superb 54 Posted 2016-02-15 14:35:37 Share Posted 2016-02-15 14:35:37 Провайдер по дхцп. Запущен нат. По touch на интерфейсе куда заходит пров проскакивают dst адреса внутренней сети. Получается маскарадинг не до конца маскарадит?Это нормально, можно как то закрытся? Link to post Share on other sites
BlackVS 35 Posted 2016-02-15 15:00:01 Share Posted 2016-02-15 15:00:01 Это у вас конфиг не до конца правильно сделан. Конфиг в студию. Link to post Share on other sites
superb 54 Posted 2016-02-15 15:29:23 Author Share Posted 2016-02-15 15:29:23 Поднят дхцп клиент. Роут прописан руками, указан ip шлюза(дст адрес 0.0.0.0/0). Нат: srcnat, out interface:интерфейс смотрит на провайдера, action:masquerade. Часть адресов которым хочу дать доступ заворачиваю через роутинг: mark routing, chain:prerouting, src address list:x2, action:mark routing, new routing mark:tm2, passthrought yes. В роуте указываю этот марк роутин.Фаервол пока пустой...но пробовал через веб интерфейс автоматом создавать, не помогло. Link to post Share on other sites
BlackVS 35 Posted 2016-02-15 16:40:22 Share Posted 2016-02-15 16:40:22 (edited) в винбоксе откройте терминал и там введите команду export compact file=myconfig В списке файлов появится соответствующий текстовый файл myconfig.rsc, откройте его блокнотом. Удалите все пароли, явки и скиньте сюда. А то из описания свыше не всё понял %) Edited 2016-02-15 16:41:00 by BlackVS Link to post Share on other sites
superb 54 Posted 2016-02-15 16:51:24 Author Share Posted 2016-02-15 16:51:24 /interface ethernet set 0 mac-address=A0:F3:C1:D7:CB:55 name=WAN1 set 1 name=ether2-master-local set 2 name=WAN2 set 3 master-port=ether2-master-local name=ether4-slave-local set 4 master-port=ether2-master-local name=ether5-slave-local speed=10Mbps /interface pppoe-client add disabled=no interface=WAN1 name=pppoe-out1 password= user= /ip hotspot user profile set [ find default=yes ] idle-timeout=none keepalive-timeout=2m /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default /ip address add address=10.0.120.1/24 comment="default configuration" interface=\ ether2-master-local /ip dhcp-client add add-default-route=no comment="default configuration" disabled=no \ interface=WAN1 add add-default-route=no disabled=no interface=WAN2 use-peer-dns=no /ip dhcp-server network add address=192.168.10.0/24 comment="default configuration" dns-server=\ 192.168.10.1 gateway=192.168.10.1 /ip dns set allow-remote-requests=yes servers=8.8.8.8 /ip dns static add address=10.0.120.2 name=admin.mk /ip firewall address-list add address=10.0.120.2-10.0.120.220 list=x1 add address=10.0.120.221-10.0.120.252 list=x1 add address=10.0.120.253 list=x2 add address=10.0.120.254 list=x2 /ip firewall connection tracking set tcp-established-timeout=30m /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=tm2 passthrough=no \ src-address-list=x1 add action=mark-routing chain=prerouting new-routing-mark=tm3 \ src-address-list=x2 /ip firewall nat add action=dst-nat chain=dstnat dst-port=1010 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.2 to-ports=80 add action=dst-nat chain=dstnat dst-port=1020 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.5 to-ports=80 add action=dst-nat chain=dstnat disabled=yes dst-port=333 in-interface=\ pppoe-out1 protocol=tcp to-addresses=10.0.120.2 to-ports=22 add action=dst-nat chain=dstnat dst-port=82 in-interface=pppoe-out1 protocol=\ tcp to-addresses=10.0.120.7 to-ports=82 add action=dst-nat chain=dstnat dst-port=1082 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.7 to-ports=1082 add action=masquerade chain=srcnat out-interface=WAN2 add action=dst-nat chain=dstnat dst-port=8082 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.7 to-ports=8082 add action=dst-nat chain=dstnat dst-port=8090 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.4 to-ports=8090 add action=dst-nat chain=dstnat dst-port=8070 in-interface=pppoe-out1 \ protocol=tcp to-addresses=10.0.120.8 to-ports=8070 add action=masquerade chain=srcnat comment="Added by webbox" out-interface=\ pppoe-out1 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes /ip neighbor discovery set WAN1 disabled=yes /ip route add distance=1 gateway=pppoe-out1 routing-mark=tm2 add check-gateway=ping distance=1 gateway=100.77.255.254 routing-mark=tm3 add check-gateway=ping disabled=yes distance=1 dst-address=0.0.0.0/32 \ gateway=100.77.255.254 routing-mark=to_WAN2 add check-gateway=ping disabled=yes distance=2 gateway=100.77.255.254 /ip route rule add disabled=yes src-address=10.0.120.254/32 table=tm /ip upnp set allow-disable-external-interface=no enabled=yes /ip upnp interfaces add interface=WAN1 type=internal add interface=ether2-master-local type=internal add interface=WAN2 type=internal add interface=ether4-slave-local type=internal add interface=ether5-slave-local type=internal add interface=pppoe-out1 type=external /ppp aaa set accounting=no /system routerboard settings set cpu-frequency=800MHz /tool graphing interface add /tool mac-server add disabled=no interface=ether2-master-local add disabled=no interface=WAN2 add disabled=no interface=ether4-slave-local add disabled=no interface=ether5-slave-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=WAN2 add interface=ether4-slave-local add interface=ether5-slave-local Link to post Share on other sites
BlackVS 35 Posted 2016-02-15 17:13:48 Share Posted 2016-02-15 17:13:48 (edited) На каком внешнем интерфейсе "светятся" внутренние ип-адреса, какие именно адреса/протоколы/порты. Маскарадинг по идее должен был закрыть всё.. Edited 2016-02-15 17:18:23 by BlackVS Link to post Share on other sites
BlackVS 35 Posted 2016-02-15 17:29:54 Share Posted 2016-02-15 17:29:54 Я б добавил еще add action=masquerade chain=srcnat out-interface=WAN1 - зачем провадеру видеть Вашу внутреннюю сеть. Link to post Share on other sites
superb 54 Posted 2016-02-15 17:52:52 Author Share Posted 2016-02-15 17:52:52 На каком внешнем интерфейсе "светятся" внутренние ип-адреса, какие именно адреса/протоколы/порты. Маскарадинг по идее должен был закрыть всё.. На WAN2 светятся из сети 10.0.120.0...проблемы именно со вторым провом Link to post Share on other sites
BlackVS 35 Posted 2016-02-16 04:55:18 Share Posted 2016-02-16 04:55:18 Уберите в upnp интерфейсы wan1/wan2 либо сделайте их external. А то получается, что клиенты в локалке провайдера могут создавать"сквозные" правила в Вашем роутере внутрь Вашей сети, что не хорошо. Link to post Share on other sites
superb 54 Posted 2016-02-16 08:16:50 Author Share Posted 2016-02-16 08:16:50 Ок, попробую. А как завернуть порты веб к примеру(80,443,8080) всей сети на перрого провайдера а остальные на второго? Пробовал в прероутинге пускать только на себя веб первого провайдера(protocol:tcp, dst port:80,443,8080), всё получилось. Делаю второй прероутинг где пускаю всё остальное кроме этих портов и начинается хаос). На интерфейсе вместо дст первого провайдера висит куча соединений второго и наоборот. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now