ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Chupaka т.е. разрешить пакеты отовсюду, кроме WAN. а LAN в примере - это ether2,3,etc спасибо, теперь думаю что дошло вся проблема в переводе, короче WAN интерфейс находится на ether1, и правило разрешает все пакеты кроме WAN то бишь ether1... тогда подскажи как будет правильнее, если например у меня на ether2 поднимается PPPoE, то мне нужно указывать в правиле !PPPoE или !ether2? PPPoE это туннель между тиком и сервером провайдера, получается что тут вроде нечего блокировать.... тогда скорее всего правильнее будет сделать !ether2, так как он смотрит в сеть провайдера...   и все равно есть еще вопросы, если у меня несколько внешних интерфейсов, то необходимо создавать такое правило для каждого.... наверное конечно да... но что то я   уже перегрелся с тиком и опять о работе этого правила, то есть оно запрещает прохождение пакетов на интерфейсе смотрящем в мир от IP 192.168.0.0/24 кроме интерфейса LAN смотрящего в локальную сеть? тогда получается что пакеты например из сети 10.0.0.0.24 будут проходить? Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 01:02 12-01-2011 | Исправлено: vlh, 01:17 12-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh действительно перегрелся =)   если внешек несколько - то лучше каждую заблокировать отдельно, иначе вторая внешка попадёт при случае под правило, которое разрешает всё, кроме первой внешки   Цитата: тогда получается что пакеты например из сети 10.0.0.0.24 будут проходить? нет, потому как в правиле указано, что подсеть должна быть именно 192.168, а интерфейс - именно НЕ такой-то. если хотя бы одно условие не выполняется - правило не срабатывает Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 01:26 12-01-2011

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребята получилось ли настроить IPSec на  Mikrotik PC 3.2x   поднял тунель L2TP , ну и для полного счастья хотелось бы полноценной поддержки IPSec   пока у клиентов отключаю "ProhibitIpSec"=dword:00000001 Всего записей: 2648 | Зарегистр. 15-04-2003 | Отправлено: 02:21 12-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Ребята получилось ли настроить IPSec на  Mikrotik PC 3.2x   вынес в шапку "Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком" - не помогает? Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 02:48 12-01-2011

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka нет , вообщем и делал сообща , с автором поста !!! , как мне кажеться надо настраивать еще police на Микротике, Всего записей: 2648 | Зарегистр. 15-04-2003 | Отправлено: 09:11 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rosalin Проблема с дефолтным маршрутом у тебя решилась? Если нет, значит дело, увы, не в подключении. Проверь на другом ПК.   Полисы создадутся автоматически, так как в пире стоит галочка их генерировать. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 09:19 12-01-2011 | Исправлено: faust72rus, 09:20 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Что то мне подсказывает что на самом деле нужно: Код:   add action=accept chain=input comment="" disabled=no in-interface=wan-1 src-address-list="(reserve_channel)" add action=accept chain=input comment="" disabled=no in-interface=wan-2 src-address-list="(reserve_channel)" add action=accept chain=input comment="" disabled=no in-interface=wan-3 src-address-list="(reserve_channel)"       Если твоей целью было разрешить трафик от src-address-list="(reserve_channel)" до твоего маршрутизатора (т.е. на Input) через любой интерфейс. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 11:00 12-01-2011 | Исправлено: faust72rus, 11:00 12-01-2011

vlh Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору faust72rus вы опять не внимательно прочитали наши посты мы обсуждали настройку Firewall из этого мануала - тут и меня интересовало правило: Код: add chain=input src-address=192.168.0.0/24 action=accept in-interface=!ether1 что оно запрещает?, ответ я прочитал и понял, оно разрешает IP 192.168.0.0/24 на всех интерфейсах кроме указанных в правилах... был еще вопрос: 1. на каких интерфейсах нужно это делать на физических или на поднятых PPPoE? 2. почему под первое правило что то попадает, а под остальные нет, но если мы первое правило переместим вниз то под него перестают попадать пакеты, а начинают попадать под второе правило которое стало теперь первым? Получается что срабатывает только первое правило которое стоит в списке.... Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 11:47 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Цитата: что оно запрещает?, ответ я прочитал и понял, оно разрешает IP 192.168.0.0/24 на всех интерфейсах кроме указанных в правилах...     Правильнее и логичнее читать так: Оно разрешает трафик с адресов 192.168.0.0/24 со всех интерфейсов КРОМЕ Ether1 А значит оно не разрешает (а если совсем точно, то игнорирует) трафик с адресов 192.168.0.0/24 для интерфейса Ether1. И именно для запрета в мануале там идёт последнее правило: Код: add chain=input action=drop comment="Drop everything else" По поводу первого: на все которые есть в меню Interfaces. (но разумеется ты не можешь сделать правило для ещё не поднятого интерфейса, например для не подключенного PPTP клиента)   По поводу второго всё вроде логично.   Если ты сделал правило для ВСЕГО кроме А, т.е. для Б и Ц. То трафик для Б и Ц будет в него попадать, но трафик для А попадать в него не будет, но он окажется во втором правиле, которое для ВСЕГО кроме Б. Соответственно третье твоё правило идёт лесом, т.к. в первые два уже "всё включенно". При перемещении первого правила в конец, два другие с лёгкостью заменяют его, т.к. опять же они охватывают все твои интерфейсы (включая даже те что ещё не созданы).   Что то напутал? Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 11:51 12-01-2011 | Исправлено: faust72rus, 12:05 12-01-2011

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору ребята столкнулся с проблемой ,   клиенты подключаються по L2TP, все пингуеться но нет доступа к общим папкам в локальной сети .     отключаю   21 X ;;; All other forwards drop      chain=forward action=drop     все работает!!! Всего записей: 2648 | Зарегистр. 15-04-2003 | Отправлено: 12:26 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rosalin У тебя вероятно есть правило которое отдельно разрешает forward для пинг протоколов.     А это Код: 21 X ;;; All other forwards drop      chain=forward action=drop     Правило дропает весь проходящий через маршрутизатор трафик.     Т.е. тебе нужно создать ещё одно правило выше этого:   Код: add chain=forward src-address=L2TP_Address action=accept out-interface=LAN_int!   Добавлено: vlh Я написал что при использовании in-interface=!ЧТОТОТАМ первые два таких правила полностью будут учитывать ВСЕ интерфейсы (не три правила, а просто два).   Почему ни во втором ни в третьем нет трафика я сказать не могу, потому как нужно увидеть принт всех фильтров. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 12:30 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Принтани все правила... чего то нехватает. Ну и интерфейсы тоже принтани. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 12:44 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Ну теперь добавь в самое начало: chain=forward action=log in-interface=PABLIC_XX (тут основной интерфейс)   и смотри что появится в логах Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 13:33 12-01-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору vlh Значит будет несколько правил.   И все они будут именно с указанием конкретного интерфейса. А НЕ с указанием "!интерфейс". Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 14:11 12-01-2011 | Исправлено: faust72rus, 14:12 12-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору мать... я ж писал:   Цитата: если внешек несколько - то лучше каждую заблокировать отдельно, иначе вторая внешка попадёт при случае под правило, которое разрешает всё, кроме первой внешки     т.е. нужен не accept для in-interface=!чётотам, а дроп для in-interface=чётотам Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 15:49 12-01-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование