superb 54 Опубликовано: 2016-02-15 14:35:37 Share Опубликовано: 2016-02-15 14:35:37 Провайдер по дхцп. Запущен нат. По touch на интерфейсе куда заходит пров проскакивают dst адреса внутренней сети. Получается маскарадинг не до конца маскарадит?Это нормально, можно как то закрытся? Ссылка на сообщение Поделиться на других сайтах
BlackVS 35 Опубліковано: 2016-02-15 15:00:01 Share Опубліковано: 2016-02-15 15:00:01 Это у вас конфиг не до конца правильно сделан. Конфиг в студию. Ссылка на сообщение Поделиться на других сайтах
superb 54 Опубліковано: 2016-02-15 15:29:23 Автор Share Опубліковано: 2016-02-15 15:29:23 Поднят дхцп клиент. Роут прописан руками, указан ip шлюза(дст адрес 0.0.0.0/0). Нат: srcnat, out interface:интерфейс смотрит на провайдера, action:masquerade. Часть адресов которым хочу дать доступ заворачиваю через роутинг: mark routing, chain:prerouting, src address list:x2, action:mark routing, new routing mark:tm2, passthrought yes. В роуте указываю этот марк роутин.Фаервол пока пустой...но пробовал через веб интерфейс автоматом создавать, не помогло. Ссылка на сообщение Поделиться на других сайтах
BlackVS 35 Опубліковано: 2016-02-15 16:40:22 Share Опубліковано: 2016-02-15 16:40:22 (відредаговано) в винбоксе откройте терминал и там введите команду export compact file=myconfig В списке файлов появится соответствующий текстовый файл myconfig.rsc, откройте его блокнотом. Удалите все пароли, явки и скиньте сюда. А то из описания свыше не всё понял %) Відредаговано 2016-02-15 16:41:00 BlackVS Ссылка на сообщение Поделиться на других сайтах
superb 54 Опубліковано: 2016-02-15 16:51:24 Автор Share Опубліковано: 2016-02-15 16:51:24 /interface ethernet set 0 mac-address=A0:F3:C1:D7:CB:55 name=WAN1 set 1 name=ether2-master-local set 2 name=WAN2 set 3 master-port=ether2-master-local name=ether4-slave-local set 4 master-port=ether2-master-local name=ether5-slave-local speed=10Mbps /interface pppoe-client add disabled=no interface=WAN1 name=pppoe-out1 password= user= /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default /ip address add address=10.0.120.1/24 comment="default configuration" interface=\ ether2-master-local /ip dhcp-client add add-default-route=no comment="default configuration" disabled=no \ interface=WAN1 add add-default-route=no disabled=no interface=WAN2 use-peer-dns=no /ip dhcp-server network add address=192.168.10.0/24 comment="default configuration" dns-server=\ 192.168.10.1 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=10.0.120.2 name=admin.mk /ip firewall address-list add address=10.0.120.2-10.0.120.220 list=x1 add address=10.0.120.221-10.0.120.252 list=x1 add address=10.0.120.253 list=x2 add address=10.0.120.254 list=x2 /ip firewall connection tracking set tcp-established-timeout=30m /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=tm2 passthrough=no \ src-address-list=x1 add action=mark-routing chain=prerouting new-routing-mark=tm3 \ src-address-list=x2 /ip firewall nat add action=dst-nat chain=dstnat dst-port=1010 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.2 to-ports=80 add action=dst-nat chain=dstnat dst-port=1020 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.5 to-ports=80 add action=dst-nat chain=dstnat disabled=yes dst-port=333 in-interface=\ pppoe-out1 protocol=tcp to-addresses=10.0.120.2 to-ports=22 add action=dst-nat chain=dstnat dst-port=82 in-interface=pppoe-out1 protocol=\ tcp to-addresses=10.0.120.7 to-ports=82 add action=dst-nat chain=dstnat dst-port=1082 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.7 to-ports=1082 add action=masquerade chain=srcnat out-interface=WAN2 add action=dst-nat chain=dstnat dst-port=8082 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.7 to-ports=8082 add action=dst-nat chain=dstnat dst-port=8090 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.4 to-ports=8090 add action=dst-nat chain=dstnat dst-port=8070 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.8 to-ports=8070 add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\ pppoe-out1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes /ip neighbor discovery set WAN1 disabled=yes /ip route add distance=1 gateway=pppoe-out1 routing-mark=tm2 add check-gateway=ping distance=1 gateway=100.77.255.254 routing-mark=tm3 add check-gateway=ping disabled=yes distance=1 dst-address=0.0.0.0/32 \ gateway=100.77.255.254 routing-mark=to_WAN2 add check-gateway=ping disabled=yes distance=2 gateway=100.77.255.254 /ip route rule add disabled=yes src-address=10.0.120.254/32 table=tm /ip upnp set allow-disable-external-interface=no enabled=yes /ip upnp interfaces add interface=WAN1 type=internal add interface=ether2-master-local type=internal add interface=WAN2 type=internal add interface=ether4-slave-local type=internal add interface=ether5-slave-local type=internal add interface=pppoe-out1 type=external /ppp aaa set accounting=no /system routerboard settings set cpu-frequency=800MHz /tool graphing interface add /tool mac-server add disabled=no interface=ether2-master-local add disabled=no interface=WAN2 add disabled=no interface=ether4-slave-local add disabled=no interface=ether5-slave-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=WAN2 add interface=ether4-slave-local add interface=ether5-slave-local Ссылка на сообщение Поделиться на других сайтах
BlackVS 35 Опубліковано: 2016-02-15 17:13:48 Share Опубліковано: 2016-02-15 17:13:48 (відредаговано) На каком внешнем интерфейсе "светятся" внутренние ип-адреса, какие именно адреса/протоколы/порты. Маскарадинг по идее должен был закрыть всё.. Відредаговано 2016-02-15 17:18:23 BlackVS Ссылка на сообщение Поделиться на других сайтах
BlackVS 35 Опубліковано: 2016-02-15 17:29:54 Share Опубліковано: 2016-02-15 17:29:54 Я б добавил еще add action=masquerade chain=srcnat out-interface=WAN1 - зачем провадеру видеть Вашу внутреннюю сеть. Ссылка на сообщение Поделиться на других сайтах
superb 54 Опубліковано: 2016-02-15 17:52:52 Автор Share Опубліковано: 2016-02-15 17:52:52 На каком внешнем интерфейсе "светятся" внутренние ип-адреса, какие именно адреса/протоколы/порты. Маскарадинг по идее должен был закрыть всё.. На WAN2 светятся из сети 10.0.120.0...проблемы именно со вторым провом Ссылка на сообщение Поделиться на других сайтах
BlackVS 35 Опубліковано: 2016-02-16 04:55:18 Share Опубліковано: 2016-02-16 04:55:18 Уберите в upnp интерфейсы wan1/wan2 либо сделайте их external. А то получается, что клиенты в локалке провайдера могут создавать"сквозные" правила в Вашем роутере внутрь Вашей сети, что не хорошо. Ссылка на сообщение Поделиться на других сайтах
superb 54 Опубліковано: 2016-02-16 08:16:50 Автор Share Опубліковано: 2016-02-16 08:16:50 Ок, попробую. А как завернуть порты веб к примеру(80,443,8080) всей сети на перрого провайдера а остальные на второго? Пробовал в прероутинге пускать только на себя веб первого провайдера(protocol:tcp, dst port:80,443,8080), всё получилось. Делаю второй прероутинг где пускаю всё остальное кроме этих портов и начинается хаос). На интерфейсе вместо дст первого провайдера висит куча соединений второго и наоборот. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас