ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

dea_appolo Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka  дбрый день. Подскажите  великодушно.   Есть Две базы rb433 ап-бридж (level4) и несколько клиентов rb411 бридж (level3). Режим WDS.   Как заставить базы устанавливать связь только с теми  клиентами, которые  прописаны в Access List. И точно так же,  как заставить клиентов устанавливать  связь только с теми  базами, которые  прописаны в Connect List.   Они не слушаются и соединяются  как попало.   С уважением,   Всего записей: 28 | Зарегистр. 29-02-2008 | Отправлено: 13:42 13-06-2011 | Исправлено: dea_appolo, 13:51 13-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dea_appolo а правило "deny all" в конце списков добавляется? Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 17:27 13-06-2011

dea_appolo Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   нет не добавляется.   и rb433  и в rb411  версия v5.4. Из под винокса: Wireless - Wireless Tables - Access List или Wireless - Wireless Tables - Connect List в них можно добавить "+" только "New AP Access Rule" либо "New Station Connect Rule", в которых вводится Интерфейс, МАК и т.п. Особых правил для ввода  там  не предусморенно.   С уважением.   P.S. я даже  пытался на интерфейсах указывать arp replay-only и прописывал в ARP только разрешенные, но это тоже не помогало.   Всего записей: 28 | Зарегистр. 29-02-2008 | Отправлено: 19:23 13-06-2011

yahan2 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может кто знает как в firewall разрешить трафик, который открывается через UPnP? Хочу настроить firewall по принципу все запрещено, кроме того, что разрешено.   Для портов открытых по UPnP трафик идет в input, а потом в forward. Получается, надо открыть все порты на input снаружи и разрешить forward снаружи в локальную сеть, а из локальной сети разрешить весь established/related.   При таком раскладе смысл в файрволе практически теряется Всего записей: 112 | Зарегистр. 20-10-2005 | Отправлено: 21:42 13-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору dea_appolo в Мелкотике всё, что не запрещено - разрешено. поэтому после всех правил в самый низ Connection List нужно добавить ещё одно правило: ничего не указывать (это будет ловить любые подключения, не попавшие в предыдущий список) и снять флажок "Connect" - это правило и будет отбрасывать всё остальное   Цитата: Для портов открытых по UPnP трафик идет в input, а потом в forward трафик идёт либо в input, либо в forward. в input, видимо, идут сами UPnP-запросы, а в forward - непосредственно соединения   не совсем понятно, что именно хочется сделать. Цитата: разрешить forward снаружи в локальную сеть, а из локальной сети разрешить весь established/related - это разрешит входящие подключения, запретив исходящие Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 00:00 14-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: В микротике 2048-bit MODP group поставить невозможно. Что подскажете делать??? видимо, обновляться - как минимум в версии 5.4 всё есть: Код: [admin@Alpha] > /ip ipsec proposal add pfs-group= ec2n155  modp1024  modp2048  modp4096  modp768 ec2n185  modp1536  modp3072  modp6144  none     [admin@Alpha] > /ip ipsec proposal add pfs-group=   Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 12:56 14-06-2011

Alexsashko Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору посоветуйте пожалуйста где лучше  купить лицензию MikroTik? Всего записей: 40 | Зарегистр. 26-03-2010 | Отправлено: 15:24 14-06-2011

dea_appolo Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   я сделал по вашему  совету. базы с клиентами коннектятся  теперь как надо.   Большое спаисбо за  помощь.   С уважением. Всего записей: 28 | Зарегистр. 29-02-2008 | Отправлено: 17:57 14-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Цитата: ipv4-options=no-timestamp это правило отбора пакетов, а не воздействия на них, поэтому оно менять ничего не будет. ловит те пакеты, у которых в заголовке IPv4 не установлена опция Timestamp. сама опция используется преимущественно для тестирования, как говорит Цицковская дока Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 12:38 15-06-2011

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: gloomymen как бы черным по английски   как бы из этого мануала ни чего не почерпнул, по этому и задал тут вопрос. написано, что опция ipv4 ну и что дальше? что это опция и так понятно, вопрос был на что она способна, и ответ получен - для информации не более того, за что отдельное спасибо.... не будем называть его имени Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 20:04 15-06-2011

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: gloomymen т.е. пакет содержит = совпало дуем в target, нет -на нет и суда нет   вот именно это где написано в мануале? особенно "нет -на нет и суда нет".   Цитата: дело-то понятное, чужие мозги дешевле   ну это вы зря, мануал тоже чужими "мозгами" написан однако все и вы в том числе его тоже читаете но кто то уловил суть написанного автором, а кто нет, для этого и существуют форумы.... не так ли? вспомните школу, вуз, есть преподаватели которые очень доходчиво излагают материал, а есть, что и с   нескольких раз не поймешь, что за тема то...   Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:40 15-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: за описаниями на микротик нужно теперь к сиськам ходить? вообще-то базовая инфа из мануала и почерпнута. а вот подробности о заголовке IP-пакетов и конкретных флагах - из Цисководовских манов, ибо именно они всегда отличались детализацией   Добавлено: Dimsoft Цитата: сделать еще 4 интерфейса с разными VLAN ID ну, не с разными, а с теми же - 1,2,3,4. только имена другие по-другому... можно попробовать в бридж ether1 и ether2 впихнуть - может, и теггированный трафик побежит Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 22:36 15-06-2011

Dimsoft Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: можно попробовать в бридж ether1 и ether2 впихнуть Chupaka в первом порту провайдер - мне не хочется весь дом в родную локалку пускать   2 all перешел на 5.4 и сломалась pxe загрузка с tftp в логе пишел tftp error permission denied как поправить ?   (откат на 4.17 не помог ) Всего записей: 2788 | Зарегистр. 17-11-2003 | Отправлено: 08:48 16-06-2011

yahan2 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Что-то ipsec не получается нормально настроить. Создал ip2ip туннель, без шифрования внутренние ip туннеля пингуются без проблем. Как только включаю ipsec пинги перестают идти, при этом SA создаются нормально. В лог ipsec ничего не пишет. Что это может быть? HELP!!!   Вот мои настойки по ipsec: /ip ipsec proposal set default auth-algorithms=sha1 comment="" disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024 /ip ipsec peer add address=1.1.1.1/32:500 auth-method=pre-shared-key comment="" dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=PASSWD send-initial-contact=yes /ip ipsec policy add action=encrypt comment="" disabled=no dst-address=1.1.1.1/32:any ipsec-protocols=esp level=require priority=0 proposal=default protocol=ip-encap sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32:any tunnel=no   На другом хосте аналогично, только 1.1.1.1 и 2.2.2.2 местами поменял пробовал играться с dpd-interval, generate-policy - не помогает В микротике по ipsec какую-то отладку можно включить?     Добавлено: В общем, сделал disable: ipsec policy, ipsec peer и ip2ip теннеля Потом все обратно включил - заработало. Как-то пугает перспектива отваливания vpn... Наблюдаю дальше. В системном логе Микротика никаких ошибок нет - странно все это. Всего записей: 112 | Зарегистр. 20-10-2005 | Отправлено: 16:46 16-06-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: в первом порту провайдер - мне не хочется весь дом в родную локалку пускать   фильтры бриджа и файрвола как раз и существуют для того, чтобы кого-нибудь куда-нибудь не пускать Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 19:26 16-06-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование