Авторизация

Topic-icon Наверное я далекий.

Больше
11 фев 2019 12:27 - 11 фев 2019 12:27 #3728 от tpaxep
tpaxep создал эту тему: Наверное я далекий.
Мне нужен удаленный доступ к Роутеру Микротик и паре другим устройствам к вебморде (в той же сети)
С чего начать даже не пойму.

Туннель выходит построен, статус- ок пишет. и я так понимаю присвоен внешний ip этого туннеля, что бы на него заходить и он будет вести к моему микротику.
как я понял что бы зайти нужно использовать цокс5, я скачал внц вьювер, там в пропертиес все как положено и порт и юзер и пароль. Жму коннект - timeout.
Пытаюсь выйти из той же сети где нахожусь, влияет?

Может я вообще не правильно всю технологию понял, прошу помочь.
Скажите что предоставить что сделать..
Последнее редактирование: 11 фев 2019 12:27 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 12:48 #3729 от admin
admin ответил в теме Наверное я далекий.
Добрый день, вы понимаете все верно, но есть нюансы.
Скажите, пингутеся ли со страницы Инструменты адрес вашего Микротика в сети VPNKI 172.16.27.40 ?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 13:59 #3730 от tpaxep
tpaxep ответил в теме Наверное я далекий.
К сожалению нет, тут и я решил написать в форуме, т.к. пока мыслей нет, хотя обычно они приходят позже и все получается в итоге рано или поздно.
Посоветуйте что сделать

PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:12 - 11 фев 2019 14:12 #3731 от admin
admin ответил в теме Наверное я далекий.
По шагам:
1. Тогда сначала нужно решить вопрос с пингом адреса Микротика из сети VPNKI 172.16.27.40
Смотрите настройки Микротика и его правила межсетевого экранирования. Он должен отвечать на запросы icmp

2. Затем попробовать обратиться к порту 80 вашего Микротика (если там слушает веб-интерфейс) при помощи Проверки TCP порта. Это тоже на странице Инструменты по тому же адресу - 172.16.27.40
После этого вы сможете получить доступ к своему Микротику через прокси.

3. Теперь если говорить про обращение к Микротику по его адресу из внутренней сети и доступ к устройствам за Микротиком (из сети 192.168...) необходимо сначала
3.1 Добиться прохождения пинга со страницы Инструменты на адерес Микротика во внутренней сети 192.168.88.1 ?
3.2. Добиться прохождения пинга со страницы Инстументы на любое устройство во внутренней сети
3.3. Добиться ответа от Микротика на запрос Проверки TCP порта со страницы по адресу 192.168.88.1
3.4 Добиться ответа от устройства из внутренней сети по запросу проверки TCP порта со страницы Инструменты.

если все заработало - нажмите на баннеры!
Последнее редактирование: 11 фев 2019 14:12 от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:15 - 11 фев 2019 14:15 #3732 от tpaxep
tpaxep ответил в теме Наверное я далекий.
yadi.sk/i/vOiafJSNhc2Qsg

микротик в подключении vpn пишет статус руннинг , отчетливо было видно что подключился при создании
Последнее редактирование: 11 фев 2019 14:15 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:20 #3733 от tpaxep
tpaxep ответил в теме Наверное я далекий.
попробую. спасибо. отпишусь попозже

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 15:35 #3734 от tpaxep
tpaxep ответил в теме Наверное я далекий.
192.168.88.1 микротик, пингуется (со страницы инструменты)
88.100 пингуется (второе устройство)

-по tcp проверку тик как я понял не проходит
88.1:80 (тик) долго, минуту крутит и получаю кучу 0 0 0 0 0 0 --:--:-- 0:02:00 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:01 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:02 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:03 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:04 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:05 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:06 --:--:-- 0curl: (7) Failed to connect to 192.168.88.1 port 80: Connection timed out

88.100:80 (второе устройство) моментально
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0<!DOCTYPE html> <html> <head> <title></title> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <script src="jsBase/lib/jquery.js?version=@WebVersion@"></script> <script src="jsBase/widget/js/jquery.ui.core.js?version=@WebVersion@"></
выходит что коннект


вписал ему это

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad"
add chain=icmp action=drop comment="ICMP deny all other types"

172.16.27.40 так и не пингуется.

В веб интерфейс c компьютера и мобильных устройств захожу на 192.168.88.1:80

Может какого то правила не хватает, микротик он такой
Но много уже перепробовал чего

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 15:43 #3735 от tpaxep
tpaxep ответил в теме Наверное я далекий.
мне этот микротик отдали год назад (избавились) , т.к. он очень сложный оказался. И было не удобство когда устройства на даче видели wifi уже 50% полоски то отключались от сети, а если было 100% соединение при включении ютуб через 10 секунд файвай проподал. Я как то его вживил но уже год прошел не помню, работает хорошо до 70м. прямой видимости, ничего не теряет. В подвале установлен с модемом lte yota и через свич соединен с регистратором ip и вторым роутером (ретрансляция).
Просто не пойму где копнуть, если все правильно сделано с моей стороны, то может просто микротик багуеют и врятли чего добьешься..

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 16:18 #3736 от tpaxep
tpaxep ответил в теме Наверное я далекий.
открыл 80 порт наружу
со страницы инструменты проверка TCP
теперь пингуется моментально микротик

но PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

так и не успешен

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 18:16 - 11 фев 2019 18:17 #3737 от tpaxep
tpaxep ответил в теме Наверное я далекий.
Последнее редактирование: 11 фев 2019 18:17 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 19:27 #3738 от admin
admin ответил в теме Наверное я далекий.
Это вывод tcpdump пинга вашего адреса 172.16.27.40:

19:24:33.365664 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 1, length 64
19:24:34.318598 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 2, length 64
19:24:34.376679 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 2, length 64
19:24:35.326704 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 3, length 64
19:24:35.369940 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 3, length 64
19:24:36.334645 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 4, length 64
19:24:36.375860 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 4, length 64


Это вывод пинга вашего адреса 192.168.88.1

19:26:16.990716 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 1, length 64
19:26:17.038574 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 1, length 64
19:26:17.990222 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 2, length 64
19:26:18.045949 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 2, length 64
19:26:18.991066 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 3, length 64
19:26:19.038178 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 3, length 64
19:26:19.991354 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 4, length 64
19:26:20.079104 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 4, length 64
19:26:20.992272 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 5, length 64
19:26:21.037657 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 5, length 64


Разница налицо - Микротик не отвечает reply на пинги по адресу 172.16.27.40

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 19:41 #3739 от tpaxep
tpaxep ответил в теме Наверное я далекий.
спасибо, очевидно вижу. Как победить уже не понимаю, подумаю еще.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
12 фев 2019 11:46 #3740 от tpaxep
tpaxep ответил в теме Наверное я далекий.
www.decker.su/2015/10/vpn-mikrotik-pbr-setup.html
Вроде бы хороший гайд по настройке, но перепроверил 10 раз, не заводится. :(

И главное вижу как приходит 5 пакетов в интерфейсе

Уже и тему на форуме cозданную Sadula прочитал, по которой гайд вы выложили на сайте.

Я в отчаянии B) Возьму кувалду и перепрошью его :woohoo:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
12 фев 2019 14:24 #3742 от admin
admin ответил в теме Наверное я далекий.
Да, это странно... но он должен отвечать... должен.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 19:28 #3746 от tpaxep
tpaxep ответил в теме Наверное я далекий.


Может что то не так, посмотрите, я например просто в некоторых моментах вообще не шарю, например что за дропы во вкладке firewall они там постоянно даже после сброса.
А вообще у него такая тема есть выбираешь страну "Russia" в панели quickset и все тютю в вебинтерфейс не попасть, сначала думал показалось, но потом перепроверил. Поэтому две головы лучше чем одна, на ваш взгляд что это за дропы? А то лишнего сделаю и придется вооружаться зуботычкой и лезть в подвал делать ему "порно" в особое дупло, он такой сброс только помогает.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 19:39 #3747 от admin
admin ответил в теме Наверное я далекий.
К сожалению, я никогда не видел Микротика и поэтому все эти скриншоты у меня вызывают вопросы.
И у меня пока вот какой вопрос.
А вы можете выполнить пинг с Микротика адрес сервера 172.16.0.1 ?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 21:46 - 13 фев 2019 21:47 #3748 от tpaxep
tpaxep ответил в теме Наверное я далекий.
не пингуется, timeout
он у меня у самого много вопросов вызывает. чем глубже тем больше :dry:
Последнее редактирование: 13 фев 2019 21:47 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 22:15 #3749 от tpaxep
tpaxep ответил в теме Наверное я далекий.
Может из за того что модем находится в другой подсети 192.168.8.1 (вместо 192.168.88.1) , хотя в принципе какая разница (считай как сторонний провайдер с другим ип.). в вебморду заходит, интернет есть.
toster.ru/q/525591 еще одна статья, схожая по прошлой, как я понял тут человеку помогла настройка я так понимаю из той первой статьи, т.к. он сделал такие же действия как из первой статьи сделал я. Еще раз все перепроверил повключал ранее сохраненное, не судьба прям.. Где то прям вот что то очевидное как обычно, глупость какая нибудь на которую столько времени уже уходит, как найти ее:side:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 22:22 #3750 от tpaxep
tpaxep ответил в теме Наверное я далекий.
хотя
но на ночь глядя не буду эксперимент делать..
Попробую завтра его подбить в основную сеть, может даст чего

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 22:25 #3751 от admin
admin ответил в теме Наверное я далекий.
Оооо, я нашел кое-что интересное...
Я обратил внимание на счетчики пакетов на интерфейсе. Вы тоже это можете сделать на странице Инструменты. Посмотреть счетчики TX и RX на интерфейсе ppp0. Когда я посылаю пинг на ваш 172.16.27.40, то логичным образом должен меняться счетчик переданных пакетов - TX, а так как ответа нет, то счетчик RX не должен увеличиваться. Однако, он увеличивается. Это говорит о том, что интерфейс сервера принимает что-то от вашего Микротика, но не считает это ответом на пинги.
Так вот ...
В прошлый раз я делал tcpdump и поставил в фильтр адрес 172.16.27.40. Там я видел только отправленные в сторону Микротика пакеты, но теперь я убрал фильтр по адресу и увидел занимательную вещь:

22:14:24.754044 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 21212, seq 1, length 64
22:14:24.816649 IP 192.168.89.1 > 172.16.27.40: ICMP echo request, id 21212, seq 1, length 64
22:14:25.762589 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 21212, seq 2, length 64
22:14:25.826208 IP 192.168.89.1 > 172.16.27.40: ICMP echo request, id 21212, seq 2, length 64
22:14:26.770738 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 21212, seq 3, length 64
22:14:26.816332 IP 192.168.89.1 > 172.16.27.40: ICMP echo request, id 21212, seq 3, length 64
22:14:27.778606 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 21212, seq 4, length 64
22:14:27.826049 IP 192.168.89.1 > 172.16.27.40: ICMP echo request, id 21212, seq 4, length 64
22:14:28.780508 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 21212, seq 5, length 64
22:14:28.823108 IP 192.168.89.1 > 172.16.27.40: ICMP echo request, id 21212, seq 5, length 64

Ваш Микротик принимает пинг, но сразу же посылает еще один пинг на 172.16.27.40, но уже с адреса 192.168.89.1 ??? Такое впечатление, что у него срабатывает NAT (?) внутри одного интерфейса PPP. Этоn пакет доходит до нашего сервера и сервер считает его полученным пакетом. Конечно, он не является ответом, но этого достаточно, чтобы перещелкнуть счетчик полученных пакетов.
Осталось немного. Нужно найти то место, где там у вас есть адрес 192.168.89.1 и в какой связи он там оказался

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 22:28 #3752 от admin
admin ответил в теме Наверное я далекий.
Точно, последний скриншот. Там и есть маскарадинг в сеть с адресом 192.168.89.0/24

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
14 фев 2019 12:31 #3753 от tpaxep
tpaxep ответил в теме Наверное я далекий.
Вы знаете этот маскарадинг создался автоматически после создания vpnki туннеля, сейчас буду разбираться, я то же обратил на него внимание.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
14 фев 2019 12:49 - 14 фев 2019 12:51 #3754 от tpaxep
tpaxep ответил в теме Наверное я далекий.


видите пишит masq vpn traffic , а я как раз по инструкции делал у вас с сайта, там никаких натов не было. Я нажал disable на это правило выждал несколько минут, но пинга нет. А что вы теперь видите с вашей стороны, какая картина?

Я еще подумал, что наверное это нормально просто в инструкции нету у вас, так как эта вещь автоматом встала
Вложения:
Последнее редактирование: 14 фев 2019 12:51 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
14 фев 2019 12:55 #3755 от tpaxep
tpaxep ответил в теме Наверное я далекий.


вот обратите внимание это еще один маскарадинг, который стоит по умолчанию в микротике, на srchat, out interface Wan. Что это вообще такое?:blush:
Я только свой нат создал потом на lte, а то интернета не было с компьютера, а пинг на яндекс проходил с микротика.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
14 фев 2019 13:09 #3756 от tpaxep
tpaxep ответил в теме Наверное я далекий.
ppp351 Link encap:Point-to-Point Protocol
inet addr:172.16.0.1 P-t-P:172.16.0.1 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1450 Metric:1
RX packets:323 errors:0 dropped:0 overruns:0 frame:0
TX packets:256 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:17714 (17.7 KB) TX bytes:11778 (11.7 KB)

veth0 Link encap:Ethernet HWaddr 9a:f9:1b:c7:9f:d9
inet addr:172.17.11.136 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: fe80::98f9:1bff:fec7:9fd9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:583 errors:0 dropped:0 overruns:0 frame:0
TX packets:382 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:48823 (48.8 KB) TX bytes:255541 (255.5 KB)

это опять пакеты выходит приходят выходит отключенным натом.
172.16.27.40 так и не пингуется
PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

Будет ждать ответ тогда что вы выидите теперь, не удивлюсь если тик багует

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.