Настройка RouterOS 7 + OpenVPN

Цитата (VampirBFW @ 04.02.2022 - 16:08)

Во первых, FreeBSD пишется так Во вторых, про какие кеды ты говоришь В третьих походы для вторых кед, лови код su - # выполнять все, что ниже, от имени админа portsnap fetch # скачать порты (т.е. "заготовки установщиков программ"), выполняется один раз после установки системы portsnap extract # распаковать порты (потому что они качаются запакованными) portsnap fetch update # обновить порты (вот эта команда выполняется чаще, чем один раз), и конкретно здесь - не нужна (ведь порты только что скачаны - они и есть самые свежие) cd /usr/ports && make index # не надо, просто генерит хтмльку с описанием того, какие порты скачаны cd /usr/ports/x11/xorg # перейти в каталог с файлами порта общей графической подсистемы make install clean # установить общую графическую подсистему cd /usr/ports/x11/kde3 # перейти в каталог с файлами порта собственно KDE make install clean # установить KDE exit # вообще эта команда из терминала выбрасывает, не знаю, зачем она тут echo -n “exec startkde” > ~/.xinitrc # записать KDE в автозагрузку общей графической подсистемы startx # запустить общую графическую подсистему и, следовательно, KDE если у тебя 4 кеды, то надо так su - portsnap fetch portsnap extract или portsnap fetch update cd /usr/ports/x11/xorg make install clean cd /usr/ports/x11/kde make install clean echo dbus_enable="YES" >> /etc/rc.conf echo hald_enable="YES" >> /etc/rc.conf echo kdm4_enable="YES" >> /etc/rc.conf service dbus start service hald start service kdm4 start exit

Ууууууу как всё запущено, не всосал ты походу мемасик про KDE и freebsd. Этож классика.
Размещено через приложение ЯПлакалъ

Цитата

Никаких скриптов, микрот сам резолвит динамически все адреса для данного имени.

Да да) попробуй например с intel.com или downloads.google.com
А ещё круче hd.kinopoisk.ru)
Размещено через приложение ЯПлакалъ

Цитата (ValerAbakan @ 04.02.2022 - 16:17)

Ууууууу как всё запущено, не всосал ты походу мемасик про KDE и freebsd. Этож классика.

Эт ты мне щас? Я настраивал qt для кед, когда каналы про ониме ещё не появились
Размещено через приложение ЯПлакалъ

Цитата (lion2006 @ 04.02.2022 - 16:15)

Только увидел тему, ну все, на что же теперь пиво в пятницу то пить

Так предложи ему свою цену. Вдруг ему понравится
Размещено через приложение ЯПлакалъ

Цитата (molinero @ 4.02.2022 - 16:17)

Цитата Никаких скриптов, микрот сам резолвит динамически все адреса для данного имени. Да да) попробуй например с intel.com или downloads.google.com А ещё круче hd.kinopoisk.ru)

Я, честно говоря, не юзаю кинопоиск как просмотр кино (да и вообще не юзаю онлайн-кинотеатры, потому что не уверен, что там будет нормальный многоканальный звук и хороший видеобитрейт), поэтому пока не знаю, в чем тут подстава, но вот попробовал, резолвится как-то так.
А в чем подстава-то?
Но, в принципе, ничего сложного нет и скриптом. Я так резолвю свой *.mynetname.net-адрес у родителей и подставляю текущий в адрес впн-клиента, потому что принципиально не хочу платить охуевшему ростелекому 200 р. в месяц за статику, когда за 150 есть впска в Голландии с безлимитным трафиком и 10 гб ссд.

:local currentip [:resolve шототам.sn.mynetname.net];

ну а далее уже можно делать что хочешь.

Цитата (VampirBFW @ 04.02.2022 - 16:27)

Так предложи ему свою цену. Вдруг ему понравится

Честно? Лень. Рабочая неделя кончилась, деньги есть, работа есть, а это мелочи. Ну не заплатит де он за это хотя бы тысяч 20.
Размещено через приложение ЯПлакалъ

Цитата (lion2006 @ 04.02.2022 - 17:11)

Честно? Лень. Рабочая неделя кончилась, деньги есть, работа есть, а это мелочи. Ну не заплатит де он за это хотя бы тысяч 20.

Ради увеличения кармы помог бы).
Размещено через приложение ЯПлакалъ

Цитата (VampirBFW @ 4.02.2022 - 16:26)

Эт ты мне щас? Я настраивал qt для кед, когда каналы про ониме ещё не появились

Ониме? Котируется только биг Маззи

Цитата (ppsascha @ 04.02.2022 - 17:25)

Ради увеличения кармы помог бы).

Уже помогал не так давно, чистое не сделать чище :)
Размещено через приложение ЯПлакалъ

Цитата (TAR1S @ 4.02.2022 - 17:29)

Цитата (VampirBFW @ 4.02.2022 - 16:26) Эт ты мне щас? Я настраивал qt для кед, когда каналы про ониме ещё не появились Ониме? Котируется только биг Маззи

Английский выучил без всякого маззи.

Цитата (ppsascha @ 04.02.2022 - 16:34)

Я, честно говоря, не юзаю кинопоиск как просмотр кино (да и вообще не юзаю онлайн-кинотеатры, потому что не уверен, что там будет нормальный многоканальный звук и хороший видеобитрейт), поэтому пока не знаю, в чем тут подстава, но вот попробовал, резолвится как-то так. А в чем подстава-то? Но, в принципе, ничего сложного нет и скриптом. Я так резолвю свой *.mynetname.net-адрес у родителей и подставляю текущий в адрес впн-клиента, потому что принципиально не хочу платить охуевшему ростелекому 200 р. в месяц за статику, когда за 150 есть впска в Голландии с безлимитным трафиком и 10 гб ссд. :local currentip [:resolve шототам.sn.mynetname.net]; ну а далее уже можно делать что хочешь.

Гугл и Интел могут разные ип выдавать. А Кинопоиск стрим с других серверов отдаёт. Близарды авторизуют на одном сервере играешь на втором. И так со всеми крупными сервисами.
Размещено через приложение ЯПлакалъ

В качестве апа - ZTE это оконечник оптики, его ethernet это WAN микротика
Сервер OpenVPN болтается в интернете и есть не просит.
Гайды из интернета проштудированы, мой затык, похоже, в двойном NAT
По логам я вижу, что пакеты из ВПН падают с ZTE на WAN микрота, но он не знает чего с ними дальше делать

Насчет того, зачем мне VPN - для линкдина, например.
Это сообщение отредактировал Nevermind01 - 4 фев 2022 в 18:15

Цитата

Гугл и Интел могут разные ип выдавать. А Кинопоиск стрим с других серверов отдаёт. Близарды авторизуют на одном сервере играешь на втором. И так со всеми крупными сервисами.

Не вижу проблемы засниферить траф по время просмотра видео с кинопоиска и отследить сервера.
Что касается игр, то да, у ладвы тоже сервер авторизации разнесен с игровым. Тоже не вижу проблемы.
Размещено через приложение ЯПлакалъ

Цитата (Nevermind01 @ 04.02.2022 - 18:12)

В качестве апа - ZTE это оконечник оптики, его ethernet это WAN микротика Сервер OpenVPN болтается в интернете и есть не просит. Гайды из интернета проштудированы, мой затык, похоже, в двойном NAT По логам я вижу, что пакеты из ВПН падают с ZTE на WAN микрота, но он не знает чего с ними дальше делать Насчет того, зачем мне VPN - для линкдина, например.

Перенастрой зте бриджом, все остальное поднимай микротом.
Я так и сделал, правда, пришлось долго убеждать тп ростелекома, что я не обезьяна с гранатой и знаю, что делаю.
Это первое, с чего надо начинать.
Размещено через приложение ЯПлакалъ

Цитата (lion2006 @ 04.02.2022 - 17:32)

Уже помогал не так давно, чистое не сделать чище :)

Тогда нагреши и помоги)
Размещено через приложение ЯПлакалъ

Цитата (ppsascha @ 4.02.2022 - 16:12)

Цитата (Nevermind01 @ 4.02.2022 - 15:43) 3. Нужно настроить роутинг на основе Address List в Микротике через шлюз OpenVPN А в чем проблема? Создаешь адрес-лист, потом в мангле в прероутинге по адрес-листу делаешь роутинг-марку, потом в роутс делаешь дефолтный маршрут в опенвпн по созданной роутинг-марке. Единственный нюанс - в шестой роутерос роутинг-марку можно было навесить прямо в правиле. В седьмой ее нужно сначала создать через routing - tables. Я так блокировки обхожу. Раньше тупо делал роут до хоста через впн-интерфейс, потом, когда рутрекер и прочие стали менять адреса, понял, что это некошерный способ.

Я сначала так и сделал на 6 версии - не заработало.
Потом решил обновиться до 7 чтобы появилась поддержка UDP в openvpn-клиенте.
Оказалось, что вместе с ними завезли таблицы - а с ними гайдов почти нет.
В целом идея про routing-mark мне понятна, более того, у меня routing-mark был настроен через connection-mark - новое соединение к IP из Address List маркируется connection-mark и потом все что внутри этого соединения маркируется routing-mark.

Но там же еще NAT - маскарады и прочее. Это я уже совершенно не раздупляю сходу

Цитата (ra9988f @ 4.02.2022 - 19:46)

Ща, жди пару минут. Очень сложно перенастраиваться с вирусолога на айтишника.

/берет телефон:

Оператор!?
Танк, мне нужна программа настройки роутеров...

Это сообщение отредактировал slawomir - 4 фев 2022 в 18:39

Цитата (Nevermind01 @ 04.02.2022 - 18:34)

Я сначала так и сделал на 6 версии - не заработало. Потом решил обновиться до 7 чтобы появилась поддержка UDP в openvpn-клиенте. Оказалось, что вместе с ними завезли таблицы - а с ними гайдов почти нет. В целом идея про routing-mark мне понятна, более того, у меня routing-mark был настроен через connection-mark - новое соединение к IP из Address List маркируется connection-mark и потом все что внутри этого соединения маркируется routing-mark. Но там же еще NAT - маскарады и прочее. Это я уже совершенно не раздупляю сходу

Это рабочая схема 146%, только для этого соединения даже можно не маркировать, достаточно роутинг-марки. Отличий в схеме в 6 и 7 рос кардинальных нет.
Двойной нат в любом случае надо убирать, иначе придётся морочиться с дмз, а это тупо.
Размещено через приложение ЯПлакалъ

Цитата (ppsascha @ 04.02.2022 - 18:31)

Тогда нагреши и помоги)

У блин. Хитрый какой.
Размещено через приложение ЯПлакалъ

Всё было проще, там в 7.1 сломали немного маркировку коннекшенов, тут задача была только исходящий траффик раскидывать.
Создаём таблицу:


Это сообщение отредактировал Swenum - 5 фев 2022 в 01:38

Cоздаём правило в policy routing

Делаем новый роут через vpn шлюз в таблице out-wan2

Обходите ограничения и блокировки, товарищ?

Ну и наконец просто в правиле mangle делаем route-mark для траффика идущего с внутренней сети к ресурсам из dest-list

Цитата (NeAdmin4 @ 5.02.2022 - 01:41)

Обходите ограничения и блокировки, товарищ?

Да, можно сказать ограничения, можно сказать, что резервирую доступность ресурса через несколько каналов, смотря как сделать )