Микротик

[k291]

Спасибо!
Для работы заглушки(только при обращении на http страницы.https заглушка не работает) у клиентов за Микротитиком надо:

1) По инструкции http://nodeny.com.ua:8080/wiki/index.php/%D0%9C%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA. Это правило должно быть выше Маскарадинга:

Код:

/ip firewall nat
add action=dst-nat chain=dstnat dst-address=!1.1.1.2 src-address=!1.1.1.2 dst-port=80 fragment=no protocol=tcp src-address-list=!goodboys to-addresses=1.1.1.2 to-ports=8080

(Здесь 1.1.1.2 - ip сервера с админкой NoDeny )

2) Прописать маршрут на сервере:
Ubuntu:

Код:

route add -net 10.0.1.0/24 gw 217.55.66.250 dev enp2s0

10.0.1.0/24 - клиентская сеть за микротиком
17.55.66.250 - адрес микротика
enp2s0 - внешний интерфейс на сервере
FreeBSD:

Код:

/sbin/route add 10.0.1.0/24 217.55.66.250

3) Разрешить прохождение пакетов в фаерволе:
Ubuntu:

Код:

iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp --sport 8080 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 8080 -j ACCEPT

iptables -A INPUT -p tcp --dport 1813 -d 217.55.66.250/32 -j ACCEPT
iptables -A INPUT -p tcp --sport 1813 -s 217.55.66.250/32 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1813 -d 217.55.66.250/32 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1813 -s 217.55.66.250/32 -j ACCEPT

iptables -A FORWARD -p tcp --dport 8080 -d 217.55.66.250/32 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8080 -s 217.55.66.250/32 -j ACCEPT

FreeBSD:
По инструкции h_ttp://nodeny.com.ua:8080/wiki/index.php/%D0%9C%D0%B8%D0%BA%D1%80%D0%BE%D1%82%D0%B8%D0%BA.
------------------------------------------------------------------------------
Если чтото не работает в Ubuntu(Во FreeBSD смотреть инструкцию по ссылке выше):
Разрешить все и всем:

Код:

iptables -A INPUT -i enp2s0 -j ACCEPT
iptables -A OUTPUT -i enp2s0 -j ACCEPT

Показать статус.

Код:

iptables -n -L -v --line-numbers

Показать движение пакетов:

Код:

tcpdump -i enp2s0 -n port 8080

tcpdump -i enp2s0 -n port 1812
tcpdump -i enp2s0 -n port 1813

[k291]

Для прохождения ping`ов(для работы модуля ping) с сервера на клиента за микротиком, надо чтото прописать в NAT`е микротика?
На сервере маршрут прописал:

Код:

route add -net 10.0.1.0/24 gw 217.66.55.250 dev enp2s0

Уже столько сижу перед микротик,что уже туплю)

[Cell]

Да проверить очень просто, ставишь пинг на клиента (естественно он должен уметь пинговаться, а не так как винда за брандмауэром).
А в файрволе создай два правила в таблице форвард как можно ближе к началу что-то типа разрешить протокол icmp, для входящего (второе правило для исходящего) интерфейса.
что-то типа такого

/ip firewall filter
add action=accept chain=forward out-interface=ether2 protocol=icmp src-address=1.1.1.1
add action=accept chain=forward dst-address=1.1.1.1 out-interface=ether1 protocol=icmp

А лучше покажи весь свой файрвол на микротике
/ip firewall export
а там уж решим

[k291]

Код:

add action=accept chain=forward out-interface=ether1 protocol=icmp src-address=217.66.55.252
add action=accept chain=forward dst-address=217.66.55.252 out-interface=ether1 protocol=icmp

217.66.55.252 адрес сервера

/ip firewall - все запреты отключены

[admin@RouterOS] > /ip firewall export
# jan/23/2017 00:55:40 by RouterOS 6.38
# software id = YJLW-CR7U
#
/ip firewall address-list
add address=10.77.0.5 comment=4467785733 list=goodboys
add address=10.0.0.100 comment=4462739556 list=goodboys
add address=10.0.1.2 comment=7939974135 list=goodboys
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related
add action=accept chain=forward comment="default configuration" connection-state=established,related
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input src-address=10.77.0.0/24
add action=accept chain=input src-address=10.0.0.0/24
add action=accept chain=input src-address=10.0.1.0/24
add action=accept chain=forward out-interface=ether1 protocol=icmp src-address=217.66.55.252
add action=accept chain=forward dst-address=217.66.55.252 out-interface=ether1 protocol=icmp
add action=accept chain=icmp comment="ICMP echo reply" icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="ICMP net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="ICMP net unreachable" icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="ICMP host unreachable" icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="ICMP host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="ICMP allow source quench" icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow echo request" icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow time exceed" icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="ICMP allow parameter bad" icmp-options=12:0 protocol=icmp
add action=accept chain=input comment="Accept PPTP tunnels" dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=accept chain=input comment="Allow Established connections" connection-state=established
add action=accept chain=input comment="Allow Related connections" connection-state=related
add action=accept chain=input comment="Allow SSH" dst-port=22 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=22 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Allow HTTP" dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=80 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Allow SNMP" dst-port=161 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=161 in-interface=ether2 protocol=udp
add action=accept chain=input comment="Allow HTTPS" dst-port=443 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=443 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Allow OpenVPN" dst-port=1194 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=1194 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=1194 in-interface=ether2 protocol=tcp
add action=accept chain=input dst-port=1194 in-interface=ether2 protocol=udp
add action=accept chain=input comment=Winbox dst-port=8291 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=8291 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=8291 in-interface=ether2 protocol=tcp
add action=accept chain=input dst-port=8291 in-interface=ether2 protocol=udp
add action=accept chain=input comment="Allow L2TP tcp" dst-port=1701 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=1701 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Allow L2TP udp" dst-port=1701 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=1701 in-interface=ether2 protocol=udp
add action=accept chain=input comment="Allow L2TP IPSec" dst-port=500 protocol=udp
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=forward protocol=ipsec-esp
add action=accept chain=input comment="Allow PPTP" dst-port=1723 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=1723 in-interface=ether2 protocol=tcp
add action=accept chain=input comment="Allow GRE" in-interface=ether1 protocol=gre
add action=accept chain=input in-interface=ether2 protocol=gre
add action=accept chain=forward comment="Allow Established connections" connection-state=established
add action=accept chain=forward comment="Allow Related connections" connection-state=related
add action=drop chain=forward disabled=yes src-address=192.168.89.0/24
add action=drop chain=input comment="Drop everything else" disabled=yes in-interface=ether1
add action=drop chain=input comment="Drop everything else" disabled=yes in-interface=ether2
add action=drop chain=forward comment="Drop Invalid connections" connection-state=invalid disabled=yes
add action=drop chain=icmp comment="ICMP deny all other types" disabled=yes
add action=drop chain=forward comment="Block Bogon IP Address" disabled=yes src-address=127.0.0.0/8
add action=drop chain=forward disabled=yes dst-address=127.0.0.0/8
add action=drop chain=forward disabled=yes src-address=224.0.0.0/3
add action=drop chain=forward disabled=yes dst-address=224.0.0.0/3
add action=drop chain=input comment="Drop DNS" disabled=yes dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether1 protocol=tcp
add action=drop chain=input comment="Drop DNS" disabled=yes dst-port=53 in-interface=ether2 protocol=udp
add action=drop chain=input disabled=yes dst-port=53 in-interface=ether2 protocol=tcp
add action=drop chain=input comment="Block hole Windows" disabled=yes dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=forward disabled=yes dst-port=135,137-139,445,593,4444 protocol=tcp
add action=drop chain=input disabled=yes dst-port=135,137-139 protocol=udp
add action=drop chain=forward disabled=yes dst-port=135,137-139 protocol=udp
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="Port scanners to list" disabled=yes protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" disabled=yes protocol=tcp tcp-flags=\
    fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="SYN/FIN scan" disabled=yes protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="SYN/RST scan" disabled=yes protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" disabled=yes protocol=tcp tcp-flags=\
    fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="ALL/ALL scan" disabled=yes protocol=tcp tcp-flags=\
    fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w chain=input comment="NMAP NULL scan" disabled=yes protocol=tcp tcp-flags=\
    !fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="dropping port scanners" disabled=yes src-address-list=port_scanners
add action=drop chain=forward comment="dropping port scanners" disabled=yes src-address-list=port_scanners
add action=jump chain=forward comment="Zashita ot DDOS s fiksacyey na 10 minet istochnika i naznacheniya" connection-state=new disabled=yes jump-target=block-ddos
add action=drop chain=forward connection-state=new disabled=yes dst-address-list=ddosed src-address-list=ddoser
add action=return chain=block-ddos disabled=yes dst-limit=50,50,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=10m chain=block-ddos disabled=yes
add action=add-src-to-address-list address-list=ddoser address-list-timeout=10m chain=block-ddos disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes
add action=accept chain=srcnat disabled=yes protocol=icmp
add action=accept chain=dstnat disabled=yes protocol=icmp
add action=dst-nat chain=dstnat dst-address=!217.66.55.252 dst-port=80,443 fragment=no protocol=tcp src-address=!217.66.55.252 src-address-list=!goodboys to-addresses=\
    217.66.55.252 to-ports=8080
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.1.0/24 src-address-list=goodboys
add action=masquerade chain=srcnat out-interface=ether2 src-address=10.0.1.0/24 src-address-list=goodboys
[admin@RouterOS] >

Когда пускаешь пинг на сервере в сторону клиента за микротиком:

root@my:/usr/local/nodeny# ping 10.0.1.2
PING 10.0.1.2 (10.0.1.2) 56(84) bytes of data.
From 217.66.99.250 icmp_seq=1 Destination Host Unreachable
From 217.66.99.250 icmp_seq=2 Destination Host Unreachable
From 217.66.99.250 icmp_seq=3 Destination Host Unreachable

При каждом запуске пинга, в нижних правилах растет трафик:

Код:

/ip firewall nat
add action=accept chain=srcnat disabled=yes protocol=icmp
add action=accept chain=dstnat disabled=yes protocol=icmp

[Cell]

Это жесть какая-то а не файрвол.
Чем меньше правил, тем меньше нагрузка на ядро будет. Думайте об этом иногда!

add action=accept chain=forward out-interface=ether1 protocol=icmp src-address=217.66.55.252
add action=accept chain=forward dst-address=217.66.55.252 out-interface=ether1 protocol=icmp

аут интерфейс в обоих случаях не может быт ether1 - это бред. В одном случае он ин а в другом аут

add action=accept chain=srcnat disabled=yes protocol=icmp
add action=accept chain=dstnat disabled=yes protocol=icmp

вообще не знаю что ты имел ввиду с этими правилами. Убери их нах )

[k291]

Это тестовый микротик. Пока для экспериментов.
Чтобы сервер ping`ал клиентов которые находятся за Mikrotik`ом, необходимо сделать следующее:
1) В микротике:

Код:

add action=accept chain=forward src-address=217.66.55.252 in-interface=ether1 protocol=icmp
add action=accept chain=forward dst-address=217.66.55.252 out-interface=ether1 protocol=icmp

Где 217.66.55.252 адрес сервера.

2) На сервере:
Ubuntu:

Код:

route add -net 10.0.1.0/24 gw 217.10.30.2 dev enp2s0

10.0.1.0/24 клиентская сеть за микротиком
217.10.30.2 адрес внешнего порта микротика
enp2s0 внешний интерфей на сервере

FreeBSD:

Код:

/sbin/route add 10.0.1.0/24 217.10.30.2

[k291]

В случае связки с Микротиком как можно увеличить время аренды IP адреса на 10 дней?

В модуле dhcp я увеличил. Ядра перезагрузил.

Код:

my $db = Db->sql("SELECT INET_NTOA(ip) AS ipa FROM mac_uid WHERE uid>0 AND ip>0 AND time>(UNIX_TIMESTAMP()-?)", [b]14405[/b]*60);

/etc/dhcp/dhcpd.conf вроде не участвует, но max-lease-time увеличил 14400. dhcp на всякий случай перезагрузил. Где еще надо увеличить время?

[k291]

В случае связки с Микротиком как можно увеличить время аренды IP адреса на 10 дней?

В модуле dhcp я увеличил. Ядра перезагрузил.

Код:

my $db = Db->sql("SELECT INET_NTOA(ip) AS ipa FROM mac_uid WHERE uid>0 AND ip>0 AND time>(UNIX_TIMESTAMP()-?)", [b]14405[/b]*60);

/etc/dhcp/dhcpd.conf вроде не участвует, но max-lease-time увеличил 14400. dhcp на всякий случай перезагрузил. Где еще надо увеличить время?

Время выдачи IP адреса берется с процедуры h_ttp://forum.nodeny.com.ua/index.php?topic=2919.msg30680#msg30680:

Код:

    SELECT NULL, login, 'Session-Timeout', '600', '=';

'2592000' = 30 дней.

[k291]

Написал netwatch, задача которого пинговать host с билингом. В случае отсутствия связи с билингом, все выданные IP адреса по DHCP становятся статическими, чтобы у клюентов не пропадал доступ в интернет.
При восстановлении связи с билингом, удаляем статические адреса и ждем адреса от билинга.

Код:

tool netwatch add host=200.200.200.200 
up-script=#Pri aktivnoy svyazi s bilingo, udalyaem vse staticheskie adresa
/ip dhcp-server lease remove [/ip dhcp-server lease find]
down-script=#Vse aktivnye adresaperevodim v statiku,chtoby u klienta rabotal internet v sluchae otsutstviya svyazi s bilingom
/ip dhcp-server lease make-static [/ip dhcp-server lease find]

Но столкнулся со следующей проблемой:
Билинг выдает первый свободный адрес из пулла, так как связи с билинго не было, в пулле все адреса свободные. Но некоторые роутеры(>50%), по какой-то причине не получают адрес от билинга, а продолжают работать с ранее полученным. Выходит, что в сети уже два роутера с одинаковыми адресами, введу чего интернет у обоих не работает.
Выходит, что после появления связи с билингом, интернет не работает у 90% клиентов. Приходится клиентам отключать роутер на 10минут.

Не могли бы Вы сделать постоянную привязку IP+MAC в MySQL, как это сделано в FreeBSD?

[Efendy]

Так а в чем проблема прописать в учетке абона статический ip и там же добавить ему мак?

[k291]

При добавлении статического адреса в билинге на странице клиента, назначенный адрес не выдается(скрин в аттаче).
Напротив статического адреса в пулле, ТЕГ такойже как и у остальных адресов(скрин в аттаче).

Даже если бы выдавало статический адрес, то при большом количестве адресов устанешь всем назначать статику))

[Efendy]

Не могли бы Вы сделать постоянную привязку IP+MAC

во фре сам dhcpd сервер за этим следит и наверняка есть логика, когда пула ip не хватает и dhcpd выдает уже ранее использованный ip, но привязанный к другому маку.

Почему на твоем скриншоте не выдает статический ip - нужно смотреть процедуры. Приведи, а то их уже достаточно много вариантов

 

[k291]

Не могли бы Вы сделать постоянную привязку IP+MAC

во фре сам dhcpd сервер за этим следит и наверняка есть логика, когда пула ip не хватает и dhcpd выдает уже ранее использованный ip, но привязанный к другому маку.

Почему на твоем скриншоте не выдает статический ip - нужно смотреть процедуры. Приведи, а то их уже достаточно много вариантов

 

Процедура h_ttp://forum.nodeny.com.ua/index.php?topic=2919.msg30680#msg3068, от 21 Января 2017

Во FreeBSD я все настраивал по инструкции и у меня так: Клиент регистрируется в сети, получает IP. Выключает роутер. Через "неделю" включает, и получает тотже IP, что и изначально. И так всегда, пока не сменит устройство.

Предположу, что по процедуре выше, МАС-адреса на всегда записываются в mac_uid, а IP адреса очищаются через время.

[Efendy]

По ссылке в процедурах не учитываются статические ip. В доке учитываются: http://nodeny.com.ua/wiki/index.php/%D0%92%D1%8B%D0%B4%D0%B0%D1%87%D0%B0_ip_%D0%B2_%D0%B7%D0%B0%D0%B2%D0%B8%D1%81%D0%B8%D0%BC%D0%BE%D1%81%D1%82%D0%B8_%D0%BE%D1%82_%D1%82%D0%BE%D0%B3%D0%BE,_%D0%BA_%D0%BA%D0%B0%D0%BA%D0%BE%D0%BC%D1%83_NAS_%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD_%D0%B0%D0%B1%D0%BE%D0%BD%D0%B5%D0%BD%D1%82

[k291]

Процедура выше помогла, но появилась другие проблемы:
1) В "Маки авторизаций" на центральной странице, пропали МАС адреса. Вообще не чего нет, кроме "Таблица слева показывает......."
2) На странице клиента "Последняя авторизация 02:52 методом «pppoe»", но я pppoe, а использую DHCP
3) При переходе на "Последняя авторизация" скрин в аттаче
Возможно чтото надо поменять в процедуре для DHCP. Я использую (Ubuntu+Radius)+(Mikrotik+DHCP)