Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    вилан навесить на ether1 и ether2, и создать бридж с портами vlan и ether3 (3 порта)
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 16:21 09-09-2011
    SolarW



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Блин, прошу прощения за беспокойство.
    Правильно заданный вопрос - большая часть ответа.
     
    Не знал что 521-й vlan можно создать в двух экземплярах с разными именами и привязками к разным интерфейсам.
     
    Добавлено:
    Chupaka
    Большое спасибо за быстрый ответ, я чего-то сходу не сообразил что так можно делать.
     
    Добавлено:
    На всякий случай спрошу дополнительно - я правильно понимаю что сервисы для работы народа живущего в 521-м vlan (айпишники, pppoe-сервер, dhcp-сервер) надо будет не к ether3 а к бриджу привязывать?
    Всего записей: 892 | Зарегистр. 07-12-2001 | Отправлено: 16:22 09-09-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    надо будет не к ether3 а к бриджу привязывать

    именно так
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 16:30 09-09-2011
    slech



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    пара вопросиков есть:
    1. нужен бэкап - это будет 3G. IP как следствие динамический.
    3G должен висеть бэкапом. сможет ли он в таком случае использовать dyn.com ?
    Зайти и отметиться, что у него сменился IP например, хотя поидее это он сделать сможет только в том случае если упадёт основной или будет переключение на резерв. Тогда он пойдёт и отметится.
     
    2. Автопереключение на бэкап.
    Решение из вики(кстати твоё вроде) реализовал у себя на Orange+Starnet. Всё работает как задуманно.  
    Встречал помоему твои с кем-то решения в случае с динамическим IP(вы там про Arax рассуждали и 3G).
    Удастся ли настроить автопереключение на запасной канал у которого динамический IP ?
     
    Спасибо.
    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 18:03 09-09-2011
    wwwwwww7

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka, а можно заменить эту страницу другой и как это сделать. Удалить страницу ошибки из file list и вставить свою.
    Активировать web proxy setting. Надо ли что то менять в этой закладке?
    /ip proxy
    set enabled: yes
    set src-address: 0.0.0.0
    set port: 8080
    set parent-proxy: 0.0.0.0:0
    set cache-drive: system
    set cache-administrator: "webmaster"
    set max-disk-cache-size: none
    set max-ram-cache-size: none
    set cache-only-on-disk: no
    set maximal-client-connections: 1000
    set maximal-server-connections: 1000
    set max-object-size: 512KiB
    set max-fresh-time: 3d
    Надо настраивать nat?
     
    /ip firewall nat
    add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080
     
    Надо ли создавать правило в ip firewall filter если создать адрес лист , допустим droping  в который будут заносится ip адреса которые надо посылать на эту страницу.
     А на ip web proxy в закладке access action=deny, а еще что то надо?
     
    Всего записей: 104 | Зарегистр. 12-10-2009 | Отправлено: 18:49 09-09-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    технический вопрос, например имеется две внешних канала заведенных по PPPoE на RB450G, один белый другой серый (два веселых гуся , мне бы книжки писать ), NAT, есть например один ПК пакеты которого помечены в мангле для роутинга и далее эта метка направлена на второй внешний (серый) канал, как бы все нормально трафик от этого ПК идет по этому каналу, что мне не понятно:
    захожу в 450 -> ping выбираю второй PPPoE интерфейс через который ходит ПК и пингую белый IP первого интерфейса, все хорошо пинги идут 20мs (канал ADSL у нас такие пинги) понятно что пинг идет через интернет, далее пробую попинговать с ПК это белый IP он пингуется но пинги 0ms это я так понимаю ПК пингует этот интерфейс не через инернет а напрямую, тогда вопрос - почему? ведь весть трафик этого ПК завернут на второй интерфейс и пинговать он этот белый IP должен через интернет.
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 21:47 09-09-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    wwwwwww7
    вроде всё правильно
     
    vlh
    не должен. если пакет приходит на адрес роутера - то он обрабатывается самим роутером. если нет - маршрутизируется дальше по цепочке
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 16:29 10-09-2011
    wwwwwww7

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka удалил страницу ошибки из file list и вставил свою, но при занесении ip адресов в список droping в браузере выскакивает страница ошибки а не моя
    На странице это:
     
    ERROR: Forbidden
     
    While trying to retrieve the URL http://www.rambler.ru/:
     
        Access Denied
     
    Your cache administrator is webmaster.
    Generated Sat, 10 Sep 2011 16:21:27 GMT by 192.168.88.1 (Mikrotik HttpProxy)
     
     
    В правилах nat:
    /ip firewall nat
    add chain=dstnat protocol=tcp dst-port=80 src. address list=droping action=redirect to-ports=8080
    Всего записей: 104 | Зарегистр. 12-10-2009 | Отправлено: 17:01 10-09-2011 | Исправлено: wwwwwww7, 17:27 10-09-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    slech

    Цитата:
    сможет ли он в таком случае использовать dyn.com ?

    а сейчас может? а то напоминает анекдот про "Доктор, а после операции я смогу играть на скрипке?"
     

    Цитата:
    Удастся ли настроить автопереключение на запасной канал у которого динамический IP ?

    смотря какой способ выхода в Интернет. впн? прямой доступ?
     
    Добавлено:
    wwwwwww7

    Цитата:
    в браузере выскакивает страница ошибки а не моя  

    какая версия? в имени файла регистр не мог случайно поменяться?..
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 22:17 10-09-2011
    wwwwwww7

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    RB750 версия 5.6
    Файлу присвоил то же имя что и было webproxy/error.htm
    Всего записей: 104 | Зарегистр. 12-10-2009 | Отправлено: 23:12 10-09-2011 | Исправлено: wwwwwww7, 23:15 10-09-2011
    sayan



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть RB750 v 5.6 с внешним белым ip=212.x.x.x  через него раздается инет в локальную сеть. сделал проброс порта rdp на внутренний сервер 192.168.1.101  
     
    /ip firewall nat add chain=dstnat dst-address=212.x.x.x protocol=tcp dst-port=
    3389 action=dst-nat to-addresses=192.168.1.101  to-ports=3389
     
    но с инета не могу зайти на сервер по rdp. перечитал тему на ру-борде , но что-то  ответа не нашел. наверно что-то в других правилах файерволла.
     
    сильно прошу не пинать - новичок с микротиком.
    Всего записей: 195 | Зарегистр. 04-06-2003 | Отправлено: 10:03 12-09-2011
    BlackLabel



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    sayan
    Вроде надо так  
     
    /ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389
    Всего записей: 1066 | Зарегистр. 14-04-2004 | Отправлено: 10:18 12-09-2011
    slech



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    а сейчас может? а то напоминает анекдот про "Доктор, а после операции я смогу играть на скрипке?"  

    это пока подготовка к покупке конфигурации
    я как бы о том что второй канал будет в резерве и через него ничего работать не будет - пока не будет на него переключения.
    я не настраивал dyn.com посему незнаю как оно будет отрабатывать. ну ок. значит нужно покупать и пробовать настраивать. поидее отработает когда будет переключение на бэкап и отдаст новый IP.

    Цитата:
    смотря какой способ выхода в Интернет. впн? прямой доступ?  

    я так понимаю что речь идёт о PPP.
    Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 10:58 12-09-2011 | Исправлено: slech, 11:07 12-09-2011
    BigElectricCat

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sayan
    а передача пакетов из интернета в локалку разрешена? у меня на днях было аналогичное… не ходило, хотя с правилами всё нормально, до тех пор пока не добавил:
    chain=forward action=accept dst-address=«адрес сервера в локалке» in-interface=internet out-interface=ether1  
     
    PS: надо добавить что у меня рубится всё за исключением дозволенного.
    Всего записей: 1401 | Зарегистр. 20-12-2006 | Отправлено: 11:35 12-09-2011 | Исправлено: BigElectricCat, 11:39 12-09-2011
    sayan



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    не работает ,
     вот перечень правил (eth1-wan, eth2 - lan)
     
     
    [admin@MikroTik] >> ip firewall nat print  
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=srcnat action=masquerade src-address=192.168.1.0/24  
     
     1   chain=dstnat action=dst-nat to-addresses=192.168.1.101 protocol=tcp dst-address=212.х.х.х dst-port=3389  
     
     2   chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2  
     
     
    Всего записей: 195 | Зарегистр. 04-06-2003 | Отправлено: 12:08 12-09-2011
    BlackLabel



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Сравни .. у меня так отлично работает и не важно что там пробрасывать Radmin или RDP
     
    [admin@MikroTik] > /ip firewall nat print  
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=srcnat action=masquerade src-address=10.180.1.0/24 out-interface=pppoe-out1  
     
     1 X ;;; Radmin
         chain=dstnat action=dst-nat to-addresses=10.180.1.4 to-ports=4899 protocol=tcp dst-port=4899  
     
     
     
     
    Добавлено:
    ну и еще тут смотри может что запретил ??  
    /ip firewall filter print
    Всего записей: 1066 | Зарегистр. 14-04-2004 | Отправлено: 12:53 12-09-2011
    sayan



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [admin@MikroTik] >> ip firewall nat print  
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1  
     
     1   chain=dstnat action=dst-nat to-addresses=192.168.1.101 to-ports=3389 protocol=tcp dst-port=3389  
     
    /ip firewall filter print - тут пусто
     
    все равно не конектится.
    Всего записей: 195 | Зарегистр. 04-06-2003 | Отправлено: 13:24 12-09-2011
    BlackLabel



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    sayan А собсна сам нат то работает ? интернет есть ?? а то у тебя сначала было  
     
    chain=forward action=accept dst-address=192.168.1.101 in-interface=eth1 out-interface=eth2  
     а стало  
    chain=srcnat action=masquerade src-address=192.168.1.0/24 out-interface=eth1
    Всего записей: 1066 | Зарегистр. 14-04-2004 | Отправлено: 17:46 12-09-2011
    muk_as

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    как сделать проброс порта - предельно ясно, а вот как сделать чтобы разрешить входящие во вкладке firewall
     
    просьба объяснить на основе етого примера
    http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
     
    Добавлено:
    filter print

    Код:
     
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=forward action=accept protocol=tcp dst-address=10.0.0.2  
         in-interface=!1 slot dst-port=9987  
     
     1   chain=forward action=accept protocol=udp dst-address=10.0.0.2  
         in-interface=!1 slot dst-port=9987  
     
     2   ;;; Drop invalid connection packets
         chain=input action=drop connection-state=invalid  
     
     3   ;;; Allow established connections
         chain=input action=accept connection-state=established  
     
     4   ;;; Allow related connections
         chain=input action=accept connection-state=related  
     
     5   ;;; Allow UDP
         chain=input action=accept protocol=udp  
     
     6   ;;; Allow ICMP Ping
         chain=input action=accept protocol=icmp  
     
     7   ;;; Access to router only for admin
         chain=input action=accept src-address=192.0.0.253  
     
     8   ;;; Access to router only for admin
         chain=input action=accept src-address=192.0.0.254  
     
     9   ;;; All other inputs drop
         chain=input action=drop  
     

     
     
    nat print  

    Код:
         
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=9987 protocol=tcp  
         dst-address=178.255.x.y dst-port=9987  
     
     1   chain=dstnat action=dst-nat to-addresses=10.0.0.2 to-ports=9987 protocol=udp  
         dst-address=178.255.x.y dst-port=9987  
     
     2   chain=srcnat action=masquerade out-interface=1 slot
     
     3   chain=srcnat action=masquerade out-interface=2 slot
     

     
    Добавлено:
    RB 750G v5.5
    Всего записей: 444 | Зарегистр. 30-10-2009 | Отправлено: 01:24 13-09-2011
    sayan



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    BlackLabel
    инет работает без проблем.
    уже кучу вариантов правил пробовал, по torch-у смотрю пакеты приходят но не уходят.
    буду еще читать и пробовать  
     
    Добавлено:
    вопрос вдогонку  
    лучше создать бридж между внутренним и внешним интерфейсом или прописать роут?
    Всего записей: 195 | Зарегистр. 04-06-2003 | Отправлено: 09:48 13-09-2011 | Исправлено: sayan, 14:25 13-09-2011
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru