Mikrotik RouterOS. Применение, настройки, возможности. Обмен опытом. (часть 2)
(Продолжение темы здесь)

Версия для печати

Конференция: Конференция iXBT.com (http://forum.ixbt.com/)
Форум: Коммуникации: сети и сетевые технологии (http://forum.ixbt.com/?id=14)
URL: http://forum.ixbt.com/topic.cgi?id=14:57592

Время GMT +04. Даты в формате dd.mm.yyyy.

Ильясла, 22.08.2012 09:09
(Это продолжение предыдущей темы (http://forum.ixbt.com/topic.cgi?id=14:51525) )

Микротик для начинающих
http://mstream.com.ua/mikrotik-tipichnie-problemi-i-ih-resheniay.html
Балансировка 2WAN
Известный способ решения вопроса "откуда пришёл - туда и ушёл" Mikrotik RouterOS. Применение, настройки, возможности. Обмен опытом. (часть 2), #2327 (http://forum.ixbt.com/topic.cgi?id=14:57592:2327#2327) А вот решение посложнее, включая балансировку исходящего из локальной сети траффика Mikrotik RouterOS. Применение, настройки, возможности. Обмен опытом., #4997 (http://forum.ixbt.com/topic.cgi?id=14:51525:4997#4997)
Технология WiFi
Базовые положения стандарта IEEE 802.11n для сетей Wi-Fi (http://zyxel.ru/kb/2105)
Принцип работы WDS по WIFI (http://forum.ixbt.com/topic.cgi?id=14:60408:9#9)
http://ru.wikipedia.org/wiki/WDS
Черновичок по "пионерскому" вайфаю версия 2.0 - инструкция по созданию беспроводных сетей (http://forum.nag.ru/forum/index.php?showtopic=73541&st=0)
технология VoIP
http://ab45.ru/2013/03/mikrotik-приоритезация-трафика-voip/
http://www.voxlink.ru/kb/voip-devices-configuration/…ic-configuration/
Разные полезные статьи и решения по Mikrotik
Мир без рэдмонских окон. Category Archives: Mikrotik (http://nixman.info/?cat=5)

1. Джамаль, 22.08.2012 09:09
bezblog

Вам нужно использовать L2-туннели, а не лепить из дерьма конфету с proxy-arp

Добавление от 22.08.2012 09:12:

О, мы на вторую часть вышли! Ильясла, может, продублируем заглавное сообщение сюда?

За это сообщение сказали спасибо: Balzamalex

2. Dpoke, 22.08.2012 11:00
Роутер RB493G, да ту самую страницу курил в вики и курил, чем отличается bridge и switch chip представляю.
Хочется именно аппаратное решение на switch chip-е.

3. sidor_ii, 22.08.2012 11:18
Ильясла
/ip firewall filter add action=drop chain=input in-interface=lan src-address-list=my-computers protocol=icmp

Это вы пинг прикрыли..., это ясно.
А как отследить что микротик на батарейку перешел и выполнить это правило, а потом на оборот если от сети работает то пинг разрешить ??

4. Джамаль, 22.08.2012 13:10
sidor_ii

Какие-то алерты есть в пакете UPS. Как работают - не знаю, но, видимо, в логировании что-то должно появиться

Добавление от 22.08.2012 13:13:

http://wiki.mikrotik.com/wiki/UPS_scripts

Взять за основу и сделать похожее

5. century21, 22.08.2012 22:35
Ребята, подскажите пожалуйста:
имеется локальная домашняя сеть (комп, ноут), роутер 751g, Win7. Я хочу организовать выключение компьютеров в заданное время через Scheduler на Mikrotike, при этом используя стандартную прогу Shutdown. В локальных политиках эту возможность включил. Какие для этого нужны команды или скрипты?
С ув. Андрей.

6. Джамаль, 22.08.2012 22:38
century21

Чтобы микротик выключал виндовые машины? Боюсь, ничего не выйдет. Проще написать скрипт, работающий на машинах, проверяющий раз во сколько-нибудь секунд наличие какого-нибудь параметра в микротике, и при его наличии выполняющий корректное выключение

7. century21, 22.08.2012 23:09
Я так понимаю что в скриптах нельзя сделать запуск какого нибудь батника на определенных машинах?

8. McAron, 23.08.2012 07:45
В наличии: RB-750 , управляемый свитч (L2) D-Link DES-1100-24 (http://www.dlink.ru/ru/products/1/1368.html) , Можно ли как-то настроить эти девайсы, чтобы, грубо говоря, увеличить кол-во интерфейсов роутера?
Цель - через интерфейсы свитча получать интернеты (12 штук) на роутер. Подключение к интернетам по статической паре MAC-IP.

9. Джамаль, 23.08.2012 10:11
century21

Нет. Это ведь локальные скрипты, а не удалённые.

Может, и можно подключаться к удалённому устройству по telnet, и тогда можно было бы передавать команды на Windows-машины. Но я не копал в этом направлении в RouterOS

Добавление от 23.08.2012 10:12:

McAron

Ключевое слово - транк и VLAN

10. robopyh, 23.08.2012 15:25
Всем привет.

Недавно узнал, что есть такие замечательные коробочки как MikroTik. Попробовал дома - понравилось, купил в офис. У меня 450G получает от провайдера инет, маскардит его в сеть 192.168.200.0/24, в локалке есть также 751G-2nD, в режиме моста. Вроде создал address-lists, firewall rules, инет у пользователей есть - всё работает (http, ftp, icq, yahoo, банк-клиенты). Также в сети есть почтовый сервер 1927168.200.200 конечно мне надо пробрасывать порты к нему и от него!
Я тут изучил все инструкции: правило firewall, dst nat. Но ничего не получается.
Попробовал, для примера, сделать возможность из вне зацепиться хотя бы на 751G (тот RB, что за NAT) по http, но только на 11980 порт.
вот такие строчки добавил:

1) [admin@MikroTik] /ip firewall nat> add action=dst-nat chain=dstnat disabled=no d
st-address=188.134.хх.хх dst-port=11980 in-interface=ether1-gateway protocol=tcp
to-addresses=192.168.200.197 to-ports=80

2)[admin@MikroTik] /ip firewall filter> add action=accept chain=forward comment="A
llow DMZ TCP-80" connection-state=new disabled=no dst-address=192.168.
200.197 dst-port=80 protocol=tcp in-interface=ether1-gateway

правило firewall filter стоит сразу после:
;;; Allow related connections
chain=forward action=accept connection-state=related

Подскажите что не так, где может быть ошибка?

11. Dpoke, 23.08.2012 16:56
robopyh
Возможно стоит добавить и лучше в начало цепочки forward.
chain=forward action=accept connection-state=established

12. robopyh, 23.08.2012 19:03
цитата:
Dpoke:
Возможно стоит добавить и лучше в начало цепочки forward.
chain=forward action=accept connection-state=established

Перенёс правило повыше. Но также не работает

13. McAron, 23.08.2012 22:43
Не могу разобраться как VLANы функционируют. Создаю на свитче 2 Port-Based VLAN :
1) Порты 1, 3 VLAN-ID=1
2) Порты 1, 5 VLAN-ID=2
По порту 1 свитч связан с RB-750
На RB-750 создаю 2 VLAN:

/interface vlan add arp=enabled disabled=no interface=ether1 12mtu=1522 mtu=1500 name=vlan1 use-service-tag=no vlan-id=1
/interface vlan add arp=enabled disabled=no interface=ether1 12mtu=1522 mtu=1500 name=vlan2 use-service-tag=no vlan-id=2

VLAN интерфейсам присваиваю IP:

/ip address add address=192.168.10.101/24 disabled=no interface=vlan1 network 192.168.10.0
/ip address add address=192.168.11.101/24 disabled=no interface=vlan2 network 192.168.11.0

После этого свитч с роутера спокойно пингуется через vlan2 (у роутера ip 192.168.11.254), но подключенный к 5-му порту свитча ноут не пингует 192.168.11.101
Ноут с роутера так же не пингуется.
IP ноута 192.168.11.26/24

P.S. Роутер чистый, больше ничего на нем не делалось

14. Джамаль, 23.08.2012 22:52
McAron

А PVID в коммутаторе прописали?

15. Gesha24, 23.08.2012 22:58
McAron
Я не знаю специфику Микротика, но 2 ВЛАНа без тегов (т.е. без 802.1q) на одном порту - это обычно к проблемам.

16. McAron, 23.08.2012 23:08
Пардон, я впервые с VLANами имею дело, VLAN-ID и PVID это одно и то же?

Добавление от 23.08.2012 23:16:

Gesha24 а не подскажете как ие порты нужно тегировать а какие нет в данном случае?

17. Gesha24, 23.08.2012 23:24
McAron
а не подскажете как ие порты нужно тегировать а какие нет в данном случае?
А чего вы хотите достичь?

18. sherwood, 23.08.2012 23:30
Gesha24
А чего вы хотите достичь?
выше написано:

McAron
В наличии: RB-750 , управляемый свитч (L2) D-Link DES-1100-24 , Можно ли как-то настроить эти девайсы, чтобы, грубо говоря, увеличить кол-во интерфейсов роутера?
Цель - через интерфейсы свитча получать интернеты (12 штук) на роутер. Подключение к интернетам по статической паре MAC-IP.


такая схема у меня работает. вам надо на коммутаторе например на первых 12 портах создать 12 vlan с 2-13 порты должны быть access, далее например порт 14 сделать trunk к этим vlan (как DLink я не знаю, настраивал на cisco), потом на микротике создаете на wan интерфейсе столько же vlanов сколько и провайдеров 12 и пишете каждому VLAN-ID - номер vlanа, ну и далее работаете с ним как с обычным интерфейсом.

19. McAron, 23.08.2012 23:33
Нужно чтобы роутер видел сеть на 5 и 3 портах свитча и имел по одному айпишнику в каждой из них.

20. Gesha24, 23.08.2012 23:35
McAron
http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN#…ing_between_VLANs - видели?

Добавление от 23.08.2012 23:35:

Нужно чтобы роутер видел сеть на 5 и 3 портах свитча и имел по одному айпишнику в каждой из них.
А как свитч настроен?

21. McAron, 23.08.2012 23:55
Рисунок (http://s019.radikal.ru/i607/1208/47/0a8ce56d3d30.jpg)
Как это понимать? Для транка нужно обязательно минимум 2 интерфейса?

22. Джамаль, 24.08.2012 08:18
Gesha24
McAron

Всё у него правильно настроено. Проблема - в коммутаторе

Добавление от 24.08.2012 08:21:

McAron
VLAN-ID и PVID это одно и то же?

Нет, это разные вещи. Хотя, в вашей схеме они должны совпадать. Поищите получше в коммутаторе, есть ли такой параметр

Добавление от 24.08.2012 08:44:

а, ещё могут быть не выставлены галки в меню Forwarding в коммутаторе

Добавление от 24.08.2012 09:16:

McAron

http://www.dlink.ru/ru/faq/63/1010.html

Вот так кури Или это и было сделано?

23. McAron, 24.08.2012 12:46
Джамаль
Вот так кури Или это и было сделано?
Так и было. Что любопытно и не понятно - IP висящий на VLAN интерфейсе роутера (192.168.11.101) начинает пинговаться лишь после того как реальному интерфейсу (ether1) присваивается IP с той же сети, например, 192.168.11.1. Но даже при такой настройке ноут с роутера не пингуется

24. Джамаль, 24.08.2012 12:53
McAron

Значит, транковый порт коммутатора не стал транковым. Получается, длинковская фишка Port-based VLAN для такой схемы не годится. Настраивайте в режиме 802.1q

В этом режиме надо помнить, что tagged - это тэгированный, то есть, передаваемый по транку. Untagged - это нетэгированный, то есть обычный, смотрящий в пользовательскую сеть

25. McAron, 24.08.2012 13:03
ох. Спасибо. Буду с этим делом разбираться.

Добавление от 24.08.2012 17:59:

Оказалось прошивка свитча не рабочая. Обновил на 1.00.11 Все заработало как на Port-based так и на 802.1Q. Поубивал бы китайцев за это. Зачем выпускать устройства с изначально не рабчим базовым функционалом?!

26. Небесный, 25.08.2012 11:42
Подскажите, как правильно настроить фаер?
Нужно разрешить клиентам 80-й порт и 25/110. Все остальное закрыть наглухо.

Я не совсем понял, что делать со стандартными правилами - accept forward related и accept forward esteblished.

27. Gesha24, 25.08.2012 17:22
Небесный
Я не совсем понял, что делать со стандартными правилами - accept forward related и accept forward esteblished.
related вы можете оставить включенным для icmp протокола, хотя я думаю что и без него работать будет. А established вам обязательно нужен, иначе запрос-то на 80 порт веб сервера вы пошлете, а ответ до вас не дойдет.
P.S. Еще надо учесть, что достаточно много сайтов используют https - с одной стороны его неплохо бы открыть, с другой - вы таким образом позволите юзерам подключаться к SSL VPNу, если у них он есть "на стороне".

28. sherwood, 25.08.2012 20:36
Небесный
Нужно разрешить клиентам 80-й порт и 25/110. Все остальное закрыть наглухо.
например:

код:
/ip firewall filter
add action=drop chain=forward disabled=no dst-port=!80,8081,443,25 protocol=tcp
add action=drop chain=forward disabled=no protocol=tcp src-port=!110

29. Небесный, 27.08.2012 09:26
Gesha24, спасибо!

sherwood, и в конце правило drop на все? И не совсем понял почему action=drop, может все таки accept?

30. мудрец, 27.08.2012 12:32
Небесный
И не совсем понял почему action=drop, может все таки accept?

Первый drop рубит все dst-порты кроме 80,8081,443,25
Второй drop рубит все src-порты кроме 110
Только в правильности второго дропа у меня сомнения, я так понимаю что этим правилом мы оставляем локальным машинам только один входящий порт - 110. Поправьте меня если ерунду несу

31. Небесный, 27.08.2012 13:24
А-а, вот что восклицательный знак означает! Спасибо.

32. sherwood, 27.08.2012 16:51
мудрец
правилом мы оставляем локальным машинам только один входящий порт - 110.
да, в принципе оно лишнее, так как исходящий трафик от клиента и так определит что можно, а входящий даже если он будет отличным от того что разрешен не сможет получить ответ так как исходящее правило будет его рубить.

33. Небесный, 27.08.2012 17:05
Вроде работает, спасибо. Вот только p2p это не глушит как оказалось.

34. Gesha24, 27.08.2012 17:08
мудрец
я так понимаю что этим правилом мы оставляем локальным машинам только один входящий порт - 110
Нет, мы оставляем исходящий порт 110, что АФАИК может не даст получить почту т.к. нам нужен входящий порт на удаленной машине.

Небесный
А-а, вот что восклицательный знак означает! Спасибо.
Лично я бы сначала разрешил все нужные мне порты и потом бы сделал запрет на все, т.к. лично мне так легче читать. Но вариант sherwood'а тоже должен быть работоспособен.

Добавление от 27.08.2012 17:10:

Небесный
Вот только p2p это не глушит как оказалось.
Хм, странно... p2p можно отдельно заблокирвать командой типа ip firewall filter add chain=forward p2p=all-p2p action=drop, но по идее он и так должен блокироваться...

35. fhntv_smart, 27.08.2012 19:36
Гуру скриптописатели, помогите.
Давно назревала необходимость сделать резервный канал.
Но, вариантов в принципе нет. Есть USB модем. Воткнул я его в омнитик.
Настроил на омтитике NAT. Настроил EoIP туннель до основного шлюза RB450
Там добавил второй роут, второй нат, все чин-чином, если основной канал падает, все идет на второй канал. Все работает.
Но, на 3G свистке оплата по времени работы.
Соответственно его нужно включать только когда основной канал падает.

Стал смотреть на возможности встроенного SSH клиента. Добавил ему сертификаты, что-бы можно было выполнять команды без ввода пароля.

Теперь, если выполнить из консоли команду system ssh 192.168.0.130 user=admin "interface disable [/interf
ace find comment=mts]" то все работает.
Даже system ssh 192.168.0.130 user=admin "interface disable ppp-out1" тоже работает.
А вот если запихиваю команду в скрипт (system scripts), нажимаю RUN, то ничего не происходит. И в логах Омнитика тишина.

Даже если запускаю из консоли
system script run pppUp

Включаю Dial On Demend, проходит пара минту, приходи какой-то левый пакет, номер рабирается...
Что за левые пакеты хз, но раз в минуту какая-то мелочевка идет.
Сейчас на омнитике включен Scr-nat для интерфейса ppp-out0. Поскольку у SCR-NaT нет внутреннего интрефейса, любой клиент может выбрать его в качестве шлюза и получить инет. Возможно это и есть эти левые пакеты...

36. robopyh, 28.08.2012 15:27
Помогите пробросить порт.
Бьюсь уже неделю, что-то не так, а вот что понять не могу .
У меня сейчас вот такие настройки :

[admin@MikroTik] > ip firewall nat print
;;; POP3 port-forwarding to Mail Server
chain=dstnat action=dst-nat to-addresses=192.168.200.41
to-ports=110 protocol=tcp dst-address=188.134.xx.xx dst-port=110

[admin@MikroTik] /ip firewall filter> print
;;; Allow POP3 from Inet to Ether1
chain=input action=accept protocol=tcp dst-address=188.134.хх.хх
dst-port=110

37. Джамаль, 28.08.2012 15:30
robopyh

А прямую трансляцию (src-nat) кто делать будет? Почтовик ваш пакет получает, отвечает на него, а маршрутизатор ответ не транслирует.

38. robopyh, 28.08.2012 16:26
Что-то типа вот такого надо?

;;; POP3 port-forward from Mail Server
chain=srcnat action=src-nat to-addresses=188.134.хх.хх to-ports=110
protocol=tcp src-address=192.168.200.41 src-port=110

39. Джамаль, 28.08.2012 16:56
robopyh

Типа того, ага

40. robopyh, 28.08.2012 23:44
Джамаль

Что-то всё равно не хочет 110 порт телнетом открываться. А помимо src-nat, надо ещё в ip firewall filter добавлять правило?

41. Джамаль, 29.08.2012 07:45
robopyh

Если у вас файрвол что-то запрещает в ту сторону, то надо.

Обычно делается так:

/ip fire nat add chain=srcnat out-interface=WAN action=masq (либо /ip fire nat add chain=srcnat src-address=server-IP proto=tcp src-port=110 action=src-nat to-address=WAN-IP)
/ip fire nat add chain=dstnat dst-addr=WAN-IP dst-port=110 action=dst-nat to-addr=server-IP to-port=110
/ip fire filter add chain=input dst-address=WAN-IP proto=tcp dst-port=110 action=accept

Последнее правило надо переместить повыше, чтобы оно было на своём месте, а не в хвосте. Ну и если файрвол не используется, то последнее правило не нужно.

Добавление от 29.08.2012 14:13:

Неожиданно удивила меня RouterOS. Оказывается, в ней встроена поддержка USB-Serial мостиков, что позволяет поиметь последовательный порт даже на машинке без оного. Однозначно поддерживаются мостики на FT232 (сам ставил), должны поддерживаться и PL2303. После подключения мостика в системе появляется порт под названием usb1...n, имеющий все свойства последовательного порта. Может быть использован для подключения чьей-нибудь консоли, UPS, модема, а также для проброса чужого последовательного порта через Ethernet на локальную машину. Не может быть использован для правки биоса Routerboard

За это сообщение сказали спасибо: Ильясла

42. sherwood, 29.08.2012 16:59
нужен технический совет по радио, линк на sentax, мимо, полоса 40. проблема в следующем, выставляю MCS-15, то есть скорость передачи 300\300, делаю тест скорости внутренний 170Мбит\с\ на 150Мбит\с пробую прокачать насквозь видео файл в один поток и получаю примерно 20Мбит\с при этом показатели 300\300 не прыгают, CCQ 100% делаю MCS-14 (270\270) внутренний тест падает на 140Мбит\с, но прокачка насквозь в один поток 60Мбит\с то есть примерно максимальная для радио в один поток, на сколько я разбираюсь в этих "колбасный обрезках" на большой скорости идет большая потеря пакетов при передачи и естественно идут пере повторы что приводит к снижению скорости передачи данных, вопрос в следующем - почему в winbox это ни где не отображается, то есть канальная скорость стоит 300\300, если он не может передать на этой скорости по чему не понижает ее? можно ли как то посмотреть эту потерю, эти повторы и т.д., так же что такое канальная скорость, то есть выставляю 270\270 и 243\243 и ни какой разницы при прокачки в один поток, как то мне это не совсем понятно, понимаю что при меньшей скорости будет меньше потерь и соответственно более стабильный линк, но где граница на сколько можно понизить что бы не снизилась скорость прокачки через этот мост.

43. robopyh, 29.08.2012 17:04
цитата:
Джамаль:
robopyh

Если у вас файрвол что-то запрещает в ту сторону, то надо.

Обычно делается так:

[color="green"]/ip fire nat add chain=srcnat out-interface=WAN action=masq[/color] (либо [color="green"]/ip fire nat add chain=srcnat src-address=server-IP proto=tcp src-port=110 action=src-nat to-address=WAN-IP[/color])
[color="green"]/ip fire nat add chain=dstnat dst-addr=WAN-IP dst-port=110 action=dst-nat to-addr=server-IP to-port=110[/color]
[color="green"]/ip fire filter add chain=input dst-address=WAN-IP proto=tcp dst-port=110 action=accept[/color]

Последнее правило надо переместить повыше, чтобы оно было на своём месте, а не в хвосте. Ну и если файрвол не используется, то последнее правило не нужно.
Так у меня вроде так и сделано, но всё равно не работает, т.е. может и работает, но не так как надо и 110 порт не откликается снаружи.
Ведь если схема проброса портов такая простая, как Вы написали, то наверно у меня что-то не так с правилами вверху списка, но я их тоже не сам придумывал (к сожалению). Если не работает, то может они мешают, а?

[admin@MikroTik] > ip firew filter pri
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

1 ;;; Block incoming
chain=input action=drop protocol=0 src-address-list=BlackList

2 ;;; Allow Telnet incoming
chain=input action=accept protocol=tcp dst-address=188.134.хх.хх
src-address-list=WhiteList dst-port=23

3 ;;; Allow established connections
chain=forward action=accept connection-state=established

4 ;;; Allow related connections
chain=forward action=accept connection-state=related

5 ;;; Allow UDP
chain=forward action=accept protocol=udp

6 ;;; Allow ICMP Ping
chain=forward action=accept protocol=icmp

7 ;;; Allow POP3 from Inet to Ether1
chain=input action=accept protocol=tcp dst-address=188.134.хх.хх
src-port=110

8 ;;; Allow POP3 from Ether1 to Inet
chain=output action=accept protocol=tcp src-address=188.134.хх.хх
dst-port=110

9 ;;; Drop all
chain=forward action=drop

и NAT:

Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1-gateway


1 ;;; POP3 port-forwarding to MiniS Mail Server
chain=dstnat action=dst-nat to-addresses=192.168.200.41
to-ports=110 protocol=tcp dst-address=188.134.хх.хх dst-port=110

2 ;;; POP3 port-forward from Mail Server
chain=srcnat action=src-nat to-addresses=188.134.хх.хх protocol=tcp
src-address=192.168.200.41 src-port=110

Единственное, что у меня получается -это продублировано вторым правилом нулевое, только более узко (если можно так выразиться), а Вы писали
цитата:
Джамаль:
[color="green"]/ip fire nat add chain=srcnat out-interface=WAN action=masq[/color] (либо [color="green"]/ip fire nat add chain=srcnat src-address=server-IP proto=tcp src-port=110 action=src-nat to-address=WAN-IP[/color])
"ЛИБО". Но мне кажется , что если одно не сработает, то другое должно стработать и они друг другу не мешают. И тем более port-forwardingне работает не из-за этого.

44. Sher-khaN!, 30.08.2012 07:07
Похоже немного поломали PPTP в ROS 5.20 (

Эффект проявляется в невозможности установить подключение PPTP встроенным клиентом Windows, при условии что до этого был поднят PPTP тоннель с помощью клиента встроенного в MT. И наоборот - если недавно подключались с винды, то тоннель не подымается уже на микротик. После перезагрузки (клиентского) MT, всё работает нормально. Эффект наблюдается на RB450G. На версии 5.18 такого не было.

Добавление от 30.08.2012 07:10:

PS. Даунгрейд прошивки делается аналогично апгрейду?

45. Джамаль, 30.08.2012 07:53
robopyh

1 ;;; Block incoming
chain=input action=drop protocol=0 src-address-list=BlackList


8 ;;; Allow POP3 from Ether1 to Inet
chain=output action=accept protocol=tcp src-address=188.134.хх.хх
dst-port=110


7 ;;; Allow POP3 from Inet to Ether1
chain=input action=accept protocol=tcp dst-address=188.134.хх.хх
src-port=110


Странности выделены жирным шрифтом. Либо тут путаница в направлениях, либо я вообще ничё не понимаю

В последних правилах, наверное, таки следует chain=forward писать. По крайней мере, в правиле №8 - ведь сервер обращается не к микротику для отправки ему почты, а таки вовне.

Добавление от 30.08.2012 07:54:

Sher-khaN!
Даунгрейд прошивки делается аналогично апгрейду?

Не совсем. Старая прошивка кладётся в Files, а затем надо зайти в Packages и нажать кнопку Downgrade

46. Dpoke, 30.08.2012 11:53
Dpoke
Микротик 2 порта собранные в свитч:
Мастер порт ether2.
код
код:

ether2 ether3
тип порта: trunk port access port
вланы: 10,20 10


Вланы созданы на интерфейсе ether2.
int Vlan10 - 192.168.10.1/24
int Vlan20 - 192.168.20.1/24
Напишите настройки для чип свитча, чтобы компы подключенные к портам 2 и 3 смогли увидеть друг друга в 10м влане
и увидеть адреса на интерфейсах влан10 и влан20 микротика.


Не так давно просил помочь по задаче озвученной выше, судя по ответам ее никто не решал, думаю будет полезно привести ее решение:
Напомню, что у меня RB493G.

Решение:

Настройки для switch chip:
код:

/in et sw po pr
0 ether2 switch2 secure add-if-missing
1 ether3 switch2 secure always-strip
2 switch2_cpu switch2 secure add-if-missing

/in et sw vl pr
0 switch2 0 ether3
1 switch2 10 ether2
2 switch2 20 ether2

/in et sw ru pr
0 switch=switch2 ports=ether2 vlan-header=present vlan-id=10 copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=ether3,switch2_cpu
1 switch=switch2 ports=ether2 vlan-header=present vlan-id=20 copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=switch2_cpu
2 switch=switch2 ports=ether3 vlan-header=not-present copy-to-cpu=no redirect-to-cpu=no mirror=no new-dst-ports=ether2,switch2_cpu new-vlan-id=10

/in vl pr
0 R vlan-10 1500 enabled 10 ether2
1 R vlan-20 1500 enabled 20 ether2

/in et pr
1 R ether2 1500 00:0C:42:AA:20:37 enabled none switch2
2 RS ether3 1500 00:0C:42:AA:20:38 enabled ether2 switch2

Несколько комментариев:
1. На вики Микротика не написано про switch_cpu порты. А это важно! Через эти порты виртуальный свитч взаимодействует с остальным маршрутизатором.
2. После всей этой настройки пришлось пересобрать свитч убрать slave интерфейс ether3 и сделать его slave-ом снова, тогда связь с vlan-интерфейсами появилась.

В оригинальной задаче я упоминал бриджи.
С ними все тоже работает vlan-интерфейсы можно разместить на bridge и добавить master-port свитча в bridge, все тоже будет работать.

Master-портом свитча можно делать как trunk-порт так и access-порт, разницы никакой не заметил.

Спасибо за внимание.

За это сообщение сказали спасибо [2]: pragmatrans, Ильясла

47. McAron, 31.08.2012 03:29
Каким образом можно создать в RB750 VLAN с двумя виртуальными интерфейсами? Нужно по одному VLAN'у получать интернеты на 2 MAC'а. А "/interface add vlan..." не разрешает добавить еще один интерфейс с тем же VLAN-ID

48. Джамаль, 31.08.2012 07:22
McAron

Разве если к тому влану бридж привязать, и все действия по приёму и передаче трафика делать от имени того бриджа - у него МАС-адрес другой, и его менять можно

49. McAron, 31.08.2012 08:32
У меня и так VLAN интерфейс в бридже. Мак менять можно но он один. Как бы еще один туда прикрутить? А в идеале - несколько.

50. Джамаль, 31.08.2012 10:49
Бриджей можно много напихать. И необязательно их второй конец куда-то выводить ;)

Схема такая: ether1 держит в себе влан1, а к влану1 подключены бридж1, бридж2, бридж3 и так далее. IP-адреса, которые должны получать интернет (или PPPoE-клиенты) сидят не на ether1, не на влан1, а на бриджах, каждый на своём. Всё.

/int vlan add name="vlan1" vlan-id=10 disa=no

/int bri add name="bridge1" disa=no mac=DE:AD:BE:EF:01:23
/int bri add name="bridge2" disa=no mac=DE:AD:BE:EF:45:67
/int bri add name="bridge3" disa=no mac=DE:AD:BE:EF:89:10
/int bri add name="bridge4" disa=no mac=DE:AD:BE:EF:11:12
/int bri add name="bridge5" disa=no mac=DE:AD:BE:EF:13:14

/int bri port add bri="bridge1" port="vlan1"
/int bri port add bri="bridge2" port="vlan1"
/int bri port add bri="bridge3" port="vlan1"
/int bri port add bri="bridge4" port="vlan1"
/int bri port add bri="bridge5" port="vlan1"

/ip add add add=10.0.0.20/24 int=bridge1 disa=no
/ip add add add=10.0.1.21/24 int=bridge2 disa=no
/ip add add add=10.0.2.22/24 int=bridge3 disa=no
/ip add add add=10.0.3.23/24 int=bridge4 disa=no
/ip add add add=10.0.4.24/24 int=bridge5 disa=no

За синтаксис не ручаюсь, но принцип должен быть понятен

51. McAron, 31.08.2012 12:19
так не хочет. при добавлении vlan1 во второй бридж: failure: device already added as bridge port

52. SashKo, 31.08.2012 16:05
Добрый День!
Настроил в микротике блокировку вебсайтов и кое-каких закачек по этому примеру:
http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy
работает-блокирует всех, а как сделать так чтобы для некоторых товарищей блокировки не работали?

53. Джамаль, 31.08.2012 17:17
SashKo

А каким образом вы хотите отсеивать товарищей?

54. McAron, 01.09.2012 16:45
Подскажите как быть. НА одном внешнем интерфейсе 2 IP с одной подсети (10.10.10.101/24, 10.10.10.102/24), шлюз общий : 10.10.10.1
есть 2 клиента, с разными mark route: MarkClient1, MarkClient2 . Как послать 1 клиента ходить в интернеті через 10.10.10.101, а второго через 10.10.10.102?

55. Джамаль, 01.09.2012 16:52
McAron

Разные правила трансляции:
/ip fire nat add chain=srcnat src-address=адрес_первого_клиента action=src-nat to-address=10.10.10.101

/ip fire nat add chain=srcnat src-address=адрес_второго_клиента action=src-nat to-address=10.10.10.102

56. sherwood, 01.09.2012 16:53
McAron
Как послать 1 клиента ходить в интернеті через 10.10.10.101, а второго через 10.10.10.102?
в рутах выбирайте метку первого клиента, которой вы его пометили в мангле и пишите через какой ip ему ходить.

57. McAron, 01.09.2012 17:04
Спасибо. План прост. По-этому красив)

Добавление от 01.09.2012 21:50:

какая-то ерунда. Не могу настроить чтобы к Routerboard'у был доступ с внешних сетей.

Мечу сисходящие пакеты следующим образом:
/ip firewall mangle add action=mark-routing chain=output disabled=no new-routing-mark=MarkClient3 out-interface=BridgePort3 passthrough=no src-address=10.10.10.101
где 10.10.10.101 - ip внешнего интерфейса
И пингуя извне 10.10.10.101 не получаю ответа.
При этом логи говорят что пакеты icmp на 10.10.10.101 приходят. Проверяю следующим образом:
/ip firewall mangle add action=log chain=input disabled=no dst-address=10.10.10.101 protocol=icmp
Но исходящих icmp пакетов вообще не наблюдается:
проверяю так:
/ip firewall filter add action=log chain=output disabled=no protocol=icmp

Роут для MarkClient3 такой:
/ip route add add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=MarkClient3 scope=30 target-scope=10
И для справки существует клиентский комп помеченный этой меткой по айпишнику и исправно ходящий в интернеты

58. janic77, 02.09.2012 16:32
Здравствуйте.

Очень хочется здесь задать пару-тройку, возможно, нубских вопроса по устройствам RB450G, RB Omnitik & RB SXT 5HnD. Ответы на них ищу длительное время, но, вероятно, плохо ищу.

Конструкция: internet->RB450G->Omnitik->(wifi)->SXT->server

Версии прошивок и ОС:
rb450g - 5.20 2.39
omni - 5.18 2.38
sxt - 5.18 2.38

Система используется для поднятия полноценного 100мбитного линка в здании без интернета. На данный момент это сделать удалось, все работает достаточно хорошо, но есть некоторые нюансы, о которых и беспокоюсь.

1. При большом количестве пользователей онлайн я получаю падение ether - интерфейса на RB450G и на Omnitik. Выглядит так:

ether3 link down и в ту же секунду
ether3 link up (speed 100M, full duplex)

и на смежном ether у омнитика та же песня.

Как диагностировать в чем же проблема? Возможно это уже обсуждалось когда-то? Какие данные о настройках мне нужно указать, чтобы дать больше информации, если можно с кодом, как их извлечь.

2. Пытались прокинуть телевидение. Передается через мультикаст по удп. Пытались это сделать, используя IGMP-PROXY и через PIM на RB450G. Я честно не знаю нюансов того и другого протокола и в чем большая разница. Я нашел на вики две инструкции по их настройке и на каком-то форуме сообщения, о том, что это работает. Сделал по инструкции, но работать не захотело. Могу так же привести все коды или по вашей инструкции сделать все заново, так как сделал откат, чтобы не натворить хрени и сейчас все отключено.

Очень надеюсь на помощь, особенно с первой проблемой. Она очень беспокоит.

Заранее спасибо большое

59. SashKo, 03.09.2012 08:44
цитата:
Джамаль:
SashKo

А каким образом вы хотите отсеивать товарищей?

а их нужно отсеивать? я предполагаю нужно просто создать для каждого товарища правило, которое будет их водить мимо web-proxy микротика....

поясню:
мне нужно чтобы открывались только разрешённые сайты, сделал как в вышеуказанном примере, только перед адресом ставлю ! , это правило работает для всех. Но в тоже время нужно чтобы у начальников открывались нужные им странички.

60. Джамаль, 03.09.2012 12:14
SashKo

Понимаете, начальник - это должность человека, её невозможно просто так формализовать в компьютере. Поэтому, начальник должен как-то подтвердить, что он - это он, а не слесарь Вася. Поэтому, начальник должен либо работать только за одним и тем же компьютером, либо вводить логин и пароль, либо втыкать смарткарту, либо предоставлять отпечаток пальца. Какой из этих способов у вас принят?

61. SashKo, 04.09.2012 08:39
Джамаль
Поднят ПППоЕ сервер, который выдаёт каждому пользователю по его логину и паролю статический ip адрес из 172.16.16.0/24...
По этим ip режется скорость, блокируются и пробрасываются в интернет порты.
Вот и для этих некоторых ip адресов нужно организовать возможность ходить мимо web-proxy mikrotika.

62. piterharuna, 04.09.2012 20:41
Здрасвствуйте . Уже много лет являюсь неприхотливым пользователем mirrotik os . Год назад собрал товарищу(из соседнего поселка) на старом компе базу на микротике 3.2 для личного пользования плюс два соседа по вифи . Гдето месяц назад после очередной грозы у него от компа в живых осталась только флешка(ата) с осью . Подобрали мы новое железо и он вернул базу в строй . Но неделю назад он мне позвонил и говорит что микротик работает но доступа в паутину нет . Продиктовал мне адрес ppoe интерфейса , но пропинговать мне его не удалось . Я заставил его сделать пинг на 8.8.4.4 , по интерфейсу ppoe пинги пошли . Пришлось ему перенастроить модем .


Сегодня я побывал у него дома дабы вернуть железку в строй . Настройки самые простые . Точка доступа (вифи) в мосте с проводным интерфейсом , ппое клиент на провайдера , маскарад , раздача адресов , вебпрокси (чтоб при нужде перенаправлять соседей к телефону ) . Посмотрел я(винбокс) , все настройке на месте но запросы до провайдера не доходят . РЕсетнул я ось , поднял ппое , назначил адрес локалке , поднял маскарад но воз и ныне там . Ещо пробывал маскарадить по сурс листу , результат тот же . Снял флешку решил перезалить ось , но меня терзает мысль о том что я слишком мало знаю чтоб справиться с такой простой проблемой . Я ещо двум односельчанам настраивал микротики они приходили домой подключали кабеля и все работало ,а тут такая история ... Пожалуста толкните в правельном направлении .

63. sherwood, 05.09.2012 00:01
возможно ли на RO поднять DHCP с выдачей связки IP+MAC? если возможно, пните в нужную сторону.

P.S.
сам спросил, сам решил, не обращайте на меня внимания , поздно уже

64. Gesha24, 05.09.2012 02:17
piterharuna
Давайте с самого начала - у соседа для доступа в интернет используется ADSL модем? Если да, то вообще без микротика, а с простым компом и настроенным PPPoE клиентом на нем интернет есть?

65. sherwood, 05.09.2012 09:34
piterharuna
вебпрокси (чтоб при нужде перенаправлять соседей к телефону ) .
и вот это еще разъясните, потому как для направления клиента (соседей) или клиентов на нужный канал прокси не требуется, и потом проксей вы не весь трафик завернете на нужный канал.

66. piterharuna, 05.09.2012 10:04
Да есть , при настройке модема(зиксель) роутером все работает . Микротик подымает PPPoe , пинги от микротика на 8.8.4.4(DNS гугла) идут , а с компа нет . Я со стороны интернета пропинговать адрес машины с микротиком(соседний поселок) не могу . Почти год все работало а после смены материнки через две недельки сначала почерез несколько ребутов работало а сейчас полностью заглохло . После ресета по меню SETUP при самых минимально необходимых настройках результат то тже . Я три часа тыкаясь по винбоксу пытался понять что где не так но настройки на месте .
Я уже 4 года использую два компа с микротиками для связи между своими фазендами , несколько раз менял винчестера , настраивал неоднократно . Думал проблема с флешкой , слил конфигурацию с флешки и поставил винчестер залил на него результат тот же что и на флешке знач проблема не в апаратной части а в настройках . Я конечно переустановлю на флешку микротик но мне уж больно интересно что же случилось .

Добавление от 05.09.2012 10:14:

Перенаправить к телефону (закрыв доступ к нету) чтоби позвонили и уточнили когда смогуд денюжкой поделиться ведь совмесно используют доступ по одному каналу . Там самые простейшые настройки , при закрытии доступа через прокси легко можно в обход , но люди даже перенастроить браузер не умеют . А прокси им передает номер телефона чтоб напомнить кто главный .

67. sherwood, 05.09.2012 15:29
piterharuna
А прокси им передает номер телефона чтоб напомнить кто главный .
для этого тоже не обязательно использовать прокси, что бы не заплативших за интернет перекидывало на страничку - Пора платить по счетам хомяк
тогда поэтапно будем разбираться:
1.покажите свои интерфейсы (надеюсь как их показать писать не надо?).
2.покажите правило для NAT.
3.в свойствах интерфейса PPPoE включено Add Default Route и Use Peer DNS, если вы конечно не принудительно направляете пользователей на нужный интерфейс.
4.как получают пользователи свои IP, DHCP или статика, если DHCP то посмотрите на микротике и на клиенте все ли они получили.
пока этого хватит.

68. tlmoscow, 05.09.2012 18:25
Поймал непонятное поведение на 5.20. Железо - x86, настроен транспарент шейпер по мануалу, но есть проблемы с simple queue:
даунлоад клиента режется нормально (30мбит задано, 29-39 по спидтесту реально приходит клиенту), а с аплоадом проблемы, задан лимит 30Мбит, клиент получает меньше 20Мбит, хотя канал в обе стороны свободен. Загрузка проца не более 9%. Если микротик убрать и подключит кабель прова напрямую в клиента, то всё ок - работат шейпер прова на 50/50. Что может быть и куда рыть?

69. Delete, 05.09.2012 19:23
Уважаемые гуру, объясните пожалуйста.
У меня два провайдера, у обоих авторизация по pppoe, IP динамические. Пробую вот по этому мануалу http://wiki.mikrotik.com/wiki/PCC#Introduction настроить балансинг, но не знаю откуда брать IP.
С остальным все понятно, не могу разобраться только с указанием IP для каждого интерфейса.

Там написано:

/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2

С IP для LAN все понятно, это который смотрит в локалку. А как быть с провайдерскими, что указывать?
Вот этот IP 10.111.0.2/24 можно использовать как есть, указать так же как в примере по ссылке выше, или надо узнать какие диапазоны и подсети у каждого провайдера, и указывать их? Или существует переменная, позволяющая подставить динамический IP, полученный от провайдера, вместо 10.111.0.2/24 и 10.112.0.2/24? У обоих провайдеров динамические IP и подсети сильно различаются, много разных диапазонов. В Addresses, если сделать как в примере выше, эти адреса становятся unreachable.

70. sherwood, 05.09.2012 19:29
Delete
Уважаемые гуру, объясните пожалуйста.
что такое "пожалуйста" объяснить? http://ru.wiktionary.org/wiki/%D0%BF%D0%BE%D0%B6%D0%…D1%81%D1%82%D0%B0

звиняйте, что то форум тупит, прочитал только одну строчку, или ТС отредактировал.


Delete
но не знаю откуда брать IP
а вы не IP а интерфейс указывайте

71. Delete, 05.09.2012 19:32
Извините, это мой браузер виноват, сначала запостилась только одна строчка.

Добавление от 05.09.2012 20:28:

sherwood

Пробую указать pppoe-out1 в Dst. IP в Mangle Rule, не принимает, пишет что требуется IP адрес.

И надо явно указывать эти IP в Addresses, или можно эти две строчки вообще пропустить?
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=ISP1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=ISP2

72. Джамаль, 05.09.2012 21:29
Delete
Пробую указать pppoe-out1 в Dst. IP

Попробуйте указать его в Out interface

73. Delete, 05.09.2012 22:06
Джамаль

Что-то не получается, уже все варианты перепробованы. Каналы переключаются, если один отключить, а вот оба использовать не может, балансинг не работает.
Если поможете найти ошибку в конфигах, буду очень благодарна.

код:

export
# sep/05/2012 21:54:08 by RouterOS 5.20
# software id =
#
/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes disabled=yes forward-delay=15s max-message-age=20s mtu=\
1500 name=bridge-interface priority=0x8000 protocol-mode=none transmit-hold-count=6
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes disabled=no forward-delay=15s l2mtu=1520 \
max-message-age=20s mtu=1500 name=Wired-Wifi priority=0x8000 protocol-mode=none transmit-hold-count=6
/interface ethernet
set 0 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=PoE disabled=no full-duplex=yes l2mtu=1520 \
mac-address=00:0C:42:A7:08:12 master-port=none mtu=1500 name=ether1 speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=lan1 disabled=no full-duplex=yes l2mtu=1520 \
mac-address=00:0C:42:A7:08:13 master-port=none mtu=1500 name=LAN speed=1Gbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=lan2 disabled=no full-duplex=yes l2mtu=1520 \
mac-address=00:0C:42:A7:08:14 master-port=LAN mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=\
00:0C:42:A7:08:15 master-port=LAN mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=\
00:0C:42:A7:08:16 master-port=LAN mtu=1500 name=ether5 speed=100Mbps
set 5 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=\
00:0C:42:A7:08:17 master-port=none mtu=1500 name=ether6 speed=100Mbps
set 6 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited disabled=no full-duplex=yes l2mtu=1520 mac-address=\
00:0C:42:A7:08:18 master-port=none mtu=1500 name=ether7 speed=100Mbps
set 7 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=wan1 disabled=no full-duplex=yes l2mtu=1520 \
mac-address=00:0C:42:A7:08:19 master-port=none mtu=1492 name=ISP1 speed=100Mbps
set 8 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=wan2 disabled=no full-duplex=yes l2mtu=1520 \
mac-address=00:0C:42:A7:08:1A master-port=none mtu=1500 name=ISP2 speed=1Gbps
/interface ethernet switch
set 0 mirror-source=none mirror-target=none name=switch1
set 1 mirror-source=none mirror-target=none name=switch2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" group-ciphers=tkip group-key-update=5m interim-update=0s \
management-protection=disabled management-protection-key="" mode=dynamic-keys name=default radius-eap-accounting=no \
radius-mac-accounting=no radius-mac-authentication=no radius-mac-caching=disabled radius-mac-format=XX:XX:XX:XX:XX:XX \
radius-mac-mode=as-username static-algo-0=none static-algo-1=none static-algo-2=none static-algo-3=none static-key-0="" \
static-key-1="" static-key-2="" static-key-3="" static-sta-private-algo=none static-sta-private-key="" static-transmit-key=\
key-0 supplicant-identity=MikroTik tls-certificate=none tls-mode=no-certificates unicast-ciphers=tkip wpa-pre-shared-key="" \
wpa2-pre-shared-key=nickppp128
/interface wireless
set 0 adaptive-noise-immunity=none allow-sharedkey=no antenna-gain=7 area="" arp=enabled band=2ghz-b/g basic-rates-a/g=6Mbps \
basic-rates-b=1Mbps bridge-mode=enabled channel-width=20mhz compression=no country=russia default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=yes dfs-mode=none disable-running-check=no \
disabled=no disconnect-timeout=3s distance=dynamic frame-lifetime=0 frequency=2412 frequency-mode=manual-txpower \
frequency-offset=0 hide-ssid=no ht-ampdu-priorities=0 ht-amsdu-limit=8192 ht-amsdu-threshold=8192 ht-basic-mcs=\
mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7 ht-guard-interval=any ht-rxchains=0 ht-supported-mcs=\
mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15 ht-txchains=0 \
hw-fragmentation-threshold=disabled hw-protection-mode=none hw-protection-threshold=0 hw-retries=7 l2mtu=2290 mac-address=\
00:0C:42:65:CE:5E max-station-count=2007 mode=ap-bridge mtu=1500 multicast-helper=default name=wlan1 noise-floor-threshold=\
default nv2-cell-radius=30 nv2-noise-floor-offset=default nv2-preshared-key="" nv2-qos=default nv2-queue-count=2 \
nv2-security=disabled on-fail-retry-time=100ms periodic-calibration=default periodic-calibration-interval=60 preamble-mode=\
both proprietary-extensions=post-2.9.25 radio-name=LC rate-selection=advanced rate-set=default scan-list=default \
security-profile=default ssid=LC station-bridge-clone-mac=00:00:00:00:00:00 supported-rates-a/g=\
6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps tdma-period-size=2 \
tx-power-mode=default update-stats-interval=disabled wds-cost-range=50-150 wds-default-bridge=none wds-default-cost=100 \
wds-ignore-ssid=no wds-mode=static-mesh wireless-protocol=unspecified wmm-support=disabled
set 1 adaptive-noise-immunity=none allow-sharedkey=no antenna-gain=0 area="" arp=enabled band=5ghz-a basic-rates-a/g=6Mbps \
basic-rates-b=1Mbps bridge-mode=enabled channel-width=20mhz compression=no country=no_country_set default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=yes dfs-mode=none disable-running-check=no \
disabled=no disconnect-timeout=3s distance=dynamic frame-lifetime=0 frequency=5180 frequency-mode=manual-txpower \
frequency-offset=0 hide-ssid=no ht-ampdu-priorities=0 ht-amsdu-limit=8192 ht-amsdu-threshold=8192 ht-basic-mcs=\
mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7 ht-guard-interval=any ht-rxchains=0 ht-supported-mcs=\
mcs-0,mcs-1,mcs-2,mcs-3,mcs-4,mcs-5,mcs-6,mcs-7,mcs-8,mcs-9,mcs-10,mcs-11,mcs-12,mcs-13,mcs-14,mcs-15 ht-txchains=0 \
hw-fragmentation-threshold=disabled hw-protection-mode=none hw-protection-threshold=0 hw-retries=7 l2mtu=2290 mac-address=\
00:0C:42:65:CF:8A max-station-count=2007 mode=ap-bridge mtu=1500 multicast-helper=default name=wlan2 noise-floor-threshold=\
default nv2-cell-radius=30 nv2-noise-floor-offset=default nv2-preshared-key="" nv2-qos=default nv2-queue-count=2 \
nv2-security=disabled on-fail-retry-time=100ms periodic-calibration=default periodic-calibration-interval=60 preamble-mode=\
both proprietary-extensions=post-2.9.25 radio-name=000C4265CF8A rate-selection=advanced rate-set=default scan-list=default \
security-profile=default ssid=LC station-bridge-clone-mac=00:00:00:00:00:00 supported-rates-a/g=\
6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps tdma-period-size=2 \
tx-power-mode=default update-stats-interval=disabled wds-cost-range=50-150 wds-default-bridge=none wds-default-cost=100 \
wds-ignore-ssid=no wds-mode=disabled wireless-protocol=unspecified wmm-support=disabled
/interface wireless manual-tx-power-table
set wlan1 manual-tx-powers="1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17,48M\
bps:17,54Mbps:17,HT20-0:17,HT20-1:17,HT20-2:17,HT20-3:17,HT20-4:17,HT20-5:17,HT20-6:17,HT20-7:17,HT40-0:17,HT40-1:17,HT40-2:\
17,HT40-3:17,HT40-4:17,HT40-5:17,HT40-6:17,HT40-7:17"
set wlan2 manual-tx-powers="1Mbps:17,2Mbps:17,5.5Mbps:17,11Mbps:17,6Mbps:17,9Mbps:17,12Mbps:17,18Mbps:17,24Mbps:17,36Mbps:17,48M\
bps:17,54Mbps:17,HT20-0:17,HT20-1:17,HT20-2:17,HT20-3:17,HT20-4:17,HT20-5:17,HT20-6:17,HT20-7:17,HT40-0:17,HT40-1:17,HT40-2:\
17,HT40-3:17,HT40-4:17,HT40-5:17,HT40-6:17,HT40-7:17"
/interface wireless nstreme
set wlan1 disable-csma=no enable-nstreme=no enable-polling=yes framer-limit=3200 framer-policy=none
set wlan2 disable-csma=no enable-nstreme=no enable-polling=yes framer-limit=3200 framer-policy=none
/ip hotspot profile
set [ find default=yes ] dns-name="" hotspot-address=0.0.0.0 html-directory=hotspot http-cookie-lifetime=3d http-proxy=\
0.0.0.0:0 login-by=cookie,http-chap name=default rate-limit="" smtp-server=0.0.0.0 split-user-domain=no use-radius=no
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m name=default shared-users=1 status-autorefresh=1m \
transparent-proxy=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
/ip pool
add name="Wired pool" ranges=192.168.1.2-192.168.1.20
add name="Wi-fi pool" ranges=10.23.34.2-10.23.34.254
/ip dhcp-server
add add-arp=yes address-pool="Wired pool" authoritative=after-2sec-delay disabled=no interface=Wired-Wifi lease-time=3d name=\
"Local network"
add add-arp=yes address-pool="Wi-fi pool" authoritative=after-2sec-delay disabled=yes interface=wlan1 lease-time=3d name=Wifi1
/port
set 0 baud-rate=auto data-bits=8 flow-control=none name=serial0 parity=none stop-bits=1
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default remote-ipv6-prefix-pool=none use-compression=default use-encryption=\
default use-ipv6=yes use-mpls=default use-vj-compression=default
set 1 change-tcp-mss=yes name=default-encryption only-one=default remote-ipv6-prefix-pool=none use-compression=default \
use-encryption=yes use-ipv6=yes use-mpls=default use-vj-compression=default
/interface pppoe-client
add ac-name="" add-default-route=yes allow=pap,chap,mschap1,mschap2 dial-on-demand=yes disabled=no interface=ISP1 max-mru=1492 \
max-mtu=1492 mrru=512 name=pppoe-out1 password= profile=default service-name="" use-peer-dns=yes user=
add ac-name="" add-default-route=no allow=pap,chap,mschap1,mschap2 dial-on-demand=no disabled=no interface=ISP2 max-mru=1492 \
max-mtu=1480 mrru=disabled name=pppoe-out2 password= profile=default service-name="" use-peer-dns=yes user=\

/queue type
set 0 kind=pfifo name=default pfifo-limit=50
set 1 kind=pfifo name=ethernet-default pfifo-limit=50
set 2 kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set 3 kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set 4 kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
set 5 kind=none name=only-hardware-queue
set 6 kind=mq-pfifo mq-pfifo-limit=50 name=multi-queue-ethernet-default
set 7 kind=pfifo name=default-small pfifo-limit=10
/routing bgp instance
set default as=65530 client-to-client-reflection=yes disabled=no ignore-as-path-len=no name=default out-filter="" \
redistribute-connected=no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no redistribute-static=no \
router-id=0.0.0.0 routing-table=""
/routing ospf instance
set [ find default=yes ] disabled=no distribute-default=never in-filter=ospf-in metric-bgp=auto metric-connected=20 \
metric-default=1 metric-other-ospf=auto metric-rip=20 metric-static=20 name=default out-filter=ospf-out redistribute-bgp=no \
redistribute-connected=no redistribute-other-ospf=no redistribute-rip=no redistribute-static=no router-id=0.0.0.0
/routing ospf area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=backbone type=default
/routing ospf-v3 instance
set [ find default=yes ] disabled=no distribute-default=never metric-bgp=auto metric-connected=20 metric-default=1 \
metric-other-ospf=auto metric-rip=20 metric-static=20 name=default redistribute-bgp=no redistribute-connected=no \
redistribute-other-ospf=no redistribute-rip=no redistribute-static=no router-id=0.0.0.0
/routing ospf-v3 area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=backbone type=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0 authentication-password="" authentication-protocol=MD5 encryption-password="" \
encryption-protocol=DES name=public read-access=yes security=none write-access=no
/system logging action
set 0 memory-lines=100 memory-stop-on-full=no name=memory target=memory
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=100 disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
set 3 bsd-syslog=no name=remote remote=0.0.0.0 remote-port=514 src-address=0.0.0.0 syslog-facility=daemon syslog-severity=auto \
target=remote
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
permissions=owner signup-allowed=no time-zone=-00:00
/user group
set read name=read policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,sensitive,api,!ftp,!write,!policy skin=\
default
set write name=write policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,!ftp,!policy skin=\
default
set full name=full policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,password,web,sniff,sensitive,api skin=\
default
/interface bridge port
add bridge=Wired-Wifi disabled=no edge=auto external-fdb=auto horizon=none interface=wlan1 path-cost=10 point-to-point=auto \
priority=0x80
add bridge=Wired-Wifi disabled=no edge=auto external-fdb=auto horizon=none interface=LAN path-cost=10 point-to-point=auto \
priority=0x80
add bridge=Wired-Wifi disabled=no edge=auto external-fdb=auto horizon=none interface=wlan2 path-cost=10 point-to-point=auto \
priority=0x80
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=yes
/interface ethernet switch port
set 0 vlan-header=leave-as-is vlan-mode=fallback
set 1 vlan-header=leave-as-is vlan-mode=fallback
set 2 vlan-header=leave-as-is vlan-mode=fallback
set 3 vlan-header=leave-as-is vlan-mode=fallback
set 4 vlan-header=leave-as-is vlan-mode=fallback
set 5 vlan-header=leave-as-is vlan-mode=fallback
set 6 vlan-header=leave-as-is vlan-mode=fallback
set 7 vlan-header=leave-as-is vlan-mode=fallback
set 8 vlan-header=leave-as-is vlan-mode=fallback
set 9 vlan-header=leave-as-is vlan-mode=fallback
set 10 vlan-header=leave-as-is vlan-mode=fallback
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption enabled=no max-mru=1460 max-mtu=1460 mrru=\
disabled
/interface ovpn-server server
set auth=sha1,md5 certificate=none cipher=blowfish128,aes128 default-profile=default enabled=no keepalive-timeout=60 \
mac-address=FE:CC:F2:29:36:D6 max-mtu=1500 mode=ip netmask=24 port=1194 require-client-certificate=no
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default-encryption enabled=yes keepalive-timeout=30 max-mru=1460 \
max-mtu=1460 mrru=disabled
/interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=none default-profile=default enabled=no keepalive-timeout=60 max-mru=\
1500 max-mtu=1500 mrru=disabled port=443 verify-client-certificate=no
/interface wireless access-list
add ap-tx-limit=0 authentication=yes client-tx-limit=0 disabled=no forwarding=yes interface=wlan1 mac-address=00:23:15:08:83:44 \
management-protection-key="" private-algo=none private-key="" private-pre-shared-key="" signal-range=-120..120
/interface wireless align
set active-mode=yes audio-max=-20 audio-min=-100 audio-monitor=00:00:00:00:00:00 filter-mac=00:00:00:00:00:00 frame-size=300 \
frames-per-second=25 receive-all=no ssid-all=no
/interface wireless sniffer
set channel-time=200ms file-limit=10 file-name="" memory-limit=10 multiple-channels=no only-headers=no receive-errors=no \
streaming-enabled=no streaming-max-rate=0 streaming-server=0.0.0.0
/interface wireless snooper
set channel-time=200ms multiple-channels=yes receive-errors=no
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=192.168.1.1/24 comment="default configuration" disabled=no interface=LAN network=192.168.1.0
add address=10.23.34.1/24 disabled=no interface=wlan1 network=10.23.34.0
add address=192.168.1.249/24 disabled=yes interface=ISP1 network=192.168.1.0
add address=192.168.1.250/24 disabled=yes interface=ISP2 network=192.168.1.0
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server network
add address=10.23.34.0/24 dhcp-option="" dns-server=85.175.46.122,85.175.46.130 gateway=10.23.34.1 ntp-server="" wins-server=""
add address=192.168.1.0/24 dhcp-option="" dns-server=85.175.46.122,85.175.46.130 gateway=192.168.1.1 ntp-server="" wins-server=\
""
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 servers=85.175.46.122,85.175.46.130
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=\
1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward disabled=no dst-port=35550 protocol=tcp
add action=accept chain=forward disabled=no dst-port=35550 protocol=udp
add action=accept chain=forward disabled=no dst-port=35501 protocol=tcp
add action=accept chain=forward disabled=no dst-port=35501 protocol=udp
add action=accept chain=forward disabled=no dst-port=1723 protocol=tcp
add action=accept chain=forward disabled=no dst-port=51413 protocol=tcp
add action=accept chain=forward disabled=no dst-port=555 protocol=tcp
add action=accept chain=input comment="Added by webbox" disabled=no protocol=icmp
add action=accept chain=input comment="Added by webbox" connection-state=established disabled=no in-interface=ISP1
add action=accept chain=input comment="Added by webbox" connection-state=related disabled=no in-interface=ISP1
add action=drop chain=input comment="Added by webbox" disabled=no in-interface=ISP1
add action=jump chain=forward comment="Added by webbox" disabled=no in-interface=ISP1 jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no
add action=accept chain=input connection-state=established disabled=no in-interface=ISP2 src-address-list=""
add action=accept chain=input connection-state=related disabled=no in-interface=ISP2
add action=accept chain=input disabled=no in-interface=ISP2 src-address-list=""
add action=accept chain=forward disabled=no in-interface=ISP2
/ip firewall mangle
add action=accept chain=prerouting disabled=yes in-interface=LAN
add action=accept chain=prerouting disabled=yes in-interface=LAN
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=pppoe-out1 new-connection-mark=\
ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark connection-type="" disabled=no in-interface=pppoe-out2 \
new-connection-mark=ISP2_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=LAN \
new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=LAN \
new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=ISP1_conn disabled=yes in-interface=pppoe-out1 new-routing-mark=\
to_ISP1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2_conn disabled=yes in-interface=pppoe-out2 new-routing-mark=\
to_ISP2 passthrough=yes
add action=mark-routing chain=output connection-mark=ISP1_conn disabled=no new-routing-mark=to_ISP1 out-interface=pppoe-out1 \
passthrough=yes
add action=mark-routing chain=output connection-mark=ISP2_conn disabled=no new-routing-mark=to_ISP2 out-interface=pppoe-out2 \
passthrough=yes
/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=35550 protocol=tcp to-addresses=192.168.1.110 to-ports=35550
add action=dst-nat chain=dstnat disabled=no dst-port=35550 protocol=udp to-addresses=192.168.1.110 to-ports=35550
add action=dst-nat chain=dstnat disabled=no dst-port=35501 protocol=tcp to-addresses=192.168.1.99 to-ports=35501
add action=dst-nat chain=dstnat disabled=no dst-port=35501 protocol=udp to-addresses=192.168.1.99 to-ports=35501
add action=dst-nat chain=dstnat disabled=no dst-port=51413 protocol=tcp to-addresses=192.168.1.100 to-ports=51413
add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out1
add action=masquerade chain=srcnat disabled=no out-interface=pppoe-out2 to-addresses=0.0.0.0
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
/ip hotspot service-port
set ftp disabled=no ports=21
/ip neighbor discovery
set ether1 disabled=no
set LAN disabled=no
set ether3 disabled=no
set ether4 disabled=no
set ether5 disabled=no
set ether6 disabled=no
set ether7 disabled=no
set ISP1 disabled=no
set ISP2 disabled=no
set wlan1 disabled=yes
set wlan2 disabled=yes
set pppoe-out1 disabled=yes
set bridge-interface disabled=no
set Wired-Wifi disabled=no
set pppoe-out2 disabled=yes
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=no enabled=no max-cache-size=none \
max-client-connections=600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 \
serialize-connections=no src-address=0.0.0.0
/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 routing-mark=to_ISP1 scope=30 \
target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out2 routing-mark=to_ISP2 scope=30 \
target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-out1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=pppoe-out2 scope=30 target-scope=10
/ip service
set telnet address=192.168.0.0/24 disabled=no port=23
set ftp address="" disabled=no port=21
set www address="" disabled=no port=80
set ssh address=192.168.0.0/24 disabled=no port=22
set www-ssl address="" certificate=none disabled=no port=443
set api address="" disabled=no port=8728
set winbox address=192.168.0.0/24 disabled=no port=8291
/ip smb
set allow-guests=yes comment=MikrotikSMB domain=MSHOME enabled=no interfaces=all
/ip smb shares
set [ find default=yes ] comment="default share" directory=/pub disabled=no max-sessions=10 name=pub
/ip smb users
set [ find default=yes ] disabled=no name=guest password="" read-only=yes
/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=yes
/ip upnp interfaces
add disabled=no interface=ether1 type=internal
add disabled=no interface=LAN type=internal
add disabled=no interface=ether3 type=internal
add disabled=no interface=ether4 type=internal
add disabled=no interface=ether5 type=internal
add disabled=no interface=ether6 type=internal
add disabled=no interface=ether7 type=internal
add disabled=no interface=ISP1 type=external
add disabled=no interface=ISP2 type=external
add disabled=no interface=wlan1 type=internal
add disabled=no interface=wlan2 type=internal
add disabled=no interface=pppoe-out1 type=external
add disabled=no interface=bridge-interface type=internal
/ipv6 nd
set [ find default=yes ] advertise-dns=no advertise-mac-address=yes disabled=no hop-limit=unspecified interface=all \
managed-address-configuration=no mtu=unspecified other-configuration=no ra-delay=3s ra-interval=3m20s-10m ra-lifetime=30m \
reachable-time=unspecified retransmit-interval=unspecified
/ipv6 nd prefix default
set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d
/mpls
set dynamic-label-range=16-1048575 propagate-ttl=yes
/mpls interface
set [ find default=yes ] disabled=no interface=all mpls-mtu=1508
/mpls ldp
set distribute-for-default-route=no enabled=no hop-limit=255 loop-detect=no lsr-id=0.0.0.0 path-vector-limit=255 \
transport-address=0.0.0.0 use-explicit-null=no
/port firmware
set directory=firmware ignore-directip-modem=no
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=192.168.1.1 name= password= \ profile=default routes="" service=pptp
/queue interface
set ether1 queue=ethernet-default
set LAN queue=ethernet-default
set ether3 queue=ethernet-default
set ether4 queue=ethernet-default
set ether5 queue=ethernet-default
set ether6 queue=ethernet-default
set ether7 queue=ethernet-default
set ISP1 queue=ethernet-default
set ISP2 queue=ethernet-default
set wlan1 queue=wireless-default
set wlan2 queue=wireless-default
/radius incoming
set accept=no port=3799
/routing bfd interface
set [ find default=yes ] disabled=no interface=all interval=0.2s min-rx=0.2s multiplier=5
/routing igmp-proxy
set query-interval=2m5s query-response-interval=10s quick-leave=no
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m gateway-selection=no-gateway origination-interval=5s \
preferred-gateway=0.0.0.0 timeout=1m ttl=50
/routing pim
set switch-to-spt=yes switch-to-spt-bytes=0 switch-to-spt-interval=1m40s
/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 metric-default=1 metric-ospf=1 metric-static=1 \
redistribute-bgp=no redistribute-connected=no redistribute-ospf=no redistribute-static=no routing-table=main timeout-timer=\
3m update-timer=30s
/routing ripng
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 metric-default=1 metric-ospf=1 metric-static=1 \
redistribute-bgp=no redistribute-connected=no redistribute-ospf=no redistribute-static=no timeout-timer=3m update-timer=30s
/snmp
set contact="" enabled=no engine-id="" location="" trap-generators="" trap-target="" trap-version=1
/system clock
set time-zone-name=Europe/Moscow
/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start="jan/01/1970 00:00:00" time-zone=+00:00
/system console
set [ find port=serial0 ] channel=0 disabled=no port=serial0 term=vt102
/system gps
set channel=0 enabled=no set-system-time=no
/system health
set fan-mode=auto use-fan=main
/system identity
set name=MikroTik
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set pppoe-out2 disabled=yes display-time=5s
set Wired-Wifi disabled=yes display-time=5s
set bridge-interface disabled=yes display-time=5s
set pppoe-out1 disabled=yes display-time=5s
set wlan2 disabled=yes display-time=5s
set wlan1 disabled=yes display-time=5s
set ISP2 disabled=yes display-time=5s
set ISP1 disabled=yes display-time=5s
set ether7 disabled=yes display-time=5s
set ether6 disabled=yes display-time=5s
set ether5 disabled=yes display-time=5s
set ether4 disabled=yes display-time=5s
set ether3 disabled=yes display-time=5s
set LAN disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical
/system note
set note="" show-at-login=yes
/system ntp client
set enabled=yes mode=unicast primary-ntp=192.43.244.18 secondary-ntp=207.46.232.182
/system ntp server
set broadcast=no broadcast-addresses="" enabled=no manycast=yes multicast=no
/system resource irq
set 0 cpu=auto
set 1 cpu=auto
set 2 cpu=auto
set 3 cpu=auto
set 4 cpu=auto
set 5 cpu=auto
set 6 cpu=auto
set 7 cpu=auto
set 8 cpu=auto
/system routerboard settings
set baud-rate=115200 boot-delay=2s boot-device=nand-if-fail-then-ethernet boot-protocol=bootp cpu-frequency=680MHz \
enable-jumper-reset=yes enter-setup-on=any-key force-backup-booter=no silent-boot=no
/system scheduler
add disabled=yes interval=5m name=schedule1 on-event=":local CurrentDynDNSIP [:resolve lcat.ddns.name]\r\
\n:local TMPDynDNSIP [/ip address get [/ip address find interface=pppoe-out1] address]\r\
\n:local RealDynDNSIP [:pick \$TMPDynDNSIP 0 ([:len \$TMPDynDNSIP]-3)]\r\
\n#:log info (\"CurrentDynDNSIP = \" . \$CurrentDynDNSIP)\r\
\n#:log info (\"TMPDynDNSIP = \" . \$TMPDynDNSIP)\r\
\n#:log info (\"RealDynDNSIP-adr = \" . \$RealDynDNSIP)\r\
\n:if (\$CurrentDynDNSIP != \$RealDynDNSIP) do={/tool dns-update name=lcat.ddns.name address=\$RealDynDNSIP key-name=lcat ke\
y=nick_256} \r\
\n" policy=read,write,policy,test,sniff,sensitive start-date=jan/01/1970 start-time=00:00:00
/system script
add name=script1 policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive source=":local CurrentDynDNSIP [:resol\
ve lcat.ddns.name]\r\
\n:local TMPDynDNSIP [/ip address get [/ip address find interface=pppoe-out1] address]\r\
\n:local RealDynDNSIP [:pick \$TMPDynDNSIP 0 ([:len \$TMPDynDNSIP]-3)]\r\
\n#:log info (\"CurrentDynDNSIP = \" . \$CurrentDynDNSIP)\r\
\n#:log info (\"TMPDynDNSIP = \" . \$TMPDynDNSIP)\r\
\n#:log info (\"RealDynDNSIP-adr = \" . \$RealDynDNSIP)\r\
\n:if (\$CurrentDynDNSIP != \$RealDynDNSIP) do={/tool dns-update name=lcat.ddns.name address=\$RealDynDNSIP key-name=lcat ke\
y=nick_256}"
/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=0.0.0.0 user=""
/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=none watchdog-timer=yes
/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=no enabled=yes max-sessions=100
/tool e-mail
set address=0.0.0.0 from=<> password="" port=25 starttls=no user=""
/tool graphing
set page-refresh=300 store-every=5min
/tool graphing interface
add allow-address=0.0.0.0/0 disabled=no interface=all store-on-disk=yes
/tool mac-server
set [ find default=yes ] disabled=no interface=all
/tool mac-server mac-winbox
set [ find default=yes ] disabled=no interface=all
/tool mac-server ping
set enabled=yes
/tool sms
set allowed-number="" channel=0 keep-max-sms=0 receive-enabled=no secret=""
/tool sniffer
set file-limit=10KiB file-name="" filter-ip-address="" filter-ip-protocol="" filter-mac-address="" filter-mac-protocol=!ip \
filter-port="" filter-stream=yes interface=all memory-limit=10KiB memory-scroll=no only-headers=no streaming-enabled=no \
streaming-server=0.0.0.0
/tool traffic-generator
set latency-distribution-scale=10 test-id=0
/tool traffic-monitor
add disabled=no interface=ISP1 name=tmon1 on-event="" threshold=0 traffic=transmitted trigger=above
add disabled=no interface=ISP1 name=tmon2 on-event="" threshold=0 traffic=received trigger=above
/user aaa
set accounting=yes default-group=read exclude-groups="" interim-update=0s use-radius=no

74. piterharuna, 05.09.2012 23:59
цитата:
sherwood:
piterharuna
А прокси им передает номер телефона чтоб напомнить кто главный .
для этого тоже не обязательно использовать прокси, что бы не заплативших за интернет перекидывало на страничку - Пора платить по счетам хомяк
тогда поэтапно будем разбираться:
1.покажите свои интерфейсы (надеь как их показать писать не надо?).
2.покажите правило для NAT.
3.в свойствах интерфейса PPPoE включено Add Default Route и Use Peer DNS, если вы конечно не принудительно направляете пользователей на нужный интерфейс.
4.как получают пользователи свои IP, DHCP или статика, если DHCP то посмотрите на микротике и на клиенте все ли они получили.
пока этого хватит.

Спасибо за поддержку .
1.С командой print я знаком , но показать вывод не смогу поскольку у меня от того компа только флешка .Моя домашняя маленькая сеть с шлюзом на микротике точно так же настроена . ГОд назад я чтоб не париться снял конфигурацию с свого и залил колеге и почти год работало на ура .
0 R Local bridge 1500
1 R Public pppoe-out 1492
2 R ether2 ether 1500
3 R wlan1 wlan 1500
4 R bukotko ether 1500
Так уменя.
2 chain=srcnat action=masquerade src-address-list=masquerade у меня так ? и так же я делал на том компе при последнем визите хотя , хотя там было 192.168.0.0/24
3 Да галки понавешаны в тех местах .
4 На компах статика , для тупых железок (планшет , тюнер) автоматом DHCP .

Я после ресета не смог при самых-самых минимальных настройках поднять доступ . Может ли быть что винбокс так косячит . Мои личные компы под Дебианом , никогда косяков с передачей настройек от винбокса на Микротик не замечал . У меня древняя версией Микротика(3.2) , особой нужды изучать тонкости работы винбокса небыло .

75. Treviz, 06.09.2012 11:35
Добрый день. Можно ли реализовать такое дело и как:
Mikrotik RB750GL. В 1-й и 2-й LAN порты включается по adsl модему, Поднимаются подключения. 3-й порт подключается к локальной сети и ему присваивается 2 айпишника - каждый в роли шлюза к соответствующему подключению.

Сама задача состоит в следующем: 1 подключение для интернета и VPN между офисами, второе - VoIP телефония и резервный канал.

76. Delete, 06.09.2012 14:48
Большая просьба, дайте пожалуйста свой экспорт для конфигурации с 2 провайдерами с pppoe, или другими методами подключения, главное, чтобы балансинг между этими каналами работал. У обоих моих провайдеров динамические IP, а все примеры только со статическими.

Добавление от 06.09.2012 22:27:

Никто не поделится примером с динамическими IP? Уважаемые гуру, не игнорируете, пожалуйста!

77. Moriturus, 07.09.2012 12:20
Как заблокировать брут RDP? В wiki есть пример для ssh и ftp, но первый рассчитан на новые соединения, а второй на то, что мы знаем content отказа. В RDP введение паролей идёт в рамках одного соединения, и есть ли какой-то текст, чтобы забить его в content мне неизвестно.
Разумеется, в политиках винды стоит ограничение на кол-во неправильных попыток подбора, но оно приводит к блокировке учётной записи, в которую может захотеть зайти и наш человек.
Изначально в микротике доступ ограничен списком адресов, но некоторые люди заходят с динамического IP, и в одной из разрешённых подсетей нашёлся нехороший человек с брутом.

Вобщем вроде как два варианта:
1) Либо как-то на микротике считать попытки входа в течении одного соединения и после n числа блокировать
2) С компьютера на микротик как-то передать плохой IP адрес для добавления в стоп-лист. Я могу настроить посылку по FTP текстового файлика с плохим IP адресом, а как его на микротике обнаружить и считать, чтобы в стоп-лист добавить?

78. Джамаль, 07.09.2012 13:11
Moriturus

Можно количество пакетов в секунду считать, посмотрите повнимательней вкладки файрвола

79. Treviz, 07.09.2012 13:21
Джамаль
А по моему вопросу не подскажите?

80. Moriturus, 07.09.2012 13:51
Джамаль
так вопрос в том, каких пакетов.
Там вроде как шифрование при логине используется, так что видимо по тексту не отловить.

81. dalex77, 07.09.2012 21:30
Доброго времени суток. Подскажите что может вызывать не периодическую перезагрузку на RB 751 именно при использовании wifi. До этого полгода всё работало отлично, 2 провайдера и небольшая сеть из 10 компов. А сейчас купил телефон с wifi и понял что при его использовании, роутер перегружается и есть какая то зависимость от нагрузки, заметил что торрент чаще может её вызвать, но опять таки только при вкл wifi скачивании через торрент именно на телефоне. Подкидывал ноут соседский тоже самое, при нагрузке а бывает и просто при просмотре страниц, микротик уходит в ребут...

82. piterharuna, 07.09.2012 23:40
Переустановил флешку(mikrotik3.2) , приехали к колеге , как я и ожидал все чудно завелось при тех же настройках Что же за буга такая что ресет не помагает вернуться к начальной конфигурации . Лишний раз по чердаках лазить не охота , буду изучать бекап на винте .

Добавление от 07.09.2012 23:55:

цитата:
dalex77:
Доброго времени суток. Подскажите что может вызывать не периодическую перезагрузку на RB 751 именно при использовании wifi. До этого полгода всё работало отлично, 2 провайдера и небольшая сеть из 10 компов. А сейчас купил телефон с wifi и понял что при его использовании, роутер перегружается и есть какая то зависимость от нагрузки, заметил что торрент чаще может её вызвать, но опять таки только при вкл wifi скачивании через торрент именно на телефоне. Подкидывал ноут соседский тоже самое, при нагрузке а бывает и просто при просмотре страниц, микротик уходит в ребут...
Смотрите нагрузку процесора , вифи телефона возможно переподключаеться часто(слабый сигнал) от чего процесор в шоке и ребутит железку .Наверно слабовата платформа под ваши цели . У меня приблизительно ваш маштаб , выход в паутину 8x2 м . Стоит у меня комп с Pentium 2 (400) , не редкость 60-80 процентов загрузка проц. .

83. dalex77, 08.09.2012 19:48
спасибо сегодня понаблюдаю за нагрузкой. в принципе возможны вы правы, так как ноут соседа вызывает ребут чаще, а он живёт ещё через 3-4 стены дальше и сигнал у него гораздо ниже моего.

84. Джамаль, 08.09.2012 20:50
dalex77

Питание попробуйте заменить. Под нагрузкой может просаживаться. Можно брать любой блок питания с напряжением 5 вольт и током не менее 1.5 ампер (больше - лучше, бо греться меньше будет)

Добавление от 08.09.2012 20:51:

piterharuna
Наверно слабовата платформа под ваши цели

Если она слаба, то она не перезагружается, а просто дропает пакеты.

85. Orbit, 08.09.2012 20:52
Помогите решить следующую проблему:
Настроил OpenVPN сервер в режиме Ethernet. При создании моста между интерфейсами OpenVPN и LAN (локалка) падает DHCP сервер (статус invalid в Winbox'е). При этом я нормально подключаюсь через OpenVPN, получаю адрес, вижу компьютеры в локалке, но вот клиенты в локалке не могут получить адрес.
Что я делаю не так?

86. piterharuna, 08.09.2012 23:06
цитата:
Джамаль:
dalex77

Питание попробуйте заменить. Под нагрузкой может просаживаться. Можно брать любой блок питания с напряжением 5 вольт и током не менее 1.5 ампер (больше - лучше, бо греться меньше будет)



Добавление от 08.09.2012 20:51:

piterharuna
Наверно слабовата платформа под ваши цели

Если она слаба, то она не перезагружается, а просто дропает пакеты.

У меня опыта работы с роутербордами нету , но на глюки с вифи у меня нюх острый . Я хожу в нет через два радио моста (один на микротиках , вторай на вайв-нджи) общей длиной 5км . Моя база стоит на чердаке у сестры моей жены , и когда у нее дома обосновапся крутой телефон с вифи я проводил розяснительную работу чтоб с ним по вифи не баловались (сильно слабый сигнал) . Моя система не ребутилась (компютер) но затыки с доступом по радио ощутимы конкретно . Я бы базу на бюджетном рборде не рискнул поставить , на компе надежнее . За первих два года сменил два винта потом перешол на ата-флеш , два года уже прошло стех пор .
А спитанием поработать надо у меня всюду (модеиы вифишки) питание умощнено .

87. Джамаль, 09.09.2012 08:16
piterharuna
Я бы базу на бюджетном рборде не рискнул поставить , на компе надежнее

У нас на рутербордах куча ретрансляторов построено. Гоняют под 80 мегабит трафика. Уж шесть лет как...

88. dalex77, 09.09.2012 20:18
C питанием пока не мутил ещё. Единственно что сделал установил вчера прошивку routeros-mipsbe-5.20.npk. Не могу сказать что это панацея от вайфайных ребутов, но вчера смотрел айпитиви, качнул фильмец по торренту, вроде не перегружалось. Хочу антенну на него повесить и завести её в центр квартиры, а то боард висит в кладовке, ну и может и блок питания может правда сменить, но он там кажется не пять вольт.... если не ошибаюсь конечно. Спасибо всем за помощь.

89. Джамаль, 10.09.2012 07:34
dalex77

Угу, я стормозил - там от 7 до 24 вольт

90. mgag, 10.09.2012 21:06
Прошу направить в нужную сторону:
- есть несколько офисов. В качестве шлюзов используются RB450G. В каждом офисе 2 ISP: основной, с безлимитным пакетом и резервный, с оплатой по наличию/объему трафика (отслеживается - был ли доступ в течение суток). Все адреса реальные, но своего AS блока нет.
Каким образом средствами RouterOS построить VPN между офисами, чтобы обеспечить отказоустойчивость, но пускать пакеты через резервного ISP только в случае падения основного канала. При рабочем основном канале трафика между точками в резервном канале быть не должно, иначе будет сниматься посуточная плата.

С уважением.

91. Sher-khaN!, 10.09.2012 22:39
Подскажите плиз, должен ли работать в бридже vlan3, если он поднят на физ. порту ether1, который в свою очередь сам является портом другого бриджа? Виланы 1,2 подняты на другом eth. Если eth1 не в бридже, vlan3 работает нормально.

br1
vlan1 ether1

br2
vlan2 ether2 [vlan3] - ?

92. Orbit, 11.09.2012 22:23
цитата:
Orbit:
Помогите решить следующую проблему:
Настроил OpenVPN сервер в режиме Ethernet. При создании моста между интерфейсами OpenVPN и LAN (локалка) падает DHCP сервер (статус invalid в Winbox'е). При этом я нормально подключаюсь через OpenVPN, получаю адрес, вижу компьютеры в локалке, но вот клиенты в локалке не могут получить адрес.
Что я делаю не так?

Разобрался: нужно было в качестве интерфейса для DHCP сервера выбрать созданный мост.

Следующая проблема: для удаленного включения компов было настроено правило:

/ip firewall filter
add action=accept chain=forward disabled=no dst-port=9 protocol=udp

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=9 protocol=udp to-addresses=192.168.1.254 to-ports=9

Компы замечательно включались. После создания моста между портом LAN и OpenVPN я вижу что оба правила срабатывают, но компьютеры не реагируют.

93. Null, 12.09.2012 11:33
Ребяты а подскажите 750UP какие 3g модемы поддерживает? И какие есть варианты еще?

Хотелось бы железку с возможностью использования лан провайдера и 3g для переключения если лан отвалился.

Спасибо.

Нужно для дома, народу 2-4 активных пользователя. Устройств подключеных штук 10-15 (принтеры, ip камеры и тд..) через гигабитный свитч отдельный.

94. thebooblik, 12.09.2012 11:54
Подскажите
На роутере имеется два pppoe-соединения. Как можно перенаправить трафик с конкретного Ip в конкретное pppoe-соединение?

95. yreks, 13.09.2012 01:08
Привет всем.
Запутался в трех соснах. У меня 2 RB c разными версиями прошивок 4.17 и 5.20.
Сделал резервирование бекапа по э-мейл. Настроил на ночное время 02:40:42 чтоб не грузил систему. На версии 4.17 как положено работает, присылает в положенное время бекап.
А на версии 5.20, в Scheduler, где убрали символ Delay, делает бекап вечером в 19:45. Хотя написано в startup 02:10:00. Когда ставлю в интервал 00:00:00 он вообще не запускается..... Вот скрины с настроек.
Что я не так настроил?

Решено ! Глюк на микротике. Начал менять время в startup и сохранять и все стало на свои места.

К сообщению приложены файлы: 1.jpg, 330x619, 51Кb, 2.jpg, 322x624, 46Кb

96. Джамаль, 13.09.2012 07:52
Null

Те же, что и любая RouterOS. По крайней мере, те, что продаёт Большая Тройка, в ней идут на ура


thebooblik

Маршрутная метка (routing mark), трансляция в нужный интерфейс и дефолтный маршрут с маршрутной меткой. Уже обсуждалось

97. Sher-khaN!, 13.09.2012 10:45
yreks
В 5.20 что то уж многовато косяков... У меня тоже были проблемы на этой версии (см. ветку). А ветку форума МТ посвященную этой версии вообще страшно читать... Имхо, в МТ пробрался кодер из одной южной страны, где любят петь и танцевать

98. Null, 13.09.2012 11:47
Джамаль
Спасибо за информацию. Для моих целей я так понимаю хватит коробочки? Хотел вообще 450ую брать, но модем критичен говорят. Инет лановский может отваливатся на несколько дней.

99. thebooblik, 13.09.2012 13:04
Джамаль
пасиб! Вчера сам разобрался, надо было пост удалить

100. Null, 14.09.2012 16:03
Ооо, тут вот помощнее нарисовался RB751G-2HnD. Там wifi отключается вообще, он особо без надобности пока (но пусть будет типа)? Думаю вместо RB750UP может его взять?

101. Джамаль, 14.09.2012 16:09
Null

Никакой разницы, если честно Ну может, гигабитные порты чуть добавят длины МПХ

102. piterharuna, 14.09.2012 23:22
Джамаль
У нас на рутербордах куча ретрансляторов построено. Гоняют под 80 мегабит трафика. Уж шесть лет как...
У меня почти домашняя сеть , несколько человек совместно платят за интернет а я пользуюсь доступом бесплатно . Опыта работы с бордами нету , за них платить некому . Ретранслятори как построины , по два борда ? Мосты понятно что чудно на бордах работать будуд , а база с вифи для разношерстных клиентов совсем иное дело . Я свой 5км мост мог бы на микротиковские р-борды поапгрейдить , но с обеих сторон подвешено по 80-90 м. витухи и защищает от гроз только молитва . Вот когда гахнет молния тогда уж начну оптикой тянуть и борды вешать . Сейчас новые дешовые девайси от разных брендов совсем уродливы , дороже только микротик брать буду .

103. Джамаль, 15.09.2012 09:01
piterharuna
Ретранслятори как построины , по два борда ?

Угу. Ещё коммутатор, управляемый бесперебойник и рутерборд с 3G-модемом для аварийного доступа.

Добавление от 15.09.2012 09:02:

piterharuna
а база с вифи для разношерстных клиентов совсем иное дело

Тут больше от клиента зависит. На деле, вполне нормально всё работает

104. georgeuv, 15.09.2012 15:39
подскажите как можно реализовать просмотр
iptv от двух провайдеров одновременно
igmp proxy позволяет включить только один интерфейс для апстрима

105. sherwood, 16.09.2012 10:59
что то ни как не могу сообразить, как настроить логи что бы в них можно было посмотреть например какие ip попадают под правило ограничения TCP соединений, то есть есть в Wirewall Filter правило ограничивающее количество TCP соединений на IP, в него попадают пакеты, хочется иметь информацию что это за "гаденыш" которому их мало. смотреть и искать через Connection не очень удобно да и не наш это метод

106. Sher-khaN!, 16.09.2012 12:03
sherwood
Поставьте в вашем правиле фаервола, Log вместо Drop (или Accept)

107. sherwood, 16.09.2012 19:35
Sher-khaN!
Log вместо Drop
спасибо, помогло, но хотелось бы что бы основное правило работало, а логи писались, но так как их будет много было бы неплохо что бы писался внутренний ip и все, но это фантастика

108. piterharuna, 17.09.2012 00:04
Джамаль
Тут больше от клиента зависит. На деле, вполне нормально всё работает

Согласен , Mikrotik крут . Но жизьнь толкает меня к организации шлюза под Linux , мои детишки уже сами за комп лезут , надо бы фильтровать им доступ . Качалку и парковку для фильмов устроить .
Подскажите пожалуста реально ли запустить Микротик на виртуалке и поднять wifi ap , hostapd меня не вдохновляет .

109. di9383, 17.09.2012 14:57
Всем привет. Имею Микротик с поднятым прозрачным прокси. Надо закрыть пользователям ютуб. Как правильнее сделать, у него вроде много ip? Будет ли достаточно закрыть по имени?

110. Петр Ильницкий, 18.09.2012 00:39
di9383
А не проще будет на корню рубануть флеш? Полезных сайтов на нём моим пользователям ещё не попадалось.

111. dimugric, 18.09.2012 10:37
Ребят, а может кто-то сталкивался с такой проблемкой....
По MAC адресам Winbox работает отлично. Если подключаться по IP-шникам, то Winbox через 1-2 мин отваливается

112. MrKDE, 20.09.2012 09:23
Доброго времени суток. Не подскажите как заблокировать отдельные мультикаст потоки в EOiP тоннеле ?

113. Джамаль, 20.09.2012 09:28
MrKDE

Поставьте галку "Use IP firewall" в настройках бриджа и создайте соответствующее правило в файрволе

114. MrKDE, 20.09.2012 09:34
Спасибо за быстрый ответ, я так понимаю предварительно надо промаркировать пакеты ?

115. Джамаль, 20.09.2012 09:49
MrKDE

Нет, не нужно

116. Treviz, 20.09.2012 10:19
В итоге (http://forum.ixbt.com/topic.cgi?id=14:57592:75#75) пришлось 2-й микротик подключить.

117. SuSt, 21.09.2012 17:03
Господа, у меня вопрос. Есть здесь такие, кто вязал Микротик с линуксом по IPSec/OpenSWAN?

У меня конфигурация следующая. Строю GRE/IPSec тоннель. С одной стороны:
Mikrotik RouterBoard 751G-2HnD, Firmware 2.41, версия RouterOS 5.20
С другой стороны:
Debian GNU/Linux 6.0.5, ядро 3.2.0-3-686-pae, стек IPSec использую нативный (NetKey), в качестве IKE - OpenSWAN (Pluto). Режим IPSec транспортный, поверх него GRE, внутри GRE уже всё остальное.

Дык вот. Связалось оно с некоторым шаманстом, но вполне нормально. В инете есть куча HowTo-шек на тему, с этим проблем нет. Единственное, до чего мне пришлось допереть опытным путём - в Микротике надо обязательно отключить опцию "Send Initial Contact", с ней вообще никак не работает. Но вопрос не в этом.

Почему-то в самые непредсказуемые моменты с периодичностью от суток до недели поднятый тоннель сам собой рвётся и больше сам не восстанавливается. Но! Если пингануть (ping) кого-нибудь за Микротиком со стороны линукса, то всё волшебным образом подымается само собой.

Ещё иногда случается так, что Микротик пишет в логах "gre link up", "gre link down". То есть вроде как установил IPSec-линк, а через 4 минуты разорвал его. Потом через 10 секунд снова восстановил и через 4 минуты опять порвал. И так раз пятнадцать.

Дальше. Если сделать рестарт Pluto на линуксовой стороне, то почему-то тоннель опять-таки сам не поднимается. Затыкается на этапе:
код:
Sep 21 16:48:28 charon pluto[25170]: "mikrotik" #1: starting keying attempt 2 of an unlimited number
Sep 21 16:48:28 charon pluto[25170]: "mikrotik" #7: initiating v2 parent SA to replace #1
Sep 21 16:48:28 charon pluto[25170]: "mikrotik" #7: transition from state STATE_IKEv2_START to state STATE_PARENT_I1
Sep 21 16:48:28 charon pluto[25170]: "mikrotik" #7: STATE_PARENT_I1: sent v2I1, expected v2R1
Sep 21 16:48:33 charon pluto[25170]: "mikrotik" #2: max number of retransmissions (20) reached STATE_PARENT_I1. No response (or no acceptable response) to our first IKE message


Но если зайти на микротик и принудительно грохнуть на нём "Installed SAs" в разделе "IPSec", то опять-же, всё тут же взлетает.

Кто подскажет куда копать? Сам сижу ковыряю логи, но вариантов пока что нет. И вообще, что за стек IPSec используется в самом Микротике? Может мне имеет смысл выкинуть Pluto и попробовать что-нибудь другое, если оно будет работать более надёжно?

118. sherwood, 24.09.2012 13:05
есть мост WDS на SXT интерфейсы точек добавлены в бридж, бридж берет MAC одного из интерфейса либо wlan либо lan, у нас это оборудование проходит аутентификацию по IP и MAC, проблема в том, что если происходит разрыв линка, то MAC на бридже меняется, например был от wlan интерфейса а стал от lan, когда линк поднимается все повторяется, естественно в эти моменты точка не проходит аутентификацию на сервере доступа и соответственно не получает выход в мир, а он ей нужен для NTP и т.д.
как зафиксировать MAC на интерфейсе - бридж?

119. Джамаль, 24.09.2012 13:40
sherwood

Если у вас там программный бридж, то проще указать его собственный мак для аутентификации

120. sherwood, 24.09.2012 13:48
ну да программный, что то не нашел где это можно сделать, там бокс не активный.
и потом, после перезагрузки оборудования он не слетит?

121. Джамаль, 24.09.2012 13:59
sherwood

Этот мак не меняется. А мак бриджа виден в свойствах конкретного вашего бриджа

122. sherwood, 24.09.2012 14:09
Джамаль
А мак бриджа виден в свойствах конкретного вашего бриджа
ну да он виден, только он точно такой же как на интерфейсе lan или wlan, меняется при падении или поднятии линка, то есть если линк поднят MAC бриджа точно такой же как у интерфейса wlan, линк упал MAC стал точно такой же как у интерфейса LAN.

123. Джамаль, 24.09.2012 15:37
Странно....

124. sherwood, 24.09.2012 16:20
Джамаль
Странно....
а что у вас MAC бриджа отличается от MAC wlan или lan?

125. vks, 24.09.2012 18:53
привет. помогите решить проблему или указать в каком направлении двигаться ) . есть Mikrotik 750GL через него идет интернет, за ним 3 свича, длинки.

решил поменять 2 длинка на свичи от cisco и столкнулся с тем, что работает только одна из цисок, вторая не будет работать. сетевая структура кабелей запутана, но по моему сначала подключен к микротику один длинк, а потом в этот длинк подключен другой длинк. вот если его меняю на циску, то она не работает(первый длинк поменян и циска работает). в чем причина и что нужно добавить в правилах может..?

126. Джамаль, 24.09.2012 19:17
sherwood

Да, у него свой собственный MAC


vks

У некоторых цицек нет автоопределения раскладки кабеля. Проверьте: возможно, потребуется подключать дальнюю цицьку кроссом

127. sherwood, 24.09.2012 22:22
Джамаль
Да, у него свой собственный MAC
что то я не вижу, вы уверены? я смотрю на три интерфейса и вижу на двух MAC поменять нельзя а на одном wlan можно и их всего два (мас).

128. SergeKinz, 24.09.2012 23:32
Приобрёл Mikrotik RB2011L-IN и не могу использовать его для подключения к провайдеру. Отключается порт.
Суть проблемы со слов провайдера:
Роутер шлет bpdu фреймы в сеть, хотя вообще не должен этого делать. Мы как и многие провайдеры, используем технологию STP, и включаем на портах клиентов защиту (bpdu guard) что бы не принимать bpdu фреймы от клиентов, так как это нарушает безопасность сети. И вот как раз это и вызывает автоматическое отключение порта через 5 минут после проявления проблемы.
Подскажите, где в настройках отключается рассылка bpdu фреймов.

129. Джамаль, 25.09.2012 00:24
SergeKinz

Мнээ.... по умолчанию, BPDU не шлются. Только CDPшные объявления "я здесь", которые отключаются в IP - Neighbors. Если же у вас где-то применяется бридж, то в нём следует отключить STP - по умолчанию, при создании бриджа он включён



sherwood

Уверен. Любой бридж имеет свой МАС-адрес. Другое дело, что он может быть равен 00:00:00:00:00:00, но его можно сменить

130. SergeKinz, 25.09.2012 11:09
цитата:
Джамаль:
SergeKinz

Мнээ.... по умолчанию, BPDU не шлются. Только CDPшные объявления "я здесь", которые отключаются в IP - Neighbors. Если же у вас где-то применяется бридж, то в нём следует отключить STP - по умолчанию, при создании бриджа он включён

Спасибо за ответ.
Бридж используется. Насколько я понимаю, другого способа соединить гигабитные и мегабитные порты в RB2011 не существует (это вопрос).
И второй вопрос: RSTP (не STP!) я включил сам согласно рекомендации из инструкции:
"Для защиты от петель на создаваемом коммутаторе следует включить протокол RSTP в пункте Protocol Mode, что позволит автоматически отключать порты, соединенные друг с другом напрямую или через сторонние коммутаторы"
Как скажется на работе системы отключение данного протокола в бридже?

131. Джамаль, 25.09.2012 11:22
SergeKinz

Скажется лишь на дуракоустойчивости, но не на стабильности

132. dlj87, 26.09.2012 12:06
Здравствуйте! Есть 2 роутера микротик между которыми поднят pptp туннель. Прописаны маршруты и маскарад для подсетей через интерфейс этого туннеля. Оборудование двух подсетей 192.168.192.0 и 192.168.193.0 пингует друг друга в обоих направлениях. Проблема в следующем: при попытке зайти на веб-интерфейс любого оборудования удаленной подсети (к примеру cisco spa303 voip phone) появляется диалог ввода логина и пароля, я их ввожу и потом в браузере пустой белый экран и значек соединения крутится. Если я пытаюсь зайти на сервер elastix тоже через веб-интерфейс, то диалог входа даже не отображается (белый экран и соединение). Через винбокс также не могу зайти на удаленный роутер (соединение устанавливается и доходит до retrieving preferences и потом disconnect) если заходить через внешний Ip, то работает нормально. Примечательно то, что RDP подключение к серверу в удаленной подсети по внутреннему ip устанавливается и все работает. Так же проходят sip-транки от тех же телефонов spa303 на сервер elastix (asterisk) в удаленную подсеть и связь работает. В нате нет никаких правил кроме двух маскарадов 1) на ppoe соединение с провайдером 2) на pptp интерфейс. Подскажите в чём может быть проблема?

133. Moriturus, 26.09.2012 15:02
Проблема с приоритезацией.
Есть такое замечательное решение:
http://habrahabr.ru/post/131295/
но совершенно непонятно, что делать, когда провайдеров несколько.

Если балансировка сделана через PCC (вроде как хороший метод), то маркировка соединений и роутинга уже используется для раскидывания соединений по провайдерам + маркировка входящих соединений на сервисы за микротиком.
У меня это выглядит так:
код:
/ip firewall mangle
add action=mark-connection chain=prerouting comment=\
"mark service connection ISP1" connection-mark=no-mark disabled=no \
dst-address=1.2.3.4 dst-port=20,21,80,3389 in-interface=ISP1 \
new-connection-mark=ISP1_conn passthrough=no protocol=tcp
add action=mark-connection chain=prerouting comment=\
"mark service connection ISP2" connection-mark=no-mark disabled=no \
dst-address=2.3.4.5 dst-port=20,21,80,3389 in-interface=ISP2 \
new-connection-mark=ISP2_conn passthrough=no protocol=tcp
add action=mark-connection chain=prerouting comment="mark connection ISP1" \
connection-mark=no-mark disabled=no in-interface=ISP1 \
new-connection-mark=ISP1_conn passthrough=yes
add action=mark-connection chain=prerouting comment="mark connection ISP2" \
connection-mark=no-mark disabled=no in-interface=ISP2 \
new-connection-mark=ISP2_conn passthrough=yes
add action=mark-connection chain=prerouting comment=\
"PCC mark connection ISP1" connection-mark=no-mark disabled=no \
dst-address-type=!local in-interface=LAN new-connection-mark=ISP1_conn \
passthrough=yes per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting comment=\
"PCC mark connection ISP2" connection-mark=no-mark disabled=no \
dst-address-type=!local in-interface=LAN new-connection-mark=ISP2_conn \
passthrough=yes per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting comment="mark routing ISP1" \
connection-mark=ISP1_conn disabled=no in-interface=LAN new-routing-mark=\
to_ISP1 passthrough=yes
add action=mark-routing chain=prerouting comment="mark routing ISP2" \
connection-mark=ISP2_conn disabled=no in-interface=LAN new-routing-mark=\
to_ISP2 passthrough=yes
add action=mark-routing chain=output comment="\? mark routing output ISP1" \
connection-mark=ISP1_conn disabled=no new-routing-mark=to_ISP1 \
passthrough=yes
add action=mark-routing chain=output comment="\? mark routing output ISP2" \
connection-mark=ISP2_conn disabled=no new-routing-mark=to_ISP2 \
passthrough=yes

Мне непонятно, куда тут воткнуть маркировку для приоритезации, т.к. в ней тоже маркируются соединения.
код:
add action=accept chain=forward comment=CLASS-D disabled=yes
add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \
new-connection-mark=CLASS-D passthrough=yes
add action=mark-packet chain=forward comment=CLASS-D-GROUP-E-DL \
connection-mark=CLASS-D disabled=yes dst-address-list=GROUP-E \
new-packet-mark=CLASS-D-GROUP-E-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-D-GROUP-D-DL \
connection-mark=CLASS-D disabled=yes dst-address-list=GROUP-D \
new-packet-mark=CLASS-D-GROUP-D-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-D-GROUP-C-DL \
connection-mark=CLASS-D disabled=yes dst-address-list=GROUP-C \
new-packet-mark=CLASS-D-GROUP-C-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-D-GROUP-B-DL \
connection-mark=CLASS-D disabled=yes dst-address-list=GROUP-B \
new-packet-mark=CLASS-D-GROUP-B-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-D-GROUP-A-DL \
connection-mark=CLASS-D disabled=yes dst-address-list=GROUP-A \
new-packet-mark=CLASS-D-GROUP-A-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=prerouting comment=CLASS-D-GROUP-E-UP \
connection-mark=CLASS-D disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-D-GROUP-E-UP passthrough=yes src-address-list=\
GROUP-E
add action=mark-packet chain=prerouting comment=CLASS-D-GROUP-D-UP \
connection-mark=CLASS-D disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-D-GROUP-D-UP passthrough=yes src-address-list=\
GROUP-D
add action=mark-packet chain=prerouting comment=CLASS-D-GROUP-C-UP \
connection-mark=CLASS-D disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-D-GROUP-C-UP passthrough=yes src-address-list=\
GROUP-C
add action=mark-packet chain=prerouting comment=CLASS-D-GROUP-B-UP \
connection-mark=CLASS-D disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-D-GROUP-B-UP passthrough=yes src-address-list=\
GROUP-B
add action=mark-packet chain=prerouting comment=CLASS-D-GROUP-A-UP \
connection-mark=CLASS-D disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-D-GROUP-A-UP passthrough=yes src-address-list=\
GROUP-A
add action=accept chain=forward comment=CLASS-D disabled=yes
add action=accept chain=forward comment=CLASS-C disabled=yes
add action=mark-connection chain=forward comment=Proxy disabled=yes dst-port=\
3128 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=HTTP disabled=yes \
layer7-protocol=http new-connection-mark=CLASS-C passthrough=yes \
protocol=tcp
add action=mark-connection chain=forward comment=HTTPS disabled=yes dst-port=\
443 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=FTP disabled=yes dst-port=\
20,21 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=SFTP disabled=yes dst-port=\
22 new-connection-mark=CLASS-C packet-size=1400-1500 passthrough=yes \
protocol=tcp
add action=mark-connection chain=forward comment=SMTP disabled=yes dst-port=\
25 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=SMTPS disabled=yes dst-port=\
465 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=Imap disabled=yes dst-port=\
143 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=POP3 disabled=yes dst-port=\
110 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=POP3S disabled=yes dst-port=\
995 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=IMAPS disabled=yes dst-port=\
993 new-connection-mark=CLASS-C passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=GIF_FILE disabled=yes \
layer7-protocol=GIF_FILE new-connection-mark=CLASS-C passthrough=yes
add action=mark-connection chain=forward comment=PNG_FILE disabled=yes \
layer7-protocol=PNG_FILE new-connection-mark=CLASS-C passthrough=yes
add action=mark-connection chain=forward comment=CLASS-C-SITES disabled=yes \
new-connection-mark=CLASS-C passthrough=yes src-address-list=\
CLASS-C-SITES
add action=mark-connection chain=forward comment=CLASS-C-SITES disabled=yes \
dst-address-list=CLASS-C-SITES new-connection-mark=CLASS-C passthrough=\
yes
add action=mark-connection chain=forward comment="100Kb Connections" \
connection-bytes=0-100000 disabled=yes new-connection-mark=CLASS-C \
passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment=CLASS-C-GROUP-E-DL \
connection-mark=CLASS-C disabled=yes dst-address-list=GROUP-E \
new-packet-mark=CLASS-C-GROUP-E-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-C-GROUP-D-DL \
connection-mark=CLASS-C disabled=yes dst-address-list=GROUP-D \
new-packet-mark=CLASS-C-GROUP-D-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-C-GROUP-C-DL \
connection-mark=CLASS-C disabled=yes dst-address-list=GROUP-C \
new-packet-mark=CLASS-C-GROUP-C-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-C-GROUP-B-DL \
connection-mark=CLASS-C disabled=yes dst-address-list=GROUP-B \
new-packet-mark=CLASS-C-GROUP-B-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-C-GROUP-A-DL \
connection-mark=CLASS-C disabled=yes dst-address-list=GROUP-A \
new-packet-mark=CLASS-C-GROUP-A-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=prerouting comment=CLASS-C-GROUP-E-UP \
connection-mark=CLASS-C disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-C-GROUP-E-UP passthrough=yes src-address-list=\
GROUP-E
add action=mark-packet chain=prerouting comment=CLASS-C-GROUP-D-UP \
connection-mark=CLASS-C disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-C-GROUP-D-UP passthrough=yes src-address-list=\
GROUP-D
add action=mark-packet chain=prerouting comment=CLASS-C-GROUP-C-UP \
connection-mark=CLASS-C disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-C-GROUP-C-UP passthrough=yes src-address-list=\
GROUP-C
add action=mark-packet chain=prerouting comment=CLASS-C-GROUP-B-UP \
connection-mark=CLASS-C disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-C-GROUP-B-UP passthrough=yes src-address-list=\
GROUP-B
add action=mark-packet chain=prerouting comment=CLASS-C-GROUP-A-UP \
connection-mark=CLASS-C disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-C-GROUP-A-UP passthrough=yes src-address-list=\
GROUP-A
add action=accept chain=forward comment=CLASS-C disabled=yes
add action=accept chain=forward comment=CLASS-B disabled=yes
add action=mark-connection chain=forward comment=ICQ disabled=yes dst-port=\
5190 new-connection-mark=CLASS-B passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment="Mail.ru Agent" disabled=yes \
dst-port=2041,2042 new-connection-mark=CLASS-B passthrough=yes protocol=\
tcp
add action=mark-connection chain=forward comment=Jabber disabled=yes \
layer7-protocol=Jabber new-connection-mark=CLASS-B passthrough=yes
add action=mark-connection chain=forward comment=IRC disabled=yes dst-port=\
6667-6669 new-connection-mark=CLASS-B passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=SSH disabled=yes dst-port=22 \
new-connection-mark=CLASS-B packet-size=0-1400 passthrough=yes protocol=\
tcp
add action=mark-connection chain=forward comment=TELNET disabled=yes \
dst-port=23 new-connection-mark=CLASS-B passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=SNMP disabled=yes dst-port=\
161-162 new-connection-mark=CLASS-B passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=PPTP disabled=yes dst-port=\
1723 new-connection-mark=CLASS-B passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=L2TP disabled=yes dst-port=\
1701 new-connection-mark=CLASS-B passthrough=yes protocol=udp
add action=mark-connection chain=forward comment=GRE disabled=yes \
new-connection-mark=CLASS-B passthrough=yes protocol=gre
add action=mark-connection chain=forward comment=Skype disabled=yes \
layer7-protocol=Skype new-connection-mark=CLASS-B passthrough=yes
add action=mark-connection chain=forward comment=CLASS-B-SITES disabled=yes \
new-connection-mark=CLASS-B passthrough=yes src-address-list=\
CLASS-B-SITES
add action=mark-connection chain=forward comment=CLASS-B-SITES disabled=yes \
dst-address-list=CLASS-B-SITES new-connection-mark=CLASS-B passthrough=\
yes
add action=mark-connection chain=forward comment="50Kb Connections" \
connection-bytes=0-50000 disabled=yes new-connection-mark=CLASS-B \
passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment=CLASS-B-GROUP-E-DL \
connection-mark=CLASS-B disabled=yes dst-address-list=GROUP-E \
new-packet-mark=CLASS-B-GROUP-E-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-B-GROUP-D-DL \
connection-mark=CLASS-B disabled=yes dst-address-list=GROUP-D \
new-packet-mark=CLASS-B-GROUP-D-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-B-GROUP-C-DL \
connection-mark=CLASS-B disabled=yes dst-address-list=GROUP-C \
new-packet-mark=CLASS-B-GROUP-C-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-B-GROUP-B-DL \
connection-mark=CLASS-B disabled=yes dst-address-list=GROUP-B \
new-packet-mark=CLASS-B-GROUP-B-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-B-GROUP-A-DL \
connection-mark=CLASS-B disabled=yes dst-address-list=GROUP-A \
new-packet-mark=CLASS-B-GROUP-A-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-E-UP \
connection-mark=CLASS-B disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-B-GROUP-E-UP passthrough=yes src-address-list=\
GROUP-E
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-D-UP \
connection-mark=CLASS-B disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-B-GROUP-D-UP passthrough=yes src-address-list=\
GROUP-D
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-C-UP \
connection-mark=CLASS-B disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-B-GROUP-C-UP passthrough=yes src-address-list=\
GROUP-C
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-B-UP \
connection-mark=CLASS-B disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-B-GROUP-B-UP passthrough=yes src-address-list=\
GROUP-B
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-A-UP \
connection-mark=CLASS-B disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-B-GROUP-A-UP passthrough=yes src-address-list=\
GROUP-A
add action=accept chain=forward comment=CLASS-B disabled=yes
add action=accept chain=forward comment=CLASS-A disabled=yes
add action=mark-connection chain=forward comment=DNS disabled=yes dst-port=53 \
new-connection-mark=CLASS-A passthrough=yes protocol=tcp src-port=53
add action=mark-connection chain=forward comment=DNS disabled=yes dst-port=53 \
new-connection-mark=CLASS-A passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=DNS disabled=yes dst-port=53 \
new-connection-mark=CLASS-A passthrough=yes protocol=udp
add action=mark-connection chain=forward comment=NNTP disabled=yes dst-port=\
119 new-connection-mark=CLASS-A passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=Winbox disabled=yes \
dst-port=8291 new-connection-mark=CLASS-A passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=ntp disabled=yes dst-port=\
123 new-connection-mark=CLASS-A passthrough=yes protocol=udp
add action=mark-connection chain=forward comment=VNC disabled=yes dst-port=\
5900-5901 new-connection-mark=CLASS-A passthrough=yes protocol=tcp
add action=mark-connection chain=forward comment=Radmin disabled=yes \
layer7-protocol=radmin new-connection-mark=CLASS-A passthrough=yes
add action=mark-connection chain=forward comment=RDP disabled=yes \
layer7-protocol=rdp new-connection-mark=CLASS-A passthrough=yes
add action=mark-connection chain=forward comment=PING disabled=yes \
new-connection-mark=CLASS-A passthrough=yes protocol=icmp
add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \
new-connection-mark=CLASS-A passthrough=yes src-address-list=\
CLASS-A-SITES
add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \
dst-address-list=CLASS-A-SITES new-connection-mark=CLASS-A passthrough=\
yes
add action=mark-connection chain=forward comment="5Kb Connections" \
connection-bytes=0-5000 disabled=yes new-connection-mark=CLASS-A \
passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment=CLASS-A-GROUP-E-DL \
connection-mark=CLASS-A disabled=yes dst-address-list=GROUP-E \
new-packet-mark=CLASS-A-GROUP-E-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-A-GROUP-D-DL \
connection-mark=CLASS-A disabled=yes dst-address-list=GROUP-D \
new-packet-mark=CLASS-A-GROUP-D-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-A-GROUP-C-DL \
connection-mark=CLASS-A disabled=yes dst-address-list=GROUP-C \
new-packet-mark=CLASS-A-GROUP-C-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-A-GROUP-B-DL \
connection-mark=CLASS-A disabled=yes dst-address-list=GROUP-B \
new-packet-mark=CLASS-A-GROUP-B-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=forward comment=CLASS-A-GROUP-A-DL \
connection-mark=CLASS-A disabled=yes dst-address-list=GROUP-A \
new-packet-mark=CLASS-A-GROUP-A-DL passthrough=yes src-address-list=\
!ShaperExclude
add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-E-UP \
connection-mark=CLASS-A disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-A-GROUP-E-UP passthrough=yes src-address-list=\
GROUP-E
add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-D-UP \
connection-mark=CLASS-A disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-A-GROUP-D-UP passthrough=yes src-address-list=\
GROUP-D
add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-C-UP \
connection-mark=CLASS-A disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-A-GROUP-C-UP passthrough=yes src-address-list=\
GROUP-C
add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-B-UP \
connection-mark=CLASS-A disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-A-GROUP-B-UP passthrough=yes src-address-list=\
GROUP-B
add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-A-UP \
connection-mark=CLASS-A disabled=yes dst-address-list=!ShaperExclude \
new-packet-mark=CLASS-A-GROUP-A-UP passthrough=yes src-address-list=\
GROUP-A
add action=accept chain=forward comment=CLASS-A disabled=yes

134. IP-Tel, 26.09.2012 16:22
Вопрос:

Можно ли на RB/750 накатывать произвольно более ранние версии OS?

И, если возможно, то как?

135. OlegaVb, 27.09.2012 14:40
После замены роутера RT-n16 на RB751G перестали раздаваться торренты хотя входящий порт проброшен и проверка это показывает.

136. Джамаль, 27.09.2012 22:35
IP-Tel
И, если возможно, то как?

Кнопка downgrade в менеджере пакетов вам в помощь


OlegaVb

А что, торрентам нужен один лишь порт и больше ничего?

Включите UPnP, Оно само всё пробросит, даже обратного проброса не надо делать

137. gberc, 28.09.2012 17:05
Приветствую всех.
В сети нашел мануалы по настройки распределенной wifi-сети с роумингом: wds+mesh и wds+virtual AP.
Никак не могу решить на основе какого решения построить сеть. Прошу помощи определиться.
Основная цель беспроводной сети - предоставить доступ в интернет в гостинице (тянуть провода нет никакой возможности). Провайдер предоставляет ширину канала 5 Мбит/с.
Требования:
- 4 точки доступа RB751U-2HnD по топологии звезда(1 центральная, остальные к ней).
- все точки доступа помимо связи wfs еще и покрывают некую область для подключения клиентов.
- сеть для клиентов должна иметь шифрование WPA2/WPA (на самый крайний случай - для галочки - WEP).
- подключающиеся клиенты самые разные.
- роуминг (т.е. при переходе от точки к точке клиенты бы сами переподключались к точке, которая имеет больший сигнал).

138. sdaww, 28.09.2012 21:28
Привет всем. Роутер RB751G-2HnD.
Разбираюсь с настройкой, натолкнулся на статью
http://www.lanmart.ru/blogs/mikrotik-rb751u-2hnd_rez…provodnyj-router/
и мне стало не совсем понятно для чего нужно

Цитата:
"Что бы устройство работало в режиме роутера со встроенным коммутатором (как и все остальные подобные роутеры других производителей) создаем бридж, в разделе меню Bridge. Для этого нажимаем на красный + и в открывшемся окне, ничего не меняя (разве что имя бриджа) нажимаем Ok. На вкладке Ports нажимая на + добавляем порты в бридж. В открывшемся окне в пункте Interface выбираем нужный нам интерфейс, в пункте Bridge выбираем созданный ранее бридж. Добавлять интерфейсы можно только по одному. Поэтому 5 раз производим добавление портов – Ether2, Ether3, Ether4, Ether5 и Wlan1 – беспроводной адаптер. Порт Ether1 добавлять в бридж не нужно – он будет использоваться для подключения к сети провайдера, предоставляющего доступ в Интернет."

Не совсем понятно для чего это делать, ведь если зайти в Switch с помощью Winbox, то там можно увидеть, что все порты кроме ether1 и так работают как свитч. Я проверял, с заводской конфигурацией порты с 2-го по 5-й работают как свитч. Или я чего-то не понимаю?

139. gberc, 29.09.2012 08:56
sdaww, потому что в начале был выполнен сброс в заводские настройки, а потом конфигурацию удалили. соответственно и удалили "свитч":
цитата:
Для сброса конфигурации следует зайти в меню New Terminal и ввести там команду:
System reset-configuration и нажать Enter, на вопрос подтверждения сброса нажмите Y.
После перезагрузки устройства появится окно начальной конфигурации, нужно нажать кнопку Remove Configuration для ее отмены.

140. sdaww, 29.09.2012 11:34
gberc,
cделал все как написано в этой статейке - сделал system reset-configuration, а потом Remove Configuration.
В Switch'е как были порты со 2-го по 5-й так и остались (см. вложение).
И еще такой вопрос, что лучше - объединить порты мостом или занести их в switch, что правильнее?

К сообщению приложены файлы: 1.jpg, 734x504, 49Кb

141. gberc, 29.09.2012 13:06
sdaww, сейчас проверил на своем RB751U-2HnD:
- в Switch'е у меня все также как на твоем скрине.
- интерфейсы 2-5 у меня объединены в свитч с указанием мастер-порта 5. как результат это свитч (хотя если капнуть глубже, то я наверняка ошибаюсь. прошу кураторов или осведомленных пользователей разъяснить этот момент, согласен и на ссылки )
- когда я убрал на интерфейсе ether2 указание на мастер-порт 5 и переткнул патчкорд в ether2, то у меня пропали пинги до микротика. из чего я делаю вывод, что ether2 перестал являться частью свитча.

142. sdaww, 29.09.2012 13:50
- когда я убрал на интерфейсе ether2 указание на мастер-порт 5 и переткнул патчкорд в ether2, то у меня пропали пинги до микротика. из чего я делаю вывод, что ether2 перестал являться частью свитча.

gberc, ты наверное перепутал ты из ether5 убрал указание на мастер-порт ether2, в заводской конфигурации ether2-мастер-порт. Хотя у тебя может ether5 как мастер-порт настроен. А то, что перестал пинговаться, так ты привязку к мастер-порту убрал вот он и перестал пинговаться. Но этот порт по-прежнему находится в Switch.
Вот, что в документации написано http://wiki.mikrotik.com/wiki/Руководства:Возможност…D1.82.D0.BE.D0.B2

143. xxxdnua, 30.09.2012 15:37
Moriturus
Можно пообщаться с тобой по поводу твоей балансировки?

144. Moriturus, 30.09.2012 18:44
xxxdnua
можно конечно, для этого и существует форум.
Только балансировка эта не совсем моя, а народная:
http://wiki.mikrotik.com/wiki/Manual:PCC

145. xxxdnua, 30.09.2012 19:38
Moriturus
я вижу ты тоже src address использовал вместо both address! Были проблемы с both?

146. Moriturus, 30.09.2012 21:25
xxxdnua
Были проблемы при подключении к ICQ, как я понимаю из-за того, что авторизация на одном серваке, а обмен сообщениями через другой, с другим IP.
На самом деле сейчас перешёл на src address and port, пока что прекрасно работает. Просто src address совсем уж тупо — половина компов через одного провайдера, половина через другого, тут PCC даже и не нужен был бы.

147. xxxdnua, 01.10.2012 14:48
Moriturus
Я пытаюсь организовать весь нттр трафик и ему подобный через балансировку src addrees, а весть торрент кинуть через баланс both addrees

148. AndrewRicH, 01.10.2012 21:52
Подскажите, пожалуйста, хочу eth2 сделать wan2 портом для второго провайдера.
Сейчас eth2 свободный, есть подключения в eth1(wan1), eth3 и eth5, а активность через webfig вижу на eth1(wan трафик) и eth2(вероятно локалка eth3 и eth5). Собственно вопросы:
1) Как сделать из eth2 wan порт?
2) Как увидеть активность на конкретном порту куда подключен кабель?

149. Джамаль, 01.10.2012 22:45
AndrewRicH

Выведите этот порт из коммутатора. Для этого достаточно изменить мастер-порт в остальных портах. После этого вы можете нарисовать адрес на ether2 и создать на нем какую вам надо трансляцию

150. AndrewRicH, 01.10.2012 23:07
А какой мастер-порт указывать на занятых портах локалки? (none или сам на себя или...)
UPD. Сам на себя не позволяет, указал none и потерял коннект с роутером. Жду совет.

151. Джамаль, 02.10.2012 08:52
AndrewRicH

Ether3, вестимо. На самом же ether3 не указывайте никакого мастер-порта. И надо будет локалковый IP-адрес перенести на ether3 же

152. AndrewRicH, 02.10.2012 18:40
Спасибо, попробую!
upd. С этим разобрался, теперь необходимо организовать переключение на резерв (eth2) и возврат при появлении интернета на основном канале (eth1).
Дано:
wan1 (eth1) - Динамический DHCP
wan2 (eth2) - PPPoe
Есть у меня ссылка на вики в микротике Advanced Routing Failover without Scripting (http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting#Basic_Setup) ....хм....но, признаюсь, туговато у меня со всеми этими строками
GW1 и GW2 понимаю, что это как бы гейтвеи, Hosts - ip адреса сайтов (гугл напр.).
Вопросы:
1) Т.е. я вместо GW1 просто пишу имя Eth1? (в моем случае "ether1-Kyivstar-in")
2) И вместо GW2 пишу имя PPPoE клиента ?(в моем случае "MegaLink")
3) Multiple host checking per Uplink я так понимаю если мало 2-х адресов для проверки?
4) Этот метод переключает на резерв и потом возвращает на основной канал при его возобновлении? Резерв просто с ограниченным трафиком поэтому предпочтительно, чтобы при возобновлении основного канала этот не использовался.
5) Ну и не ругайте, пожалуйста, прописывается это все в New Terminal и построчно? И после перезагрузки или сбоя питания заново прописывать?

153. AGFC, 02.10.2012 20:54
Подскажите, насколько реально выбрать роутер (точнее платформу базовую как я понял вроде таких http://routerboard.com/ ) и настроить его на 5-7WAN + иметь порта 4 Gbit LAN?
И что пойдет, интерфейса мне достаточно web, а от роутера хочется балансировки нагрузки по провайдерам, по 2xLAN хочу передавть траффик до web сервера...

Ну и так чтобы он выдерживал все эти l2tp/pppoe нормально, фаервол, статистика и т.п.... И мог выдержать какие-то типы атак (интересно как у них с этим вообще?)
Подскажите, что выбрать на что вообще смотреть?

Добавление от 02.10.2012 20:58:

если бы еще один SFP был бы для оптики, было бы вообще просто здорово

Добавление от 02.10.2012 21:04:

Вот такой вот например? http://routerboard.com/RB1200 если без SFP, которых я пока вообще не могу найти...

154. Gaidamak, 02.10.2012 21:24
Собрал машинку, водрузил на нее честную 5.20 Level 4. Wi-Fi TP-Link TL-WN951N в режиме AP bridge. Типа работает, но wi-fi ведет себя как-то нестабильно, клиенты отваливаются, потом опять подключаются, скорость нестабильна и т.п. На карточке три антенны. Есть ли какие-то ноу-хау в этом деле?

155. denilkor, 03.10.2012 10:59
Доброго дня всем обитателям данного форума . слезно прошу помощи . ситуация вкрадце такая : есть микротик RB450G за ним сеть в которой живет файлообменник . требуется настроить тунель , дабы VPN удаленный пользователь (менеджер лежащий в больнице ) прозрачно попадать в локалку , видеть шары в сетевом окружении , пользоваться файлообменником . обьяснить человеку что для просмотра шары файло обменника нужно ввести \\192.168.0.3 исключаю т.к. цвет волос и длинна ногтей полностью исключают эту возможность . паника с каждым днем нарастает . единственное что у меня получилось это поднять PPtP .броадкасты не проходят , пинг есть , в сетевом пусто .

156. Джамаль, 03.10.2012 11:35
denilkor
видеть шары в сетевом окружении

Пусть ставит у себя OpenVPN-клиента, а вы на микротике поднимайте OpenVPN-сервер в режиме Ethernet

157. denilkor, 03.10.2012 13:16
Уважаемый Джамаль можно подробнее ? мне достаточно сложно дается изучение тунелей . насколько я помню для поднятия тунеля требуются сертификаты , клиент под windows и прямые руки . если возможно ткните меня носом в мануал который я с привиликим удовольствием буду вкуривать до полного открытия чакр и прояснения кармы

158. dim-soft, 03.10.2012 21:05
Подскажите, есть сеть
http://img13.imageshost.ru/img/2012/10/03/image_506c6ec0de585.png (722x543, 1151.0Kb)
Четыре подсети в трех разных офисах 192.168.0.0/24, 192.168.79.0/24, 192.168.77.0/24, 192.168.44.0/24
соединены через L2 тунель провайдера (VPN на VLAN) на трех микротиках прописаны три адреса из подсети 172.17.0.0 и настроена маршрутизация, все подсети видят друг друга.
В двух офисах по 1 дополнительному провайдеру с белым динамическим IP , в третьем два дополнительных провайдера с белыми статическими IP, настроена балансировка с маркировкой пакетов и соединений.

Как сделать так чтобы продубрировать провайдерский VPN через интернет. Чтобы схема работала если в каждом офисе работает хотя бы ОДИН провайдер.

Мысли про OSPF, но подскажите как это сделать ?

159. Джамаль, 04.10.2012 08:16
dim-soft
OSPF будет работать, если линк отваливается физически, то есть кабель выдернут или прибор обесточен.


denilkor

Увы, вряд ли подскажу. Могу лишь на википедию разработчиков направить - http://wiki.mikrotik.com/wiki/Manual:Interface/OVPN

160. dim-soft, 04.10.2012 08:38
Джамаль
А что посоветуйте вместо OSPF ?

2all

Еще вопрос когда пакет проходит два микротика 192.168.79.x -> 172.17.0.x-> 192.168.0.x то на сервере я вижу подключение от 172.17.0.х как сделать чтобы было видно как 192.168.79.x ?

161. di9383, 04.10.2012 11:22
Народ, прошу помощи. После пропадания электричества, видимо, мой Микротик глканул, как результат - в фаерволе почти все правила похерлись. Проблема в том, что при попытке восстановить из файла пишет Failed to restore system configuration. action failed (6). Как быть?

162. Джамаль, 04.10.2012 12:00
di9383

Сброс конфига и повторный накат

163. di9383, 04.10.2012 12:25
Спасибо за ответ. Момент немного прояснился, всё тривиально - закончилось мето на диске. Диск один, системный. Размер 20гиг. Раньше использовал кэш для прокси на этом же диске (знаю, что плохо, но по другому нельзя было). Но давно уже отключил кэш и clear cache делал. Чем забито не совсем понятно. Как можно посмотреть, почистить?

164. sdaww, 04.10.2012 12:40
Помогите разобраться, при передаче файлов по VPN нагрузка cpu 100% на MikroTik RB751U-2HnD. В чем может быть дело? Вроде все настроено корректно. При подключении к удаленному компу по Radmin'у через VPN проблем с нагрузкой на CPU нет.

1.jpg, 2.jpg, 3.jpg - передача файла по VPN
4.jpg - Radmin по VPN
5.jpg - конфиг IPSEC

К сообщению приложены файлы: 1.jpg, 681x416, 31Кb, 2.jpg, 1014x463, 71Кb, 3.jpg, 1009x776, 85Кb, 4.jpg, 1040x434, 65Кb, 5.jpg, 859x915, 121Кb

165. Джамаль, 04.10.2012 13:29
di9383
Как можно посмотреть, почистить?

А в files что написано?

Добавление от 04.10.2012 13:36:

sdaww
IPSEC

Может, ну его на фиг, этот ипсек? Ваши данные и так никому не нужны, а вы маршрутизатор их ещё и шифровать заставляете...

166. sdaww, 04.10.2012 14:06
Джамаль, я б с радостью, но железка на другой стороне только IpSec и поддерживает.

167. sdaww, 04.10.2012 14:15
Отключил шифрацию на IPSec теперь показывает другое..
Забыл сказать, что железка минут через 10 после начала передачи файла уходит в ребут и после пишет
router was rebooted without proper shutdown by watchdog timer.

К сообщению приложены файлы: 1.jpg, 997x553, 77Кb

168. xxxdnua, 05.10.2012 12:27
Moriturus
Добрый Вам день, меня заинтересовал ваш пост, действительно вопрос интересен и как правило те кто дают такую информацию, в частности Inlarion, никогда не дадут полного ответа! Меня интересует как вы приняли на практике это у себя (и в частности обратили ли вы внимание на выключенные правила?). Жду ответа так как тема действительно интересная!

169. Moriturus, 05.10.2012 12:45
xxxdnua
Добрый день.
Извините, но в чём конкретно заключается ваш вопрос?
PCC srs address and port у меня довольно неплохо работает.
Распределение трафика маркировки соединений за неделю с небольшим:
316x48, 1,3Kb

Выключенные правила в Mangle — это правила маркировки для приоритезации, которая видимо несовместима с балансировкой, но пока нет времени разобраться, поэтому они выключены до лучших времён.

К сообщению приложены файлы: 1.png, 316x48, 1Кb

170. xxxdnua, 05.10.2012 12:50
Moriturus
Да согласен он работает не плохо, но не замечали ли вы что торрент при скачки 1,5 гиг. фильма быстрее скачивал бы при балансировке both? И второе по ссылке http://habrahabr.ru/post/131295/#habracut как вы тут реализовали это! В частности я ставил эти правила в начало, они маркировали пакеты, но пинг был намного выше! При этом приходилось убирать no-mark при маркировке соединений из внутренней сети!

вот моя балансировка:
код:
add chain=prerouting comment="Accept All trafic" dst-address=192.168.0.0/24 \
src-address=192.168.0.0/24
add chain=prerouting dst-address-list=adsl src-address=192.168.0.0/24
add chain=prerouting dst-address-list=ISP src-address=192.168.0.0/24
add action=mark-connection chain=prerouting comment=\
"Mark connections that are initiated from outside" connection-mark=no-mark \
in-interface=pppoe-out2 new-connection-mark=out2_connection
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=pppoe-out3 new-connection-mark=out3_connection
add action=mark-connection chain=prerouting connection-mark=no-mark \
in-interface=pppoe-out4 new-connection-mark=out4_connection
add action=jump chain=prerouting comment="Jump PPC" connection-mark=no-mark \
jump-target=ppc src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment=\
"Mark routing for upload packets from marked connections" connection-mark=\
out2_connection new-routing-mark=pppoe-out2_connectionIP_mark_routing \
src-address=192.168.0.0/24
add action=mark-routing chain=prerouting connection-mark=out3_connection \
new-routing-mark=pppoe-out3_connectionIP_mark_routing src-address=\
192.168.0.0/24
add action=mark-routing chain=prerouting connection-mark=out4_connection \
new-routing-mark=pppoe-out4_connectionIP_mark_routing src-address=\
192.168.0.0/24
add action=mark-routing chain=output comment=\
"OUTPUT pppoe-out_connectionIP_mark_routing" connection-mark=\
out2_connection new-routing-mark=pppoe-out2_connectionIP_mark_routing
add action=mark-routing chain=output connection-mark=out3_connection \
new-routing-mark=pppoe-out3_connectionIP_mark_routing
add action=mark-routing chain=output connection-mark=out4_connection \
new-routing-mark=pppoe-out4_connectionIP_mark_routing
add action=mark-connection chain=ppc comment="==Balansing PPC" \
dst-address-type=!local new-connection-mark=out2_connection \
per-connection-classifier=src-address:3/0
add action=mark-connection chain=ppc dst-address-type=!local \
new-connection-mark=out3_connection per-connection-classifier=\
src-address:3/1
add action=mark-connection chain=ppc dst-address-type=!local \
new-connection-mark=out4_connection per-connection-classifier=\
src-address:3/2

171. Moriturus, 05.10.2012 13:15
xxxdnua
торрент при скачки
тут офис, торрентами не пользуемся

цитата:
как вы тут реализовали это
да пока никак, только импортировал и отключил, т.к. они мешают балансировке, а времени разбираться пока нет.

пинг был намного выше
так а как вы хотели, если пакет проходит через 80 с лишним правил, загрузка роутера явно повышается, к тому же торренты сами по себе сильно нагружают роутер.

Вообще, если нужно приоритезировать на домашнем компьютере, то есть такая штука как CFosSpeed — программа с NDIS драйвером, которая приоритезирует трафик по протоколам и приложениям. У неё есть определённые преимуществе в том плане, что она работает именно с конкретными приложениями (и протоколами тоже).

172. xxxdnua, 05.10.2012 13:35
Moriturus
программа не впечатлила трафик с ее работой только вырос!

173. dim-soft, 05.10.2012 20:11
2all
Посоветуйте красивое решение:

Есть микротик с несколькими WAN каналами, все нормально переключается, но захотелось проверять "запасные" каналы с помощью netwath, но столкнулся с проблемой:

в route прописал маршрут до DNS второго провайдера через WAN канал второго провайдера.
Проверяю адрес DNS с помощью netwath - если пропадает интернет у второго провайдера, то скрипт отрабатывает, а если выключить модем, то и маршрут в route становиться неактивным => DNS второго провайдера отвечает через первого и netwath НЕ бьет тревогу.

Вопрос: как это победить, чтобы проверять:
1) сам канал живой
2) в нем есть интернет
3) интернет "нормальны", а "заглушка" - у вас отрицательный баланс

174. sdaww, 05.10.2012 20:50
Вобщем отвечаю сам себе.
Помогает обновление до RouterOS 6.0rc1.
Роутер хоть и показывает нагрузку в 100%, но вполне работоспособен на перезагрузку не уходит, на запросы откликается.
Запущенный торрент с закачкой нескольких файлов , одновременная передача файлов по VPN и браузинг в интернете железяку не подвешивают, хоть и грузят до 100%!

175. xxxdnua, 05.10.2012 23:54
sdaww
перегружался сам было замечено с 3 каналами и балансировкой!

176. dim-soft, 07.10.2012 13:30
подскажите, настраиваю два WAN
код:

/ip firewall mangle
add action=mark-connection chain=forward in-interface=usi \
new-connection-mark=usi_c
add action=mark-connection chain=forward in-interface=gulaev \
new-connection-mark=gulaev_c
add action=mark-routing chain=prerouting connection-mark=usi_c \
new-routing-mark=usi_r src-address=192.168.0.0/16
add action=mark-routing chain=prerouting connection-mark=gulaev_c \
new-routing-mark=gulaev_r src-address=192.168.0.0/16
add action=mark-routing chain=prerouting connection-state=new \
dst-address-list=to_gulaev new-routing-mark=gulaev_r
add action=mark-routing chain=prerouting connection-state=new \
dst-address-list=to_usi new-routing-mark=usi_r
add action=mark-routing chain=output connection-state=new dst-address-list=\
to_gulaev new-routing-mark=gulaev_r
add action=mark-routing chain=output connection-state=new dst-address-list=\
to_usi new-routing-mark=usi_r
add action=mark-connection chain=forward in-interface=pppoe-sip \
new-connection-mark=pppoe-sip_c
add action=mark-routing chain=prerouting connection-mark=pppoe-sip_c \
new-routing-mark=pppoe-sip_r src-address=192.168.0.0/16
add action=mark-routing chain=prerouting connection-state=new \
dst-address-list=to_pppoe-sip new-routing-mark=pppoe-sip_r
add action=mark-connection chain=forward in-interface=retelekom \
new-connection-mark=retelekom_c
add action=mark-routing chain=prerouting connection-mark=retelekom_c \
new-routing-mark=retelekom_r src-address=192.168.0.0/16
add action=mark-routing chain=prerouting connection-state=new \
dst-address-list=to_retelekom new-routing-mark=retelekom_r

и в route в зависимости от отправляю на разные каналы

из локальной сети все работает, те адреса которые отправляю через резервные каналы доступны, но при публикации www все ответы идут через основного провайдера

где покрутить ?

необходимо 1 сервер с 1 IP на одном порту опубликовать сразу через двух провайдеров, причем адрес откуда идут запросы может быть один

(пытаюсь сделать несколько агрегированных линков между офисами)

177. Moriturus, 08.10.2012 08:14
dim-soft

код:
add action=mark-connection chain=prerouting comment=\
"mark service connection ISP1" connection-mark=no-mark disabled=no \
dst-address=1.2.3.4 dst-port=80 in-interface=ISP1 \
new-connection-mark=ISP1_conn passthrough=no protocol=tcp
add action=mark-connection chain=prerouting comment=\
"mark service connection ISP2" connection-mark=no-mark disabled=no \
dst-address=4.3.2.1 dst-port=80 in-interface=ISP2 \
new-connection-mark=ISP2_conn passthrough=no protocol=tcp

178. dim-soft, 08.10.2012 08:46
Moriturus
Заработало , проброс www с обоих IP.
Видимо надо снова переучивать - как трафик в микротике ходит

А какую строчку добавить чтобы и сам микротик отвечал по каналам нормально ?
Добавление порта 8291 не помогло

179. sdaww, 08.10.2012 10:13
xxxdnua, т.е. и с 6.0rc1 проблемы с подвисаниями есть?

180. Moriturus, 08.10.2012 10:46
dim-soft
А какую строчку добавить чтобы и сам микротик отвечал по каналам нормально ?
Добавление порта 8291 не помогло

должно работать. Может быть у вас IP — Services, Available From ограничение мешает, или фаервол?

181. dim-soft, 08.10.2012 13:46
Moriturus
Может быть у вас IP — Services, Available From ограничение мешает, или фаервол?
Нет не мешает, по всем каналам кроме usi работает (там хоть и разные логины но один оператор, видимо ему все равно откуда пришел пакет если он от IP клиента)

182. Moriturus, 08.10.2012 14:21
dim-soft
ещё есть ограничение по IP в System - Users.
У меня на таких же настройках прекрасно подключается, так что перепроверяйте, проблема на вашей стороне ©

183. dim-soft, 08.10.2012 15:00
Moriturus
проблема на вашей стороне

проброс портов пошел, а вот сам микротик не отвечает

184. Moriturus, 08.10.2012 15:03
dim-soft
проброс портов пошел
какой ещё, извините, проброс портов? Или у вас за одним микротиком другой микротик?

185. ASUS_Strelok, 08.10.2012 15:11
доброго времени суток.
Есть железка rb751G-2Hn версия ПО 5.20. Нужно скофирурировать как ВПН ipsec клиент. Проблема в том что у него динамический ip.

для этого я написал скрипт, выношу на ваше рассмотрение так как не хочет работать.
код:


:global lastip
:local wanip
:local wanif "WAN"

:if ([ :typeof $lastip ] = nil ) do={ :global lastip "0" }

:local wanip [ /ip address get [/ip address find interface=$wanif ] address ]

:if ([ :typeof $wanip ] = nil ) do ={
:log info ("WANIP: no ip address on $wanif .")
} else= {

:for i from=( [:len $wanip] - 1) to=0 do={
:if ( [:pick $wanip $i] = "/") do={
:set wanip [:pick $wanip 0 $i];
:log info ("wan ip now is $wanip")
}
}

:if ($wanip != $lastip) do={
:log info ("Renew ipsec Policy: $wanif -> $wanip")

#ïîäñòàâëÿåì â ïîëèòèêó ip

: /ip ipsec policy src-address=192.168.9.0/24 src-port=any dst-address=192.168.1.0/24
dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp
tunnel=yes sa-src-address=$wanip sa-dst-address=195.62.15.118
proposal=default priority=0
:global lastip $wanip
}
}


а результата нету
[admin@AlexMikroTik] > system script run ipsec_renew
[admin@AlexMikroTik] > system script environment print
# USER NAME VALUE
0 admin lastip
[admin@AlexMikroTik] >
в логах тоже нету

186. AdvancedGuest, 08.10.2012 15:20
Камрады! уделите 2 минуты.

Нужна embeded платформа в качестве домашнего wifi-роутера. Смотрел в сторону Soekris+m0n0wall, но в сети нашёл даташит на Mikrotik RB2011UAS-2HnD-IN (http://routerboard.com/RB2011UAS-2HnD-IN) . Интересует следующее:

- возможность использования резки рекламы
- возможность установки udpxy (relay multicast UDP traffic to client's TCP HTTP connection) для просмотра IPTV
- возможность в фаерволле блокировать сайты по URL и IP

187. dim-soft, 08.10.2012 15:36
Moriturus
какой ещё, извините, проброс портов? Или у вас за одним микротиком другой микротик?
код:

/ip firewall nat
add action=dst-nat chain=dstnat comment="SBS http usi" dst-port=80,443 in-interface=usi protocol=tcp to-addresses=192.168.0.2
add action=dst-nat chain=dstnat comment=" SBS http gulaev" dst-port=80,443 in-interface=gulaev protocol=tcp to-addresses=192.168.0.2

web сервер с локальным IP 192.168.0.2 после добавления скорректированной строчки с Вашего примера (большое спасибо) стал доступен из сети интернет по обеим белым IP адресам

А сам микротик для администрирования остался недоступен с резервного WAN2

188. PaulCHer, 08.10.2012 15:38
Кто-нибудь использовал на практике HunterTik сборку Microtik+Debian 6.0 в одном флаконе, без виртуализации.

189. Moriturus, 08.10.2012 15:42
AdvancedGuest

возможность использования резки рекламы
можно резать либо через встроенный DNS серве (подставлять 127.0.0.1 для рекламных доменов), либо пользоваться встроенным пркоси:
http://xaviero1412.blogspot.com/2006/07/blocking-ad-…ik-router-os.html

возможность установки udpxy
не знаю что такое, но порт-форвардинг есть, если что

- возможность в фаерволле блокировать сайты по URL и IP
в правило фаервола можно забить только IP с маской, но вместо этого можно использовать свой список, куда можно добавить сколько угодно IP.

Добавление от 08.10.2012 15:49:

dim-soft
А сам микротик для администрирования остался недоступен с резервного WAN2
прочитав ваше предыдущее сообщение я подумал, что вы форвардинг портов зачем-то для доступа к микротику использовали.
Вобщем, чтобы доступ работал, нужно проверить, капают ли пакеты на разрешающее правило фаервола в цепочке INPUT при попытках подключиться, потом, капают ли пакеты в Mangle на соответствующее правило, и ещё раз проверить, не ограничен ли где-то доступ только с определённых IP.

190. dim-soft, 08.10.2012 16:28
Moriturus
капают ли пакеты на разрешающее правило фаервола в цепочке INPUT при попытках подключиться
да

капают ли пакеты в Mangle на соответствующее правило
да

не ограничен ли где-то доступ только с определённых IP
нет

Если я отключаю WAN1 то доступ есть

Добавление от 08.10.2012 16:33:

Moriturus
по аналогии добавил postrouting с белыми адресами и заработало

191. sdaww, 09.10.2012 11:04
Помогите решить задачу.
Есть десяток правил в Firewall в которых в качестве входящего интерфейса и исходящего указан интерфейс соединения с провайдером (в моем случае PPPoE).
Что делать в случае если провайдер поменялся и тип подключения тоже (например PPTP)?
Во всех правилах менять на новый интерфейс?
Или можно создать какой-то виртуальный к которому уже привязывать интерфейс провайдера?

192. Moriturus, 09.10.2012 16:16
sdaww
не самое удобное решение, но чем, как говорится, могу:
код:

/ip firewall filter
print where in-interface="old_ISP"
set 21,22,23,24,25 in-interface="new_ISP"

193. sdaww, 09.10.2012 19:31
Moriturus, а может с маркировкой пакетов что-то получится?

194. dim-soft, 10.10.2012 21:40
подскажите как настроить ospf

три офиса, объединены L2 VPN, в первом два провайдера? во втором и третьем по одному
(рис 1)
Добавил между первым и вторым канал EoIP (в обоих офисах статические белый интернет адреса), а между вторым - третьим и первым - третьим pptp
(рис 2)
включил ospf и добавил на каждом микротике сети (см в wiki на микротик)

между первым и вторым ospf сработало, в таблице маршрутизации по два пути, при отключении патчкорда идет переключение на канал EoIP

каналы с pptp в ospf не попали
что сделать ?
- прокинуть EoIP поверх pptp ?

как использовать меньше адресов ? (сейчас на каждый линк /24 подсеть)

К сообщению приложены файлы: 1.png, 439x363, 19Кb, 2.png, 711x476, 28Кb

195. dim-soft, 12.10.2012 21:05
подскажите как выжать из rb751g-2hnd 300 мегабит

196. gamespb, 12.10.2012 21:46
dim-soft
ни как, по тестам от routeboard.com
CPU AR7241
RB711 Series @400Mhz (Dual chain throughput test)
199.16 MAX

197. sherwood, 12.10.2012 23:28
здравствуйте, что то ни как не могу понять как заблокировать доступ к RB через winbox по MAC, по IP заблокировал кроме себя, а потом попробовал зайти по MAC с другого ПК и удивился - заходит, пробовал так же блокировать все МАС кроме своего, но под это правило ни чего не попадает.

198. Джамаль, 13.10.2012 08:41
sherwood

В файрволе на третьей, кажется, закладке есть возможность указать МАС

199. dim-soft, 13.10.2012 08:58
gamespb
ни как
Да мне бы скорость подключения в windows "красивую", а то inSSDer показывает что сеть 300, а wifi цепляется то на 78 то на 144.
Как заставить на 300 ?
wifi пробовал разные брадком и альфу

200. sherwood, 13.10.2012 10:34
Джамаль
В файрволе на третьей, кажется, закладке есть возможность указать МАС
на второй Адвансет, я так пробовал:

код:
 0   ;;; Accept router MAC
chain=input action=drop src-mac-address=!00:23:НН:D0:22:ЕЕ
1 ;;; Accept router
chain=input action=accept src-address-list=admin
2 ;;; Drop everything else
chain=input action=drop

в адрес-листе - админ только мой IP, и вот при всем этом я захожу с другого ПК с другим IP.
что то я как то призадумался.

201. htaccess, 13.10.2012 11:50
Добрый день!

Наверное мой вопрос глупый, но хочу 100% быть уверен.

Микротик, два провайдера(eth2,eth3), локалка (eth1). Чтобы ходить в интернет из локалки написал правило:

chain=srcnat action=masquerade out-interface=!ether1

Вопрос: из сетей eth2 или eth3 можно ли назначить мой микротик шлюзом и качать интернет?

202. Джамаль, 13.10.2012 17:57
sherwood
00:23:НН:D0:22:ЕЕ

HH? Откуда в шестнадцатиричной системе НН?

Добавление от 13.10.2012 18:32:

htaccess

Это как? А, понял: может ли кто-то из провайдерской сети пользоваться вашим интернетом при таком конфиге?

203. htaccess, 13.10.2012 18:55
Джамаль

Да! Так может ли?

204. sherwood, 13.10.2012 19:25
а смекалку включить сложно Джамаль? ну конечно изменил МАС.
я ща наверное буду писать ересть, но я что то перестал понимать что я делаю.
и так создаю правило:
код:
chain=input action=drop src-address=192.168.0.1

192.168.0.1 - адрес второго ПК, и что в итоге он по прежнему может подключится через winbox к роутеру по MAC, в торч видем следующее:
код:
протокол udp
Src.255.255.255.255:1914 - Dst. 0.0.0.0:20561 Tx.rate=5.3Kbps Rx.Rate=0
Src.192.168.0.1:1914 - Dst.255.255.255.255:20561 Tx.Rate=0 Rx.Rate=4.3Kbps

вы что нибудь понимаете?

205. Джамаль, 13.10.2012 21:17
sherwood

Всё в порядке. Ведь соединение идёт на втором уровне, до него файрвол не добирается

206. sherwood, 13.10.2012 21:30
Джамаль
Ведь соединение идёт на втором уровне, до него файрвол не добирается
теперь понимаю, что по MAC это второй уровень оси, тогда если какие методы заблокировать доступ по MAC всем кроме себя? а то получается какая то не полная защита, ip заблокировал, но что составляет злоумышленнику открыть winbox про сканировать что есть и попытаться подключится, понятно что там дальше сложный пароль, но все же.

207. Джамаль, 13.10.2012 21:36
sherwood

Можно, разве что, отключить Neighbors. Но тогда самому подключаться можно будет лишь зная МАС откуда-нибудь ещё. Например, из ARP-таблицы

Добавление от 13.10.2012 21:43:

также, можно попробовать на уровне коммутатора это сделать, если у микротика таковой имеется

208. Gesha24, 13.10.2012 22:02
sherwood
http://forum.mikrotik.com/viewtopic.php?f=2&t=47416 - командой /tool mac-server mac-winbox можно задать с каких портов можно заходить через мак, должно помочь.

209. sherwood, 13.10.2012 23:27
Джамаль
Можно, разве что, отключить Neighbors
это делается сразу при настройки.

Gesha24
должно помочь
это не должно помочь, это помогло, хотя не совсем конечно то, только убрал возможность со стороны локальной сети провайдера попытаться подключиться к winbox, но со стороны своей сети все это остается.
тогда наверное действительно только Neighbors как и предлагал Джамаль, а MAC сохранить в своем wibbox и все.

так, не много освежить память, вопрос не относящийся к теме выше, например роутер 192.168.0.1 на нем поднят NAT и DNS, на ПК в роли шлюза и dns прописываем ip этого роутера как бы это понятно, далее firewall на роутере если в input заблокировать этот ПК а в forward разрешить, то пакет с ПК например на 8.8.8.8 пройдет через роутер потому как мы обращаемся к внешнему IP а это forward, а вот google.ru уже нет, так как будет обращение к DNS роутера а это input а у нас там все заблокировано, правильно ли я это понимаю?

210. Gesha24, 14.10.2012 00:35
sherwood
правильно ли я это понимаю?
Правильно, но я не совсем понимаю зачем такие сложности...

211. yreks, 14.10.2012 01:13
Привет всем!
Обращаюсь с вопросом; у меня на одном RB750G постоянно слетает настройка интерфейса в винбоксе .К примеру. в Simple Queues в Shown Columns я выставляю Rx .Tx , Total Rx bites , Total Tx bites, захожу через 2 минуты - ничего нет , все столбцы съехали под левый край. Количество бэдов на флешке - 30.
Месяца три назад переустанавливал netinstallom систему. Какое то время это вроде не наблюдалось. Теперь слетает интерфейс так же само. Версия сейчас 5.20. И слетала служба подключения к микротику винбоксом. Винбоксом по ип зайти невозмжно. Лечился глюк входом через веб в микротик, в Ip service list->vinbox - > disable- enable. После этого микротик разре

Отключил свой RB750G вчера от сети и сегодня утром включил .... Не подключая к интернету ....... Бедов 0.0 % . Восстановилась флеш?
На версии 5.18 вроде эта функция есть.
Since RouterOS v5.18, NAND is refreshed every few minutes which increases sector writes by ~32 per refresh.
http://wiki.mikrotik.com/wiki/Manual:RouterBOARD_bad_blocks

новый , установленный вчера
[admin@Yurec] > /system resource print
uptime: 12h11m1s
version: 5.18
free-memory: 13212KiB
total-memory: 29696KiB
cpu: MIPS 24Kc V7.4
cpu-count: 1
cpu-frequency: 680MHz
cpu-load: 13%
free-hdd-space: 22440KiB
total-hdd-space: 61440KiB
write-sect-since-reboot: 9239
write-sect-total: 94190872
bad-blocks: 0%
architecture-name: mipsbe
board-name: RB750G
platform: MikroTik
------------------------------------------------------
снятый, со слетающим интерфейсом
/system resource print
uptime: 20m12s
version: 5.20
free-memory: 16144KiB
total-memory: 29696KiB
cpu: MIPS 24Kc V7.4
cpu-count: 1
cpu-frequency: 680MHz
cpu-load: 2%
free-hdd-space: 18336KiB
total-hdd-space: 61440KiB
write-sect-since-reboot: 1691
write-sect-total: 91000074
bad-blocks: 0%
architecture-name: mipsbe
board-name: RB750G
platform: MikroTik

212. Sher-khaN!, 14.10.2012 11:26
ROS 5.21 (RB450G) сломали IGMP Proxy? Проверьте плиз кому не лень.
Upd: Заработало.

213. htaccess, 15.10.2012 10:09
цитата:
htaccess:
Добрый день!

Наверное мой вопрос глупый, но хочу 100% быть уверен.

Микротик, два провайдера(eth2,eth3), локалка (eth1). Чтобы ходить в интернет из локалки написал правило:

chain=srcnat action=masquerade out-interface=!ether1
Вопрос: из сетей eth2 или eth3 можно ли назначить мой микротик шлюзом и качать интернет?

Ну ответьте уже кто-нибудь! Можно ли из сетей провайдеров использовать мой роутер как гейт при таком правиле маскарада?

214. Джамаль, 15.10.2012 11:50
htaccess

По идее, можно... но я не пробовал такой сценарий. Обычно маршрутизаторы не позволяют делать трансляцию в тот же интерфейс, с которого пакет пришёл

215. htaccess, 15.10.2012 15:15
Джамаль

Получается, если из двух провайдеров я сейчас использую eth2 то из сети eth2 не получится, но наверное получится из сети eth3 .. ?

216. Gesha24, 15.10.2012 17:05
htaccess
Если вы хотите одновременно использовать двух провайдеров, то почему бы вам не почитать примеры на микротиковской вики?

217. dim-soft, 15.10.2012 20:24
подскажите как правильно организовать на микротике "гостевую" wifi чтобы только интернет и не могли в сети / на микротик попасть ?

218. Джамаль, 15.10.2012 21:43
dim-soft

Отделите порты в разные сегменты и поднимите хотспот

219. dim-soft, 16.10.2012 06:18
Джамаль
Отделите порты в разные сегменты
Не совсем понял, я хочу встроенный wifi в RB751 использовать и для офиса (WPA-PSK) и для гостей. Сделал VirtualWIFI, добавил IP, настроил DHCP для них, но как не странно с интернетом не получилось. А как надо ?

220. htaccess, 16.10.2012 10:31
Gesha24

На то время, когда настраивал я почему-то не знал про ту вики %) Просто скопировал правила у какого-то чувака с со странички. В общем, моя проблема решилась тем, что провайдер не смог предоставить детализированную статистику и простил трафик в 1.8 терабайта =)))

Правило я поправил, теперь туда попадают только локальные IP и оставил только tcp и icmp, чтобы никаких торрентов мне!

Кстати я попробовал из сети второго провайдера с другого IP использовать микротик как гейт, вместо шлюза провайдера -- ничего не вышло, трафик всеравно шел через шлюз провайдера, хотя в натройках я явно указал как шлюз микротик. КАК они так делают? Проверял traceroute точно через их шлюз и микротик в torch не показывает ничего с того ip. Загадка для меня.

221. AndrewRicH, 17.10.2012 22:07
Подскажите, пожалуйста, подойдет для failover такая схемка?

/ip route
add dst-address=209.85.148.147 gateway=GW1 scope=10
add distance=1 gateway=209.85.148.147 check-gateway=ping
add distance=2 gateway=GW2
add dst-address=209.85.148.147 type=blackhole distance=20

вместо GW1 и GW2 подставить имена подключений? (в моем случае Kyivstar и Megalink PPP)
Kyivstar получаю автоматом , Megalink через PPPoE. (Kyivstar - переименованный Eth1, а Megalink PPP - это название PPPoE клиента)

222. Gesha24, 17.10.2012 22:31
htaccess
Кстати я попробовал из сети второго провайдера с другого IP использовать микротик как гейт, вместо шлюза провайдера -- ничего не вышло, трафик всеравно шел через шлюз провайдера, хотя в натройках я явно указал как шлюз микротик. КАК они так делают?
Для даже попытки предположения ответа на данный вопрос, надо хотя бы представлять схему сети и адреса микротика/провайдеров и т.д.

AndrewRicH
Подскажите, пожалуйста, подойдет для failover такая схемка?
Чего вы хотите добиться? Если чтобы Микротик устанавливал PPPoE соединение только в случае если основное упадет - то я думаю это скриптами делается. Если вы готовы держать PPPoE постоянно включенным и просто посылать трафик через него елси основное соединение упадет, то все дается просто: http://wiki.mikrotik.com/wiki/Two_gateways_failover
Или есть вариант который пингует не только default-gateway: http://wiki.mikrotik.com/wiki/Advanced_Routing_Failo…without_Scripting

223. AndrewRicH, 17.10.2012 22:59
Устроит и при поднятом PPP.

/ip route add gateway=192.168.1.1 check-gateway=ping
/ip route add gateway=192.168.2.1 distance=2

а что вбивать вместо 192.168.1.1 и 192.168.1.2 ? Kyivstar и Megalink ?

Добавление от 17.10.2012 23:44:

Простите,а куда пинг идет при данном (простом) варианте? На шлюз своего провайдера?
А в http://wiki.mikrotik.com/wiki/Advanced_Routing_Failo…without_Scripting еще и на удаленные сервера?

224. sherwood, 18.10.2012 00:20
AndrewRicH
а что вбивать вместо 192.168.1.1 и 192.168.1.2 ? Kyivstar и Megalink ?
шлюзы ваших провайдеров.
но это не особо хороший вариант, так как шлюз провайдера как правило бывает доступен, а вот мир нет, и с этой схемой у вас не будет переключения, пинговать нужно внешний IP, вам дали второй вариант, он как раз для этого.

225. Gesha24, 18.10.2012 01:50
AndrewRicH
Простите,а куда пинг идет при данном (простом) варианте? На шлюз своего провайдера?
Да, именно туда.
А в http://wiki.mikrotik.com/wiki/Advanced_Routing_Failo…without_Scripting еще и на удаленные сервера?
Только на удаленные сервера.

226. dim-soft, 18.10.2012 11:34
Подскажите, есть L2 VPN от провайдера в 100 мегабит, на микротиках прописан роутинг между тремя подсетями 192.168.0.0/24 192.168.44.0/24 192.168.79.0/24 трех разных офисов. Пока VPN работает все хорошо, но при падении L2 VPN остается только по второму каналу от другого провайдера (по 1,5 мегабита).
Как правильно настроить "дублирование" через Интернет
Пробовал сделать три pptp линка и поднять OSPF - в OSPF попадают только "основные" каналы.
Хочется "бесшовного" переключения, чтобы у пользователей связь не пропадала, просто скорость снижалась и все, чтобы сесии не рвались.

Как это сделать ? Выбор OSPF - это правильный выбор ?

227. GS, 18.10.2012 12:43
микротик раздает ип-адреса по дхцп, для некоторых хостов сделано статическое сопоставление, возможно ли в этой статике задать другой шлюз по-умолчанию, отличающийся от основного пула раздаваемых адресов?

228. Sergant, 18.10.2012 16:55
И снова вопрос по использованию RB450G в качестве коммутатора 3-го уровня:
Созданы vlan-ы. Каждому vlan-у соответствует подсеть. Firewall настроен так, чтобы пользователи из соседних подсетей друг друга не видели. Возникла необходимость разрешить доступ между двух компьютеров из разных подсетей. После прописывания правил 0 и 1, компьютеры друг друга пингуют, но на этом все заканчивается, доступа нет. Что я не учитываю ? Внутри подсетей проблем с доступом нет. RB450G используется исключительно как коммутатор 3-го уровня с дополнительными функциями шейпера и статистики. NAT реализован на оборудовании из вышестоящей подсети.

ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept src-address=192.168.33.50
dst-address=192.168.31.11

1 chain=forward action=accept src-address=192.168.31.11
dst-address=192.168.33.50

2 chain=forward action=drop src-address=192.168.31.0/24
dst-address=192.168.30.0/24

3 chain=forward action=drop src-address=192.168.31.0/24
dst-address=192.168.32.0/24

4 chain=forward action=drop src-address=192.168.31.0/24
dst-address=192.168.33.0/24

5 chain=forward action=drop src-address=192.168.32.0/24
dst-address=192.168.30.0/24

6 chain=forward action=drop src-address=192.168.32.0/24
dst-address=192.168.31.0/24

7 chain=forward action=drop src-address=192.168.32.0/24
dst-address=192.168.33.0/24

8 chain=forward action=drop src-address=192.168.33.0/24
dst-address=192.168.30.0/24

9 chain=forward action=drop src-address=192.168.33.0/24
dst-address=192.168.31.0/24

10 chain=forward action=drop src-address=192.168.33.0/24
dst-address=192.168.32.0/24

229. Gesha24, 18.10.2012 17:25
dim-soft
Нарисуте схему, плз, а то не совсем понятно какая у вас сеть.

Добавление от 18.10.2012 17:27:

Sergant
но на этом все заканчивается, доступа нет
О каком именно доступе идет речь? Вы уверены что ваш софт которому доступ нужен, нормально работает между хостами в разных подсетях?

230. Sergant, 18.10.2012 18:03
Gesha24

Преимущественно Remote Desktop и вендовые шары.
Уверен, т.к. на прошлом коммутаторе 3-го уровня все работало. ACL-и на старом коммутаторе были настроены по такому же принципу. RB450G был установлен только из-за шейпера и статистики.

231. dim-soft, 18.10.2012 18:06
Gesha24
Нарисуте схему, плз, а то не совсем понятно какая у вас сеть.
180x138, 3.4Kb (http://radikal.ru/F/s008.radikal.ru/i303/1210/50/9f945adc7de5.png.html)
Gesha24
А вот как хотелось бы


773x534, 37.2Kb (http://imageshack.us/photo/my-images/845/46772763.png/)

Вопрос с помощью чего и как при обрыве "синих" маршрутов (они 100 мегабит) отправлять пакеты по "красным" pptp тунелям

232. Gesha24, 18.10.2012 20:33
Sergant
Преимущественно Remote Desktop и вендовые шары.
Понял, в этом случае, если все машины используют этот rb450g в качестве шлюза - по идее все должно работать. На всякий случай проверьте чтобы файрвол на самих машинах не блокировал соединения из другой подсети (виндовый так по умолчанию настроен, если не ошибаюсь, при смене коммутатора мог сменится тип сети (home/work/public в win7)).

Добавление от 18.10.2012 20:46:

dim-soft
Вопрос с помощью чего и как при обрыве "синих" маршрутов (они 100 мегабит) отправлять пакеты по "красным" pptp тунелям
Я правильно понимаю, что у всех указанных роутеров есть еще и выход в интернет который не указан на схеме?
Если да, то я вижу два варианта:
Начало одинаковое - поднять pptp туннели между wan адресами этих роутеров, притом я бы порекомендовал этим туннелям присвоить адреса из другой подсети - это позволит избежать лишней головной боли. Далее:
1) Поднять OSPF. Его надо поднимать как на интерфейсах L2 VPNа, так и на интерфейсах с pptp. Надо чтобы рекламировались все подключенные сети. Тогда каждый роутер будет иметь два путя к каждому другому и автоматически будет выбирать наилучший (т.е. через L2 vpn, возможно придется метрики вручную назначить).
2) Не заморачиваться с динамической маршрутизацией, а сделать маршрутизацию с проверкой шлюза пингом, как показано здесь: http://wiki.mikrotik.com/wiki/Two_gateways_failover Только естественно добавлять не default gateway как в примере, а gateway на определенную сеть. Второй gateway будет идти через ваш pptp интерфейс.
В целом в вашем случае оба варианта равнозначны, в случае статической маршрутизации в какой-то момент может стать лениво прописывать все маршруты, если роутеров станет много.

233. dim-soft, 18.10.2012 21:09
Gesha24
Поднять OSPF. Его надо поднимать как на интерфейсах L2 VPNа, так и на интерфейсах с pptp
подскажи те как, если просто добавляю сеть например 192.168.79.0/24 то в ospf добавляется только маршрут по L2VPN , как добавить pptp ?


если роутеров станет много
еще 6 штук, у всех связность с 192.168.44.0 (разные пары-тройки в разных VLAN)

Добавление от 18.10.2012 21:11:

Gesha24
есть еще и выход в интернет
А у некоторых и не один но с балансировкой WAN я справился (как раз проверкой шлюзов)

Добавление от 18.10.2012 21:12:

Gesha24
стать лениво прописывать все маршруты
Я не до конца осознаю, как например попасть от 192.168.79.1 к 192.168.0.1 через 192.168.44.1 если и прямой канал и pptp между .79.1 и .0.1 пропал.

234. Gesha24, 18.10.2012 21:18
dim-soft
Я не до конца осознаю, как например попасть от 192.168.79.1 к 192.168.0.1 через 192.168.44.1 если и прямой канал и pptp между .79.1 и .0.1 пропал.
Так, погодите - вы хотите сказать что у вас PPTP поднимается между интерфейсами смотрящими в L2 VPN? Тогда вам нужен еще один PPTP туннель поднятый между интерфейсами смотрящими в интернет.

Добавление от 18.10.2012 21:19:

dim-soft
но с балансировкой WAN я справился (как раз проверкой шлюзов)
Проверка шлюза - это не балансировка. Балансировка - это когда трафик идет через оба шлюза одновременно, а проверка - это когда один шлюз основной, а второй используется только в качестве бекапа.

235. dim-soft, 18.10.2012 21:24
Gesha24
что у вас PPTP поднимается между интерфейсами смотрящими в L2 VPN
нет, pptp понимается между белыми IP смотрящими в интернет


Проверка шлюза - это не балансировка. только в качестве бекапа.
Да, но 1 канал это pppoe 100 мегабит, как и L2 VPN в сосенднем волокне, а второй провайдер это только 1,5 мегабита ADSL поэтому всех, на все интернет адреса на первый канал, кроме 1 IP адреса который каждые 5 мин проверяется на живность и если что в почту жалуется.

236. AndrewRicH, 18.10.2012 21:30
Настроил по схеме http://wiki.mikrotik.com/wiki/Advanced_Routing_Failo…without_Scripting ,но мой созданный гейт (8.8.8.8 в моем случае) пишет unreachable (( в чем может быть проблема?
Kyivstar у меня динамический ip , MegalinkPPP динамический серый.
Вот, что видно в winbox.
689x372, 59.3Kb
750x343, 47.5Kb

P.s. у меня ситуация с возвратом на основной канал,т.е. я пингую только через Kyivstar. Может что-ниб не так делаю,поправьте пожалуйста!

237. Gesha24, 18.10.2012 21:44
dim-soft
нет, pptp понимается между белыми IP смотрящими в интернет
ОК, тогда просто подымаете PPTP по инструкции: http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP
Только прописываете маршруты так как нужно вам.

238. dim-soft, 18.10.2012 21:48
Gesha24
тогда просто подымаете PPTP
У меня pptp нормально поднимается, я не могу динамически добавить все возможные маршруты

239. Gesha24, 18.10.2012 21:48
AndrewRicH
Выложите вместо картинок результат ip route print - оно так проще понять.

Добавление от 18.10.2012 21:55:

dim-soft
я не могу динамически добавить все возможные маршруты
Как настраивали? http://wiki.mikrotik.com/wiki/Manual:OSPF-examples#S…SPF_configuration - ваш случай.
Плюс, что значит не можете добавить все возможные маршруты? В таблице маршрутизации ваши неоптимальные маршруты и не появятся, пока основной маршрут не упадет. Как посмотреть все потенциальные маршруты OSPF на микротике - я не в курсе, к сожалению.

240. AndrewRicH, 18.10.2012 22:00
499x164, 8.4Kb (http://clip2net.com/s/2ptcM)

Как-то так.

241. Gesha24, 18.10.2012 22:09
AndrewRicH
Как-то так.
Хм, не совсем то. Может ip route print detail? Я просто хочу увидеть как именно у вас все это настроено. Ну и еще надо учитывать, что я руководствуюсь лишь инструкцией, реально я такое не настраивал.

242. dim-soft, 18.10.2012 22:13
Gesha24
Как настраивали
Именно по Simple OSPF configuration и настраивал

243. AndrewRicH, 18.10.2012 22:14
640x159, 88.0Kb (http://clip2net.com/s/2ptjQ)

244. Gesha24, 18.10.2012 22:47
dim-soft
Именно по Simple OSPF configuration и настраивал
С loopback? Тогда по идее все должно работать, если все роутеры друг друга видят в OSPF. Вроде бы тот факт что у вас три независимых point-to-point соединения не должен проблем создать.

Добавление от 18.10.2012 22:51:

AndrewRicH
Так, спасибо. Не понимаю откуда у вас blackhole (у вас версия 4.10?) и почему она у вас только одна.
И вообще не понимаю, зачем вы попытались модифицировать конфигурацию. Сделайте все как написано в примере - я думаю у вас заработает. Не беспокойтесь что вы оба шлюза проверяете - у вас все равно один будет основным, т.к. distance разный указан.

Добавление от 18.10.2012 22:56:

Да, еще момент - если у вас будут проблемы с киевстаром, попробуйте указать в качестве GW1 адрес вашего шлюза. Он обычно не меняется, даже если вы IP принимаете автоматом.

245. AndrewRicH, 18.10.2012 23:19
BlackHole из инструкции, в самом низу...попытаюсь четко по инструкции, спасибо за совет с distance, не подумал сразу

246. Gesha24, 18.10.2012 23:20
AndrewRicH
BlackHole из инструкции, в самом низу
Пока забудьте про это Сделайте простой вариант по инструкции, пусть все сначала заработает. Потом, если у вас будут проблемы с возвращением на первый маршрут - уже можно добавлять всякие иные правила.

247. AndrewRicH, 18.10.2012 23:32
Сплошной unreachable
http://clip2net.com/s/2puGL

Добавление от 18.10.2012 23:40:

Blackhole правила сделал disable пока

Добавление от 18.10.2012 23:41:

может что-то еще необходимо в правила firewall прописать?

248. Gesha24, 18.10.2012 23:52
AndrewRicH
Сплошной unreachable
Так, смотрю дальше: http://forum.mikrotik.com/viewtopic.php?f=2&t=45322
В примере там нету routing-mark - и в общем-то логично что он нам не нужен, если мы марки нигде не расставляем. Попробуйте удалить марки из строк 0 и 1, а так же disable правила 2 и 3.

может что-то еще необходимо в правила firewall прописать?
Если вы можете с микротика пингануть два хоста которые вы проверяете - то по идее ничего не надо.

249. AndrewRicH, 19.10.2012 00:27
марки убрал, 2 и 3 отключил

пинги при активном Kyivstar

450x345, 6.0Kb (http://clip2net.com/s/2pv7g)
507x352, 5.5Kb (http://clip2net.com/s/2pv8S)


пинги при активном MegalinkPPP

511x347, 5.8Kb (http://clip2net.com/s/2pval)
550x349, 7.0Kb (http://clip2net.com/s/2pvbw)

250. Gesha24, 19.10.2012 01:01
AndrewRicH
марки убрал, 2 и 3 отключил
И? Какой результат-то? Если все не работает - надо местных знатоков ждать, у меня больше идей нету.

251. AndrewRicH, 19.10.2012 01:08
Спасибо,жду помощи от остальных участников

252. yreks, 19.10.2012 10:04
Кто то знает как бороться с этой ошибкой?

07:06:49 pppoe,ppp pppoe-out1: terminating... - system is going to shutdown

253. Sergant, 19.10.2012 12:08
цитата:
Gesha24:
Sergant
Преимущественно Remote Desktop и вендовые шары.
Понял, в этом случае, если все машины используют этот rb450g в качестве шлюза - по идее все должно работать. На всякий случай проверьте чтобы файрвол на самих машинах не блокировал соединения из другой подсети (виндовый так по умолчанию настроен, если не ошибаюсь, при смене коммутатора мог сменится тип сети (home/work/public в win7)).

Вы правы. Админ из одной подсетки не смог разобраться с файрволом и гнал дурку. Все заработало, спасибо !

254. insiki, 19.10.2012 15:01
Камрады, подскажите, как для дальнейшего манипулирования в QUEUE TREE правильно отмаркировать трафик по типу?
Есть такая схема:
код:
Мегафон Роутер (192.168.0.1) <-> Микротик RouterOS (192.168.0.2, 192.168.1.1) <-> LAN (192.168.1.0/24)

код:
ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.0.1 1
1 ADC 192.168.0.0/24 192.168.0.2 inet 0
2 ADC 192.168.1.0/24 192.168.1.1 lan 0

В сети 192.168.1.0/24 из Address Lists есть 2 группы пользователей - pc users, vip.
Нужно расставить приоритеты по типу трафика и разделить трафик равномерно на всех, либо при определенном условии.

Входящий трафик:
- Приоритет №1 - ICMP/DNS - для всех из 192.168.1.0/24 распределить равномерно.
- Приоритет №2 - Входящая почта (POP3, порты 110,995) - для всех из 192.168.1.0/24 распределить равномерно.
- Приоритет №3 - Серфинг (HTTP/S, порты 80,8080,443) - для каждой группы из Address Lists отдельно - группа VIP имеет большую скорость, группа USERS меньшую.
- Приоритет №4 - Все остальное - для всех из 192.168.1.0/24 распределить равномерно.

Исходящий трафик:
- Приоритет №1 - ICMP/DNS - для всех из 192.168.1.0/24 распределить равномерно.
- Приоритет №2 - Исходящая почта (SMTP, порты 25,2525,465,587) - для всех из 192.168.1.0/24 распределить равномерно.
- Приоритет №3 - Исходящие аплоуды (Прикрепления файлов через браузер) - (HTTP/S, порты 80,8080,443) - для всех из 192.168.1.0/24 распределить равномерно.
- Приоритет №4 - Остальной исходящий (торренты или что-то такое), на который вообще скорость свести к минимуму.

Непонятно, как в моем случае правильно отмаркировать:
- Входящий трафик - Маркировать пакеты, или соединения и пакеты? И какой CHAIN выбирать?
- Исходящий трафик - Маркировать пакеты, или соединения и пакеты? И какой CHAIN выбирать?

Добавление от 19.10.2012 15:46:

маркирую входящие пакеты HTTP:

код:

[insy@MikroTik] > ip firewall mangle add chain=forward action=mark-connection new-connection-mark=http_dl_users connection-state=new protocol=tcp src-address-list="pc users" dst-port=80,8080,443 passthrough=yes
[insy@MikroTik] > ip firewall mangle add chain=forward action=mark-packet new-packet-mark=http_dl_users connection-mark=http_dl_users passthrough=no

аналогичным образом маркирую входящие почту POP3:
код:

[insy@MikroTik] > ip firewall mangle add chain=forward action=mark-connection new-connection-mark=mail_dl_all connection-state=new protocol=tcp src-address=192.168.1.0/24 dst-port=80,8080,443 passthrough=yes
[insy@MikroTik] > ip firewall mangle add chain=forward action=mark-packet new-packet-mark=mail_dl_all connection-mark=mail_dl_all passthrough=no

так?

Добавление от 19.10.2012 15:48:

Queue tree для HTTP (PCQ уже создан - PCQ_dl)

код:

queue tree print
Flags: X - disabled, I - invalid
0 name="download" parent=lan packet-mark="" limit-at=0 priority=8 max-limit=3M burst-limit=0 burst-threshold=0 burst-time=0s

1 name="http_dl_users" parent=download packet-mark=http_dl_users limit-at=512k queue=PCQ_dl priority=1 max-limit=1M burst-limit=0 burst-threshold=0 burst-time=0s

255. OCnnor, 19.10.2012 15:49
Такая ситуация. Есть rb750 на одной стороне с pptp клиентом к asus rt-n66u. Между ними есть канал, по которому микротик получает от asus ip в впн 192.168.10.2. IP локальный самого асуса 192.168.80.1. Когда я с микротика через впн пингую компы на стороне асуса, связь есть, обратно не вижу ничего, а нужно обратное. Я так понимаю надо на микротике написать правило, что при обращении на эту 80 подсеть 192.168.80.0/24 с локалки за микротиком, то все запросы шли через впн, а при входящем запросе от асуса по впн шли запросы на 192.168.87.0/24 (подсеть на стороне микротика). Уважаемые гуру объясните пожалуйста нубу как это сделать. Свои ресурсы я уже просто исчерпал...
Писал правила, лез в настройки ната и файерволла, но безуспешно. Можете сказать как это настраивать, чтобы я не просто настроил, а понял где именно я прокололся?

256. insiki, 19.10.2012 18:23
В общем пришел вот к такой маркировке, но исходящий трафик не считается:
код:

ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; download
chain=forward action=mark-packet new-packet-mark=dl_icmp passthrough=no protocol=icmp dst-address-list=pc users

1 chain=forward action=mark-packet new-packet-mark=dl_http passthrough=no protocol=tcp dst-address-list=pc users src-port=80,443,8800,8843,8080,8443 connection-bytes=0-500000

2 chain=forward action=mark-packet new-packet-mark=dl_mail passthrough=no protocol=tcp dst-address-list=pc users src-port=25,110,465,587,995,143,993,2525 connection-bytes=0-500000

3 chain=forward action=mark-packet new-packet-mark=dl_dns passthrough=no protocol=tcp dst-address-list=pc users src-port=53 connection-bytes=0-500000

4 chain=forward action=mark-packet new-packet-mark=dl_dns passthrough=no protocol=udp dst-address-list=pc users src-port=53 connection-bytes=0-500000

5 ;;; upload
chain=forward action=mark-packet new-packet-mark=upl_icmp passthrough=no protocol=icmp src-address-list=pc users

6 chain=forward action=mark-packet new-packet-mark=upl_http passthrough=no protocol=tcp src-address-list=pc users src-port=80,443,8800,8843,8080,8443 connection-bytes=0-500000

7 chain=forward action=mark-packet new-packet-mark=upl_mail passthrough=no protocol=tcp src-address-list=pc users src-port=25,110,465,587,995,143,993,2525 connection-bytes=0-500000

8 chain=forward action=mark-packet new-packet-mark=upl_dns passthrough=no protocol=tcp src-address-list=pc users src-port=53 connection-bytes=0-500000

9 chain=forward action=mark-packet new-packet-mark=upl_dns passthrough=no protocol=udp src-address-list=pc users src-port=53 connection-bytes=0-500000

257. stalxed, 20.10.2012 13:45
Помогите понять принцип работы схемы Advanced Routing Failover without Scripting (http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting) .
Понятно, что каждые десять секунд происходит пинг удалённого ресурса через соответствующий интерфейс.
Но почему там 4 записи:
код:
/ip route
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping
add distance=1 gateway=Host2 routing-mark=ISP2 check-gateway=ping
add distance=2 gateway=Host1 routing-mark=ISP2 check-gateway=ping

А не 2, например так:
код:
/ip route
add distance=1 gateway=Host1 check-gateway=ping
add distance=2 gateway=Host2 check-gateway=ping

258. Джамаль, 20.10.2012 16:05
stalxed

Потому, что надо проверять доступность всех хостов по строго определённым интерфейсам, а не по какому придётся

259. stalxed, 20.10.2012 16:13
Джамаль

Интерфейс, через который производить пинг указан в правилах:
код:
/ip route
add dst-address=Host1 gateway=GW1 scope=10
add dst-address=Host2 gateway=GW2 scope=10


А что делают эти 4 правила?
код:
/ip route
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping
add distance=1 gateway=Host2 routing-mark=ISP2 check-gateway=ping
add distance=2 gateway=Host1 routing-mark=ISP2 check-gateway=ping

260. Джамаль, 20.10.2012 16:30
stalxed

А вы посмотрите ещё и в ip firewall mangle

261. stalxed, 20.10.2012 19:01
Я просто ещё не решился на покупку девайса.
Сейчас сижу читаю, сможет ли он сделать, что я хочу. Вернее сказать, смогу ли я его осилить. Конкуренты с 2 WAN мне не нравятся...

Джамаль, я правильно понял, что эти 4 строчки "метят" трафик, а ip firewall mangle уже разруливает?
Почему в инструкции на вики тогда не дописали строчки про firefall mangle?

И не совсем понятно, как действуют четыре строчки. Т.е. правильно ли я думаю:

1) Вначале эта строчка:
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
После 2 неудачных пингов переход на
2) add distance=1 gateway=Host2 routing-mark=ISP2 check-gateway=ping
т.к. distance тоже равен 1.
если и здесь не успех, то переход на
3) add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping
НО! здесь чекается HOST2, и если он "ожил", то метиться трафик будет как ISP1, что не верно.

Тогда не правильнее ли будут правила:
код:

/ip route
add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=1 gateway=Host2 routing-mark=ISP2 check-gateway=ping

?

262. Джамаль, 20.10.2012 21:54
stalxed
я правильно понял, что эти 4 строчки "метят" трафик, а ip firewall mangle уже разруливает?

Наоборот. Mangle - это расстановка меток, которые могут использоваться где-нибудь ещё. Например, в файрволе, трансляторе и маршрутизаторе.

263. stalxed, 21.10.2012 00:45
Джамаль


Если я всё правильно понял, то Mangle помечает в примере выше траф через интерфейс 1 как ISP1, интерфейс 2 как ISP2, а дальше применяет соответствующую таблицу в IP ROUTE, например
код:

add distance=1 gateway=Host1 routing-mark=ISP1 check-gateway=ping
add distance=2 gateway=Host2 routing-mark=ISP1 check-gateway=ping

и если первый маршрут получит статус unreachable, применяется второй маршрут, и все следующие пакеты Mangle будет уже помечать как ISP2, и соответственно будет активной другая таблица
код:

add distance=1 gateway=Host2 routing-mark=ISP2 check-gateway=ping
add distance=2 gateway=Host1 routing-mark=ISP2 check-gateway=ping

И получится, по сути, бесконечная рекурсия, что собственно и требуется.

Я правильно всё понял?

И ещё несколько теоретических вопросов, пожалуйста:
1) Переключать в ручном режиме каналы можно будет, и если да, то тяжело?
2) Если в этой схеме провайдер использует правильные ppoe, vpn схема усложнится не сильно.
А если корбиновская(билайновская) russian l2tp, то судя по отзывам схема будет очень тяжёлой?
Но там же по сути всего лишь на крон повесить скрипт, который обновляет IP l2tp сервера и в вышеуказанную схему Advanced Routing Failover without Scripting изменений не вносится, скрипт ей не мешает или я не прав?
3) При хорошо настроенном QoS на RouterOS VOIP телефон и торренты могут сосуществовать в мире?

264. Джамаль, 21.10.2012 09:48
stalxed
Я правильно всё понял?

Да


Переключать в ручном режиме каналы можно будет, и если да, то тяжело?

Тупо отключить интерфейс


А если корбиновская(билайновская) russian l2tp

Ничего не могу сказать, не пробовал эту пакость...


При хорошо настроенном QoS на RouterOS VOIP телефон и торренты могут сосуществовать в мире?

Конечно, могут

265. stalxed, 21.10.2012 12:20
Джамаль
Спасибо Вам за ответы на вопросы!

266. streametch, 21.10.2012 15:57
Помогите разобраться.

Есть девайс RB 701 На нём настроена статика от провайдера, а также OpenVPN клиент. Проблема в том что весь трафик из сети нужно пускать через OpenVPN, галочка "Добавить шлюз по умолчанию" стоит, после подключения, появляется роут, но трафик через него не идёт. Трассировка (в mikrotik) через VPN канал работает, шлюз VPN из сети пингуется. Либо нужно как-то роут по другому указать, либо завернуть трафик натом. Не понимаю. Схема долна быть такая 192.168.xx.xx --> 80.94.xx.xx -->10.8.xx.xx --> Internet
http://i.imgur.com/xzX4y.png

К сообщению приложены файлы: 1.png, 1717x904, 66Кb

267. Джамаль, 21.10.2012 19:25
streametch

Провайдерскую статику в маршрутах смахните и нарисуйте один маршрут до сервера-партнёра. Всё.

268. streametch, 21.10.2012 19:29
Джамаль
А можно поподробнее как для тупых? Что значит смахнуть провайдерскую статику в маршруте, если через неё и идёт подключение к OpenVPN серверу?

269. Джамаль, 21.10.2012 19:48
streametch
Что значит смахнуть провайдерскую статику в маршруте, если через неё и идёт подключение к OpenVPN серверу?

То и значит. Удалите дефолтный маршрут, а вместо него нарисуйте узенький маршрутик для того, чтобы OpenVPN работал

Например, у вас есть такие записи:

ip rou add dest=0.0.0.0/0 gate=x.x.x.x
ip rou add dest=0.0.0.0/0 gate=ovpnclient1

А в свойствах ovpnclient1 есть указание ovpn-server=z.z.z.z

Удалите первую запись и дайте команду ip rou add dest=z.z.z.z/32 gate=x.x.x.x

270. streametch, 21.10.2012 19:58
Джамаль
Сработало спасибо! Не думал что всё так просто окажется %) Без дополнительных записей

271. inframe, 21.10.2012 20:40
Всем привет! Имеется вопрос, а именно можно ли с помощью Mikrotik RB750 проделать такое.
1) Есть провайдерский канал PPPoE на 50 мбит с динамическим IP
2) Есть второй канал от этого же провайдера на 3 мбит с белым IP
территория провайдера поделена на зоны, первый вариант 50мбит не имеет возможности подключить белый IP, так как его выделяет пул с другой зоны при подключении белого ip Интернет пропадает (p.s. под динамикой все работает) задача как связать/обьединить второй канал с белым IP адресом + с присвоением к нему скорости 50 мбит, и в оконцовке получить один канал с нормальной скоростью и с белым IP адресом.
Вообще реализуемо ли это? )

272. lightwizard, 22.10.2012 15:05
Доброго дня. Возникла проблема в организации удаленного доступа по RDP из локальной сети наружу.
Маршрутизатор в режиме web-proxy. Все клиенты используют его как шлюз(192.168.1.1). Необходимо, чтобы некоторые машины имели доступ через удаленный рабочий стол к адресу firma.remote.com:3396 (это внешняя машина в другом городе с белым IP). Пробовал пробросить порты 3389 и 3396, ничего не вышло. Как грамотно пробросить порты или организовать связь ? Спасибо.

273. CMG, 23.10.2012 20:02
Господа, ткните пальцем куда копать.

Имею RB751G-2HnD
Настроен WIFI в режиме B/G/N - прекрасно работают Sony Tablet (планшет), Sony ноутбук (WIFI карта от Intel N 6150), Nokia Lumia 800 (телефон).
Переключаю режим работы WIFI в 2GHz-only-N, планшет и телефон могут подключиться к роутеру, а ноутбук - нет, периодически даже самой точки не видит, а если видит её, то при правильном пароле (остальные девайсы то его кушают) выдает ошибку подключения.

В чем тут дело может быть? Погуглив ничего похожего не нашел...

274. century21, 23.10.2012 21:54
Ребят, подскажите пожалуйста:
Есть роутер 493G, сетка, НАТ, видеосервер. На видеосервер проброшены порты в НАТе. Как можно осуществить учет IP адресов с добавлением в Adress list которые заходили на видеосервер?
При обращении на видеосервер у меня происходит маркировка пакетов по MAC'у сервера.
По такому принципу:
[admin@MikroTik] > / ip firewall mangle add chain=prerouting src-mac-address=XX:XX:XX:XX:XX:XX action=mark-connection new-connection-mark=Video
[admin@MikroTik] > / ip firewall mangle add chain=prerouting connection-mark=Video action=mark-packet new-packet-mark=Video

Писал с примера (с нета), точно не помню, может где-то ошибся. Я сейчас не на работе, глянуть не могу.
Как можно по этим маркированым пакетам добавлять IP компов в Adress list?
Спасибо за ранее!

Добавление от 24.10.2012 07:33:

Кажись нашел сам ))
я правильно делаю?
ip firewall mangle add chain=prerouting scr.mac.adress=xx:xx:xx:xx:xx:xx action=add-dst-to-adress-list adress-list=Video (к примеру)
т.е. любой кто обратится на сервер, будет занесен в список.

275. Джамаль, 24.10.2012 08:31
century21

Да, так. Но лучше ещё сделать действие LOG, тогда адреслист не будет замусорен всякими хацкерами

276. Isorkin, 24.10.2012 21:48
Mikrotik 6.0
Пробую создать такие правила
код:

/ip firewal mangle
add action=mark-packet chain=prerouting dst-address=172.21.109.151 new-packet-mark=p.upl_low1 passthrough=no protocol=tcp src-port=2000
add action=mark-packet chain=prerouting dst-port=2000 new-packet-mark=p.down_low1 passthrough=no protocol=tcp src-address=172.21.109.151

/queue tree
add limit-at=1M max-limit=1M name=queue1 packet-mark=p.upl_low1 parent=isp1 priority=1 queue=PCQ_Upload
add limit-at=3M max-limit=3M name=queue2 packet-mark=p.down_low1 parent=global priority=1 queue=PCQ_Download

Btest up/down упирается в 1M/1M Как прописать правила на 6-й версии, чтобы правильно заработало?

277. century21, 24.10.2012 22:22
Джамаль:
цитата:
century21
Да, так. Но лучше ещё сделать действие LOG, тогда адреслист не будет замусорен всякими хацкерами
Это я так понимаю вместо action=add-dst-to-adress-list, нужно будет поставить action=log ?

278. Sher-khaN!, 26.10.2012 05:23
А реально ли совместить DHCP Server и DHCP Relay в одном устройстве (на разных интерфейсах естественно). В микротик wiki есть пример, но там это на разных роутерах, а мне хотелось бы раздавать IP с одного.

Ps. Пробовал совместить в одном девайсе, но реле молчит собако.

279. Джамаль, 26.10.2012 08:12
century21

Ага.


Isorkin
Btest up/down упирается в 1M/1M

А если сначала up, а потом down?

280. Isorkin, 26.10.2012 09:30
Джамаль
Не помогает. Сами пакеты вроде нормально помечаются. А в дереве почему-то up пакеты считаются и в ветке isp1 и в ветке global

Тут http://www.tiktube.com/?video=IJfq3ioIeGIoDEmloCFvJrFuIlooDIpK= на 12-й минуте вроде как показывают что global перетащили в конец ветки input и postrouting. Поэтому теперь неправильно с текущими настройками режет скорость у меня?

Upd
Запустил Btest с внешней стороны. Запуск btest по отденльности send и receive отрабатывает нормально, в both режиме у меня почему-то неправильно показывало.

Если меняю parent=isp1 на parent=global то пакеты начинает считаться 2 раза на pptp интерфейсе (isp1) и скорость падает так же в 2 раза. Через шлюз пакеты нормально считаюстя. Почему на pptp интерфейся задваивается скорость - не пойму. Вроде бы все пакеты правильно помечаю.

281. florit, 27.10.2012 00:30
Джамаль
Как подключить к RouterBoard 2011UAS-2HnD-IN роутер от другого производителя (TP-Link 1043) по WDS?

283. Ёжъ, 28.10.2012 17:47
Возникла некоторая непонятка при настройке срипта, обеспечивающего DDNS. Исторически, я использую эккаунт на немецком сервере Two-DNS.de. Судя по описаниям скриптов DDNS для разных "пингвиноидных" систем - он полностью аналогичен по структуре команд знаменитому (но платному) DynDNS.org.

Скажем, для проверки своего текущего IP, можно обратиться через браузер к web-странице checkip.dyndns.org (http://checkip.dyndns.org) - получаем ответ в одну строку.
А теперь к странице checkip.two-dns.de (http://checkip.two-dns.de) - то же самое... Казалось бы!

Однако, если в терминале Mikrotik'а дать две одинаковые команды, но адресованные к этим разным серверам, результат будет разный:
[admin@MikroTik] > /tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/ddns.checkip.html"
status: finished

[admin@MikroTik] > /tool fetch mode=http address="checkip.two-dns.de" src-path="/" dst-path="/ddns.checkip.html"
status: failed

failure: 301 Moved Permanently

То есть во втором случае меня поджидает птичка Обломинго. Что я делаю не так?

286. pjilya, 29.10.2012 21:06
Подскажите люди добрые и особа не пинайте)
Нужно клиентам по PPPoE Выдавать белый IP!
Сейчас я выдаю клиентам белый IP по PPPoE 188.227.x.x и на интерфейсе WAN поднет proxi Arp. Но вариант proxi Arp не подходит!
Есть каиета варианты ещё выдать белый ип?
Спасибо!

287. altuser, 30.10.2012 03:33
Я юзаю no-ip.com.
Скрипт, который заработал без проблем: http://wiki.mikrotik.com/wiki/Dynamic_DNS_Update_Script_for_No-IP_DNS

ЗЫ Не все пакета маркировались, т.к. они приходили "не с того" интерфейса. Правил конфигурацию "по умолчанию" - там есть еще бридж... Теперь все работает вроде бы нормально.

288. Gaidamak, 31.10.2012 00:49
Имел дурость купить ключ level 4 для компа, поверив инфе на русскоязычном сайте Микротик, что лицензия привязывается к жесткому диску. Так вот, это лажа. На самом деле при инсталляции на основе данных харда генерится однократный код установки, который после форматирования диска бесследно исчезает и восстановлению не подлежит, если ты после установки не снял с харда полный посекторный дамп. Второй раз установить с нуля тот же ключ на тот же самый комп с тем же самым диском не получилось, ID сгенерился совсем другой, а красавцы с mikrotik.ru отправили меня на англоязычный сайт читать то, что написано мелким шрифтом между строк.
За это сообщение сказали спасибо: altuser

289. altuser, 31.10.2012 01:18
Gaidamak
после форматирования диска бесследно исчезает и восстановлению не подлежит
А если жесткий диск вышел из строя? Возможность "перерегистрации" существует?
Всякое ведь бывает...

290. Fall, 31.10.2012 02:12
Есть крамольный (для этой ветки) вопрос:
В RouterOS 4.17 была вебморда с примитивнейшими настройками NAT, 3 галочки - создать нат/защитить лан/защитить ван.
В RouterOS 5.21, которую я вынужден использовать, вебморда уже аналогична winbox (настроек дофига, все надо прописывать вручную)
Суть вопроса - куда засунули эти галочки для домохозяек лентяев, и есть ли они вообще.

Мне, собственно, нужно прописать базовые настройки файрвола, чтобы с ван порта абы кто не ломился. Совесть не позволяет оставлять людям неприкрытый рутер.

291. Джамаль, 31.10.2012 07:54
altuser
А если жесткий диск вышел из строя? Возможность "перерегистрации" существует?

Существует. Надо связаться с разработчиками, они расскажут вам, что делать.
За это сообщение сказали спасибо: altuser

292. Gaidamak, 31.10.2012 09:56
Существует.
--------------------
За $10 после расследования на английском? Там еще есть хорошая фраза "мы можем попросить вас послать нам вышедший из строя диск".

293. Джамаль, 31.10.2012 10:59
Gaidamak

Ну так можно было заранее сохранить восстанавливающий ключик, пока машина работала

294. Gaidamak, 31.10.2012 18:49
Джамаль
Ну так можно было заранее сохранить восстанавливающий ключик, пока машина работала

Что за восстанавливающий ключик такой? Про это вообще ничего не знаю, ткните в faq плиз.

295. ATI_forever, 01.11.2012 14:41
Fall
В RouterOS 4.17 была вебморда с примитивнейшими настройками NAT, 3 галочки - создать нат/защитить лан/защитить ван.
В RouterOS 5.21, которую я вынужден использовать, вебморда уже аналогична winbox (настроек дофига, все надо прописывать вручную)
Суть вопроса - куда засунули эти галочки для домохозяек лентяев, и есть ли они вообще.


Кстати да, таки меня это тоже крайне сильно интересует.

296. мудрец, 01.11.2012 18:21
Опять видимо поиск по форуму поломали ?
Актуально для версий RoS по 5.21 включительно (http://forum.ixbt.com/topic.cgi?id=14:51525:3149#3148)
За это сообщение сказали спасибо [2]: Fall, ATI_forever

297. ATI_forever, 01.11.2012 20:38
мудрец
Опять видимо поиск по форуму поломали ?
Посыпаю голову пеплом

298. NickVectra, 02.11.2012 01:08
Mikrotik RB751U-2HnD ROS 5.21 не конектится в WPA2 c некоторыми планшентниками на которых Android.

Выход1. Создать виртуальную скрытю wan и для нее установить режим WAP
Выход 2. Установить 5.22rc1 нашел на форуме микротик

Оба варианта работают. Проверено на 3Q Model RC9716B, BC9710AM скорость - 150 Mbps
3Q Model QS0716D and Asus PadFone2 - 65 Mbps

299. Джамаль, 02.11.2012 08:47
Выход 3. Использовать расово верную технику, а не толстую и зелёную

300. Ёжъ, 02.11.2012 09:38
Джамаль, смешно... "Казалось бы!

Однако у меня на ROS 5.21 (RB2011UAS-2HnD-IN) - ноуты по Wi-Fi (WPA2/PSK) зацепились без проблем, а вот медиаплеер WD TV Live - отказался наотрез. Пока не создал фантомную wlan... тоже с WPA2/PSK - за неё - без проблем. Это нормально?

301. Джамаль, 02.11.2012 10:22
Gaidamak
Что за восстанавливающий ключик такой? Про это вообще ничего не знаю, ткните в faq плиз.

Я ошибся немного:
цитата (вики разработчика (http://wiki.mikrotik.com/wiki/Manual:License#Using_the_License) ):
Can I Format or Re-Flash the drive?
Formatting, and Re-Imaging the drive with non-mikrotik tools (like DD and Fdisk) will destroy your license! Be very careful and contact mikrotik support before doing this. It is not recommended, as mikrotik support might deny your request for a replacement license. For this use MikroTik provided tools Netinstall or CD-install that are freely available from our download page.

Добавление от 02.11.2012 10:24:

Ёжъ

Понятия не имею

302. ATI_forever, 02.11.2012 11:34
В 5.21 чисто случайно не прикрутили авторизацию по 802.1х на проводном интерфейсе?

Добавление от 02.11.2012 14:15:

Обновился до 5.21. Поставил также NTP пакет. Хочу, чтобы внутренняя сеть брала время с роутера. Настроил NTP клиент - роутер своё время синхронизирует. Включил NTP server - пишу на клиенте адрес роутера, пробую синхронизировать время - ошибка. Что не так?

Адово тупанул. Служба W32Time на пробном ПК была остановлена. Запустил, синхронизация выполняется без ошибок

303. dim-soft, 02.11.2012 16:31
подскажите делаю тунели 3-го уровня между офисами (по 2-6 туннелей через нескольких провайдеров)
что лучше использовать ? IP2IP ? IMHO меньше возни с выбором через кого-го провайдера выйти.
а IP2IP между динамическими белыми IP можно установить ?
пока в "голове" было много провайдеров, а в "филиалах" по 1 то обходился pptp, но сейчас не могу придумать как сделать 4 туннеля между двумя микротиками с 2 белыми IP

304. Fall, 02.11.2012 18:45
мудрец
Опять видимо поиск по форуму поломали ?
просто поиск по firewall дает около 1000 результатов. а "файервол" я даже не пробовал искать


кураторам
имхо эту фишку http//ip-router/cfg имеет смысл добавить к заметкам в шапке. т.к. не очевидно, а начинающим поможет.

305. OttoV, 03.11.2012 15:14
Провел маленький тест с секундомером, роутер RB751G. Замерял скорость открытия страницы с картинками http://www.kulturologia.ru/blogs/031112/17335 с выключенным и включенным прокси (в качестве диска для кеша выступала флэшка). Страница считалась полностью загруженной, когда в Firefox'е внизу слева переставали отображаться подгружаемые ресурсы с внешних сайтов. Результаты в секундах:
код:
Прокси включен без Cache On Disk:
15.8 15.7 16.9 15.5 16.0 Среднее: 15.9

Прокси включен с Cache On Disk:
18.5 16.2 14.1 15.2 17.6 Среднее: 16.3

Прокси выключен:
7.7 10.1 8.8 7.6 10.7 7.3 Среднее: 10.4

При этом процессор в среднем загружен на 5%. С чем может быть связано 30% замедление при включенном прокси?

306. nse60, 03.11.2012 15:39
цитата:
Moriturus:
код:
Проблема с приоритезацией.
Есть такое замечательное решение:
[url=http://habrahabr.ru/post/131295/]http://habrahabr.ru/post/131295/[/url]
но совершенно непонятно, что делать, когда провайдеров несколько.....


Ответ прост, а потому особенно удручающ - НИЧЕГО.
И вот почему.
QoS и PCC (как средство балансировки каналов) ОБА используют маркировку подключений, причем логика маркировок у QoS и PCC взаимоисключающая.
На одном экземпляре Router OS и то и другое выполнить корректно невозможно в принципе
По крайне мере до 6 версии - 100%.
Промелькнула инфа (и не факт, что соответствующая действительности) будто в 6 версии что-то там придумали, как сделать QoS и PCC в одном экземпляре ROS.
Как обходной вариант предлагается (некоторыми) решать задачу в двух экземплярах
1 - занимается PCC
2 - QoS
Это полная ересь!
Почему - предлагаю Вам, Moriturus, придти к этому выводу самому
На сегодняшний день ИСТИННЫЙ QoS возможен лишь при отсутствии в том же самом экземпляре ROS балансировки каналов средствами PCC.
О том, что балансировка, как таковая, является ПСЕВДО я вообще промолчу.
Человечество научилось честно и справедливо делить лишь в одном случае, когда претендент на делимое ОДИН.

307. InG, 05.11.2012 10:33
Помогите, надо написать скрипт который убирает соединение PPTP по его названию. Такая проблема, при отключении PPTP сервера, появляется какой-то Dynamic Running, вот его надо убрать.

308. Moriturus, 07.11.2012 14:24
nse60
Очень занятно, что вы видимо зарегистрировались, чтобы мне ответить

цитата:
Как обходной вариант предлагается (некоторыми) решать задачу в двух экземплярах
1 - занимается PCC
2 - QoS
Вариант, между прочим. Мы в месяц за двух провайдеров платим больше, чем эта белая коробочка стоит.

цитата:
О том, что балансировка, как таковая, является ПСЕВДО я вообще промолчу.
да вполне нормальная балансировка, что вам не нравится? Наверное то, что распределения трафика не может быть идеально? Ну так это само по себе невозможно, т.к. разделять нужно по соединениям.

Ещё тут один господин пишет, что у него на 7 провайдеров всё квотится и балансится:
http://forum.mikrotik.com/viewtopic.php?f=13&t=61985
но у меня пока нет времени проверить.
За это сообщение сказали спасибо: altuser

309. e811, 08.11.2012 00:08
Здравствуйте,

есть домашняя локальная сеть, внутри которой работает web-сервер, на котором пишутся логи активности пользователей, включающие ip адреса посетителей.
Логи внешних пользователей пишутся правильно, а логи пользователей из локальной сети имеют адрес маршрутизатора 192.168.1.1
В принципе, понятно, что это проделки первого в списке правила NAT
chain=srcnat src-address=192.168.1.0/24 action=masquerade
Некошерно это, а как поправить, не могу сообразить. Может есть продуктивная идея?

310. Джамаль, 08.11.2012 08:09
e811

А как юзеры к этому серверу обращаются? По идее, если сервер находится в той же подсети, что и юзеры, то они должны ходить на этот сервер напрямую, не обращаясь к маршрутизатору.

Или, может, у вас там прокси-сервер на микротике работает, а?

311. e811, 08.11.2012 08:59
Локальные юзеры обращаются к web серверу по символьному имени domain.tld. Имя ресолвится на внешнем DNS регистратора имен и дальше запрос идет на внешний ip микротика, где он натится на внутренний адрес web сервера. Естественно, при таком раскладе web сервер видит запросы от локальных юзеров как идущие с одного адреса маршрутизатора (маскарадинг работает!). Так это видится мне.
Прокси на микротике не настраивал.

PS Простите за примитивную терминологию, слабо владею профессиональными терминами

312. Джамаль, 08.11.2012 09:01
e811
ресолвится на внешнем DNS регистратора имен

Ага, понятно. Тогда юзерам пропишите чёткое соответствие имени и внутреннего адреса веб-сервера в файле hosts, и тогда они не будут лазить за ним в интернет

Добавление от 08.11.2012 09:02:

В качестве DNS-сервера у юзеров прописан микротик или провайдерский DNS? В первом случае, можно завести статическую запись сервера в микротике, тогда можно без hosts обойтись

313. e811, 08.11.2012 11:00
цитата:
Джамаль:

В качестве DNS-сервера у юзеров прописан микротик или провайдерский DNS? В первом случае, можно завести статическую запись сервера в микротике, тогда можно без hosts обойтись

Юзеры получают лизу по DHCP, в качестве DNS они получают адрес микротика 192.168.1.1. Попробовал добавить на микротике статическую запись в "IP -> DNS -> Static -> Add New" , добавил локальный адрес web сервера 192.168.1.7. Не помогло. Наверное, неправильно сделал?

314. Джамаль, 08.11.2012 11:25
e811

А вы добавили полное имя сервера или короткое? Нужно добавлять то имя, по которому юзеры к серверу обращаются

315. e811, 08.11.2012 11:29
[q]Джамаль:

Добавил полное www.domain.tld и короткое domain.tld

316. Джамаль, 08.11.2012 11:31
А юзеры по какому имени обращаются?

317. e811, 08.11.2012 12:02
Джамаль

Проверил еще раз. Все работает, микротику видимо нужно было какое-то время на осознание. Большое спасибо за помощь!

318. мудрец, 09.11.2012 01:02
Пару строк в копилку, рабочие настройки для подключения мобильных клиентов по "L2TP/IPsec Preshared Key", взято отсюда (http://www.butchevans.com/pipermail/mikrotik/2012-August/006389.html)
(Проверено на WindowsXP/SP3, Iphone4(6.0.1), Ipad2(6.0.1))
код:
# Server & Preshared (1234567abcdef) config
/interface l2tp-server server set enabled=yes

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no
enc-algorithms=3des,aes-256 \
lifetime=30m name=default pfs-group=modp1024

/ip ipsec peer add address=0.0.0.0/0 auth-method=pre-shared-key
dh-group=modp1024 disabled=no \
dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=3des
exchange-mode=main-l2tp generate-policy=yes \
hash-algorithm=sha1 lifetime=1d my-id-user-fqdn="" nat-traversal=yes
port=500 secret=1234567abcdef send-initial-contact=yes

# ADD Client (change user, psw, ips)
/ppp secret add name=user password=12345 profile=default-encryption
local-address=192.168.255.10 remote-address=192.168.255.254
service=l2tp


# Debug
/system logging add action=memory topics=l2tp
/system logging add action=memory topics=ipsec

Ну и не забыть настроить фаервол:
Открыть порты UDP 500, 1701, 4500,
и протокол номер 50 (ESP)

319. Serik, 09.11.2012 20:16
Прошу прощения если такое уже было.
Ситуация такова, есть два подключения к интернету через vpn, один системный блок с routeros на борту, 4 сетевые карточки воткнутые в него.Хотелось бы пропустить vpn соединения через разные карточки и вывести каждое из них в отдельную сетевую карту со своими ip адресами естественно. Кратко говоря сделать из одно системника два независимых маршрутизатора. Если такое уже было ткните носом пожалуйста

320. Джамаль, 09.11.2012 21:01
Serik

Можно поднять Metarouter, а можно просто настроить трансляцию соответственно:

/ip fire nat add chain=srcnat src-addr=192.168.1.0/24 out-int=vpn1 action=mas
/ip fire nat add chain=srcnat src-addr=192.168.2.0/24 out-int=vpn2 action=mas

321. Yurak, 10.11.2012 00:47
Здравствуйте, подскажите как сделать Load Balancing на микротике 450g, есть три провайдера один пппое, два по дхцп. Все настройки в ютубе не подходят потому что примеры либо для ппое либо для статики. айпи адрес и шлюз пппое провайдера меняется раз в сутки, поетому в настройках его не пропишеш статикой.

322. altuser, 11.11.2012 03:45
Yurak
айпи адрес и шлюз пппое провайдера меняется раз в сутки, поетому в настройках его не пропишеш статикой.
Может быть скриптом? Типа такого можно взять за основу?
http://habrahabr.ru/post/141785/
Надо менять только ip route, имхо.

ЗЫ У меня тут вопрос к общественности есть. Я правильно понимаю, что входящие пакеты, проходя через NAT и mangle сначала идут на mangle prerouting, а потом на проброс через NAT? А то есть проблема: дома у одного прова используется белый динамический IP, второй за натом (йота), на работе сеть за натом (что у старого прова, что у йоты; заморачиваться с пробросом портов у прова не хочется, да и нет особого смысла). Дома настроено, что бы входящие соединения на определенный порт пробрасывались на определенные порты определенных компов. С работы поднимается ssh для переадресации нескольких портов (из дома ssh, RDP и домой с работы proxy), но почему-то поднимается он может быть раз в час-два-пять. При этом если заработало, то все соединения начинают работать без проблем. Дома на роутере эти соединения вроде бы видны (т.е. в ip firewall connections видны соединения с рабочего адреса на домашний адрес первого прова на нужный порт), но до компа почему-то доходят как-то не всегда мягко говоря. В какую сторону можно копнуть? Со старым роутером с одним провом таких проблем не было. Полагаю, что что-то не так в настройках. Торренты работают. Входящие соединения проходят. Порты до торрента прописаны так же, как и до ssh.
Когда эта проблема возникла сказать не могу.

323. Gesha24, 11.11.2012 04:13
Yurak
Все настройки в ютубе не подходят потому что примеры либо для ппое либо для статики. айпи адрес и шлюз пппое провайдера меняется раз в сутки
Пока не вижу проблемы. Для PPPoE примеры настроек есть, для DHCP интернет соединений у вас с весьма большой вероятностью gateway не меняется - можно спокойно использоваться примерами настройки для статических IP.
http://forum.mikrotik.com/viewtopic.php?f=8&t=38956

altuser
Я правильно понимаю, что входящие пакеты, проходя через NAT и mangle сначала идут на mangle prerouting, а потом на проброс через NAT?
Зависит от того куда они входят http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
За это сообщение сказали спасибо: altuser

324. dim-soft, 11.11.2012 11:38
подскажите, мельком видел в форуме, но не могу найти:

как опубликовать сервис с сервера на котором не прописал шлюз, помню что два правили с DSNAT и SRCNAT

325. Джамаль, 11.11.2012 18:14
dim-soft

Ага, именно так:
/ip fire nat add chain=srcnat src-addr=<адрес_сервера> proto=tcp src-port=<порт_на_сервере> action=src-nat to-address=<ваш_внешний_адрес> to-port=<порт_видный_снаружи>
/ip fire nat add chain=dstnat dst-addr=<ваш_внешний_адрес> proto=tcp dst-port=<порт_видный_снаружи> action=dst-nat to-addr=<адрес_сервера> to-port=<порт_на_сервере>
За это сообщение сказали спасибо: dim-soft

326. azarsen, 12.11.2012 16:06
Доброго времени суток господа . Ситуация следующая : хочу с помощью скрипта или еше как нибудь создать правило на RouterBoard Mikrotik 951-2n чтоб после авторизации PPPoE он запускал тест скорости соединения с сервером формировал небольшой отчет и отправлял по почте на указанный адрес . возможно ли это и как это осуществить?

327. sherwood, 12.11.2012 20:54
Привет! наверное не совсем сюда, хотя почему бы и нет.
и так схема:
220x174, 14.5Kb (http://itmages.ru/image/view/758611/ea9bcd5f)
краткое описание, на ПК сети 192.168.0.0/24 и 192.168.1.0/24 прописаны руты и dns интерфейса RB450 то есть для сети 192.168.0.0/24 рут 192.168.0.2 и dns 192.168.0.2 для сети 192.168.1.0/24 рут 192.168.1.2 и dns 192.168.1.2 как бы это для выхода в мир, в сети так же есть WEB сервер с кривым апачем который не может работать с виртуальными сайтами и несколькими ip на одном интерфейсе (почему он так плохо работает и как можно его допилить это не тема этого топика), и так в чем проблема, на сервере указан первым IP 192.168.0.1 а вторым 192.168.1.1 ПК из сети 192.168.0.0/24 без проблем заходят на это web сервер а вот абоненты сети 192.168.1.0/24 нет, по пингу сервер доступен, но повторюсь что это проблема криво настроенного апача, что нужно, нужно что бы абоненты сети 192.168.1.0/24 то же имели возможность зайти на этот web сервер.
что быстро пришло в голову, это на RB450 прописать маршрут на IP 192.168.0.1 через интерфейс который смотрит в локальную сеть, то есть на котором повешены IP 192.168.0.2 и 192.168.1.2, ну и как бы все заработало теперь все могут заходить на web сервер.
в чем собственно сомнения:
1.как бы вроде рут на 450 добавлен и он маршрутизирует сеть 192.168.1.0/24 на ip 192.168.0.1, но что то я ни как не пойму почему если на web сервере убрать второй ip 192.168.1.1 то ПК с сети 192.168.1.0/24 не могут зайти на web сервер, хотя маршрут то добавлен, как то вот это с наскоку не получается осмыслить.
2. каким еще способом в указанной сети можно настроить что бы ПК с сети 192.168.1.0/24 могли открывать сайт по адресу 192.168.0.1?

328. Джамаль, 12.11.2012 23:01
sherwood

1. А у апача есть маршрут до сети 192.168.1.0?
2. Трансляцию можно сделать

329. sherwood, 13.11.2012 00:22
Джамаль
1. А у апача есть маршрут до сети 192.168.1.0?
не знаю так как его трогать нельзя

2. Трансляцию можно сделать
например? то есть NAT? например

330. Джамаль, 13.11.2012 13:43
sherwood
то есть NAT?

Угу.

331. altuser, 13.11.2012 14:19
А я тут между делом настроил (пока не окончательно, еще буду ковырять) одновременную работу балансировки и очередь. Вроде бы тут (или в соседней теме) возникали такие вопросы.
Основной принцип: для балансировки используется маркировка соединений, а для очереди используется маркировка пакетов. Поэтому прекрасно сосуществуют совместно, имхо.
Вроде бы работает. Т.е. сейчас качаются торренты на максимуме и при этом я еще серфлю вроде бы с меньшими задержками, так сказать. По крайней мере по всем правилам проходят пакеты (если верить счетчикам).
Правила маркировки пакетов для p2p буду еще дописывать.
Правила для premium тоже буду еще дописывать.
код:
/ip firewall mangle
add action=accept chain=prerouting comment="Accept Local Network Addresses" disabled=no dst-address=192.168.2.0/24 in-interface=\
bridge-local
add action=mark-connection chain=prerouting comment="Mark ISP1 input connections" connection-mark=no-mark disabled=no in-interface=\
ISP1 new-connection-mark=ISP1Connection passthrough=yes
add action=mark-packet chain=prerouting comment="Mark primary packets" disabled=no new-packet-mark=primary packet-mark=no-mark \
passthrough=yes port=80,22,3389,33 protocol=tcp
add action=mark-packet chain=prerouting comment="Mark ISP1 input p2p packets" disabled=no in-interface=ISP1 new-packet-mark=p2p \
packet-mark=no-mark passthrough=yes
add action=mark-connection chain=prerouting comment="Mark ISP2 input connections" connection-mark=no-mark disabled=no in-interface=\
ISP2 new-connection-mark=ISP2Connection passthrough=yes
add action=mark-packet chain=prerouting comment="Mark ISP2 input p2p packets" disabled=no in-interface=ISP2 new-packet-mark=p2p \
packet-mark=no-mark passthrough=yes
add action=mark-connection chain=output comment="Mark ISP1 output connections for ISP1 IP's" connection-mark=no-mark disabled=no \
dst-address=80.243.66.0-80.243.70.255 new-connection-mark=ISP1Connection passthrough=yes
add action=mark-connection chain=output comment="Mark ISP2 output connections for ISP2 IP's" connection-mark=no-mark disabled=no \
dst-address=188.162.224.0/19 new-connection-mark=ISP2Connection passthrough=yes
add action=mark-connection chain=prerouting comment="Balance traffic mark" connection-mark=no-mark disabled=no dst-address=\
!192.168.2.0/24 in-interface=bridge-local new-connection-mark=ISP2Connection passthrough=yes per-connection-classifier=\
both-addresses-and-ports:2/1
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address=!192.168.2.0/24 in-interface=\
bridge-local new-connection-mark=ISP1Connection passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address=!192.168.2.0/24 new-connection-mark=\
ISP1Connection passthrough=yes per-connection-classifier=both-addresses:2/1
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address=!192.168.2.0/24 new-connection-mark=\
ISP2Connection passthrough=yes
add action=mark-routing chain=prerouting comment="Mark routing for outgoing connections" connection-mark=ISP1Connection disabled=no \
in-interface=bridge-local new-routing-mark=ISP1Route passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ISP2Connection disabled=no in-interface=bridge-local new-routing-mark=\
ISP2Route passthrough=yes
add action=mark-routing chain=output comment="Add routing Mark for ISP1 Connections" connection-mark=ISP1Connection disabled=no \
new-routing-mark=ISP1Route passthrough=yes
add action=mark-routing chain=output comment="Add routing Mark for ISP2 Connections" connection-mark=ISP2Connection disabled=no \
new-routing-mark=ISP2Route passthrough=yes


В очередях бОльшая часть была по умолчанию. Дописал только queue simple. Общая мысль: p2p пакетам приоритет минимальный, premium - максимальный, а остальным - средний. Скорость указал заведомо выше доступной мне для всех.
Как я понимаю, в данном случае работает как шедулер. Верно?
код:
/queue type
set 0 kind=pfifo name=default pfifo-limit=50
set 1 kind=pfifo name=ethernet-default pfifo-limit=50
set 2 kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set 3 kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set 4 kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
set 5 kind=none name=only-hardware-queue
set 6 kind=mq-pfifo mq-pfifo-limit=50 name=multi-queue-ethernet-default
set 7 kind=pfifo name=default-small pfifo-limit=10
/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no interface=all limit-at=0/0 max-limit=20M/20M \
name=p2p_all packet-marks=p2p parent=none priority=8 queue=default-small/default-small target-addresses="" total-queue=\
default-small
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no interface=all limit-at=0/0 max-limit=20M/20M \
name=primary packet-marks=primary parent=none priority=1 queue=default-small/default-small target-addresses="" total-queue=\
default-small
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no interface=bridge-local limit-at=0/0 max-limit=\
20M/20M name=default packet-marks="" parent=none priority=1 queue=default-small/default-small target-addresses="" total-queue=\
default-small
/queue interface
set LOCAL queue=only-hardware-queue
set ether3-slave-local queue=only-hardware-queue
set ether4-slave-local queue=only-hardware-queue
set ether5-slave-local queue=only-hardware-queue
set wlan1 queue=wireless-default
set ether1 queue=only-hardware-queue
set ovpn-in1 queue=default

332. ZASOR, 13.11.2012 23:17
Тут изучаю настройку l2tp, ибо скоро переходить на него, но столкнулся с проблемой, при настройке подключения Server Address должен быть не в виде домена l2tp.servername.ru а в виде IP-адреса. Что делать в данной ситуации?

https://lh6.googleusercontent.com/-LsgFNHDp7j8/UKKb4…1-13_23-13-36.png

333. sherwood, 14.11.2012 00:49
Джамаль
то есть NAT?

Угу.

что то я как то и растерялся, как поднять NAT на один IP если на роутере уже поднят NAT, хотя и на out интерфейсе, то есть на in LAN (LAN - интерфейс смотрящий в локальную сеть) поднимаем src.NAT на Dst.address (IP web сервера) и это правило поднимаем в самый верх?
я запутался хотя наверное правильно, абонент обращается на IP веб сервера, срабатывает трансляция и он должен попасть на него, а если к веб серверу обращается абонент из той же сети то веб сервер в первую очередь ответит без NAT потому как веб сервер находится с ним в одном сегменте сети.
по моему бред, после трансляции куда роутер направит запрос? опять на LAN интерфейс...

334. мудрец, 14.11.2012 03:06
цитата:
ZASOR:
Тут изучаю настройку l2tp, ибо скоро переходить на него, но столкнулся с проблемой, при настройке подключения Server Address должен быть не в виде домена l2tp.servername.ru а в виде IP-адреса. Что делать в данной ситуации?

https://lh6.googleusercontent.com/-LsgFNHDp7j8/UKKb4…1-13_23-13-36.png

Здесь (http://minirouter.ru/support/documentation) вариант L2TP для Билайна, вроде Ваш вариант ?

335. Джамаль, 14.11.2012 08:19
sherwood

/ip fire nat add
chain=srcnat
src-addr=192.168.1.0/24
dst-addr=192.168.0.1
action=src-nat
to-address=192.168.0.2

Типа так. Заметь, как тут можно фильтровать пакеты, какие должны попадать под это правило. Придётся также это правило переместить выше основного правила трансляции, чтобы его не перекрывало более общим правилом

336. Moriturus, 14.11.2012 09:30
После отключения электричества, когда роутер обратно включился, перестал обновляться лог.
Т.е. события типа переподключения PPPoe или изменения правил, которые раньше туда попадали, теперь не попадают.
Как вылечить?

337. sherwood, 14.11.2012 09:35
Джамаль
Типа так.

не сработало, то есть пакеты попадают под правило но сайт не открывается и IP по пингу не доступно.

338. gfzzz, 14.11.2012 16:54
Добрый день, ситуация такая:
Есть головной офис, в офисе стоит циска, есть филиал, в котором стоит микротик rb750 (eth1 - провайдер, eth2 - локалка). Связь с филиалом по gre-туннелю (10.1.1.17 со стороны циски и 10.1.1.18 со стороны микротика, /30 маска). Был один провайдер, связь работала стабильно. Возникла необходимость в резервировании канала. Подключили второго провайдера (eth4), прокинули новые gre-туннели (10.1.1.81 - циска и 10.1.1.82 - микротик, /30 маска), выставили стоимость маршрута (100 в eth4, в eth1 было 10). Вставляю проводок резервного провайдера в eth4, и канал сразу же переключается на этого провайдера, при этом первый провайдер в eth1 перестает пинговаться. Как только вытаскиваю проводок резервного провайдера из eth4, основной провайдер сразу же поднимается

Подскажите в чем может быть дело? И какие данные вам предоставить, чтобы помочь разобраться в этой проблеме. Заранее спасибо

339. olegdovg, 15.11.2012 11:06
Проброс порта
routeros v 5.18 x86 L6
инет по рррое ip-динамичный
написал правило
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp to-addresses=192.168.1.109 to-ports=3398
с улицы на сервер РДП попадаю без проблем с локалки на внутренний сервер тоже
но вот незадача мне нужно подключится по этомуже порту но к другому серверу с улицы, а мой роутер меня отправляет в локалку
Вопрос что не так?

340. Джамаль, 15.11.2012 11:37
olegdovg

А по интерфейсам фильтровать не судьба? Добавьте пункт in-interface=pppoe-client1 или как там вам надо

341. dim-soft, 15.11.2012 23:49
Подскажите IP2IP туннель можно защитить IPSEC на сертификатах ? или на паролях ?

342. scorp309, 16.11.2012 16:11
Притащили систему видеоконференции cisco cx20 и дали задание подключить.
Дано: 2 канала в инет и микротик 750 с RouterOS 5.2 балансировка настроена по ману (http://wiki.mikrotik.com/wiki/PCC) . Порты пробрасываются на раз. У Ильясла подсмотрел (http://forum.ixbt.com/topic.cgi?id=14:51525:4997#4997) что да как. Для примера ssh
код:

/ip firewall filter
add action=accept chain=inbound comment="allow ssh" disabled=no dst-port=22 protocol=tcp

/ip firewall nat
add action=dst-nat chain=inbound comment=SSH disabled=no dst-port=22 protocol=tcp src-address=8.8.8.8 to-addresses=192.168.0.2 to-ports=22

Но по каким портам цыска работает я не знаю и хотел пробросить ВСЕ подключения с определённых адресов на неё. Пробовал так
код:

/ip firewall filter
add action=accept chain=inbound comment=videoconference disabled=no src-address-list=videoconference

/ip firewall nat
add action=dst-nat chain=inbound comment=Videoconference disabled=no src-address-list=videoconference to-addresses=192.168.0.2

Но ничего не работает, точнее тестовый звонок проходит, меня слышат и видят, а у меня нет ни звука, ни видео.
Что я делаю неправильно?

343. Analog, 17.11.2012 20:03
День с 751 моделью потыркался (роутер держу в руках впервые) и с помощью мануалов наконец сделал доступ в инет своей домашней сетки из 1 ПК и 1 медиа-плеера.
Вопрос только такой - как сделать так чтоб комп и плеер видели друг друга в сети? Я хочу плеером читать через сеть фильмы с компа через расшареные папки

344. Джамаль, 17.11.2012 20:40
Analog

Если у них адреса из одной подсети и если вы не выключали встроенный коммутатор этой железки, то всё у вас уже есть. Дальнейшие действия производятся только с компом и плеером. Отыщите в мануале, какие протоколы поддерживает плеер, и запустите поддержку этих протоколов на компе
За это сообщение сказали спасибо: Analog

345. dim-soft, 17.11.2012 21:15
Подскажите сделал между двумя микротиками отдельную подсеть с резервированием через IP2IP каналы и упала скорость
180x78, 3.1Kb (http://radikal.ru/F/s09.radikal.ru/i182/1211/8c/1dd6340599d1.jpg.html)
В синем варианте скорость не больше 2-х мегабит, в зеленом 20-30

Куда копать ? Или железки не тянут ? Хотя нагрузка на CPU под 60-70% максимум

346. Serik, 18.11.2012 01:55
Простите за возможное повторение,
Ситуация такая, есть 2 ВПН один провайдер, 2 карты в которые идут кабели от этого провайдера.Как можно пустить эти ВПН по разным картам

347. yreks, 18.11.2012 11:05
Привет всем!
Помогите пожалуйста разобраться в такой ситуации: имеется микротик RB750UP. Получает интернет с Ип 192.168.0.1 -на порту Wan влючен DHCP klient. К микротику подключаюсь удаленно через внеший порт Wan. Еще настроен USB модем 3G. который планирую использовать только для аварийного подключения к роутеру. Через него поднят DDns. Когда не был настроен и влючен DHCP klien , я к микротику через 3G модем, по DDNs подключался без проблем. Сейчас к микротику удаленно можно подключится только с одного порта. Через 3G подключится невозможно. Или наоборот , если прописываю route на 3G . то подключаюсь только через 3G модем. А через Wan подключится невозможно. Как правильно настроить микротик чтоб можно было подключатся и через 3G и через Wan?

348. dim-soft, 18.11.2012 12:07
yreks
Как правильно настроить микротик чтоб можно было подключатся и через 3G и через Wan?
маркировать соединения, в wiki есть про два wan

349. leshiy_odessa, 20.11.2012 14:20
Я правильно понимаю что запустить Wi-Fi на x86 машине используя Mini PCI-E карточку невозможно?

Иди возможно, но только на чипе Atheros.

Имею Mini PCI-E Intel 5300 и жестко обламался.

350. OCnnor, 20.11.2012 17:27
Здравствуйте. У меня такой вопрос: есть комп. стоят две гигабитки и одна встроенная в мамку под WAN. Вопрос такой: как можно объединить эти гигабитки как в RB750, чтобы гигабитки работали как свитчи и выходили через WAN интерфейс в инет? Хотелось бы просто теорию - с практикой буду разбираться сам.
Пробовал обе гигабитки завести в bridge, чтобы DHCP выдавал адреса локалке. Схема сети такая в итоге: микротик, WAN, одна гигабитка - на сервер, вторая - на локалку

351. Джамаль, 21.11.2012 08:17
OCnnor
Пробовал обе гигабитки завести в bridge

И что же не получилось? Совершенно правильный способ

352. DC, 21.11.2012 22:00
Доброго времени суток
Незнаю как решить задачу
два микротика между ними поднят туннель OVPN
но
на микротике сервере - есть два провайдера не знаю как реализовать переключение туннеля между ними, если основной провайдер становится "недоступен"
задача проста: переключение туннеля на кленте, если на сервере не доступен основной провайдер и возврат к основному как только тот станет доступен.

353. Джамаль, 21.11.2012 22:30
DC

Только скриптингом

354. DC, 21.11.2012 23:35
Джамаль
есть примеры скриптов? а то я не находил в сети ((
может плохо искал (

355. sherwood, 22.11.2012 22:09
Здравствуйте, подскажите по Firewall Filter, делал фильтры по мануалу:
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
но что то есть сомнения что ставить вперед а что потом, так как есть еще несколько своих правил, ну с input вроде понятно, не понятно с forward, а именно:
1.есть правило которое разрешает определенному адресс-листу посещать определенный ресурс.
2.есть правила которые защищают от абонентов на предмет DDoS, то есть ограничивают количество запросов в единицу времени и блокируют ПК на определенное время.
3.есть правила для спамеров почты.
4.есть правила для разрешения определенным адресс-листам выходить в мир.
вот куда все мои правила нужно вставлять, думаю что после всех изложенных в мануале и в конце правило на дроп всего forward.
просто как то не могу понять, ведь в Filtre правила тоже обрабатываются сверху в низ, и после прохождения всех правил дойдут ли они до моих, или надо ставить вверх, но тогда не понятно как будут работать правила на защиту абонентов по не желательным портам и т.д.,
что то я как то в тупике. просветите

P.S.
сомнения из-за того что в правилах forward нет разрешения для работы сети с миром и поэтому думается что открыто все и пакеты попадают под правила которые приведенные в примере и не понятно куда ставить свои.

356. Джамаль, 22.11.2012 22:51
sherwood
сомнения из-за того что в правилах forward нет разрешения для работы сети с миром и поэтому думается что открыто все

Именно так и есть. По умолчанию, открыто всё

Добавление от 22.11.2012 22:52:

DC

Только самому писать. Увы, я не настолько хороший скриптер, чтобы чем-то конкретным помочь. Знаю лишь, что примеры есть в вики разработчиков

357. sherwood, 22.11.2012 23:07
Джамаль
Именно так и есть. По умолчанию, открыто всё
ну И? куда писать свои правила для разрешения работы сети и всякие ограничения по соединениям и спамам и т.д., в начало (сразу после input) или после всего что есть в примере?

P.S.
и потом, наверное немного меня не понял, имелось в виду в примере нет разрешения для конкретно какой то сети выхода в мир, но там есть блокировка не желательных портов и т.д., так что не открыто все.

P.P.S.
то есть если поставить первым правило например разрешающее forward Src 192.168.0.1 action а потом набор:
код:
/ip firewall filter
add chain=forward protocol=tcp connection-state=invalid \
action=drop comment="drop invalid connections"
add chain=forward connection-state=established action=accept \
comment="allow already established connections"
add chain=forward connection-state=related action=accept \
comment="allow related connections"

то под этот набор не попадет ни один пакет от 192.168.0.1 потому как исходящий пакет от этого IP попадет под первое правило и вылетит из firewall filter, а если поставить после, то пакет от 192.168.0.1 попадет наверное под:
код:
add chain=forward connection-state=established action=accept \ 
comment="allow already established connections"
add chain=forward connection-state=related action=accept \
comment="allow related connections"

и тоже прекратит свой путь по firewall filter и не дойдет до моего правила где исходящему IP 192.168.0.ё разрешается выйти в мир по цепочки forward.

358. s3va, 25.11.2012 14:52
А как с pptp сервером на микротике? Что бы адреса клиентам давал из внутренней локальной сети? Научились делать нормальный arp-proxy для pptp? Или все то-же? Делаем proxy-arp на lan-bridge и микротик радостно отвечает всей сети на все запросы who is X.X.X.X своим МАС адресом?

p.s.
На любые Х.Х.Х.Х.

359. igyo, 26.11.2012 07:20
Здравствуйте, на микротик приходят 2 провайдера, с двух провайдеров маршруты получаю автоматически по dhcp.
У каждого провайдера есть внутренняя локальная сеть 10.0.0.0/8. Локальная сеть мне нужно только первого провайдера, а второго не нужна.

Нужно скриптом удалить маршрут при поднятии интерфейса ISP2.
/ip route remove [find dst-address="10.0.0.0/8" gateway="2.2.2.2"]

Подскажите как написать скрипт и его запускать, пожалуйста.

360. sherwood, 26.11.2012 10:46
igyo
Нужно скриптом удалить маршрут при поднятии интерфейса ISP2.
а зачем его удалять? пометьте в мангле пакеты на внутреннюю сеть провайдера и в рутах направьте ее на нужный интерфейс.
За это сообщение сказали спасибо: altuser

361. igyo, 27.11.2012 04:57
цитата:
sherwood:
а зачем его удалять? пометьте в мангле пакеты на внутреннюю сеть провайдера и в рутах направьте ее на нужный интерфейс.

помечать умею, а что значит "в рутах направьте ее на нужный интерфейс"?
Подскажите пожалуйста поподробнее

362. Джамаль, 27.11.2012 06:27
igyo
а что значит "в рутах направьте ее на нужный интерфейс"?

Присвоить routing mark, которую затем раскидать в таблице маршрутизации по разным маршрутам

363. f1amew0rk, 27.11.2012 14:41
Добрый день!
Подскажите, что за поле TX/RX Errors в Interface list в подключении l2tp?! Откуда они могут возникать и на что влияют?!

Добавление от 27.11.2012 14:51:

UPD: на интерфейсе l2tp копятся именно Rx Errors

364. ASUS_Strelok, 28.11.2012 12:18
поделитесь примером конфига EoIP over ipsec под сеть 192.168.0.0/22 внешние ап пускай 1.1.1.1 и 1.1.1.2.
Счас настроен ipsec VPN вида
код:
192.168.1.0/24 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.4.254} <- 192.168.4.0/24

Не могу сообразить как поднять правильно ipsec в ситуации
код:
192.168.1.0/22 ->{192.168.1.252-1.1.1.1} <-->{1.1.1.2 <->192.168.3.254} <- 192.168.0.0/22

365. ASUS_Strelok, 29.11.2012 09:44
Возможно так но в боевом конфиге еще не проверял
для локальной сети
Side A:
/ip ipsec policy
add src-address=1.1.1.1 src-port=any dst-address=1.1.1.2 dst-port=any \
sa-src-address=1.1.1.1 sa-dst-address=1.1.1.2 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address1.1.1.2 tunnel-id=1 name=eoip-tunnel1 disabled=no

Side B:
/ip ipsec policy
add src-address=1.1.1.2 src-port=any dst-address=1.1.1.1 dst-port=any \
sa-src-address=1.1.1.2 sa-dst-address=1.1.1.1 \
tunnel=no action=encrypt proposal=default

/interface eoip
add remote-address=1.1.1.1 tunnel-id=1 name=eoip-tunnel1 disabled=no

И еще
sideA
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1
side b
/interface bridge add
/interface bridge port add bridge=bridge1 interface=lan1
/interface bridge port add bridge=bridge1 interface= eoip-tunnel1

366. netdmk, 01.12.2012 19:11
Есть 3 mikrotik 1100 X2AH
разнесены по разным зданиями, между ними туннели OVPN (один из них сервер, остальные 2 подключаются к ниму)
Настроена маршрутизация между сетями. Все сети видят друг друга и телефоные звонки идут через этот туннель. Телефоны panasonic связь через динамические UDP порты. Так вот иногда пропадает связь между телефонами в разных зданиях. Звонок между телефонами проходит, т.к. видимо через атс, а голоса абонента не слышно. помогает только перезагрузка микротиков, при этом в коннектах связи по udp вижу. Везде настроен нат порты не блокированы. Помогите может правила нужны или порты нужно прокидывать, я уже с ног сбился, потому что то работает то нет, то опять может заработать. Чудеса

367. dim-soft, 02.12.2012 20:16
Подскажите по mesh:
Добавил на 1 микротике (2011UAS-2HnD) ethernet+wifi в мост, этот мост добавил в mesh
на 2 микротике (RB751G-2HnD) порт ethernet 1 воткнул в первый микротик и добавил в mesh wi-fi и 1 ethernet

В результате wi-fi клиент каждые несколько секунд переключается то к одному то ко второму. Что я сделал не так ?

368. dude81, 03.12.2012 12:22
Есть два микротика, оба будут подключены к инету по pptp. Задача стоит соединить локалки за ними в одну сеть. Как это сделать?
Я так понимаю, что нужно под vpn поднять еще один vpn, а уже под ним eoip. Возможна такая схема? Будет это работоспособно?

369. Rizado, 03.12.2012 20:33
Добрый вечер форумчане, нужна помощь в настройке RB751G.

Необходимо реализовать схему с Vlan.
Перечитал всю старую ветку и запутался, помогите пожалуйста.
Есть спутниковый модем на котором настроены Vlan 1(управление), vlan 2 (интернет), vlan 3 (ПДПГИ).
Mikrotik общается с модемом в Vlan 1.
Необходимо настроить таким образом, чтобы на Ethernet 1 приходил весь трафик с тагами со всех портов, WiFi .

По Wifi раздавался Vlan 2 и на Ethernet 2 и Ethernet 3 был тоже Vlan 2,
а на Ethernet 4 и Ethernet 5 был vlan 3.
Можно ли это как то реализовать?
Если можно то как? Подскажите пожалуйста.

Я так понимаю необходимо на Ethernet 1 прибить vlan 1, vlan 2,vlan 3.
На Ethernet 1 прописать сеть vlan 1.
Бриджами объединить Ethernet 2, Ethernet 3 и vlan 2. прописать сеть на vlan 2.
Далее так же объединить бриджами Ethernet 4, Ethernet 5 и vlan 3, прописав соответствующую сеть на vlan 3.
Но как прикрутить суда еще раздачу vlan 2 по Wifi, и конечное перенаправленние пакетов с тагами в Ethernet 1 понять не могу.

370. zawaloff, 04.12.2012 01:54
разъясните как настроить ipv6 6to4 от Hurricane Electric Free IPv6 Tunnel Broker что то у меня ничего не получается -запутался куда что вписывать (2011UAS-2HnD)

371. Джамаль, 04.12.2012 08:14
Rizado
Я так понимаю необходимо на Ethernet 1 прибить vlan 1, vlan 2,vlan 3.
На Ethernet 1 прописать сеть vlan 1.
Бриджами объединить Ethernet 2, Ethernet 3 и vlan 2. прописать сеть на vlan 2.
Далее так же объединить бриджами Ethernet 4, Ethernet 5 и vlan 3, прописав соответствующую сеть на vlan 3.


Угу.



Но как прикрутить суда еще раздачу vlan 2 по Wifi, и конечное перенаправленние пакетов с тагами в Ethernet 1 понять не могу.

Раздача тэгированных пакетов делается точно так же - на wlan1 создаём влан с тэгом 2, его связываем бриджом с соответствующим вланом на ether1

372. sam123123, 04.12.2012 11:41
Доброго дня!
Сетка за микротиком 750g. На сервере (192.168.0.200) свой файрвол (для спокойствия). В логах файрвола есть
NVALID state -- DENY IN=eth0 OUT= MAC=ххх SRC=91.216.211.46 DST=192.168.0.200 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=0 DF PROTO=TCP SPT=80 DPT=50703 WINDOW=0 RES=0x00 RST URGP=0
В микротике нет форвардинга такого порта. Как этот пакет прошел через микротик?
Если нужна доп. информация, скажите.

373. Джамаль, 04.12.2012 12:31
sam123123

SPT=80 DPT=50703

Ваш сервер обратился к ТСР-порту номер 80 на машине с адресом 91.216.211.46. Ответ на этот запрос и был заблокирован по причине того, что его state=invalid.

374. sherwood, 04.12.2012 13:43
Джамаль
а где у нас Ильясла? что опять прогуливает
есть вопросик, ни как не соображу но думаю что так не получится. на роутере поднят кеширующий DNS, естественно обращение пользователей к нему идет как input, вопрос в том как разрешить ip из локальной сети например 192.168.0.1 обращаться только к запросу на ya.ru все остальные запросы должны быть блокированы, с блокировкой все понятно, а вот как разрешить именно на определенный ресурс. если input src.192.168.0.1 Dst.213.180.193.3 то это не катит так как Dst. получается должно быть ip роутера.

375. gamespb, 04.12.2012 14:13
zawaloff
А поставщик канала в и-нет не блокирует его(6то4)?

376. Джамаль, 04.12.2012 14:15
sherwood

Писать Layer7 регэксп, первое, что в голову приходит...

377. Ёжъ, 04.12.2012 14:28
sherwood, в своё время, мне посоветовали (http://forum.ixbt.com/topic.cgi?id=14:51525:4606#4606) использовать прокси (Layer 7). Результатом доволен (http://forum.ixbt.com/topic.cgi?id=14:51525:4622#4622) и по сей день – как настроил тогда, так больше к этому не возвращался. Клиенты ходят только на разрешённые сайты.

378. zawaloff, 04.12.2012 14:34
gamespb
нет до этого на зукселе работало исправно (естевственно адреса другие ) провайдер ОНлайм ничего не пойму запутался
делаю по инструкциям а вот с адресами уже запутался какой куда писать на какой интерфейс прописывать ???

379. Джамаль, 04.12.2012 14:41
Ёжъ
использовать прокси (Layer 7).

У микротика можно анализировать пакеты на прикладном уровне не только на прокси, а прямо в фильтре

Добавление от 04.12.2012 14:43:

http://ieee802.org.ua/blog/blokiruem-torrent-trafik-…oshchyu-mikrotika - тут сказано, как фильтровать DNS-запросы

Добавление от 04.12.2012 14:48:

там, правда, опечатки есть, внимательней со скобками и переносами строк

380. sherwood, 05.12.2012 00:19
спасибо за советы, но это как то слишком по большому, мне то всего надо что бы абонент который не заплатил за доступ в мир, мог зайти только на внешний веб сервер компании, после того как он оплатит он попадет в нужный адрес-лист и получит полноценный доступ в мир. проблем в том что если ему просто в forward разрешить доступ к внешнему веб серверу то это не срабатывает потому как он набрав например в браузере ya.ru с начало идет запрос в input а потом уже forward, но если input ему зарезать то и сайт у него не откроется (про кеш пока опустим). для чего это нужно, если ему на все время открыть доступ input на Dst 53 порт, то есть абоненты у которых при заблокированном доступе в мир идут постоянные запросы на 53 порт (вирусы или еще что), хотелось бы что бы эти запросы были заблокированы пока он не оплатит доступ.

381. gamespb, 05.12.2012 03:23
zawaloff
на сайте код для микротика выдают. насколько я помню поднимается интерфейс 6то4 с именем sit1 ему ипв6 и присваивать

382. Джамаль, 05.12.2012 08:26
sherwood

Хе, так это этот как его Accounting и Hotspot поднимать, кажется...

383. altuser, 05.12.2012 08:39
sherwood
проблем в том что если ему просто в forward разрешить доступ к внешнему веб серверу то это не срабатывает потому как он набрав например в браузере ya.ru с начало идет запрос в input а потом уже forward
В порядке бреда: а если резать весь трафик у таких клиентов по 53-ему порту UDP, а соединения маркировать через firewall mangle и потом эти маркированные соединения бросать на айпишник веб-сервера компании? При этом можно бросать даже на внутренний айпишник. Нафига им внешний? Не? Как вариант: айпишник можно, в принципе, резолвить скриптом и прописывать в рутинг, а соединения маркировать "на выходе" из firewall mangle через mark routing.

384. zawaloff, 05.12.2012 09:49
gamespb
код то кодом это я знаю и в инете куча советов уже все перепробовал в итоге запутался какой куда адрес прописывать и кому что присваивать

вот что имеем

IPv6 Tunnel Endpoints
Server IPv4 Address:216.66.80.90
Server IPv6 Address:2001:470:27:28c::1/64
Client IPv4 Address:37.204.21.xx
Client IPv6 Address:2001:470:27:28c::2/64
Available DNS Resolvers
Anycasted IPv6 Caching Nameserver:2001:470:20::2
Anycasted IPv4 Caching Nameserver:74.82.42.42
Routed IPv6 Prefixes
Routed /64:2001:470:28:28c::/64
Routed /48:2001:470 da2::/48 [X]

/interface 6to4 add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no local-address=37.204.21.xx mtu=1280 name=sit1 remote-address=216.66.80.90
/ipv6 route add comment="" disabled=no distance=1 dst-address=2000::/3 gateway=2001:470:27:28c::1 scope=30 target-scope=10
/ipv6 address add address=2001:470:27:28c::2/64 advertise=yes disabled=no eui-64=no interface=sit1

куда что еще прописывать и какой адрес


разобрался всё работает

385. Джамаль, 05.12.2012 15:03
zawaloff
разобрался всё работает

Ну так напиши сюда, а мы это в фак поместим, чтоб было потом чем руководствоваться

386. zawaloff, 05.12.2012 17:03
Джамаль
ok щас подготовлю и выложу вечером ближе к ночи (так что-бы всем понятно было)

Добавление от 05.12.2012 21:12:

В общем так вот то что я получил от HE

IPv6 Tunnel Endpoints
Server IPv4 Address: 216.66.80.90
Server IPv6 Address: 2001:470:27:28c::1/64
Client IPv4 Address: 37.204.21.xx
Client IPv6 Address: 2001:470:27:28c::2/64
Available DNS Resolvers
Anycasted IPv6 Caching Nameserver: 2001:470:20::2
Anycasted IPv4 Caching Nameserver: 74.82.42.42
Routed IPv6 Prefixes
Routed /64: 2001:470:28:28c::/64

естественно адреса у вас будут другие. Далее НЕ сгенерировал :
/interface 6to4 add comment="Hurricane Electric IPv6 Tunnel Broker" disabled=no local-address=37.204.21.xx mtu=1280 name=sit1 remote-address=216.66.80.90
/ipv6 route add comment="" disabled=no distance=1 dst-address=2000::/3 gateway=2001:470:27:28c::1 scope=30 target-scope=10
/ipv6 address add address=2001:470:27:28c::2/64 advertise=yes disabled=no eui-64=no interface=sit1

Но следует учесть что это то что он знает об вашей конфигураци , но он же не знает через какой интерфейс вы общаетесь с миром и как вы его обозвали
поэтому адрес для него мы должны присвоить сами .а присваиваем мы ему адрес из сетки Routed /64: 2001:470:28:28c::/64
у меня это так
/ipv6 address add address=2001:470:28:28c:1::1/64 advertise=yes interface=bridge-local
после этого Mikrotik сам пропишет шлюз для соединения если нет то его надо будет создать
и вот итог


/ipv6 address> print
Flags: X - disabled, I - invalid, D - dynamic, G - global, L - link-local
# ADDRESS FROM-POOL INTERFACE ADVERTI
0 G 2001:470:27:28c::2/64 sit1 yes
1 G 2001:470:28:28c:1::1/64 bridge-l... yes
2 DL fe80::25cc:1561/64 sit1 no
3 DL fe80: 6ca:6dff:fe57:1031/64 ether1-wan no
4 DL fe80: 6ca:6dff:fe57:1032/64 bridge-l... no

/ipv6 route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, o - ospf, b - bgp, U - unreachable
# DST-ADDRESS GATEWAY DISTANCE
0 A S 2000::/3 2001:470:27:28c::1 1
1 ADC 2001:470:27:28c::/64 sit1 0
2 ADC 2001:470:28:28c::/64 bridge-local 0

всё работает

387. netdmk, 05.12.2012 21:18
Есть три микротика (3 сети в разных зданиях), есть между ними sstp тунелли и динамическая маршрутизация OSPF. все сети маршрутируемы. Есть в ip телефония и с завидной регулярностью пропадает голос между телефонами с разных сетей, причем звонок проходит, но абоненты друг-друга не слышат, потом это все восстанавливается и все хорошо, потом опять пропадает. в логах тишина, маршрутизация в эти участки времени не меняется. Кто может подсказать в чем может быть проблема.????

К этой теме 06.12.2012 08:20 moderator-Zdpn подклеил тему "Mikrotik rb2011uas-2hnd-in свитч + wi-fi точка доступа" (автор: DrBraXo)

389. DrBraXo, 06.12.2012 01:51
Здравствуйте.
Вопрос, наверное, простой, зараннее прошу прощения, если не увидел ответа в поиске.
Пытался разобраться сам - знаний не хватило.

Суть задачи следующая - имеется компьютер, играющий роль сервера - на нем активно подключение PPPOE, работает DHCP и DNS сервер, и через вторую сетевую карту раздается интернет во внутреннюю сеть.
Раньше к этой второй сетевой карте был подключен обычный ADSL роутер, только ADSL порт был пуст, работал как маршрутизатор и беспроводная точка доступа. Адреса сам не раздавал - получал всё с сервера.

Как настроить всё так же на Mikrotik rb2011uas-2hnd-in понять не могу.
Необходимо, чтобы он не являлся DHCP сервером и не создавал еще одну подсеть, а раздавал адреса подключенным к нему компьютерам те, что выдает сервер, чтобы сервер и эти компьютеры в итоге были в одной подсети 192.168.0.1/24

Пробовал разобраться с DHCP Relay, DHCP Client и так далее - не вышло. На обычном роутере всё работало и не зависело даже от того, к какому порту подключен сервер - адреса все равно правильно раздавались и на карте сети роутер не отображался как узел.

Буду благодарен, если кто поможет разобраться с RouterOS, если это конечно возможно реализовать.

390. Джамаль, 06.12.2012 12:01
DrBraXo

Интересно, каков был тогда смысл покупать маршрутизатор, если вам нужна точка доступа?

Вам надо просто объединить всё в бридж. Тогда широковещательные запросы к DHCP-серверу будут проходить сквозь микротик без изменений

391. altuser, 06.12.2012 12:05
DrBraXo
Как настроить всё так же на Mikrotik rb2011uas-2hnd-in понять не могу.
Необходимо, чтобы он не являлся DHCP сервером и не создавал еще одну подсеть, а раздавал адреса подключенным к нему компьютерам те, что выдает сервер, чтобы сервер и эти компьютеры в итоге были в одной подсети 192.168.0.1/24

А зачем так? Пусть микротик всеми этими делами и заведует.

392. Sergey Gavrilenko, 06.12.2012 15:25
Помогите запустить 3G модем.
Модем Huawei1550.

РРР Клиент
код:
 
0 R name="ppp-out1" max-mtu=1500 max-mru=1500 mrru=disabled port=usb4
data-channel=2 info-channel=2 apn="xl.kyivstar.net" pin="1111" user=""
password="" profile=ppp-Huawei1550 phone="" dial-command="ATDT"
modem-init="" null-modem=no dial-on-demand=yes add-default-route=yes
use-peer-dns=yes keepalive-timeout=30 allow=pap,chap,mschap1,mschap2

РРР Профайл

код:
 1   name="ppp-Huawei1550" use-mpls=default use-compression=default
use-vj-compression=default use-encryption=no only-one=default
change-tcp-mss=default



При поднятом параллельно PPPOE (adsl)
в логе получаем всего две строчки
код:

16:47:32 async,ppp,info ppp-out1: initializing...
16:47:33 async,ppp,info ppp-out1: waiting for packets...

И дальше тишина...

Если положить PPPOE интерфейс , то тогда получаем в логе
код:

16:48:36 async,ppp,info ppp-out1: initializing...
16:48:36 async,ppp,info ppp-out1: waiting for packets...
16:48:37 async,ppp,info ppp-out1: dialing...
16:48:38 async,ppp,info ppp-out1: initializing modem...
16:48:39 async,ppp,info ppp-out1: dialing out...
16:48:40 async,ppp,info ppp-out1: initializing modem...
16:48:41 async,ppp,info ppp-out1: dialing out...
16:48:42 async,ppp,info ppp-out1: initializing modem...

И так до бесконечности....

Хотя везде написано что это модем должен запустится без всяких проблем.


на info модем отзывается

код:
[gavrik@V65 Router] /interface ppp-client> info
number: 0
status: ready
pin-status: no password required
functionality: full
manufacturer: huawei
model: E1550
revision: 11.608.14.11.174
serial-number: 352-----------
current-operator: 25503
access-technology: GSM compact
signal-strengh: -51 dBm
frame-error-rate: n/a

393. Джамаль, 06.12.2012 16:16
Sergey Gavrilenko
dial-on-demand=yes

Поставьте в no

394. gamespb, 06.12.2012 16:34
Sergey Gavrilenko

data-channel=2 info-channel=2
когда я пробовал у меня эти значения только 0 или 1 могли принимать.
pin="1111"
и пин у меня был отключен.
на RB751 с версией микротик 5.7 точно эта модель e1550 (но в России) - работает.
и как сказано выше
Джамаль
dial-on-demand=no

тогда соединяется

395. Sergey Gavrilenko, 06.12.2012 18:18
gamespb
Джамаль
Спасибо, все заработало, только
1. Без Пина, с ним не в какую.
2. с data-channel=0 info-channel=2 и dial-on-demand=no

396. timsoid, 07.12.2012 02:22
Подскажите, есть 2 интерфейса, ван и лан, поднят DHCP сервер, как сделать что бы при подключении по LAN клиенты получали редирект на определенный сайт, а дальше как обычно сидели бы в инете? Спасибо!

397. altuser, 07.12.2012 03:39
Ну так как мой вариант с решением проблемы блокировки клиентов ( Mikrotik RouterOS. Применение, настройки, возможности. Обмен опытом. (часть 2), #383 (http://forum.ixbt.com/topic.cgi?id=14:57592:383#383) )?
Совсем не жизнеспособен? Самому интересно.

398. Gesha24, 07.12.2012 03:52
timsoid
как сделать что бы при подключении по LAN клиенты получали редирект на определенный сайт, а дальше как обычно сидели бы в инете? Спасибо!
http://forum.mikrotik.com/viewtopic.php?f=10&t=51199 - вот вроде что-то типа такого.

399. zawaloff, 09.12.2012 04:49
кто нибудь на 2011 usb подключал . У меня при использовании USB_OTG от самсунга никаких движений . и какой там точно шнур нужен

400. dim-soft, 09.12.2012 10:10
zawaloff
кто нибудь на 2011 usb подключал . У меня при использовании USB_OTG от самсунга никаких движений . и какой там точно шнур нужен
Я подключал, использовал шнур из магазина DNS "Кабель Prolife для мобильных устройств (OTG, USB-host)", правда пришлось его немного подрезать, очень широкая изоляция, но снял ножом по 0,5 мм и все ОК

401. zawaloff, 09.12.2012 10:31
dim-soft
мне тоже пришлось подрезать
я со всем разобрался всем спасибо

402. dim-soft, 09.12.2012 12:43
Подскажите про mesh по Ethernet
Если у меня работает mesh между точками и клиентами, то "отпадывают" проводные клиенты и интернет

403. timsoid, 09.12.2012 14:48
цитата:
zawaloff:
кто нибудь на 2011 usb подключал . У меня при использовании USB_OTG от самсунга никаких движений . и какой там точно шнур нужен
спасибо, попробовал, вроде заработало, надо под нагрузкой првоерить.

Подскажите пожалуйста как решить еще одну проблему.

В 1 порту WAN приходит интернет. В 2 порту офисная сеть, поднят DHCP сервер например с адресом 10.10.10.0. На 3 порту гостевой WiFi тоже с DHCP сервером, 20.20.20.0.
Что бы был интернет прописал в NAT Chain – srcnat, вкладка Action – masquerade.

Проблема в том что с гостевого WiFi можно пинговать офисные машины, как мне полностью оградить офисную сеть от гостевого WiFi? Спасибо!

404. Biochemist, 09.12.2012 16:26
Я думаю, все завистит в каком режиме у тебя поднят WLAN. Если он ap-бридж - то, конечно, у них будет общая сеть, даже при разных присваеваемых диапазонах адресов. Думаю, надо смотреть в вики примерно вот сюда (http://wiki.mikrotik.com/wiki/Manual:Wireless_Station_Modes#Mode_station) . Я так понимаю, в режиме station он не бриджует траффик в сам девайс (вне зависимости от настроек дефолтного бриджа). Кмк это и есть изолированный режим, при котором вне зависимости от настроек бриджа интерфейса wlan траффик в девайс на внутренние порты не идет.

А вообще, вариантов решений несколько, как мне видится. По мимо изменения режима ap наверняка можно исключать wlan из дефолтного брижда, либа в его настройках включать NAT и firewall и дропать все пакеты из wlan в адресное пространство lan.

405. timsoid, 09.12.2012 16:59
цитата:
Biochemist:
Я думаю, все завистит в каком режиме у тебя поднят WLAN. Если он ap-бридж - то, конечно, у них будет общая сеть, даже при разных присваеваемых диапазонах адресов. Думаю, надо смотреть в вики примерно вот сюда (http://wiki.mikrotik.com/wiki/Manual:Wireless_Station_Modes#Mode_station) . Я так понимаю, в режиме station он не бриджует траффик в сам девайс (вне зависимости от настроек дефолтного бриджа). Кмк это и есть изолированный режим, при котором вне зависимости от настроек бриджа интерфейса wlan траффик в девайс на внутренние порты не идет.

А вообще, вариантов решений несколько, как мне видится. По мимо изменения режима ap наверняка можно исключать wlan из дефолтного брижда, либа в его настройках включать NAT и firewall и дропать все пакеты из wlan в адресное пространство lan.
Микротик без WiFi, в 3 порт просто подключено несколько точек через свитч все настройки клиенты получают от микротика.

406. Ёжъ, 09.12.2012 20:45
Гуру, прошу помощи!

МГТС - как ИСП. ADSL-модем в режиме бриджа, за ним RB2011, который и "поднимает" PPPoE-сессию. До недавнего времени на этом соединении я получал публичный (реальный "белый") IP-адрес. С вечера пятницы "электричество кончилось" - IP стали приватными (10/8), то есть ИСП включил маскарадинг (снаружи я определяюсь ка 37.*.*.*). Естественно отпал доступ извне к моему оборудованию, но возникла ещё одна проблема: периодически жене нужно по RDP зайти к себе на работу, для чего сначала поднимается VPN-соединение (с шифрованием). Так вот, теперь VPN - не устанавливается. Обламывается сразу с 619'й ошибкой. При этом если подключиться через Yota - всё нормально.

Вопрос такой: как я могу убедиться, что проблема не в моём RB2011? (В логах чисто, количество дропнутых пакетов в правилах файервола не возрастает при запуске соединения.)

407. gamespb, 09.12.2012 21:14
Ёжъ

Вопрос такой: как я могу убедиться, что проблема не в моём RB2011?
так ответ выше:

IP стали приватными (10/8)

как вариант оплатить(если возможно) "реал" ИП МГТСу и жить на (скорее всего другом) "реальном" ИПе
Или оплатить сервису VPN стороннему.
Или перейти на ipv6 внутри сети"teredo"+ddns(кто знает есть такой для ipv6?)(опять же если МГТС не противится, и работа жены).

408. Ёжъ, 09.12.2012 21:44
gamespb, да ЩАЗС! Услуги "real IP" у наших телефонистов нет, а кому сильно нать - предлагают подключаться по тарифам для юриков (от щедрот выдаётся подсеть /30) - а платить пару косарей в месяц за пару мегабит мне что-то как-то... Ну, понимаете, да?

409. PapaBear, 09.12.2012 21:50
просто поснифьте[wireshark в винде и просто СОТНИ софтин для UX-ов] траффик с обоих концов желательно. чего гадать-то ? с обоих концов и с роутера(там и встроенный снифер есть) и в оффисе. у мну есть подозрение, что с вводом еще 1-го NAT-а, МТС - расширила список портов, которые "рубит" на входе/выходе.
соотв - попробуйте будет ли RDP - проходить по другому порту[обычно провайдеры не заморачиваются с DPI для таких целей - накладно, а вот номер порта - дешево и сердито. или GRE порубят в капусту, бывает].
в этом случае - мб прийдется мигрировать на ДРУГОЙ VPN :[
и/или провайдера(собразно головной боли и затратам времени/сил, соотв].

p.s.
часть софта[и системного и сервисов и толстых пакетов] не воспринимает "сурьезно" приватные сети, зарезервированные за локалкой. хз как с вашим вариантом VPN и RDP[Microsoft небося ? погуглите их MSDN форум или прямо обозначьте грабли - мб уже было], но некоторые софтины можно заставить изменить это отношение, путем танцем с бубном(ковырянием конфигов всего-лишь порой), а некоторые - совсем никак, увы.
идея с IPv6 - здравая, если VPN[и все что за ним]не используется для работы, тк принадлежность, лояльность и секьюрность IPv4<-->IPv6 брокеров - неопределенна.
вот когда будет нативный IPv6 - тогда ДА !!
опять-же для этого как раз - CISCO и Microsoft совместно(лет 7 назад ? больше?)разработали NAT-T, поверх которого б-во "косячивших" программ работает. и AH ходит и хитрые/параноидальные софтины )
За это сообщение сказали спасибо: Ёжъ

410. altuser, 10.12.2012 01:29
Ёжъ
Так вот, теперь VPN - не устанавливается. Обламывается сразу с 619'й ошибкой. При этом если подключиться через Yota - всё нормально.
Как вариант решения проблемы, имхо: поставить йоту вторым провом и настроить рутинг на нужные адреса только через нее.
Можно попробовать использовать другие порты, как уже посоветовали для VPN.
Можно еще попробовать позвонить прову и попытать его на предмет решения косяков. Правда как найти того, кто с этим поможет - даже не знайю... В коллцентре явно не помогут.

411. gamespb, 10.12.2012 01:34
Ёжъ
gamespb, да ЩАЗС! зачем на меня это выплёскивать?

412. Biochemist, 10.12.2012 01:53
А в качестве быстрого временного решения предложите супруге юзать тимвивер, пока не разрешиться ситуация с NAT-ом...

Добавление от 10.12.2012 01:56:

timsoid
Микротик без WiFi, в 3 порт просто подключено несколько точек через свитч все настройки клиенты получают от микротика.

Это сути не меняет, для микротика нет разницы, что за тип интерфейса, если речь идет о маршрутизации. Ему что ether3, что wlan - все, суть, интерфейсы. В любом случае рецепт примерно тот же - вытащить требуемый порт из бриджа.

413. Ёжъ, 10.12.2012 06:52
gamespb, извини.

Biochemist, тимвьюер, судя по отзывам - тоже того... не работает.

414. Biochemist, 10.12.2012 09:20
По отзывам, или по опыту? Он коннектится через двойной NAT, потому что он он насерваке внешнем коннектит клиента и сервера. Во всяком случае, я через двойной нат с ним работал.

415. Ёжъ, 10.12.2012 10:26
Biochemist, я сам его не использую, поэтому подтвердить не могу. Однако в теме про МГТС народ, кто пользует и так же "попал под раздачу" жалуется, что не работает, ни Teamviewer, ни Hamachi.

416. gamespb, 10.12.2012 14:47
timsoid

Проблема в том что с гостевого WiFi можно пинговать офисные машины, как мне полностью оградить офисную сеть от гостевого WiFi? Спасибо!
на вкладке фильтры их и использовать - запретить форвард между сетками, и уточнив правило маскарада(что бы маскарадил только к ISP)

417. xxxdnua, 11.12.2012 00:44
Уважаемые подскажите, кто то сталкивался с настройкой шейпера при 3 ADSL соединениях? Аппарат 450G настроен на 3adsl, модемы в режиме бридж, микротик настроен в баланс по PCC (src address). За микротиком 14 машин. Задача: рациональное использование каналов( каждый~ 10-12mb). За ранее с благодарностью к Вам.

418. dalex77, 11.12.2012 16:49
написано 07.09.2012 21:30
Доброго времени суток. Подскажите что может вызывать не периодическую перезагрузку на RB 751 именно при использовании wifi. До этого полгода всё работало отлично, 2 провайдера и небольшая сеть из 10 компов. А сейчас купил телефон с wifi и понял что при его использовании, роутер перегружается и есть какая то зависимость от нагрузки, заметил что торрент чаще может её вызвать, но опять таки только при вкл wifi скачивании через торрент именно на телефоне. Подкидывал ноут соседский тоже самое, при нагрузке а бывает и просто при просмотре страниц, микротик уходит в ребут...
[q]Джамаль
Питание попробуйте заменить. Под нагрузкой может просаживаться. Можно брать любой блок питания с напряжением 5 вольт и током не менее 1.5 ампер (больше - лучше, бо греться меньше будет)

Джамаль, спасибо за подсказку с блоком питания. Может поздновато ответил, но вдруг у кого тоже такая проблема возникнет. В общем поставил я блок питания от Nano Bridge, он 24 вольта и питает по poe, там как раз на боарде 1 порт рассчитан на poe (блок достался после того, как кто то спёр мой nano bridge на крыше, и не навернулся же он оттуда, гад, сорри за оффтоп). Поставил я этот блок и сигнал стал получше, и главное пропали перезагрузки при увеличении нагрузки именно по wifi.

419. PapaBear, 11.12.2012 21:24
помимо нехватки питания(или влияния качества его)перегрев не редкость, особенно у моделей с "разогннаными" процами вроде 450g или 751g.
и p2p-траффик и вайфай - увеличивают нагрузку И на проц и на цепи питания[хотя наиболее выпукло видно на их наружных[компактных] станциях с 1.6Вт-2Вт выхлопом]. пылится в бытовых условиях - тоже довольно интенсивно начинка ухудшая охлаждение и создавая другие нехорошести.
мона радиаторы(если руки прямые и гарантия закончилась) сменить поствив более серьезные(но не слишком массивные) на тремоклей, аккуратно очистив чип от терможвачки и обезжирив, после высыхания. но б-ву проще(судя по моим знакомым)поставить небольшой пропеллер снаружи роутера["на обдув"] чем копаться в нем, да и вообще открывать его.
новые процы во всех роутерах (где 74k и выше) аж до 1.5 ГГц в состоянии на бордах с нормальным питанием и обдувом.
тут еще одна проблема, стандартная, увы: в бюджетных устройствах, в эпоху 450g - не использовали ни полимерный диэлектрик в оксидных ни танталовые кондеры, а старые - были не очень термостойки и очень деградировали со временем(особенно те что на вольтаж выше 5в, те почти все используемые). поэтому "народый ремонт" этой серии(в гугле увидел - немного обалдел от частоты/популярности -) - состоит, как с матплатами компутерными, в перепайке оксидных кондеров в цепях питания на заведомо исправные.
если боитесь сами - попросите знакомого радиомонтажника или радиолюбителя перепаять. или сервисмэна, какого-нить.

420. dalex77, 12.12.2012 11:45
Спасиб, думаю кулерок прикрепить точно ума хватит.

421. PapaBear, 13.12.2012 10:30
цитата:
dalex77:
Спасиб, думаю кулерок прикрепить точно ума хватит.
про конденсаторы - на примере старой(но заслуженной и все еще используется)450g-модели.
http://www.lanmart.ru/blogs/repair_mikrotik_rb450g/
в этом блоге(корпративном, торгующих/инсталлирующих) - доступно, с картинками =)
время увы, течен и компоненты - не вЕчны.

p.s.
как временное решение(до появления замены в виде апгрейда 2011 а аналог с процом ProAptiv(или хотя-бы 1074kf) большей ТЧ и удвоений(хотя-бы!)ОЗУ) - попробуйте ограничить кол-во pps с интерфейсов/подсетей простыми Queues в эдак 100-200 и твикнуть p2p-клиенты, чтобы без особого фанатизма соединения генерили(максимальное ограничьте хотя-б). также поможет от зас№"%я malware-ом(нет-нет да просочится и в домашние узлы и в корпоративные) сетей.
потестил 2011 - вроде тянет. но у мну интернет - не особо.
что будет у людей с 80Мбпс-150Мбпс тарифными планами и несколькими компами за роутером - сложно сказать. если на мелкопакетном(даже без фильтрации/билинга и проч кушающего проц сатурируется примерно 80Мбпс, то нарное нуна чтонить "посурьезнее". CCR домой покупать - и дороговато и странновато(мягко говоря , а вот "что-нить посередке" - пора бы уже, IMHO. 1 SFP+ слот под аплинк, 5-8 Гигабитных медных портов при нормальном проце, озу и рудиментарном(более или менее, в разных моделях) вайфай(требовательные - поставят Хорошую AP от MT) - закроют проблему "хорошего SOHO-роутера", почти полностью )

422. gamespb, 13.12.2012 12:39
PapaBear

новые процы во всех роутерах (где 74k и выше) аж до 1.5 ГГц в состоянии на бордах с нормальным питанием и обдувом.
подскажите где о разгоне почитать подробней

423. Ёжъ, 13.12.2012 13:23
К'хм... Мне тут возможно придётся сгородить странную схему из пары RB (2011 + 751) жизненный цикл всей конструкции - 4 часа, время на подготовку - 30 минут.

Диспозиция: две локации, соединённые собой по wi-fi в варианте прозрачной локалки. В точке A (RB2011): 2-3 проводных клиента и USB-HDD доступный отовсюду по SMB. В точке B (RB751): 1 проводной клиент и USB 3G-модем.

Условия таковы, что wi-fi связь может быть неустойчива. основная работа будет происходить в точке A (поэтому туда и 2011'й) поэтому работа этого узла прерываться не должна, прерывание связи с интернетом - некритично. Поэтому я так мыслю, что DHCP-сервер должен быть в точке A. Да и точка доступа тоже, наверное, там же. В точке B получается нужно взвести либо wi-fi клиента, либо настроить её как WDS (удлинитель wi-fi сети). Оба варианта для меня загадочны, жду подсказок. Получается, что для выхода в интернет я должен в качестве гейта указать RB751 в точке B?

424. gamespb, 13.12.2012 14:09
Ёжъ
usb hub в 2011 и диск для самбы и модем сразу в него. на 751 wifi в клиента пусть сети соединяет(тем более что всего 1 клиент)

425. Ёжъ, 13.12.2012 14:23
gamespb, есть серъёзное подозрение, что в месте установки 2011'го 3G работать не будет... Поэтому и такая перверсия возникает.

426. PapaBear, 13.12.2012 16:47
цитата:
gamespb:
PapaBear

новые процы во всех роутерах (где 74k и выше) аж до 1.5 ГГц в состоянии на бордах с нормальным питанием и обдувом.
подскажите где о разгоне почитать подробней
вы про опыт или про теорию ?
с конкретно 2011 пока мало экспериментировали. их вообще, продано, пока - немного.
если не жалко свой экзеймпляр(или купите специально еще один) - можете, после замены радиатора на более основательный и/или добавления кулера к нему - попробовать в System/Routerboard - крутануть частоту проца. до 700Мгц вроде мона через WebFig/WinBox, на моем. но тут может в цепи питания упереться, прийдется и их дорабатывать. схем никто не выкладывал, принципиальных, так что разбирательство/возня с этим всем в плане обьем усилий - может встать примерно в цену CCR
я свой - мучать не буду. такой модный роутер получился, пусть и с красной мордой

"родной" презенташка на серию процов
https://www.mips.com/products/processor-cores/mips32-74k/
субтильный даташит - после регистрации.
мб после покупки лицензии на MIPS - все доки дадут )
MD00496-2B-74KC-DTS-01.07.pdf вот было почитать занимаетльно крайне
MD00652-2B-74K-WHP-01.00.pdf и MIPS74Kpaper.pdf тоже прикольные презенташки =)
тут как с остальными процами - врятли чип, способный работать на 1.5ГГц - упакуют в бюджетный корпус для работы на в 2.5х меньших ТЧ. хотя, с другой стороны, при хорошем выходе годных - дороже сортировать будет =)
скоро они[Atheros] свою линию на TSMC - перетащат на 28нм вафли и будет веселее. им, нам, производителям роутеров )
в целом они изрядно поработали над повышением IPC и снижением латентности. и OoO вернули для этого и длину конвеера оставили разумно короткой и DSP с FPU в f-моделях накатили и кэш пободрее с шиной )

427. DC, 13.12.2012 20:57
Доброго времени суток
Помогите решить задачу блокировки Skype средствами Mikrotik
C пол "пинка" у меня не получилось (ограничивая только трафик по портам) покопавшись немного на просторах рунета нашел http://www.mikrotik.com/download/l7-protos.rsc вот это.
Помогите разобраться с данным конфигом т.к. собственных знаний не хватает ( к тому же нет возможности его потестить, а резать по "живой сети" не очень грамотно)
или возможно у кого то есть более простой путь решения данной задачи

Заранее благодарен

428. dim-soft, 14.12.2012 06:42
PapaBear
попробовать в System/Routerboard - крутануть частоту проца. до 700Мгц вроде мона через WebFig/WinBox, на моем
750 в 2011UAS, у меня температура подросла на 2 градуса

429. PapaBear, 14.12.2012 10:06
цитата:
dim-soft:
PapaBear
попробовать в System/Routerboard - крутануть частоту проца. до 700Мгц вроде мона через WebFig/WinBox, на моем
750 в 2011UAS, у меня температура подросла на 2 градуса
дык я пока не нашел где глянуть, ЧЕМ оно мониторит.
то-ли температура внутри роутера, то-ли датчик чипа.
кроме того - теплоотвод В ЦЕЛОМ должен быть, тк от повышений температуры - другие компоненты тоже могут страдать(там и полимеры и проч, да и безсвинцовые припои - чесслово не фонтан).
плюс как на компутерных компонентах - слабо нагруженные цепи питания, после издевательств - могут "не поятнуть" возросшую нагрузку, плюс внешний БП может понадобится "с запасом" =)
по-хорошему, все это нужно делать, постоянно, мониторя и состояние питания(идеально не в 1 точке) и температуры и чипа и среды и цепей питания, по-шагам.
неофициально на MIPS-девелоперском форуме мне один дядька сказал, что до 800-900 должны все чипы 74 работать(в любом корпусе и устройстве) а вот выше - много тонкостей.
но я думаю, особого фанатизма тут не надо.

430. dim-soft, 14.12.2012 10:10
PapaBear
особого фанатизма тут не надо
неделю 42°С на частоте 750 МГц

431. PapaBear, 14.12.2012 10:13
цитата:
dim-soft:
PapaBear
особого фанатизма тут не надо
неделю 42°С на частоте 750 МГц
если вы не "побаловаться" а насовсем хотите оставить - присобачьте хотя-бы крохотный кулер к нему(80мм или хотя-бы 60мм .
если у вас кейс - не "родной" а пластмаска китайская(те сами собирали из борды, кейса и БП), то мона прямо с вандализмом, в верхнюю крышку, но это не мой фень-шуй[не люблю портить труд других].
в целом, производительность это поднимет, я думаю - не особо драматично )
как например на младших 750 или 751 или тем более был прыжок от 450 к 450g с(а тем более полуофиц разгон последних до 800
если у вас много не накручено в файрволе и роутинге и чудесатого траффика с малваре - нету - смысла особого нету(если конечно не сидите на 100Мбпс канале).

432. dim-soft, 14.12.2012 10:16
PapaBear
если вы не "побаловаться" а насовсем хотите оставить - присобачьте хотя-бы крохотный кулер к нему
А зачем ? на 600 была температура 40°С, IMHO 2°С погоды не сделают или .... ?

433. PapaBear, 14.12.2012 10:20
цитата:
dim-soft:
PapaBear
если вы не "побаловаться" а насовсем хотите оставить - присобачьте хотя-бы крохотный кулер к нему
А зачем ? на 600 была температура 40°С, IMHO 2°С погоды не сделают или .... ?
да фиг его знает, Какую ИМЕННО из температур этот датчик мониторит.
в целом, даже 40 для устройств без оксидных кондеров, нормально распаяных и покрытых не слишкмо бюджетным лаком, без электромеханики или микромеханики(хотя последняя шагнула и в этом плане) - приемлемо, помимо теплоотвода цепи питания могут начать греться(их-то оно точно не мониторит) и из-за этого и/или нехватки ампеража внешнего БП - начнутся просадки и нестабильность или не дай бог отказы.
энтузиасты из числа людей небедных - могут поэкспериментировать и купить пару 2011UAS для терзаний.
в теории с заменой радиатора и термоинтерфейса - мб и вдвое быстрее заработает(про 1.5ГГц как-то даже не верится, но хз).
но если по уму, не спеша делать, то это - МОРЕ работы(и инструмента измерительного хотя бы немного)/времени.

434. dim-soft, 14.12.2012 10:33
PapaBear
да фиг его знает
Я разогнал 2011 после того как сравнил тест скорости моего провайдера L2 VPN до офиса на 2011 и на atom 2500 - атом выдал честные 100 мегабит, а 2011 только 60

435. PapaBear, 15.12.2012 08:24
а больше 100 Мегабит ваш пров не может ?(прсто интересно, сколько бы вытянул Атом).
нудк роутер бюджетный =)
более слабые асусы и длинки с нетгирами - разА в полтора больше стоят а то и вдвое )
те, дай бог - если 18-35Мбпс прокачают, несмотря на это.
в целом и цена на CCR - почти SOHO за младшую модель ;=)
вот только 12 портов и 4 аплинка домой многовато.
помимо цены, слегка )
CCR о 5 портов, один слот под аплинк-модуль(желательно SFP+ с обратной совместимостью с SFP), одногиговый модуль(в CCR - SODIMM ноутбучные) и на четверть - меньшая ТЧ проца = была бы душевная замена и 2011 и 1100. еще рудиментарный вайфай добавить(мона как в HnD-In а мона как 751x], все-ж SOHO )

p.s.
пров с L2 VPN - изврат.
надеюсь хотя бы криптография в VPN у них есть.
иначе - профит от такого "VPN" - лишь провайдеру, а Вам - одна лишь головная боль и непроходимость этого горе-VPN.

436. DC, 15.12.2012 21:30
цитата:
DC:
Доброго времени суток
Помогите решить задачу блокировки Skype средствами Mikrotik
C пол "пинка" у меня не получилось (ограничивая только трафик по портам) покопавшись немного на просторах рунета нашел http://www.mikrotik.com/download/l7-protos.rsc вот это.
Помогите разобраться с данным конфигом т.к. собственных знаний не хватает ( к тому же нет возможности его потестить, а резать по "живой сети" не очень грамотно)
или возможно у кого то есть более простой путь решения данной задачи

Заранее благодарен
Розжился RB750G плюхнул туда ROS 5.22
Добавил правило в L7 c конфига: l7-protos.rsc name=skypeout и name=skypetoskype
В фаер добавил правила:
add action=drop chain=forward disabled=no layer7-protocol=SkypeOut
add action=drop chain=forward disabled=no layer7-protocol=Skype
не работает ((
где подкрутить? подскажите

437. dim-soft, 15.12.2012 21:37
PapaBear
а больше 100 Мегабит ваш пров не может
пров с L2 VPN - изврат.
У меня отдельно 100мб ethernet с pppoe 100мб интернетом и отдельный провод с 100мб L2 VPN до других моих офисов поверх транспортной сети провайдера, без авторизации мои VLAN прописаны на всех коммутаторах
atom отдельно тестировал btest - 150 мегабит с разбором пакетов и соединений

438. Sher-khaN!, 15.12.2012 21:38
DC
Судя по этой (http://wand.cs.waikato.ac.nz/content/case-against-l7-filter) статье, L7 нормально классифицирует только UDP трафик Skype.

439. dim-soft, 15.12.2012 21:41
PapaBear
CCR о 5 портов
вопрос как у них с многоядерностью ? под 5.22 мой атом кушает в пике 25% - т.к 2 ядра + гипертрейдинг, выключал второе ядро и HT загрузка 100% но та же скорость

440. PapaBear, 15.12.2012 22:59
150Мегабит - совсем неплохо для атома!
идеально конечно - слезть хотя-бы на IB-целероны(не помню модели номер у интела)или младшие чипы AMD, на роутере. разница в РАЗЫ :[
цитата:
dim-soft:
PapaBear
CCR о 5 портов
вопрос как у них с многоядерностью ? под 5.22 мой атом кушает в пике 25% - т.к 2 ядра + гипертрейдинг, выключал второе ядро и HT загрузка 100% но та же скорость
лучше чем у атома.
поставляемые модели ССR- основаны на 16-ти ядерных и 32-ядреных чипах Tilera.
запланирован выпуск чипов емкостью до тысячи ядер[в следующем году].
основные потребители, помимо поставщиков сетевого оборудования[роутеров и IPS, в осн] - министерство обороны США(радары/сонары и обработка картинок из космоса(не только Земли)).
https://en.wikipedia.org/wiki/Tilera
http://projects.csail.mit.edu/angstrom/
http://venturebeat.com/2011/07/25/facebook-study-sho…energy-efficient/
для 100-ядерного заявленно 55W TDP при текущем техпроцессе. по-моему - совсем неплохо для 64-бит OoO проца с FPU и нормальным[быстрым]внутренним интерконнектом.
у Китайцев: похожий(идейно, но реализованный с слабым интерконнектом)Godson3T 32-битный - до 64 ядер будет,
http://www.eetimes.com/design/eda-design/4219256/Hot…zle-of-many-cores
http://jcst.ict.ac.cn:8080/jcst/EN/article/downloadA…e=PDF&id=9415
а 64-битный Godson 3C - до 16 ядер.
https://en.wikipedia.org/wiki/Dawning_Information_In…stry#Dawning_6000
http://english.peopledaily.com.cn/90001/90776/90881/6543567.html
https://en.wikipedia.org/wiki/Loongson

это к вопросу о том "что будет если на бюджетные деньги не заниматься распилом/покупкой Xeon-ов" с НИОКР/R&D в ИТ Страны.
даже Барселонский суперкомпьютерный центр - строит на Exynos 5[ARM APU Самсунга], свой супер.

а про "многоядерность вообще", применительно к 2011 - у 74kc(модель без плавающей математики в кремнии), в нем использованном, есть "старший брат" 1074k[в обоих вариантах], многоядерный.
про 1074/74 не скажу, но следующие ядра, Aptiv-Pro - заявлены 4х-ядерными с поддержкой аналога HT[два потока на ядро], для лучшей сатурации проца софтом.

p.s.
блокировать что-то НАДЕЖНО - нарное только коробками с DPI нуна :/
это СОВСЕМ другие деньги, увы. и то - не всегда.
ибо не забываем, что Skype-протокол - ШИФРОРОВАННЫЙ, как и множество бизнесс-приложений(от клиент-банков до чудных CIS), игрушек компьютерных и приставочных, телеметрия с бытовых с интернет-соединениями итд итп.

441. DC, 15.12.2012 23:32
цитата:
Sher-khaN!:
DC
Судя по этой (http://wand.cs.waikato.ac.nz/content/case-against-l7-filter) статье, L7 нормально классифицирует только UDP трафик Skype.

Есть какой то способ убить skype в таком случае средствами микротика? распознавая его трафик и "убивая его" ?
проблема то в том что сам по себе скайп очень "живуч"
P2P, 80, 433 ... на любом из них он будет работать без проблем .. и убивать просто порты или IP к которым он "лезет" не вариант ...

442. gamespb, 16.12.2012 02:43
DC

убивать просто порты или IP
зачем порты? достаточно IP.
те на который скайп авторизуется

443. PapaBear, 16.12.2012 04:12
да, серваки Майкрософт скайповые блочить - проще.
но не факт что оно не выживет в будующем и после этого
облачные технологии с востребованными ресурсами с той-же морды будут )

444. thebooblik, 16.12.2012 13:13
Ребят, подскажите как в mangle по mac-адресу метить клиентские пакеты пакеты? В Scr.MAC Address пишу mac клиента и никакого результата..
IP динамические у клиентов.

445. gamespb, 16.12.2012 15:04
PapaBear тогда на уровне AD, запретить MS firewallом скайпу выход в инте.

446. Джамаль, 16.12.2012 17:23
thebooblik

А какую метку вы им присваиваете и где их потом ловите?

447. thebooblik, 16.12.2012 18:34
цитата:
Джамаль:
thebooblik

А какую метку вы им присваиваете и где их потом ловите?

Делаю по мануалу:

код:
[admin@MikroTik] > / ip firewall mangle add chain=prerouting src-mac-address=XX:XX:XX:XX:XX:XX action=mark–connection new-connection-mark=known_mac_conn 
[admin@MikroTik] > / ip firewall mangle add chain =prerouting connection-mark=known_mac_conn action=mark-packet new-packet-mark=known_mac


Потом хотел в Simple Queues порезать скорость..

448. Джамаль, 16.12.2012 19:49
thebooblik

Вроде, всё на месте. У меня по такому правилу счётчик попавших в это правило кадров растёт - значит, правило работает. И в очередях Simple queue спокойно нарисовал правило, и оно заработало:

код:
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no new-connection-mark=conn1 passthrough=yes src-mac-address=00:13:46:7B:87:F0
add action=mark-packet chain=prerouting connection-mark=conn1 disabled=no new-packet-mark=packetmark passthrough=yes
/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=yes interface=all limit-at=32k/32k max-limit=32k/32k name=queue1 packet-marks=packetmark parent=none priority=8 queue= default-small/default-small target-addresses="" total-queue=default-small

Добавление от 16.12.2012 20:01:

Какая версия RouterOS? Галка Passthrough поставилась ли в правилах маркировки?

449. thebooblik, 16.12.2012 20:34
цитата:
Джамаль:
thebooblik

Вроде, всё на месте. У меня по такому правилу счётчик попавших в это правило кадров растёт - значит, правило работает. И в очередях Simple queue спокойно нарисовал правило, и оно заработало:

код:
/ip firewall mangle
add action=mark-connection chain=prerouting disabled=no new-connection-mark=conn1 passthrough=yes src-mac-address=00:13:46:7B:87:F0
add action=mark-packet chain=prerouting connection-mark=conn1 disabled=no new-packet-mark=packetmark passthrough=yes
/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=yes interface=all limit-at=32k/32k max-limit=32k/32k name=queue1 packet-marks=packetmark parent=none priority=8 queue= default-small/default-small target-addresses="" total-queue=default-small




Добавление от 16.12.2012 20:01:

Какая версия RouterOS? Галка Passthrough поставилась ли в правилах маркировки?

Галка есть, сейчас попробовал во второй роутер(x86, ROS 5.17) эти же правила - не пошло.
Первый, где изначально нужно навесить это, недоступен, ip сменился, а сообщить мне его некому сейчас. Завтра продолжу изыскания.
Первый железный роутер Mikrotik RB751G-2HnD, версию не скажу, пару дней назад из магазина и сразу в бой. Базовую настройку сделал, но столкнулся с динамическими ip.. А канал не резиновый, надо поделить как-то

450. Джамаль, 16.12.2012 21:44
У моего аппарата ROS 5.15

Может, у вас с МАС-адресами непонятка какая-то?

451. PapaBear, 16.12.2012 22:11
не факт что там винда на компьютерах и не факт что если и венда - в AD живет.
но в целом, да - проще, причем не "запретить в файрволе" а "запретить ВСЕ в файрволе, кроме руками прописанных бинарников/сервисов", исходящий - так обязательно.
это если венда.
если UX, то у пользователя, увы - есть варианты :/
но при желании - кривые руки и любопытные - ломают почти все, поэтому настройки надо сочетать с оргмерприятиями.
т.е. на потворствовать ищущим способа нарушений корпоративных правил, грубо гря.

452. dim-soft, 16.12.2012 22:19
PapaBear
лучше чем у атома.
5.22 у меня больше 1 ядра не использует под atom 2500
пробовать версии 6.xx ?

453. PapaBear, 16.12.2012 23:14
цитата:
dim-soft:
PapaBear
лучше чем у атома.
5.22 у меня больше 1 ядра не использует под atom 2500
пробовать версии 6.xx ?
хз, мб особенность x86-версии ?
чтобы PC-роутерам - не создавать конкуренции Роутербордам )
аналогично 64-бит версия - только для своих роутеров CCR пока =)

p.s.
мб я неправильно прочитал, но на SB целероне, у знакомого - больше 1 ядра - вполне работало.
ROS 5.1x какой-то вроде использовался.
мб атом-ная специфика какая, хз.

454. thebooblik, 17.12.2012 20:25
цитата:
Джамаль:
У моего аппарата ROS 5.15

Может, у вас с МАС-адресами непонятка какая-то?
У меня 5.16, проверил сегодня.
Вообще ни по одному MAC-адресу ничего не ловится, уже пробовал не через WinBOX, а через терминал, большие и маленькие буквы в mac-адресе.
Так же пробовал забить mac wifi-точки, на которой висит несколько клиентов, тоже 0 реакции.
Конфигурация стандартная, подключил, забил логин и пароль прова, больше ничего еще не делал...

455. Cliff, 19.12.2012 17:21
Господа, начинаю работать с Mikrotik, и сразу вопросы . Имеем RB2011UAS-RM со следующим конфигом:
[admin@MikroTik] > /export compact
# dec/18/2012 16:50:23 by RouterOS 5.22
# software id = 8PI1-IFJS
#
/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1 protocol-mode=rstp
/interface ethernet
set 0 disabled=yes name=sfp1-gateway
set 1 name=ether1-master
set 2 master-port=ether1-master name=ether2-slave
set 3 master-port=ether1-master name=ether3-slave
set 4 master-port=ether1-master name=ether4-slave
set 5 master-port=ether1-master name=ether5-slave
set 6 name=ether6-master
set 7 master-port=ether6-master name=ether7-slave
set 8 master-port=ether6-master name=ether8-slave
set 9 master-port=ether6-master name=ether9-slave
set 10 name=ether10-gateway
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=dhcp_pool1 ranges=10.1.0.101-10.1.0.200
add name=dhcp_pool2 ranges=10.1.0.201-10.1.0.250
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge1 lease-time=1w name=dhcp1
/ppp profile
set 1 bridge=bridge1 local-address=10.1.0.1 remote-address=dhcp_pool2
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no \
paypal-secure-response=no permissions=owner signup-allowed=no time-zone=-00:00
/interface bridge port
add bridge=bridge1 interface=ether1-master
add bridge=bridge1 interface=ether6-master
/interface l2tp-server server
set authentication=mschap1,mschap2 enabled=yes
/ip address
add address=10.1.0.1/24 interface=bridge1
add address=10.10.0.88/24 interface=ether10-gateway
/ip dhcp-server network
add address=10.1.0.0/24 dns-server=10.1.0.1 gateway=10.1.0.1 ntp-server=10.1.0.1
/ip dns
set allow-remote-requests=yes servers=10.10.0.5
/ip firewall filter
add chain=input comment="allow l2tp server on 10.10.0.88" dst-address=10.10.0.88 in-interface=ether10-gateway protocol=\
ipsec-esp
add chain=input dst-address=10.10.0.88 dst-port=4500,1701,500 in-interface=ether10-gateway protocol=udp
add chain=input comment="allow config on 10.10.0.88" dst-address=10.10.0.88 dst-port=22,8291 in-interface=\
ether10-gateway protocol=tcp
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether10-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10-gateway
/ip ipsec peer
add exchange-mode=main-l2tp generate-policy=yes hash-algorithm=sha1 nat-traversal=yes secret=L2TP_Test
/ip neighbor discovery
set ether10-gateway disabled=yes
/ip route
add distance=1 gateway=10.10.0.5
/lcd
set backlight-timeout=never
/ppp secret
add name=andrew password=andrew profile=default-encryption
/system clock manual
set time-zone=+03:00
/system logging
add topics=ipsec
add topics=l2tp
add topics=ppp
/system ntp client
set enabled=yes primary-ntp=10.10.0.5
/system ntp server
set enabled=yes multicast=yes

к 4-му порту подключен хост 10.1.0.2, к 5-му - 10.1.0.200. Друг друга и 10.1.0.1 успешно пингуют. Включаю на свитче VLAN-ы и для начала разрешаю хождение untagged пакетов:

/interface ethernet switch port
set 1 vlan-header=always-strip vlan-mode=secure
set 2 vlan-header=always-strip vlan-mode=secure
set 3 vlan-header=always-strip vlan-mode=secure
set 4 vlan-header=always-strip vlan-mode=secure
set 5 vlan-header=always-strip vlan-mode=secure
/interface ethernet switch vlan
add ports=ether1-master,ether2-slave,ether3-slave,ether4-slave,ether5-slave,switch1_cpu switch=switch1 vlan-id=0

После этого пинги уже не ходят. Что я делаю не так?

Чего я в принципе хочу достичь? К RB2011UAS-RM будут подключены 2 RB751G-2HnD. Все порты на всех трех роутерах (кроме порта на RB2011UAS-RM, смотрящего в инет) буду сконфигурированы как свитчи, к ним будут подключены компы локалки. На RB751G-2HnD будут гостевые wlan, которые в отдельном VLAN-е хочется прокинуть до RB2011UAS, чтобы дать гостям инет. Гости видеть локалку естественно не должны.

Прошу помощи у гуру и советов. Спасибо!

456. alexlis51, 19.12.2012 21:28
здравствуйте будьте добры подскажите достаточно ли RB751U-2HnD для дома(пк,бук,медиаплеер,телефон) и нормальной работы с торрентами(адсл модем(бридж)+микротик)?

457. Sergey Gavrilenko, 19.12.2012 22:58
alexlis51
С головой.
Я именно им заменил ADSL модем с роутером встроенным. Вернее перевел его в бридж и к нему подключил микротик.

458. Джамаль, 19.12.2012 23:12
alexlis51

Вот только сам маршрутизатор торренты качать не будет

459. alexlis51, 20.12.2012 08:25
Спасибо большое,скажите а вы их по месту покупаете или через инет заказываете?

460. Sergey Gavrilenko, 20.12.2012 09:08
alexlis51
Я в Харькове нашел три конторы которые ими торгуют, выбрал где ближе ехать и купил

461. sam123123, 20.12.2012 09:31
Доброго дня!
Может ли кто посмотреть на предмет ошибок мои настройки? Конфиг примитивен - фаервол для сетки за натом.
Причина волнений - к серверу в локалке есть соединения с ип, которые запрещены в фаерволе.
Спасибо!

462. GS, 20.12.2012 10:03
возможно ли сделать dst-nat по http заголовку? т.е. если запрос на белый ип приходит на имя site1.ru- то натится на сервак с ип 192.168.0.2, если на site2.ru - то на 192.168.0.3

463. Джамаль, 20.12.2012 12:30
sam123123
к серверу в локалке есть соединения с ип, которые запрещены в фаерволе.

Так у вас файрвол, поди, в цепочке Input это всё фильтрует, а трансляция работает в цепочке Forward


GS

Layer7 вам поможет

464. GS, 20.12.2012 12:46
Джамаль
Layer7 вам поможет
мне примерчик только поможет

465. LanMarket, 20.12.2012 15:27
цитата:
GS:
возможно ли сделать dst-nat по http заголовку? т.е. если запрос на белый ип приходит на имя site1.ru- то натится на сервак с ип 192.168.0.2, если на site2.ru - то на 192.168.0.3

Возможно вам статья поможет: Перенаправление портов - dstnat
Расширенные настройки Mikrotik RouterOS: перенаправление портов - dstnat (http://lanmarket.ua/stats/rasshirennye-nastrojki-mikrotik-routeros:-perenapravlenie-portov-dstnat#.UNL16Pme4lR)

466. GS, 20.12.2012 15:33
переправить 1 порт на 1 ип я умею, задача перекинунуть запрос по днс-имени на конкретный сервер

467. LanMarket, 20.12.2012 16:50
цитата:
GS:
переправить 1 порт на 1 ип я умею, задача перекинунуть запрос по днс-имени на конкретный сервер
Я тут по советовался. Вот что мне ответили:

"идея полностью не соответствует принципу работы протокола TCP/IP
на маршрутизатор никогда не прийдет запрос типа site2.ru или site1.ru
если ты запрашиваешь доменное имя, то ты сразу же обращаешся к ближайшему DNS серверу
тут пишут про "Layer7" - да, это протокол, но он тоже не поможет!"

468. GS, 20.12.2012 17:33
я уже курю Reverse Proxy, микротик такое врятли умеет

469. LanMarket, 20.12.2012 18:50
цитата:
GS:
я уже курю Reverse Proxy, микротик такое врятли умеет

Вы можете поставить свой DNS на nix за роутером. А уже он и будет распределять куда кому ходить.

470. thebooblik, 20.12.2012 22:18
цитата:
thebooblik:
цитата:
Джамаль:
У моего аппарата ROS 5.15

Может, у вас с МАС-адресами непонятка какая-то?
У меня 5.16, проверил сегодня.
Вообще ни по одному MAC-адресу ничего не ловится, уже пробовал не через WinBOX, а через терминал, большие и маленькие буквы в mac-адресе.
Так же пробовал забить mac wifi-точки, на которой висит несколько клиентов, тоже 0 реакции.
Конфигурация стандартная, подключил, забил логин и пароль прова, больше ничего еще не делал...


Разобрался, всего-то нужно было глянуть в ARP List в WinBOX-е. Сканер сети видимо от балды mac-адреса клиентов рисовал...
За это сообщение сказали спасибо: Джамаль

471. Джамаль, 21.12.2012 08:40
LanMarket
тут пишут про "Layer7" - да, это протокол, но он тоже не поможет!"

Поможет Дело в том, что в http-заголовке обязательно есть символьное имя, к которому клиент обращается. Вот его и выцеплять, а потом промаркировать соединение, и пусть оно бегает по задаваемому правилу

472. RastafarI, 21.12.2012 12:44
уже спрашивал, но собрал инфы, спрошу ещё раз.
DHCP выдаёт 2 адреса одному компу, на один мак, следующим образом:
код:

2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet default received discover with id 3276699812 from 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = discover
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Unknown(116) = 01
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Client-Id = 01-00-11-2F-E7-A8-12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Address-Request = 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Host-Name = "16-gep-1"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Class-Id = "MSFT 5.0"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Unknown(249),Vendor-Specific
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Vendor-Specific = DC-00
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet default sending offer with id 3276699812 to 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet yiaddr = 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet siaddr = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = offer
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Address-Time = 36000
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Subnet-Mask = 255.255.255.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Domain-Name = "pasteur.local"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Router = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Domain-Server = 192.168.0.254,195.182.154.102
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet default received request with id 3276699812 from 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = request
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Client-Id = 01-00-11-2F-E7-A8-12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Address-Request = 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Host-Name = "16-gep-1"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Unknown(81) = 00-00-00-31-36-2D-67-65-70-2D-31-2E
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Class-Id = "MSFT 5.0"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Unknown(249),Vendor-Specific
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Vendor-Specific = DC-01-00
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,info default assigned 192.168.0.133 to 00:11:2F:E7:A8:12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet default sending ack with id 3276699812 to 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet yiaddr = 192.168.0.133
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet siaddr = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = ack
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Address-Time = 36000
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Subnet-Mask = 255.255.255.0
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Domain-Name = "pasteur.local"
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Router = 192.168.0.254
2012-12-21 10:14:40 user.notice 192.168.0.254 dhcp,debug,packet Domain-Server = 192.168.0.254,195.182.154.102

2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet default received discover with id 2300137016 from 192.168.0.133
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet flags = broadcast
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = discover
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Unknown(77) = 52-52-41-53-2E-4D-69-63-72-6F-73-6F-66-74
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Unknown(116) = 01
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Client-Id = 01-52-41-53-20-00-11-2F-E7-A8-12-00-00-00-00-00-00
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Host-Name = "16-gep-1"
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Class-Id = "MSFT 5.0"
2012-12-21 10:15:36 user.notice 192.168.0.254 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Unknown(249),Vendor-Specific
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet default sending offer with id 2300137016 to 255.255.255.255
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet flags = broadcast
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet yiaddr = 192.168.0.126
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet siaddr = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = offer
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Address-Time = 36000
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Subnet-Mask = 255.255.255.0
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Domain-Name = "pasteur.local"
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Router = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Domain-Server = 192.168.0.254,195.182.154.102
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet default received request with id 2300137016 from 192.168.0.133
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet flags = broadcast
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = request
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Unknown(77) = 52-52-41-53-2E-4D-69-63-72-6F-73-6F-66-74
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Client-Id = 01-52-41-53-20-00-11-2F-E7-A8-12-00-00-00-00-00-00
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Address-Request = 192.168.0.126
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Host-Name = "16-gep-1"
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Class-Id = "MSFT 5.0"
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Parameter-List = Subnet-Mask,Domain-Name,Router,Domain-Server,NETBIOS-Name-Server,Unknown(46),Unknown(47),Unknown(31),Static-Route,Unknown(249),Vendor-Specific
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,info default assigned 192.168.0.126 to 00:11:2F:E7:A8:12
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet default sending ack with id 2300137016 to 255.255.255.255
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet flags = broadcast
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet ciaddr = 0.0.0.0
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet yiaddr = 192.168.0.126
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet siaddr = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet chaddr = 00:11:2F:E7:A8:12
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Msg-Type = ack
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Server-Id = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Address-Time = 36000
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Subnet-Mask = 255.255.255.0
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Domain-Name = "pasteur.local"
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Router = 192.168.0.254
2012-12-21 10:15:37 user.notice 192.168.0.254 dhcp,debug,packet Domain-Server = 192.168.0.254,195.182.154.102

как так? вирус чтоли? но зачем ему второй ип? можно как нить сделать чтоб микротик не выдавал 2 ип одному маку?

473. gamespb, 21.12.2012 15:20
RastafarI
выключи клиента от сети
посмотри у кого ещё такой мак на интерфейсе

ИМХО

474. alexlis51, 21.12.2012 20:30
Sergey Gavrilenko
Заказал,на днях приедет,скажите пожалуйста а какой файл прошивки нужно качать для 751g?

К сообщению приложены файлы: 1.png, 790x557, 118Кb

475. Джамаль, 21.12.2012 21:57
alexlis51

Тот, что рекомендуется на официальном сайте

476. mgag, 21.12.2012 22:14
2 удаленных офиса, в каждом - RB450G по 2 WAN подключения с постоянными реальными адресами IPv4 (WAN1 <- >WAN1 - ПРОВ1; WAN2 <- >WAN2 - ПРОВ2). Адреса первого провайдера используются для основного подключения к интернет, второго - как резервное (задействуется только когда основное подключение не работает).

Скрипты работают. При пропадании основного канала выхода в Интернет, на каждой из точек автоматически поднимается резервный.

Подскажите, как поверх этой системы с наименьшими потерями поднять L2 VPN, чтобы общая сеть 192.168.0.0/24 была доступна всегда, в т.ч. при пропадании связи с основным провайдером. Шифрование использовать не планирую.

477. alexlis51, 21.12.2012 22:22
Джамаль
ну я и качал отсюда или это не то?
http://www.mikrotik.com/download
и что из этого нужно мне

478. mgag, 21.12.2012 22:26
цитата:
alexlis51:
Джамаль
ну я и качал отсюда или это не то?
http://www.mikrotik.com/download
и что из этого нужно мне

http://download2.mikrotik.com/routeros/5.22/routeros-mipsbe-5.22.npk

или отдельные пакеты:

http://download2.mikrotik.com/routeros/5.22/all_pack…s-mipsbe-5.22.zip

479. alexlis51, 21.12.2012 22:33
mgag
Спасибо большое за ссылку,может быть вы подскажите какойнибудь рускоязычный гайд для чайников,я бы тихонько покурил и не докучал с глупыми вопросами?
просто яо настройках сети и тд я знаю весьма поверхностно,попробовал демку веббокс и понял вопросы будут.

480. Cewrio, 22.12.2012 14:24
Настроен L2TP интернет (билайн) - VPN connected, все сайты пингуются внутри маршрутизатора, на компьютере принимающем интернет с микротика работают только несколько сайтов (google.ru mail.ru ya.ru habrahabr.ru), и то не всегда. Остальные даже не пингуются.

/ip firewall filter print detail
Flags: X - disabled, I - invalid, D - dynamic

/ip firewall nat print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=corbina-l2tp

/ip firewall mangle print detail
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=change-mss new-mss=1360 passthrough=yes tcp-flags=syn
protocol=tcp tcp-mss=1453-65535

/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 127.0.2.1 1
1 DS 0.0.0.0/0 10.96.56.1 2
2 ADC 10.96.56.0/21 10.96.57.233 ether3 0
3 A S ;;; vpn servers subnet
85.21.0.0/16 10.96.56.1 1
4 ADS 85.21.52.254/32 10.96.56.1 2
5 ADS 85.21.88.130/32 10.96.56.1 2
6 A S ;;; vpn servers subnet
85.21.192.0/24 10.96.56.1 1
7 ADS 89.179.135.67/32 10.96.56.1 2
8 ADC 127.0.2.1/32 95.27.147.104 corbina-l2tp 0
9 ADC 192.168.0.0/24 192.168.0.1 ether2 0
ether1
10 ADS 194.67.1.13/32 10.96.56.1 2
11 ADS 194.67.1.14/32 10.96.56.1 2
12 ADS 194.67.1.115/32 10.96.56.1 2
13 ADS 194.67.1.130/32 10.96.56.1 2
14 ADS 194.67.18.19/32 10.96.56.1 2
15 ADS 194.67.18.72/32 10.96.56.1 2
-- [Q quit|D dump|down]

Пытался настраивать МТУ, не получилось. Сейчас стоит 1360.
Отключил Change TCP MS, создал правило:
/ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no
и тоже не помогло.

481. gamespb, 22.12.2012 15:59
Cewrio
остаётся поменять MTU на компе с виндой

Добавление от 22.12.2012 16:00:

после изменений в реестре винды. не забыть перегрузиться

482. Cewrio, 22.12.2012 16:13
Т.е. это проблема только компа? Интернет подключенный на прямую работает там на ура.

Добавление от 22.12.2012 16:33:

Подозреваю что дело в настройках для компьютера, получающего интернет.

Pool 192.168.0.2 - 192.168.0.254
DHCP сервер с этим пулом, через ether2 (сюда воткнут комп)
Назначен IP на ether2 Address 192.168.0.1/24 Network 192.168.0.0

Комп получает 192.168.0.254 адрес

483. gamespb, 22.12.2012 16:34
Cewrio
не знаю как вин7, а винХАПЭ точно не могла изменить MTU на интерфейсе от пожеланий не виндовс гейта.

Добавление от 22.12.2012 16:36:

.0.254 и где намёк что он виноват здесь?

484. Cewrio, 22.12.2012 16:41
Почему сайты даже не пингуются с компьютера? Из-за разницы в настройках МТУ на микротике и на винде?

485. Джамаль, 22.12.2012 16:41
alexlis51
и что из этого нужно мне

цитата (оттуда (http://www.mikrotik.com/download) ):
mipsbe RB400 series, RB700 series, RB900 series, RB2011 series, SXT, OmniTik, Groove, METAL

Берите Upgrade package

Добавление от 22.12.2012 16:45:

alexlis51
может быть вы подскажите какойнибудь рускоязычный гайд для чайников


Вот тут (http://forum.ixbt.com/topic.cgi?id=14:51525) на первой странице первое сообщение с кучей ссылок

486. gamespb, 22.12.2012 16:55
Cewrio
да , вы правы пинг с размером пакета по умолчанию должен ходить.

487. Cewrio, 22.12.2012 17:46
Отключил на компьютере-получателе интернета автоматическое назначение мту и выставил принудительно 1360 - ничего не дало. Например beeline.ru грузится а lk.beeline.ru нет

488. gamespb, 22.12.2012 17:59
Cewrio
может DNS как то дурит? nslookup lk.beeline.ru

Добавление от 22.12.2012 17:59:

а если на микротике прокси поднять и через него попробовать

489. Cewrio, 22.12.2012 18:16
Пробовал подключить другой компьютер через тот же ether2, гугл и яндекс и еще 1 сайт загрузились, но оооочень долго. Остальные не загрузились вообще. Подключил прежний компьютер. Теперь и beeline.ru перестал работать, только гуль нормально работает и маил.ру с горем пополам.

nslookup lk.beeline.ru на проблемном компьютере выдал айпишник 85.21.78.93

Попробовал зайти по нему, тоже без результата.

Добавление от 22.12.2012 18:17:

Прокси попробую, только разберусь как.

490. мудрец, 22.12.2012 18:53
Cewrio
В настройках профиля для билайна пробовали поставить
код:
change-tcp-mss=yes

?
При размере mtu 1460, в mangle появляется два динамических правила
код:

0 D chain=forward action=change-mss new-mss=1420 passthrough=yes tcp-flags=syn protocol=tcp in-interface=beeline_l2tp tcp-mss=1421-65535

1 D chain=forward action=change-mss new-mss=1420 passthrough=yes tcp-flags=syn protocol=tcp out-interface=beeline_l2tp tcp-mss=1421-65535

491. Cewrio, 22.12.2012 19:13
TCP MSS изначально и было включено, проблемы были те же самые и я отключил его следуя советам, найденным в интернете.
Эти 2 правила автоматически создаются при TCP MSS yes? Какие то 2 правила было в firewall - mangle, туда я добавил ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no но ничего не заработало а те удалил.

Я включил веб-прокси, в браузере указал прокси 192.168.0.1:8080 и страницы начали открываться (за исключением https страниц). О чем это говорит? Проблему теперь можно локализовать?

492. мудрец, 22.12.2012 19:52
Проблема имхо именно в mtu, у меня тоже билайн и работает именно с такими настройками. Измените хотя-бы tcp-mss=1453-65535 на 1361-65535

493. alexlis51, 22.12.2012 20:16
СпасибоДжамаль
и всем всем всем
спасибо,ушел курить,привезут,настрою и приду с или с вапросами)))

494. Cewrio, 22.12.2012 20:31
мудрец
изменил, по прежнему работает лишь через прокси

Добавление от 22.12.2012 20:59:

Проблема работы билайн интернета (работает только через http прокси) остается открытой. Но есть еще более важная задача:
Имеется несколько каналов интернета билайн. Есть ПО с полями "сокс прокси сервер". Нужно направлять это ПО в нужный канал интернета с помощью прокси сервера. То что в микротике называется "Socks" на сколько я понял для меня не годится. Squid мне поможет? Для него необходим MetaROUTER в микротике? Как его установить? Микротик программный, в системном блоке.

495. mikuser1, 22.12.2012 22:18
Добрый день!
Помогите. пожалуйста, решить проблему, а то я уже весь мозг взорвал

Есть две учетные записи pptp: основная и резервная. Есть запись в netwatch которая раз в минуту пингует 8.8.8.8 и в случае его недоступности должна выключить основное pptp соединение и запустить резервное. Написал следующий скрипт:

/interface pptp-client disable "pptp-osn"
/interface pptp-client enable "pptp-reserv"

Через меню script list скрипт запускает и отрабатывается идеально. При запущенном winbox'e тоже все работает, но стоит только выключить winbox, как netwatch перестает запускать скрипт. Хост 8.8.8.8 падает, но скрипт не переключает pptp соединения.

Почему так? В какую сторону копать?

496. Cewrio, 22.12.2012 23:32
Metarouter есть только в аппаратных микротиках? Для программной версии нет?

497. gamespb, 23.12.2012 01:37
Cewrio
Metarouter есть только в аппаратных микротиках? Для программной версии нет?
есть KVM
squid != socks
а тот что есть чем не по нраву?

mikuser1
а может всё таки запускает, только не знает что за интерфейсы такие pptp-osn. поищите примеры их много было

498. mikuser1, 23.12.2012 11:53

mikuser1
а может всё таки запускает, только не знает что за интерфейсы такие pptp-osn. поищите примеры их много было[/q]

Скрипт замечательно отрабатывается при запуске в ручную и netwatch'ем при запущенном winbox'e. Как только я выхожу из winbox он как будто все забывает. Pptp-osn это название основного pptp соединения. Мне вообще кажется, что я просто где-то галочку не ставлю и все. А где она и куда ее поставить я найти не могу, весь инет перерыл.

499. г.ы.у.к, 23.12.2012 16:27
тупой вопрос - как в микротике посмотреть сколько занято оперативки и нагрузку проца в реалтайме или графиком за время?

Добавление от 23.12.2012 16:29:

alexlis51
Спасибо большое за ссылку,может быть вы подскажите какойнибудь рускоязычный гайд для чайников,я бы тихонько покурил и не докучал с глупыми вопросами?
если общие теор.вопросы сети - курс цыски ICDN1/2
Серьезно

500. Джамаль, 23.12.2012 17:46
г.ы.у.к
как в микротике посмотреть сколько занято оперативки и нагрузку проца в реалтайме или графиком за время?

System - Resources
За это сообщение сказали спасибо: г.ы.у.к

501. gamespb, 24.12.2012 01:44
mikuser1
поиск выдает результаты
https://www.google.com/url?q=http://forum.ixbt.com/t…H7_tdxzq1_gP_jM5Q

502. Cewrio, 24.12.2012 02:08
gamespb
есть KVM
squid != socks
а тот что есть чем не по нраву?

Есть несколько каналов интернета и несколько копий ПО, запущенных на 1 компьютере, работа которых настраивается указанием сокс прокси серверов в соответствующих полях. Нужно добиться, что бы копии этого ПО одновременно работали через разные каналы интернета.
Я правильно понял, что стандартным socks микротика эту задачу не решить, и без KVM, OpenWRT и squid мне не обойтись?

503. sam123123, 24.12.2012 08:10
>Так у вас файрвол, поди, в цепочке Input это всё фильтрует, а трансляция работает в цепочке Forward
Ну не совсем уж валенок, фильтр и по форварду работает.
Если добавляю сорс-адрес в список блокируемых в цепочке мангл прероутинг, надо ли такое же правило в мангл форварда?

504. г.ы.у.к, 24.12.2012 08:33
как можно вытащить из микротика конфиг в текстовом виде?

505. pnep, 24.12.2012 08:34
export
За это сообщение сказали спасибо: г.ы.у.к

506. г.ы.у.к, 24.12.2012 09:05
А теперь главный вопрос:
Есть два компа: качалка и смотрелка, третий - роутер ОС
Настроил динамический шйпер чтобы смотрелке было комфортно броузить, слушать интернет-радио и смотреть интернет-ТВ
Если со смотрелки что-то качать - скорость качалки падает до 0-8кб, если на смотрелке что-то слушать - на качалке скорость половинная. В общем работает как надо.
Только вот если на смотрелке запустить интернет-ТВ качалка тормозится всего лишь до 50-80% канала, и ТВ конечно заикается.
Подскажите, пожалуйста, где грабли?

конфа
код:

/interface ethernet
set 0 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
08:00:27:4E:AA:B9 mtu=1500 name=ether1 speed=100Mbps
set 1 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
08:00:27:14:80:3B mtu=1500 name=ether2 speed=100Mbps
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=3des \
lifetime=30m name=default pfs-group=modp1024
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default \
remote-ipv6-prefix-pool=none use-compression=default use-encryption=\
default use-ipv6=yes use-mpls=default use-vj-compression=default
set 1 change-tcp-mss=yes name=default-encryption only-one=default \
remote-ipv6-prefix-pool=none use-compression=default use-encryption=yes \
use-ipv6=yes use-mpls=default use-vj-compression=default
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=3M name=All packet-mark="" parent=ether1 priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=1M \
max-limit=1M name=Global packet-mark="" parent=All priority=1
/queue type
set 0 kind=pfifo name=default pfifo-limit=50
set 1 kind=pfifo name=ethernet-default pfifo-limit=50
set 2 kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set 3 kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 \
red-limit=60 red-max-threshold=50 red-min-threshold=10
set 4 kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
add kind=pcq name=PCQ pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=\
10s pcq-classifier=dst-address pcq-dst-address-mask=32 \
pcq-dst-address6-mask=64 pcq-limit=500 pcq-rate=0 pcq-src-address-mask=32 \
pcq-src-address6-mask=64 pcq-total-limit=1000
set 6 kind=none name=only-hardware-queue
set 7 kind=mq-pfifo mq-pfifo-limit=50 name=multi-queue-ethernet-default
set 8 kind=pfifo name=default-small pfifo-limit=10
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=980k \
max-limit=1M name=Users packet-mark=users10 parent=Global priority=1 \
queue=PCQ
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=16k \
max-limit=1M name=Torrent packet-mark=torrent parent=Global priority=8 \
queue=PCQ
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=2M \
max-limit=2M name=Gomolink packet-mark=gomolink parent=All priority=8 \
queue=PCQ
/routing bgp instance
set default as=65530 client-to-client-reflection=yes disabled=no \
ignore-as-path-len=no name=default out-filter="" redistribute-connected=\
no redistribute-ospf=no redistribute-other-bgp=no redistribute-rip=no \
redistribute-static=no router-id=0.0.0.0 routing-table=""
/routing ospf instance
set [ find default=yes ] disabled=no distribute-default=never in-filter=\
ospf-in metric-bgp=auto metric-connected=20 metric-default=1 \
metric-other-ospf=auto metric-rip=20 metric-static=20 name=default \
out-filter=ospf-out redistribute-bgp=no redistribute-connected=no \
redistribute-other-ospf=no redistribute-rip=no redistribute-static=no \
router-id=0.0.0.0
/routing ospf area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=\
backbone type=default
/routing ospf-v3 instance
set [ find default=yes ] disabled=no distribute-default=never metric-bgp=auto \
metric-connected=20 metric-default=1 metric-other-ospf=auto metric-rip=20 \
metric-static=20 name=default redistribute-bgp=no redistribute-connected=\
no redistribute-other-ospf=no redistribute-rip=no redistribute-static=no \
router-id=0.0.0.0
/routing ospf-v3 area
set [ find default=yes ] area-id=0.0.0.0 disabled=no instance=default name=\
backbone type=default
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0 authentication-password="" \
authentication-protocol=MD5 encryption-password="" encryption-protocol=\
DES name=public read-access=yes security=none write-access=no
/system logging action
set 0 memory-lines=100 memory-stop-on-full=no name=memory target=memory
set 1 disk-file-count=2 disk-file-name=log disk-lines-per-file=100 \
disk-stop-on-full=no name=disk target=disk
set 2 name=echo remember=yes target=echo
set 3 bsd-syslog=no name=remote remote=:: remote-port=514 src-address=0.0.0.0 \
syslog-facility=daemon syslog-severity=auto target=remote
/user group
set read name=read policy="local,telnet,ssh,reboot,read,test,winbox,password,w\
eb,sniff,sensitive,api,!ftp,!write,!policy" skin=default
set write name=write policy="local,telnet,ssh,reboot,read,write,test,winbox,pa\
ssword,web,sniff,sensitive,api,!ftp,!policy" skin=default
set full name=full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,\
winbox,password,web,sniff,sensitive,api" skin=default
/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=\
no
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=\
default-encryption enabled=no max-mru=1460 max-mtu=1460 mrru=disabled
/interface ovpn-server server
set auth=sha1,md5 certificate=none cipher=blowfish128,aes128 default-profile=\
default enabled=no keepalive-timeout=60 mac-address=FE:B0:22:F9:1A:72 \
max-mtu=1500 mode=ip netmask=24 port=1194 require-client-certificate=no
/interface pptp-server server
set authentication=mschap1,mschap2 default-profile=default-encryption \
enabled=no keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
/interface sstp-server server
set authentication=pap,chap,mschap1,mschap2 certificate=none default-profile=\
default enabled=no keepalive-timeout=60 max-mru=1500 max-mtu=1500 mrru=\
disabled port=443 verify-client-certificate=no
/ip accounting
set account-local-traffic=no enabled=no threshold=256
/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0
/ip address
add address=192.168.0.6/24 disabled=no interface=ether1 network=192.168.0.0
add address=192.168.1.6/24 disabled=no interface=ether2 network=192.168.1.0
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
max-udp-packet-size=4096 servers=192.168.1.2,8.8.8.8
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d \
tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=drop chain=forward disabled=no dst-address=83.144.195.94
add action=accept chain=input disabled=no protocol=udp
add action=accept chain=input disabled=no protocol=igmp
/ip firewall mangle
add action=mark-packet chain=forward disabled=no dst-address=192.168.0.10 \
in-interface=ether2 new-packet-mark=users10 out-interface=ether1 \
passthrough=no
add action=mark-packet chain=forward disabled=yes dst-address=!192.168.0.12 \
in-interface=ether2 new-packet-mark=users10 out-interface=ether1 \
passthrough=no src-address=94.0.0.0/8
add action=mark-packet chain=forward disabled=no dst-address=192.168.0.12 \
in-interface=ether2 new-packet-mark=users10 out-interface=ether1 \
passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=postrouting disabled=yes dst-address=\
192.168.0.12 new-packet-mark=gomolink passthrough=no src-address=\
94.0.0.0/8
add action=mark-packet chain=forward disabled=no dst-address=192.168.0.12 \
in-interface=ether2 new-packet-mark=torrent out-interface=ether1 \
passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat disabled=no src-address=192.168.0.0/24
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061 sip-direct-media=yes
set pptp disabled=no
/ip neighbor discovery
set ether1 disabled=no
set ether2 disabled=no
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \
cache-on-disk=no enabled=no max-cache-size=none max-client-connections=\
600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 \
parent-proxy-port=0 port=8080 serialize-connections=no src-address=\
0.0.0.0
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 \
target-scope=10
/ip service
set telnet address="" disabled=no port=23
set ftp address="" disabled=no port=21
set www address="" disabled=no port=80
set ssh address="" disabled=no port=22
set www-ssl address="" certificate=none disabled=yes port=443
set api address="" disabled=yes port=8728
set winbox address="" disabled=no port=8291
/ip smb
set allow-guests=yes comment=MikrotikSMB domain=MSHOME enabled=no interfaces=\
all
/ip smb shares
set [ find default=yes ] comment="default share" directory=/pub disabled=no \
max-sessions=10 name=pub
/ip smb users
set [ find default=yes ] disabled=no name=guest password="" read-only=yes
/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080
/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no \
inactive-flow-timeout=15s interfaces=all
/ip upnp
set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes
/ipv6 nd
set [ find default=yes ] advertise-dns=no advertise-mac-address=yes disabled=\
no hop-limit=unspecified interface=all managed-address-configuration=no \
mtu=unspecified other-configuration=no ra-delay=3s ra-interval=3m20s-10m \
ra-lifetime=30m reachable-time=unspecified retransmit-interval=\
unspecified
/ipv6 nd prefix default
set autonomous=yes preferred-lifetime=1w valid-lifetime=4w2d
/port firmware
set directory=firmware ignore-directip-modem=no
/ppp aaa
set accounting=yes interim-update=0s use-radius=no
/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default
/radius incoming
set accept=no port=3799
/routing bfd interface
set [ find default=yes ] disabled=no interface=all interval=0.2s min-rx=0.2s \
multiplier=5
/routing igmp-proxy
set query-interval=2m5s query-response-interval=10s quick-leave=no
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 disabled=no interface=ether2 threshold=1 \
upstream=yes
add alternative-subnets="" disabled=no interface=ether1 threshold=1 upstream=\
no
/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m \
gateway-selection=no-gateway origination-interval=5s preferred-gateway=\
0.0.0.0 timeout=1m ttl=50
/routing pim
set switch-to-spt=yes switch-to-spt-bytes=0 switch-to-spt-interval=1m40s
/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \
metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \
redistribute-connected=no redistribute-ospf=no redistribute-static=no \
routing-table=main timeout-timer=3m update-timer=30s
/routing ripng
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 \
metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no \
redistribute-connected=no redistribute-ospf=no redistribute-static=no \
timeout-timer=3m update-timer=30s
/snmp
set contact="" enabled=no engine-id="" location="" trap-generators="" \
trap-target="" trap-version=1
/system clock
set time-zone-name=manual
/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start=\
"jan/01/1970 00:00:00" time-zone=+00:00
/system console
set [ find vcno=1 ] channel=0 disabled=no term=linux
set [ find vcno=2 ] channel=0 disabled=no term=linux
set [ find vcno=3 ] channel=0 disabled=no term=linux
set [ find vcno=4 ] channel=0 disabled=no term=linux
set [ find vcno=5 ] channel=0 disabled=no term=linux
set [ find vcno=6 ] channel=0 disabled=no term=linux
set [ find vcno=7 ] channel=0 disabled=no term=linux
set [ find vcno=8 ] channel=0 disabled=no term=linux
/system console screen
set blank-interval=10min line-count=25
/system hardware
set multi-cpu=yes
/system health
set state-after-reboot=enabled
/system identity
set name=MikroTik
/system lcd
set contrast=0 enabled=no port=parallel type=24x4
/system lcd page
set time disabled=yes display-time=5s
set resources disabled=yes display-time=5s
set uptime disabled=yes display-time=5s
set packets disabled=yes display-time=5s
set bits disabled=yes display-time=5s
set version disabled=yes display-time=5s
set identity disabled=yes display-time=5s
set ether2 disabled=yes display-time=5s
set ether1 disabled=yes display-time=5s
/system logging
set 0 action=memory disabled=no prefix="" topics=info
set 1 action=memory disabled=no prefix="" topics=error
set 2 action=memory disabled=no prefix="" topics=warning
set 3 action=echo disabled=no prefix="" topics=critical
/system note
set note="" show-at-login=yes
/system ntp client
set enabled=no mode=unicast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0
/system ntp server
set broadcast=no broadcast-addresses="" enabled=no manycast=yes multicast=no
/system resource irq
set 0 cpu=auto
set 1 cpu=auto
set 2 cpu=auto
set 3 cpu=auto
set 4 cpu=auto
set 5 cpu=auto
set 6 cpu=auto
/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=\
0.0.0.0 user=""
/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=\
192.168.0.6 watchdog-timer=yes
/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=\
100
/tool e-mail
set address=0.0.0.0 from=<> password="" port=25 starttls=no user=""
/tool graphing
set page-refresh=300 store-every=5min
/tool mac-server
set [ find default=yes ] disabled=no interface=all
/tool mac-server mac-winbox
set [ find default=yes ] disabled=no interface=all
/tool mac-server ping
set enabled=yes
/tool sms
set allowed-number="" channel=0 keep-max-sms=0 receive-enabled=no secret=""
/tool sniffer
set file-limit=1000KiB file-name="" filter-ip-address="" filter-ip-protocol=\
"" filter-mac-address="" filter-mac-protocol="" filter-port="" \
filter-stream=yes interface=all memory-limit=100KiB memory-scroll=yes \
only-headers=no streaming-enabled=no streaming-server=0.0.0.0
/tool traffic-generator
set latency-distribution-scale=10 test-id=0
/tool traffic-monitor
add disabled=no interface=ether1 name=tmon1 on-event="" threshold=0 traffic=\
received trigger=above
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin parent=admin password="" \
paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
permissions=owner signup-allowed=no time-zone=-00:00
/user aaa
set accounting=yes default-group=read exclude-groups="" interim-update=0s \
use-radius=no

507. Ёжъ, 24.12.2012 09:54
Help!

Играясь (RB751G, ROS v.5.22) с внешней флешкой и SMB умудрился создать, записав по сети, небольшой "куст" из трёх каталогов (DirA/DirB/DirC) которые присутствуют вот прямо в таком виде в корне системы - видны при просмотре <Files>. Флешку отключил, RB сбросил конфигурацию. Теперь в любой из каталогов можно записать файл и удалить его потом, но сами каталоги по отдельности и куст целиком "выкорчевать" не удаётся:

"Couldn't remove File <DirA/DirB/DirC> - action failed"


Сброс конфигурации (с/без инициализационного скрипта), а также down/upgrade ROS ничего не меняет - "куст" как приклееный.

Как победить?

Добавление от 24.12.2012 10:04:

upd:

"Разобрав" куст (вытащив вложенные папки в корень) две из трёх удалил, а последнюю - никак. Судя по всему у неё исходно был атрибут ReadOnly... И как его снять?

508. г.ы.у.к, 24.12.2012 10:33
Ёжъ
file set нет?

509. Ёжъ, 24.12.2012 11:55
г.ы.у.к, не понял, а как "file set" может мне помочь? Установка атрибутов, вроде бы не предусматривается. Это скорее команда записи в файл, не?

510. gamespb, 24.12.2012 15:18
Cewrio
думаю без дополнительного socks второй канал использовать не получится. повторюсь squid не socks. второй socks можно установить на openwrt(а может он там уже и есть) работающий в KVM на маршрутизаторе.

511. Cewrio, 24.12.2012 18:06
gamespb
думаю без дополнительного socks второй канал использовать не получится. повторюсь squid не socks. второй socks можно установить на openwrt(а может он там уже и есть) работающий в KVM на маршрутизаторе.
Как поставить OpenWRP в KVM. На downloads.openwrt.org есть готовый image для KVM в микротике, или искать стоит в другом месте?
И возникла проблема с загрузкой файлов в микротик по винбоксу : если файл весит более 1kb - винбокс дисконнектит.

512. aleksvolgin, 24.12.2012 18:24
цитата (Cewrio):
И возникла проблема с загрузкой файлов в микротик по винбоксу : если файл весит более 1kb - винбокс дисконнектит.
Грузите по ftp.

513. gamespb, 24.12.2012 18:35
Cewrio

Дисконнект похоже на продолжение эпопеи - странички не грузятся.
так что сменить сетевуху будет неплохой попыткой(рассчитываем на то что провода давно проверены).

514. Cewrio, 24.12.2012 18:43
Оказалось подключение по маку мешало заливке файлов. По IP нормально загрузилось.
Со сборкой openwrt мне придется повозиться или все же готовую реально найти?

515. gamespb, 24.12.2012 19:39
Cewrio
железка - комп с хитрым тиком? так под x86 openwrt есть, в объёме ни памяти ни диска ограничений нет. бери и ставь

516. Cewrio, 24.12.2012 20:45
gamespb
Да, микротик на системнике с процессором AMD Athlon64. Дай пожалуйста ссылку, откуда взять готовый image для установки в KVM.

Добавление от 24.12.2012 22:03:

kvm make-routeros-image file-name=openwrt-x86-generic-combined-jffs2-128k.img file-size=128
failed to create image

Не то скачал?

517. Джамаль, 25.12.2012 07:58
Cewrio

File-size у вас точно 128 мегабайт? Нужно указывать размер больше, чем у исходного файла, а не от фонаря.

518. german77, 25.12.2012 11:00
Подскажите возможно ли организовать два апстрима IPTV с разных провайдеров и раздавать на два lan сегмента.

519. Джамаль, 25.12.2012 11:52
german77

Независимые потоки? Или надо, чтобы оба сегмента могли смотреть оба потока?

520. german77, 25.12.2012 11:54
цитата:
Джамаль:
german77

Независимые потоки? Или надо, чтобы оба сегмента могли смотреть оба потока?

Независимые

521. г.ы.у.к, 25.12.2012 12:17
Подскажите, пожалуйста:

1. Как в mangle задать временной интервал от 23 ночи до 7 утра? пробовал 23:00:00 - 1d 07:00:00 - не выходит

2. как делать mark packet не по адресам DST/SRC/портам, а по типам потоков
разделить торрент, IPTV/IPRadio и серфинг
На торрент не влияет в правлах галочка all-p2p

522. Джамаль, 25.12.2012 12:38
german77

Если независимые, то запросто

Добавление от 25.12.2012 12:39:

г.ы.у.к
пробовал 23:00:00 - 1d 07:00:00 - не выходит

Попробуйте "не 7-00 - 23-00". Отрицание задаётся восклицательным знаком.


На торрент не влияет в правлах галочка all-p2p

Только Layer7

За это сообщение сказали спасибо: г.ы.у.к

523. german77, 25.12.2012 12:39
цитата:
Джамаль:
german77

Если независимые, то запросто

Спасибо, тогда заказываю rb450g.

524. г.ы.у.к, 25.12.2012 12:42
Джамаль


Только Layer7

заглядывал в Layer7, пустой, а я не знаю как называются пакеты торрентов, IP медиа, веб-трафик и трафик DownloadMaster
И в каком формате прописывать layer7


Попробуйте "не 7-00 - 23-00". Отрицание задаётся восклицательным знаком.

в винбоксе рядом со временем нет "!"

525. Джамаль, 25.12.2012 12:47
г.ы.у.к
в винбоксе рядом со временем нет "!"

Тогда в лоб - с 23:00 по 7:00 (1d не писать)



заглядывал в Layer7, пустой, а я не знаю как называются пакеты торрентов

Там надо регулярное выражение писать. Посмотрите в самом первом сообщении старой темы - там есть примеры, как резать торренты таким механизмом.

526. г.ы.у.к, 25.12.2012 12:50
Джамаль
Тогда в лоб - с 23:00 по 7:00

пробовал, ругается "Start time bigger than end time"


Посмотрите в самом первом сообщении старой темы - там есть примеры, как резать торренты таким механизмом.

а где можно взять regexp на веб-трафикб download master, IPTV, интернет-радио?

527. Ёжъ, 25.12.2012 16:11
г.ы.у.к, а возможно ли задать два интервала: 23:00-24:00 и 00:00-07:00?

528. г.ы.у.к, 25.12.2012 16:33
Ёжъ
можно, но что-то не хочется плодить сущностей

529. Джамаль, 25.12.2012 16:54
г.ы.у.к
а где можно взять regexp на веб-трафикб download master, IPTV, интернет-радио?

Тут я не подскажу - не копал этот механизм. Но, например, инетрадио я бы маркировал по UDP-датаграммам на определённый диапазон портов, IPTV тоже легко ловится и без регэкспов, веб-трафик ещё легче - там портов всего парочка, а кто жаловаться будет, того можно добавить в список

530. CuriousUser, 25.12.2012 23:08
Подскажите, пожалуйста, у кого с какой скоростью работает Билайн (L2TP) на 750 (750G), 751 (751G), 951-2n (у которого процессор не 400 МГц, а 300 МГц)? Например, в Москве.
Спасибо.

Забыл. Конечно по проводам, не по воздуху.

531. г.ы.у.к, 26.12.2012 08:29
Джамаль
IPTV тоже легко ловится и без регэкспов
свое ойпитв выловил, а вот интернет радио - каждый раз другой порт

532. Джамаль, 26.12.2012 08:31
г.ы.у.к

Тогда диапазон UDP-портов и список IP-адресов радиосерверов. Эти два критерия будут анализироваться одновременно - если пакет одному из них не соответствует (например, сервер не тот), то он по этому правилу обрабатываться не будет и пройдёт дальше по цепочке

533. alexlis51, 26.12.2012 12:28
Приехал мой микротик,не стал я городить огород,нашел готовый мануал по своему провайдеру с простыми очередями QoS очень доволен,но налетел на известные грабли пк+гигабитный микротик+дюна бейс 3.0 =тормоза воспроизводения по сети,обычно это лечут добавлением 100мбитного свитча,может кто то зоборол эту проблему софтовым методом?

534. LanMarket, 26.12.2012 13:41
цитата:
mgag:
2 удаленных офиса, в каждом - RB450G по 2 WAN подключения с постоянными реальными адресами IPv4 (WAN1 <- >WAN1 - ПРОВ1; WAN2 <- >WAN2 - ПРОВ2). Адреса первого провайдера используются для основного подключения к интернет, второго - как резервное (задействуется только когда основное подключение не работает).

Скрипты работают. При пропадании основного канала выхода в Интернет, на каждой из точек автоматически поднимается резервный.

Подскажите, как поверх этой системы с наименьшими потерями поднять L2 VPN, чтобы общая сеть 192.168.0.0/24 была доступна всегда, в т.ч. при пропадании связи с основным провайдером. Шифрование использовать не планирую.

на IP первого провайдера только в скрипт переключающий провайдеров, нужно добавить и PPTP клиента, чтобы в зависимости от провайдера, он конектился к нужному IP.

535. aek84, 26.12.2012 20:42
Добрый вечер,

Как правильно решить проблему:
В организации Mikrotik RB-2011, 2 интернет канала, на компьютерах стоит софт для SIP телефонии, необходимо выделять SIP трафик и направлять его на шлюз первого ISP, весь остальной трафик на второго провайдера. С маркировкой связываться не очень хочу в данном случае. Есть еще какие-то решения?

536. Джамаль, 26.12.2012 22:30
aek84

В данном случае маркировка это единственный способ выделить SIP-трафик. Только вот проблема: голос идёт не по SIP, а по UDP по непредсказуемым портам, а RouterOS не умеет ловить голосовой трафик на основе SIP-диалога

Не забывайте: SIP это протокол не телефонии, а поддержки соединения. То есть, он работает только в тот момент, когда вы трубку поднимаете, чтобы позвонить. Всё остальное время работают кодеки, настроенные при поднятии трубки

537. aek84, 26.12.2012 23:20
Джамаль
Спасибо, хорошо если маркировать то лучше это делать на уровне prerouting или forward?
У меня сейчас просто задача запретить прохождение всего forward трафика кроме IP телефонии на этот WAN порт. Но также есть задача разрешить входящие VPN L2TP/IPsec соединения на тот же самый WAN.

538. г.ы.у.к, 27.12.2012 09:24
aek84
я думаю prerouting, на следующем шаге будет меньше пакетов обрабатываться

Джамаль
подскажите, пожалуйста, можно как-то в винбоксе/микротике задать набор подсетей и создать для этого набора одно правило mangle для маркировки трафика? подсетей 12 штук, 12 правил как-то некошер писать

и что-то я не видел в микротике акцес листов

539. Джамаль, 27.12.2012 09:29
г.ы.у.к

Я тут недавно про супернеттинг рассказывал

Есть куча сетей:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24
192.168.4.0/24
192.168.5.0/24
192.168.6.0/24
192.168.7.0/24

Можно все эти сети подвести под один знаменатель, расширив в правилах маску и указав там 192.168.0.0/21. Под такое правило будет попадать адрес из любой из перечисленных подсетей

Или занести сети в список, а в правиле указать Src-address-list, вот и всё

Добавление от 27.12.2012 09:31:

г.ы.у.к
и что-то я не видел в микротике акцес листов

Зато есть адреслисты. А акцесслисты там разделены на адреслисты и фильтр.

Добавление от 27.12.2012 09:32:

/ip fire list add list=Trusted address=192.168.0.0/24
/ip fire filter add src-address-list=Trusted action=allow

Как-то так

За это сообщение сказали спасибо: г.ы.у.к

540. г.ы.у.к, 27.12.2012 09:33
Джамаль
я в курсе про объединение сетей через маски, у меня список моих локальных подсетей, если сделаю по ним супернеттинг в список попадут левые адреса, так что мне нужен именно список сетей
В правиле Src-address-list я вижу, вкладку Adress List я вижу, но в каком формате вписывать - хз
Пишу вида 109.61.128.0/20,109.61.176.0/20

541. Джамаль, 27.12.2012 09:36
г.ы.у.к
но в каком формате вписывать - хз

Одна запись - один адрес в формате a.b.c.d/m. Имена адреслистов могут повторяться:

/ip fire list add list=Trusted address=192.168.0.0/24
/ip fire list add list=Trusted address=192.168.1.0/24
/ip fire list add list=Trusted address=192.168.2.0/24
/ip fire list add list=Trusted address=192.168.3.0/24
/ip fire list add list=Trusted address=192.168.4.0/24
/ip fire list add list=Trusted address=192.168.5.0/24
/ip fire list add list=Trusted address=192.168.6.0/24
/ip fire list add list=Trusted address=192.168.7.0/24

В итоге, все указанные тут подсети будут занесены в один список по имени Trusted

542. г.ы.у.к, 27.12.2012 09:41
Джамаль
я через винбокс работаю, на консоль тяму маловато, но помогло - 10 листов с одним именем!
Спасибо!

543. Джамаль, 27.12.2012 09:46
Ну, тут что в винбоксе, что в комстроке, всё едино - параметры те же, принцип работы тот же

544. г.ы.у.к, 27.12.2012 11:23
А если два аплинка / два прова, как настроить микротик и шейпер между ними?
шапку смотрел

545. LanMarket, 27.12.2012 12:53
цитата:
aek84:
Добрый вечер,

Как правильно решить проблему:
В организации Mikrotik RB-2011, 2 интернет канала, на компьютерах стоит софт для SIP телефонии, необходимо выделять SIP трафик и направлять его на шлюз первого ISP, весь остальной трафик на второго провайдера. С маркировкой связываться не очень хочу в данном случае. Есть еще какие-то решения?

Равномерное распределение каналов двух провайдеров и доступ к их локальным ресурсам на роутере Mikrotik
(http://lanmarket.ua/stats/ravnomernoe-raspredelenie-kanalov-dvux-provajderov-i-dostup-k-ix-lokalnym-resursam-na-routere-mikrotik#.UNwMZfme4lQ)
За это сообщение сказали спасибо: г.ы.у.к

546. г.ы.у.к, 27.12.2012 12:59
LanMarket
спасибо, утащил в мемориз

547. vananabu, 27.12.2012 17:57
Добрый день,
подскажите, пожалуйста, имеется микротик который получает инет по l2tp и раздает во внутреннюю сеть 192.168.0.0/24, в сети имеется сервер, доступ к ресурсам которого организован через веб-интерфейс по ip компьютера и порту. Настроен впн сервер на микротике. Когда подключаюсь по vpn удаленно, чтобы получить доступ к локальной сети, компьютеры пингуются, но доступа к веб-интерфейсу нет. Proxy-arp на lan интерфейсе включен. Внутри сети доступ к ресурсам сервера через веб интерфейс есть. В настройках secrets в local address = 192.168.0.1, а remote address = 192.168.0.250. Для локалки раздаются адреса в диапазоне 192.168.0.2-192.168.0.200.

548. LanMarket, 27.12.2012 18:18
цитата:
vananabu:
Добрый день,
подскажите, пожалуйста, имеется микротик который получает инет по l2tp и раздает во внутреннюю сеть 192.168.0.0/24, в сети имеется сервер, доступ к ресурсам которого организован через веб-интерфейс по ip компьютера и порту. Настроен впн сервер на микротике. Когда подключаюсь по vpn удаленно, чтобы получить доступ к локальной сети, компьютеры пингуются, но доступа к веб-интерфейсу нет. Proxy-arp на lan интерфейсе включен. Внутри сети доступ к ресурсам сервера через веб интерфейс есть. В настройках secrets в local address = 192.168.0.1, а remote address = 192.168.0.250. Для локалки раздаются адреса в диапазоне 192.168.0.2-192.168.0.200.

Так просто и не ответить, причин может быть много. Это надо ковырять и смотреть.

549. vananabu, 27.12.2012 18:20
настраивал по http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#PPTP_Client для Connecting Remote Client

550. CuriousUser, 27.12.2012 21:57
Судя по отсутствию ответов, с Билайном Микротики никто не использует. Тогда подскажите, пожалуйста, с какой скоростью работают другие провайдеры по L2TP на 750 (750G), 751 (751G), 951-2n (у которого процессор не 400 МГц, а 300 МГц)? (По проводам, не по воздуху.)
Спасибо.

551. gamespb, 28.12.2012 02:50
CuriousUser
без vpn rb751 400MHZ прекрасно 100мбит. с впн у меня не было необходимости.(впн от провайдера - дикость какая то

552. Balzamalex, 28.12.2012 09:38
CuriousUser
У меня 750G
С билайном 60 тянет без проблем.
Собственно, на загрузку проца я не смотрю, сужу по скачиванию в торрентах.

553. sherwood, 28.12.2012 14:07
С наступающим!
посмотрите это петля:
220x84, 10.7Kb (http://itmages.ru/image/view/822491/a0f8f963)
имеется введу на первой cisco транковы порты 19 и 20, через них не гуляет трафик?

554. Джамаль, 28.12.2012 14:44
sherwood

Там же трансляция. Откуда там петля Разве если маршруты разрисованы так, чтобы образовать петлю

555. sherwood, 28.12.2012 14:56
забыл добавить, интернет от одного провайдера с двумя учетками, но я так думаю это не имеет значение потому что NAT на роутерах.

556. vananabu, 28.12.2012 16:18
Подскажите, пожалуйста, хотя бы в какую сторону "копать"!

557. PapaBear, 28.12.2012 19:26
ну Джамаль же уже выдал - маршрутизация артифишиал мб.

558. vananabu, 29.12.2012 18:46
PapaBear:

Вы по-видимому перепутали с sherwood, на мой вопрос никто толком ничего не сказал.

559. gamespb, 29.12.2012 19:23
vananabu
вы бы конфиги привели, и не так загадочно описывали желаемое.

560. PapaBear, 30.12.2012 04:31
да, извините, перепутал.
доступ до вн сервера с веб-мордой черещ "VPN" подращумевается из интернета?
какой VPN ?
PPTP мне к примеру - завести не удалось поверх L2TP, хотя мб я не умею его готовить.
вообще, идеально - прямо внутренним снифером миротика глянуть, чтобы не гадать. в torch чудесатости еще видны подобные, обычно[точнее чудесатое отсутствие обычных/нормальных вещей, как правило].

561. LanMarket, 03.01.2013 12:40
Кому интересно:
Расширенные настройки Mikrotik RouterOS: VPN сервер по протоколу PPTP (http://lanmarket.ua/stats/rasshirennye-nastroyki-Mikrotik-RouterOS:-VPN-server-po-protokolu-PPTP#.UOVDtfme4lR)

562. dim-soft, 03.01.2013 19:34
подскажите, через микротик 5.22 работала IP-АТС 3CX
удалил 3CX прописал учетные данные на телефоне Siemens C610IP - односторонняя слышимость: при входящих звонках меня слышно, а я не слышу.
порты проброшены не были, SIP в сервисах включен.

куда копать ? оператор sipgate.de

563. danik's, 03.01.2013 20:04
ros4.11
как заблочить отсылку мультикаст 239.192.152.143:6771 (это уторрента фича "Поиск локальных пиров") с определенного адреса, а то из-за него перестает работать иптв (в igmp proxy появляется unknown интерфейс).

564. ixerd, 03.01.2013 20:27
Всем добрый день!

Интересует: MikroTik RB751G-2HnD

У меня пров(ростелеком) отдаёт интернет, iptv и sip по 802.1q (если подключать все вместе)
Почитал отзывы про этот роутер.. увидел про QuickSet для юзверей ))
Подскажите, пожалуйста, смогу ли я подключив мультивервис у прова, раздать вланки на конкретные порты и подключить фигульку для телефона(d-link DVG-7111S, которую дает пров) и tv приставку(бывают всякие, какую прод даст) и компьютер, нормально всем этим пользоваться? и без сильных танцев при настройке? и чтобы по wifi был нормальный интернет или iptv, если wi-fi клиенту это необходимо?

Ещё интересует, достаточно нетривиальная задачка:
сей аппарат хочу подключить к дешевому интернету(99р за 30мбит), а сам находится хочу в отдаленности от него, но между этими местами очень хорошая скорость и маленький пинг(но, не просто локалка, а при наличии доступа в интернет, это называется нижегородское кольцо). Возможно ли то, чтобы он отдавал свой интернет в другое место прогоняя например через TP-LINK TL-WR741ND наверное это будет VPN ??
Сильно ли это сложно в настройке, и есть ли в этом смысл, не упрется ли это в какой то из узлов?
Прошу совета, если что то плохо описал, могу разжевать, без проблем. Всем откликнувшимся, заранее благодарен.

565. Джамаль, 03.01.2013 20:49
ixerd

Всё это можно, будет работать отлично. Настроить несложно.

Добавление от 03.01.2013 20:50:

dim-soft

Кроме SIP, надо ещё и UDP пробрасывать

566. dim-soft, 03.01.2013 21:05
Джамаль
Кроме SIP, надо ещё и UDP пробрасывать
пробовал вообще все с IP SIP сервера dstnat на ip телефона делать - не идет там трафик
в аппарате прописан SIP 5160 и rtp 5104-5120 но не знаю, как правильно это сделать.
обычно я на отдельном ip вешаю SIP и все заворачиваю на ip телефона, а тут немецкий оператор - у него даже не спросишь ничего

567. Джамаль, 03.01.2013 21:08
danik's
как заблочить отсылку мультикаст 239.192.152.143:6771

/ip fire filter add dst-addr=239.192.152.143 proto=udp dst-port=6771 src-addr=192.168.88.231 action=drop
Вот и всё

Добавление от 03.01.2013 21:16:

dim-soft
в аппарате прописан SIP 5160 и rtp 5104-5120 но не знаю, как правильно это сделать.

В телефоне прописано? Дело в том, что обычно rtp пускают поверх udp, и тогда надо транслировать UDP-датаграммы с нужными нам портами. Но rtp может работать и сам по себе, и тогда надо в поле protocol в трансляторе указывать не udp, а его собственный номер

За это сообщение сказали спасибо: danik's

568. danik's, 03.01.2013 21:35
Джамаль
хм, что-то не блочиться . в статистике этого правила все по нулям и в igmp proxy появляется unknown интерфейс.

569. dim-soft, 03.01.2013 22:01
Джамаль
очень все странно, в firewall в service отключил sip и все заработало

570. Sher-khaN!, 03.01.2013 23:07
dim-soft
Ничего странного. Скорее всего Ваш SIP-девайс имеет собственный NAT Traversal, что (как показывает практика) всегда приводит к проблемам при использовании дополнительного ALG от МТ.

571. PapaBear, 04.01.2013 10:53
ixerd Ростелекому вообще памятник ставить надо.
единственный норм пров с грамотной последней милей(у центела в Qwerty местами чудеса еще есть) и норм опоркой
завидую тем, к кому ТСЖ и ЖЭК-и - пускают его(под любыми брэндами), помимо прикормивших их домонетов, комкоров с мтс итп.
для Спецслужб, Кремля, Армии, школ, больниц - он видите-ли - достаточно хорош, а им - не нравится ?

внезапно поянл где грабли в своем MikrotTik-е. а то я чуть все голову не поломал !!
немного покурил Wiki, почитал вумных людей и включил в Роутинге
(там еще пару галочек бы пригодилось, тк в коммандную строку - лазать будут не все, а надо бы)
"RP Filter" в "Strict" и все стало работать по-феншую !!
https://tools.ietf.org/rfc/rfc3704.txt

мое IMHO, это должно быть дефолтом.
на SOHO-коробках и CPE - так обязатно.

К сообщению приложены файлы: 1.jpg, 536x512, 60Кb

572. LanMarket, 04.01.2013 17:14
цитата:
ixerd:
Всем добрый день!

Интересует: MikroTik RB751G-2HnD

У меня пров(ростелеком) отдаёт интернет, iptv и sip по 802.1q (если подключать все вместе)
Почитал отзывы про этот роутер.. увидел про QuickSet для юзверей ))
Подскажите, пожалуйста, смогу ли я подключив мультивервис у прова, раздать вланки на конкретные порты и подключить фигульку для телефона(d-link DVG-7111S, которую дает пров) и tv приставку(бывают всякие, какую прод даст) и компьютер, нормально всем этим пользоваться? и без сильных танцев при настройке? и чтобы по wifi был нормальный интернет или iptv, если wi-fi клиенту это необходимо?

Ещё интересует, достаточно нетривиальная задачка:
сей аппарат хочу подключить к дешевому интернету(99р за 30мбит), а сам находится хочу в отдаленности от него, но между этими местами очень хорошая скорость и маленький пинг(но, не просто локалка, а при наличии доступа в интернет, это называется нижегородское кольцо). Возможно ли то, чтобы он отдавал свой интернет в другое место прогоняя например через TP-LINK TL-WR741ND наверное это будет VPN ??
Сильно ли это сложно в настройке, и есть ли в этом смысл, не упрется ли это в какой то из узлов?
Прошу совета, если что то плохо описал, могу разжевать, без проблем. Всем откликнувшимся, заранее благодарен.

RB751G-2HnD - очень хорошая вещь. + много ф-н. Думаю не прогадайте если купите.

573. edc, 05.01.2013 19:22
Может кто с таким сталкивался.
Нужно сделать ipsec туннель между cisco asa и mikrotik.
Доступ нужен из моей локальной сети - 192.168.5.0/24 в сети компании у которой cisco - 172.16.0.0/16, 172.17.0.0/16.
У этой компании есть условие - со своей стороны в настройках ipsec они прописывают remote network - один ip 192.168.15.153.
У себя я указываю этот ip как local network.
Т.е. я должен на микротике настроить нат при доступе к их сетям через этот ip.
Такое в принципе возможно сделать? Мне нужно где-то прописывать ip 192.168.15.153 и как настроить нат на этот адрес?

574. Джамаль, 05.01.2013 20:28
edc
как настроить нат на этот адрес?

/ip fire nat и там поковыряться. Какой NAT надо получить-то?

575. edc, 05.01.2013 21:45
Да тут надо бы понять, нужно ли прописывать адрес 192.168.15.153 на локальном интерфесе или так будет работать.
Натить нужно при запросах из сети 192.168.5.0/24 в сети 172.16.0.0/16, 172.17.0.0/16 на адрес 192.168.15.153.

576. Джамаль, 05.01.2013 22:12
edc
нужно ли прописывать адрес 192.168.15.153 на локальном интерфесе или так будет работать.

Будет работать и так, если укажете действие src-nat вместо masquerade

577. edc, 05.01.2013 22:44
Т.е. так должно работать?
ip firewall nat add action=src-nat chain=srcnat src-address=192.168.5.0/24 dst-address=172.16.0.0/16 to-addresses=192.168.15.153

578. Джамаль, 06.01.2013 11:00
edc

Да. У меня, по крайней мере, так работает на многих маршрутизаторах.

579. german77, 08.01.2013 19:47
цитата:
Джамаль:
Если независимые, то запросто
Приехал мой mikrotik, теперь пытаюсь настроить задуманное.
При добавлении второго интерфейса

/routing igmp-proxy interface add interface=ether5 upstream=yes
failure: only one upstream interface allowed

Как же теперь быть.

580. dimkasimferopol, 09.01.2013 02:42
Вопрос, как задаются параметры автоповтора подключения по PPTP?
А то получается, что через некоторое время после статуса "enable" на интерфейсе VPN, из за неустойчивой работы сети соединение отключается ("R" пропадает значек) и более не восстанавливается, пока ручками не сделать "enable"

581. dimkasimferopol, 09.01.2013 23:16
Еще один вопрос - Микротик роутер ОС,
2 интерфейса "Lan" 10.1.1.21/16 и "Inet" 172.16.0.80/24
Интерфейс "Inet" имеет прямой выход на интернет? Через шлюз 172.16.0.1, он же и DNS сервер.
На Микротике поднят PPTP сервер.
Поднят маскарадинг на "Inet" 172.16.0.0/24 и на 172.16.0.1 прописан шлюз по умолчанию.
Все работает, но изумительно, но как сделать что бы интернетом могли пользоваться только пользователи подключившиеся по PPTPи не могли те кто просто прописал роут на этот сервер через интерфейс "Lan"?
А то получилось что прописал на любом компе из числа 10.1.0.0/16, шлюзом этот микротик и есть интернет(((

582. LanMarket, 10.01.2013 15:26
цитата:
dimkasimferopol:
Еще один вопрос - Микротик роутер ОС,
2 интерфейса "Lan" 10.1.1.21/16 и "Inet" 172.16.0.80/24
Интерфейс "Inet" имеет прямой выход на интернет? Через шлюз 172.16.0.1, он же и DNS сервер.
На Микротике поднят PPTP сервер.
Поднят маскарадинг на "Inet" 172.16.0.0/24 и на 172.16.0.1 прописан шлюз по умолчанию.
Все работает, но изумительно, но как сделать что бы интернетом могли пользоваться только пользователи подключившиеся по PPTPи не могли те кто просто прописал роут на этот сервер через интерфейс "Lan"?
А то получилось что прописал на любом компе из числа 10.1.0.0/16, шлюзом этот микротик и есть интернет(((

переписька по поводу вашего поста.

Он: VLAN - и он имеет доступ в инет!
к нему относятся только те, кто подключился по VPN.
Я: тобиш он может создать правило?
Он: нет!
Он: создать VLAN и пустить в интернет именно его!

583. dimkasimferopol, 11.01.2013 01:27
Немного не понятно...
1) я сделал VLAN66 с адресом из диапазона интернет сети "Inet" 172.16.0.79/24
и о каких действиях далее предполагалось? чем поможет VLAN?
маршрутизация на этот VLAN66 ничего не дала...
Прошу чуть чуть развернутее намекнуть)

584. Antonovps, 11.01.2013 12:29
Добрый день, ситуация такая Mikrotik с одной сетёвкой, больше не надо, локальная сеть, получает интеренет по PPTP протоколу, раздаёт также по PPTP протоколу, проблема Windows XP и Server 2003 всё работает нормально, Windows 7 не хочит ни в какую получать IP адрес....

585. PapaBear, 11.01.2013 17:03
в 6.0rc5 - заработал LCD в 2011-хе, внезапно )
почти готов к релизу rc7(раздают избранным уже, потихоньку).

586. Ёжъ, 11.01.2013 17:07
цитата (PapaBear):
заработал LCD в 2011-хе, внезапно )
В смысле? Неужели отросло эфирное телевидение?

Что ещё стало доступно?

587. Джамаль, 12.01.2013 10:54
german77
Как же теперь быть.

Использовать не простейший механизм igmp proxy, а более сложный Protocol Independent Multicast (http://wiki.mikrotik.com/wiki/Manual:Routing/Multicast)

588. leshiy_odessa, 12.01.2013 14:47
Периодически при заходе через winbox (x86) вываливается ошибка — mikrotik wrong username or password.
А ужас заключается в том что нужно убрать пароль и зайти без него.
гугление проблемы почти ни к чему не привело. У меня версия 5.21, но точно такая же ошибка (http://forum.mikrotik.com/viewtopic.php?f=2&t=23500) была на 3.xx

589. Джамаль, 12.01.2013 16:07
leshiy_odessa

А галка "Save password" не канает?

590. leshiy_odessa, 12.01.2013 19:59
Джамаль
А галка "Save password" не канает?


Галочка стоит. Веб интерфейс тоже не открывается.
Удаление папки AppData\Roaming\Mikrotik не помогает.
Удаление winbox и последующие "туда-сюда" тоже не помогают.

После перезагрузки компа пароль "возвращается".

591. Джамаль, 12.01.2013 20:28
leshiy_odessa

RouterOS легальная?

592. german77, 12.01.2013 21:24
цитата:
Джамаль:
german77
Как же теперь быть.

Использовать не простейший механизм igmp proxy, а более сложный Protocol Independent Multicast (http://wiki.mikrotik.com/wiki/Manual:Routing/Multicast)

Добавил интерфейсы в pim, в rp адресс какой адрес указывать?

593. Джамаль, 12.01.2013 22:35
german77

Вряд ли подскажу - не занимался настройкой PIM. Но там есть несколько примеров рядом

К этой теме 13.01.2013 00:02 moderator-Zdpn подклеил тему "Проблема доступа на роутер MikroTik RB2011UAS-2HnD-IN" (автор: NorthHokum)

595. NorthHokum, 12.01.2013 23:59
Здравствуйте!

Боард: MikroTik RB2011UAS-2HnD-IN, beeline L2tp, Win7

Было: Настроил через Winbox коннект роутера с Билайн, инет работает, начал настраивать wi-fi, сменил SSID, установил частоту, коннекта со смартфоном нет. Прочитал в инете, что нужно войти через 192.168.88.1/cfg (упрощённый режим) и в настройках безопасности поставить галочки на Firewall, NAT и ещё чём-то, так и сделал, применительно к порту куда заходит кабель от Билайна.

Проблема: Инет работает, wi-fi не работает. НИЧЕМ НЕ МОГУ ЗАЙТИ НА РОУТЕР.
Ругается:
- при попытке через Winbox (MAC) - Could not connect to _ (mac adress)_ (port 20561) - timed out!
- при попытке через Winbox (IP) - долго коннектится на port 8291, потом пишет Port 0, после чего сообщение: Could not connect to _ (IP adress:80)_ - no response!
ssh также не даёт отзыва (connection timed is out)
выполнить: ping IP роутера (превышен интервал ожидания запроса)

Товарищи, как зайти на роутер или до захода отменить правила NAT и Firewall, не используя Reset. На компе не стоят firewalls, только брандмауэр, но его отключал, результат не меняется.
Боарду 2 дня не хочу вскрывать.

Спасибо

596. densen2002, 13.01.2013 01:23
Можно ли на RB-750G поднять сервер (агент) The Dude?

Хватит ли памяти ?

597. Джамаль, 13.01.2013 10:29
NorthHokum

цитата (мануал):
• RouterBOOT reset button (back side of the case) has several functions:
-Hold the button before powering on the device, and at power up, the button will force load the backup bootloader. Continue holding the button for the other two functions of this button:
--Release the button when green LED starts flashing, to reset RouterOS configuration. To not load backup bootloader, you can start holding the button after power is already applied
--Release the button after LED is no longer flashing (~20 seconds) to cause device to look for Netinstall servers (required for reinstalling RouterOS over network)
• RouterOS reset jumper hole (bottom of the case): resets RouterOS software to defaults. Hold screwdriver pressed to this reset hole, and boot the device. Hold screwdriver in place until RouterOS configuration is cleared (10 seconds).

598. ulcha, 13.01.2013 15:30
всем привет. Имею Mikrotik RB750 и с некоторых пор он не дает посещать сайт broadcastnow.ru через который у нас проходит трансляция. Подключаемся через PPPoE и если подключать любой пк напрямую, не через роутер, то этот сайт работает нормально. Может ли на самом сайте нас заблокировать или все же это микротик и как с этим бороться. Спасибо.

599. Sher-khaN!, 13.01.2013 17:26
densen2002
Можно ли на RB-750G поднять сервер (агент) The Dude?
Не стоит этого делать. Даже 450G загибается с загрузкой проца под 60% (это без трафика и пр.) и большим кол-вом записей в флеш. Требования к памяти где то 20Мб если я не путаю. Увы посмотреть сейчас уже не могу - снес давно эту программу. (точнее перенес на машинку с Win7, где она работает прекрасно)

600. Джамаль, 13.01.2013 18:59
ulcha

Что значит "не даёт посещать"? Вообще не показывает ничего, даже окошка для ввода логина и пароля?

601. NorthHokum, 13.01.2013 20:21
Джамаль
Спасибо. Зарезетил успешно.

Теперь настраиваю L2tp билайна на нём, все прописал, L2tp client пишет - connected, в Билайн звонил, они сказали, что видят меня, но в консоли пишу: ping yandex.ru (к примеру), ответ timeout, 100% пакетов loss.
В чём может быть проблема?

602. Джамаль, 13.01.2013 21:16
NorthHokum

Маршрут по умолчанию там прописывается? В свойствах l2tp-клиента есть галка Use default route, она должна быть

603. NorthHokum, 13.01.2013 21:40
Джамаль
Галка стоит.
Не знаю имеет значение или нет, но у меня статIP.

604. ulcha, 13.01.2013 22:09
цитата:
Джамаль:
ulcha

Что значит "не даёт посещать"? Вообще не показывает ничего, даже окошка для ввода логина и пароля?

Именно, а по другим сайтам лазит без проблем. А нужный сайт не пингует даже. А если напрямую то все гуд. Сегодня пришлось трансляцию напрямую пускать. А после подключил всю сеть и о чудо он снова начал работать. И так постоянно, то работает то нет. Но напрямую всегда работает. Я так понял что где-то роутер подзагоняет.

605. Джамаль, 14.01.2013 07:41
ulcha

Тогда покажите, что говорят /int print, /ip rou export и /ip fire nat export

Добавление от 14.01.2013 07:42:

NorthHokum
Не знаю имеет значение или нет, но у меня статIP

В смысле, вы самостоятельно набираете IP-адрес на этом интерфейсе? Или имеется в виду, что провайдер вам выдаёт всегда один адрес?

606. maxwellkiev, 14.01.2013 17:58
Добрый день.
Подскажите, пожалуйста, по работе функционала ssh tunneling (хожу в интернет через домашний роутер).
Имею RB2011, настроил, включил "ip ssh set forwarding-enabled=yes".
Подключаюсь удаленно по ssh через путти (0.62).
Запускаю браузер, соединение "залипает" через секунду-полторы. Легкие странички успевают загружаться, тяжелые не успевают. Консоль тоже не отвечает. После переустановки соединения все повторяется.
Пинги на устройство при этом идут отлично, т.е. залипает не сам девайс, а именно соединение.
Загрузка ресурсов на роутере - минимум. Версия ПО 5.22.

С микротиком имею дело впервые.
Подозреваю, что дело в настройках, возможно, какая-то секьюрити фича, но сходу не могу понять, в чем дело.

Заранее благодарен за помощь.

607. Джамаль, 14.01.2013 18:17
maxwellkiev

А чего вы хотите добиться от ssh туннеля?

608. NorthHokum, 14.01.2013 20:22
Джамаль
Провайдер выдаёт внешний IP, всегда одинаковый, я купил услугу статического IP, у меня на нём сервер висит
А в роутере я ничего не менял, как я понимаю, там смтандартный 192,168,88,1

609. mago, 14.01.2013 20:43
Есть RB751G-2HnD и есть ноутбук Samsung R20 c Windows Vista. Оба прекрасно дружат по WiFi с кем угодно, кроме друг друга.

Сбрасывал настройки wifi на тике, удалял-создавал соединения на ноуте, чистил ARP, перезагружал оба девайса десяток раз. Ноут удачно получает настройки по DHCP, появляется на тике в DHCP Leases и Wireless Registration, и дальше всё, даже тик не пингуется с Host unreachable. На тике на wifi-интерфейсе в Torch видно всякие броадкасты, наверное как раз ноут пытается куда-то достучаться. и никакой реакции. На ноуте в wireshark видно ARP запросы вида "Who has <ip тика>, tell <ip ноута>" без ответов.

Правило firewall forward-accept, NAT masquerade соответственно. Никаких доп. фильтраций и т.д.. Мобильники и проч. к этому микротику прекрасно цепляются, ноут к другим точкам тоже. В чём может быть дело?

610. Джамаль, 14.01.2013 22:25
mago

Какая версия RouterOS? Было дело, у них был глюк в ARP в одной из версий

611. maxwellkiev, 15.01.2013 09:05
Джамаль
Гонять через него интернет-трафик (putty proxy)

612. Джамаль, 15.01.2013 09:30
maxwellkiev

А другие способы не катят? Например, трансляция, веб-прокси, PPPoE-туннель

Добавление от 15.01.2013 09:31:

просто SSH туннель не очень-то рассчитан на боевое применение в качестве основного механизма раздачи трафика - это, в основном, админский струмент для проверки и настройки.

613. mago, 15.01.2013 09:33
Джамаль

5.20 вроде бы

614. Ёжъ, 15.01.2013 09:38
mago, поднимите до текущей 5.22 для начала, у меня на 5.19 тоже были проблемы wi-fi соединения с одним из медиа-плееров.

615. maxwellkiev, 15.01.2013 09:41
Джамаль
Ну на дешевых роутерах, типа tp-link и linksys, работает же на ура.
Взял mikrotik, т.к. дешевые подвисали иногда из-за нагрузки, а тут такой облом.

К этой теме 15.01.2013 18:00 moderator-Zdpn подклеил тему "Mikrotik rb750 и ISA Server 2006 L2TP+IPsec" (автор: sidex84)

617. sidex84, 15.01.2013 17:59
Mikrotik rb750 и ISA Server 2006 L2TP+IPsec

Добрый день.

Купил я себе сие дэвайс. Честно скажу, прочитал я много статей по его настройке, но в принципе все они на типовые решения. В частности используют шаред кей. Но у меня задача использовать на Микротике сертификат, а точнее два сертификата, один из них сертификат CA, а второй IPsec сертификат проверки роутера. Так вот, поделитесь опытом плиз кто настраивал такое:
Имею некий домен, VPN Server на ISA Server 2006, Mikrotik выступает как site-to-site клиент, есть доменный центр сертификации. На ISA подняты соединения site-to-site с использованием сертификатов. На ISA и Микротике IP адреса белые.

Очень прошу войти в положение, кидайте ссылки Very Happy буду курить.

З.Ы. Желающим помочь предоставлю всю необходимую информацию незамедлительно.

Заранее благодарен за советы и помощь.

618. d_war_f, 15.01.2013 18:20
Здравствуйте всем!
Помогите, пожалуйста, разобраться. Есть Микротик 433АН. Он является граничным в сети филиала, связь с головным офисом осуществляется через ipip.
Проблема в том, что в качестве сервера девайс работать отказывается. Делал всё по инструкции (http://%22http://wiki.mikrotik.com/wiki/Manual:IP/Proxy%22) . Не помогает, браузер пишет "невозможно отобразить страницу", в логе микротика видно что-то типа "DROP INPUT input: in:ether3 out none) src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 192.168.1.55:58508->192.168.1.1:8080, len32". Эта ошибка проявляется вне зависимости от того, прописано или нет правило в НАТе. Если отключить все правила фаервола или просто добавить правило типа accept на диапазон 192.168.1.0/24, то в логах надписи появляться перестанут, но пользователи от этого в интернет ходить не начнут.
Без прокси всё работает чудесно. Вышеописанная карусель происходит также если адрес микротика как прокси выдавать через GPO, а не через перенаправление портов в самом микротике.

619. maxwellkiev, 15.01.2013 19:06
Обнаружил интересную закономерность по моей проблеме.
Если ходить в интернет через ИЕ - все работает.
Как только запускаешь оперу или хром - роутер залипает.

Теперь я вообще в растерянности.

620. Sher-khaN!, 15.01.2013 20:22
maxwellkiev
Если ходить в интернет через ИЕ - все работает
Попробуйте увеличить длину ключа

621. Sergey Gavrilenko, 16.01.2013 00:10
Подскажите что это такое ?
В логе появляется такое
код:
01-15-2013 21:56:55 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth 
01-15-2013 21:56:56 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth (8 deauths suppressed)
01-15-2013 21:56:56 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth
01-15-2013 21:56:56 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth
01-15-2013 21:56:56 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth
01-15-2013 21:56:56 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth (21 deauths suppressed)
01-15-2013 21:56:57 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth
01-15-2013 21:56:57 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth
01-15-2013 21:56:57 Daemon.Info 192.168.13.1 Jan 15 21:57:01 V65 Router wlan1: data from unknown device B0:D0:9C:10:D0:C0, sent deauth (8 deauths suppressed)

После чего через пару минут роутер перегружает WiFi.
MAC от телефона жены. Samsung Galaxy Gio.

622. Sher-khaN!, 16.01.2013 02:04
Sergey Gavrilenko
Ломают Вас

623. Sergey Gavrilenko, 16.01.2013 08:50
Sher-khaN!
Ломают Вас
С телефона жены ?

624. sidex84, 16.01.2013 10:36
Чё, ни кто не поможет моей проблеме?

625. Джамаль, 16.01.2013 11:19
sidex84

RouterOS не умеет общаться с доменом, поэтому сертификаты вы должны ему ручками подсовывать. Максимум, что может сделать RouterOS, это попросить разрешения у RADIUS

626. sidex84, 16.01.2013 11:52
цитата:
Джамаль:
sidex84

RouterOS не умеет общаться с доменом, поэтому сертификаты вы должны ему ручками подсовывать. Максимум, что может сделать RouterOS, это попросить разрешения у RADIUS
RADIUS поднят. Да и к тому-же зачем тогда меню system-certificates и в настройках ipsec меню ip-IPsec-Keys? Ну и до кучи в настройках ip-IPsec-Peers можно указать Auth.Method-RSA Signature. Только вот как это всё работает...

627. Джамаль, 16.01.2013 13:54
sidex84

IPSec (http://wiki.mikrotik.com/wiki/Manual:IP/IPsec)
Сертификаты (http://wiki.mikrotik.com/wiki/Manual:System/Certificates)

628. x-system, 17.01.2013 00:12
Здравствуйте!) Посоветуйте проверенный микротик. Требование такие:
*Гигабитные порты
*Мог потянуть терминирование около 20-30ти openvpn - подключений.
*Внешнего траффика около 20 мегабит.
*Внутренний трафффик постоянный - около гигабита.
*Нормально работал бондинг

Выбираю между ccr36 и 1100 ah x2
ccr36 - еще сыроват, прошивка сырая. А к сожалению так вышло, что оборудование поменять или получить к нему доступ будет ну очень сложно. По этому вот думаю, 1100 ah x2 проверен же временем уже) Что вы скажете?

629. Fanuil, 17.01.2013 01:29
Доброго времени суток всем.
Стал обладателем Mikrotik RB2011UAS-IN , вест день его мучал и вот он вроде стал работать по ppoe и раздавать айпишники по всем интерфейсам.... Честно говоря, настройка на том же debian роутере была легче. В общем сил у меня уже не осталось, но осталось два вопроса.
1) Правила фаервола/ната для DMZ зоны, что бы все входящии соединения на внешнем ip перекидывались на 192.168.0.2
2) После загрузки девайса, интернет появляется как-то не охотно, сначала все лагает и тормозит, то днс отваливаются то таймауты, но потом вроде разогревается... это нормальное поведение?

UPD

1 вопрос решил, и вроде даже работает, остался вопрос номер 2, несколько раз ребутал, дисплей загорается, айпишники раздаются, но фактически инет появляется только спустя минут 5-8

630. LanMarket, 17.01.2013 14:57
цитата:
x-system:
Здравствуйте!) Посоветуйте проверенный микротик. Требование такие:
*Гигабитные порты
*Мог потянуть терминирование около 20-30ти openvpn - подключений.
*Внешнего траффика около 20 мегабит.
*Внутренний трафффик постоянный - около гигабита.
*Нормально работал бондинг

Выбираю между ccr36 и 1100 ah x2
ccr36 - еще сыроват, прошивка сырая. А к сожалению так вышло, что оборудование поменять или получить к нему доступ будет ну очень сложно. По этому вот думаю, 1100 ah x2 проверен же временем уже) Что вы скажете?

ccr36 - насколько мне известно, там все установлено сразу и готово к работе. Довелось по щупать его.

Добавление от 17.01.2013 15:12:

цитата:
Fanuil:
Доброго времени суток всем.
Стал обладателем Mikrotik RB2011UAS-IN , вест день его мучал и вот он вроде стал работать по ppoe и раздавать айпишники по всем интерфейсам.... Честно говоря, настройка на том же debian роутере была легче. В общем сил у меня уже не осталось, но осталось два вопроса.
1) Правила фаервола/ната для DMZ зоны, что бы все входящии соединения на внешнем ip перекидывались на 192.168.0.2
2) После загрузки девайса, интернет появляется как-то не охотно, сначала все лагает и тормозит, то днс отваливаются то таймауты, но потом вроде разогревается... это нормальное поведение?

UPD

1 вопрос решил, и вроде даже работает, остался вопрос номер 2, несколько раз ребутал, дисплей загорается, айпишники раздаются, но фактически инет появляется только спустя минут 5-8


У вас скорей всего что не правильно настроено.

631. doker, 17.01.2013 17:20
День добрый уважаемые !!
подмогните советом пжл, есть микротик rb2011ls-in , в силу необходимости 3 порта подключены к одному мастеру, очень необходимо порезать и преоритизировать скорость на этих портах. счас весь трафик на всех этих 4-х портах не отслеживается в микротике ....
весь внимание и заранее благодарю.

632. LanMarket, 17.01.2013 18:16
цитата:
doker:
День добрый уважаемые !!
подмогните советом пжл, есть микротик rb2011ls-in , в силу необходимости 3 порта подключены к одному мастеру, очень необходимо порезать и преоритизировать скорость на этих портах. счас весь трафик на всех этих 4-х портах не отслеживается в микротике ....
весь внимание и заранее благодарю.

Расширенные настройки Mikrotik RouterOS: динамическое распределение ширины канала (http://lanmarket.ua/stats/rasshirennye-nastrojki-mikrotik-routeros:-dinamicheskoe-raspredelenie-shiriny-kanala#.UPgHnn2e4lR)

633. Fanuil, 17.01.2013 18:40
цитата:

цитата:
Fanuil:
Доброго времени суток всем.
Стал обладателем Mikrotik RB2011UAS-IN , вест день его мучал и вот он вроде стал работать по ppoe и раздавать айпишники по всем интерфейсам.... Честно говоря, настройка на том же debian роутере была легче. В общем сил у меня уже не осталось, но осталось два вопроса.
1) Правила фаервола/ната для DMZ зоны, что бы все входящии соединения на внешнем ip перекидывались на 192.168.0.2
2) После загрузки девайса, интернет появляется как-то не охотно, сначала все лагает и тормозит, то днс отваливаются то таймауты, но потом вроде разогревается... это нормальное поведение?

UPD

1 вопрос решил, и вроде даже работает, остался вопрос номер 2, несколько раз ребутал, дисплей загорается, айпишники раздаются, но фактически инет появляется только спустя минут 5-8
У вас скорей всего что не правильно настроено.
Знать бы еще что, сейчас вроде все рабоатет номрально. Еще у меня вопрос появился, к микторику подключена точка доступа в режиме моста, и вот заметил, что не пускает на некотоыре сайты(например apple.com), то есть нет резолва днс, в чем может быть проблема? кэш днс?
Сейчас увелечил кэш, ребутнулся, сайт заработал

634. SealXXX, 17.01.2013 23:11
Подскажите, пожалуйста.
Устанавливаю фильтры, по правилу - "все запретить, разрешить только необходимое".
Т.е., после разрешающих правил следует общий запрет. Касается и input, и forward.
Есть ли смысл в таком случае дополнительно вводить правила для запрета сканирования портов?, примерно такие -
/ip firewall filter
add action=reject chain=forward comment="Reject NEW" connection-state=new disabled=no in-interface=!ether2 reject-with=icmp-network-unreachable
add action=reject chain=input comment="Reject NEW" connection-state=new disabled=no in-interface=!ether2 reject-with=icmp-network-unreachable
Сдается, что они будут откровенно излишни.

635. ixerd, 17.01.2013 23:29
Всем привет, присматриваюсь к микротику.

Интересует, какой самый лучший для него торрент клиент? а то, гуглить начал, и вообще ничего по теме не нашёл(( Есть ли вообще под него торрент клиенты?

Конкретно интересует моделька: RB751G-2HnD.

UPD
нашёт тут вот это
Mikrotik RouterOS. Применение, настройки, возможности. Обмен опытом. (часть 2), #456 (http://forum.ixbt.com/topic.cgi?id=14:57592:456#458)

Для всех ли это справедливо? Совсем никак торрент не поднять?

636. maximil66, 17.01.2013 23:45
Никак, и Слава Богу.

637. ixerd, 18.01.2013 00:31
Жаль
И на альтернативных прошивках тоже?


А общий доступ из вне к подключенным накопителям возможно поднять?
Хотелось бы замутить, что то типо своего облака интересует изящный доступ, например, по протоколу WebDAV

638. maximil66, 18.01.2013 00:37
цитата:
ixerd:
Жаль
И на альтернативных прошивках тоже?


А общий доступ из вне к подключенным накопителям возможно поднять?
Хотелось бы замутить, что то типо своего облака интересует изящный доступ, например, по протоколу WebDAV
Выбор NAS (часть 3) (http://forum.ixbt.com/topic.cgi?id=11:43924) как то так или NAS своими руками (часть 7) (http://forum.ixbt.com/topic.cgi?id=11:44629)

639. gamespb, 18.01.2013 02:06
ixerd
есть альтернативные прошивки, dd-wrt, но микротик как операционка рулит )

Добавление от 18.01.2013 02:08:

RB951G-2HnD цена та же, а железка в 4 раза интересней )

640. doker, 18.01.2013 09:25
цитата:
LanMarket:
цитата:
doker:
День добрый уважаемые !!
подмогните советом пжл, есть микротик rb2011ls-in , в силу необходимости 3 порта подключены к одному мастеру, очень необходимо порезать и преоритизировать скорость на этих портах. счас весь трафик на всех этих 4-х портах не отслеживается в микротике ....
весь внимание и заранее благодарю.
Расширенные настройки Mikrotik RouterOS: динамическое распределение ширины канала (http://lanmarket.ua/stats/rasshirennye-nastrojki-mikrotik-routeros:-dinamicheskoe-raspredelenie-shiriny-kanala#.UPgHnn2e4lR)
вы не внимательно прочитали мой вопрос, в такой конфигурации трафик НЕ отслеживается в роутере. и стандартные очереди его не могут контролировать
псы, и конечно-же я пробовал ограничивать и простыми очередями, и очередями на интерфейсе
походу в таком режиме порты работают на 2-м уровне
псы.псы. копаю дальше, ключевое слово бридж

641. gamespb, 18.01.2013 13:01
doker
через winbox interfaces "нужный интерфейс" general bandwidth
а вот с QoS хз

642. prohor1976, 19.01.2013 19:51
Здравствуйте.
Подскажите по проблеме с пингом.
Канал adsl ~2M/0.5M включен SRC-NAT. Задача в том чтобы был небольшой и стабильный пинг для онлайн игр для компьютера из группы А.
Пока другие клиенты ничего не качают (или не подключены) пинг нормальный. Как только один из клиентов начинает качать со скоростью , допустим, килобит 300-400, пинг начинает скакать. Канал вроде бы не забит (для клиентов стоит ограничение по скорости), приоритет самый высокий - что делать не понятно
конфиг
jan/19/2013 21:33:47 by RouterOS 5.15 # # /ip firewall mangle add action=accept chain=forward comment=CLASS-B disabled=yes add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=no \ new-connection-mark=CLASS-B passthrough=yes add action=mark-packet chain=forward comment=CLASS-B-GROUP-C-DL \ connection-mark=CLASS-B disabled=no new-packet-mark=CLASS-B-GROUP-C-DL \ passthrough=yes src-address-list=!ShaperExclude add action=mark-packet chain=forward comment=CLASS-B-GROUP-B-DL \ connection-mark=CLASS-B disabled=no dst-address-list=GROUP-B \ new-packet-mark=CLASS-B-GROUP-B-DL passthrough=yes src-address-list=\ !ShaperExclude add action=mark-packet chain=forward comment=CLASS-B-GROUP-A-DL \ connection-mark=CLASS-B disabled=no dst-address-list=GROUP-A \ new-packet-mark=CLASS-B-GROUP-A-DL passthrough=yes src-address-list=\ !ShaperExclude add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-C-UP \ connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude \ new-packet-mark=CLASS-B-GROUP-C-UP passthrough=yes src-address-list=\ GROUP-C add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-B-UP \ connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude \ new-packet-mark=CLASS-B-GROUP-B-UP passthrough=yes src-address-list=\ GROUP-B add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-A-UP \ connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude \ new-packet-mark=CLASS-B-GROUP-A-UP passthrough=yes src-address-list=\ GROUP-A add action=accept chain=forward comment=CLASS-A disabled=yes add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=no \ new-connection-mark=CLASS-A passthrough=yes src-address-list=\ CLASS-A-SITES add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=no \ dst-address-list=CLASS-A-SITES new-connection-mark=CLASS-A passthrough=\ yes add action=mark-packet chain=forward comment=CLASS-A-GROUP-C-DL \ connection-mark=CLASS-A disabled=no dst-address-list=GROUP-C \ new-packet-mark=CLASS-A-GROUP-C-DL passthrough=yes src-address-list=\ !ShaperExclude add action=mark-packet chain=forward comment=CLASS-A-GROUP-B-DL \ connection-mark=CLASS-A disabled=no dst-address-list=GROUP-B \ new-packet-mark=CLASS-A-GROUP-B-DL passthrough=yes src-address-list=\ !ShaperExclude add action=mark-packet chain=forward comment=CLASS-A-GROUP-A-DL \ connection-mark=CLASS-A disabled=no dst-address-list=GROUP-A \ new-packet-mark=CLASS-A-GROUP-A-DL passthrough=yes src-address-list=\ !ShaperExclude add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-C-UP \ connection-mark=CLASS-A disabled=no dst-address-list=!ShaperExclude \ new-packet-mark=CLASS-A-GROUP-C-UP passthrough=yes src-address-list=\ GROUP-C add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-B-UP \ connection-mark=CLASS-A disabled=no dst-address-list=!ShaperExclude \ new-packet-mark=CLASS-A-GROUP-B-UP passthrough=yes src-address-list=\ GROUP-B

jan/19/2013 21:37:20 by RouterOS 5.15 # # /queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=1550k name=DOWNLOAD packet-mark="" parent=global-out priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=450k name=UPLOAD packet-mark="" parent=global-total priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=450k name=GROUP-A-UP packet-mark="" parent=UPLOAD priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=150k name=GROUP-B-UP packet-mark="" parent=UPLOAD priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=120k name=GROUP-C-UP packet-mark="" parent=UPLOAD priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=1500k name=GROUP-A-DL packet-mark="" parent=DOWNLOAD priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=512k name=GROUP-B-DL packet-mark="" parent=DOWNLOAD priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=512k name=GROUP-C-DL packet-mark="" parent=DOWNLOAD priority=8 /queue type set 0 kind=pfifo name=default pfifo-limit=50 set 1 kind=pfifo name=ethernet-default pfifo-limit=50 set 2 kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5 set 3 kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 \ red-limit=60 red-max-threshold=50 red-min-threshold=10 set 4 kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5 add kind=pcq name=GROUP-A-DL pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=dst-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=50 pcq-rate=0 pcq-src-address-mask=32 \ pcq-src-address6-mask=64 pcq-total-limit=2000 add kind=pcq name=GROUP-B-DL pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=dst-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=50 pcq-rate=500k pcq-src-address-mask=\ 32 pcq-src-address6-mask=64 pcq-total-limit=2000 add kind=pcq name=GROUP-C-DL pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=dst-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=50 pcq-rate=400k pcq-src-address-mask=\ 32 pcq-src-address6-mask=64 pcq-total-limit=2000 add kind=pcq name=GROUP-A-UP pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=src-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=150 pcq-rate=0 pcq-src-address-mask=32 \ pcq-src-address6-mask=64 pcq-total-limit=2000 add kind=pcq name=GROUP-B-UP pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=src-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=150 pcq-rate=150k \ pcq-src-address-mask=32 pcq-src-address6-mask=64 pcq-total-limit=2000 add kind=pcq name=GROUP-C-UP pcq-burst-rate=0 pcq-burst-threshold=0 \ pcq-burst-time=10s pcq-classifier=src-address pcq-dst-address-mask=32 \ pcq-dst-address6-mask=64 pcq-limit=150 pcq-rate=120k \ pcq-src-address-mask=32 pcq-src-address6-mask=64 pcq-total-limit=2000 set 11 kind=none name=only-hardware-queue set 12 kind=mq-pfifo mq-pfifo-limit=50 name=multi-queue-ethernet-default set 13 kind=pfifo name=default-small pfifo-limit=10 /queue simple add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=512k/1512k name=inet \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses="" total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=1M/1M name=144 \ packet-marks="" parent=inet priority=1 queue=default/default \ target-addresses=192.168.1.144/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=15k/500k max-limit=128k/512k name=244 \ packet-marks="" parent=inet priority=8 queue=GROUP-C-UP/GROUP-C-DL \ target-addresses=192.168.1.244/32 total-max-limit=500k total-queue=\ default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=251 \ packet-marks="" parent=inet priority=8 queue=default-small/default-small \ target-addresses=192.168.1.251/32 total-max-limit=300k total-queue=\ default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=1M/10M name=\ "137 \ED\EE\F7\FC" packet-marks="" parent=none priority=8 queue=\ default/default target-addresses=192.168.1.137/32 time=\ 30m-7h,sun,mon,tue,wed,thu,fri,sat total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=137 \ packet-marks="" parent=inet priority=8 queue=default/default \ target-addresses=192.168.1.137/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=55M/55M name=147 \ packet-marks="" parent=none priority=1 queue=default-small/default-small \ target-addresses=192.168.1.147/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=2M/1256k name=146 \ packet-marks="" parent=none priority=1 queue=default-small/default-small \ target-addresses=192.168.1.146/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=128k/412k max-limit=128k/412k name=253 \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.253/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=100k/500k name=250 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.250/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=252 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.252/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=241 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.241/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=128k/312k max-limit=128k/412k name=254 \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.254/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=16 \ packet-marks="" parent=none priority=5 queue=default/default \ target-addresses=192.168.1.16/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/412k name=130 \ packet-marks="" parent=none priority=5 queue=default/default \ target-addresses=192.168.1.130/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/412k name=131 \ packet-marks="" parent=none priority=5 queue=default/default \ target-addresses=192.168.1.131/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=1M/10M name=136n \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.136/32 time=30m-7h,sun,mon,tue,wed,thu,fri,sat \ total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=136 \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.136/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=149 \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.149/32 total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/2M name="138 N" \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.138/32 time=0s-7h,sun,mon,tue,wed,thu,fri,sat \ total-queue=default add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/1M name=138 \ packet-marks="" parent=none priority=8 queue=default/default \ target-addresses=192.168.1.138/32 total-queue=default add burst-limit=0/2M burst-threshold=0/1200k burst-time=0s/10s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=145 \ packet-marks="" parent=none priority=5 queue=default/default \ target-addresses=192.168.1.145/32 total-queue=default add burst-limit=0/2M burst-threshold=0/1200k burst-time=0s/10s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=143 \ packet-marks="" parent=none priority=5 queue=default/default \ target-addresses=192.168.1.143/32 total-queue=default add burst-limit=512k/1M burst-threshold=256k/650k burst-time=10s/10s \ direction=both disabled=no interface=all limit-at=0/0 max-limit=256k/512k \ name=2 packet-marks="" parent=none priority=5 queue=\ default-small/default-small target-addresses=192.168.1.2/32 total-queue=\ default-small add burst-limit=512k/1M burst-threshold=256k/650k burst-time=10s/10s \ direction=both disabled=no interface=all limit-at=0/0 max-limit=256k/512k \ name=3 packet-marks="" parent=none priority=5 queue=\ default-small/default-small target-addresses=192.168.1.3/32 total-queue=\ default-small add burst-limit=512k/1M burst-threshold=256k/650k burst-time=10s/10s \ direction=both disabled=no interface=all limit-at=0/0 max-limit=128k/512k \ name=4 packet-marks="" parent=none priority=5 queue=\ default-small/default-small target-addresses=192.168.1.4/32 total-queue=\ default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=7 \ packet-marks="" parent=none priority=5 queue=default-small/default-small \ target-addresses=192.168.1.7/32 total-queue=default-small add burst-limit=512k/1M burst-threshold=256k/650k burst-time=10s/10s \ direction=both disabled=no interface=all limit-at=0/0 max-limit=256k/512k \ name=20 packet-marks="" parent=none priority=5 queue=\ default-small/default-small target-addresses=192.168.1.20/32 total-queue=\ default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=64k/412k name=21 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.21/32 total-queue=default-small add burst-limit=512k/1M burst-threshold=256k/650k burst-time=10s/10s \ direction=both disabled=no interface=all limit-at=0/0 max-limit=256k/512k \ name=5 packet-marks="" parent=none priority=5 queue=\ default-small/default-small target-addresses=192.168.1.5/32 total-queue=\ default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=64k/412k name=22 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.22/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/412k name=10 \ packet-marks="" parent=none priority=5 queue=default-small/default-small \ target-addresses=192.168.1.10/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=224 \ packet-marks="" parent=none priority=8 queue=default-small/default-small \ target-addresses=192.168.1.224/32 total-queue=default-small add burst-limit=512k/0 burst-threshold=256k/0 burst-time=10s/0s direction=\ both disabled=no interface=all limit-at=0/0 max-limit=256k/512k name=17 \ packet-marks="" parent=none priority=5 queue=default-small/default-small \ target-addresses=192.168.1.17/32 total-queue=default-small add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=128k/512k name=\ "\E2\F1\E5" packet-marks="" parent=none priority=7 queue=default/default \ target-addresses=192.168.1.0/24 total-queue=default /queue tree add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-AA-UP packet-mark=CLASS-A-GROUP-A-UP parent=\ GROUP-A-UP priority=1 queue=GROUP-A-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-BA-UP packet-mark=CLASS-B-GROUP-A-UP parent=\ GROUP-A-UP priority=2 queue=GROUP-A-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-AB-UP packet-mark=CLASS-A-GROUP-B-UP parent=\ GROUP-B-UP priority=3 queue=GROUP-B-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-BB-UP packet-mark=CLASS-B-GROUP-B-UP parent=\ GROUP-B-UP priority=4 queue=GROUP-B-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-AC-UP packet-mark=CLASS-A-GROUP-C-UP parent=\ GROUP-C-UP priority=5 queue=GROUP-C-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-BC-UP packet-mark=CLASS-B-GROUP-C-UP parent=\ GROUP-C-UP priority=6 queue=GROUP-C-UP add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=1M \ max-limit=1550k name=CLASS-AA-DL packet-mark=CLASS-A-GROUP-A-DL parent=\ GROUP-A-DL priority=1 queue=GROUP-A-DL add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=1500k name=CLASS-BA-DL packet-mark=CLASS-B-GROUP-A-DL parent=\ GROUP-A-DL priority=2 queue=GROUP-A-DL add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-AB-DL packet-mark=CLASS-A-GROUP-B-DL parent=\ GROUP-B-DL priority=3 queue=GROUP-B-DL add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-BB-DL packet-mark=CLASS-B-GROUP-B-DL parent=\ GROUP-B-DL priority=4 queue=GROUP-B-DL add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-AC-DL packet-mark=CLASS-A-GROUP-C-DL parent=\ GROUP-C-DL priority=5 queue=GROUP-C-DL add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \ max-limit=0 name=CLASS-BC-DL packet-mark=CLASS-B-GROUP-C-DL parent=\ GROUP-C-DL priority=6 queue=GROUP-C-DL /queue interface set ether1-gateway queue=ethernet-default set ether2-master-local queue=ethernet-default set ether3-slave-local queue=ethernet-default set ether4-slave-local queue=ethernet-default set ether5-slave-local queue=ethernet-default /queue simple add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both \ disabled=no interface=all limit-at=0/0 max-limit=0/0 name=ALL \ packet-marks="" parent=none priority=8 queue="(unknown)/(unknown)" \ target-addresses=192.168.1.0/24 total-queue=default-small

643. gamespb, 19.01.2013 22:47
prohor1976
Пробовали сами читать что скопипастили?

644. x-system, 19.01.2013 23:12
ну и скопировал... Похоже из под линухи сидит))

645. SealXXX, 20.01.2013 01:27
Прошу не обращать внимания на мой предыдущий вопрос. Экспериментами решил.
--
В настоящее время столкнулся с некеоторым вопросом по маршрутизации.
У меня на руках RB493AH.
Пытаюсь решить частную задачку.
WAN на ether1. Получает интернет от провайдера по pppoe.
Один порт (ether2 - 192.168.2.100) смотрит в LAN (192.168.2.0/24).
Состав сети, буквально десяток хостов, с заданными статически адресами (от 192.168.2.2, до 192.168.2.33. Список "USER").
На порт ether8 (192.168.2.250) предполагаю периодически включать админский ноутбук (192.168.2.253. Заведен в адресный список "FULL").
Адресация в сетке складывалась, что называется исторически. Ломать ее несколько накладно и по времени, и по трудозатратам.
Пока что, балуюсь маршрутами. Если не удасться решить методом манипуляций в микротике, конечно придется все переделывать.

Вот, что у меня выходит после присваивания соответствующих адресов интерфейсам портов.

/ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
.....
4 ADC 192.168.2.0/24 192.168.2.100 ether2 0
6 ADC 192.168.2.248/29 192.168.2.250 ether8 0
.....

Как видно, есть небольшое перекрытие адресного пространства.
Поднято два маскарада:

3 ;;; Masq LAN for Users
chain=srcnat action=masquerade src-address-list=USER out-interface=!ether2

4 ;;; Masq LAN for Admin
chain=srcnat action=masquerade src-address-list=FULL out-interface=!ether8

Пожалуйста, подскажите.
Не будет ли каких проблем с сеткой?
Смотрю на эти маршруты, не нравятся они мне. Даром, что автоматом прописываются.
Тут, все дело в конфигурации самой сети.
Простейшая топология звездой. Неуправляемый свич в центре.
Как бы не понадобился управляемый коммутатор.
--
Голова уже нормально не соображает после двух бессонных ночей.

646. gamespb, 20.01.2013 04:33
SealXXX

4 ADC 192.168.2.0/24
так заменить маску /24 и пусть себе маршруты работают

647. prohor1976, 20.01.2013 08:18
цитата:
gamespb:
prohor1976
Пробовали сами читать что скопипастили?

Подскажите, как правильно вставить?

648. SealXXX, 20.01.2013 13:51
gamespb
Спасибо. На свежую голову разобрался.
Еще один вопрос, но уже по аппаратной части микротика.
При покупке, железка в опции "Ресурсы" показала наличие Bad Blocks=0.2%
После трех дней экспериментов с настройками, уже показывает 0.8%
"Боюсь, все это плохо кончится" (с)
Процесс необратим? Система будет подвисать\терять данные конфигурации?
Я так понимаю, есть смысл менять по гарантии? Или, такие проценты - норма для данного аппарата и производителя?
Аппарат - 493AHPI

---

PS:
на slave-порты будут ли распространяться правила ARP (enable, reply-only...) master-порта, к которому они привязаны? И, зависит ли связка IP-ARP в ARP-List от привязок портов master-slave?

649. gamespb, 20.01.2013 16:49
SealXXX
http://wiki.mikrotik.com/wiki/Manual:RouterBOARD_bad_blocks


на slave-порты будут ли распространяться правила ARP
все что настроено через "свичес " не обрабатываются микротиком

650. SealXXX, 20.01.2013 17:12
gamespb
Отличная стстья. Спасибо.
Особенно, любопытно -
"complex workaround mechanisms are in place, that will copy the data to another block and attempt to fix the bad block"
"Since RouterOS v5.18, NAND is refreshed every few minutes which increases sector writes by ~32 per refresh. This is to ensure evenly distributed NAND wear, to increase protection against data loss as compared to previous versions."
---
все что настроено через "свичес " не обрабатываются микротиком
Не совсем улавливаю смысл.
Настройки портов и соответствующие привязки по IP и ARP производятся, ведь в конфигураторе микротика.
Что значит - "не обрабатываются микротиком"?
Поясните, пожалуйста.

651. gamespb, 20.01.2013 20:07
SealXXX
в моделях rb750 751 951 применяется микросхема в которой можно организовать коммутатор, там порты делятся на мастера и помощника. if switсh организован на уровне микросхемы то в/на его работу правила прописанные в ip filters и рядом не влияют.

652. sherwood, 21.01.2013 00:25
2 DHCP в одном сегменте сети, изначально стоял один с параметром статик-онли и были прописаны статические лизы, вроде все нормально, далее добавляю еще один DHCP уже со своим маршрутом и DNS сервером, и так же статик-онли с другими статическими лизами (ip на DHCP серверах из одно сети но у каждого сервера свой набор). наделе это два роутера для выхода в мир, то есть каждый роутер дает адреса абонентам которые прописаны у него в dhcp.
вот тут то все и началось, не у всех но у многих перестал работать выход в мир, после анализа выявилось, что адрес клиет получил от своего сервера и шлюз а вот DNS от прежнего через который он работал до этого и был потом перемещен на другой роутер, так же были ПК у которых все настройки правильные а вот выхода в мир нет, проверил пингом и выяснил что пинг не проходит по имени с IP все впорядки, значит опять проблема с DNS, не всегда помогала перезагрузка, в каких то моментах помогало сброс стека протокола и винсок.
и это при том что на обоих серверах DHCP стоит Authoritative=no то есть отвечать только тем кто есть в списке. вообщем похоже баг какой то в RO с DHCP, отвечает всем подряд, хотя может это баг виндовского DHCP Client, но и на роутерах было замечено отсутствие доступа в мир.

653. gamespb, 21.01.2013 02:46
sherwood
из http://www.mikrotik.com/testdocs/ros/2.9/ip/dhcp.pdf

authoritative (after-10sec-delay | after-2sec-delay | no | yes; default: after-2sec-delay) - whether
the DHCP server is the only one DHCP server for the network
• after-10sec-delay - to clients request for an address, dhcp server will wait 10 seconds and if
there is another request from the client after this period of time, then dhcp server will offer the
address to the client or will send DHCPNAK, if the requested address is not available from this
server
• after-2sec-delay - to clients request for an address, dhcp server will wait 2 seconds and if there
is another request from the client after this period of time, then dhcp server will offer the
address to the client or will send DHCPNAK, if the requested address is not available from this
server
• no - dhcp server ignores clients requests for addresses that are not available from this server
• yes - to clients request for an address that is not available from this server, dhcp server will send
negative acknowledgment (DHCPNAK)

654. sherwood, 21.01.2013 10:30
gamespb
это я читал, только что вы хотите этим сказать?
если стоит NO то когда от клиента придет широковещательный запрос сервер у которого нет в лизе этого клиента ему ни чего не ответит, а отвечать будет тот сервер у кого в лизе забит этот клиент. вроде все правильно, только не работает.

655. pub10, 21.01.2013 11:34
Каким образом можно понять, по какой причине заблокирован конкретный IP адрес?

Ситуация такая, что никак не могу разобраться, почему нет доступа на конкретный IP. Даже не пингуется.
Можно как-то поглядеть, в какой правило упирается посланный пакет?

Microtik OS, WinBox 5.9

656. prohor1976, 21.01.2013 12:19
Попробую еще раз.
Подскажите по проблеме с пингом.
Канал adsl ~2M/0.5M включен SRC-NAT. Задача в том чтобы был небольшой и стабильный пинг для онлайн игр для компьютера из группы А.
Пока другие клиенты ничего не качают (или не подключены) пинг нормальный. Как только один из клиентов начинает качать со скоростью , допустим, килобит 300-400, пинг начинает скакать. Канал вроде бы не забит (для клиентов стоит ограничение по скорости), приоритет самый высокий - что делать не понятно. Что я сделал (упростив конфиг отсюда ссылка (http://habrahabr.ru/post/131295/) ):
Создал два класса внешних адресов А и В, и три группы пользователей А. В, С. Итого получилось 6 различных потоков.
Поток АА имеет приоритет 1, но если кто-то из потока скажем ВВ с приоритетом 4 начинает качать со скоростью 512 кб, то компьютер АА начинает лагать: пинг повышается в несколько раз постоянно меняясь
Маркирую все соединения класс В

/ip firewall mangle
add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=no new-connection-mark=CLASS-B passthrough=yes

Все пакеты маркирую класс В группа С
add action=mark-packet chain=forward comment=CLASS-B-GROUP-C-DL connection-mark=CLASS-B disabled=no new-packet-mark=CLASS-B-GROUP-C-DL passthrough=yes src-address-list=!ShaperExclude

Промаркировал пакеты из группы В
add action=mark-packet chain=forward comment=CLASS-B-GROUP-B-DL connection-mark=CLASS-B disabled=no dst-address-list=GROUP-B new-packet-mark=CLASS-B-GROUP-B-DL passthrough=yes src-address-list=!ShaperExclude

Промаркировал пакеты из группы А
add action=mark-packet chain=forward comment=CLASS-B-GROUP-A-DL connection-mark=CLASS-B disabled=no dst-address-list=GROUP-A new-packet-mark=CLASS-B-GROUP-A-DL passthrough=yes src-address-list=!ShaperExclude

Аналогично маркирую пакеты на отдачу по трем группам:
Группа С
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-C-UP connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-B-GROUP-C-UP passthrough=yes src-address-list=GROUP-C
Группа В
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-B-UP connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-B-GROUP-B-UP passthrough=yes src-address-list=GROUP-B
Группа А
add action=mark-packet chain=prerouting comment=CLASS-B-GROUP-A-UP connection-mark=CLASS-B disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-B-GROUP-A-UP passthrough=yes src-address-list=GROUP-A

После то же самое для адресов класса А
add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=no new-connection-mark=CLASS-A passthrough=yes src-address-list=CLASS-A-SITES

add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=no dst-address-list=CLASS-A-SITES new-connection-mark=CLASS-A passthrough=yes

add action=mark-packet chain=forward comment=CLASS-A-GROUP-C-DL connection-mark=CLASS-A disabled=no dst-address-list=GROUP-C new-packet-mark=CLASS-A-GROUP-C-DL passthrough=yes src-address-list=!ShaperExclude

add action=mark-packet chain=forward comment=CLASS-A-GROUP-B-DL connection-mark=CLASS-A disabled=no dst-address-list=GROUP-B new-packet-mark=CLASS-A-GROUP-B-DL passthrough=yes src-address-list=!ShaperExclude

add action=mark-packet chain=forward comment=CLASS-A-GROUP-A-DL connection-mark=CLASS-A disabled=no dst-address-list=GROUP-A new-packet-mark=CLASS-A-GROUP-A-DL passthrough=yes src-address-list=!ShaperExclude

add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-C-UP connection-mark=CLASS-A disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-A-GROUP-C-UP passthrough=yes src-address-list=GROUP-C


add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-B-UP connection-mark=CLASS-A disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-A-GROUP-B-UP passthrough=yes src-address-list=GROUP-B

add action=mark-packet chain=prerouting comment=CLASS-A-GROUP-A-UP connection-mark=CLASS-A disabled=no dst-address-list=!ShaperExclude new-packet-mark=CLASS-A-GROUP-A-UP passthrough=yes src-address-list=GROUP-A

Создал деревья
name="UPLOAD" parent=global-total priority=8 max-limit= 450k

name="GROUP-A-UP" parent=UPLOAD priority=8 max-limit=450k

name="CLASS-AA-UP" parent=GROUP-A-UP packet-mark=CLASS-A-GROUP-A-UP queue=GROUP-A-UP priority=1

name="CLASS-BA-UP" parent=GROUP-A-UP packet-mark=CLASS-B-GROUP-A-UP queue=GROUP-A-UP priority=2

name="GROUP-B-UP" parent=UPLOAD priority=8 max-limit=150k

name="CLASS-AB-UP" parent=GROUP-B-UP packet-mark=CLASS-A-GROUP-B-UP queue=GROUP-B-UP priority=3

name="CLASS-BB-UP" parent=GROUP-B-UP packet-mark=CLASS-B-GROUP-B-UP queue=GROUP-B-UP priority=4

name="GROUP-C-UP" parent=UPLOAD priority=8 max-limit=120k

name="CLASS-AC-UP" parent=GROUP-C-UP packet-mark=CLASS-A-GROUP-C-UP queue=GROUP-C-UP priority=5

name="CLASS-BC-UP" parent=GROUP-C-UP packet-mark=CLASS-B-GROUP-C-UP queue=GROUP-C-UP priority=6

name="GROUP-A-DL" parent=download priority=8 max-limit=1500k

name="CLASS-AA-DL" parent=GROUP-A-DL packet-mark=CLASS-A-GROUP-A-DL limit-at=1M queue=GROUP-A-DL priority=1 max-limit=1550k

name="CLASS-BA-DL" parent=GROUP-A-DL packet-mark=CLASS-B-GROUP-A-DL queue=GROUP-A-DL priority=2 max-limit=1500k

name="GROUP-B-DL" parent=download priority=8 max-limit=512k

name="CLASS-AB-DL" parent=GROUP-B-DL packet-mark=CLASS-A-GROUP-B-DL queue=GROUP-B-DL priority=3

name="CLASS-BB-DL" parent=GROUP-B-DL packet-mark=CLASS-B-GROUP-B-DL queue=GROUP-B-DL priority=4

name="GROUP-C-DL" parent=download priority=8 max-limit=512k

name="CLASS-AC-DL" parent=GROUP-C-DL packet-mark=CLASS-A-GROUP-C-DL queue=GROUP-C-DL priority=5

name="CLASS-BC-DL" parent=GROUP-C-DL packet-mark=CLASS-B-GROUP-C-DL queue=GROUP-C-DL priority=6

name="download" parent=global-out priority=8 max-limit=1550k

Подскажите куда копать

657. gamespb, 21.01.2013 12:38
sherwood

no - dhcp server ignores clients requests for addresses that are not available from this server
Сервер игнорирует запросы клиентов по адресам, которые не доступны с сервера

если клиент имел какой то адрес, и ему нужно продлить, тогда сервер не будет вмешиваться(не он выдавал настройки первый раз)

подозреваю майкософт как всегда крайний. а какой адрес сервера у клиентов когда настройки "разъезжаются"?

Добавление от 21.01.2013 12:40:

prohor1976

max-limit=512k
рекомендуют ставить скорость ниже максимальной получаемой от провайдера ~470. ADSL - must die IMHO

658. sherwood, 21.01.2013 15:44
gamespb
Сервер игнорирует запросы клиентов по адресам, которые не доступны с сервера
то есть если мас прописан на сервере в статике или в пуле, то сервер будет отвечать а если нет то нет? я как больше эту строчку понять по другому не могу.

если клиент имел какой то адрес, и ему нужно продлить, тогда сервер не будет вмешиваться(не он выдавал настройки первый раз)

ну так если он их выдавал то и будет дальше выдавать, если нет то и нет, ну как бы все к этому и ведет, что настройки правильные у меня.

подозреваю майкософт как всегда крайний. а какой адрес сервера у клиентов когда настройки "разъезжаются"?

скорее всего мягкотелые, адрес у клиента тот который и положено ему выдать, а вот иногда DNS меняется или два шлюза прописываются, как то так. у меня роутер 450 ему все равно с какого роутера получать настройки, включаю его на одном DHCP он переключается когда лиза кончается и продолжает работать через этот роутер, меняю настройки на другой роутер-DHCP и все ОК, так же многие мыльницы тоже без проблем работают и ПК тоже но вот у некоторых такая чехарда.

659. gamespb, 21.01.2013 16:02
sherwood
остаётся поделить клиентов(компы) по отделам/сегментам и каждому свой RB450. Клиентов много? если мало можно фильтры настроить по мак ам.
У ICS-DHCP нет режима два сервера в одном сегменте, если они не настроены мастер-слэйв. У мелко мягкого есть с делением сетки на части ответственности.

660. sherwood, 21.01.2013 16:34
gamespb
остаётся поделить клиентов(компы) по отделам/сегментам
теперь это понятно, что два и более DHCP сервера в одном сегменте сети не уживаются, даже при настройках которые как бы должны решить эту проблему.
хорошо, тогда можно ли на одном роутере поднять DHCP который будет статически выдавать абонентам разные шлюзы и dnsы? то есть Пети один ip, шлюз, днс, а Васи другой ip, шлюз, днс, при чем ip, шлюзы и днс все будут из одной сети. то есть есть два роутера, на одном поднимаем DHCP в котором настраиваем часть клиентов будет получать настройки и ходить в мир через первый роутер, а часть получать настройки и ходить через второй роутер?

661. LanMarket, 21.01.2013 17:26
цитата:
pub10:
Каким образом можно понять, по какой причине заблокирован конкретный IP адрес?

Ситуация такая, что никак не могу разобраться, почему нет доступа на конкретный IP. Даже не пингуется.
Можно как-то поглядеть, в какой правило упирается посланный пакет?

Microtik OS, WinBox 5.9


за пинг отвечают правила относящиеся к протоколу ICMP
кроме того, если на этом IP какой-то комп, то там тоже может стоять фаервол и резать пинг пакеты

662. dim-soft, 21.01.2013 19:06
написано 21.01.2013 19:05 Инфо • Приват • Правка • Ответить • Известить модератора • IP
Подскажите есть два микротика (локалки 192.168.42.0/24 и 192.168.43.0/24) , в первом пара pppoe соединений с постоянными белыми IP, маркировка соединений.
Во втором интернет с через чужой NAT (на нем проброс портов сделать не могу).
на первом поднял pptp сервер, со второго цепляюсь, маршруты прописал, трафик 192.168.42.0 <-> 192.168.43.0 ходит нормально.

вопрос как правильно опубликовать 25, 80, 443 порты, если сервер подключен ко второму микротику, а белый IP на первом ?
внутри первого публикую нормально.

663. gamespb, 21.01.2013 22:47
dim-soft
два разнесённых офиса/места?
поднят туннель.
а ваш вопрос - как прокинуть(опубликовать из офиса) на офис без реал ИП сервисы ?
так прописать dst-nat указав машинку из второй сетки на микротике с белыми ипами. при условии что маршруты рабочии.

sherwood
не нашёл такого что бы на одном DHCP в микротике так сделать. поднять metarouter с линухом, а там полноценных ISC-DHCP с DDNS

664. sherwood, 21.01.2013 23:50
gamespb
поднять metarouter с линухом, а там полноценных ISC-DHCP с DDNS

эта связка может такое? конечно хорошо, но как бы не хотелось еще одну машинку ставить только для этой цели. будем скорее всего разделять сеть каким нибудь L2 коммутатором на котором будем блокировать хождение запросов туда сюда.

интересует еще вопрос, про ppc (пакеты в секунду) точнее их ограничение, сравнение если мы ограничиваем скорость абонента средствами шейпера например до 20Мбит\с и второй вариант ограничиваем количество пакетов в пересчете на скорость то же 20Мбит\с то получается нет смысла в ограничении ppc для снижении якобы нагрузки на канал и т.д., если ограничить меньше ppc то абонент не получит свою заявленную скорость. что то как то не вижу смысла в этом, потому как скорость это же и есть прохождение пакетов за определенное время и их количество и есть скорость которую мы видим например при измерении на сайте speedtest.net

665. gamespb, 22.01.2013 02:59
sherwood
или в RB должно быть >=128mb(что бы виртуалка влезла) или свитч L2(загнать клиентов по VLANам). со свичём даже проще, но трафик между сегментами пойдёт через микротик.

не встречал что бы ограничивали скорость урезая pps(то есть так оно и работает, но вносят задержки между пакетами, а не фиксируют pps).

666. sherwood, 22.01.2013 10:18
gamespb
не встречал что бы ограничивали скорость урезая pps(то есть так оно и работает, но вносят задержки между пакетами, а не фиксируют pps).
немного не поняли меня, я говорил не о том что бы использовать правила ограничение ppc для ограничения скорости клиента, для этого есть правила симл и трее с типом, я говорил о том, что пишут если канал интернета перегружен то можно "успокоить" качальщиков урезав им ppc, вот и был вопрос а что это даст, если урезать меньше чем заявленная скорость то это как то не правильно, с этими же проблемами справляется дерево шейпера queue tree, которое делит канал "поровну" в пик его загрузки и обрезает всем скорость. вот и был вопрос для чего это урезание и действительно оно как то разгружает канал.

667. dim-soft, 22.01.2013 17:03
gamespb
а ваш вопрос - как прокинуть(опубликовать из офиса) на офис без реал ИП сервисы ?
так прописать dst-nat указав машинку из второй сетки на микротике с белыми ипами. при условии что маршруты рабочии.

маршруты рабочие, но я так понимаю что ответ от опубликованного сервера идет через "его" микротик"
т.е.
вход внешний_IP - x.x.x.x - 172.17.8.42 - 172.17.8.8 - 192.168.43.1 - 192.168.43.10 (доходит до сервера)
ответ 192.168.43.10 - 192.168.43.1 - 192.168.8.1 - 192.168.8.254 - внешний_IP
Вопрос как опубликовать сервера так, чтобы ответы шли через второй микротик.

668. gamespb, 22.01.2013 18:03
dim-soft
вариантов много.

составлять списки клиентов сервисов, по спискам отправлять на "бедного"-без реалИП тика

создать/поднять туннель EoIP. сервакам присвоить вторые ипы из сети "богатого"

в "богатой" сети поставить nginx пусть пересылает www трафик. (все протоколы не покинешь)

поднять туннели от серверов до "богатого" тика

Добавление от 22.01.2013 18:06:

перенести серваки

669. dim-soft, 22.01.2013 22:03
gamespb
А можно по подробнее ?
Зачем EoIP ? пробовал поднять на "реальном" микротике pppoe, через него пробросить pptp через него pppoe среду а уже в ней на "сером" миукротике поднять второй pppoe-первого провайдера => очень маленькая скорость

В "богатой" среде 2ПК подсоеденены к микротик и все

порт надо минимум 25 - smtp

670. spee, 22.01.2013 23:09
Здравствуйте!

прошу прощения, но всю ветку физически не осилю
мануалы, какие смог, покурил

есть mikrotik rb751g-2hnd
строю сеть типа:
провайдер-mikrotik-локальная сеть
подключение VPN PPTP со статическим IP

например:
статический IP 192.168.10.5
маска подсети 255.255.255.252
шлюз 192.168.10.4
DNS 195.10.10.10
DNS 192.10.10.20

VPN PPTP-client:
192.168.20.2
логин
пароль

сбрасываю конфигурацию роутера
заново прописываю IP-Adresses (и внешний и локальные)
прописываю DNS, шлюз, PPTP-client
все рекомендованные галочки стоят

из консоли сеть пингуется только до провайдера.

что дальше? чего не хватает?

NAT? DHCP?

671. gamespb, 22.01.2013 23:46
dim-soft
туннель поднимать точно надо, каким способом не важно(между тиками pppoe ненужно) .
если серверы будут доступны из "богатому" тику то хватит dst-nat.

или пример нужен с правилами и адресами?

Добавление от 22.01.2013 23:49:

spee
traceroute что показывает?
может просто маршруты на 0.0.0.0 не прописан?

672. spee, 22.01.2013 23:57
цитата:
gamespb:
traceroute что показывает?
может просто маршруты на 0.0.0.0 не прописан?
какой командой в терминале винбокса можно извлечь максимально полную информацию о текущем состоянии роутера?
это я чтобы "два раза не вставать"

673. sherwood, 23.01.2013 00:20
spee
какой командой в терминале винбокса можно извлечь максимально полную информацию о текущем состоянии роутера?
export compact file=export
потом ищем файл export в files

674. spee, 23.01.2013 01:04
sherwood
спасибо!
утром покажу что пишет.

675. gamespb, 23.01.2013 01:07
spee

статический IP 192.168.10.5
маска подсети 255.255.255.252
шлюз 192.168.10.4


тут точно ошибок нет? советую не спеша спросить провайдера.

676. spee, 23.01.2013 01:15
gamespb
да вот и мне не нравится.
IP приведены по аналогии. завтра напишу точные.
хотя ноутбук по VPN PPTP подключается к провайдеру. но его (ноутбук) использовать для нужд сети я не могу да и MAC регистрируется у провайдера только один. да и вообще смешные они у нас

677. dim-soft, 23.01.2013 07:15
gamespb
если серверы будут доступны из "богатому" тику то хватит dst-nat.

или пример нужен с правилами и адресами?


было бы не плохо, т.к входящие пакеты вижу, а ответ не идет

678. LanMarket, 23.01.2013 15:19
цитата:
spee:
Здравствуйте!

прошу прощения, но всю ветку физически не осилю
мануалы, какие смог, покурил

есть mikrotik rb751g-2hnd
строю сеть типа:
провайдер-mikrotik-локальная сеть
подключение VPN PPTP со статическим IP

например:
статический IP 192.168.10.5
маска подсети 255.255.255.252
шлюз 192.168.10.4
DNS 195.10.10.10
DNS 192.10.10.20

VPN PPTP-client:
192.168.20.2
логин
пароль

сбрасываю конфигурацию роутера
заново прописываю IP-Adresses (и внешний и локальные)
прописываю DNS, шлюз, PPTP-client
все рекомендованные галочки стоят

из консоли сеть пингуется только до провайдера.

что дальше? чего не хватает?

NAT? DHCP?
NAT и не хватает и фаервола.

679. spee, 23.01.2013 16:34
Точные данные:
статический IP 192.168.6.34
маска подсети 255.255.255.252
шлюз 192.168.6.33
DNS 195.39.248.3
DNS 195.64.142.254

VPN PPTP-client:
192.168.58.2
логин
пароль

код:
# jan/22/2013 12:45:00 by RouterOS 5.22
# software id = *****
#
/interface ethernet
set 0 name=ISP
set 1 name=LAN
/interface pptp-client
add add-default-route=yes connect-to=192.168.58.2 disabled=no name=pptp-out1 \
password=**** user=****
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip address
add address=192.168.6.34/30 interface=ISP
/ip dns
set allow-remote-requests=yes servers=195.39.248.3,195.64.142.254
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add distance=1 gateway=192.168.6.33
/system clock
set time-zone-name=Europe/Kiev
/system leds
set 0 interface=wlan1


[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.6.33 1
1 DS 0.0.0.0/0 10.0.0.1 1
2 ADC 10.0.0.1/32 213.151.6.243 pptp-out1 0
3 ADC 192.168.6.32/30 192.168.6.34 ISP 0



/interface> print detail
Flags: D - dynamic, X - disabled, R - running, S - slave
0 R name="ISP" type="ether" mtu=1500 l2mtu=1598 max-l2mtu=4074

1 R name="LAN" type="ether" mtu=1500 l2mtu=1598 max-l2mtu=4074

2 name="ether3" type="ether" mtu=1500 l2mtu=1598 max-l2mtu=4074

3 name="ether4" type="ether" mtu=1500 l2mtu=1598 max-l2mtu=4074

4 name="ether5" type="ether" mtu=1500 l2mtu=1598 max-l2mtu=4074

5 X name="wlan1" type="wlan" mtu=1500

6 R name="pptp-out1" type="pptp-out" mtu=1400

/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade

/ip firewall>> filter print detail
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established in-interface=pptp-out1

2 ;;; Added by webbox
chain=input action=accept connection-state=related in-interface=pptp-out1

3 ;;; Added by webbox
chain=input action=drop in-interface=pptp-out1

4 ;;; Added by webbox
chain=forward action=jump jump-target=customer in-interface=pptp-out1

5 ;;; Added by webbox
chain=customer action=accept connection-state=established

6 ;;; Added by webbox
chain=customer action=accept connection-state=related

7 ;;; Added by webbox
chain=customer action=drop


пинги дальше провайдера не ходят.

что еще прописать?

680. demon-kh, 23.01.2013 17:18
Думаю, что тема уже обсуждалась не раз, но тем не менее помогите плз настроить.
есть 2 rb750 на оба заходит по ван порту инет (выделенная статика), за 1 микротиком стоит сетка и за вторым сетка, нужно, чтобы компы из 1 подсетки видели компы из 2й подсетки и наоборот. Как пробросить маршруты, чтобы можно было видеть всех в сетевом окружении?
настройка PPPTP сервера сделана на стороне 1, клиента на стороне 2.
Для подключения к микротику 1, бридж удалось настроить и при подключении с удаленного компа ppptp соединением подсетку за 1м микротиком я вижу и даже инет работает через туннель, а вот если клиентом является 2 микротик, то туннель есть а компов за ним не видно и инет не пашет.

схама такая:

(сетка)192.169.9.ххх ------> микротик1 (192.168.9.1, статика инет)---->туннель<-----(микротик2 статика инет, 192.168.88.1) ----192.168.88.-ххх (сетка)

или может со второй стороны тоже 9ю подсетку сделать? И как тогда маршрутизацию сделать?

681. gamespb, 23.01.2013 17:32
spee
192.168.6.34/30 - это адрес интерфейса через который потом пойдет pptp, а так похоже на то что выдается после получения по pptp
192.168.6.33 это адрес со стороны провайдера, вытекает из первой строчки
192.168.58.2 - адрес сервера pptp, опять не логично. для достижения этого ипа нужно было бы прописывать маршрут

0 A S 0.0.0.0/0 192.168.6.33 1
1 DS 0.0.0.0/0 10.0.0.1 1
2 ADC 10.0.0.1/32 213.151.6.243 pptp-out1 0
3 ADC 192.168.6.32/30 192.168.6.34 ISP 0

а здесь собака рылась )
два шлюза с 0.0.0.0 и одной метрикой.
ещё раз советую связаться с провайдером и пусть назовёт:
1.ИП адрес интерфейса маску и если надо шлюз по умолчанию. днс если нужно
2.адрес pptp сервера и то что назначается по поднятии соединения. если ип динамический то пусть сеть назовёт из которой выдаётся, а так же шлюз и днс

после такой информации, заставлять работать не придётся. само по полочкам разберётся

Добавление от 23.01.2013 17:38:

demon-kh
сетевое окружение у виндовс работает на широко-вещательных пакетах. которые не могут пройти из сетки в сетку.посмотрите в адресах обоих тиков, они разные.
решение: объединить сети(на хороших каналах думаю сойдёт) EoIP, ну или поднять windows server, а на нем wins машинки в домен

Добавление от 23.01.2013 17:39:

spee # software id =
этим не свети

682. spee, 23.01.2013 17:46
gamespb
вот что дано провайдером:
Точные данные:
статический IP 192.168.6.34
маска подсети 255.255.255.252
шлюз 192.168.6.33
DNS 195.39.248.3
DNS 195.64.142.254

VPN PPTP-client:
192.168.58.2
логин
пароль

упираются, что всё правильно дали!

рассказывают, что нужно прописать правила NAT.
дык прописал. всё предельно примитивно.

683. PapaBear, 23.01.2013 18:31
обычно у "провайдеров с VPN", грабли с двумя вещами:
1. неявно указано использование шифрование. б-во не поддерживает. из WebFig/WinBox вроде низя явно отключить шифрование PPTP-клиенту. из коммандной - вроде без проблем
2. иногда требуется Явно указывать типа авторизации(ну там PAP или CHAP. от MS-CHAP вроде все посбегали, после недавних полных выносов его).

684. spee, 23.01.2013 18:35
цитата:
PapaBear:
обычно у "провайдеров с VPN", грабли с двумя вещами:
1. неявно указано использование шифрование. б-во не поддерживает. из WebFig/WinBox вроде низя явно отключить шифрование PPTP-клиенту. из коммандной - вроде без проблем
2. иногда требуется Явно указывать типа авторизации(ну там PAP или CHAP. от MS-CHAP вроде все посбегали, после недавних полных выносов его).


pptp_out конектится и активен. на том конце телефонной трубки мне сказали что видят мой роутер.

Добавление от 23.01.2013 19:46:

gamespb

код:
ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 A S dst-address=0.0.0.0/0 gateway=192.168.6.33
gateway-status=192.168.6.33 reachable via ether1 distance=1 scope=30
target-scope=10

1 DS dst-address=0.0.0.0/0 gateway=10.0.0.1
gateway-status=10.0.0.1 reachable via pptp-out1 distance=1 scope=30
target-scope=10

2 ADC dst-address=10.0.0.1/32 pref-src=213.151.6.243 gateway=pptp-out1
gateway-status=pptp-out1 reachable distance=0 scope=10

3 ADC dst-address=192.168.6.32/30 pref-src=192.168.6.34 gateway=ether1
gateway-status=ether1 reachable distance=0 scope=10

4 ADC dst-address=192.168.100.0/24 pref-src=192.168.100.1 gateway=ether2
gateway-status=ether2 reachable distance=0 scope=10


может какой-то косяк несовместимости шлюза (192.168.6.3) и получением реального статического IP (213.151.6.243)?
типа автоматический назначенный при прописывании коннекта к VPN роутинг конфликтует с роутингом прописанным в ручную.

685. gamespb, 23.01.2013 20:26
spee
с микротика пинги ходят до шлюзов? днс\ов?

Добавление от 23.01.2013 20:28:

пропиши статикой маршрут до 192.168.58.2 через 192.168.6.33 и пока никаких других шлюзов на 0.0.0.0

Добавление от 23.01.2013 20:28:

пингуй с микротика

686. spee, 23.01.2013 20:50
gamespb
спасибо, дорогой ты мой человек!
прописал "статикой маршрут до 192.168.58.2 через 192.168.6.33"
удалил все маршруты на 0.0.0.0
презагрузил!!!
и видим
код:

ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=10.0.0.1
gateway-status=10.0.0.1 reachable via pptp-out1 distance=1 scope=30
target-scope=10

1 ADC dst-address=10.0.0.1/32 pref-src=213.151.6.243 gateway=pptp-out1
gateway-status=pptp-out1 reachable distance=0 scope=10

2 ADC dst-address=192.168.6.32/30 pref-src=192.168.6.34 gateway=ether1
gateway-status=ether1 reachable distance=0 scope=10

3 A S dst-address=192.168.58.2/32 gateway=192.168.6.33
gateway-status=192.168.6.33 reachable via ether1 distance=1 scope=30
target-scope=10

4 ADC dst-address=192.168.100.0/24 pref-src=192.168.100.1 gateway=ether2
gateway-status=ether2 reachable distance=0 scope=10

пишу с Микротика!

я, так понимаю, что в большинстве мануалов описана инструкция не всегда корректно работающая.
например:
640x261, 22.8Kb
при подключении VPN-PPTP, в некоторых случаях, при прописывании шлюза необходимо дописывать:
Dst. Address - адрес сервера VPN

687. edc, 24.01.2013 17:48
Всем привет,
Ситуация следующая.
Сижу в гостинице одного провинциального немецкого города.
Инет через wifi. Странности происходят с впн.
Cisco VPN Client не подключается, как и openvpn и pptp. Все на win7.
С виртуалки под win xp (сетевой интерфейс как nat, если bridge, то не получает адрес) cisco vpn client подключается.
PPTP нет. Нужен именно PPTP, который подключается к серверу на микротике.
Может ли в принципе pptp работать через два ната? Если да, то что нужно доконфигурировать?
И что может быть с инетом в гостинице, если не работают впн туннели?

688. gamespb, 24.01.2013 21:38
edc
не в ту тему .

pptp испльзует gre. если после авторизации отваливается то да gre неходит.

689. densen2002, 25.01.2013 16:20
хочется взгромоздить на РоутерБорд (750G) udpxy.
есть ли работащий вариант?

690. Джамаль, 25.01.2013 18:44
densen2002

Нет, не было, не будет и не надо

Добавление от 25.01.2013 18:54:

однако, если вам это нужно для просмотра телевидения, то PIM (Protocol Independent Multicast) вам в помощь.

691. guruks, 27.01.2013 11:35
Здравствуйте есть вопрос, есть роутер микротик к которому подключено два интернет канала, соответственно есть два маршрута по умолчанию, но активен только один, вопрос вот в чем как сделать так чтоб пользователи с интернета имели возможность подключать l2tp тунели на любой из каналов, сейчас подключает только на тот у которого активен маршрут 0.0.0.0/0 .

В этоже время pptp тунели подключаются свободно на любой из каналов без плясок с бубном.

692. gamespb, 27.01.2013 12:36
guruks
а клиентам разрешается устанавливать туннели с любым Ипом серверов? или с определёнными?
если с определёнными то сами маршрутами их на микротике и разрулите

693. guruks, 27.01.2013 12:46
Вы имеете введу статические роуты на пользователей сделать? проблема в том, что хотелось бы сделать возможность пользователям самим выбирать на какой айпи l2tp сервера им подключаться + у пользователей динамические айпи адреса

интересно просто знать, это особенность l2tp или это я чего-то недопонимаю

694. densen2002, 27.01.2013 16:08
Джамаль
однако, если вам это нужно для просмотра телевидения
, то PIM (Protocol Independent Multicast) вам в помощь.


провайдер не поддержиывает.

udpxy поставил на отдельно стоящий длинк, чтобы смотреть каналы по VPN и wifi

695. sherwood, 27.01.2013 18:53
есть правила на ограничение pps, но что то по моему не работает так как нужно, а именно пакеты то оно режет но так же должно удалять и листа IP после истечения срока. но ip продолжает там оставаться.

код:

/ip firewall filter
add action=add-dst-to-address-list address-list=dst_list \
address-list-timeout=0s chain=forward comment=pps disabled=no \
dst-address-list=net protocol=udp
add action=accept chain=forward comment=pps disabled=no dst-address-list=\
dst_list dst-limit=500,500,dst-address/1m40s
add action=reject chain=forward comment=pps disabled=no dst-address-list=\
dst_list reject-with=icmp-admin-prohibited

вроде как судя по второму правилу ip из dst_list через 1м 40с если у него упала нагрузка должно удалится, или я что то не понимаю? может кто опишет алгоритм срабатывания этих правил.

696. gamespb, 27.01.2013 21:25
sherwood
в листах стало оставаться и у меня после перехода на 5.22 версию
4.17 роботало

Добавление от 27.01.2013 21:33:

guruks
так как шлюз по умолчанию у вас может скакать как канал ляжет
то и с выбором маршрута "напряг"
pptp использует два протокола tcp|ip и gre
l2tp только utp|ip,но в реализации на серверах виндовс обязательно авторизация по ключу на 500 порту

итог:
у ваших клиентов ИПы динамические
какой канал будет работать - то же не контролируете
и ИПы серваков выбирают клиенты.

по таким данным, клиентам самим не выбрать маршрут.

697. sherwood, 27.01.2013 22:03
gamespb
в листах стало оставаться и у меня после перехода на 5.22 версию
4.17 роботало

то есть оставаться не должно и правила эти правильные?

698. cedor, 27.01.2013 23:07
Доброго времени суток!
Подскажите пожалуйста реализуема ли данная схема:
Микротик1 RB751 версия 5,22
-порт1 wan(real ip)- интернет и IPTV(multicast)
-порт2- домашняя сеть)
- настроен OPENVPN сервер в качесве бридж порта указан настроенные мост
- настроен мост и в качестве портов указан порт2
IGMP-proxy настроен порт потока WAN в качестве интерфейса клиентов указан интерфейс моста. Из локальной сети IPTV доступно к просмотру

Микротик2 RB750 версия 6.0 B7
-порт1 wan(NAT)- интернет
-порт2- домашняя сеть
- настроен мост и в качестве портов указан порт2
- настроен OPENVPN L2 туннель к микротику1 в качестве бридж порта указан настроенные мост
Просмотр IPTV из wan интерфейса микротика не доступно.
Локальная сеть микротика1 доступна. (mtu на PC в локальных сетях микротика1 и микротика2 понизил до 1400)


Подскажите что не настроил, или это не возможно?

699. gamespb, 28.01.2013 01:20
sherwood
address-list-timeout=0s
не в этом случае

700. sherwood, 28.01.2013 01:57
gamespb
не в этом случае

да, спасибо в wiki прочитал 0 - ни когда не будут удалены, тогда что это dst-address/1m40s на сколько понятно из wiki:

цитата:
expire - specified interval after which record ip address /port will be deleted
вроде то же самое или нет?
и как то срабатывает, что бы понять сколько выставлять.

701. gamespb, 28.01.2013 05:30
sherwood
дайте ссылку на источник пожалуйста
expire - specified interval after which record ip address /port will be deleted
просто устал

702. sherwood, 28.01.2013 09:58
gamespb
дайте ссылку на источник пожалуйста

на какой источник? на этот что ли - http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

expire - specified interval after which record ip address /port will be deleted
я что не правильно перевожу? вроде как - интервал времени через который записи IP/port будут удалены, только откуда они будут удалены?
на сколько я понял работу правил то срабатывать они должны так: если ПК в сети начал что то качать и эта закачка длится больше чем 1м 40с и пакетов у него больше чем 500 то IP этого ПК заносится в лист dst_list и ему начинается резка PPS, через время которое мы указываем в address-list-timeout=0s IP этого ПК удаляется из листа dst_list и потом все повторяется снова, таким образом если ПК просто смотрит что то онлайн или например делает тест скорости то он не попадет под эти ограничения так как просмотр фильмов и т.д. дает кратковременную загрузку.
Поправьте меня если эти правила так не должны срабатывать.

703. SealXXX, 28.01.2013 12:59
Прикупил, по=необходимости еще один микротик 493-й.
Заметил в "File List" наличие файла-ключа - xxxx-xxxx.key.
В предыдущей, аналогичной покупке подобного ключа в списке файлов нет.
Оба аппарата работают.
Подскажите, пожалуйста, откуда такая разница?

704. Джамаль, 28.01.2013 13:11
SealXXX

Просто прошивка апгрейдилась, ключ менялся. Не обращайте внимания

705. andrey0018, 28.01.2013 13:27
Добрый день коллеги, есть вопрос, можно ли реализовать на mikrotike следующее, хочу с работы подключиться по ssh на домашний микротик и получить доступ к домашнему интернету.
Если такое возможно подскажите как настроить или где мануал "покурить" можно

706. SealXXX, 28.01.2013 13:37
Джамаль
То есть, этот ключ - мусор? Можно его просто удалить, без к-л последствий для работоспособности роутера?
Мозолит глаза, признаться...

707. Джамаль, 28.01.2013 13:54
SealXXX

Да, можно. Но лучше проверить, ваш ли это ключ, и сохранить, если ваш

Добавление от 28.01.2013 14:01:

andrey0018

Можно. Но тормозит.

А почему надо именно по ssh? Почему не через pptp/l2tp?

708. andrey0018, 28.01.2013 14:38
Джамаль
Можно. Но тормозит.

А почему надо именно по ssh? Почему не через pptp/l2tp?


Я думаю что ssh "легкий протокол", не требовательный к ресурсам, поэтому и хочу реализовать именно так. разве я не прав?

709. Джамаль, 28.01.2013 14:42
andrey0018

SSH не предназначен для такой работы. SSH Tunnel, скорее, свистелка с перделкой, чем нормальный режим. Пользуйтесь лучше штатными средствами - туннельными протоколами, для них даже клиента отдельного не требуется - штатный VPN-клиент Windows подходит

Добавление от 28.01.2013 14:47:

andrey0018
ssh "легкий протокол", не требовательный к ресурсам

Фигассе, нетребовательный. А то, что он трафик всегда шифрует и дешифрует, разве добавляет ему лёгкости? Он наоборот - больше ресурсов жрёт, чем GRE, применяемый в PPTP

710. andrey0018, 28.01.2013 15:02
Скажу на чем я сравнивал, хотя это не совсем правильно, так вот я настраивал ssh и OpenVPN на ноуте так ssh (1024 бит шифр.) работал быстрее и меньше кушал проца и памяти. Поэтому я думал это более выгодный вариант.

Добавление от 28.01.2013 15:10:

Так же, все мои коллеги на работе используют ssh

711. Джамаль, 28.01.2013 15:20
andrey0018

OpenVPN это ещё более тяжеловесный протокол, чем SSH и клиент у него, откровенно скажу, дурацкий

712. andrey0018, 28.01.2013 15:23
Спасибо за инфу, остался один открытый вопрос: где посмотреть мануал как настроить ssh на микротике, чтобы удаленно использовать домашний инет. Так скажем дурацкая привычка, сначала попробовать, а потом выбрать из двух вариантов .

713. Джамаль, 28.01.2013 15:36
Начать можно отсюда (http://wiki.mikrotik.com/wiki/Manual:IP/SSH)

714. gamespb, 28.01.2013 16:02
sherwood
на какой источник? на этот что ли - http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filterexpire - specified interval after which record ip address /port will be deleted. я что не правильно перевожу? вроде как - интервал времени через который записи IP/port будут удалены
expire - specifies interval after which recored ip address /port will be deleted
как сказать. у нас один источник, а текст разный. при этом я готов согласиться с переводом
но это не относиться к созданному списку, а только к произведённым измерениям. а вот на вкладке actions add-src-list указать время жизни записи. и создать в filter правило уже блокируещее по тому же листу
chain=forward action=add-src-to-address-list address-list=test-pps address-list-timeout=3s dst-limit=10,100,dst-address-and-port/1m40s
у меня в список попадают источники на три секунды (и удаляются через 3 сек) из списка test-pps. что такое 1м40с теряюсь в догатках так как в winboxточно стояло считать пакеты за одну секунду

Добавление от 28.01.2013 16:16:

ага expire у меня 100.00 то есть 1м40секунд, но повторюсь это не то ограничение что ты подумал

715. d_war_f, 28.01.2013 16:38
четыре страницы назад мне так никто и не ответил, попробую спросить ещё раз:

Помогите, пожалуйста, разобраться. Есть Микротик 433АН. Он является граничным в сети филиала, связь с головным офисом осуществляется через ipip.
Проблема в том, что в качестве прокси-сервера девайс работать отказывается. Делал всё по инструкции с mikrotik-wiki. Не помогает, на клиентских машинах браузер пишет "невозможно отобразить страницу", в логе микротика видно что-то типа "DROP INPUT input: in:ether3 out none) src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 192.168.1.55:58508->192.168.1.1:8080, len32". Если отключить все правила фаервола или просто добавить правило NAT типа accept на диапазон 192.168.1.0/24, то в логах надписи появляться перестанут, но пользователи от этого в интернет ходить не начнут.
Без прокси всё работает чудесно. Вышеописанная карусель происходит также если адрес микротика как прокси выдавать через GPO, а не через перенаправление портов в самом микротике. В чем тут может быть дело?

716. LanMarket, 28.01.2013 17:37
цитата:
d_war_f:
четыре страницы назад мне так никто и не ответил, попробую спросить ещё раз:

Помогите, пожалуйста, разобраться. Есть Микротик 433АН. Он является граничным в сети филиала, связь с головным офисом осуществляется через ipip.
Проблема в том, что в качестве прокси-сервера девайс работать отказывается. Делал всё по инструкции с mikrotik-wiki. Не помогает, на клиентских машинах браузер пишет "невозможно отобразить страницу", в логе микротика видно что-то типа "DROP INPUT input: in:ether3 out none) src-mac xx:xx:xx:xx:xx:xx, proto TCP (SYN), 192.168.1.55:58508->192.168.1.1:8080, len32". Если отключить все правила фаервола или просто добавить правило NAT типа accept на диапазон 192.168.1.0/24, то в логах надписи появляться перестанут, но пользователи от этого в интернет ходить не начнут.
Без прокси всё работает чудесно. Вышеописанная карусель происходит также если адрес микротика как прокси выдавать через GPO, а не через перенаправление портов в самом микротике. В чем тут может быть дело?

На микротике немного не полный, так сказать. И если нужно полноценный прокси, то нужно ставить его на отдельной машине.

717. d_war_f, 28.01.2013 17:48
меня устроит и тот, что на микротике. к тому же очень интересно, почему оно не работает так, как должно.

718. sherwood, 28.01.2013 19:00
Wi-Fi точка доступа, профиль шифрования если выбрать например все варианты которые там есть как это будет работать? как будут подключаться абоненты, те кто может на WPA текто может на WPA2 и т.д., или так вообще не работает и надо выбирать один тип шифрования?

719. Джамаль, 28.01.2013 19:47
d_war_f

/ip proxy export покажите

720. gamespb, 28.01.2013 19:50
LanMarket
полно вам. вполне себе прокси.
только кэш на внешний диск вынесете.

d_war_f

мда на нём нет ни ЮСБ ни СД ,зато 3 миниписиай

вы что то путаете поэтому и не выходит
добавте одно правило на input eth3 port 8080 accept на тике. в браузерах porxy ip=gw port=8080
правил в output на тике если нет то и не надо, если есть закоментируйте

должно работать как просто прокси, ну опять же не забываем разрешить в проксе accept на local net

как заработает можно пробовать сделать transparent

sherwood
если ставить галки wpa and wpa2 то и ключа просят два. работать будет два типа

721. sherwood, 28.01.2013 20:30
gamespb
если ставить галки wpa and wpa2 то и ключа просят два. работать будет два типа

хорошо, абоненты как будут подключаться? то есть если абонент не поддерживает WPA2 то он и не сможет подключится или же он будет работать по шифрованию WPA?

722. gamespb, 28.01.2013 20:53
sherwood
скажем так:
если у клиента есть wap2 то wpa так же есть
и поэтому к AP с WPA WPA2 смогут подключаться одновременно клиенты с двумя типами.

723. aytishnik, 29.01.2013 01:37
Кстати заметил такой глюк,
если я правила прописываю с webfig ip(192.168.88.1) то RB751G-2HhD зависает и и все вырубает не зайти на него и интернет перестает работать приходиться ресетить,
если правила через winbox то все нормально!
/ip firewall filter add chain=forward in-interface=pppoe-out1 protocol=tcp dst-port=51000 action=accept
/ip firewall filter add chain=forward in-interface=pppoe-out1 protocol=udp dst-port=51000 action=accept

В чем может быть проблема?


724. d_war_f, 29.01.2013 11:02
Джамаль
/ip proxy export
# jan/02/1970 21:12:57 by RouterOS 4.11

#
/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 \
cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=\
600 max-fresh-time=3d max-server-connections=600 parent-proxy=0.0.0.0 \
parent-proxy-port=0 port=8080 serialize-connections=no src-address=\
0.0.0.0
/ip proxy access
add action=deny comment="" disabled=no dst-host=:facebook
add action=deny comment="" disabled=no dst-host=:fb
add action=deny comment="" disabled=no dst-host= dnoklassniki
add action=deny comment="" disabled=no dst-host=:livejournal
add action=deny comment="" disabled=no dst-host=:xxx
add action=deny comment="" disabled=no dst-host= orn
add action=deny comment="" disabled=no dst-host=:mail
add action=deny comment="" disabled=no dst-host=:vk

gamespb, сделал, как Вы говорите - не помогло. Весьма странно, т.к. на идентичном тике с идентичной конфигурацией в другом филиале прокси работает (ради интереса включил, а оно возьми да и начни работать ). В связи с чем вопрос RouterOS умеет глючить? И если да, то как это лечить?

725. gamespb, 29.01.2013 12:35
d_war_f
думаю, всё умеет глючить.
но всё таки где то что то не настроено.
и убирайте из экспорта
# software id = .....

Добавление от 29.01.2013 12:41:

нехватает что то типа
add action=allow disabled=no dst-address=0.0.0.0 dst-port="" src-address=192.168.1.0/24

726. edc, 29.01.2013 13:22
Ребят, помогите сделать маршрутизацию

Есть следующая схема

172.16.0.0/15-----ipsec-----mikrotik (192.168.5.0/24) -----ipsec------zywall5 (192.168.6.0/24)------static route-------роутер (10.10.250.0/24)


Между mikrotik и zywall5 подняты туннели на две сети
192.168.5.0/24 - 192.168.6.0/24
192.168.5.0/24 - 10.10.250.0/24

Mikrotik имеет туннель между сетями - 172.16.0.0/15 - 192.168.5.0/24

Необходимо предоставить доступ из сети 10.10.250.0/24 в сеть 172.16.0.0/15
Что я только уже не перепробовал. Может кто подскажет?

727. Джамаль, 29.01.2013 13:45
d_war_f
RouterOS 4.11

А чё такая древность замшелая-то? Да, оно тоже умеет глючить. Помогает апгрейд или даунгрейд

Добавление от 29.01.2013 13:47:

edc

Машины в сети 10.10.250.0/24 какой дефолтный маршрут имеют? А маршрутизатор, который их выпускает, какой имеет дефолтный маршрут?

728. edc, 29.01.2013 13:57
Машины в сети 10.10.250.0/24 имеют дефолт роутера(10.10.250.0/24), а этот роутер дефолт - zywall5
Дело в том, что zywall ничего не знает о сети 172.16.0.0/15

729. sherwood, 29.01.2013 14:36
gamespb
и поэтому к AP с WPA WPA2 смогут подключаться одновременно клиенты с двумя типами.

то есть клиент имеющий только WPA подключится и будет использовать шифрование WPA и второй у которого есть WPA2 подключится и будет использовать WPA2 или он тоже буде использовать WPA? как по аналогии с режимами Wi-Fi если один подключится на А то все остальные тоже будут работать на А не смотря на то что у них есть и G и N.

730. d_war_f, 29.01.2013 14:42
Джамаль
эта древность вполне сносно выполняет задачи, перед ней поставленные. Зачем чинить то, что не сломано? К тому же как-то раз я пытался проапгрейдить такую же железку в центральном офисе (само собой, по инструкции с сайта). Дело кончилось бриком. Так рисковать с удалённой железкой, которую в филиале нечем заменить ежели что, совсем не хочется. Админов в филиале нет, так что сбросить в дефолт тоже будет некому.

gamespb
да, с software id я поторопился, бывает. То сообщение поправил, поправьте своё тоже, пожалуйста.
Правило добавил, эффекта всё равно нет.

731. Джамаль, 29.01.2013 16:57
d_war_f

Мне вот больше интересно, зачем вам именно прокси-сервер? Чем не устраивает трансляция?

Добавление от 29.01.2013 16:59:

edc
Дело в том, что zywall ничего не знает о сети 172.16.0.0/15

А куда его дефолтный маршрут смотрит?

Ну а если не знает о сети, так пропишите маршрут до неё. Или ZyWall не умеет статические маршруты? Тогда просто выбросите его...

732. Marine, 29.01.2013 19:42
непонятки возникли-
после сброса в дефолт настроил микротик клиентом впн для site-to-site туннеля. сервер RRAS от виндовс 2008 сервера.
вроде все что нужно работает клиенты в обоих сетях видят друг друга. но почему то с самого микротика (RB750GL) не пингуется вторая сеть за впн сервером и сам впн сервер.

733. gamespb, 29.01.2013 21:26
sherwood
точке будет всё равно. и клиентов двух типов будет обслуживать в одно время
d_war_f
так для уточнения. правило для прокси в раздел /ip proxy access?

734. d_war_f, 30.01.2013 10:42
Джамаль
прокси затем, что требуется жёстко ограничивать доступ пользователей к тем или иным ресурсам. Как такое делать средствами NAT, я не знаю
gamespb
сорри, не очень понял вопрос.

735. Джамаль, 30.01.2013 10:50
d_war_f
Как такое делать средствами NAT, я не знаю

Я для этого использую адреслисты. Недостаток - приходится предварительно искать все диапазоны, занятые запрещаемым сервисом

736. gamespb, 30.01.2013 12:51
d_war_f

/ip proxy access add action=allow disabled=no dst-address=0.0.0.0 dst-port="" src-address=192.168.1.0/24

737. SealXXX, 30.01.2013 16:55
Подскажите, пожалуйста, в каком направлении двигаться, создавать ли мост между интерфейсами точки доступа, настраивать ли ее роутером, задействовать vlan на wlan-е... Словом, после пары суток экпериментов, окончательно запутался.
--
Стоит следующая задача.
В наличии - RB493-й.
Получает интернет по pppoe (динамическое получение адреса, настроен DynDNS, все работает). Раздает в локалку через ether2, которому присвоен адрес 192.168.3.100 (адреса подсетки 192.168.3.0/24 привязаны к mac-адресам хостов в сети, все работает).
На руках AP, модели RB711.
Необходимо раздавать через нее от RB493-го интернет по WiFi на две подсетки. Одна (для гостей) - 192.168.55.0/24. Вторая - буквально несколько устройств (для своих работников), с адресами из подсети 192.168.2.0/24. Причем, эти адреса должны быть статически прописаны в микротике, с привязкой их к mac-адресам устройств этих работников.
--
Проще было бы организовать все в едином адресном пространстве. Но, по техпричинам менять условия не смогу...

738. LanMarket, 30.01.2013 18:01
цитата:
SealXXX:
Подскажите, пожалуйста, в каком направлении двигаться, создавать ли мост между интерфейсами точки доступа, настраивать ли ее роутером, задействовать vlan на wlan-е... Словом, после пары суток экпериментов, окончательно запутался.
--
Стоит следующая задача.
В наличии - RB493-й.
Получает интернет по pppoe (динамическое получение адреса, настроен DynDNS, все работает). Раздает в локалку через ether2, которому присвоен адрес 192.168.3.100 (адреса подсетки 192.168.3.0/24 привязаны к mac-адресам хостов в сети, все работает).
На руках AP, модели RB711.
Необходимо раздавать через нее от RB493-го интернет по WiFi на две подсетки. Одна (для гостей) - 192.168.55.0/24. Вторая - буквально несколько устройств (для своих работников), с адресами из подсети 192.168.2.0/24. Причем, эти адреса должны быть статически прописаны в микротике, с привязкой их к mac-адресам устройств этих работников.
--
Проще было бы организовать все в едином адресном пространстве. Но, по техпричинам менять условия не смогу...

Расширенные настройки Mikrotik RouterOS: создание виртуальной беспроводной точки доступа VirtualAP (http://lanmarket.ua/stats/rasshirennye-nastrojki-mikrotik-routeros:-sozdanie-virtualnoj-besprovodnoj-tochki-dostupa-virtualap#.UQknkX2e4lR)

Советую по читать. Может поможет.

739. SealXXX, 30.01.2013 18:42
LanMarket
Спасибо, похоже, должно сработать.. Скоро доберусь до железа и попробую настроить, по статье.

740. aytishnik, 31.01.2013 11:10
Вышла новая прошивка v5.23

К этой теме 31.01.2013 13:38 moderator-Zdpn подклеил тему "Mikro Tik RB750, объединение подсетей." (автор: Тофик)

742. Тофик, 31.01.2013 13:38
Здравствуйте, прошу помощи...
имеется: маршрутизатор Mikro Tik RB750, два здания.
- в обоих зданиях есть сеть... 1-192.168.0.0\24 2-192.168.101.0\2
- в первом здании есть интернет во втором нет, но стоит фаил сервер.
Задача: соединить здания так чтобы во втором здании так и небыло интернета, но из первого здания некоторое компьютеры (192.168.0.100-192.168.0.117+фильтр по MAC) видели сервер (192.168.101.100).
при этом компьютеры из второго здания, не видели компьютеры из первого здания...

Оговорка - нет возможности провод от интернета воткнуть в маршрутизатор! маршрутизатором соединяются хабы двух сетей...

подсеть в которой есть интернет, следующие настройки сетевой карты:
IP-адрес: 192.168.0.78
Маска подсети: 255.255.255.0
Основной шлюз: 192.168.0.77
Предпочитаемый DNS-сервер: 192.168.0.77

Вопрос: как настроить MikroTik

743. d_war_f, 31.01.2013 14:18
Джамаль
а где можно найти какие-нибудь мануалы о том, как это делать?
gamespb
добавил и такое правило. не помогло.
Тофик
я не очень понял схему сети. Микротик у Вас соединяет сети, так? А где-то в первой сети есть ещё один маршрутизатор, который даёт интернет?
я бы делал так:
для первой сети создал бы правило с маскарадом для доступа в инет, потом правило с netmap'ом для тех компьютеров, которые должны видеть файл-сервер. Соответственно, для первой сети надо ещё прописать маршрут для доступ в интернет.
з.ы. относительно МАС-фильтрации ничего сказать не могу - на микротиках такого не делал.

744. Джамаль, 31.01.2013 15:48
d_war_f
а где можно найти какие-нибудь мануалы о том, как это делать?

Так всё просто же:
/ip fire add add list=Deny address=217.20.0.0/16 (если кто не в курсе, это одна из подсетей Одноклассников)

/ip fire filter add chain=forward src-address-list=Deny action=Drop

Переместить свежесозданное правило повыше и дополнить адреслист Deny адресами сетей, которые вам надо запретить.

Добавление от 31.01.2013 15:56:

Тофик
нет возможности провод от интернета воткнуть в маршрутизатор!

А как же тогда интернет раздаётся?

745. Alexus-S, 31.01.2013 18:11
Добрый день.
Подскажите, пожалуйста, по такому вопросу:

Имеется два провайдера: №1 - основной, №2 - резервный.
Внутри организации почтовый сервер. Почта должна отправляться только через провайдера N2.
На Микротике Smtp-пакеты маркируются маркером smtp. В маршрутах пакеты с этим маркером направляются на нужный интерфейс (провайдер №2).
Все работает. Но вот, если второй провайдер недоступен, smtp-пакеты идут через первого.
Как запретить отправку smtp-пакетов при недоступности второго провайдера?

746. Nyarlat, 31.01.2013 18:54
Alexus-S
поставить правило отбрасывать пакеты с маркировкой smtp на интерфейсе провайдера 1.

747. SealXXX, 31.01.2013 20:10
До настоящего времени, считал что правила натирования в Микротке выполняются в порядке очереди, по списку.
Однако, столкнулся с неработоспособностью последовательности.
Имеем:
------------------------------
/ip firewall nat> print
..............
4 ;;; Masq _HTTPs (non Proxy)
chain=srcnat action=masquerade protocol=tcp src-address-list=HTTPS_non_Proxy dst-port=443
5 ;;; NAT _Transparent Web_Proxy USER
chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address-list=USER dst-port=80,443
6 ;;; Masq LAN for USER
chain=srcnat action=masquerade src-address-list=USER out-interface=!ether2


/ip firewall address-list> print
# LIST ADDRESS
..............
8 ;;; Manager1
USER 192.168.3.7
..............
10 ;;; Manager1
HTTPS_non_Proxy 192.168.3.7

-------------------------------------------------

Т.е., есть пользователь "Manager1" внесенный в два адрессных списка. Необходимо пустить его через транспарент веб-прокси микротика для фильтрации нежелательного контента http, но при этом по https пустить напрямую, в обход проксика.
В данном случае, по 443-му порту страницы не открываются. СтОит лишь, задисеблить в адресном списке п.8 (исключив менеджера из списка USER), https страницы начинают открываться без проблем.
Иными словами, правило редиректа на 8080-й порт (проки-сервера) работает раньше, чем идущее по списку перед ним правило маскарадинга для тех, кому нужен обход по 443-му tcp.
---
Подскажите, пожалуйста в чем тут проблема? Как обойти это ограничение?

748. aytishnik, 31.01.2013 20:43
Добрый день.
Подскажите, пожалуйста, есть у кого конфиг Firewall:

есть сеть 192.168.88.0/24 с точкой доступа,
создал гостевой wi-fi VirtualAP к нему создал отдельную сетку 10.0.0.0/8
Как в Firewall запретить (защитить) сеть 192.168.88.0/24, чтоб не могли зайти с гостевой сети 10.0.0.0/8 и с точки доступа VirtualAP,
а так же прописать в Firewall чтоб только могли интернетом пользоваться и почтой, все остальное закрыть (порты).
И правильно так делать гостевую сеть?

749. SealXXX, 31.01.2013 22:15
Вроде, решил свой вопрос. Не уверен, правда, что оптимально.

Создал в мангл правило для прероут с маркировкой соединения пользователей из списка "HTTPS_non_Proxy".
Далее, так -

/ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=HTTPs_forward
passthrough=no protocol=tcp src-address-list=HTTPS_non_Proxy dst-port=443


/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
..........................
4 ;;; NAT _Transparent Web_Proxy USER
chain=dstnat action=redirect to-ports=8080 protocol=tcp
dst-address=!192.168.33.10 src-address-list=USER dst-port=443
connection-mark=!HTTPs_forward

5 ;;; MASQ _HTTPs (non Proxy)
chain=srcnat action=masquerade protocol=tcp dst-address=!192.168.33.10
src-address-list=HTTPS_non_Proxy dst-port=443

6 ;;; NAT _Transparent Web_Proxy USER
chain=dstnat action=redirect to-ports=8080 protocol=tcp
dst-address=!192.168.33.10 src-address-list=USER dst-port=80

7 ;;; Masq LAN for USER
chain=srcnat action=masquerade src-address-list=USER
out-interface=!ether2

------------------------------
Если не затруднит, прокомментируйте сие решение. Не создастся ли к-л подводный камушек.

750. Злодей, 01.02.2013 09:09
Подскажите пожалуйста, в чем может быть дело.
Микротик RB751G, настроен шлюзом в интернет.
В 1й порт входит кабель провайдера. Порты 2-5 - для локалки - объединены в бридж.
В 5й порт подключен прокси сервер с FreeBSD.
На этом сервере, в логах постоянно появляются сообщения, что шлюз (микротик) сменил мак-адрес.
2 мака про которые мне говорит FreeBSD - это мак на интерфейсе Bridge, и мак на интерфейсе eth5.
Вопрос - если порт входит в бридж, он же не должен иметь свой мак-адрес?

751. Komrus, 01.02.2013 09:51
Ильясла
Джамаль

Коллеги!

Не просветите ли по нескольким вопросам?

1) Что в настоящий момент у Микротика с WiFi роумингом. Есть ли вообще, какие задержки при переходе с точки на точку? Насколько он бесшовный? Приемлем ли он для VoWiFi?

2) Микротик в роли контроллера (level6, если не ошибаюсь) - может управлять только такими же микротиками в качестве точек доступа?
2а) Если только Микротик - то собрать 2.4 & 5 ГГц N точку доступа можно из кусочков (корпус, боард, плата WiFi)? Готовые решения - пока только на одну частоту?

2б)Или можно использовать сторонние точки доступа?
Кроме поддержки RADIUS от них что-то требуется?

3) Что у Микротик с авторизацией WiFi пользователей и раскидыванием их по разным SSID и VLAN'ам в зависимости от... ? (Модными терминами типа BYOD Микротик уже научился жонглировать?

752. Джамаль, 01.02.2013 11:38
Komrus
Что в настоящий момент у Микротика с WiFi роумингом

Ничего. Не делают и пока не собираются



Есть ли вообще, какие задержки при переходе с точки на точку? Насколько он бесшовный? Приемлем ли он для VoWiFi?

Не знаю, не пробовал



Если только Микротик - то собрать 2.4 & 5 ГГц N точку доступа можно из кусочков (корпус, боард, плата WiFi)?

Можно. Надо только тщательно проверить HCL, если собираетесь применять сторонние WiFi-платы. Ну и наличие и количество miniPCI-слотов на маршрутизаторе тоже надо уточнить



Или можно использовать сторонние точки доступа?Кроме поддержки RADIUS от них что-то требуется?

Можно, конечно. Ничего специфичного не требуется - это же бриджи



Что у Микротик с авторизацией WiFi пользователей и раскидыванием их по разным SSID и VLAN'ам в зависимости от... ?

По-моему, в их фирменном HOTSPOT это как-то делается, но не заложусь, бо не ковырял его

753. platoon, 01.02.2013 12:08
На стандартной конфигурации после внесения данных от провайдера, L2TP соединение коннектится, а вот интернета нет; даже с самого роутера сайты не пингуются - пишет timeout.
Какие скрины выложить чтобы понять что не так?

754. gamespb, 01.02.2013 12:18
Злодей
бридж сами создавали?
platoon
а что уже сделали что бы заработало?

755. Злодей, 01.02.2013 13:13
gamespb
Сам создавал

756. Natural2003, 01.02.2013 14:19
Всем привет!

Господа, подскажите как с помощью скриптов в микротике сделать такую вещь.
У меня есть ресурс с постоянным IP, на нем лежит файл. Содержимое файла - IP-адрес, на котором настроен OpenVPN сервер.
К сожалению этот IP может меняться несколько раз в сутки. Адрес в этом файле тоже меняется, он актуален.

На микротике у меня настроен OpenVPN клиент, все соединяется и работает отлично.
Но до смены IP на OVPN-сервере.

Возможно ли как-либо на микротике по шедулеру и скрипта изменять настройки
OpenVPN клиента (адрес OpenVPN-сервера).

В линуксе я бы сделал так:
curl http://fixedip.com/fileip и получил бы адрес.
ну а дальше дело техники.

потом что-то типа:
/interface ovpn-client set number=1

Помогите разобраться.

757. platoon, 01.02.2013 21:27
цитата:
gamespb:
...
platoon
а что уже сделали что бы заработало?
Дефолтные настройки оставил по умолчанию, настроил L2TP клиент и провайдерские настройки.
IP-адрес 10.224.112.94
Маска подсети 255.255.255.0
Стандартный (основной) шлюз 10.224.112.1
Днсы 80.252.130.254 и 80.252.130.253
Сервер VPN 10.255.255.254

http://s018.radikal.ru/i526/1302/a1/be796e456f40.jpg (1248x999, 199.5Kb) (http://www.radikal.ru)

http://s45.radikal.ru/i107/1302/17/5f5744a27fe6.jpg (1039x832, 146.1Kb) (http://www.radikal.ru)

Как видно, L2TP коннектится.
Пингуются 10.224.112.94, 10.224.112.1, 80.252.130.254 и 80.252.130.253

Что ещё нужно чтобы появился инет?

758. cedor, 01.02.2013 21:49
Natural2003
Вот пример присвоение ИП адреса интерфейсу из переменной
код:
 /interface pptp-client set [/interface pptp-client find name=Имя_Интерфейса_куда записать] connect-to=$"current-ip"

А вот пример обрабоки получаемого файла с сервера с ИП адресом
код:
/tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/dyndns.txt"
:local result [/file get dyndns.txt contents]
:log info ("UpdateDynDNS: Dyndns update needed")
:log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
:put ("Dyndns Update Result: ".$result)

759. gamespb, 02.02.2013 02:49
Злодей
на микротике rb751 из коробки порты 3,4,5 и так уже слэйвы ко второму на уровне микросхемы и управляются в разделе интерфейсов. может наложились
Natural2003
а на сервере что то типа DynDNS не поднять?
platoon
как обычно два шлюза на 0.0.0.0
убрать шлюз статик, и прописать ип 10.255.255.254 на шлюз 10.224.112.1 тоже статикой, недавно было такое же. внимательнее читаем форум пожалуйста

760. platoon, 02.02.2013 09:09
По моему, я что-то делаю неправильно...
Посмотрите, что получается:
http://i024.radikal.ru/1302/9f/3c6ee160561d.jpg (1243x994, 185.8Kb) (http://www.radikal.ru)
То же самое, если убрать галочку Add defoult route
http://s019.radikal.ru/i609/1302/c6/c7304922ff67.jpg (1247x997, 196.6Kb) (http://www.radikal.ru)
Спасибо что уделяете время на помощь!

761. SealXXX, 02.02.2013 19:11
Уже несколько дней наблюдаю неустойчивую работу обновления IP на сервере DynDNS.com.
После падения линка с провайдером и дальнейшего подключения микротика по pppoe (используется ADSL, внешний IP динамический, "белый"), обновление адреса ddns происходит далеко не всегда. Может, как в пределах установленного в веб-форме настроек TTL учетки (официальной, платной) на dyndns.com, так и вовсе не обновиться. Пока, принудительно не перезапустишь тот же ADSL-модем.
Аналогично и после смене динамического IP, при ребуте микротика.

Использую скрипт для прошивок v.5.x (wiki.mikrotik.com/wiki/Dynamic_DNS_Update_Script_for_dynDNS)

Script Server for DynDNS:
# Set needed variables
:local username "xxxx"
:local password "yyyy"
:local hostname "zzzz.com"

:global dyndnsForce
:global previousIP

# print some debug info
:log info ("UpdateDynDNS: username = $username")
:log info ("UpdateDynDNS: password = $password")
:log info ("UpdateDynDNS: hostname = $hostname")
:log info ("UpdateDynDNS: previousIP = $previousIP")

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:local result [/file get dyndns.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [ ick $result $startLoc $endLoc]
:log info "UpdateDynDNS: currentIP = $currentIP"

# Remove the # on next line to force an update every single time - useful for debugging,
# but you could end up getting blacklisted by DynDNS!

#:set dyndnsForce true

# Determine if dyndns update is needed
# more dyndns updater request details http://www.dyndns.com/developers/specs/syntax.html

:if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={
:set dyndnsForce false
:set previousIP $currentIP
:log info "$currentIP or $previousIP"
/tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
src-path="nic/update?system=dyndns&hostname=$hostname&myip=$currentIP&wildcard=no" \
dst-path="/dyndns.txt"
:local result [/file get dyndns.txt contents]
:log info ("UpdateDynDNS: Dyndns update needed")
:log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
ut ("Dyndns Update Result: ".$result)
} else={
:log info ("UpdateDynDNS: No dyndns update needed")
}


В Files микротика, в таких несрабатываемых случаях присутствуют файлы - со старым IP (запись "good BBB.BBB.BBB.BBB"), также фигурирующем и на HostService сервера dyndns.com. И еще один файл - dyndns.checkip.html, с записью нового, только что присвоенного провайдером внешнего IP ("Current IP Address: AAA.AAA.AAA.AAA").
В логе микротика:
script,info UpdateDynDNS: username = xxxx
script,info UpdateDynDNS: password = yyyy
script,info UpdateDynDNS: hostname = zzzz.com
script,info UpdateDynDNS: previousIP = AAA.AAA.AAA.AAA
info fetch: file "dyndns.checkip.html" created
script,info UpdateDynDNS: currentIP = AAA.AAA.AAA.AAA
script,info UpdateDynDNS: No dyndns update needed

-----------------------------------------------------
PS: AAA.AAA.AAA.AAA - новый, реальный IP, выданный на данный момент провайдером микротику.


Может, кто-нибудь с подобным сталкивался и решал эту проблему?
На форуме dyndns.com народ изредка жалуется на подобное, но внятных объяснений никто не дает, как и нет особой полемики.

762. Andr234, 03.02.2013 12:01
Прошу помощи!
Подключаюсь к корпоративной VPN сети Микротиком по PPTP - все ок, но только не могу достучаться до корпоративных серверов по имени, а по ip все ок - находит.
Если подключаюсь к VPN не микротиком, а обычным windows клиентом то все ок - по имени находит.

Подскажите, пожалуйста, куда копать?

763. Джамаль, 03.02.2013 13:19
Andr234
Подскажите, пожалуйста, куда копать?

Копать в сторону DNS

764. Andr234, 03.02.2013 13:35
Джамаль
Копать в сторону DNS

можно поподробнее?
DNS в профиле default-encryprion, который использует pptp client микротика - прописывал - не помогает

765. Джамаль, 03.02.2013 14:14
Andr234

Кто является DNS-сервером для тех, кто подключён к микротику?

766. platoon, 03.02.2013 14:20
Тупик, перечитал по совету gamespb его ответы spee, не получается. Сбрасывается Gateway 10.224.112.1.
Прям хоть через Teamviewer предоставлять доступ на мой комп чтобы настроить эту железяшку...

Ещё раз дефолтные настройки:
# jan/02/1970 04:33:06 by RouterOS 6.0rc7
# software id = ***
#
/interface bridge
add admin-mac=D4:CA:6D:68:88:1D auto-mac=no l2mtu=2290 mtu=1450 name=\
bridge-local protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=\
indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge
/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface l2tp-client
add add-default-route=yes connect-to=10.255.255.254 disabled=no name=\
l2tp-out1 password=*** user=***
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
wpa-pre-shared-key="***" wpa2-pre-shared-key="***"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.12
add name=dhcp ranges=192.168.88.2/31
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
add address-pool=dhcp disabled=no interface=wlan1 name=dhcp1
/interface bridge port
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether2-master-local
/interface l2tp-server server
set max-mru=1450 max-mtu=1450
/interface pptp-server server
set max-mru=1450 max-mtu=1450
/interface wireless access-list
add mac-address=C8:BE:19:06:A4:05
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=wlan1 \
network=192.168.88.0
add address=10.224.112.94/24 interface=ether1-gateway network=10.224.112.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=80.252.130.254,80.252.130.253
/ip dns static
add address=192.168.88.1 name=router
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway !to-addresses !to-ports
/ip route
add distance=1 gateway=10.224.112.1
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system ntp client
set mode=unicast primary-ntp=65.55.21.21 secondary-ntp=207.200.81.113


и


> ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=10.255.255.254
gateway-status=10.255.255.254 reachable via l2tp-out1 distance=1
scope=30 target-scope=10

1 S dst-address=0.0.0.0/0 gateway=10.224.112.1
gateway-status=10.224.112.1 reachable via ether1-gateway distance=1
scope=30 target-scope=10

2 ADC dst-address=10.224.112.0/24 pref-src=10.224.112.94 gateway=ether1-gateway
gateway-status=ether1-gateway reachable distance=0 scope=10

3 ADC dst-address=10.255.255.254/32 pref-src=94.253.73.170 gateway=l2tp-out1
gateway-status=l2tp-out1 reachable distance=0 scope=10

4 ADC dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local
gateway-status=bridge-local reachable distance=0 scope=10

Добавление от 03.02.2013 14:26:

цитата:
platoon:
Тупик, перечитал по совету gamespb его ответы spee, не получается. Сбрасывается Gateway 10.224.112.1.
Прям хоть через Teamviewer предоставлять доступ на мой комп чтобы настроить эту железяшку...

Ещё раз дефолтные настройки:
# jan/02/1970 04:33:06 by RouterOS 6.0rc7
# software id = ***
#
/interface bridge
add admin-mac=D4:CA:6D:68:88:1D auto-mac=no l2mtu=2290 mtu=1450 name=\
bridge-local protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=\
indoors ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge
/interface ethernet
set 0 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface l2tp-client
add add-default-route=yes connect-to=10.255.255.254 disabled=no name=\
l2tp-out1 password=*** user=***
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
wpa-pre-shared-key="***" wpa2-pre-shared-key="***"
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.12
add name=dhcp ranges=192.168.88.2/31
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
add address-pool=dhcp disabled=no interface=wlan1 name=dhcp1
/interface bridge port
add bridge=bridge-local interface=wlan1
add bridge=bridge-local interface=ether2-master-local
/interface l2tp-server server
set max-mru=1450 max-mtu=1450
/interface pptp-server server
set max-mru=1450 max-mtu=1450
/interface wireless access-list
add mac-address=C8:BE:19:06:A4:05
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=wlan1 \
network=192.168.88.0
add address=10.224.112.94/24 interface=ether1-gateway network=10.224.112.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=\
ether1-gateway
/ip dhcp-server network
add address=192.168.88.0/24 comment="default configuration" dns-server=\
192.168.88.1 gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=80.252.130.254,80.252.130.253
/ip dns static
add address=192.168.88.1 name=router
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway !to-addresses !to-ports
/ip route
add distance=1 gateway=10.224.112.1
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system ntp client
set mode=unicast primary-ntp=65.55.21.21 secondary-ntp=207.200.81.113


и


> ip route print detail
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
0 ADS dst-address=0.0.0.0/0 gateway=10.255.255.254
gateway-status=10.255.255.254 reachable via l2tp-out1 distance=1
scope=30 target-scope=10

1 S dst-address=0.0.0.0/0 gateway=10.224.112.1
gateway-status=10.224.112.1 reachable via ether1-gateway distance=1
scope=30 target-scope=10

2 ADC dst-address=10.224.112.0/24 pref-src=10.224.112.94 gateway=ether1-gateway
gateway-status=ether1-gateway reachable distance=0 scope=10

3 ADC dst-address=10.255.255.254/32 pref-src=94.253.73.170 gateway=l2tp-out1
gateway-status=l2tp-out1 reachable distance=0 scope=10

4 ADC dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local
gateway-status=bridge-local reachable distance=0 scope=10


Я правильно понял, что строка
1 S dst-address=0.0.0.0/0 gateway=10.224.112.1
gateway-status=10.224.112.1 reachable via ether1-gateway distance=1
scope=30 target-scope=10
должна выглядеть как
1 A S dst-address=10.255.255.254/32 gateway=10.224.112.1
gateway-status=10.224.112.1 reachable via ether1-gateway distance=1
scope=30 target-scope=10

767. Andr234, 03.02.2013 14:35
Джамаль
Микротик это домашняя сеть с домашним интернетом. Провайдер онлайм - днс там свои.
Микротиком посредством pptp клиента подключаюсь к корпоративной сети с той целью чтобы на каждом из домашних устройств не устанавлитьвать отдельно vpn подлкючение.

768. мудрец, 03.02.2013 15:07
platoon
Возьми конфиг для билайна (http://old.minirouter.ru/wp-content/uploads/2010/06/Инструкция-по-конфигурированию-Mikrotik-RouterOS-для-работы-в-сети-интернет-провайдера-Корбина-Телеком-Билайн-07.07.2011.pdf) и переделай под свои реалии

769. RH1111, 03.02.2013 19:32
Добрый день!
Проблема с балансировкой и маркировкой соединений. Не работает. Маркируются только входящие соединения. Остальное не маркируется. в Результате все идет только по первому маршруту MTS, по другим провайдерам соединения не выполняются. Так же не маркируется, если ip адреса берутся из исписка внутренней сети провайдера.
Имеется 3 провайдера
1. MTS подключение по - PPoE, через профиль назначен адрес 10.8.8.8 (основной)
2. Spark - серый IP DHCP
3. Virgin фиксированный IP - 85.198.XXX.XXX gateway - 85.198.XXX.XXY.

Все бралось из конфигурации на wiki.mikrotik

Конфигурация:
/ip firewall filter
add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=input comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=input comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=input comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=input comment="Allow ICMP ping" disabled=no protocol=icmp
add action=accept chain=input comment="Access to router from OUTthere" disabled=no src-address-list=Admin_Out
add action=accept chain=input comment="Acces to router from internal Net" disabled=no src-address=10.10.0.0/24
add action=drop chain=input comment="All outher input drop" disabled=no
add action=drop chain=forward comment="Drop invalid packets" connection-state=invalid disabled=no
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=forward comment="Allow ICMP ping" disabled=no protocol=icmp
add action=accept chain=forward comment="Access to Internet For Servers computers" disabled=no in-interface=Local src-address-list=Servers
add action=accept chain=forward comment="Access to Internet For Admins computers" disabled=no in-interface=Local src-address-list=Admins
add action=accept chain=forward comment="Access from internal network to internet" disabled=no in-interface=Local src-address=10.10.0.0/24
add action=drop chain=forward comment="All other packets block" disabled=no

/ip firewall mangle
add action=accept chain=prerouting disabled=no dst-address=0.0.0.0/0 in-interface=Local
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface="MTS ISP" new-connection-mark=MTS_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface="Spark ISP" new-connection-mark=Spark_conn passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface="Virgin 2 VDSL" new-connection-mark=Virgin_conn passthrough=yes
add action=mark-routing chain=prerouting comment="Spark internal network" connection-state=new disabled=no dst-address-list=Spark_Int \
in-interface=Local new-routing-mark=2Spark passthrough=yes
add action=mark-routing chain=prerouting comment="Yandex Traffic 2 Spark" connection-state=new disabled=no dst-address-list=Yandex in-interface=Local\
new-routing-mark=2Virgin passthrough=yes
add action=mark-connection chain=prerouting comment="PCC - MTS" connection-mark=no-mark disabled=no dst-address-type=!local in-interface=Local \
new-connection-mark=MTS_conn passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting comment="PCC - Spark" connection-mark=no-mark disabled=no dst-address-type=!local in-interface=Local \
new-connection-mark=Spark_conn passthrough=yes per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting comment="PCC - Virgin" connection-mark=no-mark disabled=no dst-address-type=!local in-interface=\
Local new-connection-mark=Virgin_conn passthrough=yes per-connection-classifier=both-addresses:3/2
add action=mark-routing chain=prerouting comment="" connection-mark=MTS_conn disabled=no in-interface=Local new-routing-mark=2MTS passthrough=yes
add action=mark-routing chain=prerouting comment="" connection-mark=Spark_conn disabled=no in-interface=Local new-routing-mark=2Spark passthrough=yes
add action=mark-routing chain=prerouting comment="" connection-mark=Virgin_conn disabled=no in-interface=Local new-routing-mark=2Virgin passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=MTS_conn disabled=no new-routing-mark=2MTS passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=Spark_conn disabled=no new-routing-mark=2Spark passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=Virgin_conn disabled=no new-routing-mark=2Virgin passthrough=yes
add action=change-mss chain=forward comment="PPoE" disabled=no new-mss=1440 passthrough=yes protocol=tcp tcp-flags=syn

/ip firewall nat
add action=masquerade chain=srcnat comment="Internet from Comstar" disabled=no out-interface="MTS ISP"
add action=masquerade chain=srcnat comment="Internet from Spark" disabled=no out-interface="Spark ISP"
add action=masquerade chain=srcnat comment="Internet from Virgin" disabled=no out-interface="Virgin 2 VDSL"

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway="Spark ISP" routing-mark=2Spark scope=30 target-scope=10
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway="10.8.8.8%MTS ISP" routing-mark=2MTS scope=30 target-scope=10
add comment=""disabled=no distance=1 dst-address=0.0.0.0/0 gateway="85.198.XXX.XXY%Virgin 2 VDSL" routing-mark=2Virgin scope=30 target-scope=10
add comment="MTS Route" disabled=no distance=1 dst-address=0.0.0.0/0 gateway="10.8.8.8%MTS ISP" scope=30 target-scope=10
add comment="Spark \F0\E0\E1\EE\F2\E0\FE\F2" disabled=no distance=2 dst-address=0.0.0.0/0 gateway="Spark ISP" scope=30 target-scope=10
add comment="Virgin" disabled=no distance=3 dst-address=0.0.0.0/0 gateway="85.198.XXX.XXY%Virgin 2 VDSL" scope=30 target-scope=10
add comment="UPI-Rus 4 Virgin" disabled=no distance=1 dst-address=80.248.51.74/32 gateway="85.198.XXX.XXY%Virgin 2 VDSL" scope=30 target-scope=10

Конфигурация

770. Джамаль, 03.02.2013 20:02
Andr234

Я так и понял Поэтому я и спрашиваю, что написано в поле "DNS-сервер" у удалённых клиентов

771. gamespb, 03.02.2013 20:23
platoon
/interface bridgeadd admin-mac=D4:CA:6D:68:88:1D auto-mac=no l2mtu=2290 mtu=1450 name= bridge-local protocol-mode=rstp
MTU не 1500 надо?

/ip firewall natadd action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway !to-addresses !to-ports
не хватает маскарада на pptp-cliet интерфейс, а этот нужен только если лок.сетка нужна.

/ip routeadd distance=1 gateway=10.224.112.1
это шлюз по умолчанию, но когда поднимется соединение c PPTP то будет назначен еще один. так вот он будет первым, и таким образом связь клиента с сервером ломанется по нему оборвав тем самым сединение.

поэтому предлогаю поднять статический маршрут до pptp сервера указав ходить через шлюз 10.224.112.1

772. Andr234, 03.02.2013 22:30
Джамаль
Ничего не прописывается - пусто!
Точнее автоматом прописываются онлаймовские DNS

773. Джамаль, 03.02.2013 22:49
Andr234
Точнее автоматом прописываются онлаймовские DNS

Вот в этом и кроется причина ваших бед. Должны быть DNS корпоративной сети или их форвардеры

774. Andr234, 03.02.2013 23:00
Джамаль
Ну я поэтому и прошу помощи - как правильно это настроить в микротике?

775. Natural2003, 03.02.2013 23:29
cedor
Спасибо. Я посидел вечером и сам написал такое:
код:

if ([/interface get OVPN-ntrl running ]=false) do {
/tool fetch url=http://fixedip.com/fileip
/interface ovpn-client set numbers=2 connect-to=[/file get fileip contents ]
}


Пока не знаю как set numbers=2 изменить на имя.
пробоавал [/interface ovpn-client find name ntrl], но ничего не выводится.

gamespb
dyndns тормозят часто.
А я все это придумываю, чтобы объединить квартиры в одну сеть, а поверх этой сети
у меня vdr для просмотра спутникового тв

776. gamespb, 04.02.2013 01:31
Natural2003
Пока не знаю как set numbers=2 изменить на имя.
надо сделать коментарий потом найти нужный интерфейс по коментарию
/interface set [find comment="OVPN"] disable no

777. Джамаль, 04.02.2013 06:54
Andr234

Кто у вас в сети раздаёт IP-адреса?

778. Злодей, 04.02.2013 07:16
gamespb
на микротике rb751 из коробки порты 3,4,5 и так уже слэйвы ко второму на уровне микросхемы и управляются в разделе интерфейсов. может наложились
В том то и дело, что не из коробки, конфиг по умолчанию я удалял. Мастер/слэйв порты отсутствуют.
Может быть баг в прошивке.

779. Andr234, 04.02.2013 08:41
Джамаль
В домашней микротик раздает сеть 9.x
В корпоративной DHCP поднят на серваке с ipшником 0.1

780. Джамаль, 04.02.2013 09:05
Andr234

Тогда в домашней сети на микротике нужно указывать DNS-сервером самого микротика, а не провайдера. Ну и в микротике нужно настроить перенаправление на вышестоящий провайдерский DNS.

Добавление от 04.02.2013 09:07:

Злодей
Порты 2-5 - для локалки - объединены в бридж

Незачем было объединять в бридж. Лучше было бы в коммутатор.

781. Andr234, 04.02.2013 09:16
Джамаль
Подскажите плз как это сделать?

К этой теме 04.02.2013 13:02 moderator-Zdpn подклеил тему "Переход на резервный канал MikroTik RB750" (автор: Виактор)

783. Виактор, 04.02.2013 13:02
Перечитал кучу гайдов, ничего не понял, я нуб в таких настройках
Желательно совет как настроить через WinBox

Имеем:
Роутер MikroTik RB750
Шлюз 192.168.14.252
Шлюз 192.168.14.253

Надо:
Воткнуть два провода от разных шлюзов как входящие, получение IP автоматом по DHCP и один исходящий кабель идет на свич

То есть:
В порт 1 входит кабель с GW=192.268.14.252 - 1
В порт 2 входит кабель с GW=192.168.14.253 - 2
Из порта 3 пакеты идут на обычный свич.
Если пакеты через GW1 не идет до ya.ru например, чтобы траффик начинал идти через GW2, но при появлении линка от ya.ru через GW1 переключался обратно.
Не могу никак понять как изменить GW на порте 2 на 253 c 252

Надеюсь понятно описал что нужно
И очень хотелось бы обойтись без скриптов
Вот еще картинка на всякий случай)
572x545, 17.6Kb


Еще интересует варианты, если бы микротик был соединен напрямую с GW2.
Так же можно поставить его вместо GW2, но я думаю мне хватит одно варианта, чтобы разобраться дальше самому.

784. LanMarket, 04.02.2013 15:27
С пингом, без скриптов-никак.

785. Виактор, 04.02.2013 17:40
цитата:
LanMarket:
С пингом, без скриптов-никак.
А как же distance?
С каким пингом, про скрипты тоже ничего не понял.
Вкладываю кучу картинок потому что сейчас интернет работает совершено непонятно как, то через GW1 идет трафик, то через GW2, то вообще ничего нет и не пингуется.
Задача немного поменялась.
Микротик ставится вместо GW2, но все равно IP получается автоматически по DHCP.
То есть роутер пусть даже пингом пусть проверяет доступность, уже без разницы, просто на данный момент он работает совсем непонятно как, надо с этим разобраться.
Прикладываю скрины которые кажутся важными, просите что еще нужно.
Фаервол не нужен, могу все открыть.
С NAT большие проблемы.
На данный момент интернет есть, с роутера оба шлюза пингуются, с компа нет(
http://s2.ipicture.ru/uploads/20130204/x1oD5c6I.jpg
http://s2.ipicture.ru/uploads/20130204/herBAp65.jpg
Помогите пожалуйста, если не трудно

786. LanMarket, 04.02.2013 18:09
цитата:
Виактор:
цитата:
LanMarket:
С пингом, без скриптов-никак.
А как же distance?
С каким пингом, про скрипты тоже ничего не понял.
Вкладываю кучу картинок потому что сейчас интернет работает совершено непонятно как, то через GW1 идет трафик, то через GW2, то вообще ничего нет и не пингуется.
Задача немного поменялась.
Микротик ставится вместо GW2, но все равно IP получается автоматически по DHCP.
То есть роутер пусть даже пингом пусть проверяет доступность, уже без разницы, просто на данный момент он работает совсем непонятно как, надо с этим разобраться.
Прикладываю скрины которые кажутся важными, просите что еще нужно.
Фаервол не нужен, могу все открыть.
С NAT большие проблемы.
На данный момент интернет есть, с роутера оба шлюза пингуются, с компа нет(
http://s2.ipicture.ru/uploads/20130204/x1oD5c6I.jpg
http://s2.ipicture.ru/uploads/20130204/herBAp65.jpg
Помогите пожалуйста, если не трудно

Mikrotik OS и автоматическое переключение на резервный канал (http://lanmarket.ua/stats/mikrotik-os-i-avtomaticheskoe-pereklyuchenie-na-rezervnyj-kanal#.UQ_AdX2e4lR)

Mikrotik RouterOS; два провайдера - балансировка, маршрутизация, firewall (без скриптов) (http://lanmarket.ua/stats/mikrotik-routeros-dva-provajdera-balansirovka-marshrutizaciya-firewall-%28bez%20skriptov%29#.UQ_A4X2e4lQ)

787. aytishnik, 06.02.2013 01:06
Пришел ответ от mikrotika:
Hello,
Skorej vsego problema s wireless interfeisom (u kotorogo povrezden usilitelj), vam
nuzno svazatsa s vasim distributorom i sprositj o vozmoznostjah garantiji.
Regards,
Sergejs
--
The biggest European MUM of 2013:
Zagreb, Croatia. March 14-15
http://mum.mikrotik.com/

Очень много было у них RB751G-2HnD бракованных!

Иногда зависал и не зайти было на него и все вырубал и не пинговался.
Где в Санкт-Петербурге могут отремонтировать?


цитата:
aytishnik:
Кстати заметил такой глюк,
если я правила прописываю с webfig ip(192.168.88.1) то RB751G-2HhD зависает и и все вырубает не зайти на него и интернет перестает работать приходиться ресетить,
если правила через winbox то все нормально!
/ip firewall filter add chain=forward in-interface=pppoe-out1 protocol=tcp dst-port=51000 action=accept
/ip firewall filter add chain=forward in-interface=pppoe-out1 protocol=udp dst-port=51000 action=accept

В чем может быть проблема?



788. Джамаль, 06.02.2013 06:54
aytishnik
Где в Санкт-Петербурге могут отремонтировать?

PORTAL LLC
Saint-Peterburg, Russia
Tel: +7 (812) 458-0635

ETK-komplekt
Saint-Petersburg, Russia
Tel: +7 (812) 5780998

Взято с сайта изготовителя.

Но, в соответствии с законодательством о защите прав потребителя, вы обязаны обращаться к тому, кто вам эту фиговину продал, а не к тому, кто тоже ими торгует.

789. aytishnik, 06.02.2013 17:43
Спасибо! Джамаль. позвонил.... в рашке только могут продавать, чинить они не умеют!
цитата:
Джамаль:
aytishnik
Где в Санкт-Петербурге могут отремонтировать?

PORTAL LLC
Saint-Peterburg, Russia
Tel: +7 (812) 458-0635

ETK-komplekt
Saint-Petersburg, Russia
Tel: +7 (812) 5780998

Взято с сайта изготовителя.

Но, в соответствии с законодательством о защите прав потребителя, вы обязаны обращаться к тому, кто вам эту фиговину продал, а не к тому, кто тоже ими торгует.

790. pub10, 06.02.2013 22:00
os lev. 6, использую winbox

Есть две подсетки.
192.168.0.X - провайдерА 195.хх
192.168.1.X - провайдерБ 212.хх

Если провайдерА 195.хх не работает, то не получается подрубиццо извне к терминальному серверу из 192.168.0.X через провайдераБ, пускает только на тачки из подсети 192.168.1
dst-nat провайдерА -> dst-nat 192.168.1.X - не работает... Как увязать две подсетки? Или как лучше написать правило.

791. spee, 06.02.2013 22:18
Подскажите, пожалуйста, что почитать

есть сеть во главе с MikroTik RB750.
с внешним белым IP. подключена к провайдеру по VPN PPTP. всё ходит отлично и в сети и из сети и в сеть.
поднял на MikroTik RB750 VPN-сервер, тоже всё ходит во все стороны.

хочу организовать удалённый доступ в интерфейс MikroTik по VPN, желательно через WinBox.
разрешал и порты всякие и юзеров разных, не конектится

ткните носом в корректный мануал, пожалуйста!

792. gamespb, 06.02.2013 23:01
pub10
я так понял что метить трафик приходиться. осталось написать скрипт который будет метки править(или другим каким способом) при падении одного из каналов.
spee
изначально порт для винбокса открыт на любом интерфейсе.
осталось прописать выше правила запрета , правили разрешения подключаться

793. spee, 07.02.2013 13:33
gamespb
изначально порт для винбокса открыт на любом интерфейсе.


отключаю все правила - тот же результат

794. playnet, 07.02.2013 14:44
Подскажите, как делать проброс портов в локалку. В частности, интересует 80 порт
http://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/ - для 80 порта не работает... хотя и для 3690 (свн) как-то тоже не заработало...

795. Kaveckiy, 07.02.2013 17:17
цитата:
playnet:
Подскажите, как делать проброс портов в локалку. В частности, интересует 80 порт
http://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/ - для 80 порта не работает... хотя и для 3690 (свн) как-то тоже не заработало...
IP - Firewall - NAT - +
а дальше по скриншотам (1.png и 2.png).

Добавление от 07.02.2013 17:20:

Господа, вопрос про OVPN сервер на Микротике.

Нашел мануал в сети, поднял, настроил, открыл порт в Firewall, создал пользователя.

В логах вижу, что удаленный Микротик пытается подключиться но его рубит.
В чем может быть причина? Кусок лога в 3.png

Добавление от 07.02.2013 17:23:

цитата:
spee:
хочу организовать удалённый доступ в интерфейс MikroTik по VPN, желательно через WinBox.
разрешал и порты всякие и юзеров разных, не конектится

ткните носом в корректный мануал, пожалуйста!
Если Вы подключаетесь к сети по VPN то в WinBox нужно указывать IP внутреннего интерфейса Mikrotik.

К сообщению приложены файлы: 1.png, 1154x722, 62Кb, 2.png, 1154x705, 56Кb, 3.png, 467x61, 4Кb

796. playnet, 07.02.2013 20:17
цитата:
Kaveckiy:
цитата:
playnet:
Подскажите, как делать проброс портов в локалку. В частности, интересует 80 порт
http://asp24.com.ua/blog/kak-perenapravlyatj-porty-v-mikrotik/ - для 80 порта не работает... хотя и для 3690 (свн) как-то тоже не заработало...
IP - Firewall - NAT - +
а дальше по скриншотам (1.png и 2.png).
Так, понял 2 косяка.
1) для 80 недостаточно пробросить порты, надо еще перенести/отключить встроенный веб сервер в IP/Services
2) если у компа, к которому обращаемся, дефолтным роутом не эта железка - ничего работать не будет. Кстати, как сделать, чтобы микротик был как-бы клиентом и сам общался внутри локалки от своего имени?

И еще вопрос, как сделать, чтобы обращение к внешнему айпи корректно работало как снаружи, так и изнутри. На керио так давно было сделано (5+ лет назад), но тот гейт умер напрочь. Помню только, что там было 2 правила, нат и маскарадинг+маппинг.

Добавление от 07.02.2013 21:01:

по 2 - есть вариант через src-nat, а можно как-то напрямую тогда перекидывать, чтобы было как будто в локалке обращение? Что-то вроде статик роута...

797. spee, 07.02.2013 21:33
Kaveckiy
Если Вы подключаетесь к сети по VPN то в WinBox нужно указывать IP внутреннего интерфейса Mikrotik.

указывал.
8291 открыт.


всем извините за тупость
порты винбокса закрыл, открыл только для одного юзера, всё ок.

Добавление от 08.02.2013 10:36:

Kaveckiy
В логах вижу, что удаленный Микротик пытается подключиться но его рубит.
В чем может быть причина? Кусок лога в 3.png


буржуины пишут: I upgraded the OpenVPN Client from 2.2.0 to 2.2.2, the problem suddenly went away!

http://forum.zentyal.org/index.php?topic=11987.0

798. Kaveckiy, 08.02.2013 14:29
spee
буржуины пишут: I upgraded the OpenVPN Client from 2.2.0 to 2.2.2, the problem suddenly went away!

http://forum.zentyal.org/index.php?topic=11987.0


А они не пишут как это сделать с инструкцией? А то я не настолько хорошо знаю Mikrotik чтоб интуитивно понять как это сделать.

Да, еще.
Если обновлять клиент - значит обновлять нужно другой Mikritik, который подключается к моему? Но на том Mikrotik сейчас работает три OVPN клиента и нормально держат соединение. А вот ко мне подключаться не хочет.


playnet
Так, понял 2 косяка.
1) для 80 недостаточно пробросить порты, надо еще перенести/отключить встроенный веб сервер в IP/Services
2) если у компа, к которому обращаемся, дефолтным роутом не эта железка - ничего работать не будет. Кстати, как сделать, чтобы микротик был как-бы клиентом и сам общался внутри локалки от своего имени?

И еще вопрос, как сделать, чтобы обращение к внешнему айпи корректно работало как снаружи, так и изнутри. На керио так давно было сделано (5+ лет назад), но тот гейт умер напрочь. Помню только, что там было 2 правила, нат и маскарадинг+маппинг.

Попробуйте проще - сделайте переброс внешнего порта 8080 (к примеру) на внутренний 80 порт на IP адресе с WEB сервером. Это даст чистый эксперимент.

У меня стоит в сети железка, на которой есть и WEB сервер - у меня без лишних перенастроек таким образом, как на скриншоте (только порт 80) нормально перебрасывает внешних клиентов на нее.

799. EliteR, 08.02.2013 21:15
Есть десяток плат ASUS ITX-220, думаю будут неплохи для микротика
Если кому нужны - в личку, Москва

800. spee, 08.02.2013 23:25
Kaveckiy
Да, еще.
Если обновлять клиент - значит обновлять нужно другой Mikritik, который подключается к моему? Но на том Mikrotik сейчас работает три OVPN клиента и нормально держат соединение. А вот ко мне подключаться не хочет.


друг, я по не в курсе чо и как, сам только разбираюсь.

вот 1,5 дня долбался с удалённым доступом к интерфейсу роутера, даже тут отписал о проблеме. и чо оказалось: провайдер блочит доступ к порту 8291 (и еще к хз каким) в VPN-тоннелях в своей сети. обнаружил такой прикол чисто эмпирически, ибо из дома, сидя на толчке, всё достукивается, а из-под прова, с другой линии - болта

801. Kaveckiy, 09.02.2013 01:35
spee
вот 1,5 дня долбался с удалённым доступом к интерфейсу роутера, даже тут отписал о проблеме. и чо оказалось: провайдер блочит доступ к порту 8291 (и еще к хз каким) в VPN-тоннелях в своей сети. обнаружил такой прикол чисто эмпирически, ибо из дома, сидя на толчке, всё достукивается, а из-под прова, с другой линии - болта
Провайдер случайно не Воля? Чет их плющит дня три уже - на объекте был заказан статический IP. C лета все работало нормально и тут без объявления войны ои его меняют, еще и полудинамическим сделали (ХЗ, то один IP то другой). Да, и зачем-то за NAT спрятали. Индейцы, блин!

802. mgag, 09.02.2013 10:57
Нештатная выдача адресов DHCP сервером Микротик RB450G

Столкнулся с неожиданной проблемой - RB450G выдает адреса "непонятно откуда".

Вот так это выглядит:
1)
/ip dhcp-server print
Flags: X - disabled, I - invalid
# NAME INTERFACE RELAY ADDRESS-POOL LEASE-TIME ADD-ARP
0 X dhcpd3-office vpn-bridge dhcp_pool2 3d

2)
/ip pool print
# NAME RANGES
0 dhcp_pool2 192.68.36.160-192.168.36.165

3)
/ip dhcp-server network print
# ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN
0 ;;; default configuration
192.168.36.0/24 192.168.36.252 192.168.36.252

4)
/ip dhcp-server lease print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HOST-NAME SERVER RATE-LIMIT STATUS
0 192.168.36.161 00:E0:C5:5B:55:2D bound
1 192.168.36.163 00:1C:C4:8D:78:BE bound
2 192.168.36.162 00:E0:C5:56:3E 3 bound
3 192.168.36.160 00:16:E6:14:E8:92
4 D 192.168.36.137 BA:0E:BC:8A A:CC dhcpd3-office bound
5 D 192.168.36.136 dhcpd3-office busy
+++++++++++++++++++++++++++++

ВОПРОС: откуда могут браться левые IP адреса?!

803. мудрец, 09.02.2013 12:17
mgag
Flags: X - disabled

0 X dhcpd3-office vpn-bridge dhcp_pool2 3d - как сервер будет выдавать что-либо если он у вас выключен ???

804. mm112, 09.02.2013 15:39
А как вам такой "замечательный" баг Mikrotika, как невозможность уменьшить MTU на локальном ethernet интерфейсе? (192.168.0.1). По умолчанию там MTU=1500 L2MTU=1598
Проверяю с соседнего компа:
ping -f -l 1472 192.168.0.1
Обмен пакетами с 192.168.0.1 по с 1472 байтами данных:
Ответ от 192.168.0.1: число байт=1472 время<1мс TTL=128
Ответ от 192.168.0.1: число байт=1472 время<1мс TTL=128

далее уменьшаю MTU на 200, т.е. прописываю в свойствах интерфейса MTU=1300 L2MTU=1398
Проверяю:
ping -f -l 1472 192.168.0.1
Обмен пакетами с 192.168.0.1 по с 1472 байтами данных:
Ответ от 192.168.0.1: число байт=1472 время<1мс TTL=128
Ответ от 192.168.0.1: число байт=1472 время<1мс TTL=128

Как видим, ничего не изменилось - по прежнему проходят пакеты размером 1500, т.е. Mikrotik не понимает уменьшения MTU!
Та же фигня, если объединить интерфейсы в бридж, и уменьшать MTU уже на бридже.
И это еще самый безобидный баг из тех, что там есть.

805. alexlis51, 09.02.2013 15:44
скажите пожалуйста можно ли сделать в гигабитном микротике чтобы один из портов работал только в режиме 100мбит и определялся устройствами(медиаплеером) как 100мбитный?

806. YOURERROR, 09.02.2013 16:01
Приветствую Вас, Уважаемые гуру. Купил себе сие чудо по имени Microtik RouterBoard. Все мне в нем нравилось до недавнего времени, а именно, стала задача в элементарном - настроить VPN клиента. Клиент настроился без проблем, подключение происходит, поднимается интерфейс и..... И он почему-то не добавляет маршрут для завязки VPN подключения с клиентами, т.е. пингуем любой комп удаленный на pptp интерфейсе - все в норме, пингуем с любого компа - галяк. Дело понятное, что маршруты писать надо, но..... не помогает. Тучу инструкций перечитал, но рабочего пока так ничего и не нашел. Есть ли у кого-то манула по этому зверю, или может кто-то при TeamViewer-ится и поможет с этим гемором ( На деревянных роутерах все нормально работает, на этом ппц какой-то.

Параметры WAN 85.84.83.82 Маска /24 шлюз 85.84.83.1 DNS 8.8.8.8
параметры LAN роутера 192.168.0.1/24

внешний IP удаленного сервера 85.84.83.100
локаль удаленная 192.168.1.x/24

807. Джамаль, 09.02.2013 16:49
alexlis51

Можно. Просто отменяйте автоконфигурацию на этом порту и ставьте нужный вам режим


YOURERROR

Кто на ком стоял? Кто кого должен пинговать? Из вашей подсети нужно пинговать всех, кто в сети 192.168.1.0/24? А на ваших машинах кто является шлюзом по умолчанию? А на удалённых машинах кто?

808. alexlis51, 09.02.2013 16:57
Джамаль
а можно чуток подробнее.я таки нуб в роутер ос

809. YOURERROR, 09.02.2013 17:05
Джамаль

Шлюз на машинах установлен на IP роутера т.е. 192.168.0.1 компы имеют адреса 192.168.0.10-200. Если каждый клиент коннектится к VPN отдельно - то все работает нормально, если роутер, то не видится не один компа в удаленной сети. Убираю Mikrotik, ставлю ASUS или D-Link - на них все нормально без внесения каких либо изменений в сеть, именно с микротиком такая ерунда

810. alexlis51, 09.02.2013 17:23
убрал галку правильно?

К сообщению приложены файлы: 1.jpg, 1280x992, 115Кb

811. Джамаль, 09.02.2013 20:32
alexlis51

Ага



YOURERROR
Убираю Mikrotik, ставлю ASUS или D-Link - на них все нормально без внесения каких либо изменений в сеть, именно с микротиком такая ерунда

Это потому, что в них трансляция работает по умолчанию.

Достаточно ли вам будет видеть удалённую сеть из своей, или обратно тоже надо доступ иметь? Если первое, то нужно создать ещё одно правило трансляции, указывающее конкретно на нужный нам интерфейс или адрес. Например, так:
/ip fire nat add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24 action=src-nat to-address=<адрес, выданный вам PPTP-сервером>

812. Komonec, 10.02.2013 14:27
Подскажите как правильно настроить dns сервера.
x86 машина, 2 сетевухи, одна инет pppoe, вторая смотрит в локалку, через нее настроен dhcp сервер. Стандартная схема вообщем.
В сети, допусти есть машина, с хостнеймом nas, она пингуется:

C:\Users\Komonec>ping nas

Обмен пакетами с nas [192.168.0.10] с 32 байтами данных:
Ответ от 192.168.0.10: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.10: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.10: число байт=32 время<1мс TTL=64
Ответ от 192.168.0.10: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.0.10:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Но не резолвится:

C:\Users\Komonec>nslookup nas
╤хЁтхЁ: google-public-dns-a.google.com
Address: 8.8.8.8

*** google-public-dns-a.google.com не удалось найти nas: Unspecified error

В качестве DNS указаны сервера google:
https://www.dropbox.com/s/ch78tva71ra6976/dns.PNG

Собственно подскажите, почему не резолвятся имена?
Заранее спасибо.

813. Kaveckiy, 10.02.2013 15:37
alexlis51
а можно чуток подробнее.я таки нуб в роутер ос
Смотрите скриншот

К сообщению приложены файлы: 1.png, 730x828, 66Кb

814. Komonec, 10.02.2013 16:12
И еще подскажите, настраиваю pxe boot, добавляю dhcp-server option
[komonec@MikroTik] /ip dhcp-server option> add code=66 name=TFTP-Server value=192.168.0.1
failure: Unknown data type!

Почему возникает ошибка?

815. dim-soft, 10.02.2013 16:23
подскажите как на встроенном DHCP сервере разным mac адресам выдавать не только постоянный IP но и разные опции 66 и 67 ?

816. Джамаль, 10.02.2013 17:05
Komonec

1. Потому, что ваш NAS не регистрировался в гугле, а пинг резолвит имя сначала через нетбиос с его броадкастами а затем, если не было ответа, то лезет в DNS. Можно сначала прописать ваш NAS в вашем собственном DNS-сервере (пусть это даже тупо кэширующий или форвард), тогда на запрос к вашему DNS будет возвращаться адрес NAS

2. Почитайте, как правильно создавать DHCP-опции в рутероси. Там надо указывать не готовые адреса и строки, а шестнадцатиричное их представление.


dim-soft

По-моему, никак... Разве если по разным сетям разнести аппараты - тогда в каждой сети можно указывать свои опции

Может, если создать DHCP-подсеть, состоящую из одного адреса, то и получится что-нибудь

817. Komonec, 10.02.2013 18:08
Джамаль Спасибо.

1. Правильно ли я понимаю, что в моем случае в dns нужно первым указать ip моего роутера 192.168.0.1, вторым гугловский? В случае когда буду резолвить имя nas, первое обращание будет к 192.168.0.1, а после гугловкому dns?

2. Правильно ли я понимаю, что мне нужно перевести 192.168.0.1 в шестнадцатиричное представление (при помощи hex редактора например), и соответсвенно в опция заполнить value + добавить перед этим значение 0x? http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server#DHCP_Options

818. NuLLsoft, 10.02.2013 18:17
Здравствуйте.
Есть девайс RB2011UAS-2HnD-IN (http://routerboard.com/RB2011UAS-2HnD-IN) , firmware 3.04 и routeros v5.23, два подключения к провайдеру Спарк по 100 Mbps посредством DHCP Client, на каждом белый ip. Настраивал по инструкции (http://lanmarket.ua/stats/mikrotik-routeros-dva-provajdera-balansirovka-marshrutizaciya-firewall-%28bez%20skriptov%29#.UQ_A4X2e4lQ) .
На данный момент есть проблемы:
1. Скачка и раздача идёт по двум каналам, разделяется по 50%, но скачка максимально достигала ~103 Mbps, а раздача ~85 Mbps
2. Если одновреммено качать и раздавать, то зайти на роутер не получается или в WinBox все окна с настройками пустые, проц загружен на 90%
Помогите с этим разобраться.

819. dco27, 10.02.2013 20:27
Здравствуйте.
Купил себе недавно роутер RouterBOARD 951G-2HnD, подключён к Beeline по PPPoE (бывший Eltel в Питере), локалка из 2-х компов и ноут по Wi-Fi. Всё работает стабильно, но есть вопрос: зашёл сегодня в настройки роутера в логи, там написаны критические системные ошибки (см. рис)
login failure for user root from 49.143.252.39 via ssh
login failure for user db2fenc1 from 49.143.252.39 via ssh
login failure for user iptv from 49.143.252.39 via ssh
Не подскажите, что это означает и как от этого избавиться?
P.S. Кстати, не могу настроить время на роутере, постоянно сбрасывается на 70-й год. Это у всех так или у меня такой глюк? Прошивка 5.23

К сообщению приложены файлы: 1.jpg, 1024x768, 114Кb, 2.jpg, 1024x768, 93Кb

820. Vitalik84, 10.02.2013 20:37
Добрый вечер, RB2011UAS-2HnD-IN настроил vpn сервер(работает), pppoe по началу работало, а сейчас нет - делал ресет роутера, ребут компа - не помогло, пинг, трасировка с роутера через winbox работает - пакеты идут, а на компе инета нету(ошибка: не удалось подключится к удаленому серверу) win 7 с wi-fi та же ситуация. В чем может быть проблема?

821. Джамаль, 10.02.2013 20:42
Komonec

1. Нет, на клиентах надо указывать ТОЛЬКО микротиковский адрес в качестве DNS. А на самом микротике указывать DNS-сервером гугловские адреса. Тогда микротик будет работать форвардером, переспрашивая у гугла те адреса, которых у него самого нет. В Windows два адреса DNS используются только один раз - при подъёме сетевого подключения и первом запросе, после чего ОС использует тот DNS-сервер, который ответил. Если первый ответил - то он и будет использоваться. Если первый не ответил - ОС спрашивает у второго, и если тот ответил, то ОС будет только его использовать.

2. Что-то типа того. Нужно будет ещё поискать, как правильно формируются значения нужных вам опций - на том же iana.org есть. А то, вон, посмотрите, чего они напихали в качестве примера для 121-й опции - там очень дофига всего в строке.

Добавление от 10.02.2013 20:44:

dco27
login failure for user root from 49.143.252.39 via ssh
login failure for user db2fenc1 from 49.143.252.39 via ssh
login failure for user iptv from 49.143.252.39 via ssh


Это вас хачить пытаются. Закройте ssh для внешнего интерфейса, вот и всё

Добавление от 10.02.2013 20:45:

dco27
Кстати, не могу настроить время на роутере, постоянно сбрасывается на 70-й год.

В смысле, при выключении или рестарте сбрасывается? Это нормально - у этих аппаратов нет RTC с батарейкой

Добавление от 10.02.2013 20:47:

Vitalik84

А в логах у микротика что? И вообще - какую точно ошибку выдаёт клиент Windows (номер и точный текст)?

822. RH1111, 10.02.2013 21:21
Добрый вечер!
Уже писал, но хочу повторится снова.
Из-за чего может не происходить балансировка каналов через PCC, Трафик идет только через один маршрут, по другим не хочет.
Настройку делал по Wiki.
Судя по счетчикам правила маркировки вообще не отрабатываются, только счетчики меняются для маркировки входящих соединений

823. Komonec, 10.02.2013 21:30
Джамаль

C pxe boot все получилось. Оказалось, что помимо того, что опции нужно указать в DHCP Server - Option, их нужно было выбрать в DHCP Server - Networks - DHCP Network <ip/mask> - DHCP Options.

А по первому пункту, делал так же как вы написали. На микротике в dns указаны только гугловские ip, в DHCP Server - Networks указан микротик. В лизах видно, что машина получает ip адрес и правильное имя. Но не пингуется по имени, не резолвится

389x287, 67.9Kb
316x362, 56.2Kb
677x402, 88.4Kb

824. gamespb, 10.02.2013 23:13
Komonec
откройте static в ip dns и пропишите "mars" тем кем захотите

825. Komonec, 10.02.2013 23:38
gamespb
Сделал.

C:\Users\Komonec>ping mars
При проверке связи не удалось обнаружить узел mars.
Проверьте имя узла и повторите попытку.

C:\Users\Komonec>nslookup mars
╤хЁтхЁ: UnKnown
Address: 192.168.0.1

Не заслуживающий доверия ответ:
╚ь : mars
Address: 192.168.0.7

826. Vitalik84, 11.02.2013 01:02
Джамаль
607x479, 26,8Kb

827. gamespb, 11.02.2013 02:05
Komonec
добавте запись с суффиксом mars.суффикс

828. Джамаль, 11.02.2013 08:33
Vitalik84

Приведите конфиг вашего pppoe-server на микротике. А также конфиг фильтров файрвола

829. Виактор, 11.02.2013 09:29
Вопрос по переключению каналов
Настроил MikroTik по гайду с хабра http://habrahabr.ru/post/141785/
При запуске скрипта в логах ошибок нет, то есть насколько я понимаю есть пинг до ресурсов и через maingw и через резерв.
Но если вручную поставить у резервного соединения distance 1, а у резервного 2, то при запуске скрипта в логе надпись, что maingw не фурычит.
То есть на резерв переключается как и должен при каком-либо отсутствии линка до неких ресурсов через основной интерфейс, а вот как только условия становятся такими:
MainGW distance=2
RsrvGW distance=1
Скрипт постоянно признает MainGW нерабочим, хотя через Tools -> Ping все пингуется как надо через оба интерфейса.

756x370, 42.6Kb

В чем загвоздка? Уже мозг дымит

830. Джамаль, 11.02.2013 09:38
Виактор

Приведите результаты работы /ip add export, точные тексты скриптов и настройки планировщика

831. Komonec, 11.02.2013 09:54
добавте запись с суффиксом mars.суффикс

Тоже самое.
C:\Users\Komonec>ping mars
При проверке связи не удалось обнаружить узел mars.
Проверьте имя узла и повторите попытку.

C:\Users\Komonec>nslookup mars.lan
╤хЁтхЁ: UnKnown
Address: 192.168.0.1

Не заслуживающий доверия ответ:
╚ь : mars.lan
Address: 192.168.0.7

832. Джамаль, 11.02.2013 09:58
Komonec

Покажите ipconfig /all с машины по имени mars

833. Komonec, 11.02.2013 10:20
Джамаль
Там ubuntu стоит.
Даже если вручную забиваю (адрес, маска сети, шлюз, сервер днс). Не помогает.

834. мудрец, 11.02.2013 10:34
Komonec
Что-бы пинговать машины только по имени без доменной части, добавьте в настройки dhcp-сервера
код:
/ip dhcp-server network set domain=lan numbers=0

numbers=0 при условии что dhcp-сервер у вас один.

835. Виактор, 11.02.2013 10:43
цитата:
Джамаль:
Виактор
Приведите результаты работы /ip add export, точные тексты скриптов и настройки планировщика
Точные тексты скриптов можно найти по ссылке на хабр (http://habrahabr.ru/post/141785/) , я ничего не менял.
В планировщике только 3 скрипта
Картинка (http://s1.ipicture.ru/uploads/20130211/3kmpnSnY.jpg)
Картинка 2 (http://s2.ipicture.ru/uploads/20130211/nZvYpqNJ.jpg)
Скрипт connection_check запускаю только вручную для проверки
Результат экспорта ip (http://s2.ipicture.ru/uploads/20130211/v35o4eZ4.jpg)
Adresses в графическом виде (http://s1.ipicture.ru/uploads/20130211/bGfO7jWW.jpg)
Текст connection_check (http://rghost.ru/43711339)

836. Vitalik84, 11.02.2013 13:15
Джамаль
Приведите конфиг вашего pppoe-server на микротике. А также конфиг фильтров файрвола
Все по умолчанию там. Бракованный роутер попался?

837. Джамаль, 11.02.2013 14:09
Vitalik84

Нет, не бракованный. Вы конфиг-то всё же приведите - я не помню, как там по умолчанию, я могу только посмотреть, соответствует ли ваш конфиг ожидаемому

838. Vitalik84, 11.02.2013 18:11
Джамаль
122x170, 3.3Kb (http://fastpic.ru/view/53/2013/0211/e964372f63ec26bb5a401fee39780aa1.png.html) 122x170, 3.1Kb (http://fastpic.ru/view/51/2013/0211/b31aca08da6a09cf19ae02f6fc5dd546.png.html) 122x170, 3.5Kb (http://fastpic.ru/view/53/2013/0211/3f35fb97fc08f0f4e8b48a2502f59986.png.html) 121x170, 3.1Kb (http://fastpic.ru/view/52/2013/0211/3141ec86a67bfbe895c92178bfbdf102.png.html) 122x170, 3.2Kb (http://fastpic.ru/view/51/2013/0211/7205fd13672a390088fc0bb81a982c0c.png.html) 122x170, 3.5Kb (http://fastpic.ru/view/54/2013/0211/46ff5e72bbd45987ef6b2c6253175e2a.png.html) 159x170, 4.1Kb (http://fastpic.ru/view/53/2013/0211/299da1f99a679365f112278e7337eed5.png.html)

839. playnet, 11.02.2013 20:17
с пробросом портов почти разобрался, осталось только сделать так, чтобы сервер-в-локалке работал как из инета, так и из локалки (по внешнему имени). Пока работает только из мира.

Подскажите аналоги команд циски
show running-config
show startup-config
И как открыть текстовый локальный файл?

840. raman_rb, 11.02.2013 23:40
Подскажите, где можно посмотреть примеры инсталляций на тех же Groove? И что, все таки лучше, старый-добрый 2.4 или новый 5 ГГц? В условиях города надо соединить две квартиры чтобы получить минимальную стабильную дуплекс-скорость в 50 мегабит. Расстояние ~1500м. В первом случае крыша высотки, во втором - 4-5 этаж.

Изначально смотрел в сторону SXT, но отсоветовали, мол антенна не направленная в них, не получится качественно соединить.

Спасибо!

841. Komonec, 12.02.2013 00:11
Подскажите, пожалуйста. Вот такой лог:
лог (https://www.dropbox.com/s/zfyd0gue7zcaqu8/tftp.PNG)
192.168.0.8 - виртуалка virtualbox - загрузка происходит.
192.168.0.16 - физ. машина - загрузка не происходит, пишет:
PXE-T01: file not found
PXE-E3B: TFTP Erorr - file not found

Подозреваю, что не так настроил tftp сервер на микротике.
файлы лежат так:
/pxe
/pxe/pxelinux.cfg
/pxe/pxelinux.cfg/default
/pxe/memdisk
/pxe/menu.c32
/pxe/pxelinux.0

842. altuser, 12.02.2013 06:31
Имеется:
мироктик 751-ый (100 мегабит).
eht1: DSL-провайдер, подключаемый через модем в режиме бриджа (pppoe поднимается средствами роутера). До 5 мегабит.
USB: LTE-провайдер (йота). До 20 мегабит, но, как правило, не всегда бывает даже 5 мегабит.
eth2: через гигабитный dlink dgs-1016D подключена внутренняя сеть (в общей сумме 7 девайсов)
wifi: парочка IP-камер + относительно легкие потребители трафика (ноуты, телефоны и пр., что, как правило, юзает интернет только для серфинга).

Подключаю в качестве третьего (с последующим отказом от одного из первых двух) прова Ростелеком на 8 мегабит. Так же подключаю IPTV от оного же (будет две приставки РТК-ашные + настрою парочку обычных плееров на РТК IPTV). Коробочки от РТК, думаю, можно пробросить прямо от модема.
Теоретически в один момент времени будет использоваться 1-2 IPTV-канала, но возможно и до 3, а то и до 4 в исключительных случаях, если потянет канал.
Соответственно, пиковый трафик на входе может быть где-то в пределах 15-33 мегабит + IPTV до 10-20 мегабит (как я понимаю, у РТК на данный момент даже HD-каналы потребляют не более 5 мегабит, но какая будет реально скорость на линии DSL пока еще не знаю - может быть и три канала будет под большим вопросом) + IP-камеры, которые дают поток до 10 мегабит в пике (wifi -> eth2). Но камеры можно попробовать перекинуть на отдельный роутер с вайфаем, чтобы они были за натом второго роутера и пробросить на нем порты, отсекая таким образом IPTV от камерного вайфая и заодно убирая нагрузку с камер с микротика.

По IGMP-proxy примерно понятно. Когда подключат - буду щупать предметно.
А вот по вай-фаю для "обычных" потребителей (не камеры) возникает вопрос: как бы это грамотнее, наименее геморройно и наименее ресурсоемко организовать? Как я полагаю, ТВ-приставки от Ростелекома можно подключить прямо к модему (у того 4 порта на выход есть: 1 к микротику, 3 свободны), чтобы минимизировать нагрузку на микротик, но плееры должны быть в общей сети, т.к. они используются (преимущественно) для просмотра контента с файлопомойки (преимущественно) и с интернета (не часто). Ноуты и прочие вай-фай потребители должны быть в общей сети, но без IPTV. Для них можно выделить какой-нибудь диапазон в рамках оной, если это поможет.

В общем, полагаю, что мироктик такой трафик должен потянуть (особенно, если убрать от него вай-фай камеры и поставить ТВ-приставки до него). Верно?

Сорри за сумбур, задача в процессе формирования.

843. Джамаль, 12.02.2013 08:16
playnet
Подскажите аналоги команд циски
show running-config
show startup-config


export

Конфигурация на сохранённый и текущий не делится, он всегда один и поделён на разделы. В зависимости от того, в каком разделе находишься, команда export будет выдавать разную конфигурацию - она всегда начинается с текущего раздела и идёт вглубь. Например, /ip fire filter export покажет настройки фильтров файрвола, а /ip address export - настройки ip-адресов.


raman_rb
Изначально смотрел в сторону SXT, но отсоветовали, мол антенна не направленная в них, не получится качественно соединить.

Врут. Направленная у них антенна. Только ширину диаграммы нужно смотреть - чем меньше, тем лучше.

844. mgag, 12.02.2013 10:52
цитата:
мудрец:
mgag
Flags: X - disabled

0 X dhcpd3-office vpn-bridge dhcp_pool2 3d - как сервер будет выдавать что-либо если он у вас выключен ???
Спасибо за внимательность. Но выдает именно Mikrotik. Поэтому пришлось деактивировать DHCP и написать этот пост.

Версия прошивки - 5.19. Повторю свой вопрос: никто не сталкивался с выдачей IP адресов Микротиком "в обход" заданного пула?

Добавление от 12.02.2013 10:57:

цитата:
Komonec:
Подскажите, пожалуйста. Вот такой лог:
лог (https://www.dropbox.com/s/zfyd0gue7zcaqu8/tftp.PNG)
192.168.0.8 - виртуалка virtualbox - загрузка происходит.
192.168.0.16 - физ. машина - загрузка не происходит, пишет:
PXE-T01: file not found
PXE-E3B: TFTP Erorr - file not found

Подозреваю, что не так настроил tftp сервер на микротике.
файлы лежат так:
/pxe
/pxe/pxelinux.cfg
/pxe/pxelinux.cfg/default
/pxe/memdisk
/pxe/menu.c32
/pxe/pxelinux.0

В настройках TFTP в веб-интерфейсе обязательно нужно нажать "add", поставить галочку "enabled", и в поле "Req. Filename" указать значение: ".*"

У меня без этого не грузилось.

845. Komonec, 12.02.2013 11:04
mgag
В настройках TFTP в веб-интерфейсе обязательно нужно нажать "add", поставить галочку "enabled", и в поле "Req. Filename" указать значение: ".*"

Ну я так и сделал. А где у Вас файлы лежат? TFTP сервер на роутере работает?

846. mgag, 12.02.2013 11:10
цитата:
Komonec:
mgag
В настройках TFTP в веб-интерфейсе обязательно нужно нажать "add", поставить галочку "enabled", и в поле "Req. Filename" указать значение: ".*"

Ну я так и сделал. А где у Вас файлы лежат? TFTP сервер на роутере работает?
Да, с Mikrotik RB450G и адреса раздаются и WTWARE грузится на бездисковые станции.

И еще: "File not found" в логах, это нормально. Поскольку PXE загрузчик ищет конфу последовательно по нескольким путям.

Добавление от 12.02.2013 11:22:

Komonec
"Ну я так и сделал." Возможно, некоторые файлы добавлялись после применения этой опции?

847. Komonec, 12.02.2013 11:53
mgag
Опцию я применял. Тут вопрос в другом, как видно из лога, вируалка ищет файл конфигурации в нескольких местах, в логе много сток файл не найден, и в итоге, видимо, находит раз загружается, а вот физическая машина, почему то ищет только в 2х местах (?) и не находит.
Видимо нужно как-то конкретнее указать файл конфигурации tftp сервера, вопрос как это сделать правильно, если расположение файлов такое:
/pxe
/pxe/pxelinux.cfg
/pxe/pxelinux.cfg/default
/pxe/memdisk
/pxe/menu.c32
/pxe/pxelinux.0

??

848. mgag, 12.02.2013 11:58
Komonec
физическая машина, почему то ищет только в 2х местах (?) и не находит.

Убегаю, долго думать некогда
Сходу на ум приходит пара вариантов:
1) Посмотреть, где ПК ищет файлы, и создать этот путь на tftp сервере.
2) Для наглядности грузить PXE меню (по методу Clonezilla-live, etc.) и в файле меню ручками прописывать дальнейшую загрузку.

849. vananabu, 12.02.2013 16:31
Подскажите, пожалуйста, настроил pptp сервер на микротике (за микротиком есть локальная сеть). Подключаюсь к нему, компьютеры в локальной сети пингуются, но зайти на них не могу.

850. gamespb, 12.02.2013 16:55
vananabu
пингуем по имени или ИП? зайти - это в сети нажать на картинку с именем компьютера?

851. vananabu, 12.02.2013 18:54
пингую по ip, зайти это значит, что не могу получить доступ к расшаренным ресурсам компьютеров (через "Выполнить" \\ip_компьютера), а также к вебморде сервера.

852. Komonec, 12.02.2013 19:49
mgag
1) Посмотреть, где ПК ищет файлы, и создать этот путь на tftp сервере.

А как это сделать?

853. gamespb, 12.02.2013 20:05
vananabu
раз по ИП пингуется, то смотреть в сторону брандмауэра на виндах

854. mgag, 12.02.2013 20:51
цитата:
Komonec:
mgag
1) Посмотреть, где ПК ищет файлы, и создать этот путь на tftp сервере.

А как это сделать?

По-моему, tftpd32 умеет вести логи. Точно не помню, лет 10 уже плотно не работал с PXE. Wtware разбаловала

855. Komonec, 13.02.2013 00:48
Вообщем сегодня пол дня поковырялся с tftp, плюнул и поднял виртуалку на дебиане, 2 минуты и все заработало. Печально.

856. Виактор, 13.02.2013 09:39
Люди, очень нужна помощь.
Настроена резервация, а некоторых клиентов нужно принудительно пускать через резервный канал.
Где это настроить?
Пробовать в настройках фаервола ставить chain=forward, src.address=IP компа в сети, допустим 192.168.14.101, out. interface=gw2.
Все равно пакеты через первый путь идут вместе со всеми(
Короче у всех пакеты идут через gw1 в соответствии с distance в routes, надо чтобы заданные IP ходили всегда через gw2

857. Джамаль, 13.02.2013 11:41
Виактор
Пробовать в настройках фаервола ставить

Это не в фильтрах надо делать, а в трансляции

Добавление от 13.02.2013 11:44:

mgag
никто не сталкивался с выдачей IP адресов Микротиком "в обход" заданного пула?

Может, это вовсе не микротик выдаёт?

858. Виактор, 13.02.2013 12:43
цитата:
Джамаль:
Виактор
Пробовать в настройках фаервола ставить

Это не в фильтрах надо делать, а в трансляции
А можно поточнее где это в винбоксе делать?
Прямо только во вкладке nat?
А можно пример?
Прямо конкретно:
Пускать все пакеты с ip 192.168.14.160 через интерфейс gw2

859. krasnoff, 13.02.2013 12:59
Приветствую уважаемых участников!

Взамен сбойной (http://forum.ixbt.com/topic.cgi?id=14:51483:2300#2300) rb450g купил новую, настраиваю. Возможностями RouterOS восхищён и испуган одномоментно ))

Заранее приношу свои извинения за наверняка нехитрый и не раз обсуждавшийся вопрос, но мне необходимо довольно быстро избавиться от неуклюжей времянки (пров->свитч->маломощный "домашний" маршрутизатор для локалки) и интегрировать роутер на rb450g (ros 5.23) для выполнения им минимально необходимых задач, а уж дальше я непременно и основательно забурюсь в архивы, темы, вики/факи.

Итак:
ETH1 <- от провайдера по ethernet'у получаем статичную подсеть /29 с 5-ю реальными IP адресами;

ETH2 -> отдельный свитч -> небольшая локалка 192.168.123.0/24 за NAT;

ETH3 -> тут должен быть изолированный от локалки и точки доступа веб-сервер на одном из реальных IP, скажем: 111.112.113.10;

ETH4 -> тут должна быть изолированная от локалки и веб-сервера точка доступа wi-fi на одном из реальных IP, скажем: 111.112.113.12;

ETH5 -> пока не задействован, но пусть будет тоже автономным как 3-й и 4-й;

Локалку с интернетом за NAT кое-как настроил, а вот как изолировать друг от друга порты 2-5 так, чтобы они индивидуально работали с интернетом через порт 1 - никак не соображу.
Вот так (http://pastebin.com/3gVMF3NS) выглядит текущая конфигурация в текстовом виде.

Подсобите, пожалуйста...

860. Джамаль, 13.02.2013 13:43
krasnoff
а вот как изолировать друг от друга порты 2-5 так, чтобы они индивидуально работали с интернетом через порт 1 - никак не соображу.

В каждом порту измените параметр Master Port. Поставьте его в NONE. Порты станут независимыми, и можно будет рисовать на каждом из них свою конфигурацию

861. gamespb, 13.02.2013 14:01
Виактор
использовать списки при добавлении в которые можно будет управлять каналом, а по спискам "маршрутными метками" метить затем в таблице маршрутов на основании меток отправлять в нужный интерфейс

862. Виактор, 13.02.2013 14:23
gamespb
Ну так в двух словах я уже понял.
Вот я создаю правило nat. Во вкладке general выбирать chain=?.
Src. adress - имя компьютера?
Потом во вкладке advanced - src. address list это имя списка?
А во вкладке action что писать?
В mangle тоже не все так просто, всякие построутинг, прероутинг.
А один пример бы разобрать и там уже остальное сам сделал бы.

863. vananabu, 13.02.2013 14:35
gamespb
так и есть была проблема в фаерволе. Спасибо за совет!

864. Джамаль, 13.02.2013 14:43
Виактор
А можно пример?
Прямо конкретно:
Пускать все пакеты с ip 192.168.14.160 через интерфейс gw2


/ip fire nat add chain=srcnat out-interface=gw2 src-address=192.168.14.160 action=masquerade

865. Виактор, 13.02.2013 15:06
Джамаль
Картинка (http://s2.ipicture.ru/uploads/20130213/81BESmOF.jpg)
Так уже делал, но как видно - пакетов 0, при трассировке видно, что все еще пакеты идут вместе со всеми.
Если что - gw2 для примера было название

866. vananabu, 13.02.2013 15:09
gamespb
сразу же вдогонку вопрос, с одним пользователем все работает хорошо, но если vpn пользователей будет больше (в моем случае около 10-25), то для каждого пользователя получается нужно создавать свой "собственный pptp-сервер" и соответственно такое же количество правил в фаерволе, что не есть гуд.

867. gamespb, 13.02.2013 15:25
vananabu
не знаю, что там раньше было прописано, но да - на каждого профиль создавать

868. vananabu, 13.02.2013 15:52
gamespb
возможно я неправильно объяснил. В secrets я создал и настроил параметры для vpn-пользователей. Предварительно включил pptp сервер (enabled). После этого можно уже использовать vpn-подключения, но проблема в том, что pptp-интерфейс создается временный, только пока подключен пользователь (интерфейс имеет название <pptp-имя_пользователя> ). Чтобы в фаерволе в правилах использовать интерфейс vpn-подключения нужно, чтобы интерфейс был постоянным. Для этого я создаю в PPP новый PPTP-интерфейс (там он называется как pptp-server) и ввожу логин vpn-пользователя в поле user. А вот и сам вопрос: можно ли не создавать для каждого пользователя свой pptp-интерфейс, а сделать один интерфейс на всех?

869. gamespb, 13.02.2013 16:01
vananabu
если пользователей не много то можно их перечислить в интерфейсе через ","

870. vananabu, 13.02.2013 16:22
gamespb
пробовал, когда ввожу через запятую несколько пользователей, то опять создаются временные интерфейсы на время подключения.

871. gamespb, 13.02.2013 16:37
тогда по другому - ни как. на каждого свой интерфейс. не на много сложнее

872. vananabu, 13.02.2013 16:44
просто в фаерволе правил будет по количеству пользователей (каждое правило для своего интерфейса), ну да ладно пока будет так, спасибо за помощь.

873. Виактор, 13.02.2013 16:51
Разобрался с принудительным пропуском по нужному каналу.
Нужно:
1. Во вкладке ip -> routes нужному маршруту записать routing_mark, у меня она force, пишите, что вам угодно
2. Во вкладке ip -> firewall -> mangle создаем правило
Вкладка general:
chain=prerouting
src. address=ip компа, которого нужно пустить по помеченному маршруту
Вкладка action:
action=mark_routing
new_routing_mark=имя, что мы написали в routes, в данном случае это force
passthrough=ставим галку

Вот так все нехитро делается, три дня мозг убивал Надеюсь кому-нибудь помогу

874. krasnoff, 13.02.2013 17:41
Джамаль
В каждом порту измените параметр Master Port. Поставьте его в NONE. Порты станут независимыми, и можно будет рисовать на каждом из них свою конфигурацию
Благодарю за отклик. Я "отвязал" порты 3-5, но как теперь настроить прямую связь каждого из них через порт 1?
100% как-то просто это делается, да вот не пойму...
Я попробовал создавать несколько правил для ether3-wifiAP в файрволе с "chain-forward" и "action-passtrough", но до ТД "снаружи" (remote management на ней активирован) достучаться всё равно не могу.

875. Джамаль, 13.02.2013 18:28
Виактор

Так вам маршрутизировать надо было или транслировать?


krasnoff

Каким образом к вам попадают все эти белые адреса?

876. krasnoff, 13.02.2013 18:49
Джамаль
Каким образом к вам попадают все эти белые адреса? Собственно, из единственного порта оборудования (Edge-core ES3528M) провайдера (акадо для юр.лиц) по ethernet кабелю. Ранее подключение организовывалось так: патч-корд от оборудования провайдера заходил в свитч, к которому также подключался ныне почивший в бозе VPN-маршрутизатор asus sl1200 (для организации локалки за NAT и раздачи туда Интернета), ещё один простецкий wi-fi маршрутизатор для организации беспроводной сети, а также выделенный вебсервер с небольшим проектом. На внешних интерфейсах каждого из этих устройств я прописывал статичные "белые" адреса в диапазоне: 213.xxx.xxx.10 - 213.xxx.xxx.13, маску 255.255.255.248, шлюз 213.xxx.xxx.9 и адреса dns. Всё работало хорошо, за исключением явно захлёбывающегося свитча. Как-то так.

877. over9000, 13.02.2013 18:50
Заказал RB951 на днях. Вот жду. Появились вопросы.
1) В нем есть клиент no-ip.com в службе динамической ДНС?
2) Принт-сервера, как я понял, нет? =(
3) Стабильно ли работает wifi, особенно интересует IPTV.

Переходить на микротик сподвигли пару статей в инете о его возможностях (многочисленных), гигабитные порты, клиент-сервер пптп, мощный вайфай и проч. Предыдущий роутер - ZyXEL Keenetic. Вкратце о нем:

Минусы Кинетика:
- хреновый PPTP для офиса
- 100мбитные порты LAN
- редкие глюки IPTV (зависит от прошивки)

Теперь плюсы:
+ стабильность (работает без перезагрузок до отключения электричества или перепрошивки, т.е. месяцами! за январь скачан терабайт, роздано 5 терабайт!)
+ скорость WAN (IPoE инет по тарифу 100мб - имею 95-98мбит по Кинетику)
+ стабильность WLAN (вайфай юзает иногда ноутбук, но в основном - андроиды, айфоны, айпады и прочая нечисть - все стабильно и быстро, спидтест на айфоне 4-м показывает 25мбит)
+ простота настройки (реально, разберется даже домохозяйка)
+ стабильная работа в качестве принт-сервера (на нем висит и стабильно работает старый добрый HP LaserJet 1010)
+ дизайн (для кого-то может оказаться важным. зухель стоит у меня на видном месте, микротик скорее всего спрячу с глаз долой ))
+ адекватная техподдержка. решает проблемы в меру сил или дает советы. мне помогли разобраться с пробросом портов на ПО 2й версии в свое время

Не потеряю ли я в плюсах Кинетика?

Хочется скорости, стабильности, VPN-клиент нормальный...

878. Джамаль, 13.02.2013 19:12
krasnoff

Есть два варианта: закинуть их всех в бридж и сделать трансляцию навроде DMZ. Вам как более интересно? Бридж работает с любым трафиком, но затратен в плане вычислений, а трансляция легковесней, но не всякий трафик пропустит.

Добавление от 13.02.2013 20:15:

over9000
Не потеряю ли я в плюсах Кинетика?

стабильность (работает без перезагрузок до отключения электричества или перепрошивки, т.е. месяцами!

Не потеряете


скорость WAN (IPoE инет по тарифу 100мб - имею 95-98мбит по Кинетику)

Скорость - понятие растяжимое, она зависит от типа трафика. Не могу сказать ничего


стабильность WLAN

У меня всё со свистом летает и не падает


простота настройки

Нет. Эту железку настраивать непросто. Домохозяйка не разберётся


стабильная работа в качестве принт-сервера

У этой операционки нет принт-сервера


дизайн

На уровне


адекватная техподдержка

Более чем адекватная. Но, в основном, на английском (не считая нас тут, но мы не поддержка, а, скажем так, сообщество)

879. playnet, 13.02.2013 20:58
Помогите осознать логику того, что я натворил...
Итак, нужен двойной нат с портмапом.
код:

7 ;;; ssh to 192.168.2.3
chain=srcnat action=src-nat to-addresses=1.2.3.4 to-ports=222
protocol=tcp src-address=1.2.3.4 dst-port=22

8 chain=dstnat action=dst-nat to-addresses=192.168.2.3 to-ports=22 protocol=tcp
dst-port=222

Со 2 правилом всё понятно, но первый мне сломал весь мозг. Нужно пропускать первое правило, когда обращение идёт из мира, и тогда всё работает, а активировать его только для локалки. Поскольку повесить фильтр на in interface нельзя, ибо "ingoing interface matching not possible in output and postrouting chains", стал мудрить с src address. И по логике надо писать src-address=!1.2.3.4, а так получается масло масляное. Но работает только так!
А, да, и почему нужен dst-port=22, а не 222? Ведь потом 2 правило еще есть, где на входе ждем 222 порт.

880. krasnoff, 13.02.2013 23:18
Джамаль
Есть два варианта: закинуть их всех в бридж и сделать трансляцию навроде DMZ. Вам как более интересно? Бридж работает с любым трафиком, но затратен в плане вычислений, а трансляция легковесней, но не всякий трафик пропустит.
Привлекает именно второй вариант, пусть уж маршрутизатор отрабатывает своё название. Если Вам не сложно, подскажите как это организовать.

881. sherwood, 13.02.2013 23:51
имеем машинку на атоме х86, общая загрузка CPU 20-30%, но если посмотреть отдельно по ядрам, то видим что одно ядро загружено на 80%, пробовал в IRQ принудительно задавать другое ядро, но нагрузка моментально переходит на другое ядро, можно ли как то равномерно распределить нагрузку по ядрам или это зависит от платформы и моя ее не поддерживает?

220x161, 28.9Kb (http://itmages.ru/image/view/894004/e670593b)

882. playnet, 14.02.2013 00:05
цитата:
sherwood:
имеем машинку на атоме х86, общая загрузка CPU 20-30%, но если посмотреть отдельно по ядрам, то видим что одно ядро загружено на 80%, пробовал в IRQ принудительно задавать другое ядро, но нагрузка моментально переходит на другое ядро, можно ли как то равномерно распределить нагрузку по ядрам или это зависит от платформы и моя ее не поддерживает?
система умеет только 1 ядро, так что никак. Ставить проц с более мощными ядрами.

883. Джамаль, 14.02.2013 09:56
playnet
но первый мне сломал весь мозг. Нужно пропускать первое правило, когда обращение идёт из мира, и тогда всё работает, а активировать его только для локалки

Оно и так будет пропущено, если обращение извне идёт.

Общее правило таково: на первых вкладках мы задаём параметры, которым должен удовлетворять пакет, а на вкладке Action мы задаём, что с этим пакетом сделать.

В вашем случае примерно так (разнесено для лучшего понимания, что к чему относится):
/ip fire nat add
chain=srcnat
src-address=<адрес машины в локалке> proto=tcp src-port=22 (задали, что обрабатывать будем пакет, пришедший с 22-го ТСР-порта вашей машины)
action=src-nat
to-address=<внешний адрес вашего маршрутизатора> to-port=222 (задали, как ваша машина будет видна на внешнем порту маршрутизатора)
disa=no

Добавление от 14.02.2013 10:00:

я специально пишу сначала фильтр, а затем действие, хотя RouterOS считает, что надо сначала сделать, а потом выбросить сделанное и взять только то, что надо

Добавление от 14.02.2013 10:05:

krasnoff
Привлекает именно второй вариант

Тогда примерно так:
/ip fire nat add chain=srcnat src-address=<серый адрес устройства> action=src-nat to-address=<публичный адрес, под которым устройство будет видно> disa=no
/ip fire nat add chain=dstnat dst-address=<публичный адрес, под которым устройство будет видно> action=dst-nat to-address=<серый адрес устройства> disa=no

И так по каждому публикуемому устройству. Ежу понятно, что каждое устройство должно иметь свой собственный серый IP-адрес, каждый интерфейс микротика должен иметь соответствующий серый IP-адрес, шлюзом по умолчанию для каждого устройства должен являться соответствующий ему адрес микротика.

Ещё иногда бывает нужно прописать публикуемый адрес на внешнем интерфейсе микротика с маской /32. Но у меня работает и без этого

За это сообщение сказали спасибо: krasnoff

884. altuser, 14.02.2013 10:45
over9000
1) В нем есть клиент no-ip.com в службе динамической ДНС?
На 751-ом у меня работает через скрипт:
код:
# No-IP automatic Dynamic DNS update

#--------------- Change Values in this section to match your setup ------------------

# No-IP User account info
:local noipuser "имя пользователя"
:local noippass "пароль"

# Set the hostname or label of network to be updated.
# Hostnames with spaces are unsupported. Replace the value in the quotations below with your host names.
# To specify multiple hosts, separate them with commas.
:local noiphost "хост.no-ip.org"

# Change to the name of interface that gets the dynamic IP address
:local inetinterface "интерфейс"

#------------------------------------------------------------------------------------
# No more changes need

:global previousIP
:if ([/interface get $inetinterface value-name=running]) do={
# Get the current IP on the interface
:local currentIP [/ip address get [find interface="$inetinterface" disabled=no] address]

# Strip the net mask off the IP address
:for i from=( [:len $currentIP] - 1) to=0 do={
:if ( [:pick $currentIP $i] = "/") do={
:set currentIP [:pick $currentIP 0 $i]
}
}

# :if ($currentIP != $previousIP) do={
:log info "No-IP: Current IP $currentIP is not equal to previous IP, update needed"
:set previousIP $currentIP

# The update URL. Note the "\3F" is hex for question mark (?). Required since ? is a special character in commands.
:local url "http://dynupdate.no-ip.com/nic/update\3Fmyip=$currentIP"
:local noiphostarray
:set noiphostarray [:toarray $noiphost]
:foreach host in=$noiphostarray do={
:log info "No-IP: Sending update for $host"
/tool fetch url=($url . "&hostname=$host") user=$noipuser password=$noippass mode=http dst-path=("no-ip_ddns_update-" . $host . ".txt")
:log info "No-IP: Host $host updated on No-IP with IP $currentIP"
}
# } else={
# :log info "No-IP: Previous IP $previousIP is equal to current IP, no update needed"
# }
} else={
:log info "No-IP: $inetinterface is not currently running, so therefore will not update."
}

885. mgag, 14.02.2013 11:22
цитата:
Джамаль:

mgag
никто не сталкивался с выдачей IP адресов Микротиком "в обход" заданного пула?

Может, это вовсе не микротик выдаёт?

Джамаль, спасибо за участие!

Не подскажете, как тогда понимать выделенные строчки (см. ниже)?

При том, что dhcpd3-office - и есть имя DHCP сервера на обсуждаемом устройстве.
________________
2)
/ip pool print
# NAME RANGES
0 dhcp_pool2 192.68.36.160-192.168.36.165

3)
/ip dhcp-server network print
# ADDRESS GATEWAY DNS-SERVER WINS-SERVER DOMAIN
0 ;;; default configuration
192.168.36.0/24 192.168.36.252 192.168.36.252

4)
/ip dhcp-server lease print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HOST-NAME SERVER RATE-LIMIT STATUS
0 192.168.36.161 00:E0:C5:5B:55:2D bound
1 192.168.36.163 00:1C:C4:8D:78:BE bound
2 192.168.36.162 00:E0:C5:56:3E 3 bound
3 192.168.36.160 00:16:E6:14:E8:92
4 D 192.168.36.137 BA:0E:BC:8A A:CC dhcpd3-office bound
5 D 192.168.36.136 dhcpd3-office busy

________________

886. мудрец, 14.02.2013 11:40
mgag
Ваша проблема видимо в этом

/ip pool print
# NAME RANGES
0 dhcp_pool2 192.68.36.160-192.168.36.165

887. RH1111, 14.02.2013 15:22
цитата:
RH1111:
Добрый вечер!
Уже писал, но хочу повторится снова.
Из-за чего может не происходить балансировка каналов через PCC, Трафик идет только через один маршрут, по другим не хочет.
Настройку делал по Wiki.
Судя по счетчикам правила маркировки вообще не отрабатываются, только счетчики меняются для маркировки входящих соединений

Разобрался немного. заработала маркировка
раньше в mangle было первое правило
add chain=prerouting dst-address=0.0.0.0/0 action=accept in-interface=Local
при этом правиле не работала маркировка в chain=prerouting. только input и output

заменил
add chain=prerouting dst-address=X.X.X.X action=accept in-interface=Local
add chain=prerouting dst-address=Y.Y.Y.Y action=accept in-interface=Local
и стали работать правила маркировки (X.X.X.X и Y.Y.Y.Y соответственно gate интерфейсов провайдеров)

может кто-нибудь объяснить смысл измененных правил и почему при первом не работало?
Спасибо.

888. over9000, 14.02.2013 18:01
Спасибо, ребята, за ответы. Видно, что тут ветка тоже очень информативная и "дружная", как и в Кинетике никаких свистелок и перделок
951 модель суть та же 751, только с вайфаем попроще и процом помощнее ведь?

889. Джамаль, 14.02.2013 19:37
over9000

Не сказал бы, что там вайфай попроще. Полноценный вайфай мощностью вчетверо выше обычного

890. DC, 14.02.2013 20:13
Доброго времени суток
В руки попал для настройки RB2011UAS 2HND-iN
собственно все базовые настройки "поднялись" без проблем
Решил поиграться С LCD дисплеем
Установил пак LCD для ROS 5.23 (System>LCD)
выбрал из списка настроек ту которою хочу чтоб отображалась на дистплей, тайм оставил по умолчанию..
НО проблема в том что при включении в LCD settings и выбора типа (Type) дисплей на RB2011UAS 2HND-iN "подвисает" и на нем появляется полоска зернистости (в дальнейшем лечится только перезагрузкой устройства)
Вопрос кто настраивал LCD дисплеи на тиках, подскажите как настроить его правильно для RB2011UAS 2HND-iN ? или он пока что настраивается только через терминал /lcd ?

P.s. так же обратил внимание на то что дисплей жрет 4% мощности ЦП (( что является минусом в его использовании ..
и заметил что прорисовка графиков на дисплее может "подвисать" (кривая просто остановится на одном месте без движений и дальнейшей прорисовки при том что траффик есть), при выходе из "спящего режима", при етом тачскрин остается отзывчивым адекватно реагируя на пальцы и движения ..

891. Джамаль, 14.02.2013 20:28
DC

В 6-й версии RouterOS дисплей заводится без проблем, говорят

892. DC, 14.02.2013 20:38
Джамаль
щас наверно поставлю RC9 попробую поиграться ...
хотя хз она ж ведь еще не стабильна ..

893. gamespb, 14.02.2013 21:10
DC
поставил 6.0 , управляется в терминале. изменить толком ничего нельзя. хорошо хоть пин поменять можно.

зависаний за графиками не замечал, на пальцы реагирует.... хоть так, а то в 5.22 совсем не понравилось

894. DC, 14.02.2013 23:24
gamespb
Джамаль
поставил...
ну что я могу сказать все равно работает так же как и в 5.23 с той только разницей что после старта появилась менюшка которая ничем особенным не порадовала т.к. она и так привязана к физическим интерфейсам и отображает только их .. и к примеру bridge (ether1+Wlan) - нивкакую ..
меню SYSTEM>LCD таки сырое .. как и в 5.23 те же приколы
может кто подскажет какой тип (Type) из выпадающего списка соответствует RB2011UAS 2HND-iN ?
и еще кто подскажет где настроить PIN код чтоб с дисплея можно было отправлять роутер в перезагрузку или резетить настройки?


P.s один плюс который очень порадовал LCD теперь жрет процессора только 0,5 %

895. sherwood, 14.02.2013 23:57
DHCP возможно ли такое?
DHCP static only, поднят на шлюзе в интернет
ether1 172.16.0.1 и 172.16.1.1
Networks
172.16.0.0/24 GW 172.16.0.1 dns 172.16.0.1
172.16.1.0/24 GW 172.16.1.1 dns 172.16.1.1
Leases
тут IP+MAC для всех ПК.
есть еще один шлюз в мир с IP 172.16.1.200, возможно ли на DHCP прописать например некоторым ПК, что бы они ходили через второй шлюз? то есть прописываем в Networks
172.16.1.50/24 GW 172.16.1.200 dns 172.16.1.200
172.16.1.55/24 GW 172.16.1.200 dns 172.16.1.200
и т.д.
то есть нужно для того что бы на втором шлюзе не поднимать еще один DHCP и потом их не разруливать по сетке, что бы один DHCP раздавал на определенные ПК одни GW и DNS на другие ПК другие GW и DNS.

896. gamespb, 15.02.2013 00:30
DC
пин 1234
меняется в lcd pin
я себе никакие доп. пакеты для экрана не ставил, могу смотреть/управлять только консолью и как говорил выше установил 6.0rcХ

sherwood
сетей можно прописать с разными domain много и разбить на под сети. у каждого домена своя под сеть, а там и шлюз свой. Интересны результаты исследования удачи

Добавление от 15.02.2013 00:31:

этот домен я думаю в виндовс = суффиксу

897. sherwood, 15.02.2013 00:56
gamespb
сетей можно прописать с разными domain много и разбить на под сети
речь не о нескольких сетях а только о двух, то есть есть две сети 172.16.0.0\24 и 172.16.1.0\24 обе сети ходят через один шлюз у которого на интерфейсе прописано два IP 172.16.0.1 и 172.16.1.1, добавили в сеть еще один шлюз 172.16.1.200, вот вопрос в том можно ли на одном DHCP который поднят на первом шлюзе статически раздавать настройки для второго шлюза? то есть IP ПК должен получать из этих же сетей 172.16.0.0\24 и 172.16.1.0\24 но шлюзом и dns должен быть указан 172.16.1.200

898. gamespb, 15.02.2013 02:30
sherwood
говорю о под сетях
ip dhcp-server network print

# ADDRESS GATEWAY DNS-SERVER DOMAIN
0 172.16.0.0/25 172.16.0.1 172.16.0.1 lan
1 172.16.0.128/25 172.16.0.129 172.16.0.129 local

899. sherwood, 15.02.2013 10:02
gamespb
говорю о под сетях
не понимаю что Вы этим хотите сказать, то есть понимаю, что сети разбиты, но не понимаю для чего.
то есть так нельзя?
код:
# ADDRESS          GATEWAY     DNS-SERVER    DOMAIN
0 172.16.0.0/24 172.16.0.1 172.16.0.1
1 172.16.0.128/24 172.16.0.129 172.16.0.129
2 172.16.0.140/24 172.16.0.129 172.16.0.129
3 172.16.0.145/24 172.16.0.129 172.16.0.129

и если нельзя, то почему, ну выдает некоторым ПК другой GW и DNS.

900. mgag, 15.02.2013 13:02
цитата:
мудрец:
mgag
Ваша проблема видимо в этом

/ip pool print
# NAME RANGES
0 dhcp_pool2 192.68.36.160-192.168.36.165

О-оо! Спасибо большое! Нечто подобное я и предполагал.
Чудес таки не бывает

901. vananabu, 15.02.2013 14:07
подскажите, пожалуйста, когда подключаюсь к офисной сети по vpn, то не могу получить доступ к компьютерам по нетбиос именам. Пробовал через статические dns - не работает, отдельный wins сервер поставить нет возможности. Можно ли решить эту проблему средствами mikrotik?

902. Джамаль, 15.02.2013 14:13
vananabu

Поставьте себе OpenVPN-клиента, микротик настройте OpenVPN-сервером в режиме Ethernet

903. vananabu, 15.02.2013 14:27
Джамаль
спасибо, но есть ли возможность не устанавливать стороннего ПО на компьютер клиента, если бы vpn пользовался только я, то без проблем. Но ездить ко всем на дом устанавливать и настраивать клиента не желательно (да и многие воспротивятся). Есть ли еще какие-нибудь варианты?

904. gamespb, 15.02.2013 17:36
sherwood
я предположил, и просил отписать результаты. итого: указание домена у клиентов не влияет на получаемые адреса.
остаётся поднять metarouter и там нужный DHCP server

Добавление от 15.02.2013 17:38:

vananabu
подготовите скрипт для клиентов и OVPN справится. Если будет найдено другое решение сообщите обязательно.

905. Джамаль, 15.02.2013 18:13
vananabu

Только сильно перелопатив структуру сети и добавив WINS и DNS серверы

906. Awax, 15.02.2013 18:20
Здравствуйте, подскажите по скрипту DDNS
Скрипт:

system script
add name=DDNS policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
source="# HomingBeacon Main Dynamic DNS Update Script\r\
\n# Written by Sam Norris, ChangeIP.com\r\
\n# 20100728 Tested on RouterOS 4.9\r\
\n# 20110511 Tested on RouterOS 5.2\r\
\n\r\
\n# Set your specific ChangeIP.com preferences here.\r\
\n:global ddnsuser \"USERID\"\r\
\n:global ddnspass \"PASSWORD\"\r\
\n:global ddnshost \"HOSTNAME.changeip.net\"\r\
\n# Change ddnsport to 8245 to bypass proxy.\r\
\n:local ddnsport 80\r\
\n\r\
\n# Do not edit anything below this line. You have been warned.\r\
\n# Abusive updates to the system will cause firewall blocks.\r\
\n\r\
\n# Please be considerate and\r\
\n# do not let this script run more than once per 3-5 minutes.\r\
\n\r\
\n:log info \"DDNS: Starting.\"\r\
\n\r\
\n# Initialize checkpoint\r\
\n:global ddnscheckpoint\r\
\n:if ([:typeof \$ddnscheckpoint] = \"time\") do={\r\
\n\t:log info (\"DDNS: Last check was \" . ([/system clock get time] - \$d\
dnscheckpoint))\r\
\n} else={\r\
\n\t:log info \"DDNS: Cannot determine checkpoint, set now.\"\r\
\n\t:global ddnscheckpoint ( [/system clock get time] - 1d )\r\
\n}\r\
\n\r\
\n# Get the current IP\r\
\n:if ([/system clock get time] - \$ddnscheckpoint > [:totime 180s] || [/s\
ystem clock get time] - \$ddnscheckpoint < [:totime 0s]) do={\r\
\n :log info \"DDNS: Performing remote IP detection.\"\r\
\n /tool fetch address=\"ip.changeip.com\" host=\"ip.changeip.com\" src-\
path=(\"/\?\" . [/int eth get 0 mac-address ]) dst-path=\"ip.changeip.com.\
txt\" mode=http port=\$ddnsport\r\
\n :global ddnscheckpoint [/system clock get time]\r\
\n} else={\r\
\n :log info \"DDNS: Please be considerate and wait a few seconds longer\
.\"\r\
\n :break\r\
\n}\r\
\n\r\
\n# Parse the IP address received from fetch script.\r\
\n\t:global ddnslastip\r\
\n\t:local html [/file get \"ip.changeip.com.txt\" contents]\r\
\n\t:local ddnsip [ ick \$html ([:find \$html \"<!--IPADDR=\"] + 11) [:fi\
nd \$html \"-->\"] ]\r\
\n\r\
\n# Is it a valid IP and is it different than the last one\?\r\
\n\t:if ([:typeof [:toip \$ddnsip]] = \"ip\" AND \$ddnsip != \$ddnslastip \
) do={\r\
\n\t\t:log info \"DDNS: Sending UPDATE with \$ddnsip\"\r\
\n\t\t:log info [/tool dns-update name=\$ddnshost address=\$ddnsip key-nam\
e=\$ddnsuser key=\$ddnspass ]\r\
\n\t\t:global ddnslastip \$ddnsip\r\
\n\t} else={\r\
\n\t\t:log info \"DDNS: No update required.\"\r\
\n\t}\r\
\n}\r\
\n"


все работает нормально, но в лог пишет строчки даже если IP не менялся и создает файл в file.list "ip.changeip.com.tex"

14:32:09 script DDNS: Starting.
14:32:09 script DDNS: Last check was 00:04:59
14:32:09 script DDNS: Performing remote IP detection.
14:32:10 fetch: file "ip.changeip.com.txt" created
14:32:10 script DDNS: No update required.

как подправить этот скрипт что бы писалось в лог только при обновлении IP и не создавался файл ?

14:52:09 script,info DDNS: Starting.
14:52:09 script,info DDNS: Cannot determine checkpoint, set now.
14:52:09 script,info DDNS: Performing remote IP detection.
14:52:10 info fetch: file "ip.changeip.com.txt" created
14:52:11 script,info DDNS: Sending UPDATE with 2.93.xxx.xxx
14:52:12 ddns,info DNS update successful

907. мудрец, 15.02.2013 19:01
Awax
Убрать запись в лог довольно просто, достаточно заменить
код:
\n :log info

на
код:
\n# :log info

. А вот что-бы убрать файлик нужно переделывать логику скрипта.

908. Serik, 18.02.2013 15:13
Ктонить подскажите как поднять 2 штуки l2tp vpn до одного и того же провайдера, получается одновременно только одно соединение поднять. Если 2 разных провайдера то поднимается на раз и два, а вот если до одного и того же то тупик. Провайдер корбина.

909. gamespb, 18.02.2013 15:18
Serik
А такое возможно?

910. Serik, 18.02.2013 15:26
Пока незнаю, может кто то родит идею.

911. LanMarket, 18.02.2013 15:27
цитата:
Serik:
Ктонить подскажите как поднять 2 штуки l2tp vpn до одного и того же провайдера, получается одновременно только одно соединение поднять. Если 2 разных провайдера то поднимается на раз и два, а вот если до одного и того же то тупик. Провайдер корбина.

Скорей всего, никак!

912. gamespb, 18.02.2013 15:28
Serik
LanMarket
Почему ни как может у него лохматая рука в корбине )

Добавление от 18.02.2013 15:35:

Пользователи/пароли разные? А то и рука не поможет. Должно работать поднимиться два соединения два интерфейса . что в блогах,а то гадаем

913. Serik, 18.02.2013 15:43
Пароли итпд конечно разные. Не подключается хотя до сервера корбины пингуется. но второе соединение даже до авторизации не доходит, просто disconnect, и все на этом

914. Джамаль, 18.02.2013 15:53
Serik

Ну тогда это у самой корбины спрашивать - можно ли у них по одному шнурку иметь две сессии одновременно

915. Serik, 18.02.2013 15:55
Самое интересное может. Даже на пресловутой винде удавалось запускать, правда там трафик конечно шел через последнее запущенное, но коннект был

916. gamespb, 18.02.2013 15:56
Serik
А если местами поменять? И все таки что пишется в логи?
Джамаль
Ну у микротика не два порта,можно и через простой свич.

917. Serik, 18.02.2013 16:09
вот что в логах.
vpn2: initializing
vpn2: dialing
vpn2: terminating... session closed

если правильно понял, то от перемены мест ничего не меняется. Подключится то которое первым будет запущено, а второму disconnected

918. Джамаль, 18.02.2013 16:18
gamespb

Не, я не о том. Если клиентский хвостик приходит в управляемый коммутатор провайдера, то на нём как раз и может быть ограничение.


Serik

А если включить журналирование событий PPPoE Client? Там гораздо больше полезной информации есть.

Навскидку не скажу, как это делается, но копать в менюшке Logging

919. gamespb, 18.02.2013 16:19
Serik
А я так понял что тик где-то там.
С использованием второго порта микротика и второго кабеля
от корбины спасут отца демократии. А вот если хочется от знакомого из другого района инетом нажиться то ой.

920. Serik, 18.02.2013 16:22
да и про то что по одному шнуру, то это все ерунда, проблема явно не в этом углу. Может быть с ппп профилями что то связано, в которых прописываешь наличие шифрования итп и позже используешь профиль в самом л2тп интерфейсе. вот рутыруты - 647x118, 22.6Kb и профили

Добавление от 18.02.2013 16:40:

Воткнул второй кабель. Итог= пропало соединение на первом vpn когда второй дозваниеваетсявпн - 653x220, 59.2Kb

921. Mifo, 19.02.2013 03:55
Друзья и коллеги! Может кто возьмется?
Мне для домашней работы необходим постоянный интернет, желательно быстрый. Для этой цели закинул в дом кабели от двух провайдеров: Билайн (L2TP) 70Мб и Дом.Ру (PPPoE) 50Мб, а так же в качестве совсем резервного канала купил еще USB свисток E392 с LTE подключением + к нему роутер tp-link 3020 (DHCP)(но эту связку могу подключать только в случае пропадания обоих провов).
Есть комп на Jetway NF99FL-525 (атом, две интеловских сетевухи + 3 интеловских сетевухи дочкой), на компе лицензионная ROS, вот только настроить все у меня ума не хватает. Чего я хочу – нужно сделать балансировку провайдеров, но если у одного проблемы, то что бы все переключалось на второго и возвращалось обратно когда первый поднимется. Если падают оба, то хочу иметь возможность воткнуть tp-link 3020 со свистком и продолжить работу. Самое главное, что бы работало все надежно, внимания не требовало и что бы торренты не мешали скайпу, серфингу и работе.
Потребители – примерно 12-15 девайсов включая телефоны и планшеты. Под торренты у меня выделен отдельный NAS, соответственно QoS можно привязать просто к его IP адресу.
Вроде все просто и логично. Более того, мне кажется, что похожие цели чуть ли не у половины людей сидящих на этом форуме, все обсосано и разжевано, но очень фрагментировано. Наверняка у наших уважаемых гуру есть конфиги и скрипты уже отлаженные годами и вылизанные до блеска. Может можно купить ваше драгоценное время для адаптации готовой настройки конкретно под мои задачи. Может возьмется кто-нибудь все это настроить «под ключ» в Питере или удаленно?

922. Dmitry Klimenko, 20.02.2013 12:48
Подскажите расшифровку параметров в per-connection-classifier: src-address-and-port:3/0 или например both-addresses:2/0 - за что отвечают эти числа?

PS: Кручу балансировку между двумя провайдерами на уже настроенной системе, http://wiki.mikrotik.com/wiki/PCC читал, но... туго идёт

923. Komonec, 20.02.2013 17:41
Подскажите с пробросом портов.
Нужно пробросить 80 порт.
ether1, через него pppoe-out1 - интернет
ether2 - в коммутатор
Делаю так:
/ ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.19 to-ports=80 comment="80 port redirect"
/ ip firewall filter add chain=forward in-interface=pppoe-out1 dst-address=ip_inet_address protocol=tcp dst-port=80 action=accept comment="80 port redirect"
Не работает.
PS веб морда микротика работает на другом порту.
Заранее спасибо.

924. deltov, 20.02.2013 17:56
Требуется помощь знатоков. Есть новая RB951 c v5.23 отстроена под конкретную задачу и вроде даже заработала без нареканий. Проблема: при подаче команды "reboot" и в терминале winbox, и через меню winbox железка намертво зависает. Помогает только передёргивание штекера питания. Так же дополнительно замечено, что не отображается список установленных пакетов, если глядеть через меню. Команда System - package - print в терминале висит и через некоторое время вываливается с сообщением о тайм-ауте и каком-то "supout file (13)". Но по Ctrl+C можно прервать эту операцию. И очень долго не появляется содержимое в окне File (Winbox). По ощущениям проблема софтовая, но вот как её локализовать ума не приложу. Help.

925. Джамаль, 20.02.2013 21:36
deltov

Это проще будет обратиться в поддержку изготовителя. Только сначала подготовить файл supout.rif (это описано на сайте изготовителя)

926. deltov, 20.02.2013 23:23
Джамаль
Я конечно попробую, но английский у меня не очень. Кстати, через Netinstall то же не удалось - вываливается с ошибкой. Внимательно посмотрел - на 5.24 всё-таки не обновилась.

К сообщению приложены файлы: 1.jpg, 800x600, 16Кb

927. DC, 21.02.2013 15:04
Помогите со след. проблемой
есть две сети 172.31.128.0/20 и 192.168.1.0/24 для обоих ядром сети является микротик (порт ether3)
для первой 172.31.128.0/20 - шлюз 172.31.128.2(микротик порт 3)
для второй 192.168.1.0/24 - шлюз 192.168.1.250(микротик порт 3)

с машины в 172.31.128.0/20 я пингую любой IP из сети 192.168.1.0/24 все работает
а вот с машины в 192.168.1.0/24 я не могу пинговать 172.31.128.3
при етом шлюз 172.31.128.2 из сети 192.168.1.0/24 - доступен и пингуется без проблем
на машинах в обоих сетях в качестве шлюза (помимо основного) прописаны так же 172.31.128.0/20 - 192.168.1.250, 192.168.1.0/24 - 172.31.128.2

подскажите как правильно зароутить чтоб обе сети видели друг друга ?

заранее благодарен

928. Джамаль, 21.02.2013 15:14
deltov

Попробуйте сначала бутлоадер обновить, а потом нетинсталлом полирнуть

Добавление от 21.02.2013 15:33:

DC
на машинах в обоих сетях в качестве шлюза (помимо основного) прописаны так же 172.31.128.0/20 - 192.168.1.250, 192.168.1.0/24 - 172.31.128.2

Неправильно

Во-первых, умолчальных шлюзов на любом компьютере должно быть не более одного (если вы не знаете, как это вообще работает)

Во-вторых, шлюзом может служить только узел, находящийся в той же подсети, что и компьютер (на двухточечные соединения это не распространяется). То есть, для сети 172.31.128.0/20 (кстати, почему вы используете белые адреса в локальной сети?) шлюзом должен быть 172.31.128.2, а для 192.168.1.0/24 - 192.168.1.250

В-третьих, если вам нужно попадать только в эти подсети, то на клиентских машинах нужно рисовать статические маршруты. Например, так:

route -p add 192.168.1.0 mask 255.255.255.0 172.31.128.2
route -p add 172.31.128.0 mask 255.255.240.0 192.168.1.250

Какая команда для какого компа, предлагаю понять самому.

929. qazwer, 21.02.2013 17:45
помогите настроить сеть на роутере микротик 951 в провадере 2ком

Добавление от 21.02.2013 17:49:

уже 3 часа мучаюсь не могу найти куда вбивать логин с паролем у меня сеть 2com dhcp да и не понятно какой мак адресс вбивать в личной кабинете компа или роутера

930. deltov, 21.02.2013 21:21
Джамаль
Написал, что upgrade ok. Далее не ребуте повесился. Передернул питание - завёлся. Последующий нетинсталл вывалился с той же ошибкой. Т.е. безрезультатно.

931. jimmy.bv, 21.02.2013 23:34
Всем привет!
Купил себе RB951G-2HnD для организации wifi домашней сети.
Настроил wan (статические параметры), все работает в принципе. Wifi тож работает. Но скорость чего то совсем не радует.
speedtest-ом и торрентом не больше 1.5-2мбайт/с

Перепробовал кучу вариантов с настройкой (на youtube), как то ничего не помогает.

p.s.: Zyxel Keenetic Light держит стабильно 4.5-5мбайт/с

932. Джамаль, 22.02.2013 07:57
deltov

Ну тогда только в поддержку.


jimmy.bv

На каких скоростях работает вайфай, с какими уровнями и с какими значениями CCR?

933. jimmy.bv, 22.02.2013 09:10
Джамаль
При включенном на клиенте торренте TX/RX Rate 130/130
Уровень сигнала -45dbm (роутер в 3-4 метрах за легкой стенкой с зеркалом), по inssider-у -50 и выше никак не хочет подниматься (не пойму почему).
На удивление сейчас с утра скорость 7.2мбайт/сек. Правда скорость такая держалась недолго. Отвалился winbox и скорость сильно упала.

Почему то с роутером периодически теряется связь в winbox. И пока не переподключишься к wifi -winbox не подключится к роутеру.
Так же связь пропадает когда нажимаешь на в winbox-е на Freq. Usage (подключаюсь к роутеру тоже через wifi)

934. Джамаль, 22.02.2013 10:44
jimmy.bv
Уровень сигнала -45dbm

Много. Постарайтесь опустить до -60....-70



На удивление сейчас с утра скорость 7.2мбайт/сек. Правда скорость такая держалась недолго. Отвалился winbox и скорость сильно упала

Смотрите, нет ли какой сволочи в эфире, кроме вас

Добавление от 22.02.2013 10:46:

jimmy.bv
Так же связь пропадает когда нажимаешь на в winbox-е на Freq. Usage (подключаюсь к роутеру тоже через wifi)

Неудивительно. Для просмотра эфира маршрутизатор вынужден прекращать обслуживание клиентов и переходить в диагностический режим. Подключитесь по кабелю и смотрите оттуда

935. jimmy.bv, 22.02.2013 11:23
цитата:
Джамаль:
jimmy.bv
Уровень сигнала -45dbm
Много. Постарайтесь опустить до -60....-70
Это связано с тем, что глушу собственный адаптер? Для чего понижать?

цитата:
Джамаль:
На удивление сейчас с утра скорость 7.2мбайт/сек. Правда скорость такая держалась недолго. Отвалился winbox и скорость сильно упала
Смотрите, нет ли какой сволочи в эфире, кроме вас
Через минут 10-15 после этой каши с медленной скоростью погас адаптер TL-WN822N, переткнул в USB - не помогло. Воткнул другой адаптер - отказывается видеть сети.
Перезагрузился - все ожило. Не понял что могло к подобному эффекту привести!

Вообще TL-WN822N ловит очень много сетей в ~ -80 -90dbm. Размазаны почти по всем каналам.
При такой загрузке какую лучше использовать ширину канала? 20/40 или просто 20?

936. Udalov_Den, 22.02.2013 11:56
Здравствуйте, уважаемые! Помогите разобраться, бо я уже мозг вынес себе.
У меня 2 Omnitik U-5HnD (router os v5.4) подключены в бридж wds. 1- й Omnitik U-5HnD смотрящий в инет подключен к медиаконвертору (интерфейс ether1)(трафик до 100 Мб, реально 50-80 Мбит). К ether2 подключен свич, через который коннектятся до 16 пользователей (им нарезаю динамически скорость по 8Мбит посредством Mangle и Queue).
Ether2 и Wlan wds сбриджованы, таким образом 2-й Omnitik коннектится по WiFi с первым и выходит в инет. При наблюдении за трафиком 1-го Omnitikа , поступающем на интерфейс ether1 со стороны инета (т.е. Rx ) вижу что он, временами, на 20-30 Мб/c превышает трафик поступающий на ether2 и проц. загружается до 100%. Вопрос: Как избавиться от этого паразитного трафика, идущего извне на ether1.
Мои настройки firewall filter rules:

0 ;;; TCP
chain=forward action=drop tcp-flags=syn protocol=tcp
src-address-list=students dst-port=!80,443,8080,25,110
connection-limit=40,32

1 ;;; allow related
chain=forward action=accept connection-state=related in-interface=ether1

2 ;;; allow established
chain=forward action=accept connection-state=established
in-interface=ether1

3 ;;; reject new
chain=forward action=reject reject-with=icmp-network-unreachable
connection-state=new in-interface=ether1

4 ;;; drop invalid
chain=forward action=drop connection-state=invalid in-interface=ether1

5 ;;; allow established
chain=input action=accept connection-state=established
in-interface=ether1

6 ;;; allow related
chain=input action=accept connection-state=related in-interface=ether1

7 ;;; reject new
chain=input action=reject reject-with=icmp-network-unreachable
connection-state=new in-interface=ether1

8 ;;; drop invalid
chain=input action=drop connection-state=invalid in-interface=ether1

Спасибо...

937. jimmy.bv, 22.02.2013 19:23
Джамаль
Убрал чуть сигнал (с 18 до 9дб)
Вот тут на графике видно изменения (менял в 2 захода, видно что падает сигнал) и загруженность частот.
Так же картинку speedtest.net
Может быть дашь какие то рекомендации по настройке?
http://s020.radikal.ru/i702/1302/eb/e39a894e4005.jpg (rb951g-2hnd inssider - 1415x807, 296.9Kb)
http://s45.radikal.ru/i108/1302/7b/e749e79ec57a.jpg (rb951g-2hnd inssider - 1415x807, 345.2Kb)
speedtest   - 300x135, 31.2Kb

Решил проверить торрентом:
Через 6 минут после начала скачивания (скорость больше 1.3мбайт/с не поднималась толком), резко оборвалась связь с роутером (средний пик и обрыв).
При попытке подключиться - ошибка. Вытащил адаптер - воткнул заново. Подключился. Через несколько минут опять обрыв и ошибка.
http://s018.radikal.ru/i515/1302/db/91ccdcc8c16e.jpg (rb951g-2hnd torrent - 1877x574, 245.3Kb)
rb951g-2hnd error  - 433x256, 27.8Kb

938. over9000, 22.02.2013 19:54
Привет всем!
Дождался таки свой микротик (951), вроде все настроил (wan, lan, wlan), порты пробросил (торренты показывают открытые порты), но качает пока что-то не шибко... хотя спидтест выдает (как и зухель кинетик) свои 95мбит тарифа (тариф 100мбит).

1) Затруднился с подключением pptp до офиса... подключено, с микротика пинги ходят, а с локальных машин не ходят (превышен интервал ожидания). Ищу уже с час инструкцию как "разрешить" ходить "туда-обратно" (локалка<->vpn) всему и вся, и не нахожу. Команды, которые надо вводить в терминале, Микротик почему-то подсвечивает красным (и они не выполняются с сообщением об ошибке в той или иной строке).
Получается, что впн я настроил (пинги с микротика ходят), а машины в локальной сети впн-а не видят (превышен интервал). Подскажите кто чем может в какую сторону копать, или может мануал есть грамотный на эту тему?

2) Задаю статик айпи (сервак 192.168.100.100, комп 192.168.100.101 итд - по MAC-адресу), но они все равно появляются в Сети под другими айпишниками. При этом двоятся еще! Например
[] 192.168.100.100 11:22:33:44:55:66
[D] 192.168.100.107 11:22:33:44:55:66
ОДНОВРЕМЕННО работают. Ставлю на устройстве вручную айпи 100.100 - все норм. Удаляю 100.107, делаю на устройстве DHCP - снова получает 100.107..

С уважением

-------
ZyXEL Keenetic качал торренты со скоростью до 10мб/сек. Микротик так может?

939. Джамаль, 22.02.2013 21:37
jimmy.bv

Попробуйте уйти на три-четыре канала ниже и вернуть обратно мощность

Дело в том, что ВЧ-тракты бытовых приборов могут хреново работать вблизи границ рабочего диапазона. Поэтому, пусть уж сигнал гарантированно впихнётся в диапазон.

И полосу лучше бы поуже - 20 МГц. Скорость, конечно, упадёт - но канал стабильней будет

940. jimmy.bv, 22.02.2013 21:45
Джамаль
Спасибо! Попробую.
Меня больше угнетает вопрос - почему скорость входящая очень низкая, тогда как исходящая полноценная.
Первый раз такое вижу. Для меня это загадка!

941. Джамаль, 22.02.2013 21:48
jimmy.bv
Вытащил адаптер - воткнул заново

USBшный, что ли? Хреново. USB - штука чисто программная, сильно зависящая от скорости и занятости ЦП

Добавление от 22.02.2013 21:51:

jimmy.bv
почему скорость входящая очень низкая, тогда как исходящая полноценная.

Это таки может быть связано с тем, что чутьё приёмника компа либо низкое, либо слишком высокое. И качество радиотракта может быть неважным. Так что, в микротике мощность придётся приподнять, а в компе можно, наоборот, убавить

942. jimmy.bv, 22.02.2013 22:13
Джамаль
614x264, 10.5Kb
Ну да usb, но достаточно мощный. Если я выключу микротика и включу Zyxel Keenetik Light - вообще проблем с ним нет.

Джамаль
В этой "игрушке" боюсь не убалю. Даже не представляю как это сделать!

943. Джамаль, 22.02.2013 22:18
jimmy.bv
Если я выключу микротика и включу Zyxel Keenetik Light - вообще проблем с ним нет.

Хмм...



В этой "игрушке" боюсь не убалю. Даже не представляю как это сделать!

В свойствах драйвера в закладке "Дополнительно". Или речь про микротик? Тогда в свойствах wlan1 в закладке TX Power

Добавление от 22.02.2013 22:19:

кстати, вспомнил тут: у микротиков домашних серий традиционно хреновая встроенная антенна. Попробуйте микротик покрутить в пространстве

944. over9000, 22.02.2013 22:27
Ребят, помогите с впн!
С микротика впн рабочий пингуется, с устройств - нет.

И статика домашнего лана не работает. По дхцп девайсы получают не те IP, которые я назначаю (=> невозможно настроить проброс портов).

945. Джамаль, 22.02.2013 22:34
over9000
По дхцп девайсы получают не те IP, которые я назначаю

Может, у вас ещё какой DHCP в сети водится? Какую подсеть получают клиенты?

946. over9000, 22.02.2013 22:39
Правильную. 192.168.100.х

В IP->ARP List сервер добавлен как 192.168.100.100, в IP-DHCP Server в bridge-local стоит галочка в Add ARP for leases. На сервере статика 192.168.100.100 работает. По DHCP сервер однако же получает 192.168.100.108. Ребуты (как сервера, так и микротика) не помогают.

Сеть домашная. Бывший "дхцп-сервер" Зухель Кинетик лежит в углу с отключенным блоком питания. Больше устройств, думающих, что они дхцп-сервер, нет..

947. Джамаль, 22.02.2013 22:43
over9000

Так ведь в самом DHCP тоже надо резервирование делать. Одной лишь ARP-записью вы не отделаетесь, это совершенно другой механизм, к динамической выдаче отношения не имеющий. Add ARP for leases это наоборот - при выдаче адреса в ARP-таблицу добавляются соответствующие ARP-записи

948. over9000, 22.02.2013 22:46
А где это сделать? IP->DHCP-Server-> Leases?
Нашел! Именно там. Спасибо за подсказку!

Подскажите еще, прошу вас, как сделать рабочий VPN-коннект до работы?
Там на Убунте админ поднял pptp. С Винды (XP, 7) соединение работает, с Микротика не могу заставить. Соединение создал, пинги с микротика до офиса ходят, а с машин в локальной сети - нет (прывышен интервал). Уже знаю, что надо нат/фаерволл ковырять, но что там прописать, кому куда какой доступ дать - подскажите куда копать?

Добавление от 22.02.2013 22:57:

Домашняя сеть 192.168.100.0, в офисе 192.168.1.0, шлюз в офисе 192.168.1.10, адрес выдает МНЕ 192.168.1.11.

Добавление от 23.02.2013 08:55:

Сам разобрался. Рабочую сеть вижу.
А DCOM Mikrotik умеет пробрасывать?

949. jimmy.bv, 23.02.2013 15:38
Джамаль
Сделал hardreset.
Добавил только настройки для wan-а. В WIFI настроил только профиль безопасности (мощность сигнала показывает около 26-30дб).
Вот такая хрень получается.
300x135, 31.7Kb (http://www.speedtest.net)

Вот результат на кинетик лайте
300x135, 32.8Kb (http://www.speedtest.net)

950. Джамаль, 23.02.2013 18:14
over9000
А DCOM Mikrotik умеет пробрасывать?

DCOM? Это который виндовский Distributed COM? А чё его пробрасывать-то, микротику пофиг, что транслировать.


jimmy.bv

Возьмите с сайта микротика программу BTest.exe и погоняйте скорости ею в партнёрстве с самим микротиком. Если картина будет примерно такая же, то проблема в вайфае. Если скорости будут одинаково высокими, то проблема в трансляторе.

Только не ставьте тест одновременно в две стороны - результат будет недостоверным. Прогоняйте сначала в одну сторону, потом в другую. Так будет правильней

951. jimmy.bv, 23.02.2013 19:10
Джамаль

сразу после запуска (через 2-3 сек) показатели такие:
send: ~180мбит\с
recive: ~205мбит\с

Через ~10 минут
640x362, 59.3Kb

952. Джамаль, 23.02.2013 22:14
jimmy.bv

Чё-то мне кажется, что можно бы попробовать блок питания взять другой, более мощный... Есть чё подходящее?

953. over9000, 24.02.2013 11:17
807 ошибку обсуждали тут, нет?
PPTP-сервер поднял на Микротике по инструкции, компы не могут подключиться, выдавая 807 ошибку (WinXP, Win7).

Добавление от 24.02.2013 12:06:

При попытке подключения Зухелем к Микротику (внутри сети) Зухель выдает следующее:

24 фев 14:06:24 pptp[13013] Plugin pptp.so loaded.
24 фев 14:06:24 pptp[13013] PPTP plugin version 0.8.3 compiled against pppd 2.4.4
24 фев 14:06:24 pptp[13014] pppd 2.4.4 started by root, uid 0
24 фев 14:06:24 pptp[13016] IP: 192.168.100.1
24 фев 14:06:24 pptp[13016] connect: Connection refused
24 фев 14:06:24 pptp[13016] Could not open control connection to 192.168.100.1
24 фев 14:06:24 pptp[13014] Call manager exited with error 256
24 фев 14:06:24 pptp[13014] Exit.

Добавление от 24.02.2013 14:37:

Да, на Зухеле вайфай пошустрее работает (Кинетик обычный). Но функционал rb971 все равно впечатляет. Плюс гигабитные порты. С пптп сервером бы еще разобраться и потом с резервированием (2 провайдера).

954. Джамаль, 24.02.2013 17:42
over9000

Вот как у меня работает (только что проверил):
код:
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default use-encryption=default use-mpls=default use-vj-compression=default

set 1 change-tcp-mss=yes name=default-encryption only-one=default use-compression=default use-encryption=yes use-mpls=default use-vj-compression=default

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=10.0.0.1 name=dialin password=dialin profile=default-encryption remote-address=172.16.0.1 routes="" service=pptp

/interface pptp-server
add disabled=no name=pptp-in1 user=dialin

/interface pptp-server server
set authentication=mschap1,mschap2 default-profile=default-encryption enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled


Если такой конфиг не позволит подключиться с использованием имени пользователя dialin, то смотрите, что у вас в файрволе.

955. over9000, 24.02.2013 18:07
цитата:
Джамаль:
over9000

Вот как у меня работает (только что проверил):
код:
/ppp profile
set 0 change-tcp-mss=yes name=default only-one=default use-compression=default use-encryption=default use-mpls=default use-vj-compression=default

set 1 change-tcp-mss=yes name=default-encryption only-one=default use-compression=default use-encryption=yes use-mpls=default use-vj-compression=default

/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=10.0.0.1 name=dialin password=dialin profile=default-encryption remote-address=172.16.0.1 routes="" service=pptp

/interface pptp-server
add disabled=no name=pptp-in1 user=dialin

/interface pptp-server server
set authentication=mschap1,mschap2 default-profile=default-encryption enabled=yes keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled

Если такой конфиг не позволит подключиться с использованием имени пользователя dialin, то смотрите, что у вас в файрволе.

Попробовал. Не работает. Вот что пишет лог клиента:

[Feb 24 20:06:17] [pptp[11330]] Plugin pptp.so loaded.
[Feb 24 20:06:17] [pptp[11330]] PPTP plugin version 0.8.3 compiled against pppd 2.4.4
[Feb 24 20:06:17] [pptp[11330]] pppd 2.4.4 started by root, uid 0
[Feb 24 20:06:17] [pptp[11331]] IP: 5.53.26.248?
[Feb 24 20:06:17] [pptp[11331]] control connection
[Feb 24 20:06:17] [pptp[11331]] unix_sock
[Feb 24 20:06:17] [pptp[11332]] Sent control packet type is 1 'Start-Control-Connection-Request'?
[Feb 24 20:06:17] [pptp[11332]] Received Start Control Connection Reply
[Feb 24 20:06:17] [pptp[11332]] Client connection established.
[Feb 24 20:06:18] [pptp[11332]] Sent control packet type is 7 'Outgoing-Call-Request'?
[Feb 24 20:06:18] [pptp[11332]] Received Outgoing Call Reply.
[Feb 24 20:06:18] [pptp[11330]] Using interface ppp2
[Feb 24 20:06:18] [pptp[11330]] Connect: ppp2 <--> pptp (5.53.26.248)
[Feb 24 20:06:18] [pptp[11332]] Outgoing call established (call ID 1, peer's call ID 86).?
[Feb 24 20:06:19] [pptp[11330]] CHAP authentication succeeded
[Feb 24 20:06:19] [pptp[11330]] Connection terminated.
[Feb 24 20:06:19] [pptp[11330]] Exit.

956. over9000, 24.02.2013 18:12
Причем в тот момент, когда клиент пробует подключиться к Микротику - появляется какой-то другой "пптп-сервер" (pptp-0), а который создан (pptp-in 1) не подает признаков жизни.. Что это за пптп-0?

К сообщению приложены файлы: 1.jpg, 769x361, 56Кb

957. over9000, 24.02.2013 18:15
В фаерволле вроде все четко настроено, 1720 tcp/udp и GRE проброшены на входящий интерфейс (ether1-gateway):

Добавление от 24.02.2013 18:16:

Помогите разобраться )) С меня не заржавеет, если что (знания - сила, за силу можно и заплатить).

К сообщению приложены файлы: 1.jpg, 795x542, 145Кb

958. Джамаль, 24.02.2013 19:15
over9000
1720 tcp/udp и GRE проброшены на входящий интерфейс (ether1-gateway):

Проброшены? У вас там ещё и проброс какой-то сделан?

Вы, для начала, попробуйте вообще все фильтры выключить

Добавление от 24.02.2013 19:33:

У вашего провайдера точно чисто белые адреса, или какой-нибудь транслятор работает?

Добавление от 24.02.2013 19:34:

over9000
Причем в тот момент, когда клиент пробует подключиться к Микротику - появляется какой-то другой "пптп-сервер" (pptp-0), а который создан (pptp-in 1) не подает признаков жизни.. Что это за пптп-0?

Это нормально. Времянка такая. Потом оно исчезнет и останется только pptp-in1 в активном состоянии

Добавление от 24.02.2013 19:37:

over9000
[Feb 24 20:06:19] [pptp[11330]] CHAP authentication succeeded
[Feb 24 20:06:19] [pptp[11330]] Connection terminated.


Ну и? Какой код ошибки выдаёт клиент? Поди, "не удалось согласовать шифрование"?

С Windows-машины пробовали подключаться? Пусть даже и из внутренней сети.

Добавление от 24.02.2013 19:40:

На микротике дайте команду /system logging add action=echo disabled=no prefix="" topics=pptp и попробуйте подключиться. В журнале событий микротика будут появляться события от pptp-подсистемы. Что там будет написано?

959. qazwer, 24.02.2013 20:27
не подскажешь как на 951 настроить wifi облазил весь интернет но ответа не нашел дело в том что мой пров дает инет по dhcp по маку то есть и dns-адресса евошные если я присваю свои dns-адресса wifi работает но нет интернета ни по проводу ни вайфай если адресс днс от прова по проводу инет есть а по wifi windows не удается связатся с устройством или ресурсом (основной DNS-сервер)

960. Джамаль, 24.02.2013 20:49
qazwer

Провайдер даёт тырнет по проводу или по воздуху?

961. over9000, 24.02.2013 21:06
Только что попробовал подключиться с Windows-машины (до этого была ошибка 807), выдает:
Сбой подключения с ошибкой 2147952461. Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение.

Отключил фаерволл (drop input перевел в состояние "disabled"), снова выдало ошибку, аналогичную вышеописанной (клиент - тот же, Винда в локальной сети (win7)).

У моего провайдера точно чисто белые ip-адреса, т.к.:
1) работает радмин, терминальный доступ и прочее, вписав IP-адрес и порт (или no-ip.com-DDNS, который я юзаю). Можете попробовать radmin hal2500k.sytes.net:4900 radmin спросит у вас логин/пароль.
2) выбрал данного провайдера именно за это.

Провайдер, с которого пытаюсь подключиться, выдает серый IP-адрес, но при этом подключение к радмину или терминальное подключение с него - работает.

Добавление от 24.02.2013 21:08:

Вот что выдает в событиях МикроТик:

[admin@MikroTik] /system logging>
(8 messages discarded)
echo: pptp,debug,packet host-name=local
echo: pptp,debug,packet vendor-name=cananian
echo: pptp,debug,packet sent Start-Control-Connection-Reply to 46.39.4.32
echo: pptp,debug,packet protocol-version=0x0100
echo: pptp,debug,packet result-code=1
echo: pptp,debug,packet error-code=0
echo: pptp,debug,packet framing-capabilities=2
echo: pptp,debug,packet bearer-capabilities=0
echo: pptp,debug,packet maximum-channels=0
echo: pptp,debug,packet firmware-revision=1
echo: pptp,debug,packet host-name=MikroTik
echo: pptp,debug,packet vendor-name=MikroTik
[admin@MikroTik] /system logging>
(12 messages discarded)
echo: pptp,ppp,debug <46.39.4.32>: LCP lowerup
echo: pptp,ppp,debug <46.39.4.32>: LCP open
echo: pptp,debug,packet sent Outgoing-Call-Reply to 46.39.4.32
echo: pptp,debug,packet call-id=728
echo: pptp,debug,packet peers-call-id=1
echo: pptp,debug,packet result-code=1
echo: pptp,debug,packet error-code=0
echo: pptp,debug,packet cause-code=0
echo: pptp,debug,packet connect-speed=100000
echo: pptp,debug,packet packet-recv-window-size=100
echo: pptp,debug,packet packet-processing-delay=0
echo: pptp,debug,packet physical-channel-id=0
[admin@MikroTik] /system logging>
echo: pptp,ppp,debug <46.39.4.32>: LCP timer
echo: pptp,ppp,debug,packet <46.39.4.32>: sent LCP ConfReq id=0x1
echo: pptp,ppp,debug,packet <mru 1460>
echo: pptp,ppp,debug,packet <magic 0x47e9da57>
echo: pptp,ppp,debug,packet <auth mschap2>
[admin@MikroTik] /system logging>
echo: pptp,ppp,debug <46.39.4.32>: LCP timer
echo: pptp,ppp,debug,packet <46.39.4.32>: sent LCP ConfReq id=0x2
echo: pptp,ppp,debug,packet <mru 1460>
echo: pptp,ppp,debug,packet <magic 0x47e9da57>
echo: pptp,ppp,debug,packet <auth mschap2>
[admin@MikroTik] /system logging>
echo: pptp,ppp,debug <46.39.4.32>: LCP timer
echo: pptp,ppp,debug,packet <46.39.4.32>: sent LCP ConfReq id=0x3
echo: pptp,ppp,debug,packet <mru 1460>
echo: pptp,ppp,debug,packet <magic 0x47e9da57>
echo: pptp,ppp,debug,packet <auth mschap2>
[admin@MikroTik] /system logging>
echo: pptp,ppp,debug <46.39.4.32>: LCP timer
echo: pptp,ppp,debug <46.39.4.32>: LCP timeout sending ConfReq
echo: pptp,ppp,debug <46.39.4.32>: LCP lowerdown
echo: pptp,ppp,info <pptp-0>: terminating...
echo: pptp,ppp,debug <46.39.4.32>: LCP lowerdown
echo: pptp,ppp,debug <46.39.4.32>: LCP down event in starting state
echo: pptp,ppp,info <pptp-0>: disconnected

Добавление от 24.02.2013 21:10:

цитата:
qazwer:
не подскажешь как на 951 настроить wifi облазил весь интернет но ответа не нашел дело в том что мой пров дает инет по dhcp по маку то есть и dns-адресса евошные если я присваю свои dns-адресса wifi работает но нет интернета ни по проводу ни вайфай если адресс днс от прова по проводу инет есть а по wifi windows не удается связатся с устройством или ресурсом (основной DNS-сервер)

По идее присвоить правильный мак-адрес ether1-gateway, включить DHCP-клиент и пользоваться интернетом ) какие настройки у вас?

962. Джамаль, 24.02.2013 21:11
over9000
LCP timeout sending ConfReq

Хмм....

Клиент Windows XP или Windows 7? Для последней, кажется, есть у разработчиков патч на эту тему...

Добавление от 24.02.2013 21:12:

и ещё вопрос: внешних каналов один или два?

963. over9000, 24.02.2013 21:15
Интернет:
Провайдер 1 - белый динамический IP.
Провайдер 2 - серый динамический IP.

Клиенты:
Клиент 1 - Windows XP, интерент провайдер 1 (офис, доступ извне).
Клиент 2 - Windows 7, провайдер 1. (дом, доступ из локалки).
Клиент 3 - ZyXEL Keenetic, провайдер 2 (доступ извне).

При создании VPN силами Windows (7x64) - VPN работает.

Добавление от 24.02.2013 21:16:

В помещение заходит 2 витые пары. Провайдер 1 - 100мбит, безлимит, белый IP, 1000р/мес. Провайдер 2 - 128кбит, безлимит, бесплатно.

Добавление от 24.02.2013 21:27:

Windows 7 из локальной сети только что подключился к пптп.
Windows 7 извне не подключается с ошибой 619 (не удалось подключиться, поэтому порт закрыт).
Keenetic извне не подключается тоже.

964. qazwer, 24.02.2013 21:29
over9000
а что значит правильный мак адресс у меня без присвоения мак адресса wan порта инета не будет я инетом пользуюсь а вот wifi не работает опять вернее он работает воти сейчас работал о слава богам создал виртульный wlan2 присвоил им свои dns и интернет заработал ура

965. Джамаль, 24.02.2013 21:30
over9000
Провайдер 1 - белый динамический IP.
Провайдер 2 - серый динамический IP.


Трам-пам-пам.....

Значит, дефолтных маршрутов тоже два?




Зухель не подключается о_О. Мозг себе сломал...

Укажите в профиле PPTP-сервера тип авторизации PAP. Зухель, поди, CHAP не знает

966. over9000, 24.02.2013 21:46
цитата:
Джамаль:
over9000
Провайдер 1 - белый динамический IP.
Провайдер 2 - серый динамический IP.


Трам-пам-пам.....

Значит, дефолтных маршрутов тоже два?

Зухель не подключается о_О. Мозг себе сломал...

Укажите в профиле PPTP-сервера тип авторизации PAP. Зухель, поди, CHAP не знает
Джамаль, в Микротик приходит 1 интернет (провайдер 1), значит в микротике дефолтный маршрут 1.

Провайдер 2 проведен до Зухеля.

В профиле pptp-сервера не вижу возможности включить PAP (в винбоксе), зато там можно поставить галочку напротив use encryption no. Это оно?

Добавление от 24.02.2013 21:54:

И зухель знает и pap, и chap, и chap2. Он же "свэжий" )) и созданный специально для российских провайдеров...

967. Джамаль, 24.02.2013 22:02
over9000
в Микротик приходит 1 интернет (провайдер 1), значит в микротике дефолтный маршрут 1.

Провайдер 2 проведен до Зухеля.


А...


В профиле pptp-сервера не вижу возможности включить PAP (в винбоксе), зато там можно поставить галочку напротив use encryption no. Это оно?

Не, не оно. В винбоксе ткните в кнопку PPP, там выберите закладку Interface и ткните кнопку PPTP Server в верхней части окошка.

968. over9000, 24.02.2013 22:21
Сделал. Не помогает.
Может ресет поможет? Ресет и настройка заново. А то при покупке ресет не делал, получил коробочку, воткнул и начал конфигурировать. Ведь должно же работать!
И с локальной win7 запустилось, а снаружи не хочет ни с фаерволлом, ни без него... о_О

969. Джамаль, 24.02.2013 22:24
over9000
Может ресет поможет?

Вряд ли



И с локальной win7 запустилось, а снаружи не хочет ни с фаерволлом, ни без него... о_О

А если дать компу адрес, как если бы он был провайдером, и подключить его к ether1?

Кстати: а как вы интернет получаете? По pppoe или прямиком из ether1?

970. over9000, 24.02.2013 22:32
Интернет IPoE, т.е. воткнул витую пару и по MAC-у получил доступ. Мак прописан в Микротике, инет есть.
Дать компу адрес провайдера.. эээ. затрудняюсь.. что это значит? В домен что-ли его прописать?..

971. Джамаль, 24.02.2013 22:46
over9000

Нет. Посмотреть, какие IP-настройки выдаёт провайдер микротику и прописать в своём компе адрес, равный адресу шлюза, и подходящую маску. После чего воткнуть комп вместо провайдера и попробовать подключить PPTP-туннель. Не сработает - дело в файрволе или ещё в чём-то. Сработает - дело таки в зухеле или в провайдере.

После этого можно и зухель так же подключить и попробовать поднять туннель. Сработает - дело в провайдере. Не сработает - будем дальше думать...

972. over9000, 24.02.2013 22:59
Джамаль

Ясно. Попробую завтра сделать так, как ты советуешь, после работы. По результатам отпишусь. Интересная таки штука этот Микротик. Для дома-малого офиса-среднего офиса - вундервафля с неограниченными почти возможностями )) Лично я, человек с ограниченными знаниями в области сетей, более или менее в нем разобрался и получаю удовольствие от работы с ним. Немного неудобно, конечно, после user friendly Зухеля, но... однако же знания (даже поверхностные) в области сетей никогда не помешают.

Купил себе домой поиграться и привыкнуть, затем думал в офис прикупить и настроить для работы (кинотеатр, 20+ компов, 2 независимых интернета (киносервер отдельно, все остальное отдельно), шейпер трафика, впн-сервер для двух удаленных кинотеатров и прочее). Пока со всем разобрался, кроме пптп-сервера. Тут немножечко втух (опыта работы с линукс - только убунты всякие с GUI).
Как-то так. Спасибо за помощь!

Добавление от 25.02.2013 06:12:

Следующий этап прогресса. Если отключить шифрование (шифрование необязательно), тогда изнутри подключается и зухель, и винда7. В PPP Active Connections соответственно строка Encoding пустая.
Снаружи, по прежнему, не подключается никто (ошибка 619).

Добавление от 25.02.2013 08:01:

Если глянуть на логи в процессе подключения клиента, то там три раза повторяется запрос какой-то, LCP-timer,

echo: pptp,ppp,debug <178.208.227.104>: LCP timer
echo: pptp,ppp,debug,packet <178.208.227.104>: sent LCP ConfR
echo: pptp,ppp,debug,packet <mru 1460>
echo: pptp,ppp,debug,packet <magic 0x671fe70>
echo: pptp,ppp,debug,packet <auth mschap2>

После этого связь обрывается (а у клиента - ошибка 619):

echo: pptp,ppp,debug <178.208.227.104>: LCP timer
echo: pptp,ppp,debug <178.208.227.104>: LCP timeout sending Co
echo: pptp,ppp,debug <178.208.227.104>: LCP lowerdown
echo: pptp,ppp,info <pptp-0>: terminating...
echo: pptp,ppp,debug <178.208.227.104>: LCP lowerdown
echo: pptp,ppp,debug <178.208.227.104>: LCP down event in star
echo: pptp,ppp,info <pptp-0>: disconnected

Гугление подсказало, что:

s is a general error condition that is common to a number of causes.
It means that pppd did not receive any LCP configuration requests from the peer, or was unable to agree on LCP parameters.

There are many causes for the timeout error:
MSCHAP negotiation failed,
no GRE packets were received by the client,
no GRE packets were transmitted by the server,
invalid GRE packets were transmitted by the server,
no GRE packets were transmitted by the client.
invalid GRE packets were transmitted by the client,

Use tcpdump to check the flow of GRE packets.


Как видно из логов клиентов (кинетик тот же), мсчап-авторизацию они проходят. Значит затык в GRE.

Киньте кто-нибудь рабочий вариант настроек фаерволла для pptp-сервера.
У меня стоит accept, где-то читал, что надо passthrought ставить. Пробовал, но так даже до аутентификации не доходит (фаерволл не пускает)

973. Джамаль, 25.02.2013 08:31
over9000
то там три раза повторяется запрос какой-то, LCP-timer,

LCP = Link Control Protocol, то есть то, что ходит по TCP1723. GRE тут ни при чём.


LCP timeout sending ConfR

Вот это я уже указывал. Аппарат отправил LCP-пакет клиенту, а ответа не дождался.

974. over9000, 25.02.2013 09:15
Т.е. вы полагаете, что провайдер блокирует передачу этих пакетов?

Добавление от 25.02.2013 09:18:

Некоторое время назад у меня на Windows7 висел пптп сервер (входящие подключения принимал), все ж работало. Конкретно на Микротике не хочет.

Добавление от 25.02.2013 10:16:

Может быть что-то с маршрутизацией? Клиент подключается, верификацию проходит, затем видимо из-за маршрутизации пакеты LCP уходят не туда.. такое возможно?

975. Джамаль, 25.02.2013 11:19
over9000
Некоторое время назад у меня на Windows7 висел пптп сервер (входящие подключения принимал), все ж работало. Конкретно на Микротике не хочет

Тогда не провайдер.


Может быть что-то с маршрутизацией?

Ну, я спрашивал насчёт дефолтного маршрута. Если вы никакую хитрую маркировку не делали, то никаких проблем с маршрутизацией быть не должно...

Хотя... А приведите-ка, что говорит /ip fire nat export, /ip fire mangle export и /ip route print

977. XOPOIIIO, 25.02.2013 12:10
овэр - отключи компрессию. винбокс занатом у всех не работает или только у меня )) ?

978. over9000, 25.02.2013 12:16
Джамаль

Хотя... А приведите-ка, что говорит /ip fire nat export, /ip fire mangle export и /ip route print

/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=no out-interface=Mir
add action=dst-nat chain=dstnat disabled=no dst-port=57570 protocol=tcp \
to-addresses=192.168.100.100 to-ports=57570
add action=dst-nat chain=dstnat disabled=no dst-port=56560 protocol=tcp \
to-addresses=192.168.100.101 to-ports=56560
add action=dst-nat chain=dstnat disabled=no dst-port=3389 protocol=tcp \
to-addresses=192.168.100.100 to-ports=3389
add action=dst-nat chain=dstnat disabled=no dst-port=4900 protocol=tcp \
to-addresses=192.168.100.100 to-ports=4899

[admin@MikroTik] > /ip fire mangle export
# feb/25/2013 14:11:33 by RouterOS 5.24
# software id = RIMV-9EM2

[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS________PREF-SRC__________GATEWAY_________DISTANCE
0 ADS___0.0.0.0/0_____________________________5.53.24.1_________1
1 X S___0.0.0.0/0_____________________________192.168.1.2_______1
2 ADC__5.53.24.0/21_______5.53.26.248__________ether1-gateway____0
3 A S___192.168.1.0/24_________________________92.168.1.10_______2
4 ADC__192.168.1.10/32____192.168.1.11_________Mir_______________0
5 ADC__192.168.100.0/24___192.168.100.1________bridge-local________0

Добавление от 25.02.2013 12:17:

цитата:
XOPOIIIO:
овэр - отключи компрессию. винбокс занатом у всех не работает или только у меня )) ?
Где? В настройках пптп-сервера?

У меня работает Винбокс за НАТом. Вот сейчас сижу в Винбоксе, будучи за НАТом при этом.

Добавление от 25.02.2013 12:18:

Отключил компрессию в профиле default-encryption - пофигу, та же ошибка 619.

979. XOPOIIIO, 25.02.2013 13:16
в данный момент у меня тоже все замечательно. косяч0к другого характера, есть несколько микротиков (рабочий и домашний) между ними vnp соединение. так вот, проблема возникает при попытке воспользоваться винбоксом из домашней сети, при том что абсолютно все рабочие ресурсы из домашней сети доступны (максимально мягкая фильтрация). что самое забавное )) проблемка оразовалась после последних обновлений, работает, обновился - не работает ))) сам не разбирался..

980. over9000, 25.02.2013 13:29
А VPN у тебя PPTP или L2TP? По существу моего вопроса есть что посоветовать? Настройки рабочие для фаерволла можешь дать?

Вот еще вопрос. Из дома на работу впн работает, а с работы домой - нифига. Причем и отключал впн до работы, отключал полностью фаерволл, ничего не помогает. LCP таймаут и все тут!

981. Джамаль, 25.02.2013 13:47
over9000
add action=masquerade chain=srcnat comment="default configuration" disabled=no \
out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat disabled=no out-interface=Mir


Что за интерфейс под названием Mir?

982. over9000, 25.02.2013 13:52
Джамаль, Mir - это пптп-клиент до другой офисной сетки. Т.к. себя сервером сделать не могу - приходится от меня к ним поднимать. Пробовал дисейблить - толку нет. Или эта этот маскарадинг может 619 ошибку выдать?

983. Джамаль, 25.02.2013 15:18
over9000

Угу. LCP-запрос может улетать в другой интерфейс

984. over9000, 25.02.2013 15:42
Удалил и маскарадинг, и сам интерфейс.. и... ну, вы поняли, да? Без изменений )) ошибка 619, мать ее.

А вот вопрос уточняющий. В /ppp secrets в настройках пользователей local address это адрес микротика (192.168.100.1) или любой другой какой-нибудь уникальный адрес из этой подсети? (192.168.100.10 например, заведомо свободный)? А то я две разные инструкции читал, и они друг другу противоречат в этом. В одной написано, что локал адрес - адрес микротика, в другой указано, что НЕ микротика, а другой свободный.

985. Джамаль, 25.02.2013 16:00
over9000

Local address - это тот адрес, который микротик выдаёт клиенту как адрес сервера в туннеле. Этот адрес должен не быть прописан в явном виде

В моём конфиге, микротик берёт себе адрес 10.0.0.1, а клиенту даётся 172.16-с-чем-то-там. Можно посмотреть в свойствах туннеля после его поднятия

986. over9000, 25.02.2013 16:57
Хм. Может я чего-то не понимаю, но не проще выдавать клиенту адрес из той же подсети, что и основная? 192.168.0.1 микротик, с 10 по 100 локальные ресурсы, а 101 по 254 - удаленщики. Или так нельзя? Цель-то не интернет по ВПНу раздать, а доступ на локальные ресурсы обеспечить (шары, видеонаблюдение, отчетность в рабочем ПО).

Добавление от 25.02.2013 17:42:

Впрочем, попробовал сделать так - тоже ничего не вышло, ошибка все та же. Может быть это глюк какой-то? Джамаль, у вас какая версия Микротик ОС?

987. Джамаль, 25.02.2013 18:16
over9000

5.15. Настраивал, насколько помню, после полного сброса

Настройки фильтров такие:
код:
/ip firewall filter
add action=accept chain=input disabled=no src-address-list=trusted
add action=accept chain=input comment="default configuration" disabled=no \
protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=\
established disabled=no
add action=accept chain=input comment="default configuration" connection-state=\
related disabled=no
add action=drop chain=forward disabled=no src-address-list=deny
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=ether1-gateway
add action=drop chain=input disabled=yes in-interface=pppoe-out1

Добавление от 25.02.2013 18:19:

over9000
не проще выдавать клиенту адрес из той же подсети, что и основная?

Тогда клиентов надо бриджевать, а это, насколько я помню, не работает для PPTP-соединений. Два интерфейса с одной подсетью не разрешаются в TCP/IP

988. over9000, 25.02.2013 18:57
Тот интерфейс, Mir, как раз пускает меня через 192.168.1.10 в сеть 192.168.1.0/24, выдавая мне 192.168.1.11. И при этом я пользую нужные мне ресурсы в этой сети. Правда там роутером служит старенький комп с серверной Убунту, но какая разница принципиальная?

989. Джамаль, 25.02.2013 19:29
over9000

Ну, не знаю. Наверное, таки можно и зайца научить курить, но я бы так извращаться не стал.

Добавление от 25.02.2013 21:30:

хотя нет, всё будет работать. Ведь при подключении в таблицу маршрутизации добавляется онлинковый маршрут для туннеля, у которого метрика меньше (то есть лучше), чем у аналогичного маршрута для ethernet-интерфейса. Поэтому, при прочих равных, туннельный маршрут будет предпочтительней, чем локальносетевой, а в силу узости своей маски, он будет указывать на единственную машину - клиентскую за PPTP-туннелем.

990. over9000, 26.02.2013 08:48
цитата:
over9000:
Привет всем!
Дождался таки свой микротик (951), вроде все настроил (wan, lan, wlan), порты пробросил (торренты показывают открытые порты), но качает пока что-то не шибко... хотя спидтест выдает (как и зухель кинетик) свои 95мбит тарифа (тариф 100мбит).

[часть сообщения вырезана]

ZyXEL Keenetic качал торренты со скоростью до 10мб/сек. Микротик так может?
Оказывается может
10,3мб/сек

Добавление от 26.02.2013 08:58:

До 96мбит/сек доходит, скорость 10,5мб/с максимум. Да больше, думаю, и не будет. з...т!

К сообщению приложены файлы: 1.jpg, 988x690, 182Кb

991. XOPOIIIO, 26.02.2013 11:25
цитата:
Джамаль:
over9000

Ну, не знаю. Наверное, таки можно и зайца научить курить, но я бы так извращаться не стал.



Добавление от 25.02.2013 21:30:

хотя нет, всё будет работать. Ведь при подключении в таблицу маршрутизации добавляется онлинковый маршрут для туннеля, у которого метрика меньше (то есть лучше), чем у аналогичного маршрута для ethernet-интерфейса. Поэтому, при прочих равных, туннельный маршрут будет предпочтительней, чем локальносетевой, а в силу узости своей маски, он будет указывать на единственную машину - клиентскую за PPTP-туннелем.

адрес обычно с маской суммируют, проще говоря - искомый входит в состав сети интерфейса или нет, если нет!, то в дело идет таблица маршрутизации. понятно дело, что К/С будут взаимодействовать, но без трансляции он не сможет получить доступ к ресурсам сети 192.168.1.0/24. прав ?

992. Джамаль, 26.02.2013 11:55
XOPOIIIO

Таблица маршрутизации в любом случае работает. Просто не следует путать задаваемые маршруты и актуальные маршруты. Актуальных всегда больше, поскольку к ним добавляются так называемые on-link маршруты. Вы и на своей машине можете их увидеть, набрав route print

Туннель с адресом из основного диапазона будет работать без трансляции вовсе. Тут всё решается ещё до трансляции.

Добавление от 26.02.2013 11:57:

over9000
Оказывается может

Я уже, кажется, намекал кому-то про количество соединений. У спидтеста оно только одно. У торрентов - домпх.

993. XOPOIIIO, 26.02.2013 12:35
цитата:
Джамаль:
XOPOIIIO

Таблица маршрутизации в любом случае работает. Просто не следует путать задаваемые маршруты и актуальные маршруты. Актуальных всегда больше, поскольку к ним добавляются так называемые on-link маршруты. Вы и на своей машине можете их увидеть, набрав route print

Туннель с адресом из основного диапазона будет работать без трансляции вовсе. Тут всё решается ещё до трансляции.


каким образом она отработает, если на узлах в сети 192.168.1.0/24 со стороны сервера нет маршрутной информации для клиента 192.168.1.11 ?

994. over9000, 26.02.2013 13:29
Хорошо: Таким образом, что узел сети 192.168.1.0/24 пошлет запрос роутеру, а уж он то знает куда перенаправить пакет. птпп клиент микротика получает адрес как раз 192.168.1.11 и я хожу на ресурсы сети 192.168.1.0/24 с любого компа своей сети без дополнительной маршрутизации (а узлы той сети спокойно пингуют меня и ходят ко мне радмином через впн напрямую). Все разруливают маршрутизаторы.

Соответственно свой пптп сервер я хотел настроить аналогичным образом.

Добавление от 26.02.2013 13:31:

А может кто удаленно посмотреть мой микротик винбоксом? Вдруг что-то все таки напутано в настройках. У провайдера узнал - не блокируются вообще никакие протоколы.

Добавление от 26.02.2013 13:33:

цитата:
Джамаль:
XOPOIIIO

Таблица маршрутизации в любом случае работает. Просто не следует путать задаваемые маршруты и актуальные маршруты. Актуальных всегда больше, поскольку к ним добавляются так называемые on-link маршруты. Вы и на своей машине можете их увидеть, набрав route print

Туннель с адресом из основного диапазона будет работать без трансляции вовсе. Тут всё решается ещё до трансляции.



Добавление от 26.02.2013 11:57:

over9000
Оказывается может

Я уже, кажется, намекал кому-то про количество соединений. У спидтеста оно только одно. У торрентов - домпх.

Так в моем предыдущем посте наоборот торренты плохо качались, а спидтест показывал 95мбит. Чего я и удивился. Но сейчас все встало на свои места.

995. Джамаль, 26.02.2013 19:57
over9000
А может кто удаленно посмотреть мой микротик винбоксом?

Ну, давайте я гляну. Кидайте адрес и логин в личку, завтра (в среду) посмотрю

996. over9000, 26.02.2013 20:58
Благодарю. Взамен могу предложить компухтерные мощности )) radeon hd7950 (перебор хешей самое оно), core i5 2500k 4300ghz и прочее. Ну или договоримся.

Добавление от 26.02.2013 21:01:

Джамаль, скиньте "дозвон" на почту faust.s60@гмаил.ком, я вам отправлю домен и учетные данные, если не затруднит. Попробовал в приват отправить, почему-то просит регистрацию (???), хотя я уже зарегистрирован (сюда же пишу!).

Добавление от 27.02.2013 07:35:

Данные отправил.

Добавление от 27.02.2013 09:29:

Ребят, спасибо за помощь. Как-то оно само раз! и заработало.. с маршрутами вот разобрался.
Обе сетки видят шары друг друга и другие ресурсы.

Теперь вот вопрос. Можно сделать так, чтобы все клиенты кроме одного получали адреса из ip-pool (динамические), а ОДИН клиент получал всегда один и тот же адрес (статика), через который я проложил маршрут в подсеть клиента (сервер клиентский)?

997. Джамаль, 27.02.2013 09:52
over9000

Дык, зарезервировать, наверное.

А заработало оно не само - я там одну галку переставил в профиле default-encryprtion

998. over9000, 27.02.2013 10:39
Джамаль, покажи какую галку-то? Ведь для пптп-сервера используется профиль pptp-in, а не default-encryption. Или оно тоже влияет?

Зарезервировать не нашел где. Из командной строки можно? В менюшках рылся в ppp-pool, dhcp-server тоже. Для своего пула (локалка) можно зарезервировать, а как для впна - хз

Джамаль, что с меня, кроме спасиба и респекта? ))

999. Джамаль, 27.02.2013 11:26
over9000
для пптп-сервера используется профиль pptp-in, а не default-encryption.

Сейчас pptp-сервер использует профиль default-encryption (да и использовал, когда я пришёл туда), эта настройка общая для всего сервера, независимо от количества входящих интерфейсов. Поставил в свойствах профиля точку Use encryption в положение Yes - было в Default.

Резервировать - в DHCP-сервере в закладке Leases. Из комстроки не подскажу - не помню навскидку. При создании резервирования в его свойствах указывается DHCP-сервер. По идее, там должен показываться сервер (или пул?), к которому относится это резервирование

Добавление от 27.02.2013 11:28:

over9000
что с меня, кроме спасиба и респекта?

Забудь. Делов было ненадолго, мозги практически не напрягались

1000. over9000, 27.02.2013 12:21
Так для Leases же MAC-адрес нужен. Клиент, авторизуясь на пптп-сервере, свой мак-адрес не отдает же. В свойствах клиента (PPP Active User) есть
Name (логин)
сервис (пптп)
каллер ид (айпишник)
энкодинг
адрес (айпишник на микротике)
сейшн ид (hex-значение какое-то).
мака нет

1001. Джамаль, 27.02.2013 13:32
over9000

Тогда не знаю. Разве что создавать отдельный VPN-интерфейс и в нём что-то крутить

К этой теме 27.02.2013 15:37 moderator-Zdpn подклеил тему "Помогите с созданием сети (конфигурация оборудования) до 25чел." (автор: Guchiboy)

1004. Guchiboy, 27.02.2013 15:36
В общем построил сеть, на данный момент реализовано так: "Интернет 100 Мбит/сек" --- "Netgear jwnr2000" --- "D-link des 1228"
На данном этапе, у меня на d-link привязка к макам и скорость режет на порту до 10Мбит/сек. Но т.к. netgear ненадежная штука купил сегодня mikrotik RB2011 L-IN. Вот хотел посоветоваться, как лучше реализовать данное решение. Просто столько настроек у микротика, что думаю может на него какую-нибудь работу d-link перенести?

Добавление от 27.02.2013 16:13:

Просто как лучше всего реализовать данную сеть, вот в чем вопрос...

1005. over9000, 27.02.2013 16:40
Шейпером трафика можно будет ограничивать скорость группе пользователей или отдельному пользователю. Настроек куча. Может и по портам тоже можно ограничивать, врать не буду.

Добавление от 27.02.2013 16:55:

Есть еще владельцы RB951G-2HnD?

Интересует вопрос настройки Wifi для дома (насколько можно снизить мощность) и для предприятия (насколько можно ее повысить). Читал, что модуль вайфай у 951г-2ХнД мощный (1000мв). Сейчас все настройки по умолчанию - 17 вроде.

1006. Ilya Knyazev, 27.02.2013 18:58
over9000
На микротике ИМХО нет смысла поднимать мощность выше 20dbm. Ну еще антенны 2,5dbi добавят.
Причины следующие.
1. WiFi связь двухсторонняя. Не видел я клиентских девайсов с радиокартами на 1Вт. Бук обычно не выше 18DBm, планшеты/телефоны и того меньше. Итого девайс будет видеть полную шкалу сигнала, но не сможет достучаться до роутера.
2. Усиливая сигнал усиливаешь шум. Баловался тут спектроанализатором, при подъеме мощности до 1Вт засветка хорошая такая, по всему допустимому WiFi-диапазону. Накрывает все соседские точки
3. Усилив шум, убиваем входной фильтр на клиенте. Качество связи ПАДАЕТ.
4. Резко усиливаем отраженный сигнал, который придет с хорошей задержкой, отразившись от дома в паре километров от точки доступа.

Таким образом 1Вт нужен только если
1. С обоих сторон используются устройства с такой мощностью.
2. Используются очень узконаправленные антенны, чтобы не гадить другим.
3. Нужно пробить очень большое расстояние.

В противном случае это маркетинговое оружие.

PS. В РФ запрещено использовать без регистрации точки доступа мощностью более 100Мвт (20ДБм). 17ДБм + второй чайн как раз дают 20ДБм в сумме.

1007. LanMarket, 27.02.2013 19:38
цитата:
over9000:
Шейпером трафика можно будет ограничивать скорость группе пользователей или отдельному пользователю. Настроек куча. Может и по портам тоже можно ограничивать, врать не буду.



Добавление от 27.02.2013 16:55:

Есть еще владельцы RB951G-2HnD?

Интересует вопрос настройки Wifi для дома (насколько можно снизить мощность) и для предприятия (насколько можно ее повысить). Читал, что модуль вайфай у 951г-2ХнД мощный (1000мв). Сейчас все настройки по умолчанию - 17 вроде.

радио дествительно мощное, как и в 751. для дома, достаточно и 10dB (3кк в панельном доме, ловит даже в подъезде) Но можно поиграться, если где-то в удаленном углу будет не хватать, увеличить... Например у меня, на 17dB ловит даже на улице с 7го этажа.
Для предприятия, впринципе, 17dB тоже вполне достаточно, если к этой точке доступа не подключаются такие же мощные устройства, типа других роутеров и т.д. Потому как обычные клинты (ноуты, планшеты, мобилки) все равно не имею такой мощности, и если даже смогут "увидеть" точку доступа, то подключится к ней с дальнего расстояния не смогут.

1008. over9000, 27.02.2013 20:02
Спасибо за развернутый ответ. Попробую дома 10дб. Квартира однокомнатная

Upd: сделал 10db, теперь яблофон 4 показывает 20/16 спидтест. А было 6/20.

1009. mapazzzm, 27.02.2013 20:59
Господа, прошу помощи.
Форум прочитал, руки вроде растут откуда нужно, может только не совсем заточены, описания проблемы не нашёл.
Имеется RB750GL. Также есть хитрый интернет от одного "государственного провайдера", подключение к которому осуществляется через прокси. Допустим 11.128.1.11 порт 3128. На роутере прописаны маршруты между подсетью локалки, которую раздает микротик и подсетью прокси провайдера. Всё пингуется. При прописывание прокси в браузере интернет есть.
Задача - настроить микротик так, чтобы на клиентах не нужно было указывать никаких настроек прокси, для начала хотя бы для обычного интернет серфинга через браузер. Что было сделано: Поднят прокси на микротике - порт 8080, прописан там же parent proxy 11.128.1.11 порт 3128, настроен dstnat на redirect с 80 порта tcp на порт 8080. Не работает. Тишина. При прописывание айпишника микротика с портом 8080 в обозревателе интернет появляется. Без настроек прокси никак. Что я не сделал или сделал не так?

1010. Джамаль, 27.02.2013 21:21
mapazzzm

Ну, приведите настройки NAT сюда

1011. mapazzzm, 28.02.2013 09:28
цитата:
Джамаль:
mapazzzm
Ну, приведите настройки NAT сюда
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-wan

1 chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80

Плюс скрин:

К сообщению приложены файлы: 1.jpg, 1280x984, 138Кb

1012. Джамаль, 28.02.2013 09:54
mapazzzm

В первом правиле to-address уберите

Во втором правиле добавьте src-address=192.168.0.0/24 (или какой там у вас номер локальной сети)

1013. mapazzzm, 28.02.2013 10:11
цитата:
Джамаль:
mapazzzm
В первом правиле to-address уберите
Во втором правиле добавьте src-address=192.168.0.0/24 (или какой там у вас номер локальной сети)
WinBox 0.0.0.0 в дефолте не видит, поэтому отключил его и создал заново после dstnat. Получилось так:

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-wan

1 chain=dstnat action=redirect to-ports=8080 protocol=tcp src-address=192.168.88.0/24 dst-port=80

2 chain=srcnat action=masquerade out-interface=ether1-wan

Не работает

1014. Guchiboy, 01.03.2013 16:15
Имеем Mikrotik RB2011 L-IN. В общем создал на 3 порту интерфейс с 192.168.100.252/24. DHCP Client на 10 порт.
Ну и подключаю кабель из 10 порта в свой маршрутизатор комп в 3 порт. Комп маршрутизатор видит, маршрутизатор получил инет. НО комп не выходит в инет, Подскажите что не так... В спойлер гляньте там все данные
Лог:[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether10
[admin@MikroTik] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 ether1 ether 1500 1598 4074
1 ether2 ether 1500 1598 4074
2 R ether3 ether 1500 1598 4074
3 ether4 ether 1500 1598 4074
4 ether5 ether 1500 1598 4074
5 ether6 ether 1500 1598 2028
6 ether7 ether 1500 1598 2028
7 ether8 ether 1500 1598 2028
8 ether9 ether 1500 1598 2028
9 R ether10 ether 1500 1598 2028
10 BA pppoe-out
[admin@MikroTik] > ip addres
[admin@MikroTik] /ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.100.252/24 192.168.100.0 ether3
1 D 192.168.1.5/24 192.168.1.0 ether10

На компе настроено 192.168.100.50
255.255.255.0
192.168.100.252
DNS 192.168.100.252

Добавление от 01.03.2013 16:51:

разобрался, у меня dns стоял 192.168.1.1

Тогда возникает еще вопрос, я буду ставить в офис mikrotik. Схема такая internet-mikrotik-d-link1228-pc, подключаться mikrotik будет через PPPoE соединение. Но мне провайдер дает белый ip. Подскажите как настроить удаленное управление. При том сейчас у меня реализовано так что заходя на ip я попадаю на d-link а вбивая ip:8080 я попадаю на свой дебильный маршрутизатор.... Хочется чтоб также осталось но с mikrotik-ом)

Добавление от 01.03.2013 17:33:

В общем так и не смог так сделать: " Чтобы и dns и шлюз совпадали".. У меня сейчас 22 компьютера и у всех настроено
192.168.100....
255.255.255.0
192.168.100.252
192.168.100.252
Как мне настроить микротик чтоб все и дальше работало...
А то сейчас при по подключении, по схеме что в самом начале описана, пока dns 192.168.1.1 не напишешь, инет на компе не появляется(

1015. mapazzzm, 01.03.2013 17:35
цитата:
Guchiboy:
Имеем Mikrotik RB2011 L-IN. В общем создал на 3 порту интерфейс с 192.168.100.252/24. DHCP Client на 10 порт.
Ну и подключаю кабель из 10 порта в свой маршрутизатор комп в 3 порт. Комп маршрутизатор видит, маршрутизатор получил инет. НО комп не выходит в инет, Подскажите что не так...

разобрался, у меня dns стоял 192.168.1.1
Братишка, ты мне мозг спас! Посмотрел на твой пост и осенило! Я DNS провайдера в проблеме описанной выше твоей забыл прописать!!! ) Прописал DNS - на клиентах всё заработало без прописания прокси. Буду дальше хитрить с портами. Спасибо!
Джамалю отдельное спасибо за наставление на путь истинный!

1016. Guchiboy, 01.03.2013 18:57
А мне ктонить помогет? Завтра блин ставить нужно(((

Добавление от 01.03.2013 19:50:

уааа!! Все) Сделал)

1017. Джамаль, 01.03.2013 20:35
Guchiboy

Ну вот, даже в проблему вникнуть не успел

1018. Guchiboy, 01.03.2013 20:53
как сделать чтоб сидя дома вводя ip(mikrotik):8080 я попадал на него? Ну тобишь удаленное управление, вот. но именно с :8080

1019. Ёжъ, 01.03.2013 21:06
Guchiboy, это зависит от того, какой IP-адрес у вас на WAN-интерфейсе. Если статический "белый" (он же "реальный", а на самом деле - "глобально маршрутизируемый") - то вообще без проблем. Если тоже реальный, но динамический (периодически меняющийся) - то через службу Dynamic DNS. Если же IP у вас "серый" IP любого типа, то наверное как-то можно, но мне тоже о-очень бы хотелось узнать как.

1020. Guchiboy, 01.03.2013 21:15
В конечном итоге у меня на микротике на wan настроено PPPoE соединение. Провайдер Дает мне белый ip. Ну тобишь реалтный и т.п.... воот, так как настроить?))

Добавление от 01.03.2013 21:21:

мне просто надо чтоб было именно на 8080

1021. Ёжъ, 01.03.2013 21:22
Guchiboy, IP на вашем PPPoE - забито ручками или получается роутером динамически? Если статический (всегда один и тот же) - то вообще нет никаких проблем - через winbox без каких-либо проблем подключаться к своему роутеру (необходимо проверить правила входящих соединений файервола).

Если же адрес меняется - то есть он динамический, то ройте в сторону DynDNS. Например по моему старому рецепту (http://forum.mikrotik.com/viewtopic.php?f=9&t=66827) . Обращение к вашему роутеру в таком случае будет через [имя моего домена-эккаунта в DDNS-службе].

1022. Guchiboy, 01.03.2013 21:23
прост когда по айпи захожу я на коммутатор попадаю , а вот когда ip:8080 нужно чтолб я на микротик попадал)

Добавление от 01.03.2013 21:24:

Динамически получаю)

Добавление от 01.03.2013 21:25:

но всегда один и тотже)

1023. Ёжъ, 01.03.2013 21:27
Guchiboy, на какой такой коммутатор?

А winbox'ом пробовали зайти по этому адресу?

1024. Guchiboy, 01.03.2013 21:32
Микротик у меня покачто дома. Вот. У меня реализовано так, "интернет" - "маршрутизатор negear jwnr200" - "Комутатор d-link des1228" - пользователи

Добавление от 01.03.2013 21:32:

Вот я вместо нетгира микротик поставлю завтра

1025. Ёжъ, 01.03.2013 21:36
Guchiboy, и вы хотите сказать, что обращаясь по IP-PPPoE-соединения-Netgear-jwnr200:8080 вы попадаете на web-морду DES-1228? Ну, значит на Netgear'е у вас так настроен проброс портов.

1026. Guchiboy, 01.03.2013 21:39
нене, вот я ввожу сейчас ip: 176.215.0... попадаю на коммутатор web морду, а вот если я введу 176.215.0...:8080 то попадаю на маршрутизатор. Вот. Как мне также вот микротик настроить

1027. alexlis51, 01.03.2013 23:11
скажите пожалуйста что это за ошибка и отчего?

К сообщению приложены файлы: 1.png, 742x554, 168Кb

1028. maximil66, 01.03.2013 23:15
цитата:
alexlis51:
скажите пожалуйста что это за ошибка и отчего?
Кто-то ломится к вам через SSH.Закройте порт SSH в админке,если он вам не нужен.

За это сообщение сказали спасибо: alexlis51

1029. alexlis51, 01.03.2013 23:18
maximil66
спасибо,поможет ли мне это
"Чтобы запретить нежелательные подключения к маршрутизатору из интернета следует изменить 3-е правило на вкладке Filter Rules"?

1030. мудрец, 01.03.2013 23:22
Guchiboy
если я вас правильно понял то это должно помочь
/ip service set www port=8080
За это сообщение сказали спасибо: alexlis51

1031. maximil66, 01.03.2013 23:22
вкладка ip/service/ ssh порт 22-disable
За это сообщение сказали спасибо: alexlis51

1032. alexlis51, 01.03.2013 23:32
Guchiboy
я тут не в строчку ибо нуб,но помоему же по мак адресу можно на микротик с винбокс зайти откуда угодно,нет?

1033. Guchiboy, 01.03.2013 23:49
Только завтра уже проверю) А то у меня ночь уже

1034. мудрец, 02.03.2013 01:29
alexlis51
вход по мак-у это запасной вариант и только в пределах одной подсети

1035. Guchiboy, 02.03.2013 09:19
мудрец
Ну настроил) Так вроде работает) Вечером поставлю, отпишусь) Спасибо за помощь)

Добавление от 02.03.2013 09:27:

А вообще, так примерно сколько пользователей можно на него посадить, чтоб он точно справлялся с нагрузкой. У меня Mikrotik RB2011 L-IN.

1036. Джамаль, 02.03.2013 13:59
Guchiboy

Дык, смотря что эти пользователи будут делать в тырнете. А то и на одного может не хватить, и на двухсот может вполне себе быть достаточно.

1037. Guchiboy, 02.03.2013 21:39
Народ) Все сделал все в инет ходют, все супер.Удаленно не могу попасть на микротик. ХЕЛП!

Добавление от 03.03.2013 08:55:

Может где-то нужно прописаь что-нибудь? Может в настройках безопасности чтот не так? Внутри сети все хорошо, из вне, немогу попасть

Добавление от 03.03.2013 08:58:

Ип получается он динамический получает, но один и тотже всегда....

Добавление от 03.03.2013 09:12:

Я firewall просто автоматически настраивал, через вебморду ip-mikrotit/cfg, там в меню firewall три галочки выставил и на соединение с инетом выставил, вот

Добавление от 03.03.2013 09:33:

Скрипт нашел, вот если в нем строчку, о том что на роутер только из подсетии можно заходить, убрать? Должно работать?

Скрипт:######################## ip firewall filter rules add#######################/ip firewall filteradd chain=input protocol=icmp action=accept comment=”Allow Ping”add chain=forward protocol=icmp action=acceptadd chain=input connection-state=established action=accept comment=”Accept established connections”add chain=forward connection-state=established action=acceptadd chain=input connection-state=related action=accept comment=”Accept related connections”add chain=forward connection-state=related action=acceptadd chain=input connection-state=invalid action=drop comment=”Drop invalid connections”add chain=forward connection-state=invalid action=dropadd chain=input protocol=udp action=accept comment=”Allow UDP”add chain=forward protocol=udp action=acceptadd chain=forward src-address=192.168.0.0/24 in-interface=ether2 action=accept comment=”Access to Internet from local network”add chain=input src-address=192.168.0.0/24 action=accept comment=”Access to Mikrotik only from our local network”add chain=input action=drop comment=”All other drop”add chain=forward action=drop

1038. Джамаль, 03.03.2013 09:54
Guchiboy

Сначала вообще все правила файрвола отключите да проверьте.

1039. Ant, 03.03.2013 10:31
Всем привет, есть мысли подменить машину с керио микротиком с вифи серии rb2011.
Есть пара вопросов по функционалу:
1. Можно ли настроить балансировку или переключение если каналы разных провайдеров разных типов?
Один просто статиком прописывается, а другой пппое с логином паролем, в большинстве документаций каналы всегда одинаковы.

2. Я так понимаю некоего подобия антивируса на лету не прикрутить?

3. Сильно ли гибок url фильтр чтобы порезать какое-то подобие рекламы, баннеров?

4. Можно ли вифи организовать вообще как отдельную сетку, а не как у большинства домашних роутеров что вифи и лан это какбы всегда общая локалка с общей адресацией?

5. Гибки ли возможность шейпинга?
Посути немного надо, просто чтобы большие закачки типа торентов или больших файлов резались по скорости. Ну и исключения для некоторых адресов.

1040. Guchiboy, 03.03.2013 10:37
Так все отключаешь, инет не робит(

Добавление от 03.03.2013 10:50:

так оставил в фаерволе только доступ чтоб в инет был, больше правил нету) В соединениях в фаерволе ВИДНО как я пытаюсь из вне попасть.

1041. Джамаль, 03.03.2013 10:59
Ant

1. Да
2. Правильно понимаете
3. Нет, не гибок. Но зато regexp поддерживает - можно самому правила писать
4. Легко
5. Более чем.


Guchiboy

Тут уже подсказывали - ip services, параметр www исправить так, чтобы он был доступен не только из локальной сети. А если надо ещё и winbox, то там же соответствующий параметр есть

Добавление от 03.03.2013 11:02:

Guchiboy
Так все отключаешь, инет не робит(

Отключать надо только на закладке Filter

1042. Guchiboy, 03.03.2013 11:05
а как настроить, мне подсказывали про порт, а как сделать чтоб из вне-нет(

Добавление от 03.03.2013 11:07:

подскажите пожалуйста))

1043. Джамаль, 03.03.2013 11:07
Guchiboy

А загляните в эту вкладку. Ну там же всё чётко и ясно - прописывается, на каком порту будет бегать веб-морда и из каких подсетей она будет доступна.

1044. Guchiboy, 03.03.2013 11:08
а в какой это вкладке-то? Я прост через терминал все писал

1045. Джамаль, 03.03.2013 11:12