Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Вопрос в том, как правильно зарутить трафик с 1 айпишника на 2(новый) внутри 1-го микротика

    вопрос скорее в том, что надо сделать... если непонятное слово "зарутить" заменить на "замаскарадить" - то вопрос обретает для меня смысл. собственно тогда ответ таков: заменить action=masquerade на action=src-nat to-addresses=нужный_адрес
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 20:11 10-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    что то ни как не могу зайти на RB1200 по телнету и ssh, то есть после ввода команды телнета или ssh просит пароль ввожу тот через который вхожу через winbox, но в ответ - Permission denied, please try again. а если через телнет просит ввести логин и пароль в ответ - Login failed, incorrect username or password
     
    P.S.
    до этого был RB450G на него заходил, может после смены что то изменилось.
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 12:50 11-08-2011 | Исправлено: vlh, 12:51 11-08-2011
    FreeLSD_md



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Супер, только вот нужно ли заменить, или же необходимо добавить правило в NAT?(уже прописанный маскарадинг должен скрывать локальную сеть от провайдера...) И ещё для chain=srcnat указывать src-address=адрес1(старый) ?
     
     
    Добавлено:
    vlh
    в /ip service всё ок ?
    Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 12:54 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    уже прописанный маскарадинг должен скрывать локальную сеть от провайдера...

    а он скрывает не за адрес1(старый)?.. тогда - добавить. и, видимо, перетащить вверх
     

    Цитата:
    для chain=srcnat указывать src-address=адрес1(старый) ?

    нет конечно
     

    Цитата:
    в ответ - Permission denied, please try again

    может, у пользователя нет права входа по telnet и ssh? System -> Users -> Groups
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:24 11-08-2011
    FreeLSD_md



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
      Что-то нутром чувствую, что нарвусь на подводные камни. Кажется необходимо описать некоторые ньюансы:
    Как уже говорил, работаем на 1 ip адресе. Есть Н-ное количество устройств, которые обращаются по этому ip и попадают в локальную сеть, а также внутренняя сеть сотрудников.
      Одновременно с этим, существует проблема(предположительно на стороне провайдера): без какого либо периода теряется связь с интернетом(со шлюзом провайдера - первый хоп во внешний мир - ping говорит от 4 до 7 Превышен интервал ожидания для запроса. подряд).
     Аппарытный фактор исключён: заменялось всё, что можно было заменить, вплоть до перепайки пигтейлов с обоих хвостов волокна.
     Пров хочет чтобы ему показали, как мы будем работать на другом 2 ip.  
     Задача состоит в том, чтобы перевести сеть на ip 2(конечно же задействовав ещё один интерфейс), и в тоже время, чтобы устройства, которые обращались из внешнего мира к нам по ip 1 смогли также обращаться по ip 1 дальше и также попадать во внутреннюю сеть.

     Будут дополнения?)
    Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 13:58 11-08-2011 | Исправлено: FreeLSD_md, 14:00 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    FreeLSD_md
    интересные подробности проясняются ))
     
    если подсеть та же - значит, вы к провайдеру в свитч втыкаетесь?..
     
    хотя в принципе особой разницы быть не должно - единственное, возможно придётся вручную указать, на каком интерфейсе шлюз использовать: gateway=ip%iface
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:54 11-08-2011
    FreeLSD_md



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
     к провайдеру в свитч

    так точно...
    И так, предложенное вами ранее - подходит ?
    Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 14:58 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    FreeLSD_md
    да, должно работать
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:44 11-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    FreeLSD_md
    в /ip service всё ок ?

    эти службы включены:
     

    Код:
    [admin@MikroTik] > ip service print
    Flags: X - disabled, I - invalid  
     #   NAME      PORT ADDRESS                                        CERTIFICATE    
     0   telnet      23
     1   ftp         21
     2   www         80
     3   ssh      22
     4 X www-ssl    443                                                none          
     5 X api       8728
     6   winbox    829

     

    Цитата:
    Chupaka
    может, у пользователя нет права входа по telnet и ssh? System -> Users -> Groups

    пробую и под admin и по user, у обоих галочки стоят на этих службах.
    кстати как через консоль зайти, нет там Users?
     
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 18:10 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    кстати как через консоль зайти, нет там Users?

    /user group
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:14 11-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    админ входит в фул, юзер чтение:

    Код:
    [admin@MikroTik] > user group print
     0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,
           sensitive,api,!ftp,!write,!policy  
       skin=default  
     
     1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web
    ,
           sniff,sensitive,api,!ftp,!policy  
       skin=default  
     
     2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,
           password,web,sniff,sensitive,api

     
    в логах RB1200 это:

    Код:
    aug/11/2011 18:24:54 system,error,critical login failure for user admin from 172.16.230.200 via ssh
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 18:30 11-08-2011
    resetsa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрйы день!
     
    Подкажите пожалуйста про VRF на микротике. в общем, насколько я понимаю VRF позволяет создать несколько независимых таблиц маршрутизации.
    Пример (привожу на рабочем мк, поэтому очень просто)
    Имеем

    Код:
     
    /interface ethernet
    set 0 arp=enabled auto-negotiation=yes comment=\
        "Local net interface (to Cisco)" disabled=no full-duplex=yes l2mtu=1526 \
        mac-address=00:0C:42:92:ED:27 mtu=1496 name=eth1 speed=100Mbps
    /interface bridge
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
        comment="for managment" disabled=no forward-delay=15s l2mtu=65535 \
        max-message-age=20s mtu=1500 name=lo0 priority=0x8000 protocol-mode=none \
        transmit-hold-count=6
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
        disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 \
        name=lo_vrf priority=0x8000 protocol-mode=none transmit-hold-count=6
    /ip address
    add address=192.168.10.0/29 disabled=no interface=eth1 network=192.168.10.8
    add address=192.168.255.2/32 disabled=no interface=lo0 network=192.168.255.2
    add address=192.168.100.1/32 disabled=no interface=lo_vrf network= 192.168.100.1
    /ip route vrf
    add disabled=no interfaces=lo_vrf routing-mark=lo_vrf
     

     
    таким образом имеем 2 интерфейса в main и один lo_vrf в одноименном vrf. судя по моей логике - с клиента имеющего адрес 192.168.10.2 подлюченного к eth1 я смогу пинговать lo0 и не смогу lo_vrf.
    Но на практике - пингуются оба.Вопрос почему?я где то ошибаюсь про vrf
    Всего записей: 195 | Зарегистр. 11-01-2007 | Отправлено: 19:52 11-08-2011
    FreeLSD_md



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    По моему вопросу, проще взять простой проводной рутер и отдельно его подключить..
    Или искать ещё какой вариант, как-то разделить, а то всё в каше получается. Спасбио!
    Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 21:18 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    /user ssh-keys print
     
    resetsa
    из мануала:

    Цитата:
    Technically VRFs are based on policy routing. There is exactly one policy route table for each active VRF. The existing policy routing support in MT RouterOS is not changed; but on the other hand, it is not possible to have policy routing within a VRF. The main differences between VRF tables and simple policy routing are:  
     
    * Routes in VRF tables resolve next-hops in their own route table by default, while policy routes always use the main route table. Read-only route attribute gateway-table displays information about which table is used for a particular route (default is main).  
    * Route lookup is different. For policy routing: after route lookup has been done in policy-route table, and no route was found, route lookup proceeds to the main route table. For VRFs: if lookup is done, and no route is found in VRF route table, the lookup fails with "network unreachable" error. (You can still override this behavior with custom route lookup rules, as they have precedence.)  
     

     
    http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
     
    т.е. на пакеты, которые идут непосредственно к роутеру, это, похоже, не влияет. значение ВРФ имеет только при маршрутизации
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:23 11-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    /user ssh-keys print

    как бы то же про это думал, но там ни чего нет и где взять этот файл не знаю.
     

    Код:
    [admin@MikroTik] > user ssh-keys print
     # USER                 KEY-OWNER  
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:32 11-08-2011
    resetsa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    а нельзя сделать привычно (как на цисках)?через route rules
    Всего записей: 195 | Зарегистр. 11-01-2007 | Отправлено: 21:36 11-08-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    просто если там есть ключ - то в пятёрке по паролю не авторизует... если его там нет, значит причина в другом...
     
    resetsa
    к сожалению, не знаю, как на сисках, поэтому не подскажу. а задача в чём? чтобы определённый айпишник не пинговался из vrf? так это в firewall filter input можно разрешить для данной routing-mark доступ только к нужному адресу )))
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:08 11-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    просто если там есть ключ - то в пятёрке по паролю не авторизует

     
    то есть при наличии ключа пароль вводить не надо, должен заходить без него?
    ключа все равно нет, просто для информации.
     

    Цитата:
    если его там нет, значит причина в другом

     
    хотелось бы понять в чем, пробовал с другого ПК под управлением Windows зайти телнетом, все то же самое, показывает версию тика и просит ввести логин, после ввода просит пароль, а дальше то о чем писал выше - облом.
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 23:32 11-08-2011
    hercares

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите - имеется роутер rb750, на нем поднят pppoe сервер на 10 человек,проблем нет, но недавно заметил,что интернет доступен всем без подключения,если прописать вручную на любом клиенте gateway. DHCP сервер на микротику пришлось пока выключить. В чем может быть проблема?
    Всего записей: 2 | Зарегистр. 02-03-2006 | Отправлено: 07:50 12-08-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    В чем может быть проблема?

    проблема в настройке, добавьте в адресс-лист IP тех кому разрешен интернет а в firewall правило форвард с src.address list=!(группа из адресс листа) и дроп, ну или если у Вас NAT правило только для группы из адрес листа (работать будет но  это не гуд imxo).
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 09:37 12-08-2011
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru