ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: после балансировки под словом "балансировка" можно подразумевать с десяток различных способов. поэтому не помешало бы объяснить, что было сделано для того, чтобы нарушить нормальную работу Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:27 12-11-2010

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka помогай, буду разбираться с балансировкой PCC начну с Policy routing первые правила понятны, метим соединения в Input, а потом метим пакеты для роутинга в Output, как бы понятно, дальше не понятно для чего эти правила: Код: add chain=prerouting  dst-address=10.111.0.0/24  action=accept in-interface=Local   add chain=prerouting  dst-address=10.112.0.0/24  action=accept in-interface=Local как бы строчку перевел - Then we will assign proper routing-mark to the packets leaving the router. (Затем мы присвоим надлежащую метку маршрутизации пакетам, оставляя маршрутизатор.)? сам понимаешь по этому переводу сложно что понять... то есть я понимаю, что этими правилами мы разрешаем проход пакетов на   интерфейсе LAN с сетей 10.111.0.0/24 и 10.112.0.0/24, но не могу понять зачем, и если у меня оба провайдера имеют одну сеть скажем 192.168.0.0\24, то что   тогда... был бы тебе очень признателен если бы ты рассказал как при этой балансировки движется пакет в Микротике...то есть вышел пакет от пользователя - зашел в LAN Микротика попал в прероутинг и далее... думаю не мне одному поможет твой мануал, да и вопросов у новичков много снимет... Поделись знаниями, не держи в себе Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 23:39 12-11-2010

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору понедельник... и я снова с вами. нннннепереключайтесь   Цитата: Then we will assign proper routing-mark to the packets leaving the router. (Затем мы присвоим надлежащую метку маршрутизации пакетам, оставляя маршрутизатор.)? правильно - "пакетам, покидающим роутер" там подпись идёт под блоком с правилами, это фраза про output.   Цитата: дальше не понятно для чего эти правила если есть разные подсети в локалке, и эти подсети ходят друг в друга через этот маршрутизатор, то правила accept нужны для того, чтобы не пометить роутинг этим пакетам. без ник, например, приходит пакет от 10.111.0.1 к 10.112.0.1. правила PCC метят ему роутинг через один из интернет-каналов - и отправляют к провайдеру, где он благополучно дропается. а если не метить - то по таблице main они уйдут на нужный интерфейс   Цитата: был бы тебе очень признателен если бы ты рассказал как при этой балансировки   движется пакет в Микротике...то есть вышел пакет от пользователя - зашел   в LAN Микротика попал в прероутинг и далее... эммм... так пакеты всегда ходят одинаково =) для проходящих насквозь пакетов (без всяких проксей и хотспотов) - что-то типа "Input Interface - Connection Tracking - Mangle Prerouting - Destination NAT - Global-In/Global-Total - TTL-=1 - Mangle Forward - Filter Forward - Accounting - Mangle Postrouting - Global-Out/Global-Total - Source NAT - Interface HTB - Output Interface"   Цитата: Как заставить винду коннектится по pptp к микротику без шифрования? у нас в профиле PPP стоит use-encryption=no, клиенты при дефолтовых настройках подключаются с шифрованием. если в винде поставить в Безопасности "Дополнительные настройки" и оставить только протокол MS-CHAP, то при подключении RouterOS показывает отсутствие шифрования, винда всё равно пишет MPPE128... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 19:16 15-11-2010

Demon Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   Цитата: у нас в профиле PPP стоит use-encryption=no, клиенты при дефолтовых настройках подключаются с шифрованием. если в винде поставить в Безопасности "Дополнительные настройки" и оставить только протокол MS-CHAP, то при подключении RouterOS показывает отсутствие шифрования, винда всё равно пишет MPPE128...   специально проверил при use-encryption=no винда по умолчанию не коннектится, xp выдает ошибку - неверный тип шифрования данных Всего записей: 584 | Зарегистр. 03-10-2001 | Отправлено: 10:25 16-11-2010

Timofey1983 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Здравствуйте!   Провайдер запустил IPTV, требуют купить DIR-100, создать VLAN 222, включить multicast и будет счастье. Можно ли обойтись без DIR-100 и настроить телевидение на Mikrotik 750G с 4.13? Подскажите пожалуйста, если можно, то как.   Попробовал так: 1. В Switch - VLAN. Создал правило для VLAN ID: 222 на порт WLAN (входящая линия). 2. В Interfaces - VLAN. Так же создал правило для 222 на порт WLAN. (по нему идет небольшой трафик) 3. В Routing - PIM - Interface. Сделал правило для all. 4. В Routing - PIM - RP. Создал правило на адрес моего интернет шлюза.   В результате в IGMP Groups появилось несколько групп.   5. В Routing - IGPM Proxy - Interface. Добавил правило на VLAN (upstream) и правило на all.   Ну и в результате моих несознательных действий ничего конечно не произошло Всего записей: 3 | Зарегистр. 23-05-2009 | Отправлено: 10:41 16-11-2010 | Исправлено: Timofey1983, 11:50 16-11-2010

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: специально проверил при use-encryption=no винда по умолчанию не коннектится, xp выдает ошибку - неверный тип шифрования данных   у меня версия 3.28...   Код: /ppp profile add change-tcp-mss=no comment="" dns-server=8.8.8.8,8.8.4.4 \     local-address=192.168.0.1 name=traff-users only-one=no use-compression=no \     use-encryption=no use-vj-compression=no /interface pptp-server server set authentication=mschap1,mschap2 default-profile=traff-users enabled=yes \     keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled   вот так работает   Timofey1983 конкретно не подскажу, но надо настраивать либо PIM, либо IGMP Proxy, никак не вместе. в данном случае, думаю, лучше второе. покурить этот топик - где-то уже публиковали рабочее решение. там, кажется, с alternative subnets шаманить надо...   Цитата: Как настроить предотвращение атаки DHCP Snooping? эммм... DHCP Snooping - это не атака, это защита... что именно надо сделать? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:36 16-11-2010

Quicker Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору а есть документация на русском языке?     Добавлено: извиняюсь, сам нашел   может кому ещё понадобится http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/ Всего записей: 26 | Зарегистр. 10-02-2006 | Отправлено: 21:59 16-11-2010

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka спасибо, но пока нет времени с ней разбираться, потом тебя будем мучить подскажи лучше ни как не пойму почему пакеты не попадают под правила... решил переделать мангл, раньше работало так: в прероутинге я метил пакеты для QoS, а в форварде метил для PСQ.. решил переделать на то что бы метить соединения а потом пакеты, переделал прероутинг, все работает, потом переделал форварт работать перестало, то есть шейпер работает а под QoS ни чего не попадает, вот кусок правила: Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)" add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no   далее форвард: Код: add action=mark-connection chain=forward comment=3M disabled=no \ new-connection-mark=conn_3M_pcq passthrough=yes src-address-list=\ 09.Unlimit-3072 add action=mark-packet chain=forward comment="" disabled=no in-interface=LAN new-packet-mark=packet_3m_out passthrough=no connection-mark=conn_3M_pcq add action=mark-packet chain=forward comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=packet_3m_in passthrough=no connection-mark=conn_3M_pcq вот в такой последовательности шейпер работает а QoS нет... просвети.... Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 22:36 16-11-2010

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/ хм... глянул только мельком... это, случаем, не машинный перевод? фразы уж больно какие-то заумные: Цитата: Редирект подобен стандартному dstnat, но работает как masquerade выполняет действие srcnat то есть также как и masquerade при выполнении действия srcnat не указывается to-address IP адрес исходящего интерфейса, в редиректе не указывается IP адрес входящего интерфейса.   vlh всё просто. переход на последовательную маркировку соединений, а потом пакетов - ошибка =) метка соединения только одна, и если её переопределять сначала в прероутинге, потом в форварде - то просто создаётся больше правил, а соответственно и больше нагрузка на роутер по их обработке. более того, как в данном случае, уже невозможна работа правил, основанных на метке возвращающихся пакетов - потому что метка уже была переопределена на другую в форварде, например   так что варианта два - либо не использовать маркировку соединений вообще, либо использовать только для одного из двух шагов шейпинга, при этом выкурить до просветления все предыдущие мои посты насчёт меток соединений/пакетов. если курить много влом, то основной тезис: ни в коем случае не надо маркировать содеинение для всех пакетов этого соединения. маркировка должна быть только для первого пакета Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:04 17-11-2010

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka много буков ничего не понял кроме как: что так как у меня двойная маркировка (PCQ, QoS) то можно   для QoS в прероутинге промаркировать соединения и пакеты, а в форварде для PCQ промаркировать только пакеты? Цитата:  ни в коем случае не надо маркировать содеинение для всех пакетов этого соединения. маркировка должна быть только для первого пакета у меня что маркируются соединения для всех пакетов? Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)"   add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no   add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no покажи тогда как должно быть...вроде все по мануалу делал... правда не нравится мне цыфры статистики: на метке соединения - 165.0к на LAN - 1772.4к на PABLIC - 9.1M смущает то что на метке соединения и LAN вроде должны быть одинаковые цифры, так по крайней мере например на правилах UDP, P2P... Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 04:05 17-11-2010 | Исправлено: vlh, 04:14 17-11-2010

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: так как у меня двойная маркировка (PCQ, QoS) то можно   для QoS в прероутинге промаркировать соединения и пакеты, а в форварде   для PCQ промаркировать только пакеты? я бы делал наоборот: соединения оставил на откуп PCQ. а для QoS можно действовать на основе src-port - как и предлагается в небезызвестной презенташке   Цитата: у меня что маркируются соединения для всех пакетов? да =) потому как первое правило - "поставить метку на соединение независимо от того, была она там или нет"   Цитата: смущает то что на метке соединения и LAN вроде должны быть одинаковые цифры как я уже сказал - в идеале не должны. соединение лучше всего маркировать лишь по первому пакету, а он около полтиника байт несёт =) здесь же разбежка может получаться из-за того, что используется connection-bytes=0-500000 - т.е. первые полмегабайта пакетов соединения перемаркировываются каждый раз заново (хоть и одной и той же меткой), а остальные пакеты используют существующую метку в последующих правилах %) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:16 18-11-2010

rambo15 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору наверно уже обсуждалось, но пока не нашел. как можно метить скажем трафик icq и пересылать его через определенный шлюз? а то у меня несколько шлюзов и в итоге icq часто переподключается. спасибо. Всего записей: 309 | Зарегистр. 14-08-2006 | Отправлено: 01:43 19-11-2010 | Исправлено: rambo15, 01:43 19-11-2010

Sergey Sosnovsky Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору снять клавиатуру Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 09:46 19-11-2010

rambo15 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Помогите разобраться с mangle   Есть машина( с трюмя сетевушками, одна смотрит в локалку и две на шлюзы) .. так вот Что надо: Перенаправить http трафик на отдельный шлюз Что делаю: IP -> Firewall -> Mangle -> New закладка General chain preprouting src adr. ипы от куда 192.168.1.0/24 Protocol - TCP Dst Port - 80 закладко Action Action - mark routing New Routing Mark: - HTTP Traffic потом в IP -> Routes -> Routes -> New Destination 0.0.0.0/0 Gateway шлюз через который пойдёт, например хх.ххх.хх.ххх Mark: HTTP Traffic   все верно? Всего записей: 309 | Зарегистр. 14-08-2006 | Отправлено: 10:40 19-11-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование