Βοήθεια με Mikrotik RB2011 για DynDNS και απομακρυσμένη διαχείριση.

[fonias a.e]

Καλημέρα σε όλους,

Έχω ένα προβληματάκι με το παραπάνω ρούτερ το οποίο αφορά το Dyndns και την απομακρυσμένη διαχείριση του ρούτερ. Αλλά ας ξεκινήσω με την τοπολογία του δικτύου:
2x Adsl 24/1Μbps συνδέσεις (1 HOL κ 1 ΟΤΕ) από modem TP-Link TD-8816 συνδεμένες στις πόρτες 9-10 αντίστοιχα.
PPPoe διαχείριση από το RB2011 (εκδοση 6.30.2)
3 wired PC στις θύρες 3-4-5 όπου στα 3 (main PC) και 5(secondary) παίρνουν το καθένα από διαφορετική σύνδεση αποκλειστικά ενώ το 4 (NAS) παίρνει και από τις 2 WAN συνδέσεις.



Ένωσα τις 2 συνδέσεις βάσει του http://wiki.mikrotik.com/wiki/Manual:PCC και του http://forum.mikrotik.com/viewtopic.php?t=82912 για να έχω διαφορετικές wan ip στα 2 pc, σέταρα ip monitor http://forum.mikrotik.com/viewtopic.php?f=2&t=77193 και μετά από αρκετές δοκιμές κατέληξα να λειτουργεί το δίκτυο μου όπως θέλω.

Έχω δοκιμάσει άπειρα scripts από εδώ http://forum.mikrotik.com/viewtopic.php?t=34575 και δεν μου δουλεύει κανένα. Επίσης δεν μπορώ να κάνω update το ρούτερ ούτε μπορώ να ενεργοποιήσω το cloud.

Θα ήθελα να δουλέψει το Dyndns (έχω pro λογαριασμό) και να μπορώ να δουλέψω το ρούτερ απομακρυσμένα (κυρίως από το κινητό μου).

Παραθέτω τo export από το ρούτερ μου. Έχω βάλει αρκετά rules στο ip filter αλλά τα περισσότερα τα έχω απενεργοποιήσει.

Οποιαδήποτε βοήθεια ευπρόσδεκτη.


Σας ευχαριστώ!

Κώδικας:

/interface bridge
add name=LAN

/interface ethernet
set [ find default-name=ether10 ] poe-out=off

/interface pppoe-client
add disabled=no interface=ether9 max-mru=1480 max-mtu=1480 mrru=1600 name=WAN1 \
    password=xxxxxxx user=xxxxxxx
add disabled=no interface=ether10 max-mru=1480 max-mtu=1480 mrru=1600 name=WAN2 \
    password=xxxxxxx user=xxxxxxx

/interface wireless security-profiles
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=WPA2 \
    wpa2-pre-shared-key=xxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no l2mtu=1600 mode=ap-bridge security-profile=WPA2

/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254

/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=LAN lease-time=3d name=dhcp1

/tool user-manager customer
set admin access=\
    own-routers,own-users,own-profiles,own-limits,config-payment-gw

/user group
add name=sniffer policy="ssh,read,!local,!telnet,!ftp,!reboot,!write,!policy,!te\
    st,!winbox,!password,!web,!sniff,!sensitive,!api"

/interface bridge port
add bridge=LAN interface=ether1
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=ether5
add bridge=LAN interface=ether6
add bridge=LAN interface=ether7
add bridge=LAN interface=ether8
add bridge=LAN interface=wlan1

/ip accounting
set enabled=yes threshold=2560

/ip accounting web-access
set accessible-via-web=yes address=192.168.1.10/32

/ip address
add address=192.168.1.1/24 interface=LAN network=192.168.1.0
add address=192.168.0.2 interface=ether9 network=192.168.0.2
add address=192.168.10.2 interface=ether10 network=192.168.10.2

/ip arp
add address=192.168.1.10 interface=LAN mac-address=xx:xx:xx:xx:xx:xx


/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1

/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=8.8.8.8,8.8.4.4

/ip firewall address-list
add address=192.168.1.10 list=stat-WAN1
add address=192.168.1.20 list=stat-WAN2
add address=192.168.0.1 list=exempt-from-pcc
add address=192.168.10.1 list=exempt-from-pcc

/ip firewall filter
add chain=input dst-port=8291 protocol=tcp
add chain=input dst-port=80 protocol=tcp
add chain=input comment="Allow ICMP" disabled=yes protocol=icmp
add action=drop chain=input comment="Drop Invalid connections" \
    connection-state=invalid disabled=yes
add chain=input comment="Allow Established connections" connection-state=\
    established disabled=yes
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid disabled=yes
add chain=input comment="Accept established connections" connection-state=\
    established disabled=yes
add chain=input comment="Accept related connections" connection-state=related \
    disabled=yes
add action=drop chain=input comment="Drop everything else" disabled=yes
add action=drop chain=forward comment="Drop invalid connections" \
    connection-state=invalid disabled=yes
add chain=forward comment="Accept established connections" connection-state=\
    established disabled=yes
add chain=forward comment="Accept related connections" connection-state=related \
    disabled=yes
add chain=input comment="Allow access from local network" disabled=yes \
    in-interface=LAN src-address=192.168.1.0/24
add chain=forward comment="Allow traffic from Local network" disabled=yes \
    in-interface=LAN src-address=192.168.1.0/24
add chain=input comment="Allow ping from outside" disabled=yes in-interface=\
    ether1 protocol=icmp
add action=log chain=input comment=\
    "Log everything else, only enabled when debugging" disabled=yes log-prefix=\
    "IPv4 Drop input RR:"
add action=log chain=forward comment=\
    "Log everything else, only enabled when debugging" disabled=yes log-prefix=\
    "IPv4 Drop forward RR:"

/ip firewall mangle
add chain=prerouting dst-address-list=exempt-from-pcc
add action=mark-connection chain=input in-interface=WAN1 new-connection-mark=\
    WAN1_conn
add action=mark-connection chain=input in-interface=WAN2 new-connection-mark=\
    WAN2_conn
add action=mark-routing chain=output connection-mark=WAN1_conn \
    new-routing-mark=to_WAN1
add action=mark-routing chain=output connection-mark=WAN2_conn \
    new-routing-mark=to_WAN2
add chain=prerouting dst-address=192.168.0.0/24 in-interface=LAN
add chain=prerouting dst-address=192.168.10.0/24 in-interface=LAN
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN new-connection-mark=WAN1_conn per-connection-classifier=\
    both-addresses-and-ports:3/0
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN new-connection-mark=WAN2_conn per-connection-classifier=\
    both-addresses-and-ports:3/1
add action=mark-connection chain=prerouting dst-address-type=!local \
    in-interface=LAN new-connection-mark=WAN2_conn per-connection-classifier=\
    both-addresses-and-ports:3/2
add action=mark-routing chain=prerouting connection-mark=WAN1_conn \
    in-interface=LAN new-routing-mark=to_WAN1
add action=mark-routing chain=prerouting connection-mark=WAN2_conn \
    in-interface=LAN new-routing-mark=to_WAN2
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=\
    LAN new-routing-mark=to_WAN1 src-address-list=stat-WAN1
add action=mark-routing chain=prerouting dst-address-type=!local in-interface=\
    LAN new-routing-mark=to_WAN2 src-address-list=stat-WAN2

/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=WAN2
add action=dst-nat chain=dstnat dst-port=0000 in-interface=LAN protocol=tcp \
    to-addresses=192.168.1.200 to-ports=0000
add action=dst-nat chain=dstnat dst-port=0000 in-interface=LAN protocol=tcp \
    to-addresses=192.168.1.10 to-ports=0000

/ip route
add check-gateway=ping distance=1 gateway=WAN1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=WAN2 routing-mark=to_WAN2
add distance=1 dst-address=192.168.0.0/24 gateway=ether9
add distance=1 dst-address=192.168.10.0/24 gateway=ether10

[tsatasos]

Βάλε την 6.29.1.
Μετά από αυτή δεν παίζουν τα dyndns scripts.

[fonias a.e]

Βάλε την 6.29.1.
Μετά από αυτή δεν παίζουν τα dyndns scripts.

Δεν θυμάμαι ποια ήταν η παλιότερη έκδοση που είχα αλλά θυμάμαι οτι ούτε εκεί έπαιζε το dyndns. Το οτι δεν κάνει resolve στο upgrade.mikrotik.com απο το packages και το οτι στο ip - cloud μου βγάζει error:no internet connection φαντάζομαι οτι παίζουν ρόλο αλλά δεν μπορώ να καταλάβω τι γίνεται.

Το προηγούμενο ρούτερ που ειχα ήταν ενα rb750gl και καθως σέταρα το pcc όταν κούμπωσα την 2η γραμμη επάνω σταμάτησε να παίζει το dyndns και το remote management. Το rb2011 απο την αρχη δεν το ήθελε το dyndns.

Μήπως έχω κάνει καμια χαζομάρα με τις ρυθμίσεις και πρέπει να το ρυθμίσω ξανά απο το μηδέν?


Ο καλύτερος και πιο ασφαλής τρόπος για remote management είναι με vpn?


Συγνώμη για τις τόσες ερωτήσεις απλά προσπαθώ να μάθω τα βασικά στα mikrotik γιατί παίρνουν άπειρη παραμετροποίηση.

[tsatasos]

Internet το ίδιο το RB έχει?
Δλδ αν κάνεις tools > ping > www.google.gr απαντάει?

Στο /ip route νομίζω κάτι λείπει (βλ. bold):

Κώδικας:

/ip route
add check-gateway=ping distance=1 gateway=WAN1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=WAN2 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=WAN1
add check-gateway=ping distance=2 gateway=WAN2
add distance=1 dst-address=192.168.0.0/24 gateway=ether9
add distance=1 dst-address=192.168.10.0/24 gateway=ether10

[fonias a.e]

Internet το ίδιο το RB έχει?
Δλδ αν κάνεις tools > ping > www.google.gr απαντάει?

Στο /ip route νομίζω κάτι λείπει (βλ. bold):

Κώδικας:

/ip route
add check-gateway=ping distance=1 gateway=WAN1 routing-mark=to_WAN1
add check-gateway=ping distance=1 gateway=WAN2 routing-mark=to_WAN2
add check-gateway=ping distance=1 gateway=WAN1
add check-gateway=ping distance=2 gateway=WAN2
add distance=1 dst-address=192.168.0.0/24 gateway=ether9
add distance=1 dst-address=192.168.10.0/24 gateway=ether10

Είσαι θεός!!!!! Το rb δεν έκανε ping και με το που πρόσθεσα τις 2 γραμμές που μου είπες είδα το φως!

Μήπως γνωρίζεις κανένα τρόπο να ασφαλίσω το ρούτερ ώστε να επιτρέπει μόνο το κινητό μου να βλέπει το webfig (με mac address filter ή vpn)???



Και πάλι χίλια ευχαριστώ!

[tsatasos]

Από το IP > Services επιλέγεις ποιες υπηρεσίες να είναι ανοικτές και από που (Available From).

Εδώ μπορείς να βάλεις 2 IP. Την IP που παίρνει το κινητό όταν είσαι τοπικά και την IP όταν συνδέεσαι απομακρυσμένα με vpn.

Όταν είσαι τοπικά το κινητό παίρνει από DHCP αυτόματα IP, οπότε την κάνεις static (IP > DHCP Server > Leases > Make Static) για να μην αλλάζει.
Όταν είσαι με vpn, στο PPP > Secret πρέπει να έχεις ρυθμίσει την Remote IP να είναι κάποια σταθερή και να μην παίρνει από κάποιο pool.

*Τα παραπάνω δεν τα έχω δοκιμάσει, αλλά λογικά θα παίξει.

[tphilip]

κανε λογαργιασμο στο DNSoMatic.com και βαλε το script http://wiki.mikrotik.com/wiki/Dynami...com_behind_NAT

και κανεις οσα dns θελεις update παιζει σε ολα τα routeros

[deniSun]

Σχετικά με την αναβάθμιση γιατί δεν την κάνεις χειροκίνητα από το winbox;

[fonias a.e]

κανε λογαργιασμο στο DNSoMatic.com και βαλε το script http://wiki.mikrotik.com/wiki/Dynami...com_behind_NAT

και κανεις οσα dns θελεις update παιζει σε ολα τα routeros

Είχα απο παλία λογαριασμό στο Dyndns γιατι σε προ teamviewer εποχές δούλευα vnc για να κάνω χάρες σε φίλους και συγγενείς που δεν το "είχαν" με τα pc τους...

Απο την στιγμή που δούλεψε το rb με τις εντολές του tsatasos, δούλεψε και ένα απο τα 5-6 scriptπου είχα για dyndns.

Σχετικά με την αναβάθμιση γιατί δεν την κάνεις χειροκίνητα από το winbox;

Την αναβάθμιση απο 6.29κατι σε 6.30.2 την έκανα χειροκίνητα, απλά δεν μπορούσα να βρω γιατί δεν μπορούσε το ρούτερ να κάνει resolve τη διεύθυνση. Έψαχνα με λίγα λόγια να βρω τι πατάτα είχα κάνει.

Πλέον και το Dyndns παίζει οπότε μπαίνω και με το κινητό απ' όπου θέλω.


Με το vpn έχω ένα θέμα τώρα. Είχα βρει ένα οδηγο για να σετάρω l2tp με ipsec το οποίο το υποστηρίζει και το κινητό μου (galaxy note4c) τον δοκίμασα και δουλεύει http://www.firstdigest.com/2015/01/m...obile-clients/. Διάβασα όμως απο τον sdikr για τις διαφορές στα vpn εδω https://www.bestvpn.com/blog/4147/pp...sstp-vs-ikev2/ κ βλέπω οτι απ τις καλύτερες λύσεις είναι το openvpn και μετα το ikev2, το οποίο το υποστηρίζει το κινητό μου αλλά όχι το ρούτερ (μετά την έκδοση 7 ίσως).

Πήγα να ξεκινήσω να στήνω openvpn και τα βρήκα μπαστούνια πριν ακόμα μπω για ρυθμίσεις στο ρούτερ (με τα certifications).
Να το αφήσω με l2tp?
Μήπως υπάρχει τρόπος να ασφαλίσω το remote login σε μία συσκεύη μονο βάσει της mac address της απο δικτυο κινητής (πέρα απο το vpn)?



Χίλια συγνώμη για το πρήξιμο παίδες! Προσπαθώ να μάθω το ρουτεράκι λίγο παραπάνω και δεν βγάζω πάντα ακρη απο αυτά που διαβάζω στο φόρουμ της mikrotik.


Υ.Γ Μόλις είδα οτι στα ίδια λεφτα περίπου έπαιρνα το CRS109-8G-1S-2HnD-IN το οποίο είναι λίγο καλύτερο! φτου

[deniSun]

Είχα απο παλία λογαριασμό στο Dyndns γιατι σε προ teamviewer εποχές δούλευα vnc για να κάνω χάρες σε φίλους και συγγενείς που δεν το "είχαν" με τα pc τους...

Απο την στιγμή που δούλεψε το rb με τις εντολές του tsatasos, δούλεψε και ένα απο τα 5-6 scriptπου είχα για dyndns.




Την αναβάθμιση απο 6.29κατι σε 6.30.2 την έκανα χειροκίνητα, απλά δεν μπορούσα να βρω γιατί δεν μπορούσε το ρούτερ να κάνει resolve τη διεύθυνση. Έψαχνα με λίγα λόγια να βρω τι πατάτα είχα κάνει.

Πλέον και το Dyndns παίζει οπότε μπαίνω και με το κινητό απ' όπου θέλω.


Με το vpn έχω ένα θέμα τώρα. Είχα βρει ένα οδηγο για να σετάρω l2tp με ipsec το οποίο το υποστηρίζει και το κινητό μου (galaxy note4c) τον δοκίμασα και δουλεύει http://www.firstdigest.com/2015/01/m...obile-clients/. Διάβασα όμως απο τον sdikr για τις διαφορές στα vpn εδω https://www.bestvpn.com/blog/4147/pp...sstp-vs-ikev2/ κ βλέπω οτι απ τις καλύτερες λύσεις είναι το openvpn και μετα το ikev2, το οποίο το υποστηρίζει το κινητό μου αλλά όχι το ρούτερ (μετά την έκδοση 7 ίσως).

Πήγα να ξεκινήσω να στήνω openvpn και τα βρήκα μπαστούνια πριν ακόμα μπω για ρυθμίσεις στο ρούτερ (με τα certifications).
Να το αφήσω με l2tp?
Μήπως υπάρχει τρόπος να ασφαλίσω το remote login σε μία συσκεύη μονο βάσει της mac address της απο δικτυο κινητής (πέρα απο το vpn)?



Χίλια συγνώμη για το πρήξιμο παίδες! Προσπαθώ να μάθω το ρουτεράκι λίγο παραπάνω και δεν βγάζω πάντα ακρη απο αυτά που διαβάζω στο φόρουμ της mikrotik.


Υ.Γ Μόλις είδα οτι στα ίδια λεφτα περίπου έπαιρνα το CRS109-8G-1S-2HnD-IN το οποίο είναι λίγο καλύτερο! φτου

Σχετικά με το πως μπορείς να στήσεις openvpn σε ΜΤ έχω αναλυτικά ολόκληρο οδηγό μέσα στο φόρουμ.
Ρίξε μια ματιά.

ΥΓ
Στο συγκεκριμένο μηχανάκι το περιμένω Τρίτη-Τετάρτη προς αντικατάσταση του υπάρχοντος.
Απλά είναι ότι καλύτερο μπορεί να πάρει κάποιος για Home/Office δουλειές.

[fonias a.e]

http://www.adslgr.com/forum/threads/...hlight=openvpn -------> bookmarked !!!!

Παω να στήσω προχείρα ενα linux mint και ξεκινάω.

Έχουμε κανα καλό σκριπτάκι για refresh των wan συνδέσεων? Έφτιαξα ενα αστείο script που κάνει την δουλεια αλλά φαντάζομαι υπαρχει καλύτερος τρόπος...

Κώδικας:

interface disable WAN1
interface enable WAN1

interface disable WAN2
interface enable WAN2

[deniSun]

Σχετικά με το linux ρωτάς ή για το ROS;

[fonias a.e]

Σχετικά με το linux ρωτάς ή για το ROS;

Για το ros. Προφανώς είναι γελοίο το σκριπτάκι που έφτιαξα... Κανει reconnect σε 1s και δεν ξέρω αν αλλάζει ip πάντα. Όχι οτι έχω πρόβλημα αλλά φαντάζομαι υπάρχει καλυτερος τρόπος, π.χ να περιμένει το ρούτερ μερικα δευτερόλεπτα απο το disable στο enable.


edit: τελικά βρήκα ένα σκριπτάκι εδώ http://wiki.mikrotik.com/wiki/ScheduledWANDisconnect και το έφερα στα μέτρα μου

Κώδικας:

interface pppoe-client disable [find name="WAN2"]
delay 10
interface pppoe-client enable [find name="WAN2"]
log info "Script WAN Reconnect - scheduled WAN2-disconnect executed."

delay 20

interface pppoe-client disable [find name="WAN1"]
delay 10
interface pppoe-client enable [find name="WAN1"]
log info "Script WAN Reconnect - scheduled WAN1-disconnect executed."

[deniSun]

Τώρα κατάλαβα τι θέλεις να κάνεις.
Παίρνεις δίκτυο ασύρματα.
Θα μπορούσες να το κάνεις και με τον dhcp client.
Πολύ καλύτερο από το να πειράζεις το hw με άνοιγμα/κλείσιμο.

[fonias a.e]

Τώρα κατάλαβα τι θέλεις να κάνεις.
Παίρνεις δίκτυο ασύρματα.
Θα μπορούσες να το κάνεις και με τον dhcp client.
Πολύ καλύτερο από το να πειράζεις το hw με άνοιγμα/κλείσιμο.

Όχι δεν παίρνω ασύρματα δίκτυο. Τα 2 μόντεμ TD-8816 ειναι σε bridged mode και κανει κλήση pppoe το rb. Απλά έχω ονομάσει τα pppoe1-out και pppoe2-out σε WAN1 κ WAN2 αντίστοιχα.
Σε άλλα ρούτερ που είχα (tp-link wdr3600 ddwrt) τα έβαζα στις 04:00 να κάνουν reconnect για να κάνουν refresh την wan ip.

Τώρα πλέον με το σκριπτ αυτό κλείνω μία μία τις pppoe συνδέσεις με κάποια χρονοκαθυστέρηση.