Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    muk as
    надо делать балансировку между тремя "виртуальными" каналами по 10 Мбит
     
    Light_AS
    не то, чтобы избыточны... уж как-то почти всё легальное разрешают )))
     
    flexman
    если пакеты не метятся - то смотреть, такие ли порты используются, что ли...
     
    Diza

    Цитата:
    но он все вланы в итоге один  

    эммм?..
     
    а в целом - что с чем бриджевалось? конкретные конфиги обсуждать легче, чем абстрактные описания...
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 23:07 21-06-2010
    muk as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [ Chupaka ]
     
    Что в твоем понятии виртуальными? можно привести конфиг правленый для того примера что на сайте?
    ибо у меня белые ипшники, и прописать 2 раза один и тот же ипшник для 1 шлюза будет неверно.
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 23:09 21-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    muk as
    насколько белые? О_о если у каждого юзера белые - то балансировать можно только исходящий, входящий будет валиться так, как в БГП прописано
     
    а "виртуальные" - это значит, что балансируется три канала, только в двух из них шлюзом указывается один и тот же шлюз
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 23:15 21-06-2010
    muk as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    белые от серва до провайдера, а юзеры по нату.
     
    вот привожу пример конфига, следуя вашим указаниям, проверьте верно ли я понял вашу 2 фразу?
     

    Код:
     
    / ip address  
    add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local  
    add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1  
    add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2  
     
    / ip firewall mangle  
    add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn_1
    add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn_2  
    add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn  
     
    add chain=output connection-mark=wlan1_conn_1 action=mark-routing new-routing-mark=to_wlan1_1      
    add chain=output connection-mark=wlan1_conn_2 action=mark-routing new-routing-mark=to_wlan1_2
    add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2  
     
    add chain=prerouting dst-address=10.111.0.0/24  action=accept in-interface=Local  
    add chain=prerouting dst-address=10.111.0.0/24  action=accept in-interface=Local  
    add chain=prerouting dst-address=10.112.0.0/24  action=accept in-interface=Local  
     
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \  
        action=mark-connection new-connection-mark=wlan1_conn_1 passthrough=yes  
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \  
        action=mark-connection new-connection-mark=wlan1_conn_2 passthrough=yes  
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \  
        action=mark-connection new-connection-mark=wlan2_conn passthrough=yes  
     
    add chain=prerouting connection-mark=wlan1_conn_1 in-interface=Local action=mark-routing new-routing-mark=to_wlan1_1  
    add chain=prerouting connection-mark=wlan1_conn_2 in-interface=Local action=mark-routing new-routing-mark=to_wlan1_2  
    add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2  
     
    / ip route  
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1_1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1_2 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping  
     
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=2 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=3 check-gateway=ping  
     
    / ip firewall nat  
    add chain=srcnat out-interface=wlan1 action=masquerade  
    add chain=srcnat out-interface=wlan1 action=masquerade  
    add chain=srcnat out-interface=wlan2 action=masquerade
     
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 23:25 21-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    muk as
    да, как-то перестарался я с описанием %)
     
    достаточно просто увеличить число PCC-правил до трёх, как и сделано, только убрать префиксы _1 и _2 =) т.е. два правила ловят wan1, одно - wan2. соответственно, wan1 получает в два раза больше запросов
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 00:26 22-06-2010
    muk as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    и контрольный конф), так сказать добить, значит поидее все проще, необходимо лишь добавить одно правило и все то?
    ( PCC для балансировки каналов с различной пропускной спобностью )
    пример для wlan1=20mbit wlan2=10mbit
    отличия от данного примера http://wiki.mikrotik.com/wiki/Manual:PCC выделены жирным
     

    Код:
     
    / ip address  
    add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local  
    add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1  
    add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2  
     
    / ip firewall mangle  
    add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn  
    add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn  
     
    add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1      
    add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2  
     
    add chain=prerouting dst-address=10.111.0.0/24  action=accept in-interface=Local  
    add chain=prerouting dst-address=10.112.0.0/24  action=accept in-interface=Local  
     
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \  
        action=mark-connection new-connection-mark=wlan1_conn passthrough=yes  
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \  
        action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \  
        action=mark-connection new-connection-mark=wlan2_conn passthrough=yes  
     
    add chain=prerouting connection-mark=wlan1_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan1  
    add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2  
     
    / ip route  
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping  
     
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping  
     
    / ip firewall nat  
    add chain=srcnat out-interface=wlan1 action=masquerade  
    add chain=srcnat out-interface=wlan2 action=masquerade
     
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 00:43 22-06-2010 | Исправлено: muk as, 00:44 22-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    muk as
    да, именно так =)
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 00:49 22-06-2010
    prejevalski



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть впн сервер на microtik из интернета я к нему подключаюсь но получается только то что весь трафик идет через сервер где mikrotik  
    а надо чтобы клиент подключившийся из интернета имел доступ к локалке и наобарот локалка к клиенту  
    Что нужно менять
    Всего записей: 116 | Зарегистр. 05-05-2009 | Отправлено: 20:40 22-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    prejevalski
    есть подозрение, что надо снять галочку "Использовать шлюз по умолчанию в удалённой сети", а потом в скрипт при подключении дописать добавление маршрута на локалку. к микротику это никакого отношения не имеет
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 21:45 22-06-2010
    prejevalski



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста какое правило должно быть чтобы микротик не дропал EOIP тунель между офисами
    Всего записей: 116 | Зарегистр. 05-05-2009 | Отправлено: 14:53 23-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    prejevalski
    как минимум надо разрешить протокол GRE. возможно, из TCP что-нибудь используется - Tools -> Torch в руки
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 15:28 23-06-2010
    fox96



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите новичку:
    Приобрел Routerboard 750G. Помогите сделать следующее:
    Есть 2 канала интернет, 1- основной Укртелеком (ADSL), 2- VPN соединение с кабельным провайдером (заходит витая пара). Необходимо сделать failover, т.е. когда перестает работать ADSL включается резервный канал, а как только он поднимается переключение на него. В сети нашёл скрипты которые якобы делают эту процедуру, но не совсем уверен то ли это, что мне нужно:
     
    /ip route
    add dst-address=213.180.204.3/32 gateway=192.168.1.1 scope=10 target-scope=10
    add dst-address=93.158.134.3/32 gateway=192.168.2.1 scope=10 target-scope=10
    add gateway=213.180.204.3 routing-mark=ISP1 scope=30 target-scope=30 check-gateway=ping
    add gateway=93.158.134.3 routing-mark=ISP2 scope=30 target-scope=30 check-gateway=ping
    add distance=10 gateway=93.158.134.3 routing-mark=ISP1 scope=30 target-scope=30 check-gateway=ping
    add distance=10 gateway=213.180.204.3 routing-mark=ISP2 scope=30 target-scope=30 check-gateway=ping
     
    Это необходимо добавить в таблицу маршрутизации?
     
    Спасибо за помощь.
    Всего записей: 44 | Зарегистр. 22-10-2005 | Отправлено: 16:06 23-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    fox96
    хех, а если не секрет - где "в сети"? потому что авторство моё %)
     
    для описанного случая подойдёт такая комбинация:
     

    Код:
     
    /ip route
    add dst-address=213.180.204.3/32 gateway=192.168.1.1 scope=10 target-scope=10
    add gateway=213.180.204.3 scope=30 target-scope=10 check-gateway=ping
    add gateway=VPN2 distance=10
     

     
    где 192.168.1.1 - модем первого провайдера, или что там; VPN2 - ppp-интерфейс второго...
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 18:27 23-06-2010
    fox96



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Спасибо, как попробую отпишусь. Надеюсь на вашу помощь, если не разберусь.
    ЗЫ.На форуме микротика, если не ошибаюсь.
    Всего записей: 44 | Зарегистр. 22-10-2005 | Отправлено: 18:41 23-06-2010
    muk as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    и контрольный конф), так сказать добить, значит поидее все проще, необходимо лишь добавить одно правило и все то?  
    ( PCC для балансировки каналов с различной пропускной спобностью )  
    пример для wlan1=20mbit wlan2=10mbit  
    отличия от данного примера http://wiki.mikrotik.com/wiki/Manual:PCC выделены жирным  

    Код:
     
    / ip address  
    add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local    
    add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1  
    add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2  
       
    / ip firewall mangle  
    add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn  
    add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn  
     
    add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1        
    add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2  
     
    add chain=prerouting dst-address=10.111.0.0/24  action=accept in-interface=Local    
    add chain=prerouting dst-address=10.112.0.0/24  action=accept in-interface=Local  
     
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \  
        action=mark-connection new-connection-mark=wlan1_conn passthrough=yes  
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \  
        action=mark-connection new-connection-mark=wlan1_conn passthrough=yes  
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \  
        action=mark-connection new-connection-mark=wlan2_conn passthrough=yes  
     
    add chain=prerouting connection-mark=wlan1_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan1  
    add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2  
       
    / ip route  
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping  
     
    add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping  
    add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping  
       
    / ip firewall nat    
    add chain=srcnat out-interface=wlan1 action=masquerade  
    add chain=srcnat out-interface=wlan2 action=masquerade

     
    и все таки есть косяки у данного конфига - некорректно работает vkontakte.ru(загружает страницу циклично, в браузере пусто), не конектится в ICQ... по примеру изложенному на вики - таких проблем нет - ваши предложения?
     
    пробовал еще так
    в ето виде правил
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \  
        action=mark-connection new-connection-mark=wlan1_conn passthrough=yes  
     
    per-connection-classifier=both-addresses:3/0 менял на
    per-connection-classifier=dst-addresses:3/0 - некорректная работа
    per-connection-classifier=src-addresses:3/0 - корректная работа, но балансировка идет по ип клиентам как я понял, в результате не совсем верная балансировка, необходимо чтобы балансировал именно пакеты, приходящие к клиентам из интернета.
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 21:02 23-06-2010 | Исправлено: muk as, 21:09 23-06-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    muk as
    не понимаю, почему по примеру вики both-addresses работает. вся фишка в том, что на вышеназванных ресурсах адрес сервера может меняться (или серверов несколько), и следующий запрос может идти по другому каналу (натируясь на другой адрес), поэтому сервером отвергается. выход - либо тотальный src-addresses, либо пытаться выделять такие "проблемные" ресурсы, и их обрабатывать по src-addresses, а всё остальное - по both-addresses
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 21:15 23-06-2010
    muk as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    следующий запрос, если идет на другой серв и натится на другой канал, то в этом случае должна вылезти, например, с контакта - страница авторизации, а в аське, например, реконнект. хотя такого не замечал в викишном конфиг-примере, но такое - да, есть некая вероятность, что произойдет.
     
    Но первый то раз мы же можем зайти - как на первую страница контакта, так и в первый раз в аську.
    И вот пример в вики это позволяет делать это, а вышепреведенный измененный конфиг - нет. даже впервый раз не пускает! (. т.е. не пускает на ресурсы вообще, даже в первый раз! (при чем пробовал и роутер(микротик) перезагружать и комп(нат клиент инета) и входить так сказать с чистого листа - и все равно - фиг)
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 21:34 23-06-2010 | Исправлено: muk as, 21:35 23-06-2010
    Oput

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    сорри.
    Всего записей: 14 | Зарегистр. 17-05-2007 | Отправлено: 00:31 24-06-2010 | Исправлено: Oput, 17:31 25-06-2010
    Light_AS



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    в какую сторону смотреть уже и не знаю
    в фаерволе мтика все правила выключены,
    мтик 3.30 х86 172.25.1.242
    вин 2003 172.25.1.200  
    вин хп 172.25.1.10
    впн юзеры в мтике 172.16.0.0/24
     
    подключаюсь по pptp к мтику из winxp - все хорошо инет стабильно работает сутками
     
    создаю в вин 2003 (винда чистая только поставленная) в интерфейсах вызова по требованию pptp подключение, в статических маршрутах задаю маршрут с нулями, инет появляется все как надо работает но через какоето время (промежутки разные 5-20 мин) все отваливается перестает пинговаться как мтик так и все в инете, зато другие ресурсы в сети видны
     
    что может быть такое
    Всего записей: 123 | Зарегистр. 10-02-2007 | Отправлено: 21:50 25-06-2010
    aserCBR

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем, может кто-то сталкивался с такой проблемой: Ставлю Микротик 3.20, перегружаюсь и захожу с винбокса, далее в меню выбираю перезагрузку Микротика, и после перезагрузки комп пишет boot disc failure.
    Всего записей: 3 | Зарегистр. 26-06-2010 | Отправлено: 22:07 26-06-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    LiteCoin: LgY72v35StJhV2xbt8CpxbQ9gFY6jwZ67r

    Рейтинг.ru