Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части темы   Официальный сайт   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.19.6 changelogs Testing: 7.20rc3 Stable: 6.49.19 Long-term: 6.49.18 актуальная версия SwitchOS: 2.19 актуальная версия WinBox: 3.42 32/64-bit Подробнее... Mikrotik — Плюсы и минусы FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: MikroTik Documentation Packet Flow in RouterOS (важно знать для понимания сути происходящего в файрволе и шейпере) News Система управления пользователями встроенная в RouterOS (RADIUS server) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1, №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4464 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: alexnov66, 12:34 17-09-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:  а потом народ начинает задавать вопросы почему в правилах ниже не весь трафик обрабатывается и не во всех пакетики бегут.   Потому что дефолтный фаерволл выглядит примерно так (да, здесь используется vpn, поэтому трафик в цепочке input заметный, но тем и наглядней ситуация)     Трафик, который относится к уже установленному соединению - это львиная доля всех пакетов в цепочке input (ну или forward, если это домашний девайс). Мы его в самом начале ловим connection-state=established,related, разрешаем и сразу выводим из обработки дальнейшими правилами (action=accept). Потому что   Цитата: accept - accept the packet. A packet is not passed to the next firewall rule. https://help.mikrotik.com/docs/spaces/ROS/pages/250708064/Common+Firewall+Matchers+and+Actions   Иначе говоря, все что отщелкало у нас на нулевом правиле, по action=accept прошло фаерволл как нож масло и пошло дальше. А чем короче путь, который проходит пакет по цепочками и правилам фаерволла - тем быстрее работает фаерволл, тем он производительней.     Если же делать все через ЖО и поставить правило в конец аля Код: action=drop chain=input connection-state=!established,related то тогда пакет с состоянием established (т.е. соединение уже проверено и установлено) должен пройти по всем правилам, пока доберется до нашего злополучного исключения, и не найдя больше совпадающего правила, вылетит с фаерволла дальше... Но производительность такого варианта будет хуже и будет определяться числом проверок, которые должен пройти пакет, т.е числом правил до нашего злополучного.   И да, когда работаете с ограничивающими правилами*, используйте состояние new, т.е. вместо   Код: /ip firewall filter add action=accept chain=input comment=OpenVPN dst-port=1194 protocol=tcp лучше написать Код: /ip firewall filter add action=accept chain=input comment=OpenVPN connection-state=new dst-port=1194 protocol=tcp     * допустим у нас самое нижнее правило drop all, т.е. состояние "нормально закрытый фаерволл" ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 16:18 09-03-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: пока доберется до нашего злополучного исключения ерунду не городите, это правило изначально блокирует всё кроме указанного трафика и дальше будет обрабатываться трафик только разрешенный этим правилом. Цитата: action=drop chain=input connection-state=!established,related Цитата: action=drop chain=forward connection-state=!established,related Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 16:32 09-03-2025 | Исправлено: alexnov66, 16:33 09-03-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ерунду не городите, это правило изначально блокирует всё кроме указанного трафика и дальше будет обрабатываться трафик только разрешенный этим правилом Полностью часть правил фаерволла приведите. А мы посмотрим, ерунду или не ерунду.   ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 16:40 09-03-2025

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: Полностью часть правил фаерволла приведите. А мы посмотрим, ерунду или не ерунду.       Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 22:03 09-03-2025 | Исправлено: HERSOFT, 22:13 09-03-2025

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору HERSOFT Пока по скриншоту нельзя покликать для открытия подробностей конкретной строки - он бесполезен. У вас даже колонка Connection State на нём отсутствует.   "/export hide-sensitive" в Терминале - ваш друг. Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 22:42 09-03-2025 | Исправлено: Chupaka, 22:42 09-03-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Пока по скриншоту нельзя покликать для открытия подробностей конкретной строки - он бесполезен Нечитаем - да. Но как пример - показателен.   Например 1 и 4 правило лучше поменять местами, потому что под проверку "а не udp/45460 ли это" будет попадать весь трафик в цепочке input. А если поменять местами, трафик с состоянием established и related (ну и untracked - хотя его здесь скорее всего не будет) будет разрешен и сразу покинет фаерволл, т.е. не будет участвовать в проверке другими правилами.     ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 22:58 09-03-2025

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: Например 1 и 4 правило лучше поменять местами Не получится. 1-е правило динамическое и создается WireGuard, и оно не двигается. Можно, конечно, двинуть 4-е правило выше первого, но после отключения-включения VPN, они опять создаются и всё равно ставятся первыми. Да и по счётчикам видно, что 1-е правило обрабатывает только свой порт, а не лопатит весь входящий трафик.   Добавлено: Chupaka #   Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 09:17 10-03-2025 | Исправлено: HERSOFT, 09:36 10-03-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Да и по счётчикам видно, что 1-е правило обрабатывает только свой порт, а не лопатит весь входящий трафик. В том то и дело, что правило лопатит весь трафик, который идет до; а счетчик отрабатывает только срабатывания. Для того, чтобы в этом убедиться, можно натыкать дебаг-правила с action=passthrough   Цитата: passthrough - if a packet is matched by the rule, increase counter and go to next rule (useful for statistics)   ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 11:15 10-03-2025

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: В том то и дело, что правило лопатит весь трафик, который идет до; а счетчик отрабатывает только срабатывания. Для того, чтобы в этом убедиться, можно натыкать дебаг-правила с action=passthrough     Поставил я его вторым, один чёрт счётчик срабатывает. Смысла не вижу его тудой-сюдой двигать. Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 13:24 10-03-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Поставил я его вторым, один чёрт счётчик срабатывает. Смысла не вижу его тудой-сюдой двигать.   Но это вариант будет более производительным, чем первый.   Потому что трафик с состоянием established (а это основная масса пакетов в цепочке input) не дойдет до второго правила, он будет разрешен по action=accept и на этом проверка этого трафика будет завершена.   Или вот еще пример. Смотрим на эти два правила Код: add action=accept chain=input comment="accept established,related,untracked" \     connection-state=established,related,untracked add action=accept chain=input connection-state=related,new disabled=yes \     dst-port=53 log-prefix="-= DNS =-" protocol=udp src-address=\     192.168.10.0/24   Что мы видим? Что пакет с состоянием related никогда не дойдет до второго правила (о том, что related на втором правиле лишено смысла - это отдельный разговор). Потому что тоже самое, трафик с состоянием related будет проверен и исключен еще первым правилом.   Т.е. мы можем упразднить второе правило до   Код: add action=accept chain=input connection-state=new disabled=yes \     dst-port=53 log-prefix="-= DNS =-" protocol=udp src-address=\     192.168.10.0/24 ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 13:46 10-03-2025

anton04 Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YuraseK Цитата: Версия RouterOS на сервере 6.49.6, на клиентах 6.49.15. Что за странный баг, как это минимальными усилиями и надёжно чинится?   Как минимум сравняйте версии RouterOS Всего записей: 2845 | Зарегистр. 14-06-2006 | Отправлено: 19:44 11-03-2025

HERSOFT Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору YuraseK Цитата: Помогает отключение на клиенте на не менее 10 минут L2TP соединения.   У меня такое периодически случалось, если клиент попадал в некий (не все) шлюз провайдера. Решил просто - в Watchdog забил IP сервера L2TP. Теперь сам роутер клиента "передёргивается" до тех пор, пока не попадёт в "струю". ))) С чем это связанно - я в душе не трам-пам-пам. Да и желания нет разбираться - работает и пусть работает.   Обычно хватает двух-трёх попыток. Работает так уже более 4-х лет.   ЗЫ: в профиле сервера стоит Limit-Only One?   Добавлено: Molt Цитата: Т.е. мы можем упразднить второе правило до     Это правило так, временное, некий эксперимент с DNSом и оно включается только на время эксперимента. Всего записей: 350 | Зарегистр. 12-07-2008 | Отправлено: 19:48 11-03-2025 | Исправлено: HERSOFT, 19:55 11-03-2025

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору JFFulcrum Цитата: Мануалы на русском в сети, к сожалению, отстают от действительности на поколение, и зачастую содержат откровенно вредные советы. Да я без проблем на английском прочитаю. Спасибо за ссылки.   Molt Цитата: Взять winbox 3.41. Живее всех живых, поддерживается (пока что) и работает. Да я его юзаю, но хотелось и новую бетку глянуть.   Добавлено: Вот бетка 18 винбокс вышла и тоже не запускается. ---------- Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём. Всего записей: 34187 | Зарегистр. 15-09-2001 | Отправлено: 09:44 16-03-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору WildGoblin Цитата: Вот бетка 18 винбокс вышла и тоже не запускается.   Ради интереса сейчас поставил на виртуалку 11 винду, всё прекрасно запустился винбох 4.18 винда голая свежеустановлена, ни чего больше не установлено. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 13:00 18-03-2025 | Исправлено: alexnov66, 13:11 18-03-2025

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Цитата: Ради интереса сейчас поставил на виртуалку 11 винду, всё прекрасно запустился винбох 4.18 винда голая свежеустановлена, ни чего больше не установлено. Винбокс 4.18 не работает у меня и на хосте и на различных вируалках - Win11 24H2, Win10, WinServer2025.   Виртуалки как рабочие так и тестовые - с минимальными настройками.   Но ок поставил сейчас Win11, прописал настройки для обновления со своего WSUS - обновил до последнего билда.   Работает!   Применил все настройки, что обычно делаю - работает. Хз что не так на других машинках.   Добавлено: Ну хотя бы какие дебаг сообщения сделали - бета версия же.   В дебагере надо бы поглядеть, но хз что я там нагляжу (инициируется инициируется и дохнет - сыпя сообщениями про TLS - дальше дебажить ни сил ни быстрознаний нет). ---------- Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём. Всего записей: 34187 | Зарегистр. 15-09-2001 | Отправлено: 17:20 18-03-2025 | Исправлено: WildGoblin, 20:12 18-03-2025

Molt Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:   Винбокс 4.18 не работает у меня и на хосте и на различных вируалках - Win11 24H2, Win10, WinServer2025.   Из всего зоопарка win машин, от win10 home неопределенной степени засратости и до ws2019 - бетка 4.18 работает везде.       Какая экзотика не дает запуститься - не понятно ---------- "Give me the place to stand, and I shall move the earth" — Archimedes Всего записей: 1356 | Зарегистр. 07-11-2004 | Отправлено: 22:08 18-03-2025

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Molt Цитата: Из всего зоопарка win машин, от win10 home неопределенной степени засратости и до ws2019 - бетка 4.18 работает везде. Так у меня одна из тестовых VM вообще не засрата - прог там нет никаких - по сути это просто регулярно обновляемый шаблон, что я использую для создания других VM.   Ну и вот на новой виртуалке я все те же свои привычные настройки произвёл и винбокс работает.   Единственное отличие этих виртуалок в том, что на новую (самой первой версии 24H2 - 26100.1), накатывался последний кумулятив. А на ту (также изначально 26100.1) кумулятивов накатывалось множество по мере их выхода. И вот видимо в процессе что-то поломалось.   ВинСервер правда хз как в эту картину вписывается, но один хрен не работает ни на 2022, на на 2025. ---------- Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём. Всего записей: 34187 | Зарегистр. 15-09-2001 | Отправлено: 08:32 19-03-2025

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: но один хрен не работает ни на 2022, на на 2025 у меня рабочая система повседневная windows 2022, нормально работает винбокс, на 25 не пробовал. Всего записей: 1598 | Зарегистр. 29-08-2005 | Отправлено: 10:38 19-03-2025

WildGoblin Ru-Board Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Цитата: у меня рабочая система повседневная windows 2022, нормально работает винбокс, на 25 не пробовал. А у меня вот не работает, а с другими программами проблем нет.   Причём если запускать её без гуя так - "WinBox.exe -v", то она показывает свою версию, а вот если просто запустить, то интерфейс на Qt не запускается.   В общем фтопку - проще браузер использовать. ---------- Бога нет, царя не надо, Губернатора убьём, Платить подати не будем, Во солдаты не пойдём. Всего записей: 34187 | Зарегистр. 15-09-2001 | Отправлено: 12:06 19-03-2025 | Исправлено: WildGoblin, 12:07 19-03-2025

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование