ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sumyst Цитата: passthrough=yes попробуйте на no сменить или вообще натировать всё, что идёт на ether10. а касательно необходимости неработоспособности конфига без прокси - так в фильтре заблокируйте прямые пакеты из юзера в ether10 Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 12:15 10-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Пробовал, менял.   ether10 это WAN порт до провайдера. Не совсем понятно что значит " натировать всё, что идёт на ether10." У меня сейчас такое правило chain=srcnat action=masquerade routing-mark=To_NAT src-address-list=local dst-address-list=!local out-interface=ether10     Пробовал без  routing-mark=To_NAT. Ситуация не моенялась.   Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 12:55 10-11-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору sumyst chain=srcnat out-interface=ether10 action=masquerade Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 15:51 10-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Пробовал. Всякие даже немыслимые варианты пробовал... Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 16:02 10-11-2011

MSSIGN Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору хм .. без претензий к кураторам ветки конечно.. но что делает в шапке ссылка hxxp://www.x-drivers.ru/content/view/62/53/  - Краткий FAQ по настройке (первоисточник). как минимум, так лучше http://goo.gl/phA0b Всего записей: 608 | Зарегистр. 11-08-2006 | Отправлено: 20:13 10-11-2011 | Исправлено: MSSIGN, 20:20 10-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору BigElectricCat не-а Модифицировал правила несколько под себя (ВПН пока оставим в покое роутерБ подключен напрямую в порт6 микротика) Посему переделал следующим образом:   /ip firewall filter   add action=accept chain=forward "from Ether 2 Proxy" disabled=no in-interface=ether6 out-interface=ether8   add action=accept chain=forward "from Proxy 2 Ether " disabled=no in-interface=ether8 out-interface=ether6   add action=accept chain=forward comment="from Inernet 2 Proxy" disabled=no in-interface=ether10 out-interface=ether9   add action=accept chain=forward comment="From Proxy 2 Internet" disabled=no in-interface=ether9 out-interface=ether10   add action=drop chain=forward disabled=no   /ip firewall mangle   add action=mark-routing chain=prerouting disabled=no dst-address-list=!local in-interface=ether6 new-routing-mark=route_to_proxy passthrough=no   /ip firewall nat   add action=masquerade chain=srcnat disabled=no out-interface=ether10 /ip route   add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.24.2.2 routing-mark=route_to_proxy scope=30 target-scope=10     Вроде правильно и должно работать. Но трассировка останавливается на IP адресе интерфейса ether6   Смотрю счетчики правил фаервола: [admin@M1] /ip firewall filter> print stats Flags: X - disabled, I - invalid, D - dynamic    #   CHAIN              ACTION                            BYTES         PACKETS  0   forward            accept                              900              15  1   forward            accept                                0               0  2   ;;; from Inernet 2 Proxy      forward            accept                                0               0  3   ;;; From Proxy 2 Internet      forward            accept                              900              15  4   forward            drop                              7 148              15   Тоесть все пакеты попадают под правило дроп. Отключая трассировку с роутераБ и снова получаю петлю.   Делал по сценарию предложенному Вами.               Добавлено: Кстати, вот какой ответ мне пришел из микротика:     1st - mark routing that goes from client interfaces and route it to captive portal, that you are already doing, but your captive protal is not doing NAT, so as result, packets are sent back to captive portal till TLL=0. To avoid that, set up packet marks so that they are marking packets using destination address and incoming interface and send all these packets to your captive portal. Now packets from your captive portal router with same source address as before and are sent back. Addition of in-interface will avoid that. And then just NAT on external interface.   2nd - use bridge, so packets from users use captive portal as gateway.     "so as result, packets are sent back to captive portal till TLL=0." - вот эта фраза особенно не понятна. С какого бы перепуга пакет послывался обратно? Мне удалось получить доступ к GW который находится за ether10 (читай гейт провайдера) И я вижу что пакеты из локальных сетей уходят не пройдя нат, тоесть с оригинальным src. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 07:07 11-11-2011 | Исправлено: sumyst, 07:09 11-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору "Ну да, логично, у тебя на прокси ведь нет ната, следовательно надо пометки на пакеты поставить, чтобы отделить «мух от котлет», в смысле, отделить пакеты которые прошли через проксик и которые ещё только собираются. " Тоесть маркировать 2 раза? 1) для форварда на проксю 2) с прокси в интернет   "Интересно, как это может быть? А где правило «рубить на WAN-интерфейсе все пакеты с ”серым” назначением/источником»?"   Мне вот тоже интересно. Никогда не думал что столкнусь с такой проблемой. Взял микротик - почитал документацию, вроде все понятно и прозрачно. Но не работает.   Про свиччип почитаю, спасибо. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 11:29 11-11-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору периодически сталкиваюсь с проблемкой  - кеширование работы правил на файерволе.   настраиваю правило для блокирования - оно всё блочит. теперь я хоу его отключить и делаю disable, но нужно какое-то время что изменения вступили в силу. можно ли ускорить это дело ручками ?   спасибо. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 16:10 11-11-2011

Sergey Sosnovsky Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Странно, у меня почти мнгновенно 1-2 секунды. Может другое правило "блочит"? Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 17:25 11-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: периодически сталкиваюсь с проблемкой  - кеширование работы правил на файерволе.     настраиваю правило для блокирования - оно всё блочит.   теперь я хоу его отключить и делаю disable, но нужно какое-то время что изменения вступили в силу.   можно ли ускорить это дело ручками ?     спасибо. Бывает такое. Оно не блочи уже установленные соединения. Вариант или ребут, или выключение-включение интерфейса на котором применено правило. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 02:42 12-11-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору me2k на SysLog ?   у меня проблемка появилась с RB1200. Стоит и работает себе TP-Link. Внутри за NAT есть Linux с OpenVPN: Цитата:   OpenVPN -- TP-Link <--> Home User   И всё работало пока не появился RB1200. После его установки в место TP-Link появились проблемы: 1. VPN сустанавливается и пинги идут на все машинки в сети. 2. Вроде на все Linux сервера и ресурсы доступ получить можно. 3. Windows машинки работают криво - некторые порты работают, а некоторые нет. Т.е. Web сайт может открыть, но при этом по RDP доступ не получить. А на некоторые и RDP и всё остальное. OS 2k8 + w7.   Варианты набрались такие: а) MTU - пробовал изменять параметры клиента OpenVPN(1200.1300.1400), но безрезультатно. б) какая-то история с портами на RB1200 у меня сейчас eth10=lan | eth1=wan eth1-eth5 в каком-то там свитче находятся по конфигурации RB1200(это по дефолту и вроде не изменяется).   Может кто сталкивался ? Спасибо.     OpenVPN and RDP to Server 2003 problem?   Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 02:43 12-11-2011 | Исправлено: slech, 10:10 12-11-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Присоединяюсь к вопросу. Точнее несколько расширю его: В 1й порт воткнут лан. В 10й ван. Почему если я смотрю торчем пакеты на первом порту, я вижу широковещалку из ВАН сети?   RB1200. Мастер порт не назначен. Все порты изолированы. Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 02:49 12-11-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ни увеличение ни уменьшение MTU на eth0 и eth10 положительного эфекта не дали. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 23:40 12-11-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору изменение mtu на OpenVPN клиенте и сервере к положительному эфекту не привело. RDP работает лишь на 1 сервере и на него оно прекращается после изменения MTU на VPN клиенте и сервере в строну 1400. Похоже что засада действительно в MTU, только идей как её побороть нет.   Добавлено: хотя вот что обнаружил Цитата:   ping 192.168.0.10 -f -l 1472   выше уже не проходит. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 14:43 13-11-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование