Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части темы
 
Официальный сайт
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике  [?]
 
актуальные версии RouterOS:
Stable: 7.19.3 changelogs Testing: 7.20b6
Stable: 6.49.19 Long-term: 6.49.18

актуальная версия SwitchOS: 2.19
актуальная версия WinBox: 3.42 32/64-bit Подробнее... [?]

Mikrotik — Плюсы и минусы [?]


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти [?]



Официальная документация:
  • MikroTik Documentation
  • Packet Flow in RouterOS (важно знать для понимания сути происходящего в файрволе и шейпере)
  • News
  • Система управления пользователями встроенная в RouterOS (RADIUS server)

    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1, №2        Подробнее... [?]
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... [?]
    "Хардварные решения"
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее... [?]    История релизов  Подробнее... [?]
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти [?]
    Обсуждение ROS(форумы)    Перейти [?]
    Обзоры продуктов RouterBOARD    Перейти [?]


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
    pvsm.ru   ... [?]
     
     
         
     
     
         
     
     
     



    Смежные ресурсы [?]
     
    VPN + OSPF в картинках. [?]
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки.. [?]

  • Всего записей: 4464 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 15:33 15-07-2025
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Maxlinus

    Цитата:
    Арендуем сервер wireguard за границей

    арендовать всё можно были бы деньги а главное возможность оплатить, оплаты в рублях наверняка не принимают.
    а список ютуба более полный можно скачать тут, и по тестам тоже кажется не полный.
     
    https://raw.githubusercontent.com/pikasyme/YouTube/main/YouTube_IPv4_CIDR.rsc

    Всего записей: 1552 | Зарегистр. 29-08-2005 | Отправлено: 13:29 06-01-2025
    Maxlinus



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    я поделился рабочим конфигом, оплатили всё рублями, и того списка хватает

    Всего записей: 259 | Зарегистр. 06-12-2011 | Отправлено: 20:29 08-01-2025
    andrey7617



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Maxlinus  
    Уважение красавчик !!! Ат души !!!

    Всего записей: 198 | Зарегистр. 24-09-2013 | Отправлено: 18:47 10-01-2025
    andrey7617



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день уважаемые форумчане ...
    прошу помощи у гуру ...
     
    Поднял впн сервер wiregard на арендованном сервере убунту
    воспользовался этой инструкцией ...
    https://www.youtube.com/watch?v=5Aql0V-ta8A&t=313s&ab_channel=%D0%94%D0%B8%D0%B4%D0%B6%D0%B8%D1%82%-D0%B0%D0%BB%D0%B8%D0%B7%D0%B8%D1%80%D1%83%D0%B9%21
    здесь в тексте команды которые вводил
    https://t.me/t0digital/32
     
    все сделал по иснтрукции выше и получил файл wiregard.conf ...
    На ПК За микротиком подключаюсь к ВПН без проблем с помощью виндовс клиентам wiregard указывая файл wiregard.conf ...
    На андроиде который по вайфай подклчен к микротику скачал приложение wiregard подключился к ВПН указывая файл wiregard.conf ...
     
    файл выглядит так
     
    [Interface]
    PrivateKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Address = 10.0.0.2/32
    DNS = 8.8.8.8
     
    [Peer]
    PublicKey = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    Endpoint = xxx.xxx.xxx.xxx:51860
    AllowedIPs = 0.0.0.0/0
    PersistentKeepalive = 20
     
     
    Никак не могу заставить микроитк подключиться (((
    пробовал и эту инстуркцию
    https://kiberlis.ru/mikrotik-wireguard-client/
    и эту
    https://itdraft.ru/2022/01/31/mikrotik-wireguard-v-kachestve-wireguard-klienta-peer/
     
    в фаерволе все отключено ...
     
    Создаю интерфейс wireguard1 - PublicKey пытался
    - как вставлять из файла wiregard.conf
    - так и сгенерированыый миктротиком вставлять в peer (/etc/wireguard/wg0.conf) на сервере ну и перезагружать службу (restart wg-quick@wg0)
     
    так же создаю PEER1 указываю интерфейс wireguard1 - PrivateKey, PublicKey, Edpoint, Edpoint port беру из wiregard.conf ...
    allowed adrees ставлю 0.0.0.0/0
     
    IP -> Addresses
     
    Address: 10.0.0.2/24
    Network: 10.0.0.0
     
    IP -> Routes
     
    Dst Address: 10.0.0.0/24
    Gateway: wireguard1
    Distance: 0
     
    все стоит ...
     
     
    Не до конца понимаю preshsred key нужно ли заполнять ? и от куда его брать ???
     
    И ничего не происходит блин ((( c микротика не пингуется 10.0.0.1 ну и в интфейсе видно что никакие пакеты не идут ...
     
    Подскажите пжл что я делаю не правильно ? и как заставить микротик подключиться к wiregard серверу ???
     
    Заранее огромное спасибо !!!

    Всего записей: 198 | Зарегистр. 24-09-2013 | Отправлено: 15:18 12-01-2025
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    andrey7617

    Цитата:
    Address: 10.0.0.2/24

    вам ip адрес в конфиге wireguard выдали с какой маской, почему вы ставите маску 24
    маска у адреса и подсеть должна быть 32, вы же подключаетесь как клиент на микротике а не сервер настроен.
    10.0.0.2
    10.0.0.2
     

    Цитата:
    Не до конца понимаю preshsred key нужно ли заполнять ? и от куда его брать ???

    дополнительный ключ пароля как в ipsec для повышения безопастности
    если его не дали значит он не нужен и заполнять в этом поле ни чего не надо.
     
     

    Код:
    /interface wireguard add comment="" listen-port=61621 mtu=1420 name=wg_connect01 private-key="nxUow7W66ijflfC0h/S5fJCrgs="
    /interface wireguard peers add allowed-address=0.0.0.0/0 endpoint-address=srv1.domain.com endpoint-port=51860 interface=wg_connect01 name=peer_connect01 persistent-keepalive=30s public-key="nxUwnrow7W66ijflfC0h/S5fJCrgs="
    /ip address add address=10.0.0.2 comment="IP Address for WireGuard Inet 01" interface=wg_connect01 network=10.0.0.2
     

     
    во втором правиле порт который выдан в конфиге, в первом правиле можете прописать свой желательно постоянный, так как на порты и ip адреса будут создаваться разрешающие правила в фаере, не всему интернету же разрещать.
     
    в первом правиле порт должен быть уникальным, если у вас несколько подключений, то у каждого свой порт

    Код:
     
    /interface wireguard add comment="" listen-port=61621 mtu=1420 name=wg_connect01 private-key="nxUow7W66ijflfC0h/S5fJCrgs="
    /interface wireguard add comment="" listen-port=61622 mtu=1420 name=wg_connect02 private-key="nxUow7W66ijflfC0h/S5fJCrgs="
    /interface wireguard add comment="" listen-port=61623 mtu=1420 name=wg_connect03 private-key="nxUow7W66ijflfC0h/S5fJCrgs="
    /interface wireguard add comment="" listen-port=61624 mtu=1420 name=wg_connect04 private-key="nxUow7W66ijflfC0h/S5fJCrgs="
     

     
    правила в фаере разрешающие трафик с адресов к каким подключаемся

    Код:
    /ip firewall filter add action=accept chain=input comment=allow_input_wireguard src-port=51860 in-interface=ether1 protocol=udp src-address-list=list_allow_srv
    /ip firewall filter add action=accept chain=input comment=allow_input_wireguard dst-port=61621 in-interface=ether1 protocol=udp  src-address-list=list_allow_srv
     

     
    плюс маршрут прописан в роутах, указан интерфейс wg_connect01  а не адрес
     
    в мангле прописаны правила к каким ресурсам и кого направлять в тунель wireguard
     
     
    при нормальном подключении у пира в окошке Last Handshake будет время каждые 2 минуты сбрасываться и начинаться с начала счет.
    при не работающем подключении время будет идти бесконечно.

    Всего записей: 1552 | Зарегистр. 29-08-2005 | Отправлено: 16:22 14-01-2025 | Исправлено: alexnov66, 19:23 14-01-2025
    YuraseK

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Если кто-то пользуется x86 версией RouterOS и столкнулся с проблемой увеличивающегося счётчика Tx Queue Drops для интерфейса, то в качестве решения нужно изменить в Queues > Interface Queues для проблемного интерфейса значение параметра Queue Type с only-hardware-queue на multi-queue-ethernet-default. После этого по моим наблюдениям значительно снизилась нагрузка на процессор при интенсивном TCP траффике.
    P.S. Поспешил с выводами: спустя 30 секунд после начала tcp теста пропускной способности на приём и передачу скорость начинает падать вплоть до 1/4 от максимального значения.

    Всего записей: 575 | Зарегистр. 12-12-2003 | Отправлено: 12:48 01-02-2025 | Исправлено: YuraseK, 18:01 01-02-2025
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вопрос про Wireguard на микротике и планшет на Android 15
     
    на микротике поднят сервер, на планшете сделан импорт конфигурации
     
    конфиг выглядит так:

    Цитата:
    [Interface]
    Address = 192.168.5.2/32
    PrivateKey = android_private_key
    DNS = 8.8.8.8
     
    [Peer]
    AllowedIPs = 0.0.0.0/0, ::/0
    Endpoint = 113.114.115.116:43210
    PersistentKeepalive = 25
    PublicKey = mikrotik_public_key

    в фаерволе udp инпут на 43210 разрешён, маскарад для 192.168.5.0/24 включен
     
    подключение происходит быстро, но интернета на планшете нет, ничего с него не пингуется
    наличие/отсутствие Private DNS на планшете не решает ситуацию
     
    подскажите пожалуйста, что я упускаю
     
    может DOH на роутере мешает?
     

    Всего записей: 1652 | Зарегистр. 20-02-2007 | Отправлено: 21:00 17-02-2025
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear

    Цитата:
    маскарад для 192.168.5.0/24 включен

    не думаю что маскарад необходим для выдаваемой сети по wireguard

    Цитата:
    но интернета на планшете нет, ничего с него не пингуется

    прокси арп должен быть включен на внутреннем интерфейсе что бы внутренние ресурсы были доступны.
    в фаере разрешающие правила форварда в интернет должны быть для сети wireguard

    Всего записей: 1552 | Зарегистр. 29-08-2005 | Отправлено: 11:13 18-02-2025 | Исправлено: alexnov66, 11:26 18-02-2025
    Maxlinus



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
     
    из официальной вики, попробуйте  
    Firewall considerations
     
    If you have default or strict firewall configured, you need to allow remote device to establish the WireGuard connection to your device.
     
     
     
    /ip firewall filter
    add action=accept chain=input comment="allow WireGuard" dst-port=13231 protocol=udp place-before=1
    To allow remote devices to connect to the RouterOS services (e.g. request DNS), allow the WireGuard subnet in input chain.
     
     
     
    /ip firewall filter
    add action=accept chain=input comment="allow WireGuard traffic" src-address=192.168.100.0/24 place-before=1
    Or simply add the WireGuard interface to "LAN" interface list.
     
     
     
    /interface list member
    add interface=wireguard1 list=LAN
     
    https://help.mikrotik.com/docs/spaces/ROS/pages/69664792/WireGuard

    Всего записей: 259 | Зарегистр. 06-12-2011 | Отправлено: 16:41 18-02-2025
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Maxlinus
    да, спасибо, эти советы видел в видео и в текстовых инструкциях, но видно я что-то намудрил с конфигурацией до WireGuard, потому что не получается всё равно
     
    буду разбираться
     
    не знал я как буду скучать по L2TP/IPSec на старых андроидах ...
     
     
    upd:
    стёр нафиг конфиг и пересобрал по этому видео, но всё равно не поднялось
    но я почему-то помнил, что обязательно нужен маскарад, добавил его и всё сразу полетело

    Всего записей: 1652 | Зарегистр. 20-02-2007 | Отправлено: 18:16 18-02-2025 | Исправлено: zBear, 19:46 18-02-2025
    WildGoblin



    Ru-Board Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear

    Цитата:
    но я почему-то помнил, что обязательно нужен маскарад, добавил его и всё сразу полетело

    Так он и правда нужен (пример конфига сервера):
     

    Код:
    [Interface]
    Address = 10.0.0.1/24
    ListenPort = 51820
    PrivateKey = <PRIVATE KEY OF SERVER>
    PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT; iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -D FORWARD -o wg0 -j ACCEPT; iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
    SaveConfig = true


    ----------
    Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём.
    Я русский!

    Всего записей: 33894 | Зарегистр. 15-09-2001 | Отправлено: 12:16 20-02-2025
    immotus



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    История такая:
    СПб, провайдер Дом.ру (30 мбит/c), роутер MikroTik hAP ac2
    Проблема в том, что сильно упала скорость, ниже мегабита, особенно на отдачу. Не конфигурация роутера, ничего другого моей стороны не менялось. Пришли инженеры от провайдера, подключились напрямую - со скоростью всё в порядке, сказали проблема в конфигурации роутера. Взял такой точно же другой роутер (дабы исключить проблема непосредственно с устройством) с таким же конфигом - та же ситуация. Поставил роутер Zyxel - всё летает. Вопрос в том: что могло измениться со стороны провайдера, что прекратилась работа с текущей конфигурацией RouterOS? То есть что возможно нужно поменять в конфиге? Может против Mikrotik'ов начались репрессии какие-то?

    Всего записей: 1499 | Зарегистр. 27-07-2007 | Отправлено: 09:37 28-02-2025 | Исправлено: immotus, 09:47 28-02-2025
    Demon

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    immotus
     
    Попробуйте уменьшить mtu до 1400

    Всего записей: 612 | Зарегистр. 03-10-2001 | Отправлено: 10:11 28-02-2025
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    immotus
    Гадать можно вечно без конфига.
    для начала проверь что показывает на интерфейсе к провайдеру, на вкладке статус стоит галочка Full Duplex
    попробуй вручную прописать скорость 100 если 100 мегобитный канал а не автоматом.
    возможно как смена оборудования у провайдера и смена настроек так и плохой обжим кабеля.
    не подключайтесь кабелем провайдера категории 5е, а используйте свой как минимум 6 категории.

    Всего записей: 1552 | Зарегистр. 29-08-2005 | Отправлено: 11:33 28-02-2025
    immotus



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Повторюсь: почти 2 года с моей стороны не менялось ровным счётом ничего, не оборудование, не конфиг роутера. Именно поэтому и грешу именно на какие-то изменения со стороны провайдера. Ребята от провайдера лишь установили что проблема именно в конфиге роутера. Подкинув другой роутер с таким же конфигом, мне при пришлось признать что они правы. И теперь надо как-то выяснить, что же именно в конфиге мешает нормальной работе?

    Всего записей: 1499 | Зарегистр. 27-07-2007 | Отправлено: 16:33 28-02-2025 | Исправлено: immotus, 17:56 28-02-2025
    Demon

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    immotus
     

    Цитата:
    Попробуйте уменьшить mtu до 1400

     
    Вы это сделали?

    Всего записей: 612 | Зарегистр. 03-10-2001 | Отправлено: 16:51 28-02-2025
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    immotus

    Цитата:
    Повторюсь: почти 2 года с моей стороны не менялось ровным счётом ничего, не оборудование, не конфиг роутера

    я что где то сказал что вы оборудование меняли ?
    сказано было о провайдере.

    Цитата:
    что же именно в конфиге мешает нормальной работе?

    вы предлагаете к вам приехать конфиг посмотреть, вы сами себя слышите уже не говоря о нас.
    для начала обновить до последней версии.

    Всего записей: 1552 | Зарегистр. 29-08-2005 | Отправлено: 17:02 28-02-2025 | Исправлено: alexnov66, 17:11 28-02-2025
    immotus



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Цитата:
    я что где то сказал что вы оборудование меняли ?
    сказано было о провайдере.
    Уверен что за 2 года работы у провайдера много оборудования поменялось. Но в данном случае получается конфликт между оборудованием провайдера и конкретной модели роутера. Другие объяснения как бы отпадают.
    Цитата:
    вы предлагаете к вам приехать конфиг посмотреть, вы сами себя слышите уже не говоря о нас.
    для начала обновить до последней версии
     
    Я спрашивал: может сталкивался кто с подобной ситуацией? До последней версии обновился.
     
    Demon
    Цитата:
    Попробуйте уменьшить mtu до 1400
    Роутер пока не доступен (ушел с работы).

    Всего записей: 1499 | Зарегистр. 27-07-2007 | Отправлено: 18:07 28-02-2025 | Исправлено: immotus, 16:03 11-07-2025
    andreik99

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Хотелось бы на моем "пенсионере" RB2011 обновить прошивку. Зашел на сайт Mikrotika и не смог понять из какой секции ее скачать.

    Всего записей: 1720 | Зарегистр. 19-06-2008 | Отправлено: 09:01 01-03-2025
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    andreik99

    Цитата:
    Хотелось бы на моем "пенсионере" RB2011 обновить прошивку

    Идите в System -> Packages, там Check for Updates - он сам всё проверит и скачает то, что надо
     

    Цитата:
    Зашел на сайт Mikrotika и не смог понять из какой секции ее скачать

    Другой путь - открываете страничку своей модели https://mikrotik.com/product/RB2011UiAS-2HnD-IN#fndtn-downloads, идёте в Downloads -> "RouterOS current release", жмёте на кнопку

    Всего записей: 3751 | Зарегистр. 05-05-2006 | Отправлено: 10:34 01-03-2025
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru