VPN MIkrotik

[Zbojnik]

tak toto som nejako neriesil, priznam sa netusim aky to ma vyznam ale
vyskusaj na pc odkial vytvoris tunel dat routu...

teda mas pc s pripojeny vpn, kde tvoja lokalna ip na pc je (ta co v MK v profile nastavis ako remote) priklad 192.168.1.100, brana bude 192.168.1.1
pridaj routu pre 192.168.2.0/24 s gw 192.168.1.100 (na pc nie na MK)

[keksik]

Tak vyriesene. Na Eng fore MK som mal odpoved do hodinky, presnu a ucinnu, bez blbych dotazov.
Asi su to tu v CSSR vsetci kvazi odbornici ako ja .

Ziadne ROUTOVANIE, ale FILTER !!!
povolit komunikaci medzi VPN spojenim a LAN, hosi.
aha
/ip firewall filter
add chain=forward dst-address=192.168.1.0/24 src-address=192.168.3.0/24
add chain=forward dst-address=192.168.3.0/24 src-address=192.168.1.0/24
add chain=forward dst-address=192.168.3.0/24 src-address=192.168.2.0/24
add chain=forward dst-address=192.168.2.0/24 src-address=192.168.3.0/24

kde 192.168.3.0/24 je rozsah z ktoreho sa pri VPN spojeni vzdialenemu PC prideli IP
a 192.168.1.0/24 a 192.168.2.0/24 su rozsahy na vzdialenej LAN.
teda az by to niekto riesil ma to tu polopate

have a fun

[ludvik]

tak za prvé ... chtěli jsme po tobě konfiguraci kompletní (alespoň já). Nemůžeme vědět, že si někde něco blokuješ ve firewallu ... fakt ne. Ani že neovládáš základní diagnostiku, protože tohle lze poznat na první pohled. Maximálně na druhý.
Řešil jsi VPN. A ne firewall. Čím víc a lepších informací poskytneš, tím větší je naděje na úspěšné řešení ... jinak je to jen hádání.

Mimochodem už 17. srpna jsem ti napsal: Když ti některé IP fungují, tak to nebude VPNkou ... bych řekl.
A hle ... měl jsem pravdu.

Ani se mi nechce zmiňovat, že jsi měl problém se segmentem 192.168.101.x a najednou máš řešení v povolení naprosto jiných segmentů. Zajímavé.


A pokud mají v zahraničí lepší křišťálové koule, tak si choď tam. Holt jsou lepší, než my ubozí amatéři.

[keksik]

tak za prvé ... chtěli jsme po tobě konfiguraci kompletní (alespoň já). Nemůžeme vědět, že si někde něco blokuješ ve firewallu ... fakt ne. Ani že neovládáš základní diagnostiku, protože tohle lze poznat na první pohled. Maximálně na druhý.
Řešil jsi VPN. A ne firewall. Čím víc a lepších informací poskytneš, tím větší je naděje na úspěšné řešení ... jinak je to jen hádání.

Mimochodem už 17. srpna jsem ti napsal: Když ti některé IP fungují, tak to nebude VPNkou ... bych řekl.
A hle ... měl jsem pravdu.

Ani se mi nechce zmiňovat, že jsi měl problém se segmentem 192.168.101.x a najednou máš řešení v povolení naprosto jiných segmentů. Zajímavé.


A pokud mají v zahraničí lepší křišťálové koule, tak si choď tam. Holt jsou lepší, než my ubozí amatéři.

Podla Toho co mi hento poradil manik z eng fora, vyzera to na princip fungivania toku paketov podla Toho MK diagramu. No a z tej povahy trebalo hento vo filtri nastavit. Ja som mal firewall prazdny,Nic som si neblokoval. On spravne hned pochopil ze je tam principialny problem.

[ludvik]

No to teda sorry ... ale to chci vysvětlit od někoho lepšího, než jsem já. Protože to je prostě blbost.

Netfilter v mikrotiku má policy ACCEPT. A to nejde změnit. Takže prázdný firewall nedělá naprosto nic. Nebo opačně řečeno - to samé, co ty tvoje pravidla. Ty "něco" povolí, nejspíš to je vidět i na jejich counterech. Ale pakety, co nespadnou do těchto pravidel jsou povolené také. Jenom jsi přidal do cesty nějaké zbytečné zpracování. A možná jsi se zbavil možnosti FastPath.

Nebo lidsky:
/ip firewall filter
povol pakety odsud tam
povol pakety odněkud jinud někam jinam
povol vše.

Ty pravidla prostě tvému problému nemohou přímo pomoci.

[Zbojnik]

Ludvik ze ta to rozculuje,
kasli na to, hlavne ze to "chalaňovi" konecne beha ako potrebuje,
a este sa navyse s nami podelil o poznatky, sice nam ostatnym to chodilo aj predtym, ale zas sme "mudrejsi"

[keksik]

Ludvik ze ta to rozculuje,
kasli na to, hlavne ze to "chalaňovi" konecne beha ako potrebuje,
a este sa navyse s nami podelil o poznatky, sice nam ostatnym to chodilo aj predtym, ale zas sme "mudrejsi"

Som rad Zbojnik ze si sa ma svojim sposobom zastal .
Pre uplnost postujem printscreeen z winboxu predmetneho Mikrotiku, snad aj Ludvik pripusti ze je to prenho sice nepochopitelne, ale nove a funguje
Snad som nezabudol vytiehnut ziadne podstatne okno s udajmi. pre ludvika, IP-Firewall ked som mal prazdny, bez tych forward accept pravidiel, co mi ten manik z Eng fora poradil-ten post si rychlo tam najdes, tak z lokalnych Ip co su zive na LAn asi 8, bolo dostupnych len dve.Preco prave tie dve... uz nemam sil riesit..
takto aj 192.168.1.0/24 aj192.168.2.0/24 nema problema
PS: na eng fore som sa pytal trosku na nieco ine, ale vyriesilo mi to obidve poziadavky. Ak som to tym tuna posral, hlboko sa ospravedlnujem.
http://forum.mikrotik.com/viewtopic.php ... PN#p553108

[Zbojnik]

preber si to keksik ako ti to pasuje, ale
ja suhlasim s ludvikom

Netfilter v mikrotiku má policy ACCEPT.

pretoze ci mas vo firewall filter akcept bez nejakeho nasledujuceho drop alebo to akcept nemas vobec na funkcnosti nic nezmeni....


ak by si mal niekde na konci fw drop pre forward tak chapem ze ti to mohlo pomoct... ale tak ako si poslal obrazok je to proti logike

[ludvik]

Ano, takto podáno je to blbost a nesmysl.

Ale po dlouholetých zkušenostech s mikrotikem si umím představit, že povolení ventilku u pneumatiky opravdu zastaví utíkání vzduchu z duše. To ovšem vysvětleno nebylo ... a nejspíš nebude a možná se to i v příští verzi změní.

Napadá mě totiž, že si tím vypnul Fast Path. Což jde ale ovšem i jinak a lépe.