ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

A N D R E J Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору jfx Цитата: Есть dhcp сервер с прописанными соответствиями mac->ip. Как банить тех у кого ip не совпадает с mac? Надо наоборот - пускать только тех, у кого пара IP-MAC совпадает. В firewall`е создаешь правила типа forward с нужными параметрами Src. Address и Src. MAC Address. Сколько пользователей столько и правил будет. Всего записей: 356 | Зарегистр. 03-05-2008 | Отправлено: 14:41 26-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору A N D R E J А не проще на группу создать правило? 1 правило на всю группу. хоть на 100 компов. src-address-list=USER dst-address-list=USER Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 14:49 26-12-2011

jfx Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ramzes83 Цитата: всех в APR, и в интерфейсе включить APR в reply-only Спасибо, то что нужно. Всего записей: 3082 | Зарегистр. 06-02-2003 | Отправлено: 15:17 26-12-2011

A N D R E J Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ramzes83, как с помощью групп "привязать" IP-адрес выданный каждому конкретному пользователю к его MAC-адресу? Всего записей: 356 | Зарегистр. 03-05-2008 | Отправлено: 15:43 26-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sumyst я так понимаю, суммирование делается ручками и через фильтры   Ссылка   Цитата: Роутер B начинает видеть Все сети за A но не суммированные. а суммированные появляются на роутере? они должны автоматом добавляться в таблицу маршрутов как unreachable   Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:11 26-12-2011 | Исправлено: Chupaka, 16:13 26-12-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ты немного недопонял.   обясняю подробнее:     Сеть 10.0.2.0/23 - РоутерА1 -- OSPF (AreaA) -РоутерА ---OSPF(backbone)-- РоутерБ -- OSPF(AreaB)--РоутерБ1 на роутере Б и Б1 должны знать только о /24х битном куске   Тоесть как видно из хемы, Роутер А уже знает об этой сети по ОСПФ если я добавлю какой то статик, да ещё и с гейтом, то пакеты будут уходить явно не туда. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 16:46 26-12-2011 | Исправлено: sumyst, 17:21 26-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: пытаюсь сделать так:     area=backbone range=10.0.3.0/24 cost=calculated advertise=yes   на роутере Б этой сети не появляется. так и не должно - появится только тогда, когда в этой area будет ospf-роут из данной подсети...   Цитата: Созадю роут   dst-address=10.0.3.0/24 type=blackhole distance=254 видимо, вместо "type=blackhole" надо "gateway=A" - другого пути я сильно не вижу... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:11 26-12-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Блин вместо добавить сообщение нажал "отредактировать" Сообщение выше. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 17:22 26-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору о какой именно сети знает РоутерА? если /24 - то только её и анонсировать, а /23 зафильтровать. если мельче - то добавить /24 type=unreachable, её анонсировать, остальное зафильтровать. если крупнее - то /24 надо добавить с правильным гейтвеем, и далее по накатанной Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:29 26-12-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: о какой именно сети знает РоутерА? если /24 - то только её и анонсировать, а /23 зафильтровать. если мельче - то добавить /24 type=unreachable, её анонсировать, остальное зафильтровать. если крупнее - то /24 надо добавить с правильным гейтвеем, и далее по накатанной   Роутер А знает о сети 10.0.2.0/23 А вот роутер Б должен знать только о сети 10.0.3.0/24.   Добавить статиком с правильным гейтом мне кажется выход несколько неправельный. Т.К от роутера сети 10.0.2.0 до роутера А может быть несколько разных динамических маршрутов. Там почти полносвязная на уровне l3 сеть и маршрутизация распространяется динамически в зависимости от... Так что на мой взгляд самым верным было бы фильтровать исходящие именно с роутера А. Ну или каким то образом заставить роутер А суммировать в отрицательную сторону и анонсировать сеть меньшей чем она есть на самом деле. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 18:01 26-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Роутер А знает о сети 10.0.2.0/23 точно только о ней? ничего мельче нет?   Цитата: Так что на мой взгляд самым верным было бы фильтровать исходящие именно с роутера А угу, только надо где-то "родить" сетку /24. я вообще слабо представляю, в какой структуре сети может появиться необходимость таких шаманских анонсов, поэтому не могу комментировать, где именно это лучше сделать...   з.ы. а если добавить BGP с единственным этим маршрутов - и сделать Redistribute BGP Routes? xD Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:26 26-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору A N D R E J IP привязывается к MAC в ARP таблице.затем Цитата: в интерфейсе включить APR в reply-only а разрешающее правило для выхода ip в инет создавать не на каждый отдельный адрес, а на группу, в которую предварительно будут помещены твои ip (ip-firewall-Address List) Chupaka У меня небольшая проблема. Рулить торрент клиентом через инет. µTorrent. для него получается следующее http://127.0.0.1:50/gui/   add action=dst-nat chain=dstnat comment="" disabled=no \     dst-port=50 protocol=tcp to-addresses=10.10.0.80 но без ввода /gui/ даже в локалке не подключается.. Как это организовать? подключаюсь http://ip.mikrotik:50/  Скорее всего что-то не так делаю, так как аналогично не могу открыть доступ к вебкамере...   add action=dst-nat chain=dstnat disabled=no dst-port=81 protocol=tcp \    to-addresses=10.10.0.81 to-ports=80 подключаюсь http://ip.mikrotik:81/ В фаерволе никаких запрещающих правил нет (только эти) Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 23:40 26-12-2011 | Исправлено: ramzes83, 00:16 27-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ramzes83 Цитата: В фаерволе никаких запрещающих правил нет (только эти) форменное издевательство... эти же правила запрещают все входящие подключения - сфига ли они будут разрешать входящие подключения на uторрент, если они от этого менее входящими не становятся?   wwwwwww7 Цитата: выставлял, делал ребут, но в status пишет 100мб и светодиод зеленый на 100мб надо Auth Negotiation выключить Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:41 27-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору "форменное издевательство... " прошу прощения) я только учусь) С управлением торрентами потом разберусь  тут беда еще.. днем около часа у провайдера проблемы были, сейчас инет есть, но винбоксом звне не могу подключиться.  0   ;;; winbox access to router      chain=input action=accept protocol=tcp dst-port=8291   порты перебирает, и в конце выдает "refused"... Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 17:09 27-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ramzes83 форменное издевательство - 2?.. там же правила запрещают входящие из инета подключения Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:59 27-12-2011

A N D R E J Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ramzes83 Цитата: IP привязывается к MAC в ARP таблице.затем Цитата: в интерфейсе включить APR в reply-only а разрешающее правило для выхода ip в инет создавать не на каждый отдельный адрес, а на группу, в которую предварительно будут помещены твои ip (ip-firewall-Address List)   Да, так даже правильней. Но у меня подключенных клиентов немного (максимум будет 32 шт.) поэтому создать в фаерволе на каждого своё правило не проблема, да и мне так проще их отключать/включать. Цитата: тут беда еще.. днем около часа у провайдера проблемы были, сейчас инет есть, но винбоксом звне не могу подключиться.  0   ;;; winbox access to router      chain=input action=accept protocol=tcp dst-port=8291   порты перебирает, и в конце выдает "refused"... Не думаю что провайдер специально заблокировал порт 8291. Скорее всего надо ребутнуть роутер. Всего записей: 356 | Зарегистр. 03-05-2008 | Отправлено: 19:17 27-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka форменное издевательство - 2?. Ни в коем случае. Еще вчера все прекрасно работало. И не один день,  после множественных ребутов. При том, что разрешающее правило для винбокса стоит первым. Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 08:59 28-12-2011 | Исправлено: ramzes83, 09:44 28-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ramzes83 Цитата: разрешающее правило для винбокса стоит первым ну, я-то к гадалке не ходил какая версия оси? отключение/включение службы winbox в IP -> Services что-нибудь меняет? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:53 28-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ROS 5.9 После повторного переключения  служб, связь появилась.  Глюк.. Спасибо а как быть с торрентом/камерой?Например к вебкамере подключаюсь из локалки http://10.10.0.81/ далее логин пароль. из вне  http://95.29.xx.xx:81/ ip firewall filter: chain=forward action=accept protocol=tcp dst-port=81 NAT chain=dstnat action=dst-nat to-addresses=10.10.0.81 to-ports=80 protocol=tc>     dst-port=81 в первом правиле тишина. Во втором (NAT) пакеты идут но соединения нет.  Решено. Пришлось добавить правило NAT chain=srcnat action=masquerade out-interface=!corbina-l2tp Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 14:02 28-12-2011 | Исправлено: ramzes83, 12:03 29-12-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование