Авторизация

Topic-icon Наверное я далекий.

Больше
11 фев 2019 12:27 - 11 фев 2019 12:27 #3728 от tpaxep
tpaxep создал эту тему: Наверное я далекий.
Мне нужен удаленный доступ к Роутеру Микротик и паре другим устройствам к вебморде (в той же сети)
С чего начать даже не пойму.

Туннель выходит построен, статус- ок пишет. и я так понимаю присвоен внешний ip этого туннеля, что бы на него заходить и он будет вести к моему микротику.
как я понял что бы зайти нужно использовать цокс5, я скачал внц вьювер, там в пропертиес все как положено и порт и юзер и пароль. Жму коннект - timeout.
Пытаюсь выйти из той же сети где нахожусь, влияет?

Может я вообще не правильно всю технологию понял, прошу помочь.
Скажите что предоставить что сделать..
Последнее редактирование: 11 фев 2019 12:27 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 12:48 #3729 от admin
admin ответил в теме Наверное я далекий.
Добрый день, вы понимаете все верно, но есть нюансы.
Скажите, пингутеся ли со страницы Инструменты адрес вашего Микротика в сети VPNKI 172.16.27.40 ?

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 13:59 #3730 от tpaxep
tpaxep ответил в теме Наверное я далекий.
К сожалению нет, тут и я решил написать в форуме, т.к. пока мыслей нет, хотя обычно они приходят позже и все получается в итоге рано или поздно.
Посоветуйте что сделать

PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:12 - 11 фев 2019 14:12 #3731 от admin
admin ответил в теме Наверное я далекий.
По шагам:
1. Тогда сначала нужно решить вопрос с пингом адреса Микротика из сети VPNKI 172.16.27.40
Смотрите настройки Микротика и его правила межсетевого экранирования. Он должен отвечать на запросы icmp

2. Затем попробовать обратиться к порту 80 вашего Микротика (если там слушает веб-интерфейс) при помощи Проверки TCP порта. Это тоже на странице Инструменты по тому же адресу - 172.16.27.40
После этого вы сможете получить доступ к своему Микротику через прокси.

3. Теперь если говорить про обращение к Микротику по его адресу из внутренней сети и доступ к устройствам за Микротиком (из сети 192.168...) необходимо сначала
3.1 Добиться прохождения пинга со страницы Инструменты на адерес Микротика во внутренней сети 192.168.88.1 ?
3.2. Добиться прохождения пинга со страницы Инстументы на любое устройство во внутренней сети
3.3. Добиться ответа от Микротика на запрос Проверки TCP порта со страницы по адресу 192.168.88.1
3.4 Добиться ответа от устройства из внутренней сети по запросу проверки TCP порта со страницы Инструменты.

если все заработало - нажмите на баннеры!
Последнее редактирование: 11 фев 2019 14:12 от admin.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:15 - 11 фев 2019 14:15 #3732 от tpaxep
tpaxep ответил в теме Наверное я далекий.
yadi.sk/i/vOiafJSNhc2Qsg

микротик в подключении vpn пишет статус руннинг , отчетливо было видно что подключился при создании
Последнее редактирование: 11 фев 2019 14:15 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 14:20 #3733 от tpaxep
tpaxep ответил в теме Наверное я далекий.
попробую. спасибо. отпишусь попозже

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 15:35 #3734 от tpaxep
tpaxep ответил в теме Наверное я далекий.
192.168.88.1 микротик, пингуется (со страницы инструменты)
88.100 пингуется (второе устройство)

-по tcp проверку тик как я понял не проходит
88.1:80 (тик) долго, минуту крутит и получаю кучу 0 0 0 0 0 0 --:--:-- 0:02:00 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:01 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:02 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:03 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:04 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:05 --:--:-- 0
0 0 0 0 0 0 0 0 --:--:-- 0:02:06 --:--:-- 0curl: (7) Failed to connect to 192.168.88.1 port 80: Connection timed out

88.100:80 (второе устройство) моментально
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed

0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0<!DOCTYPE html> <html> <head> <title></title> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <script src="jsBase/lib/jquery.js?version=@WebVersion@"></script> <script src="jsBase/widget/js/jquery.ui.core.js?version=@WebVersion@"></
выходит что коннект


вписал ему это

add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad"
add chain=icmp action=drop comment="ICMP deny all other types"

172.16.27.40 так и не пингуется.

В веб интерфейс c компьютера и мобильных устройств захожу на 192.168.88.1:80

Может какого то правила не хватает, микротик он такой
Но много уже перепробовал чего

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 15:43 #3735 от tpaxep
tpaxep ответил в теме Наверное я далекий.
мне этот микротик отдали год назад (избавились) , т.к. он очень сложный оказался. И было не удобство когда устройства на даче видели wifi уже 50% полоски то отключались от сети, а если было 100% соединение при включении ютуб через 10 секунд файвай проподал. Я как то его вживил но уже год прошел не помню, работает хорошо до 70м. прямой видимости, ничего не теряет. В подвале установлен с модемом lte yota и через свич соединен с регистратором ip и вторым роутером (ретрансляция).
Просто не пойму где копнуть, если все правильно сделано с моей стороны, то может просто микротик багуеют и врятли чего добьешься..

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 16:18 #3736 от tpaxep
tpaxep ответил в теме Наверное я далекий.
открыл 80 порт наружу
со страницы инструменты проверка TCP
теперь пингуется моментально микротик

но PING 172.16.27.40 (172.16.27.40) 56(84) bytes of data.

--- 172.16.27.40 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 4031ms

так и не успешен

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 18:16 - 11 фев 2019 18:17 #3737 от tpaxep
tpaxep ответил в теме Наверное я далекий.
Последнее редактирование: 11 фев 2019 18:17 от tpaxep.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 19:27 #3738 от admin
admin ответил в теме Наверное я далекий.
Это вывод tcpdump пинга вашего адреса 172.16.27.40:

19:24:33.365664 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 1, length 64
19:24:34.318598 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 2, length 64
19:24:34.376679 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 2, length 64
19:24:35.326704 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 3, length 64
19:24:35.369940 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 3, length 64
19:24:36.334645 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 4, length 64
19:24:36.375860 IP 172.16.0.1 > 172.16.27.40: ICMP echo request, id 12888, seq 4, length 64


Это вывод пинга вашего адреса 192.168.88.1

19:26:16.990716 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 1, length 64
19:26:17.038574 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 1, length 64
19:26:17.990222 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 2, length 64
19:26:18.045949 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 2, length 64
19:26:18.991066 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 3, length 64
19:26:19.038178 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 3, length 64
19:26:19.991354 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 4, length 64
19:26:20.079104 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 4, length 64
19:26:20.992272 IP 172.16.0.1 > 192.168.88.1: ICMP echo request, id 22436, seq 5, length 64
19:26:21.037657 IP 192.168.88.1 > 172.16.0.1: ICMP echo reply, id 22436, seq 5, length 64


Разница налицо - Микротик не отвечает reply на пинги по адресу 172.16.27.40

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
11 фев 2019 19:41 #3739 от tpaxep
tpaxep ответил в теме Наверное я далекий.
спасибо, очевидно вижу. Как победить уже не понимаю, подумаю еще.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
12 фев 2019 11:46 #3740 от tpaxep
tpaxep ответил в теме Наверное я далекий.
www.decker.su/2015/10/vpn-mikrotik-pbr-setup.html
Вроде бы хороший гайд по настройке, но перепроверил 10 раз, не заводится. :(

И главное вижу как приходит 5 пакетов в интерфейсе

Уже и тему на форуме cозданную Sadula прочитал, по которой гайд вы выложили на сайте.

Я в отчаянии B) Возьму кувалду и перепрошью его :woohoo:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
12 фев 2019 14:24 #3742 от admin
admin ответил в теме Наверное я далекий.
Да, это странно... но он должен отвечать... должен.

если все заработало - нажмите на баннеры!

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
13 фев 2019 19:28 #3746 от tpaxep
tpaxep ответил в теме Наверное я далекий.


Может что то не так, посмотрите, я например просто в некоторых моментах вообще не шарю, например что за дропы во вкладке firewall они там постоянно даже после сброса.
А вообще у него такая тема есть выбираешь страну "Russia" в панели quickset и все тютю в вебинтерфейс не попасть, сначала думал показалось, но потом перепроверил. Поэтому две головы лучше чем одна, на ваш взгляд что это за дропы? А то лишнего сделаю и придется вооружаться зуботычкой и лезть в подвал делать ему "порно" в особое дупло, он такой сброс только помогает.
Вложения:

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.