Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Chupaka
    поскольку passthrough везде "no" - то как только доходим до сработавшего правила, дальнейшая обработка правил прекращается  

    ну да, букаф довига, только ответа так и не увидел...
    это понятно что стоит passthrough=no и дальше обработка прекращается,
    тогда почему при таком раскладе пакеты из правил 8,9,10,11 попадают
    под дальнейшую маркировку правил 12,14,16,18,20 ??????
    passthrough срабатывает только на исходящие правила 13,15,17,19,21,
    ставим Да пакеты попадают, ставим НЕТ пакеты не попадают...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 11:06 15-10-2010
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Разжился wifi картой CNWL-311 http://www.cnet.com.tw/product/cnwl-311.htm Аппаратно сделана на чипе RaLink RT-2460. В списке поддерживаемого оборудования её, разумеется нет. Но микрот (3.30 level 6) в списке устройств её корректно отображает, но какие пакеты для wifi не ставил ничего не запело, в разделе "беспроводные интерфейсы" она не появляется. Где копать?
    Всего записей: 1601 | Зарегистр. 19-02-2006 | Отправлено: 11:30 15-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    почему при таком раскладе пакеты из правил 8,9,10,11 попадают  
    под дальнейшую маркировку правил 12,14,16,18,20 ??????

    т.е. пакет с src-address-list=07.Unlimit-1024 попадает ещё и под правило с in-interface=pppoe-1, где pppoe-1 - канал в Интернет? не должно такого быть. а где это видно, что они попадают?..
     
    aleksvolgin
    список устройств, строго говоря, ни о чём не говорит. нужен драйвер. а его на RaLink RT-2460, значит, нет. можно, конечно, попробовать версию v5 - но вряд ли. ещё вариант - сделать supout.rif и отослать разработчикам - вдруг смогут добавить поддержку
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:29 15-10-2010
    Sergey Sosnovsky



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос к гуру.
    PPPoE через маршрутизатор не проходит, это понятно.  
    Тащить VLAN через маршрутизаторы? Или есть другой путь зарулить на PPPoE с другой сети?
    Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 17:34 15-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Тащить VLAN через маршрутизаторы? Или есть другой путь зарулить на PPPoE с другой сети?

    в любом случае, PPPoE не является IP-трафиком, поэтому маршрутизировать его нельзя. надо создавать тоннель, который пробросит трафик второго уровня до сервера
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:41 15-10-2010
    Sergey Sosnovsky



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    надо создавать тоннель, который пробросит трафик второго уровня до сервера

    А какой туннель чтоб на том конце ничего не ставить? С того конца клиент с виндой.
    Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 17:45 15-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Sergey Sosnovsky
    туннель между маршрутизаторами, которые "мешают" прохождению пппое-трафика
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:55 15-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    с маркировкой пакетов помогли разобраться, теперь все понятно
    где и как метить...
    есть вопрос про PCQ, а именно по его работе...
    два примера:
    1. например есть внешний канал в 4М и есть 3 пользователя которым
    ограничена скорость в 2М, когда работают 2 пользователя и грузят
    весь канал согласно своим ограничениям в 2М, то тут понятно и так же
    понятно если будут работать 3 пользователя, они 4М поделят поровну,
    теоретически... по 1.33М...
    2. та же ситуация но у третьего пользователя ограничение в 1М,
    то есть когда работают двое по 2М - понятно делят по полам,
    а вот когда будет работать троя, как они будут делить весь канал?
    я так понимаю в процентном соотношении по справедливости не поделят,
    будет просто неразбериха в канале...кто первый захватил, тот и получит...
    так?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:48 15-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    а как в одной PCQ-очереди сделать пользователей с разными ограничениями? а если это несколько очередей - то тут всё зависит только от limit-at, max-limit и priority, PCQ делит полосу поровну только внутри каждой очереди
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 05:33 16-10-2010
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     

    Цитата:
    зачем на один интерфейс вешать несколько подсетей? не верю, что они несмежные %)  

     
    нет ты не понял, на этом микроте вообще нет подсетей клиентов, клиенты разруливаются совсем на других роутерах, этот микрот просто вставлен между моей сетью, и интернетом глобальным, то есть как бы в разрыв, как раз для того что ограничивать клиентов, именно по этому на нем не надо разделять трафик на паблик и локал, потому что локала там уже нет, на этот микрот сваливается уже чистый паблик.
     
    vlh
     
    вопрос, так просто ради любопытства, а зачем такие сложности, менять ttl, mss,? делать приоритет TCP над UDP? в плане UDP, его в таком случае проще вообще было отфильтровать, закрыть фаирволом.
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 08:22 16-10-2010 | Исправлено: fdboss, 08:33 16-10-2010
    mikrotik_fan



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Здравствуйте!
    Имеется железный микротик 5 портов, лицензия level 4.  Модель не помню (корпус металл, бп внешний).
    2 дня назад возникла проблема, с которой, не могу справится по сей день.
    Микротик блокирует некоторые сайты. qip.ru statoil.ru htmlbook.ru  
    Ничего общего между сайтами я не нашел. Правил блокирующих хттп нет.  
    Сеть 192.168.0.0/24. На клиентах шлюз и днс прописан микротик.  
    Саты пингуются, т.е. днс резолвится.
    Если убрать микротик из связки провайдер - клиент, сайты открываются.
    1) Пробовал отключать все фильтрующие правила, не помогло.
    2) Создавал на свободном интерфейсе новую подсеть, блокировок не было, все открывалось.
    Прошу помощи в разрешении вопроса. Все необходимые данные предоставлю.  

    Попробуй поменять WAN порт с первого на любой другой. На первом порту MTU отличается от всех остальных портов на микротике. Я поменял - косяки с доступом на некоторые сайты отвалились сами собой без всяких шаманств с Change TCP MSS.
    Всего записей: 2 | Зарегистр. 16-10-2010 | Отправлено: 22:48 16-10-2010
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Тогда так: можно взять Cisco 350 (только карта) и D-Link DWL-G520 за 300 и 150 руб. соответственно, д-линк официально поддерживается, а с киской что-то не очень ясно, вроде поддержка есть, но здесь она не указана http://wiki.mikrotik.com/wiki/Supported_Hardware#802.11a.2Fb.2Fg_wireless_cards Посоветуйте.
    Всего записей: 1601 | Зарегистр. 19-02-2006 | Отправлено: 02:11 17-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    спасибо, понял...
    разбирался с маркировкой пакетов и с помощью других вроде
    все стало ясно как белый свет, но не тут то было, а именно
    следуя тому как движется пакет в Микротике получается что
    то что мне рассказали не является правдой...
    движение пакета - клиент из локальной сети запрашивает например страничку
    ya.ru пакет от клиента попадает в прероутинг, там мы его метим на какой
    внешний интерфейс его направить (так как у нас их два), ставим passthrough=yes

    Код:
    add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=yes src-address-list=10.Unlimit-4096

    так как нам надо этот пакет еще и дальше обработать, далее этот пакет попадает
    в прероутинге еще под одно правило:

    Код:
    add action=mark-packet chain=prerouting comment=www disabled=no dst-port=80 in-interface=LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp

    и после выходит в форвард для маркировки шейпера (но это я думаю не важно)
    потом в сам шейпер и на выход через внешний канал, далее клиенту сервер
    отправляет его запрошенную страницу (ya.ru) и она приходит на внешний
    канал через который ушел запрос и попадает в прироутинг, там этот пакет
    попадает под правило:

    Код:
    add action=mark-packet chain=prerouting comment="" disabled=no in-interface=PABLIC-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80

    далее пакет идет в форвард для маркировки шейпера и потом клиент получает
    свой сайт ya.ru...
    вот так я понимаю прохождение пакета через Микротик...
    решил проверить так это или нет, вот часть конфига:

    Код:
    1. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 1024" \
        disabled=no new-routing-mark=Unlim_1024 passthrough=yes src-address-list=\
        07.Unlimit-1024
    2. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 2048" \
        disabled=no new-routing-mark=Unlim_2048 passthrough=yes src-address-list=\
        08.Unlimit-2048
    3. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 3072" \
        disabled=no new-routing-mark=Unlim_3072 passthrough=yes src-address-list=\
        09.Unlimit-3072
    4. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" \
        disabled=no new-routing-mark=Unlim_4096 passthrough=yes src-address-list=\
        10.Unlimit-4096
    5. add action=mark-packet chain=prerouting comment=icmp disabled=no in-interface=LAN \
        new-packet-mark=icmp_out_unl passthrough=no protocol=icmp
    6. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\
        PABLIC-1 new-packet-mark=icmp_in_unl passthrough=no protocol=icmp
    7. add action=mark-packet chain=prerouting comment=www disabled=no dst-port=80 in-interface=\
        LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp
    8. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\
        PABLIC-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80
    9. add action=mark-packet chain=prerouting comment=tcp disabled=no in-interface=LAN \
        new-packet-mark=tcp_out_unl passthrough=no protocol=tcp
    10.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\
        PABLIC-1 new-packet-mark=tcp_in_unl passthrough=no protocol=tcp
    11.add action=mark-packet chain=prerouting comment=udp disabled=no in-interface=LAN \
        new-packet-mark=udp_out_unl passthrough=no protocol=udp
    12.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\
        PABLIC-1 new-packet-mark=udp_in_unl passthrough=no protocol=udp
    13.add action=mark-packet chain=prerouting comment=other disabled=no in-interface=LAN \
        new-packet-mark=other_out_unl passthrough=no
    14.add action=mark-packet chain=prerouting comment="" disabled=no in-interface=\
        PABLIC-1 new-packet-mark=other_in_unl passthrough=no
     

    я правило 7 перемещаю после правила 14 и если пакет движется так как я описал то он должен все равно попасть под это правило, но он перестает
    попадать, была мысля что он тогда начинает попадать под правило 13 где
    метится весь оставшийся трафик, но там счетчик пакетов стоит на нуле,
    тогда я попробовал указать во всех 5,9,11,13 правилах которые метят пакеты
    на LAN интерфейсе src-address-list=!10.Unlimit-4096 то есть метит все кроме
    этой группы, в перенесенном вниз правиле поставил src-address-list=10.Unlimit-4096 то есть метить только для этой группы, но не помогло,
    под это правило пакеты все равно не попадают, как только я его возвращаю
    обратно все начинает работать, то есть пакеты попадают...
    Chupaka
    подскажи в чем прикол, всю башку уже себе сломал...я так понимаю я ошибся
    или не правильно опять понял как проходит пакет...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 12:39 17-10-2010 | Исправлено: vlh, 12:43 17-10-2010
    OleSt

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день всем! Наверное глупейший вопрос, но я пока очень плохо в этом разбираюсь
     
    Есть провайдер. Внешка l2tp, wan (ether1), комп (ether2)
     
    С внешкой всё впорядке (настроил) но -
    10.0.0.0/8 - это локальные ресурсы провайдера  
     
    Взять к примеру адрес - 10.2.88.20. Отлично пингуется из winbox с интерфейсов l2tp-out1 и ether1. Но ни в какую не хочет с ether2 и компа.
     
    Мне стыдно, но я уже второй день сижу, создавал разные правила firewall. Всё впустую. Потому что я не понимаю сути проблемы. Помогите пожалуйста
     
    ip route print
     
     #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
     0 ADS  0.0.0.0/0                          92.50.165.35       1        
     1 ADS  10.0.0.0/8                         10.170.100.1       0        
     2 ADC  10.170.100.0/24    10.170.100.53   ether1             0        
     3 ADC  92.50.165.35/32    81.30.211.245   l2tp-out1          0        
     4 ADC  192.168.88.0/24    192.168.88.1    ether2             0
     
    ip firewall filter print
     
     0   ;;; Added by webbox
         chain=input action=accept protocol=icmp  
     
     1   ;;; Added by webbox
         chain=input action=accept connection-state=established  
         in-interface=l2tp-out1  
     
     2   ;;; Added by webbox
         chain=input action=drop in-interface=l2tp-out1  
     
     3   ;;; Added by webbox
         chain=forward action=jump jump-target=customer  
         in-interface=l2tp-out1  
     
     4   ;;; Added by webbox
         chain=customer action=accept connection-state=established  
     
     5   ;;; Added by webbox
         chain=customer action=accept connection-state=related  
     
     6   ;;; Added by webbox
         chain=customer action=drop  
     
    ip firewall nat print
     
     0   ;;; Added by webbox
         chain=srcnat action=masquerade out-interface=l2tp-out1  
     
     1   chain=dstnat action=accept protocol=tcp dst-address=10.170.100.53
    Всего записей: 16 | Зарегистр. 03-02-2006 | Отправлено: 11:13 18-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OleSt
    а если на компьютере поднять авторизацию, то все нормально?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 13:34 18-10-2010
    OleSt

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ммм... имеете ввиду кабель напрямую? Да, всё нормально
     
    P.S. Еще одни локальные ресурсы: 79.140.16.0/20 - всё тоже самое что и с 10.0.0.0/8
    Всего записей: 16 | Зарегистр. 03-02-2006 | Отправлено: 13:42 18-10-2010 | Исправлено: OleSt, 13:52 18-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    OleSt
    локальная сеть с какими IP?
    не вижу в NAT ее настройки...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 14:40 18-10-2010 | Исправлено: vlh, 14:42 18-10-2010
    OleSt

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    у вас NAT на мтике?

    Да. На компе чисто. железка rb450g
     
    Хм. В нате настроек локалки нет. Я делал через webbox по умолчанию. Адреса для локалки раздает микротик. dhcp 192.168.88.0/24
    Всего записей: 16 | Зарегистр. 03-02-2006 | Отправлено: 14:42 18-10-2010 | Исправлено: OleSt, 14:45 18-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    не увидел, выше сообщение отредактировал...
     
    Добавлено:

    Код:
    chain=srcnat action=masquerade out-interface=l2tp-out1 src-address= ваша сеть

     
    P.S.
    и вот это на кой хрен:

    Код:
    1   chain=dstnat action=accept protocol=tcp dst-address=10.170.100.53
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 14:43 18-10-2010 | Исправлено: vlh, 14:51 18-10-2010
    OleSt

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    1   chain=dstnat action=accept protocol=tcp dst-address=10.170.100.53  

    Убрал Это webbox создал.

    Цитата:
    src-address= ваша сеть  

    тут пусто. поставил свою подсеть, ничего не изменилось
     
     
    Добавлено:
    Для прямого подключения к компу, провайдер рекомендует делать:
    set LocalGateway=10.170.100.1
    route  -p  add  10.0.0.0      mask  255.0.0.0      %LocalGateway%  metric  1
     
    но микротик сам прописал:

    Цитата:
    1 ADS  10.0.0.0/8                         10.170.100.1       0

     
    на прямом подключении это работает, через микротик нет... ерунда какая-то
    Всего записей: 16 | Зарегистр. 03-02-2006 | Отправлено: 14:55 18-10-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru