avatar
Делал не по этой инструкции, но всё также. Единственное что непонятно, совпадает ли у вас внутренняя подсеть с той, которую раздаёте VPN пользователям. У меня совпадает. Т.е. на bridge раздаётся 192.168.1.0/24 и впн пользователям назначаю из неё же
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?
avatar
Здравствуйте, уже не знаю, ответите ли Вы мне, но я пробовал настраивать DNS и DHCP в сязке, как у Вас. Но по-видимому или у Вас не точности в настройке или я что-то делаю не так. В общем по Вашей статье у меня ничего не работает. Вот конфиги, чтобы не быть голосовном.
Файл /etc/bind/named.conf.options

 cat /etc/bind/named.conf.options 
options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.

	// forwarders {
	// 	0.0.0.0;
	// };
	forwarders {
	    8.8.8.8;
	};
	//========================================================================
	// If BIND logs error messages about the root key being expired,
	// you will need to update your keys.  See https://www.isc.org/bind-keys
	//========================================================================
	dnssec-validation auto;

	auth-nxdomain no;    # conform to RFC1035
//	listen-on port 53 { any;};
	listen-on {
		127.0.0.1;
		192.168.10.1;
	};
	listen-on-v6 { any; };
};



Файл /etc/bind/named.conf.local

 cat /etc/bind/named.conf.local 
//
// Do any local configuration here
//
logging {
	channel bind_debug.log {
		file "/var/log/bind_debug.log";
		severity debug 3;
	};
};


key DHCP_UPDATER {
    algorithm HMAC-MD5.SIG-ALG.REG.INT;
    secret "HeEBYWgNK7trRwma6TIDxQ==";
};
zone "lkmpikt.lan" IN {
    type master;
    file "/var/lib/bind/forward.db";
    allow-update { key DHCP_UPDATER; };
};

zone "10.168.192.in-addr.arpa" {
    type master;
    file "/var/lib/bind/reverse.db";
    allow-update { key DHCP_UPDATER; };
};



// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";



Файл /var/lib/bind/forward.db

cat /var/lib/bind/forward.db
$ORIGIN .
$TTL 86400	; 1 day
lkmpikt.lan.	IN	SOA	base.lkmpikt.lan. root.lkmpikt.lan. (
				2018091901 ; serial
				10800      ; refresh (3 hours)
				3600       ; retry (1 hour)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
		IN	NS	base.lkmpikt.lan.
			A	192.168.10.1
localhost	IN	A	127.0.0.1
base		IN	A	192.168.10.1
proxy1		IN	A	192.168.10.1
proxy2		IN	A	192.168.10.1
proxy3		IN	A	192.168.10.1
proxy4		IN	A	192.168.10.1



Файл /var/lib/bind/reverse.db

cat /var/lib/bind/reverse.db 
$TTL 86400 
10.168.192.in-addr.arpa.	IN	SOA	base.lkmpikt.lan.	root.lkmpikt.lan. (
				2018091901
				10800
				3600
				604800
				3600
		    		)
	IN	NS	base.lkmpikt.lan.
1	IN	PTR	lkmpikt.lan.
1	IN	PTR	base.lkmpikt.lan.
1	IN	PTR	proxy1.lkmpikt.lan.
1	IN	PTR	proxy2.lkmpikt.lan.
1	IN	PTR	proxy3.lkmpikt.lan.
1	IN	PTR	proxy4.lkmpikt.lan.



Файл /etc/network/interfaces

cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp2s0
iface enp2s0 inet dhcp

auto ens1
iface ens1 inet static
address 192.168.10.1
netmask 255.255.255.0
dns-search lkmpikt.lan
dns-nameservers 127.0.0.1

auto ens1:0
iface ens1:0 inet static
address 192.168.20.1
netmask 255.255.255.0

auto ens1:1
iface ens1:1 inet static
address 192.168.30.1
netmask 255.255.255.0

auto ens1:2
iface ens1:2 inet static
address 192.168.40.1
netmask 255.255.255.0


post-up /etc/nat



Файл /etc/resolv.conf

cat /etc/resolv.conf 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1

nameserver 192.168.1.1
nameserver 127.0.0.1
search lkmpikt.lan



Файл /etc/resolvconf/resolv.conf.d/head

cat /etc/resolvconf/resolv.conf.d/head 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1



Ну и напоследок файл iptables

cat /etc/nat
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Очищающие правила
iptables -F
iptables -t nat -F

iptables -X
iptables -t nat -X

# Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:0 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:2 -o enp2s0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.10.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.20.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.30.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.40.0/24 -j MASQUERADE

# Разрешаем ответы из внутренней сети
iptables -A FORWARD -i enp2s0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i enp2s0 -o ens1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:0 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:2 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens1 ! -d 192.168.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3127
iptables -t nat -A PREROUTING -i ens1:0 ! -d 192.168.20.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3128
iptables -t nat -A PREROUTING -i ens1:1 ! -d 192.168.30.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3129
iptables -t nat -A PREROUTING -i ens1:2 ! -d 192.168.40.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3140


Проверка работоспособности:
dig base

 dig base

; <<>> DiG 9.10.3-P4-Ubuntu <<>> base
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56517
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;base.				IN	A

;; ANSWER SECTION:
base.			0	IN	A	192.168.1.188

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:07:49 MSK 2018
;; MSG SIZE  rcvd: 38


dig base.lkmpikt.lan

dig base.lkmpikt.lan

; <<>> DiG 9.10.3-P4-Ubuntu <<>> base.lkmpikt.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 7943
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;base.lkmpikt.lan.		IN	A

;; Query time: 3001 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:16:39 MSK 2018
;; MSG SIZE  rcvd: 45



dig lkmpikt.lan

dig lkmpikt.lan

; <<>> DiG 9.10.3-P4-Ubuntu <<>> lkmpikt.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44424
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;lkmpikt.lan.			IN	A

;; Query time: 3001 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:17:36 MSK 2018
;; MSG SIZE  rcvd: 40



nslookup base


nslookup base
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached



nslookup base.lkmpikt.lan


nslookup base.lkmpikt.lan
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached



nslookup lkmpikt.lan


nslookup lkmpikt.lan
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached

avatar
Здравствуйте.
Вот держите: Настройка IPTV на MikroTik ( IPTV + MikroTik + Beeline )
avatar
Просто прекрасный материал! Спасибо огромное, настроил все за 15 минут. А до этого сутки возился с разными мануалами.
avatar
Возможно настройки отличаются от тех что описаны в статье, но у меня нет возможности проверить
avatar
Тоже Билайн. Но судя по форумам настройки в регионах могут отличаться.
avatar
Здравствуйте.
У вас какой провайдер, возможно параметр DHCP клиента добавлять и не нужно, в Москве, точно не нужно!
Раз от маршрутизатора пакеты доходят внешних адресов, значит подключение работает нормально, остается разрешить маршрутизацию пакетов из локальной сети во вешнюю, настроив NAT, проверьте настройки согласно пункту Настройка локальной сети
avatar
Запустите службу с таким названием. Настройте ее автоматический запуск
avatar
Здравствуйте.
Настроил по инструкции.
ya.ru и 8.8.8.8 пингуются из окна терминала WinBox-а, а с локальной машины- нет.
+ При добавлении параметра в DHCP Cleant Options новые строки в Routr List не добавились. И адрес шлюза в статусе DHCP client-а не появился.
Не пойму где искать ошибку.
avatar
По каким-то причинам не отрабатывает rc.local
забейте в поисковике, «восстановление iptables после перезагрузки ubuntu»
avatar
В микротике все это делается довльно просто, сам загрузчик нужно положить или на диск самого маршрутизатора или на флешку
Переходите в раздел IP — > DHCP-Server, вкладка Network и в настройках пула в пункте Boot File Name указываем файл для загрузки
Вот пример настройки!
avatar
не подскажете что делать, если у меня в сети уже есть 1 дхсп сервер который на микротике крутится? как выставлять настройки PXE?
avatar
да конечно… в чем как вы думаете еще может быть проблема?
avatar
Систему перезагружали?
avatar
#exit 0
iptables -F
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A FORWARD -i ens33 -o ens33 -j REJECT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
exit 0

собственно я так сделал и ничего не изменилось результать iptables -L показывает тот же результат
avatar
ок, добавлю, но вроде я пробовал отдельно и до, и после и до и после вместе… отпишусь как только попробую
avatar
добавлять их надо перед строкой exit0!
Вы хоть статью прочитайте внимательно, я ведь думал когда ее писал!
avatar
судя по выхлопу, у вас правила Iptables не созданы!
avatar
avatar
exit 0
iptables -F
iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
iptables -A FORWARD -i ens33 -o ens33 -j REJECT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu