσω στο mangle και rules για L2TP μπας και με αυτή την σύνδεση καταφέρει να περάσει.

    - - - Updated - - -

    Υπάρχουν νεότερα σχετικά με το πρόβλημα των seven και με L2TP/IPSec VPN συνδέσεις. Μετά από αρκετό ψάξιμο σε πολλά sites, βρήκα πως το πρόβλημα έχει να κάνει με τις μεταγενέστερες εκδόσεις των windows, από τα seven και μετά. Για άγνωστο λόγο, ίσως για περισσότερη ασφάλεια, η Microsoft έκοψε την δυνατότητα πρόσβασης σε L2TP server, όταν ο server είναι πίσω από NAT-T. Υπάρχει όμως η λύση να ξεπεραστεί το πρόβλημα, φτιάχνοντας μια εγγραφή στη registry.

    Κώδικας:
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002
    Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.

  9. #9
    Εγγραφή
    25-10-2011
    Ηλικία
    40
    Μηνύματα
    515
    Downloads
    2
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    51200/5120
    ISP
    ΟΤΕ Conn-x
    Router
    Mikrotik RB951G-2HnD
    SNR / Attn
    3.5(dB) / 31.3(dB)
    Εγώ με αυτούς τους κανόνες στο Mangle για PCC και φυσικά τα αντίστοιχα routes έχω κανονικά vpn

    Κώδικας:
    add action=accept chain=prerouting dst-address=192.168.1.0/24 \
        src-address=192.168.1.0/24
    add action=mark-connection chain=prerouting connection-mark=no-mark \
        in-interface=OTE1 new-connection-mark=OTE1-conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark \
        in-interface=OTE2 new-connection-mark=OTE2-conn passthrough=yes
    add action=jump chain=prerouting connection-mark=no-mark in-interface=\
        Management jump-target=policy_route
    add action=mark-routing chain=prerouting connection-mark=OTE1_conn \
        new-routing-mark=OTE1_route passthrough=yes src-address=192.168.1.0/24
    add action=mark-routing chain=prerouting connection-mark=OTE2_conn \
        new-routing-mark=OTE2_route passthrough=yes src-address=192.168.1.0/24
    add action=mark-routing chain=output connection-mark=OTE1-conn \
        new-routing-mark=OTE1_route passthrough=yes
    add action=mark-routing chain=output connection-mark=OTE2-conn \
        new-routing-mark=OTE2_route passthrough=yes
    add action=mark-connection chain=policy_route dst-address-type=!local \
        new-connection-mark=OTE1_conn passthrough=yes per-connection-classifier=\
        both-addresses-and-ports:2/0
    add action=mark-connection chain=policy_route dst-address-type=!local \
        new-connection-mark=OTE2_conn passthrough=yes per-connection-classifier=\
        both-addresses-and-ports:2/1

  10. #10
    Εγγραφή
    16-01-2006
    Ηλικία
    46
    Μηνύματα
    26
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    ΟΤΕ Conn-x
    Router
    mk750gr3
    Παράθεση Αρχικό μήνυμα από alefgr Εμφάνιση μηνυμάτων

    Μετά θέλει επανεκκίνηση. Υποθέτω πως κάτι αντίστοιχο παίζει και με το PPTP και τα seven, αλλά ακόμα δεν έχω βρει την λύση του.
    Κανε ενα export compact hide-sensitive
    και ποσταρε το εδω.

  11. #11
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.

  12. #12
    Εγγραφή
    16-01-2006
    Ηλικία
    46
    Μηνύματα
    26
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    ΟΤΕ Conn-x
    Router
    mk750gr3
    Παράθεση Αρχικό μήνυμα από alefgr Εμφάνιση μηνυμάτων
    Από την στιγμή που μπαίνω στα seven με L2TP, λίγο με νοιάζει που δεν μου δουλεύει το PPTP στα seven παρά μόνο στα 2003. Πάντως απ' ότι δοκίμασα έχω πρόσβαση και από το 2ο WAN. Υποθέτω ότι όταν θα συνδεθεί και η τρίτη γραμμή, θα μπορώ να μπω και από εκεί χωρίς καμία άλλη ρύθμιση. Ευτυχώς που τα booster του ΟΤΕ δουλεύουνε εντάξει σε αυτό τον τομέα και περνάνε από το NAT με επιτυχία τα vpn πακέτα.
    Πασο. Your router,your packets,your decision. :P

    Αλλα μου κανει εντυπωση που δεν σου παιζει το ππτπ στα 7αρια. Δεν το εχω συναντησει ποτε σε καμια απο τις υλοποιησεις μου. Μαλλον το εχω συναντησει οταν κατι ειναι misconfigured. Εξακολουθω να πιστευω οτι ειναι θεμα mangle και comnection mark.

  13. #13
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί.

    Όσο για τις ρυθμίσεις στο mangle είναι παρόμοιες με αυτές του L2TP.

    Κώδικας:
    /ip firewall mangle
    add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
        dst-port=1723 protocol=tcp
    add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
    add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
        10.20.0.0/24 port=500,1701,4500 protocol=udp
    add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
        ipsec-esp
    Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;

  14. #14
    Εγγραφή
    16-01-2006
    Ηλικία
    46
    Μηνύματα
    26
    Downloads
    3
    Uploads
    0
    Τύπος
    VDSL2
    Ταχύτητα
    204800/20480
    ISP
    ΟΤΕ Conn-x
    Router
    mk750gr3
    Παράθεση Αρχικό μήνυμα από alefgr Εμφάνιση μηνυμάτων

    Για να μην ανοίγω νέο θέμα. Μου ήρθε για δοκιμές ένα 750Gr3 το οποίο δίπλα στο usb βύσμα έχει ένα button. Ξέρει κανείς τι κάνει αυτό;

    "RB750Gr3 Mode button currently does nothing, it is added for future use. There is no specific functionality decided yet."

    Ναι αλλά σε αυτή την περίπτωση θα είχα θέμα και με τα Win2K3 αλλά δεν έχω. Υποθέτω (δεν έχω δοκιμάσει) ότι θα πρέπει να μην υπάρχει πρόβλημα ούτε και με τα XP, γιατί αυτά τα δύο λειτουργικά πάνε μαζί (....)
    Δυστυχώς, παραθέτεις ένα μικρό τμήμα από το mangle ενώ ένα export θα βοηθούσε πολύ καλύτερα για να υπάρχει η ευρύτερη εικόνα.

  15. #15
    Εγγραφή
    15-11-2003
    Περιοχή
    Άνω Αχαρναί
    Ηλικία
    64
    Μηνύματα
    2.789
    Downloads
    2
    Uploads
    0
    Ταχύτητα
    2048/400
    ISP
    Tellas
    DSLAM
    ΟΤΕ - ΑΧΑΡΝΩΝ
    Router
    Zyxel SBG3300-N/Mk RB4011
    SNR / Attn
    1-8(dB) / -62(dB)
    Path Level
    Interleaved
    Υπάρχουν και κάποια rules που έχουν προστεθεί (filter & nat) για να πετύχω πρόσβαση στα modems μέσω του mikrotik, αλλά δεν βλέπω να δουλεύουν, με εξαίρεση την πρόσβαση από το WAN1 στο modem1, αλλά παραδόξως όταν επιχειρώ πρόσβαση από WAN1 στο modem2, ο μπρόσορας μου δείχνει ότι από το https://domain.ddns.net:53342 έχει γίνει ανακατεύθυνση στο https://192.168.2.1 και φυσικά είναι αδύνατη η σύνδεση. Από WAN2 δεν δουλεύει κανένα από τα δύο, αλλά μάλλον ευθύνεται το PCC, γιατί όλες οι default συνδέσεις γίνονται μόνο από το WAN1.

    Κώδικας:
    /ip address
    add address=192.168.0.1/24 comment=LAN interface=lan-bridge network=\
        192.168.0.0
    add address=10.10.0.1/22 comment=Hotspot interface=hot-bridge network=\
        10.10.0.0
    add address=192.168.1.2/24 comment=WAN1 interface=ether1-WAN1 network=\
        192.168.1.0
    add address=192.168.2.2/24 comment=WAN2 interface=ether6-WAN2 network=\
        192.168.2.0
    add address=192.168.3.2/24 comment=WAN3 disabled=yes interface=ether7-WAN3 \
        network=192.168.3.0
    
    /queue type
    add kind=pcq name=pcq-download pcq-classifier=dst-address \
        pcq-dst-address6-mask=64 pcq-rate=8M pcq-src-address6-mask=64
    add kind=pcq name=pcq-upload pcq-classifier=src-address \
        pcq-dst-address6-mask=64 pcq-rate=800k pcq-src-address6-mask=64
    add kind=pcq name=pcq_down pcq-classifier=dst-address
    add kind=pcq name=pcq_up pcq-classifier=src-address
    set 9 pcq-burst-time=15s
    
    /queue simple
    add disabled=yes name=hs-qos queue=pcq-upload/pcq-download target=hot-bridge
    
    /queue tree
    add name=DOWLOAD packet-mark=equal-mark-pack parent=hot-bridge queue=pcq_down
    add name=UPLOAD1 packet-mark=equal-mark-pack parent=ether1-WAN1 queue=pcq_up
    add name=UPLOAD2 packet-mark=equal-mark-pack parent=ether6-WAN2 queue=pcq_up
    add name=UPLOAD3 packet-mark=equal-mark-pack parent=ether7-WAN3 queue=pcq_up
    
    /ip firewall filter
    add action=passthrough chain=unused-hs-chain comment=\
        "place hotspot rules here" disabled=yes
    add action=accept chain=input comment="defconf: accept established,related" \
        connection-state=established,related
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="VPN PPTP" dst-port=1723 protocol=tcp
    add action=accept chain=input protocol=gre
    add action=accept chain=input comment="VPN L2TP/IPSEC" port=500,1701,4500 \
        protocol=udp
    add action=accept chain=input protocol=ipsec-esp
    add action=accept chain=input comment="Router Access" dst-port=8291 protocol=\
        tcp
    add action=accept chain=input dst-port=21 protocol=tcp
    add action=accept chain=input dst-port=80 protocol=tcp
    add action=accept chain=input comment="Wireless Devices Access" dst-port=\
        53354-53360 in-interface-list="WAN Ports" protocol=tcp
    add action=accept chain=input comment="Modems Access" dst-port=53341-53342 \
        in-interface-list="WAN Ports" protocol=tcp
    add action=drop chain=forward comment="P2P: torrentsites" disabled=yes \
        layer7-protocol=torrentsites
    add action=drop chain=forward comment="P2P: dropDNS" disabled=yes dst-port=53 \
        layer7-protocol=torrentsites protocol=udp
    add action=drop chain=forward comment="P2P: keyword_drop" content=torrent \
        disabled=yes
    add action=drop chain=forward comment="P2P: trackers_drop" content=tracker \
        disabled=yes
    add action=drop chain=forward comment="P2P: get_peers_drop" content=getpeers \
        disabled=yes
    add action=drop chain=forward comment="P2P: info_hash_drop" content=info_hash \
        disabled=yes
    add action=drop chain=forward comment="P2P: announce_peers_drop" content=\
        announce_peers disabled=yes
    add action=drop chain=input comment="defconf: drop all from WANs" disabled=\
        yes in-interface-list="WAN Ports"
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related disabled=yes
    add action=accept chain=forward comment="defconf: accept established,related" \
        connection-state=established,related
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list="WAN Ports"
    
    /ip firewall mangle
    add action=accept chain=prerouting comment=VPN-PPTP dst-address=10.20.0.0/24 \
        dst-port=1723 protocol=tcp
    add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=gre
    add action=accept chain=prerouting comment=VPN-L2TP/IPSec dst-address=\
        10.20.0.0/24 port=500,1701,4500 protocol=udp
    add action=accept chain=prerouting dst-address=10.20.0.0/24 protocol=\
        ipsec-esp
    add action=mark-connection chain=forward comment=PCQ new-connection-mark=\
        equal-mark-con passthrough=yes src-address=10.10.0.0/22
    add action=mark-packet chain=forward connection-mark=equal-mark-con \
        new-packet-mark=equal-mark-pack passthrough=yes
    add action=mark-connection chain=input comment=PCC in-interface=ether1-WAN1 \
        new-connection-mark=WAN1_conn passthrough=yes
    add action=mark-connection chain=input in-interface=ether6-WAN2 \
        new-connection-mark=WAN2_conn passthrough=yes
    add action=mark-connection chain=input disabled=yes in-interface=ether7-WAN3 \
        new-connection-mark=WAN3_conn passthrough=yes
    add action=mark-routing chain=output connection-mark=WAN1_conn \
        new-routing-mark=to_WAN1 passthrough=yes
    add action=mark-routing chain=output connection-mark=WAN2_conn \
        new-routing-mark=to_WAN2 passthrough=yes
    add action=mark-routing chain=output connection-mark=WAN3_conn disabled=yes \
        new-routing-mark=to_WAN3 passthrough=yes
    add action=accept chain=prerouting dst-address=192.168.1.0/24 in-interface=\
        hot-bridge
    add action=accept chain=prerouting dst-address=192.168.2.0/24 in-interface=\
        hot-bridge
    add action=accept chain=prerouting disabled=yes dst-address=192.168.3.0/24 \
        in-interface=hot-bridge
    add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
        auth in-interface=hot-bridge new-connection-mark=WAN1_conn passthrough=\
        yes per-connection-classifier=both-addresses-and-ports:3/0
    add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
        auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
        yes per-connection-classifier=both-addresses-and-ports:3/1
    add action=mark-connection chain=prerouting dst-address-type=!local hotspot=\
        auth in-interface=hot-bridge new-connection-mark=WAN2_conn passthrough=\
        yes per-connection-classifier=both-addresses-and-ports:3/2
    add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
        in-interface=hot-bridge new-routing-mark=to_WAN1 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
        in-interface=hot-bridge new-routing-mark=to_WAN2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=WAN3_conn disabled=\
        yes in-interface=hot-bridge new-routing-mark=to_WAN3 passthrough=yes
    
    /ip firewall nat
    add action=dst-nat chain=dstnat comment="Modems Access" dst-address=\
        192.168.1.2 dst-port=53341 protocol=tcp to-addresses=192.168.1.1 \
        to-ports=443
    add action=dst-nat chain=dstnat dst-address=192.168.1.2 dst-port=53342 \
        protocol=tcp to-addresses=192.168.2.1 to-ports=443
    add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53341 \
        protocol=tcp to-addresses=192.168.1.1 to-ports=443
    add action=dst-nat chain=dstnat dst-address=192.168.2.2 dst-port=53342 \
        protocol=tcp to-addresses=192.168.2.1 to-ports=443
    add action=dst-nat chain=dstnat comment="Wireless Devices Access" dst-port=\
        53354 in-interface-list="WAN Ports" protocol=tcp to-addresses=10.10.0.16 \
        to-ports=443
    add action=dst-nat chain=dstnat dst-port=53355 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.17 to-ports=443
    add action=dst-nat chain=dstnat dst-port=53356 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.18 to-ports=443
    add action=dst-nat chain=dstnat dst-port=53357 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.19 to-ports=443
    add action=dst-nat chain=dstnat dst-port=53358 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.8 to-ports=80
    add action=dst-nat chain=dstnat dst-port=53359 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.9 to-ports=80
    add action=dst-nat chain=dstnat dst-port=53360 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.10 to-ports=80
    add action=dst-nat chain=dstnat dst-port=53361 in-interface-list="WAN Ports" \
        protocol=tcp to-addresses=10.10.0.7 to-ports=80
    add action=passthrough chain=unused-hs-chain comment=\
        "place hotspot rules here" disabled=yes
    add action=masquerade chain=srcnat comment="LAN: masquerade" src-address=\
        192.168.0.0/24
    add action=masquerade chain=srcnat comment="WAN1: masquerade" out-interface=\
        ether1-WAN1
    add action=masquerade chain=srcnat comment="WAN2: masquerade" out-interface=\
        ether6-WAN2
    add action=masquerade chain=srcnat comment="WAN3: masquerade" disabled=yes \
        out-interface=ether7-WAN3
    add action=masquerade chain=srcnat comment="Horspot: masquerade" src-address=\
        10.10.0.0/22
    
    /ip route
    add check-gateway=ping distance=1 gateway=192.168.1.1 routing-mark=to_WAN1
    add check-gateway=ping distance=1 gateway=192.168.2.1 routing-mark=to_WAN2
    add check-gateway=ping disabled=yes distance=1 gateway=192.168.3.1 \
        routing-mark=to_WAN3
    add check-gateway=ping distance=1 gateway=192.168.1.1
    add check-gateway=ping distance=2 gateway=192.168.2.1
    add check-gateway=ping disabled=yes distance=3 gateway=192.168.3.1
    add check-gateway=ping comment="For check WAN2 IP" distance=1 dst-address=\
        64.182.x.x/32 gateway=192.168.2.1

Σελ. 1 από 2 12 ΤελευταίαΤελευταία

Παρόμοια Θέματα

  1. Mikrotik L2TP vpn server with Ipsec
    Από Nikiforos στο φόρουμ MikroTik
    Μηνύματα: 132
    Τελευταίο Μήνυμα: 29-07-23, 16:42
  2. Mikrotik Dual-Wan με PCC --> πρόβλημα με VPN
    Από tsatasos στο φόρουμ MikroTik
    Μηνύματα: 30
    Τελευταίο Μήνυμα: 20-01-18, 12:54
  3. Υπηρεσία VPN με servers στην Ελλάδα
    Από dimangelid στο φόρουμ Networking
    Μηνύματα: 4
    Τελευταίο Μήνυμα: 03-10-17, 08:57
  4. Mikrotik σαν client vpn σε servers VPN
    Από jkarabas στο φόρουμ MikroTik
    Μηνύματα: 2
    Τελευταίο Μήνυμα: 15-08-17, 16:42
  5. Δημιουργία Open VPN Server
    Από dkouskousis στο φόρουμ Networking
    Μηνύματα: 6
    Τελευταίο Μήνυμα: 27-12-16, 22:32

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές

  • Δεν μπορείτε να δημοσιεύσετε νέα θέματα
  • Δεν μπορείτε να δημοσιεύσετε νέα μηνύματα
  • Δεν μπορείτε να αναρτήσετε συνημμένα
  • Δεν μπορείτε να επεξεργαστείτε τα μηνύματα σας
  •  
  • Τα BB code είναι σε λειτουργία
  • Τα Smilies είναι σε λειτουργία
  • Το [IMG] είναι σε λειτουργία
  • Το [VIDEO] είναι σε λειτουργία
  • Το HTML είναι εκτός λειτουργίας