Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    при добавлении в бридж тунеля пинг даже на борд периодически пропадает

    что за адрес такой - "борд"? он, часом, не на ether1 висит? при добавлении интерфейсов в бридж надо на него и адреса с этих интерфейсов перевешивать...
     
    Добавлено:

    Цитата:
    Не могли бы Вы на собственном примере показать как правильно создается EoIP-тоннель?

    на собственном не мог бы - я сторонник маршрутизации  
     
    http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_without_using_WDS_(EoIP)
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 22:07 29-11-2010
    besoff

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    при добавлении интерфейсов в бридж надо на него и адреса с этих интерфейсов перевешивать... если не сложно можно по этому поводу по подробней!!!
     
    Добавлено:
    Может ли в моем случае маршрутизация будет лучшим вариантом!
    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 22:21 29-11-2010
    Smito1



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    приветствую, у меня несколько вопросов
    сейчас есть два сервака с микротиком, соединены по wi-fi двумя антенами, расстояние 1.5 км
    настроены так сервак бридж, клиент статион вдс с включенным турбо G
    сейчас нужно по середине этого линка подключить ешё одного клиента
    вопрос в следущем, нужно опять собирать системник на микротике? я не думаю что обычный роутер заработает с турбо G даже с dd-wrt на борту, если будет опять сервак у него опять же нужно указать статион вдс? я правельно понял, если все заработает не будит ли потеря скорости с двумя линками? при учете что новый клиент вообше отключен, заранее спасибо
    Всего записей: 373 | Зарегистр. 19-12-2006 | Отправлено: 02:45 30-11-2010
    besoff

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Возможно ли использывание на одном роутерборде одновременно MPLS VPLS и Eoip тунелей?
     
    Добавлено:
    Как я пытался поднять вплс.
    Проблема в том что на одной карточке (беспроводной) работает тунель на ура, даже на два роутерборда одновременно,но как только я хочу на этом же роутерборде воткнуть вторую карточку и добавить еще тунель по аналогии то он попросту не работает!Помогите запустить тунели на второй карточке!или в чем я ошибаюсь, скрины прилагаю,спасибо заранее!!!
     

     
     
     
    Добавлено:
    Может в этом причина  
     
     

     
    Добавлено:
    как я попытался сделать :
     
    я объединил две беспроводные карточки в бридж и добавил его в MPLS интерфейсы.Дал бриджу адрес 192.168.77.1 и прописал его в созданных соединениях VPLS на других роутербордах и создал соединения на нем на каждый борд с его ип и отдельным ид.
    Добавил все соединения VPLS в отдельный бридж и добавил туда езернет(аналогично сделал с соединениями на подключаемых к базе бордах).
     
     
    Что не работает:
     
    соединения на все роутерборды работают но по интересному
     
    на одну карточку и пинг и данные уходят
    ,а на другую нет при том что конект VPLS тунеля показывает что работает!
    и пинг с роутерборда через эту карточку идет!
     
    скрин прилагается
     

     

     
    Добавлено:
     такое чувство что все кроме чупаки на фронт ушли бить кластера....пиец
    Всего записей: 47 | Зарегистр. 12-06-2008 | Отправлено: 11:31 30-11-2010 | Исправлено: besoff, 16:36 30-11-2010
    borees_britva

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья выручайте, вчера столкнулся с невиданным и ранее не знавшем. Имеем сетку 10 пользователей, в сетке стоит 1 микротик 3.20 авторизация PPPOE, все работает как часы. Появилась необходимость во втором шлюзе, собрал установил микротик 3.30 (чистый без настроек) заваливаюсь по МАК даю ему адрес 10.0.0.1/24 и пытаюсь пингануть…один ответ пришел и тишина… поменял IP 192.168.1.1/24 таже история. Ага, подумал на сетевушку, заменил… тоже самое… после некоторых экспериментов выяснилось следующее если микротик не подключен к общей сети то все работает… как только вставляю шнур в шах (общую сеть) так все микротик отваливается… вернее нет пинга и по IP на него не зайти… по маку без проблем заходит!!! Предпалагаю что завелись сниферы или еще что-то что глушит микротик…  IP адреса пробовал разные не в них дело, в коннектах  высвечиваются очень странные IP 10.240.0.1, 192.168.95.25 и тд. Пытался их фаерволом заблокировать, результат нулевой!!!  Что делать???
    Всего записей: 6 | Зарегистр. 30-11-2010 | Отправлено: 03:25 01-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    borees_britva
    т.е. в сети у пользователей адресов нет, только в пппое? или какие адреса у пользователей?
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 05:01 01-12-2010
    borees_britva

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    172.16.2.0/24 - это у пользователей прописанно ручками....
     
    Добавлено:
    но микротику я совсем другую сетку пишу локально без ПППОЕ.... 10.0.0.1/24 на своем машине тоже локально 10.0.0.2/24 и не пингуется! ping 10.0.0.1 и тишина! Должно же пинговаться!!! Вытаскиваю кабель общей сети остается в хабе только мойкомп и микротик, перегружаю микротик или около минуты нужно подождать и микротик начинает пинговаться!!! и пользовательская сетка 172.16.2.0/24 тут не причем!? верно???  а ПППОЕ только для Интернета, хочу использовать 10.0.0.0/24
     
    Добавлено:
    "Имеем сетку 10 пользователей" - это те кто авторизируются по ПППОЕ на первом микротике и выходят в интернет а так пользователей около 100 человек!!!
     
    Добавлено:
    Что не так делаю... подскажите... до выходных нужно запустить шлюз...
    Всего записей: 6 | Зарегистр. 30-11-2010 | Отправлено: 05:35 01-12-2010
    Demon

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    borees_britva
     
    У меня такое было раза 4. Каждый раз причина была во флудящей клиентской карте или вирусе у клиента. Поиски велись исключительно отключениями секторов.  Суть происходящего (или физику или логмку) я так и не понял.
    Всего записей: 612 | Зарегистр. 03-10-2001 | Отправлено: 10:19 01-12-2010
    borees britva

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вот вот... но если нет возможности искать этого нехорошего человека... неужели Микротик не может что-то поделать с этим... не верюююю… мне кажется нужно рыть в сторону ARP, могу ошибаться... я почему то уверен что Чупа прольет свет на происходящее...
     
    Добавлено:
    Ощущение как будто снифер перехватывает пакеты... как вычеслить этого нехорошего человека... выриант ходить по квартирам и отключать от хаба отпадают...
    Всего записей: 6 | Зарегистр. 30-11-2010 | Отправлено: 10:27 01-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    borees britva
    для чистоты эксперимента не помешало бы для начала дать новому роутеру адрес из той же подсети, что и юзеры
    а в целом - смотреть с обеих сторон на ARP-таблицу. если кто-то подменяет MAC-адрес (ARP-poisoning) - то его мак будет виден
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 11:49 01-12-2010
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Достала окончательно одна проблема: есть FTTB провайдер, даёт интернет по рртр и доступ к своим внутренним ресурсам тоже по рртр, т.е. в итоге для доступа к инету и внутренним ресурсам надо поднимать два рртр соединения (логины и пароли у них разные). Создал соединение "internet", настроил, поставил галочку "add default route", cоздал соединение "intranet", настроил, галочку "add default route" снял, добавил необходимые правила для роутинга нужных сетей через нужные интерфейсы. Когда запускаешь по отдельности всё замечательно работает. Если соединения поднимать одновременно (причём последовательность поднятия неважна), то весь траффик идёт через интерфейс intranet. Проблема в том, что в результате получается такая таблица маршрутизации:
     

    Цитата:
     
           destination | gateway | gateway interface | interface | distance | routing mark | pref. source
    ------------------------------------------------------------------------------------------------------------------
    DAS 0.0.0.0/0    [x.x.28.36]                              internet          1
     
    DAC [x.x.28.36]                                               intranet          0                             [y.y.11.202]
    DC   [x.x.28.36]                                               internet          0                             [z.z.160.240]
     

     
    т.е. маршрут intranet интерфейса становиться активным, а internet интерфейса неактивным (в winbox`е выделен синим цветом).
     
    А вот так выглядит верная таблица маршрутизации:
     

    Цитата:
     
           destination | gateway | gateway interface | interface | distance | routing mark | pref. source
    ------------------------------------------------------------------------------------------------------------------
    DAS 0.0.0.0/0    [x.x.28.36]                              internet          1
     
    DAC [x.x.28.36]                                               internet          0                             [z.z.160.240]
    DC   [x.x.28.36]                                               intranet          0                             [y.y.11.202]
     

     
    где x.x.28.36 - шлюз провайдера, он один и для внутренних ресурсов и для интернета,
    z.z.160.240 - адрес в сети интернет
    y.y.11.202 - адрес в сети интранет, внутренней сети провайдера.
     
    Вопрос: как это побороть, чтобы независимо от последовательности поднятия соединений таблица маршрутизации всегда была верной.
    Всего записей: 1623 | Зарегистр. 19-02-2006 | Отправлено: 14:11 01-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    aleksvolgin
    предлагаю в качестве шлюза использовать не его адрес, а название pptp-интерфейса. ессесно, всё ручками создать
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 18:46 01-12-2010
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    предлагаю в качестве шлюза использовать не его адрес, а название pptp-интерфейса. ессесно, всё ручками создать
    прочёл десять раз, но не могу понять, что вы имели ввиду?
    Всего записей: 1623 | Зарегистр. 19-02-2006 | Отправлено: 21:42 01-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    aleksvolgin
    /ip route add gateway=internet
    /ip route add gateway=intranet routing-mark=intra
     
    как-то так
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 22:00 01-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите пожалуйста разобраться с пробросом портов на микротике.
    Мне нужно пробросить порт 1148 снаружи на определенную машину в сети.
    Правила ниже (в фильтре вообще все разрешил).
    Проблема в том, что на мой комп (192.168.0.177) - все работает как надо, а когда
    подставляю ip нужной мне машины, при сканировании порта из интернета получаю port-timeout.
    В логе цепочки forward  

    Код:
     
    18:18:30 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 44  
    18:18:31 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 44  
    18:18:32 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 44  
    18:18:33 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
    18:18:35 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
    18:18:35 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
    18:18:37 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
    18:18:41 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
    18:18:49 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
    , 208.79.211.112:49511->192.168.0.142:1148, len 28  
     

    то есть пакеты туда уходят, а вот ответа нет.  
     
    Правила Filter

    Код:
     
    [toor@MikroTik] > ip firewall filter print
    Flags: X - disabled, I - invalid, D - dynamic  
     0   ;;; allow established connections
         chain=forward action=accept connection-state=established  
     
     1   ;;; allow related connections
         chain=forward action=accept connection-state=related  
     
     2   chain=forward action=drop connection-state=invalid  
     
     3   chain=forward action=log protocol=tcp port=1148 log-prefix="P1148"  
     
     4   chain=forward action=accept  
    [toor@MikroTik] >  
     

     
    Правила NAT

    Код:
     
    [toor@MikroTik] > ip firewall nat print      
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=srcnat action=masquerade out-interface=!local  
     
     1   chain=dstnat action=dst-nat to-addresses=192.168.0.142 to-ports=1148  
         protocol=tcp in-interface=adsl-bancorp dst-port=1148  
    [toor@MikroTik] >  
     

     
    Правила Mangle

    Код:
     
    [toor@MikroTik] > ip firewall mangle print    
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=prerouting action=mark-routing new-routing-mark=port-1148  
         passthrough=yes protocol=tcp src-address=192.168.0.142  
         in-interface=local src-port=1148  
    [toor@MikroTik] >  
     

     
    Подскажите пожалуйста, в каком направлении теперь копать?
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 10:16 02-12-2010 | Исправлено: Core_Cell, 10:44 02-12-2010
    faust72rus



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    1. Исходящий интерфейс один? (Судя по правилу маскарадинга не факт) Если нет значит добиваем сорснатовским правилом исходящую маскировку.  
    2. Фильтр правило номер два кидаем в самый низ (не нравится мне что оно выше чем продакшн правило). Так же не наблюдается не одного Инпут правила, на данный порт. (чёта вроде в инпут пакеты будут падать при таком пробросе, а не в форвард хотя судя по твоим логам я заблуждаюсь, но тем не менее)  
    3. Правила в нате поменяй местами, маскарадинг перемести в самый низ.  
    4. Нах те мангл? Ты куда то потом промаркированные пакеты юзаешь?  
     
    Ну и последнее, есть ли сто%ная уверенность в доступности этого порта на 192.168.0.142?
    Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 13:02 02-12-2010 | Исправлено: faust72rus, 13:09 02-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Так же не наблюдается не одного Инпут правила, на данный порт. (чёта вроде в инпут пакеты будут падать при таком пробросе, а не в форвард хотя судя по твоим логам я заблуждаюсь, но тем не менее)

    только в форвард. инпут - это то, что придёт на адрес роутера, а не пройдёт сквозь него
     

    Цитата:
    Правила в нате поменяй местами, маскарадинг перемести в самый низ

    смысла нет, т.к. по Packet Flow сначала выполняется dstnat, потом все фильтры и манглы, и только после этого - srcnat
     

    Цитата:
    Нах те мангл?

    присоединяюсь - не совсем понятное правило
     

    Цитата:
    есть ли сто%ная уверенность в доступности этого порта на 192.168.0.142?

    это, и плюс - возвращаются ли пакеты от 192.168.0.142 в Интернет именно через этот роутер? а то всякое бывает
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 13:19 02-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Мангл сделан с учетом того, что после того, как подниму проброс портов, в микротик будет воткнут еще 1 интернет.
     
    Порт точно открыт, 1148 я использую для тестов (прогой TCP Listener открываю, она слушает порт и показывает попытки коннекта по этому порту).
     

    Цитата:
    это, и плюс - возвращаются ли пакеты от 192.168.0.142 в Интернет именно через этот роутер? а то всякое бывает

    Вот в этом то и может быть проблема, как проверить?
    По логам то выходит, что на микротик ответные пакеты с 192.168.0.142 вообще не приходят.
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 14:39 02-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Вот в этом то и может быть проблема, как проверить?

    трассировку сделать с 0.142 в Интернет и смотреть, будет ли роутер одним из хопов
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 14:44 02-12-2010
    Core_Cell

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А вообще, выходит, что пакеты до 0.142 также не доходят, т.к. TCP Listener не показывает наличие попытки соединения. В сети есть еще один шлюз с керио (иначе работа встанет), через него на 0.142 проброс идет.
    Всего записей: 25 | Зарегистр. 13-03-2007 | Отправлено: 14:56 02-12-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru