Šta je novo?
Od:
Filteri

Pomoć oko pingovanja na MTS-ovoj optici i Miktotiku

petrovicivan

petrovicivan

Slavan
Učlanjen(a)
25.10.2004
Poruke
131
Poena
320
Moja oprema  
Pristup internetu
  1. Optički internet
Na svim računarima u kući ne mogu da pingujem više od jedanput.
$ ping -c 10 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=1 ttl=119 time=21.10 ms

--- 8.8.8.8 ping statistics ---
10 packets transmitted, 1 received, 90% packet loss, time 295ms
rtt min/avg/max/mdev = 21.956/21.956/21.956/0.000 ms
Kliknite za proširenje...
Internet mi je MTS-ova optika i tamo su svi filteri za ICMP isključeni.
123 - HG8245 - 192.168.100.1.jpg

Kada na Miktotiku uradim ping 8.8.8.8 izbacuje greške ili TTL excedeed.
126 - MikroTik - Ping at admin@192.168.88.1 - Webfig v6.47 (stable) on hAP ac^2 (arm) - 192.16...jpg
 
Kakva je konfiguracija mreže? Mts ruter u bridge? Koji su dns serveri podešeni? Čudno je što posle prvog pinga pokušava da pinguje neku lokalnu adresu.
 
daxyco je napisao(la):
Kakva je konfiguracija mreže? Mts ruter u bridge? Koji su dns serveri podešeni? Čudno je što posle prvog pinga pokušava da pinguje neku lokalnu adresu.
Kliknite za proširenje...
DHCP je podeljen na 2 dela i MTSov ruter prvi koristi za LAN a Mikrotik drugi za WLAN.
Guglam i dalje i čini se da je DNS 1.1.1.1 problem. Jel možeš da proveriš kod tebe?
 
isključio sam Mikrotik, ista stvar:
80 packets transmitted, 9 packets received, 88.8% packet loss
round-trip min/avg/max/stddev = 29.455/2170.063/6308.928/2497.610 ms
Kliknite za proširenje...
Znači da je do MTS-a
 
MTS verovatno smanjuje TTL vrednost namerno da ne bi mogao da deliš internet dalje, probaj sa PC direktno konektovanim na mts router pa kaži rezultate?
 
Mikrotikovci, može pomoć?

Mts optika parametri:
"Wan blok: xxx.xxx.xx.48/30"
"Telekom port: xxx.xxx.xx.49"
"Vaš port: xxx.xxx.xx.50"
"Sabnet mask: 255.255.255.252"

"Lan blok: xx.xxx.xx.134/31"
"Sabnet mask: 255.255.255.254"

Wan blok je ip adresa eth1, a "Telekom port" i "Vaš port"?
 
"Telekom port" ti je gateway IP
"WAN blok" je zapravo blok IP adresa koji ti je dodeljen za interkonekciju sa telekomom. ti na ether1 postavljaš adresu "Vaš port" sa /30 maskom

LAN blok su adrese koje se mogu koristiti za internet saobraćaj jer se na WAN bloku filtriraju mnogi servisi-portovi, to je moguće negde i pomenuto u šablonskoj poruci sa parametrima koja stigne od njih u mejlu.

Adresu iz LAN bloka možeš postaviti na ether1 interfejs (ili koji si već odredio za WAN), ili čak i na neki koji si kreirao za tu namenu, npr. bridge interfejs koji će se zvati lo0 i na koji ćeš postaviti tu adresu.

na primer:
Bash: 
/interface bridge add name=lo0
/ip address add address=xxx.xxx.xxx.50/30 comment="TELEKOM INTERCONNECT" interface=ether1
/ip address add address=xxx.xxx.xxx.134/31 comment="TELEKOM LAN BLOK" interface=lo0
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.49 pref-src=xxx.xxx.xxx.134

Trebalo bi da radi :)
 
Hvala, pokušaću sutra.
Ether1 mi je wan, a ether2 "lan blok".
Za ether2 mi ne treba gateway?
 
Šta ti je povezano na ether2? svič, neki računar? Ako je tako, tu bi trebalo da bude podešen neki privatni opseg, npr. onaj defaultni 192.168.88.1/24 mikrotikov. Ako je
default mikrotik konfiguracija, onda je sve što nije WAN (koji je na ether1) bridžovano. Pogledaj da li imaš podešen neki opseg u IP--->Addresses na ether2 interfejsu.

I WAN i LAN blok adresa od Telekoma mogu biti na ether1 interfejsu, ali je zgodno da se odvoje, zato sam pomenuo onaj "virtuelni" bridge interfejs lo0. Telekomov LAN blok ne treba da bude na ether2, nemoj da te buni to LAN u nazivu, to je svakako blok javnih IP adresa koje ti je dodelio Telekom.

Gateway ti je potreban samo jedan, za (najčešće) default rutu, ako ti je to jedini internet link na mikrotiku.

Pomogli bi još neki detalji, šta ti je povezano na mikrotik od opreme i na koje portove.
 
Poslednja izmena:
sajberista je napisao(la):
MTS verovatno smanjuje TTL vrednost namerno da ne bi mogao da deliš internet dalje, probaj sa PC direktno konektovanim na mts router pa kaži rezultate?
Kliknite za proširenje...
Je li ovo provereno, pošto i sam nameravam nešto slično?
 
@sinisamars
Pokušao danas, wan adrese na ether1 a ether2 ostavio default 192.168.88.1/24 i nemam izlaz na net.
Mikrotik povezan na telekomov konverter a računar na mikrotik port 2 (kasnije će biti svič sa 3 računara i mrežnim štampačem).

Ether1 xxx.xxx.xx.50/30
Gateway xxx.xxx.xx.49
Network xxx.xxx.xx.48 i postavio telekomove dns.
Sutra reset pa ponovo.
 
Vidi šta ti baca ka output komande iz terminala u winboxu:
Kod: 
/ip route print detail

Trebalo bi da ti izbaci
Kod: 
reachable via ether1
za default rutu.

Takođe, možeš sa rutera proveriti da li imaš net tako što u terminalu kucaš:
Kod: 
ping 8.8.8.8 interface=ether1

ili vidi gde puca, pomoću traceroute (u src-address= stavljaš svoju LAN blok adresu):

1621616353371.png

Takođe proveri da li si u default ruti postavio pref-source vrednost da bude tvoja LAN blok adresa, ponekad mora da bude tako podešeno kako bi radilo sve kako treba.
1621616527839.png
 
Nisam ništa upisivao kod pref source...
Hvala, proveravam sutra.
 
sinisamars je napisao(la):
Bash: 
/interface bridge add name=lo0
/ip address add address=xxx.xxx.xxx.50/30 comment="TELEKOM INTERCONNECT" interface=ether1
/ip address add address=xxx.xxx.xxx.134/31 comment="TELEKOM LAN BLOK" interface=lo0
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.49 pref-src=xxx.xxx.xxx.134

Trebalo bi da radi :)
Kliknite za proširenje...
I bi svetlo! Radi posle dodavanja interfejsa, ali...

"What is my ip" kaže xxx.xxx.xx.50 (WAN blok), umesto xx.xxx.xx.134 (lLAN blok)...
 
Mislim da je to OK, tj. normalno stanje stvari (proverih upravo kod sebe, takođe prijavljuje WAN blok javnu IP na what is my IP).

Evo tog citata iz šablonskog mejla sa parametrima:

Zbog sigurnosne politike kojom se brani veliki broj portova (FTP, telnet, SSH ...) WAN blok služi isključivo za interkonekciju naše mreže i uređaja na Vašoj lokaciji, ostaje registrovan na Telekom i ne koristi se za izlaz na Internet. LAN blok je dodeljen Vama na korišćenje, biće registrovan na Vaše ime tj. ime Vaše firme na sajtu RIPE-a dok koristite našu uslugu i preko ovih IP adresa možete ostvariti izlaz na Internet."

Ako praviš npr. neki IPSEC tunel sa mikrotika, najnormalnije koristi LAN blok adresu na drugom kraju tunela za peer, takođe po istoj IP možeš pristupiti mikrotiku spolja, naravno u zavisnosti od firewall pravila.
 
Moram prijaviti statičku adresu preko koje će se koristiti pristup bazi ABS-a.
Prema tom mejlu, statička bi trebala biti iz LAN bloka...

"WAN blok služi isključivo za interkonekciju naše mreže i uređaja na Vašoj lokaciji, ostaje registrovan na Telekom i ne koristi se za izlaz na Internet."
 

Prilozi

  • 20210523_083800.jpg
    20210523_083800.jpg
    104.4 KB · Pregleda: 26
Dodao src-nat to address xx.xxx.xx.134 i sada je ok.

sinisamars, hvala na pomoći.
 
kvlada505 je napisao(la):
Jel imas neki postupak kako si radio posto se i ja mucim vec dva dana sa ovim :) Dobio sam od telekoma WAN PE CE /30 i LAN /32.
Kliknite za proširenje...
Ako si podesio WAN IP adresu na neki interfejs i postavio LAN /32 adresu na neki bridge (koji glumi loopback) dodaj samo NAT pravilo za src-nat:

Kod: 
/ip firewall nat add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=X.X.X.X
Gde je X.X.X.X LAN adresa koju si dobio. Naravno izmeni po potrebi, npr. stavi out-interface=ether1 umesto out-interface-list ako ne koristiš interfejs liste, dodaj src-address=y.y.y.y/y ako hoćeš da se NAT-uje samo određeni saobraćaj iz lokalnih mreža itd. Ako radiš iz Winbox ili webgui sve je slično, polja su ista.

Ako već imaš src-nat pravilo sa action=masquerade možeš ga obrisati/onemogućiti.
 
niceness je napisao(la):
Ako si podesio WAN IP adresu na neki interfejs i postavio LAN /32 adresu na neki bridge (koji glumi loopback) dodaj samo NAT pravilo za src-nat:

Kod: 
/ip firewall nat add action=src-nat chain=srcnat out-interface-list=WAN to-addresses=X.X.X.X
Gde je X.X.X.X LAN adresa koju si dobio. Naravno izmeni po potrebi, npr. stavi out-interface=ether1 umesto out-interface-list ako ne koristiš interfejs liste, dodaj src-address=y.y.y.y/y ako hoćeš da se NAT-uje samo određeni saobraćaj iz lokalnih mreža itd. Ako radiš iz Winbox ili webgui sve je slično, polja su ista.

Ako već imaš src-nat pravilo sa action=masquerade možeš ga obrisati/onemogućiti.
Kliknite za proširenje...
Hvala puno uspeo sam, tj uradio gore pomenuto, napravio bridge dodao /32 adresu i uradio srcnat sa 192.168.10/24 na javnu /32.
Jedino sada imam problem sa VPNom, tj logujem se uspesno ali nemam intereta, kontam da treba da preslozim static route i malo da sredim NAT :)
Ako imas neki savet ne radim cesto sa MTom :)
I hvala puno za uput za ovo :)
 
To je možda pitanje za posebnu temu :) ali ukratko... kada ideš kroz VPN ne možeš samo na internet ili ne prolazi ništa ni do lokalnih adresa?
Mogu samo da nagađam, ali ako je samo prema netu možda ti NAT pravilo ne obuhvata opseg IP adresa iz kog dodeljuješ VPN klijentima (ako si stavio src-address). Ili je potrebno podesiti firewall pravila.
 
niceness je napisao(la):
To je možda pitanje za posebnu temu :) ali ukratko... kada ideš kroz VPN ne možeš samo na internet ili ne prolazi ništa ni do lokalnih adresa?
Mogu samo da nagađam, ali ako je samo prema netu možda ti NAT pravilo ne obuhvata opseg IP adresa iz kog dodeljuješ VPN klijentima (ako si stavio src-address). Ili je potrebno podesiti firewall pravila.
Kliknite za proširenje...
Uspeo sam da rešim sa NAT'om i par ruta, sada je sve je ok. Mogu reci da me je iznenadilo koliko je jednsotavan setup SSTP VPNa na MTu :) Hvala na pomoci :)
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno