Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Действительно. Не подумал. Значит, по умолчанию, роутеру можно всё отсылать и принимать...
    Насчёт приёма. Висит на самом верху правило
    Код:
    add action=drop chain=input in-interface=wan-bridge1 comment="Drop Incoming from Inernet"
    wan-bridge1 это бридж, имеющий один интерфейс ether1. На этом бридже белый IP. Вроде бы оно должно блокировать всё входящее. Как тогда понимать вот это?
     
       
     
    Второй адрес интересный, 12.3.12.11, но дело не в адресе. Вроде бы запрещены входящие. Но после ребута создаётся соединение. Предполагаю, что это роутер сам его устанавливает. А как на самом деле?
    RoterOS 6.42.6

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:21 25-08-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick
    Пакет попадает в Connection Tracking до цепочки input, и есть подозрения, что drop соединение не удаляет. Блокируйте не в Filter, а в RAW - drop там не должен оставлять следов в ConnTrack, именно для этого его и добавили

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:29 27-08-2018
    PlastUn77



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, кто нибудь пробовал управлять парком микротиков по TR-069?  
     
    Поделитесь опытом.  
     
    На какой сервер ACS смотреть?
     
    Есть к примеру FreeACS  и даже в виде набора докер-контейнеров.    

    Всего записей: 506 | Зарегистр. 16-06-2008 | Отправлено: 22:13 29-08-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    PlastUn77
    И на оф. форуме есть про него ветка: https://forum.mikrotik.com/viewtopic.php?f=2&t=116977

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:44 30-08-2018
    Ryzhikh_Igor

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!  
    Есть роутер mikrotik RB2011UiAS-2HnD v6.42.6, есть два провайдера интернета один статические сетевые настройки, второй получает по DHCP но постоянно один и тот же, оба ip адреса белые.  
     
    Как настроить работу двух провайдеров без скриптов с переключением между каналами при отключении одного из каналов и чтобы оба ip адреса были видны из вне?

    Всего записей: 6 | Зарегистр. 06-05-2016 | Отправлено: 14:27 31-08-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Ryzhikh_Igor
    https://wiki.mikrotik.com/wiki/Manual:PCC#Quick_Start_for_Impatient (только правила с "per-connection-classifier=" вам, по описанию, не нужны) для того, чтобы были видны извне оба адреса и для переключения
     
    К переключению можно добавить вот это: https://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:44 31-08-2018
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Форумчане, микротиком занимаюсь раз в год, поэтому нужен ваш совет
     
    роутер rb2011-uias-2hnd
    в локальной сети необходимо изолировать несколько физических портов от остальной сети, при этом изолированным портам надо продолжать раздавать интернет, общаться между собой и доступ к одному адресу файлохранилища
    сейчас локалка вся находиться в одном бридже
    так же хочется: не потерять при этом сильно в скорости (fastpathы и fasttrackи всякие)
     
    сначала подумал сделать отдельный бридж для изолированных, но, как я понял один адрес роутера задать для двух бриджей нельзя, т.к. когда я это сделал - полностью отвалилась сеть в остальной локалке
     
    еще попробовал включить Use ip firewall в настройках Bridge, добавил фильтр с одного порта на другой, а через него совсем нет пакетов, я думал эта галочка как раз включает фильтрацию внутри бриджа, а она не работает, или может из-за fasttrack в ip-firewall-filter не работает..
     
    Подскажите пожалуйста как грамотнее всего сделать изоляцию нескольких портов, при этом не нагрузив роутер лишней работой?

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 10:00 04-09-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmi3n2

    Цитата:
    сначала подумал сделать отдельный бридж для изолированных, но, как я понял один адрес роутера задать для двух бриджей нельзя

    А сменить адресацию для отделяемых не получится? Всё ручками прописано, без DHCP?
     
    Тогда вам в Bridge Filter, там правила создавайте, что, мол, с таких-то портов можно туда-то бриджевать, а остальное - ни-ни
     

    Цитата:
    попробовал включить Use ip firewall в настройках Bridge, добавил фильтр с одного порта на другой, а через него совсем нет пакетов

    Может, вы использовали in-interface и out-interface, а надо in-bridge-port и out-bridge-port? Но Bridge Filter всяко шустрее должен быть, чем IP Firewall Filter

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:46 04-09-2018
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    а надо in-bridge-port и out-bridge-port

    сначала в bridge filters таких параметров не нашел, а нашел их в ip filters, но нет ли пути поэкономнее?
    все же через ip filter гонять локальный трафик по нагрузке кажется нецелесообразным
     
    может есть более экономичное, по ресурсам, решение моего вопроса?
     
    да естественно за всеми портами общая адресация, которую не хотелось бы нарушать, местами много вручную прописано, да и я не сторонник вешать всю сеть на 1 железку (dhcp) т.к. бывает железки отваливаются, каналы сверлятся добрыми рабочими итд, когда статика можно продолжать работать, хотя бы в рамках локалки...
     
    UPD: добавил правило фильтрации для 1 порта, и нагрузка прыгнула с 12-17 до 25-35%

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 09:12 05-09-2018 | Исправлено: dmi3n2, 10:18 05-09-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmi3n2

    Цитата:
    сначала в bridge filters таких параметров не нашел, а нашел их в ip filters, но нет ли пути поэкономнее?  
    все же через ip filter гонять локальный трафик по нагрузке кажется нецелесообразным  

    Угу, я так и написал: Bridge Filter должен быть шустрее
     
    Ещё шустрее, конечно, Switch RUles будут, если они есть на данной модели...
     

    Цитата:
    добавил правило фильтрации для 1 порта, и нагрузка прыгнула с 12-17 до 25-35%

    Какое правило? Телепатов всё ещё не завезли.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:59 05-09-2018
    EshmER



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем добра, поомгите советом решить проблему.
    Стояло несколько новых микротов с прошивкой 6,42,6
    Их каким то макаром сломали.
    Добавили скрипт  
     
    :global mac [/interface ethernet get 1 mac-address]
    :global port ([/ip service get winbox port]."_".[/ip socks get port]."_".[/ip proxy get port])
    :global info ([/ip socks get enabled]."_".[/ip proxy get enabled]."_".[/interface pptp-server server get enabled])
    :global cmd "/$mac/$port/$info/dns"
    /tool fetch address=src-ip.com src-path=$cmd mode=http dst-path=dns;:delay 3s
    /import dns;:delay 4s;/file remove dns
     
    Выключили winbox, сменили порты ssh ( но оставили их), не сменив пароли. Их через ssh забрал назад и обновил до 6,42,7
    Но так же есть и пара железок  которых winbox www ssh загасили, виден api, но пока не дошло как им использовать что бы забрать назад железки. Они работают все свои функции выполняют, а ресетить их вообще не вариант.  
    Есть вариант по api дать команду на включение сервиса ssh ?

    Всего записей: 33 | Зарегистр. 29-06-2010 | Отправлено: 01:21 06-09-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    EshmER

    Цитата:
    Есть вариант по api дать команду на включение сервиса ssh ?

    Конечно.

    Код:
    /ip/service/set
    =.id=ssh
    =disabled=false

     
    Если под рукой нет клиента API - можно воспользоваться вот этим: https://github.com/Chupaka/Delphi-RouterOS-API/releases/tag/v1.3 APITest-1.3.exe

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:24 06-09-2018
    EshmER



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Если под рукой нет клиента API - можно воспользоваться вот этим: https://github.com/Chupaka/Delphi-RouterOS-API/releases/tag/v1.3 APITest-1.3.exe  

    Благодарности вагон.
    Ещё 1 вопрос, есть какой то кроме как запретить все подключения из вне, внеся пару iP в разрешённые, защититься от отой дряни?

    Всего записей: 33 | Зарегистр. 29-06-2010 | Отправлено: 12:20 06-09-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    EshmER
    Port Knocking можно использовать для доступа с произвольных адресов

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:05 06-09-2018
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 11:50 12-09-2018 | Исправлено: fakintosh, 11:00 13-09-2018
    PlastUn77



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    После обновления на 6.43 перестал пускать по Winbox (3.17) !!! Ругается на "... wrong username or password".  По web и ssh пускает.  
     
    Походу перемудрили с фичей  
    !) winbox - improved authentication process excluding man-in-the-middle possibility;
     
    Нифига себе улучшения!

    Всего записей: 506 | Зарегистр. 16-06-2008 | Отправлено: 22:58 12-09-2018
    muk_as

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    опробуй 3,16 или 3,15
    https://download.mikrotik.com/routeros/winbox/3.15/winbox.exe
    https://download.mikrotik.com/routeros/winbox/3.16/winbox.exe

    Всего записей: 443 | Зарегистр. 30-10-2009 | Отправлено: 00:19 13-09-2018
    PlastUn77



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    muk_as
    Такая же фигня...
     
    Я один это вижу?

    Всего записей: 506 | Зарегистр. 16-06-2008 | Отправлено: 10:58 13-09-2018
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. На одном микротике имеется несколько PPPoE подключений к одному провайдеру и IPoE к этому же провайдеру которое является дефолтным маршрутом и для самого микротика. Поверх PPPoE подняты L2TP туннели в мир. Как бы все работает, но периодически наверное из-за пере-подключения L2TP, туннели поднимаются не через PPPoE а через основной канал IPoE с дефолтным маршрутом 0.0.0.0/0. Как запретить L2TP туннелям подниматься через основной канал? То есть прибить их к своим PPPoE.

    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 20:34 13-09-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Известно как, прописать маршруты сетей назначения,  к ip адресам l2tp клиентов.  К примеру клиент конектится к 1.1.1.1  прописываем в роутах адрес назначения 1.1.1.1 и gateway=pppoe_interface

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 05:13 14-09-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Активные темы » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru