Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ИП на компе 172.16.18.10, маска 255.255.255.0, шлюз 172.16.18.1, ДНС 172.16.18.1
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 14:04 14-12-2010
    faust72rus



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    grrrrrrr1
    всё, все виды кофе закончились, жди Чупаку =)
    Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 14:06 14-12-2010
    dsm150



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    BigElectricCat
    Керио использую версию Control, которая на линуксовом ядре, т.е. сама как операционка ставится, типа микротика ))) И умеет он только коннектиться либо к PPTP либо к PPPoE серверам, к L2TP пока они не реализовали.
    У керио, к моему огромному сожалению нет вообще не PPTP не L2TP ни PPPoE сервера.
    Есть только их собственный VPN сервис, с которым могут работать только их же програмные клиенты.
    Всего записей: 172 | Зарегистр. 30-05-2008 | Отправлено: 14:08 14-12-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Chupaka
    да. торренты: словили пакет на интерфейсе пользователя -> forward -> интернет, обратно той же дорогой через forward  
    веб: словили пакет на интерфейсе пользователя, редиректнули -> input -> прокся отрабатывает запрос, соединяется с сайтом (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно), получает страницу -> output -> довольный пользователь  

    на словах вроде понятно, спасибо....
    далее, перед или после этих правил:

    Код:
    add action=mark-packet chain=forward comment=1M disabled=no in-interface=LAN new-packet-mark=packet_1m_out passthrough=no src-address-list=Unlimit-1
    add action=mark-packet chain=forward comment="" disabled=no dst-address-list=Unlimit-1 in-interface=PABLIC_1 new-packet-mark=packet_1m_in passthrough=no

     
    нужно что то типа:
     

    Код:
    add action=mark-packet chain=output comment=1M disabled=no in-interface=LAN new-packet-mark=packet_1m_out passthrough=no src-address-list=Unlimit-1
    add action=mark-packet chain=input comment="" disabled=no dst-address-list=Unlimit-1 in-interface=PABLIC_1 new-packet-mark=packet_1m_in passthrough=no

     
    далее в Queue Tree ловить эти пакеты так же нужно на выход в LAN а на
    вход в global-out?
     
    вот это правило для редиректа:

    Код:
    ip firewall nat> add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8000

    оно получается нужно одно и не важно сколько у меня внешних интерфейсов?
    правила NAT для внешних интерфейсов мы оставляем, так как через них
    будет работать все остальное не относящиеся к прокси?
     
    Есть еще момент, раньше прокси стоял на ТИ и сним были не большие проблемы, а именно с сайтами одноклассники, в контакте и т.д., клиент
    из нашей сети зайдя на этот сайт и авторизовавшись под своим именем
    и паролем мог попасть на строничку другого пользователя....
    Приходилось в ТИ делать правила для этих сайтов что бы прокси их не обрабатывала...
    как с этим в прокси у МТ?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:35 14-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Тоже вопрос по поводу прокси. На данный момент у меня все работает через NAT. Когда я включаю прозрачный прокси - у меня начинает ходить только HTTP трафик. Выходит для почты, icq и прочих нужных сервисов надо отдельные правила в dstnat?
     
     
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 16:28 14-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    у них прописан деф. гатевэй (не микротик) для лок. сетей

    для локальных сетей надо указывать не дефолтовый гейтвей, а маршруты на конкретные сети - либо ручками, либо через DHCP раздавать
     
    Добавлено:

    Цитата:
    все виды кофе закончились, жди Чупаку =)  

    уххх... я, наверное, много пропустил... а там столько букаф... глаза разбегаются... можно вкратце суть проблемы?
     
    vlh
    наоборот: в input - ловим по src-address-list, в output - по dst
     

    Цитата:
    оно получается нужно одно и не важно сколько у меня внешних интерфейсов?


    Цитата:
    правила NAT для внешних интерфейсов мы оставляем, так как через них  
    будет работать все остальное не относящиеся к прокси?

    именно так
     

    Цитата:
    как с этим в прокси у МТ?

    вообще не подскажу. вроде раньше (когда мы его ещё пользовали, на ранней v3) пользователи не жаловались
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:25 14-12-2010
    Sergey Sosnovsky



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    Так всё прописано, пока не включен PPP у клиента всё работает. DHCP не микротик.
    Но когда поднимается PPP то всё заворачивается в него.
    Хочу так и оставить, Но сделать чтобы микротик заворачивал в нужный шлюз.
    Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 17:33 14-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Когда я включаю прозрачный прокси - у меня начинает ходить только HTTP трафик

    каким правилом? не должно быть такой реакции, если правило затрагивает только порт 80
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:34 14-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Код:
     
    Flags: X - disabled, I - invalid, D - dynamic  
     0 X chain=dstnat action=redirect to-ports=8080 protocol=tcp in-interface=local  
         dst-port=80  
     
     1   chain=dstnat action=dst-nat to-addresses=<PC1> to-ports=1125  
         protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=1125  
     
     2   chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=1124  
         protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=1124  
     
     3   chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=1125  
         protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=3003  
     
     4   chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=6000  
         protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=6000  
     
     5   chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=3389  
         protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=9800  
     
     6   chain=srcnat action=masquerade out-interface=!local  
     
     

     
    В общем я правило 0 включал, а 6 отключал... не надо было?
     
    Вообще задача стоит порезать некоторые сайты, а также вести логи посещений - хочу включить прозрачный прокси без кеширования (кеширование на microSD тормозит), логи будут сохраняться на microSD.
     
    И на засыпку вопрос - можно ли сделать так, чтобы при попытке зайти на заблокированный сайт, пользователя перекидывало на какой-нибудь другой сайт?
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 17:41 14-12-2010 | Исправлено: Core_Cell, 17:48 14-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?  
     
    П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.

     

    Цитата:
    #       ADDRESS            NETWORK        BROADCAST       INTERFACE  
    0       192.168.0.1/24     192.168.0.0     192.168.0.255     LAN1  
    1       172.16.18.1/22     172.16.18.0     172.16.18.255     LAN2  
    2 D   94.241.234.98/32   217.9.147.93   0.0.0.0               \FB\EE\EB\E3\E0  
     
    а правил фаервола нет вообще

     
     
    вот вкратце суть проблемы помогите кто чем может
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 17:41 14-12-2010 | Исправлено: grrrrrrr1, 17:42 14-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    1       172.16.18.1/22     172.16.18.0     172.16.18.255     LAN2

     
    Возможно должно быть
     
    1       172.16.18.1/24     172.16.18.0     172.16.18.255     LAN2
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 17:53 14-12-2010 | Исправлено: Core_Cell, 17:53 14-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Возможно должно быть  
     
    1       172.16.18.1/24     172.16.18.0     172.16.18.255     LAN2

    да, поменял на /24, проблема осталась
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 17:55 14-12-2010
    Isorkin

    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Хелп - http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=640#14
    Всего записей: 243 | Зарегистр. 06-08-2004 | Отправлено: 17:58 14-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    http://img543.imageshack.us/f/98824421.jpg/
     
    все пакеты почему-то дропаются
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 19:33 14-12-2010 | Исправлено: grrrrrrr1, 19:37 14-12-2010
    BigElectricCat

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dsm150

    Цитата:
    Есть только их собственный VPN сервис

    Дык он же всё равно через сокеты работает. Вот и погляди портсканером где же он живёт, т.е. какие порты слушает. Впрочем… я тутачки скачал клиета и книжечку от него…
    Ну вот, на 14 страничке мануала админа: 4090 (TCP/UDP) — VPN сервер от керио, но далее на страничке 233 написано, что порт можно изменить на произвольный. И там же «убедитесь, что адреса ВПН клиентов не конфликтуют с любой вашей локальной сетью»
     
    Значит так, давай разберём твоё задание сначала. Забей на всё, что настраивал до этого.
    Из твоих слов я понял — если клиенты в Интернете, подключаются они к провайдеру по разному, в том числе и через пптп/ппое. Есть микротик с «белым адресом», за ним, в локалке, где-то стоит керио сервер. Клиенты должны бы подключаться к керио через керио-клиента. Задача такая?
     
    Добавлено:
    grrrrrrr1

    Цитата:
    все пакеты почему-то дропаются

    Если дропаются,  — смотри правила ФВ.
    Всего записей: 1401 | Зарегистр. 20-12-2006 | Отправлено: 19:35 14-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Если дропаются,  — смотри правила ФВ.

     
    фв правил нет
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 21:00 14-12-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    да. торренты: словили пакет на интерфейсе пользователя -> forward -> интернет, обратно той же дорогой через forward  
    веб: словили пакет на интерфейсе пользователя, редиректнули -> input -> прокся отрабатывает запрос, соединяется с сайтом (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно), получает страницу -> output -> довольный пользователь

    сначала как то не обратил внимание, а именно (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно) - запросы прокси посылает через какие внешние каналы?
    например клиент запросил ya.ru в прероутинге мы его направляем на PABLIC-1,
    далее делается редирект и прокси работает сама, вот работает она через канал PABLIC-1? или через тот через который работает сам микротик?
    и еще момент, ни как не могу придумать как сделать шейпер PCQ, а именно
    так как у меня несколько внешних каналов и пользователи все ходят по разным
    каналам как то не могу понять как выставлять limit-at и max-limit, каналы то у меня все разные по скорости...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:35 14-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Цитата:появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?  
       
    П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.  
     
     
     
     
    Цитата:#       ADDRESS            NETWORK        BROADCAST       INTERFACE  
    0       192.168.0.1/24     192.168.0.0     192.168.0.255     LAN1  
    1       172.16.18.1/22     172.16.18.0     172.16.18.255     LAN2  
    2 D   94.241.234.98/32   217.9.147.93   0.0.0.0               \FB\EE\EB\E3\E0    
       
    а правил фаервола нет вообще  
     
     
     
     ай нид хелп, плиз, я понимаю что косяк очень очевидный и простой и я просто запутил, но я второй день разобраться не могу, подскажите, очень прошу
    вот вкратце суть проблемы помогите кто чем может

    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 22:07 14-12-2010
    wwwwwww7

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    Народ, помогите кто может. Есть два компа №1и №2 с IP адресами192.168.88.200 и 192.168.88.220. НА первом 1Мб/с на втором 2 Мб/с. Как сделать , что бы при выключении второго компа на первом было 2Мб/с с второго компа. Все режется с помощью simple queues.Версия микротика 3.22  


    Цитата:
    wwwwwww7
    сделать очередь на 3 мбит/с, поставить её parent'ом у очередей этих компов, limit-at сделать, соответственно, 1M и 2M, max-limit=3M. в итоге каждый будет получать гарантированные свои 1/2 Мбит/с, плюс то, что осталось от 3 из-за простаивающего канала  

    Chupaka объясни пожалуйста олуху поподробней, где и как это все прописать.
    Всего записей: 104 | Зарегистр. 12-10-2009 | Отправлено: 00:40 15-12-2010
    grrrrrrr1

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в чем может быть проблема если сетевуха дропает 100% пакетов, а правил фаервола нет вообще? помогите подключить 2-й комп, плиз, очень нужно.
    Всего записей: 18 | Зарегистр. 02-12-2010 | Отправлено: 01:41 15-12-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru