Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    yoght

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня есть проблема с pptp сервером. Нужно чтобы удаленный компьютер получал доступ к сети. Делал как здесь, http://wiki.mikrotik.com/wiki/PPTPServer, появились проблемы с компами в локальной сети (некоторые отказывались получать адрес по дхцп).  
     
    Решил пойти по другому пути, создал в секретах

    Код:
    name="korobeinik" service=pptp caller-id="" password="331636" profile=default local-address=172.16.20.1 remote-address=172.16.20.2 routes="" limit-bytes-in=0 limit-bytes-out=0

     
    ВПН с удаленной машины подключается, но пингует только ip шлюза, притом создает маршрут  

    Код:
    ADC  dst-address=172.16.20.2/32 pref-src=172.16.20.1 gateway=pptp-korobeinik gateway-status=pptp-korobeinik reachable distance=0 scope=10

     
    Каким образом можно сделать чтобы удаленнай машина видела локальную сеть?
     
    Добавлю что я решил использовать подсеть для пользователей ВПН, отличную от локальной подсети (подсеть на интерфейсе ethernet - 192.168.0.0/24)
    Всего записей: 4 | Зарегистр. 14-11-2006 | Отправлено: 11:44 22-12-2010 | Исправлено: yoght, 12:49 22-12-2010
    Tomogara765

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите плиз кто нибудь работал с MikroTik RB250GS. Есть  такой свитч. Прошивку поставил 1.3 с сайта производителя.
    Никак не могу настроить следующую схему.
    Нужно чтоб 1 порт принял в транке 3 влана (10,20,30).
    3 порт вывел акссесом влан 20.
    4 порт вывел акссесом влан 30.
    а на 10 влане почесить ип хочу чтоб был доступен по управлению.
     
    как это сделать а то ни как не поучается.
    то один влан не пашет, то управления нет.
    Подскажите ?  
     
    Добавлено:
    Как я понял по своим мытарствам управление нормального на нем не настроить.... жаль? а как вланы прокинуть кто нибудь знает?
    Всего записей: 19 | Зарегистр. 30-11-2010 | Отправлено: 12:44 22-12-2010 | Исправлено: Tomogara765, 12:45 22-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    ВПН с удаленной машины подключается, но пингует только ip шлюза

    наверное, у компов в локальной сети надо прописать маршрут на 172.16.20.2 через данный роутер
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 14:14 22-12-2010
    yoght

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Подскажи, как это реализовать.
    Всего записей: 4 | Зарегистр. 14-11-2006 | Отправлено: 14:28 22-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    как это реализовать

    на каждом клиенте
    route add -p 172.16.20.2 адрес_роутера_со_стороны_клиента
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 14:57 22-12-2010
    yoght

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    route add -p 172.16.20.2 адрес_роутера_со_стороны_клиента

    А реально это сделать настроив что-либо внутри роутера? Не желательно менять настройки клиентов.
     
     
    Я подумал, и решил устроить своей сети еще немного анального беспредела... Для клиентов ВПН поднял на виртуальной машине еще один микротик)). Надеюсь это временная мера.
    Всего записей: 4 | Зарегистр. 14-11-2006 | Отправлено: 15:35 22-12-2010 | Исправлено: yoght, 17:43 22-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    А реально это сделать настроив что-либо внутри роутера?

    конечно. надо через DHCP раздать ещё и нужный маршрут
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 17:50 22-12-2010
    Tomogara765

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А это реально на микротике сделать?
    Всего записей: 19 | Зарегистр. 30-11-2010 | Отправлено: 20:40 22-12-2010
    rosalin



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребята установлен Микротик локальная сеть 192.168.0.4/24 , интернет 62.231.27.174
     
    в сети установлен OpenVPN сервер 192.168.0.6,
    не могу настроить NAT в Микротике чтобы работал OpenVPN
     
    пользователи из интернет не попадают на 192.168.0.6
    Всего записей: 2655 | Зарегистр. 15-04-2003 | Отправлено: 20:48 22-12-2010
    keeper1978



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    помогите с настройкой Firewall
     
    не могу понять стоит базавая станция mikratik 433AH кней по WLAN подключены клиенты всё обединено в бридж и вот в чём вопрос почемуто ни в mangl ни Firewall не видят проходящего трафика подскажите из за чего такое может быть
     
    и второй вопрос есть ли реально работающий способ ограничеть utorrent 2.x
    Всего записей: 69 | Зарегистр. 01-06-2006 | Отправлено: 21:28 22-12-2010
    Tomogara765

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    /ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
    to-addresses=192.168.0.6
     
    /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
    to-addresses=62.231.24.174
     
    Добавлено:

    Цитата:
    /ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \  
    to-addresses=192.168.0.6  
     
    /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \  
    to-addresses=62.231.24.174

     
    это фактически дмз получиться
     
    а
     
    Добавлено:

    Цитата:
     
    и второй вопрос есть ли реально работающий способ ограничеть utorrent 2.x

     
    настроить Qos
    Всего записей: 19 | Зарегистр. 30-11-2010 | Отправлено: 21:28 22-12-2010
    usr01

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Всем Привет!  Есть RB750G + ROS 4.13.
     
    объявлена
    :global emladr "aaa@bbb.com"
     
    в скриптах (и с консоли) читается (и пишется-изменяется)
    :global emladr
    :log info "e-mail address   ->   $emladr"
     
    в NetWatch (/tool netwatch - up-script / down-script )  
    НЕ ОПРЕДЕЛЕНА !!! (type - nothing !) (и не читается,не пишется,не изменяется)
     
    ВОПРОС: как в NetWatch передать (глобальную) переменную?
     
    (запускать из NetWatch скрипт не хочется - криво, там всего-то 3 строки кода, и писать мыло
    ручками не хочется - при изменении менять ВСЕ NetWatch'и а не одну переменную)
     
    Заранее благодарю!
    Всего записей: 7 | Зарегистр. 06-07-2009 | Отправлено: 21:38 22-12-2010
    keeper1978



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а можно увидеть правила ато уже весь нет перекопал и именно utorent никак заблокировать не получается кроме запрета udp кроме нужных портов и ограничение tcp сессий клиентам и ограничения all_p2p  но блокировка udp это не выход пробовал по сингатуре но под неё не поподает шифровоный трафик
    Всего записей: 69 | Зарегистр. 01-06-2006 | Отправлено: 21:38 22-12-2010
    usr01

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    реально работающий способ ограничеть utorrent 2.x

    я решил только так:
    1. маркировать пакеты штатными средствами
    2. маркировать пакеты по сигнатуре Layer7
    3. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
    4. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)
     
    PS порядок - хрупкая грань между бардаком и концлагерем...
    что-бы не допустить бардак, приходится устраивать концлагерь...
    Всего записей: 7 | Зарегистр. 06-07-2009 | Отправлено: 21:49 22-12-2010
    rosalin



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tomogara765
     

    Цитата:
    /ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \  
    to-addresses=192.168.0.6  
     
    /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \  
    to-addresses=62.231.24.174

     
    начинаю понимать принцип!!!  
     
     
    Мне бы еще что бы до OpenVPN сервера 192.168.0.6 доходил ip из Интернета
    Всего записей: 2655 | Зарегистр. 15-04-2003 | Отправлено: 22:16 22-12-2010 | Исправлено: rosalin, 22:34 22-12-2010
    Tomogara765

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    В принципе нормальный способ для начала.
     
    Добавлено:

    Цитата:
    Цитата:/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \  
    to-addresses=192.168.0.6  
       
    /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \  
    to-addresses=62.231.24.174  
     
     
     
    начинаю понимать принцип!!!  
    , что такое ДМЗ ?  
     
    Мне бы еще что бы до OpenVPN сервера 192.168.0.6 доходил ip из Интернета

     
    с такими настройками все будет доходить как ты хочешь.
     
    DMZ - (Demilitarized Zone) - это дополнительная возможность Интернет- маршрутизаторов, предназначенная для предоставления доступа к внутренним (то есть находящимися за маршрутизатором и защищенных NAT-ом) серверам (таким, как почтовый, WWW, FTP) пользователям из Интернет. Но, в отличие от "Virtual Servers", когда отображается только один порт, в данном случае запрос извне на любой порт внешнего (WAN) интерфейса отображается на такой же порт компьютера, указанного в настройках DMZ.
    Всего записей: 19 | Зарегистр. 30-11-2010 | Отправлено: 22:24 22-12-2010
    rosalin



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Tomogara765

    Цитата:
    DMZ - (Demilitarized Zone)

    да спасибо , уже нашел описание , то что надо !!!!
    Всего записей: 2655 | Зарегистр. 15-04-2003 | Отправлено: 22:35 22-12-2010
    keeper1978



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    я решил только так:  
    1. маркировать пакеты штатными средствами  
    2. маркировать пакеты по сигнатуре Layer7  
    3. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)  
    4. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)

     
     
    а можно правила увидеть по всем 4 пунктам
    Всего записей: 69 | Зарегистр. 01-06-2006 | Отправлено: 23:49 22-12-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    А это реально на микротике сделать?

    конечно, курить Option 249
    Всего записей: 3755 | Зарегистр. 05-05-2006 | Отправлено: 23:53 22-12-2010
    usr01

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    а можно правила увидеть по всем 4 пунктам

     
    1. маркировать пакеты штатными средствами  
    /ip firewall mangle
    add action=mark-packet chain=prerouting comment=all-p2p disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no
    add action=mark-packet chain=prerouting comment="\B5TP-1" disabled=no layer7-protocol="\B5TP-1" new-packet-mark=p2p passthrough=no
    add action=mark-packet chain=prerouting comment="\B5TP-2" disabled=yes layer7-protocol="\B5TP-2" new-packet-mark=p2p passthrough=no
    add action=mark-packet chain=prerouting comment=DHT disabled=no layer7-protocol=DHT new-packet-mark=p2p passthrough=no
    add action=mark-packet chain=prerouting comment=BitTorrent disabled=yes layer7-protocol=bittorrent new-packet-mark=p2p passthrough=no
     
    2. маркировать пакеты по сигнатуре Layer7  
    /ip firewall layer7-protocol
    add comment="" name="\B5TP-1" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
    add comment="" name=DHT regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
    add comment="" name="\B5TP-2" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
    add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=|get /announce\\\?info_hash=|ge\
        t\r\
        \n/ann\?uk=|get\r\
        \n/client/bitcomet/|get /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"
     
    Порядок секций в файерволе:
    /ip firewall filter
     
    3. Разрешить ВСЕ! (и торренты тоже) из листа "full" (себе любимому, корешу и т.д.) !!  
    add action=accept chain=forward comment=full disabled=no src-address-list=full
    add action=accept chain=forward comment=full disabled=no dst-address-list=full
     
    3. Разрешить порт 8080
     
    4. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
    add action=add-src-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
        packet-mark=p2p src-address=192.168.0.0/16
    add action=add-dst-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
        dst-address=192.168.0.0/16 packet-mark=p2p
    add action=log chain=forward comment=p2p-packet disabled=yes log-prefix="" packet-mark=p2p
    add action=drop chain=input comment=all-p2p disabled=no p2p=all-p2p
    add action=drop chain=input comment=p2p-mark disabled=no packet-mark=p2p
    add action=drop chain=forward comment=all-p2p disabled=no p2p=all-p2p
    add action=drop chain=forward comment=p2p-mark disabled=no packet-mark=p2p
     
    5. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)
    add action=drop chain=forward comment="!!!_BAN_!!!  -> torr" disabled=no dst-address-list=torrent protocol=tcp src-port=1000-65535
    add action=drop chain=forward comment="!!!_BAN_!!!  -> torr" disabled=no dst-address-list=torrent protocol=udp src-port=1000-65535
    add action=drop chain=forward comment="!!!_BAN_!!!  torr ->" disabled=no dst-port=1000-65535 protocol=tcp src-address-list=torrent
    add action=drop chain=forward comment="!!!_BAN_!!!  torr ->" disabled=no dst-port=1000-65535 protocol=udp src-address-list=torrent
     
    Всего записей: 7 | Зарегистр. 06-07-2009 | Отправлено: 00:41 23-12-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru