[ТЕМА ЗАКРЫТА]
10.09.2013 01:03
KirillHome
 
Впервые столкнулся с Mikrotik-ом.

Сначала думал - да всё просто, что там!
Выяснилось, что не совсем так.
В частности - совсем не понимаю, почему при выключении WiFi устройство перестаёт работать.
Поэтому решил попробовать описать - что делается, как, возможно - почему, что получается, что нет.

Так вот, по порядку.
На самом деле - первоначально была куплена IP-АТС Panasonic.
При "выпуске" АТС в локальную сеть и подключении IP-телефона в локальной сети - всё прекрасно работает.
Если ли же любое из устройств - станция или телефон - находится за NAT - то слышимость на одной из сторон (т.е. на телефоне - слышно, что говорит собеседник, но он не слышит тебя; либо - наоборот).

Т.к. телефон не может сам установить VPN-соединение, то - решено было попробовать использовать два микротика для:
Микротик-1 - VPN-сервер
Микротик-2 - VPN-клиент (по типу "объединение офисов").

Все настройки - делаются через Web-интерфейс.
Не забываем, что в данном случае маски подсетей пишутся не в виде: xxx.zzz.yyy.ccc, а в виде /nn

[spoil=Для памяти - таблица масок]
  • 0 - 0.0.0.0
  • 1 - 128.0.0.0
  • 2 - 192.0.0.0
  • 3 - 224.0.0.0
  • 4 - 240.0.0.0
  • 5 - 248.0.0.0
  • 6 - 252.0.0.0
  • 7 - 254.0.0.0
  • 8 - 255.0.0.0
  • 9 - 255.128.0.0
  • 10 - 255.192.0.0
  • 11 - 255.224.0.0
  • 12 - 255.240.0.0
  • 13 - 255.248.0.0
  • 14 - 255.252.0.0
  • 15 - 255.254.0.0
  • 16 - 255.255.0.0
  • 17 - 255.255.128.0
  • 18 - 255.255.192.0
  • 19 - 255.255.224.0
  • 20 - 255.255.240.0
  • 21 - 255.255.248.0
  • 22 - 255.255.252.0
  • 23 - 255.255.254.0
  • 24 - 255.255.255.0
  • 25 - 255.255.255.128
  • 26 - 255.255.255.192
  • 27 - 255.255.255.224
  • 28 - 255.255.255.240
  • 29 - 255.255.255.248
  • 30 - 255.255.255.252
  • 31 - 255.255.255.254
  • 32 - 255.255.255.255
[/spoil]

Подключаемся к lan-сети Mikrotik-а.
На самом деле - это тоже допущение.
По умолчанию - Ehternet1 - Wan, Ehternet2-Ehternet5 - Lan.
Адрес получаем по DHCP (либо "руками" пишем адрес из диапазона 192.168.88.2 - 192.168.88.254).
Пишем - 192.168.88.1 в адресной строке, и подключаемся с именем admin (пока пароля нет)

В результате - видим примерно такой UI (смотри миниатюру)
Миниатюры
Нажмите на изображение для увеличения
Название: Mikrotik_01.jpg
Просмотров: 2093
Размер:	197.8 Кб
ID:	2313  
10.09.2013 09:34
OlegON
 
Не очень понял, проблема в том, что голосовая телефония не работает? Просто я с Linksys SPA-3102 бодался, в итоге вывод - либо пользоваться STUN-сервером провайдера, к которому подключаются оба абонента, либо налаживать gateway на рутере, который позволит пропускать поток в обе стороны (т.е. не только NAT, но и DNAT). В качестве бонуса у меня в рутере (не на штатной прошивке) автоматическая обработка SIP-потока.
Вариант с VPN, конечно, прикольнее... Безопаснее, как минимум.
Прошивки все обновлял?
10.09.2013 09:43
OlegON
 
Поскольку сам наметил себе этот девайс в кандидаты на следующий рутер, очень интересно.
Никакого опыта использования нет. Одни вопросы :)
Почему страну не указал в вайфае? Зачем тебе режим рутера, если, судя по адресу, WAN локальный? Это провайдер тебе такие уродские адреса выдает или перед микротиком кто-то еще торчит из твоих железок?
10.09.2013 09:56
KirillHome
 
Цитата:
OlegON Не очень понял, проблема в том, что голосовая телефония не работает? Просто я с Linksys SPA-3102 бодался, в итоге вывод - либо пользоваться STUN-сервером провайдера, к которому подключаются оба абонента, либо налаживать gateway на рутере, который позволит пропускать поток в обе стороны (т.е. не только NAT, но и DNAT). В качестве бонуса у меня в рутере (не на штатной прошивке) автоматическая обработка SIP-потока.
Там другая байда...
IP-телефония не от провайдера.
Есть офисная цифровая АТС Panasonic TDA (не помню цифры).
Поставлена взамен обычной офисной аналоговой KX TA-308.
Соответственно - "входящая" телефония обычная, "аналоговая".
К станции - подключены обычные аналоговые телефоны.
Но - так как станция уже чуть-чуть умнее, то она может подключать IP-телефоны (системные телефоны с Ethernet-ом).
Была замена АТС для того, что бы можно было поставить в удалённом офисе этот телефон, который (при выводе АТС "в интернет") найдёт АТС и будет работать как обычный "местный" телефон.
Те люди, что продавали - утверждали, что так всё и будет работать, при чём - легко.
При монтаже и запуске было сказано - "да, только она (станция) NAT-ить не может". И вроде бы - что-то про UPD-пакеты говорилось.
В общем - результат такой, что - при подключении АТС в локальную сеть и включении в неё же (в локальную сеть) IP-телефона - телефон находит АТС, регистрируется и работает.
При выводе АТС "в интернет" (сажаю "голой попой" наружу, благо есть несколько внешних IP) - то телефон так же находит АТС (явно указываю внешний IP), регистрируется, но - связь односторонняя (те есть либо слышишь только ты, либо только тебя. Не помню - находили при этом какую-то зависимость - когда слышно только тебя, когда - наоборот - слышишь только ты). В добавок - через пару часов на станцию начинают атаки (видимо, связанные с попытками зарегистрировать свой IP-телефон и организовать очень выгодный переговорный пункт).

В общем - решили попробовать сделать "объединение офисов через VPN", с тем, что бы телефон и АТС оказались в одной сети, будучи физически разделёнными (Если бы сам IP-телефон мог устанавливать VPN-соединение, то - всё было бы просто. Но увы, этого нет).
10.09.2013 10:08
OlegON
 
Проблема в том, что телефон тоже не должен быть за NAT. Суть в том, что пакеты UDP (не UPD все же) должны свободно ходить в обе стороны. В этом и прикол. Либо STUN-сервер снаружи, который видят обе точки. Поэтому-то при высаживании АТС "голой попой" связь односторонняя. Телефон не виден. Высади телефон "попой" и заработает, правда, да, ломать будут не по детски. Согласен, VPN в данном случае - выход, но, думаю, более правильно сделать STUN-подключение и указать его в телефоне. Это позволит не поднимать VPN на каждой точке, где захочешь телефон поставить снаружи.
10.09.2013 10:15
KirillHome
 
Цитата:
OlegON Поскольку сам наметил себе этот девайс в кандидаты на следующий рутер, очень интересно.
Никакого опыта использования нет. Одни вопросы :)
Почему страну не указал в вайфае? Зачем тебе режим рутера, если, судя по адресу, WAN локальный? Это провайдер тебе такие уродские адреса выдает или перед микротиком кто-то еще торчит из твоих железок?
Точно так же никакого опыта.
Поэтому решил поднять эту тему здесь, с пошаговым описанием и иллюстрациями - что и как.

Эти настройки - из коробки (единственное - я "поднял" версию прошивки до последней).
Т.е. Wan - получен по DHCP (из моей внутренней сети).
Вложения:
Как выглядит главное меню входа (мы можем войти либо в Web-интерфейс, либо в Telnet). Мне проще через Web, поэтому (пока?) всё пытаюсь сделать в нём.
Понятно, что первым делом меняю настройки WiFi (выбираем страну).
Всегда после изменения - не забываю делать Apply
Потом - ставим часовой пояс
Опять же - Apply и говорим, с какого сервера синхронизируем время.
Указание сервера по имени - не работает, поэтому - сначала узнаю IP-адрес сервера времени time-a.nist.gov - 129.6.15.28, потом - меняю mode на unicast, ставлю этот адрес для синхронизации времени.
Опять же - Apply, и смотрим, что время - верное.
Миниатюры
Нажмите на изображение для увеличения
Название: Mikrotik_00.jpg
Просмотров: 1025
Размер:	115.3 Кб
ID:	2314   Нажмите на изображение для увеличения
Название: Mikrotik_02.jpg
Просмотров: 1273
Размер:	234.1 Кб
ID:	2315   Нажмите на изображение для увеличения
Название: Mikrotik_03.jpg
Просмотров: 971
Размер:	195.9 Кб
ID:	2316   Нажмите на изображение для увеличения
Название: Mikrotik_04.jpg
Просмотров: 854
Размер:	180.3 Кб
ID:	2317   Нажмите на изображение для увеличения
Название: Mikrotik_05.jpg
Просмотров: 969
Размер:	182.2 Кб
ID:	2318  

10.09.2013 10:19
KirillHome
 
Цитата:
OlegON Проблема в том, что телефон тоже не должен быть за NAT. Суть в том, что пакеты UDP (не UPD все же) должны свободно ходить в обе стороны. В этом и прикол.
Ну да, прикол именно в этом.
Цитата:
OlegON Либо STUN-сервер снаружи, который видят обе точки. Поэтому-то при высаживании АТС "голой попой" связь односторонняя. Телефон не виден. Высади телефон "попой" и заработает, правда, да, ломать будут не по детски. Согласен, VPN в данном случае - выход, но, думаю, более правильно сделать STUN-подключение и указать его в телефоне. Это позволит не поднимать VPN на каждой точке, где захочешь телефон поставить снаружи.
Пошёл читать, что такое STUN-сервер, STUN-подключение.

А поднятие VPN в каждой точке - вот и хочется за счёт сравнительно не дорогого mikrotik-а - решить эту проблему :)
10.09.2013 10:31
OlegON
 
Ну, просто VPN кому-то неудобен, у кого-то рутер уже есть и т.п. Сузить количество раздаваемого оборудования до телефона - плюс, как мне кажется.
Ты загляни в настройки линии в телефоне (кстати, какой он?), там STUN есть? Я пока не видел ни одного войсового телефона без этой настройки.
10.09.2013 11:25
baggio
 
IPSEC не канает?
какой vpn юзаете?
PPTP?l2TP?IPSEC?OPENVPN?
10.09.2013 11:41
KirillHome
 
Цитата:
baggio IPSEC не канает?
какой vpn юзаете?
PPTP?l2TP?IPSEC?OPENVPN?
На текущий момент нет ничего.
Ну, точнее говоря - есть "полуживой" PPTP-сервер в связке с Traffic Inspector, ограниченном по пользователям (а там свои сложности уже при работе с TI).

Мысль (пока) такая:
Микротик-1 - в офисе, поднять на нём VPN-сервер
Свой внешний IP.
Локальная сеть - типа 192.168.10.1/17
В ней - только АТС (будет ещё как минимум одно устройство на стадии настройки/проверки - для понимания работоспособности)

Микротик-2 - "где-то снаружи".
Локальная сеть - типа 192.168.20.1/17
В ней - только телефон (будет ещё как минимум одно устройство на стадии настройки/проверки - для понимания работоспособности)

Микротик-2 устанавливает VPN-соединение с Микротик-1, при этом происходит "объединение" сетей (т.е. всем устройствам из подсети "за" Микротик-1 - 192.168.10.1/17 - доступны все устройства из подсети "за" Микротик-2 - 192.168.20.1/17 и наоборот - из 192.168.20.1/17 доступны все устройства из 192.168.10.1/17).
На сколько я понимаю (здесь уже могут пойти мои ошибки понимания) - это делается за счет создания "объединённой подсети" типа 192.168.30.1/24 (как я понял - возможен вариант и без создания этой "объеденной подсети" за счет прописанных таблиц маршрутизации???).
10.09.2013 11:42
KirillHome
 
И да - планируется использовать PPTP
10.09.2013 12:20
OlegON
 
Можно еще раз вопрос, только из-за телефона на стороне с телефоном будет воздвигаться VPN? Не слишком ли затратно?
10.09.2013 12:29
KirillHome
 
Цитата:
OlegON Можно еще раз вопрос, только из-за телефона на стороне с телефоном будет воздвигаться VPN? Не слишком ли затратно?
Да, для того, что бы IP-телефон - Panasonic KX-NT321 - можно было подсоединить к имеющейся АТС (Panasonic TDA, какой номер - не помню) вне локальной сети - и весь сыр-бор.
В локальной сети не планируется использование IP-телефонов (используются обычные проводные телефоны типа Panasonic KX-TS2361)

Слово STUN услышано только сегодня.
И я не уверен, что данный телефон будет работать со STUN (хотя - возможно и будет).
Mikrotik-1 и Mikrotik-2 уже есть.
10.09.2013 12:46
baggio
 
настоятельно рекомендую ipsec... заодно и сети объединишь...
уж больно PPTP нестабилен... :( да и взломанный...
10.09.2013 13:15
KirillHome
 
Цитата:
baggio настоятельно рекомендую ipsec... заодно и сети объединишь...
уж больно PPTP нестабилен... :( да и взломанный...
Объединение сетей мне нужно, фактически, для двух устройств :)

Мои мысли:
1) На Mikrotik-1 поднять VPN-сервер (PPTP). Проверить, что я с ним соединяюсь (проверка осуществляется с помощью обычного windows-компьютера)
2) На Mikrotik-2 настроить VPN-клиента (PPTP). Проверить, что я соединяюсь этим клиентом нормально с имеющимся VPN-сервером (поднятом не на Mikrotik-1). Т.е. уже имеется заведомо правильно настроенный VPN-сервер, с которым я соединяюсь посредством windows-компьютера. Заменяю windows-компьютер на Mikrotik-2.
3) После того, как убедился в работоспособности VPN-сервера и VPN-клиента - пытаться подсоединиться клиентом c Mikrotik-2 на Mikrotik-1.
Windows-компьютер за Mikrotik-2 пытается обратиться к устройствам, расположенным за Mikrotik-1
4) После соединения - попытаться добиться "объединения сетей" тем или иным образом. Windows-компьютер за Mikrotik-1 пытается обратиться к устройствам, расположенным за Mikrotik-2


Почему PPTP?
У меня есть возможность проверить независимыми средствами и клиента и сервер.
Будет ли потом переход с PPTP на что-либо другое?
Не знаю, возможно.
Но только после построения рабочей модели с первоначально выбранными параметрами (нужно понимать, где ты ошибся).
10.09.2013 19:29
KirillHome
 
Продолжаю "пошаговую настройку"

Сначала - поменяем пользователя со стандартного admin на что-то другое, поставим пароль. (System - User).

Далее - (вернувшись на Qiuck Set) поменяем имя WiFi сети, проставим нужный нам пароль, и скажем, что Wan - у нас всё же не DHCP, а Static.
Миниатюры
Нажмите на изображение для увеличения
Название: Mikrotik_06.jpg
Просмотров: 620
Размер:	132.0 Кб
ID:	2323   Нажмите на изображение для увеличения
Название: Mikrotik_07.jpg
Просмотров: 618
Размер:	204.2 Кб
ID:	2324  
10.09.2013 22:53
KirillHome
 
Уже пошли странности.
"Птичка" на DHCP-сервере не стоит, однако - устройства подсоединяются, получают нужные настройки.
Такое впечатление - что получают из каких-то "настроек по умолчанию".
Т.е. "без птички" - устройства получали IP "с конца списка" (192.168.88.254, 192.168.88.253).
Поставил "птичку" - появилась возможность указать диапазон.
Указал с 192.168.88.10 по 192.168.88.200
Переподключился - получил IP "с начала списка" (192.168.88.10)

Убрал "птичку" с DHCP, изменил настройки Lan (со 192.168.88.1/24 на диапазон 192.168.10.1/17)
Переподключился.
IP не получаю.
Руками прописал на компьютере: IP - 192.168.10.2, маску - 255.255.255.128, шлюз - 192.168.10.1
DNS пока написал гугловский - 8.8.8.8
Всё прекрасно заработало.
Хорошо, включаю DHCP, вижу DHCP Server Range: 192.168.88.10-192.168.88.200
....
Странно, но...
Ладно, говорю что диапазон DHCP 192.168.10.100-192.168.10.120.
Ставлю на компьютере - получать всё по DHCP, в результате - всё правильно.

Закончив первоначальную настройку (Wan, Lan, WiFi) - сохраним конфигурацию.

Пока абсолютно не понимаю, почему при выключении WiFi - устройство становится недоступным....
Но - так как конфигурация была сохранена - то делаем Reset (отключаем питание, нажимаем кнопку Reset, подключаем питание, через 2-3 секунды отпускаем кнопку Reset), и восстанавливаем все настройки из сохраненной конфигурации.
Миниатюры
Нажмите на изображение для увеличения
Название: Mikrotik_08.jpg
Просмотров: 653
Размер:	276.5 Кб
ID:	2325   Нажмите на изображение для увеличения
Название: Mikrotik_09.jpg
Просмотров: 546
Размер:	73.3 Кб
ID:	2326   Нажмите на изображение для увеличения
Название: Mikrotik_10.jpg
Просмотров: 542
Размер:	158.4 Кб
ID:	2327   Нажмите на изображение для увеличения
Название: Mikrotik_11.jpg
Просмотров: 523
Размер:	148.6 Кб
ID:	2328   Нажмите на изображение для увеличения
Название: Mikrotik_12.jpg
Просмотров: 492
Размер:	124.3 Кб
ID:	2329  

11.09.2013 22:06
KirillHome
 
Сделал настройку VPN-сервер согласно этой инструкции
Получил "ошибку 807" при попытке подключится к данному VPN-серверу.

Возможно, проблема в правилах брендмауэра на Mikrotik?
Даже в обсуждении указанной выше инструкции есть такое:
Цитата:
Good stuff. It is helpful to mention that the default firewall rules need to be adjusted as well to allow TCP traffic on port 1723 as well as the GRE protocol.
Правда, не понимаю - пока не понимаю, как это проверить/исправить.
16.09.2013 01:15
KirillHome
 
В конце концов всё получилось.
Так как у меня сразу же всё забрали в эксплуатацию - то не приведу уже скриншотов с настройками/этапами

Было несколько проблем.
1) Пришлось делать дополнительные правила, открывающие всё, в FireWall-е (для создания соединения)
2) Пришлось делать дополнительную настройку маршрутизации (соединение было, но устройства из одной сети не видели устройств из другой)
3) Не надо тестировать доступ из одной сети в другую с помощью ping-а на компьютер с Windows'7 - отсутствие отклика не всегда значит ошибку в настройке устройств.

Настройки в основном делал по статье из WiKi
27.01.2014 22:48
KirillHome
 
Однако, как выясняется - не всё настроено.
Пока было два офиса - то всё работало.
Появляется третий - и теперь ситуация такова:

В центральном офисе - видят каждый из удалённых
В любом из удалённых офисах - видят только центральный офис.

В центральном офисе:
В центральном офисе "собственная подсеть" - 192.168.0.0/24
Поднят VPN-сервер (192.168.5.1)
Настроено три Vpn-клиента, с адресами (для уд. офисов 1; 2; 3) 192.168.5.3; 192.168.5.4; 192.168.5.2

В удалённом офисе 1 "собственная подсеть" - 192.168.2.0/24
В удалённом офисе 2 "собственная подсеть" - 192.168.3.0/24
В удалённом офисе 3 "собственная подсеть" - 192.168.4.0/24

Такое впечатление, что нужно делать правила, разрешающие маршрутизацию между удалёнными офисами.
И похоже, что их надо делать в этих удалённых офисах.

Ниже приведены настройки и текущее состояние маршрутизации в центральном офисе и в одном из удалённых (в остальных настройки LAN и VPN аналогичны и отличаются только фактически используемыми адресами)

Если у кого-то есть мысли и предложения - с удовольствием их выслушаю!
Миниатюры
Нажмите на изображение для увеличения
Название: Центральный Офис (1).jpg
Просмотров: 616
Размер:	100.7 Кб
ID:	3036   Нажмите на изображение для увеличения
Название: Центральный Офис (2).jpg
Просмотров: 548
Размер:	195.8 Кб
ID:	3037   Нажмите на изображение для увеличения
Название: Удаленный офис (1).jpg
Просмотров: 519
Размер:	96.5 Кб
ID:	3038   Нажмите на изображение для увеличения
Название: Удаленный офис (2).jpg
Просмотров: 421
Размер:	141.0 Кб
ID:	3039  
27.01.2014 22:55
baggio
 
э... моё имхо не будет это нормально работать через PPTP...
IPSEC
или там у микротика своя какаято хрень есть... тебе в помощь...
27.01.2014 23:09
KirillHome
 
По поводу - будет/не будет работать - оно работает :)
И именно через PPTP.

Есть зацепка в том, что на текущий момент Микротик в любом из удалённых офисов "не видит" Микротик в любом другом удалённом офисе.

В удалённом офисе (192.168.5.2) - проходит трассировка на 192.168.5.1 (ЦО), не проходит на 192.168.5.3; 192.168.5.4
В удалённом офисе (192.168.5.3) - проходит трассировка на 192.168.5.1 (ЦО), не проходит на 192.168.5.2; 192.168.5.4
В удалённом офисе (192.168.5.4) - проходит трассировка на 192.168.5.1 (ЦО), не проходит на 192.168.5.2; 192.168.5.3
В центральном офисе (192.168.5.1) - проходит трассировка на все удалённые офисы - 192.168.5.2; 192.168.5.3; 192.168.5.4

Понимаю, что надо настроить маршруты. По идее - на клиентах.
Смущает, что по хорошему - эти маршруты должны быть "динамическими" - т.е. зависимыми от того - установили ли другие удалённые офисы соединение с центральным.
27.01.2014 23:13
baggio
 
офф...
пожалуйста одумайся...
28.01.2014 00:10
KirillHome
 
Цитата:
baggio офф...
пожалуйста одумайся...
Не понял, честно.

Что сделал - в каждом из клиентов добавил подсети других клиентов через VPN-сервер.
Всё заработало!
Миниатюры
Нажмите на изображение для увеличения
Название: Удаленный офис (3).jpg
Просмотров: 624
Размер:	176.8 Кб
ID:	3040  
28.01.2014 10:03
izuware
 
в удаленных офисах сделай такой 192.168.0.0/16 маршрут на центральный (я так понял 192.168.168.5.1 это шлюз в цетнральном офисе)
28.01.2014 10:04
izuware
 
Цитата:
KirillHome Не понял, честно.

Что сделал - в каждом из клиентов добавил подсети других клиентов через VPN-сервер.
Всё заработало!
ну или так...
28.01.2014 10:18
KirillHome
 
Цитата:
izuware в удаленных офисах сделай такой 192.168.0.0/16 маршрут на центральный (я так понял 192.168.168.5.1 это шлюз в цетнральном офисе)
Была мысль о расширении диапазона сети с 192.168.0.0/24 c /24 на /21 (или больше).
Но что-то я запутался в мыслях о тех маршрутах, которые должны быть построены, шлюзах, DHCP-серверах и т.п.
Поэтому пока оставил как есть - потом, возможно, попробую перейти на одну подсеть (если у меня опять всё сразу же не отберут со словами - "Всё, всё, всё - запускаемся как есть" :)).
28.01.2014 10:37
izuware
 
не стоит переходить на одну подсеть, лучше дели кусками по /24 не крайний случай /16 . с другими масками бывают проблемы на клиентских компьютерах.
28.01.2014 10:41
izuware
 
кстати, если между филиалами будет какойто существенный трафик, то лучше соединять их напрямую
28.01.2014 14:11
[+kliN+]
 
Почему не пользуешься Winbox? по моему гораздо удобней. веб интерфейс глаза режет. Я рад что смог решить проблему со связью.
Может быть и мне кто ни будь поможет?
есть два mikrotik RB2011UAS-2HnD между магазинами. (MKT-1: 192.168.1.0/24 MKT-2: 192.168.2.0/24) интернет от провайдера ростелеком по PPPoE
настроил IPSEC по нему гуляет RDP и ukm4 касса - сервер. все хорошо работает.
единственная маленькая проблемка, ipsec отваливается раз в сутки. как я догадываюсь проблема с Sas. Какой то из микротиков не создает или не принимает ключи.
уже пару месяцев не могу решить проблему.



Опции темы


Часовой пояс GMT +3, время: 18:40.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.