نمایش نتایج: از شماره 1 تا 12 از مجموع 12
سپاس ها 11سپاس
  • 2 توسط shahani
  • 2 توسط shahani
  • 2 توسط shahani
  • 2 توسط shahani
  • 2 توسط shahani
  • 1 توسط r0otsharp

موضوع: PING نشدن کاربران LAN بعد از اتصال VPN داخلی

  
  1. #1
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106

    PING نشدن کاربران LAN بعد از اتصال VPN داخلی

    سلام دوستان

    من یک شبکه دارم به شکل زیر:
    eth1: از طریق DHCP Client وصل شده به یه مودم ایرانسل برای گرفتن اینترنت
    eth2-eth5: از طریق Bridge به هم دیگه وصل شدن
    DHCP Server: برروی Bridge1 و با آدرس 192.168.88.0/24 تنظیم شده است
    SSTP Server: برای وصل شدن از بیرون شبکه به داخل تنظیم شده است. رنج آیپی 10.250.10.0/24
    L2TP Client: برای برخی کاربران که می خوان کل اینترنت رو آزاد ببینند. (فیلترینگ)

    تنظیمات به صورت زیر هست:
    کد:
    /interface ethernet
    set [ find default-name=ether1 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether2 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether3 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether4 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether5 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    /interface l2tp-client
    add connect-to=m247-ch-ubuntu-l2tp-01.expressnetwork.net disabled=no \
        ipsec-secret=12345678 name=l2tp-out1 password= use-ipsec=yes \
        user=
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    add name=vpn_pool ranges=10.250.10.10-10.250.10.254
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    /ppp profile
    add dns-server=4.2.2.4,8.8.8.8 local-address=10.250.10.1 name=vpn_profile \
        remote-address=vpn_pool use-encryption=yes
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /interface sstp-server server
    set authentication=mschap2 certificate=Server default-profile=vpn_profile \
        enabled=yes port=1195
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=bridge network=\
        192.168.88.0
    /ip cloud
    set update-time=no
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
        ether1
    /ip dhcp-server lease
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
        192.168.88.1
    /ip dns
    set allow-remote-requests=yes servers=4.2.2.4,8.8.8.8
    /ip dns static
    add address=192.168.88.1 name=router.lan
    /ip firewall address-list
    add address=10.250.10.0/24 list=vpn_address_list
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid disabled=yes
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        disabled=yes in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid disabled=yes
    add action=drop chain=forward comment=\
        "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall mangle
    add action=mark-routing chain=prerouting in-interface-list=LAN \
        new-routing-mark=VPN passthrough=yes src-address=\
        192.168.88.2-192.168.88.254
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    add action=masquerade chain=srcnat out-interface=l2tp-out1 src-address=\
        192.168.88.0/24
    /ip route
    add distance=1 gateway=l2tp-out1 routing-mark=VPN
    /ppp aaa
    set use-radius=yes
    /system clock
    set time-zone-name=Asia/Tehran
    /system ntp client
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN
    با تنظیمات بالا همه چی به درستی کار می کنه یعنی کاربران DHCP تمامی ارتباطشون از طریق VPN انجام میشه. مشکل زمانی شروع میشه که من می خوام از طریق SSTP و از بیرون وصل بشم به شبکه و به دستگاه کاربران LAN متصل بشم. ارتباط از بیرون انجام میشه. روتر هم می بینم اما نه می تونم PING کنم کاربران رو نه بهشون وصل بشم. اصلا هیچ کاربری از شبکه LAN قابل دیدن نیست.
    مورد دیگه ای هم که باید بگم، زمانی که از بیرون از طریق SSTP به میکروتیک وصل میشم، کامپیوتر اینترنت داره و ارتباطات از طریق اینترنت ایرانسل میکروتیک رد میشه.
    باتشکر



    موضوعات مشابه:
    ویرایش توسط r0otsharp : 2019-09-28 در ساعت 01:02 AM

  2. #2
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    خب برای اینکه شما ارتباط لایه سه برقرار میکنی، آدرس مبدا شما باید برای کاربران قابل شناسایی باشه، وقتی با آی پی که داخل وی پی ان دریافت کردی، یک پکت پینگ به کلاینت ارسال میکنی، وقتی به دست کلاینت میرسه، مبدا این پکت رو نمیشناسه، در نتیجه اون رو دراپ میکنه یا به اشتباه ممکنه در مسیر دیگه ای پاسخ شما رو بده که شما در اونجا قرار ندارید (اینترنت) و داده مستقیم به روتر ای اس پی برسه (وارد تونل وی پی ان نشه) و اونجا دراپ بشه.

    یک راه حل این هست که شما در روتر خودتون بخش ip/firewall/nat یک رول srcnat ایجاد کنید و اکشن را روی Src-nat قرار بدید و قسمت To-Address رو آی پی روتر به سمت شبکه داخلی بدین، مثلا آی پی بریج یا یکی از اینترفیس های ادر 2 تا پنج به فرض (192.168.88.1) تا اینجوری آی پی وی پی ان خارجی شما رو روتر به آی پی خودش تغییر بده و دستگاه های داخل شبکه در ارتباط برقرار کردن باهاش، به مشکل نخورن.
    باید به عنوان شرط در این رول بخش جنرال، in. interface رو با SSTP client قرار بدید تا روتر به اشتباه داده های دیگه رو که مورد نظر نیست NAT نکنه.

    در مورد مسئله دومتون، علت داشتن روت پیش فرض هست و داده هایی که به روتر میرسه و مقصدشون نامشخص و روی اینترنت هست، به سمت مودم و اینترنت روتر هدایت میشه و از اینترنت روتر استفاده خواهید نمود که این طبیعیه.

    نکته دیگه اینکه در نظر داشته باشید کاربرانی که L2TP Client برقرار میکنند، در زمان برقراری ارتباط، ممکنه شما نتونید از روی کانکشن SSTP پینگ اونها رو داشته باشید و برای اینکار نیاز هست در روتر و بخش منگل رول تعریف کنید که داده هایی که قرار است به SSTP برود به اشتباه وارد L2TP نشود و مخصوصا اگر داده ای مقصدش رنج آی پی های داخل شبکه است، مارک گذاری نشده و به سمت اینترنت با L2TP هدایت نشود.


    r0otsharp و Catman سپاسگزاری کرده‌اند.

  3. #3
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    خب برای اینکه شما ارتباط لایه سه برقرار میکنی، آدرس مبدا شما باید برای کاربران قابل شناسایی باشه، وقتی با آی پی که داخل وی پی ان دریافت کردی، یک پکت پینگ به کلاینت ارسال میکنی، وقتی به دست کلاینت میرسه، مبدا این پکت رو نمیشناسه، در نتیجه اون رو دراپ میکنه یا به اشتباه ممکنه در مسیر دیگه ای پاسخ شما رو بده که شما در اونجا قرار ندارید (اینترنت) و داده مستقیم به روتر ای اس پی برسه (وارد تونل وی پی ان نشه) و اونجا دراپ بشه.

    یک راه حل این هست که شما در روتر خودتون بخش ip/firewall/nat یک رول srcnat ایجاد کنید و اکشن را روی Src-nat قرار بدید و قسمت To-Address رو آی پی روتر به سمت شبکه داخلی بدین، مثلا آی پی بریج یا یکی از اینترفیس های ادر 2 تا پنج به فرض (192.168.88.1) تا اینجوری آی پی وی پی ان خارجی شما رو روتر به آی پی خودش تغییر بده و دستگاه های داخل شبکه در ارتباط برقرار کردن باهاش، به مشکل نخورن.
    باید به عنوان شرط در این رول بخش جنرال، in. interface رو با SSTP client قرار بدید تا روتر به اشتباه داده های دیگه رو که مورد نظر نیست NAT نکنه.

    در مورد مسئله دومتون، علت داشتن روت پیش فرض هست و داده هایی که به روتر میرسه و مقصدشون نامشخص و روی اینترنت هست، به سمت مودم و اینترنت روتر هدایت میشه و از اینترنت روتر استفاده خواهید نمود که این طبیعیه.

    نکته دیگه اینکه در نظر داشته باشید کاربرانی که L2TP Client برقرار میکنند، در زمان برقراری ارتباط، ممکنه شما نتونید از روی کانکشن SSTP پینگ اونها رو داشته باشید و برای اینکار نیاز هست در روتر و بخش منگل رول تعریف کنید که داده هایی که قرار است به SSTP برود به اشتباه وارد L2TP نشود و مخصوصا اگر داده ای مقصدش رنج آی پی های داخل شبکه است، مارک گذاری نشده و به سمت اینترنت با L2TP هدایت نشود.
    سلام و تشکر از شما
    من به صورتی که شما گفتین عمل کردم اما متاسفانه زمانی که in interface رو می خوام all ppp بزارم خطای زیر اتفاق می افته:

    تنظیمات رو هم بدون In interface انجام دادم اما بازم کار نکرد:



    یه نکته رو فقط یادآور بشم:
    کاربران SSTP مدیران شبکه هستن که می خوان به میکروتیک وصل بشن و از طریق اون بتونن کاربران که رنج آیپی 192.168.88.0/24 هستن رو ببینید. کاربران SSTP با رنج آیپی 10.250.10.0/24 متصل میشن. تو روتر یک کانکشن l2tp وجود داره که وصل شده به سرور expressvpn برای اینکه ترافیک شبکه رو از روی vpn رد کنه.


    ویرایش توسط r0otsharp : 2019-09-28 در ساعت 06:16 PM

  4. #4
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    بله ، ایراد بوجود اومده این هست که عملیات SrcNat فقط در زمان خروج از روتر انجام میشه و روی in.intrface کار نمیکنه و فقط میشه Out. interface واسه اون تعیین کرد و برای dstnat برعکس است.
    (اشتباه من به این دلیل بوجود اومد، که من پاسخ خودم رو از ساخت dstnat به srcnat تغییر دادم)
    به هر صورت، ساخت چنین رولی باید بتونه ارتباط دستگاه های خارج شبکه و روی کانکشن رو با دستگاه های داخل شبکه برقرار کنه :




    r0otsharp و Catman سپاسگزاری کرده‌اند.

  5. #5
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    بله ، ایراد بوجود اومده این هست که عملیات SrcNat فقط در زمان خروج از روتر انجام میشه و روی in.intrface کار نمیکنه و فقط میشه Out. interface واسه اون تعیین کرد و برای dstnat برعکس است.
    (اشتباه من به این دلیل بوجود اومد، که من پاسخ خودم رو از ساخت dstnat به srcnat تغییر دادم)
    به هر صورت، ساخت چنین رولی باید بتونه ارتباط دستگاه های خارج شبکه و روی کانکشن رو با دستگاه های داخل شبکه برقرار کنه :

    آقا خدا خیرت بده. این rule رو هم قبل از اینکه شما بفرمایید تست کردم، اما جواد نداد.





    ویرایش توسط r0otsharp : 2019-09-28 در ساعت 07:26 PM

  6. #6
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    برنامه هایی که به روترتون دادین زیاده، برای همون تحلیل کردنش نیاز به کار مستقیم با روتر داره، از راه دور فکر نمیکنم کار دیگه ای از دستم بر بیاد.
    باز حالا شما دقت کنید که داده هایی که به مقصد 10.250.10.0/24 میره، به اشتباه در منگل مارک VPN روشون نخورده باشه.
    یعنی در منگل، بالاتر از رول مربوط به مارک گذاری وی پی ان، یک رول ایجاد کنید که داده ها با مقصد 10.250.10.0/24 رو Accept کنه یا در همون رول مارک گذاری در بخش Dst. Address مقدار 10.250.10.0/24 ! را وارد کنید که داده هایی که مقصد اون رنج شبکه رو دارن، به اشتباه داخل L2TP نرن، که در این صورت پکت ها در کانکشن اشتباه از بین میرن.


    r0otsharp و Catman سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    برنامه هایی که به روترتون دادین زیاده، برای همون تحلیل کردنش نیاز به کار مستقیم با روتر داره، از راه دور فکر نمیکنم کار دیگه ای از دستم بر بیاد.
    باز حالا شما دقت کنید که داده هایی که به مقصد 10.250.10.0/24 میره، به اشتباه در منگل مارک VPN روشون نخورده باشه.
    یعنی در منگل، بالاتر از رول مربوط به مارک گذاری وی پی ان، یک رول ایجاد کنید که داده ها با مقصد 10.250.10.0/24 رو Accept کنه یا در همون رول مارک گذاری در بخش Dst. Address مقدار 10.250.10.0/24 ! را وارد کنید که داده هایی که مقصد اون رنج شبکه رو دارن، به اشتباه داخل L2TP نرن، که در این صورت پکت ها در کانکشن اشتباه از بین میرن.
    دست گلت درد نکنه. جفت راهکارهارو تست کردم. نشد.



  8. #8
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    همینطور میتونید دقت کنید که عملیات NAT روی داده های دو رنج شبکه شما اعمال نشه و در رول مربوط به برقراری ارتباط با اینترنت که out. interface WAN در حال حاضر روی روتر شما داره، یک شرط جدید اضافه کنید و در بخش Dst. Address List یک آدرس لیست به اون بدین که محتوی دو رنج شبکه داخلی شما باشه
    192.168.88.0/24
    10.250.10.0/24






    r0otsharp و Catman سپاسگزاری کرده‌اند.

  9. #9
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    همینطور میتونید دقت کنید که عملیات NAT روی داده های دو رنج شبکه شما اعمال نشه و در رول مربوط به برقراری ارتباط با اینترنت که out. interface WAN در حال حاضر روی روتر شما داره، یک شرط جدید اضافه کنید و در بخش Dst. Address List یک آدرس لیست به اون بدین که محتوی دو رنج شبکه داخلی شما باشه
    192.168.88.0/24
    10.250.10.0/24



    واقعا خیلی سپاسگذارم. اما نشد که نشد. همه کارو کردم. واقعا خستم کرده.

    - - - ادامه - - -

    همه چی درست کار می کنه زمانی که روت مربوط به prerouting VPN رو غیرفعال می کنم. زمانی که فعال میشه همه چی قطع میشه.



  10. #10
    نام حقيقي: ali

    عضو عادی
    تاریخ عضویت
    Jun 2010
    محل سکونت
    mashhad
    نوشته
    605
    سپاسگزاری شده
    481
    سپاسگزاری کرده
    57
    رول منگل شما داده های شبکه داخلی رو هم مارک VPN میزنه
    توی همون رول منگل که الان دارید :
    کد:
    /ip firewall mangle add action=mark-routing chain=prerouting in-interface-list=LAN \ new-routing-mark=VPN passthrough=yes src-address=\ 192.168.88.2-192.168.88.254
    مثل تصویر قبلی، داده ها با مقصد آی پی های داخل شبکه را از این رول جدا کنید
    کد:
    /ip firewall address-list add address=192.168.88.0/24 list=MyNetwork /ip firewall address-list add address=10.250.10.0/24 list=MyNetwork /ip firewall mangle add action=mark-routing chain=prerouting in-interface -list=LAN new-routing-mark=VPN passthrough=no src-address=192.168.88.2-192.168.88.254 dst-ad dress-list=!MyNetwork



    r0otsharp و Catman سپاسگزاری کرده‌اند.

  11. #11
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    نقل قول نوشته اصلی توسط shahani نمایش پست ها
    رول منگل شما داده های شبکه داخلی رو هم مارک VPN میزنه
    توی همون رول منگل که الان دارید :
    کد:
    /ip firewall mangle add action=mark-routing chain=prerouting in-interface-list=LAN \ new-routing-mark=VPN passthrough=yes src-address=\ 192.168.88.2-192.168.88.254
    مثل تصویر قبلی، داده ها با مقصد آی پی های داخل شبکه را از این رول جدا کنید
    کد:
    /ip firewall address-list add address=192.168.88.0/24 list=MyNetwork /ip firewall address-list add address=10.250.10.0/24 list=MyNetwork /ip firewall mangle add action=mark-routing chain=prerouting in-interface -list=LAN new-routing-mark=VPN passthrough=no src-address=192.168.88.2-192.168.88.254 dst-ad dress-list=!MyNetwork
    آقا خدا خیرت بده واقعا. عالی هستی. درست شد. ممنون از شما. همه رو حذف کردم. مشکل سره همین بود که جفت ترافیک ها داشت مارک می خورد. ممنونم واقعا



  12. #12
    نام حقيقي: Ehsan Farahani

    عضو عادی
    تاریخ عضویت
    Oct 2009
    محل سکونت
    tehran
    نوشته
    54
    سپاسگزاری شده
    4
    سپاسگزاری کرده
    106
    دوستان تنظیمات به صورت کامل رو اضافه کردم تا بعدا اگر کسی مشکل داشت، مشکلش حل بشه.
    کد:
    /interface bridge
    add admin-mac=CC:2D:E0:FE:A7:AE auto-mac=no comment=defconf name=bridge
    /interface ethernet
    set [ find default-name=ether1 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether2 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether3 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether4 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether5 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    /interface l2tp-client
    add connect-to=m247-ch-ubuntu-l2tp-01.expressnetwork.net disabled=no \
        ipsec-secret=12345678 name=l2tp-out1 password= use-ipsec=yes \
        user=
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=default-dhcp ranges=192.168.88.10-192.168.88.254
    add name=vpn_pool ranges=10.250.10.10-10.250.10.254
    /ip dhcp-server
    add address-pool=default-dhcp disabled=no interface=bridge name=defconf
    /ppp profile
    add dns-server=4.2.2.4,8.8.8.8 local-address=10.250.10.1 name=vpn_profile \
        remote-address=vpn_pool use-encryption=yes
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether2
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=ether5
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    /interface sstp-server server
    set authentication=mschap2 certificate=Server default-profile=vpn_profile \
        enabled=yes port=1195
    /ip address
    add address=192.168.88.1/24 comment=defconf interface=bridge network=\
        192.168.88.0
    /ip cloud
    set update-time=no
    /ip dhcp-client
    add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
        ether1
    /ip dhcp-server network
    add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
        192.168.88.1
    /ip dns
    set allow-remote-requests=yes servers=4.2.2.4,8.8.8.8
    /ip dns static
    add address=192.168.88.1 name=router.lan
    /ip firewall filter
    add action=accept chain=input comment=\
        "defconf: accept established,related,untracked" connection-state=\
        established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
        invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
        disabled=yes in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
        ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
        ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
        connection-state=established,related
    add action=accept chain=forward comment=\
        "defconf: accept established,related, untracked" connection-state=\
        established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" \
        connection-state=invalid
    add action=drop chain=forward comment=\
        "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
        connection-state=new in-interface-list=WAN
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-address=!10.250.10.0/24 \
        in-interface-list=LAN new-routing-mark=VPN passthrough=yes src-address=\
        192.168.88.2-192.168.88.254
    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        ipsec-policy=out,none out-interface-list=WAN
    add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=\
        l2tp-out1 src-address=192.168.88.0/24
    /ip route
    add distance=1 gateway=l2tp-out1 routing-mark=VPN
    /ppp aaa
    set use-radius=yes
    /system clock
    set time-zone-name=Asia/Tehran
    /system ntp client
    set enabled=yes primary-ntp=77.104.104.100 secondary-ntp=202.65.114.202
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN



    shahani سپاسگزاری کرده است.

کلمات کلیدی در جستجوها:

هیچ کلمه ای ثبت نشده است.

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •