Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (17-11-2015 20:38):  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

ShriEkeR



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Цитата:
    FAQ

  1. Как скопировать лог?
      В терминале набираем /log print. Так же можно вывести в файл, для этого используйте команду: /log print file=log


  2. Как зайти на роутер, если случайно заблочил доступ в фаерволе?
      Смотря как заблочил, если привязал к интерфейсу, можно попробовать зайти с другого интерфейса. Если заблочил на всех интерфейсах то можно зайти по МАС-адресу, он может не транслироваться по MNDP и CDP (и не отображаться в поиске WINBOX), но если mac-сервер запущен (а он запущен по дефолту), то зайти можно. Для этого в адресную строку WINBOX нужно вбить МАС-адрес устройства(для SOHO на обратной стороне устройства, или на коробке, есть перечисление всех МАС-ов - один из них). Так же можно зайти через консольный кабель.


  3. Где у роутера WAN порт?
      У роутеров MIKROTIK каждый порт равноправный, поэтому понятие WAN неуместно. Провайдера можно подключить к любому из портов.


  4. Как сменить МАС адрес сетевого интерфейса?
      МАС адрес сетевого интерфейса можно сменить через консоль, набрав в ней - /interface ethernet set ether1 mac-address FF:FF:FF:FF:FF:FF, где ether1 - имя сетевого интерфейса мас-адрес которого нам нужно сменить, FF:FF:FF:FF:FF:FF - MAC-адрес. Важно понимать, что при сбросе настроек роутера, или при резете роутера эта настройка тоже сбрасывается.


  5. Как дать прямую ссылку на отдельный раздел веб-интерфейса роутера?
    Пользователю можно дать полный путь до нужного подпункта меню через веб-интерфейс (webfig). Для этого заходим через webfig на роутер, копируем путь до меню http://x.x.x.x:y/webfig/#System:Packages.Check_For_Updates, где x.x.x.x:y - ip адрес и порт. После ввода  пароля пользователю откроется сразу нужное меню. Важно понимать, что пользователь, зная логин и пароль, может изменять конфигурацию в зависимости от полноты своих прав.


  6. Интернет на роутере есть, я пингую с WINBOX хост (например ya.ru) пинг не проходит, пингую IP - проходит, как такое может быть?
      При работе через винбокс, при вносе админом в панели настроек адресов в формате URL, винбокс использует DNS-резольвер компа(!), на котором он запущен. В то же время, встроенный в винбокс telnet использует уже внутренний DNS микротика. Это объясняет "странность", когда URL не распознаются микротиком при настройке.


  7. У меня есть web-сервер внутри сети, но я не могу зайти на него с внешнего ip\внешнего хоста. Что делать?
      Для того, что бы сайты были доступны из внутренней сети по внешнему ip, нужно воспользоваться настройкой Hairpin NAT.


  8. Как привязать маршрут конкретно к интерфейсу, при наличии одинаковой адресации от одного провайдера и одного шлюза, но нескольких айпи, на разных линках?
      Для этого маршруты добавляем таким образом:
    Код:
    /ip route add gateway=10.10.0.1%ether1 routing-mark=inet1

    /ip route add gateway=10.10.0.1%ether2 routing-mark=inet2
    , где к ether1 привязываем пакеты с меткой inet1, а к ether2 пакеты с меткой inet2. Подробнее....


  9. Как автоматически передать и выполнить скрипт с одного роутера на другой?
      Для этого в планировщике первого роутера выполняем скрипт
    Код:
    /tool fetch mode=ftp upload=yes address=0.0.0.0 port=2121 user=admin password=admin ascii=yes src-path=1.txt dst-path=1.auto.rsc
    , где по фтп передается файл 1.txt, в котором содержится сценарий для второго микротика, и в процесе передачи переименовывается в 1.auto.rsc. Как только файл с раширением .auto.rsc попадет на второй микротик, он тут же выполнится.


  10. Устройство apple не может отобразить страницу HOTSPOT.
      Устройства apple при подключении обращаются на страницу http://www.apple.com/library/test/success.html, для того, что бы разрешить обращение:
    Код:
    /ip hotspot profile set hsprof1 dns-name=""

    /ip hotspot walled-garden

    add action=allow comment="" disabled=no dst-host=www.apple.com path=/library/test/success.html
    Подробнее...


  11. Как автоматически выполнить какие-либо действия не заходя на рутер?
      По правильному для этого стоит использовать API или WebFig. Система разрешений на данный момент не позволяет детально разграничивать права пользователей в ROS.
    Простенький бат-скрипт для включения wlan1-private интерфейса может выглядеть так:
    Код:
    ::
    set host=192.168.1.1
    set port=22
    set user=robot
    set password=******
    set "command=/interface wireless enable wlan1-private"
    ::
    echo y | d:\Install\Programs\SSH\Putty\PLINK.EXE -P %port% -l %user% -pw %password% %host% "%command%"
    ::
    Будьте внимательны! В данном подходе пароль сохраняется в батнике в открытом виде и у данного пользователя полные права в системе.


  12. Какие UPS поддерживает RouterOS?
       Операционная система поддерживает UPS ТОЛЬКО фирмы APC, которые используют протокол APC Smart protocol, но как показала практика работают и ИБП более дешевого сегмента APC Back-UPS. В последних основные параметры работают, но могут не поддерживаться второстепенные функции.(Но сказать по-правде, в боевом режиме использование данный серии затруднено, упс может отпасть, или не появиться в микротике после выключения, короче говоря оно то работает, но кривовато, поэтому используйте Smart-UPS и радуйтесь) К роутерам можно подключить UPS через USB или COM-порт. Это касается и x-86 и SOHO-сегмента. Так же по USB можно подключить через USB-HUB.


  13. К роутеру подключаются клиенты по PPP, для этих клиентов нужно сделать правила в  firewall и его привязать к интерфейсу конкретного клиента. Если привязать к динамическому интерфейсу, то при отключении клиента правило в firewall становиться недействительное, т.к. интерфейса этого нет.
      Можно поступить следующим образом: под клиента создать интерфейс L2TP Server Binding или PPTP Server Binding в зависимости от типа подключения, в поле User указать имя с secret, и интерфейс будет статическим с статическим именем, поэтому можно применять к нему правила.


  14. Как узнать какой интерфейс соответствует физическому порту?
      Иногда администраторы RouterOS переименовывают интерфейсы, что бы узнать какой интерфейс соответствует физическому порту можно воспользоваться кнопкой Interfaces -  Blink и смотреть какой порт мигает. Но эта функция может не поддерживаться некоторыми устройствами. Так же можно воспользоваться командой  interface ethernet export , которая в поле find default-name покажет реальный номер порта. Так же команда /interface ethernet print detail where name=bla, где bla - текущее имя интерфейса, покажет в  default-name нужное нам имя.


  15. Как ограничить один аккаунт PPP одной сессией?
      В настройка профиля, который используется в PPP параметр  "limits - only one"поставить в yes.


  16. В логе появилась запись синим цветом "warning excessive or late collision, link duplex mismatch?"
      На порту возникает несоответствие из-за автоматического согласования, причины в ссылке выше. Решить проблему можно отключением autonegotiation в настройка порта и включение принудительного режима порта, например 100Mbit, full duplex.


  17. Как удалить лог?
      Воспользоваться скриптом:
    Код:
    /system logging action
    set memory memory-lines=1
    /system logging action
    set memory memory-lines=100
    как видно этот скрипт удаляет лог из категории "memory" с 1 по 100 линию. Модифицируем под свои нужды.


  18. Как сделать экспорт конфигурации без паролей (например пользователей vpn)?
      Стоит сказать, что пользователи операционной системы не экспортируются в целях безопасности. Для большей безопасности вы можете воспользоваться ключём hide-sensitive при выполнении export. Команда: export hide-sensitive  Например пользователи PPP при такой команде будут экспортироваться без паролей. С версии 6.13 можно зашифровать бекап паролем, включено по умолчанию, что-бы не использовать - включите флаг dont-encrypt.


  19. Как отключить гашение(переход в режим энергосбережения) монитора в простое (речь о х86)?
      Команда:  /system console screen set blank-interval=never.  


  20. Как ограничить доступ к файлу в роутере оперделенным пользователям?
      С версии 6.13 если в имени файла содержаться '.sensitive.' и у пользователя нет права sensitive, доступ к этому файлу будет ограничен.


  21. На некоторых роутерах есть разьем сзади RG45. Для чего он?
      Это консоль. Кабель подойдёт от Cisco. Подробнее...


  22. Как настроить wep-шифрование?
     Ссылка на оф. форум.


  23. Как во время монтажа беспроводных точек важно точно направить их друг на друга?
      Во время монтажа беспроводных точек важно точно направить их друг на друга. Откройте настройки беспроводного интерфейса wlan1 и перейдите на вкладку Status. Сначала направляйте антенны в горизонтальной плоскости и следите за уровнями Tx/Rx Signal Strength, а потом в вертикальной плоскости. Хорошими уровнями считаются -60...-70 dBm. Также смотрите, чтобы перекос по поляризациям был минимальный. Значения Tx/Rx должны быть в идеале равны.


  24. Как организовать работу нескольких web-серверов за микротиком?
      Нужно сделать проброс:
    Код:
    /ip proxy
    set enabled=yes max-cache-size=none
    /ip dns static
    add address="вебсервер1" name=www.porno.com
    add address="вебсервер2" name=www.cisco.com
    /ip firewall nat
    add action=redirect chain=dstnat dst-address="публичный айпи" dst-port=80 \
        protocol=tcp to-ports=8080

     Прокси защитить снаружи.


  25. Порты объединены в бридж. В арп таблице маки показываются на интерфейсе бридж.  
     Есть ли возможность в просмотреть с какого порта роутер услышал мак?

     
    Код:
    /interface bridge host print
    Или в меню слева "Bridge" закладка "Hosts".


  26. Проброс rdp (555 -> 3389) с запретом всего остального. Как решить?
       
       
     
       
       
     
       
       


  27. Как сделать что б SSID микротика постоянно был на первом месте в списке сетей?
     В поле SSID перед именем сети поставить пробел. На версии 5.x это можно сделать только через терминал. Так же при экспорте конфигурации пробел пропадает.


  28. Как организовать Hairpin NAT при динамическом внешнем IP?
     
    Код:
    in-interface=интерфейс dst-address-type=local

    Пример:

    Код:
    /ip firewall nat  
       
     add action=dst-nat chain=dstnat comment="Nxt API portmap" dst-port=7876 in-interface=ether1 protocol=tcp to-addresses=192.168.1.150  
       
     add action=dst-nat chain=dstnat comment="Nxt API portmap local" dst-address-type=local dst-port=7876 in-interface=brg_home_all protocol=tcp to-addresses=192.168.1.150  
       
     add action=masquerade chain=srcnat comment="Nxt API portmap local masq" dst-address=192.168.1.150 dst-port=7876 protocol=tcp src-address=192.168.1.0/24



  29. Как вывести в лог скриптом сообщение другого цвета?
    BLACK
    log info "blah blah this log is in black"
    BLUE
    log warning "blah blah this log is in blue"
    RED
    log error "blah blah this log is in red"


  30. Как отключить режим энергосбережения для работы при экстремально-низких температурах?
    mikrotik cpu-mode (power-save | regular; default: power-save) - whether to enter CPU suspend mode in HTL instruction. Most OSs use HLT instruction during CPU idle cycle. When CPU is in suspend mode, it consumes less power, but in low-temperatire conditions it is recommended to choose regular mode, so that overall system temperature would be greater.


  31. Как подключить юзера по vpn с доступом в локальную подсеть, при условии, что он находиться в той же подсети?
    Пример:

    Цитата:
    1) Включаем vpn сервер, добавляем юзера, ip vpn сервера из той же сети, что и Ether2-master-local, в моем случае Ether2-master-local = 192.168.1.1; vpn server=192.168.1.30 vpn client=192.168.1.35 Все остальные настройки vpn оставлены по умолчаниям, как в микротике так и в винде, если vpn клиенту не нужен интернет с тика, то в свойствах подключания vpn галочку использования основного шлюза в удаленной сети снимаем.
     2) На интерфейсе Ether2-master-local переключаем ARP из положения enable в proxy.
     3) Подключаемся извне к тику по vpn, соединение устанавливается.
     4) Теперь с любого хоста в локалке за тиком из сети 192.168.1.0/24 можем пинговать ip подключенного клиента vpn - 192.168.1.35
     5) Так же, с удаленного клиента 192.168.1.35 можем пинговать любой хост в локальной сети, например 192.168.1.7 обмен пингами теперь двусторонний. Самое главное удалось этого добиться без mangle, статических роутов на тике и на клиенте, без адрес листов. Теперь все работает как и положено.



  32. Как при резервировании канала, при переключении сбрасывать установленные UDP-соединения?
     
    Код:
    :foreach i in=[/ip firewall connection find dst-address~":2227" protocol~"udp"] do={ /ip firewall connection remove $i }
     При ненадобности номер порта можно и не упоминать.


  33. Как пустить отдельную машину только через одного определенного провайдера не использую прероутинг?
     
    Код:
    /ip route add gateway=1.1.1.1 routing-mark=markName
    /ip route rule add src-address=192.168.0.12 action=lookup-only-in-table table=markNmae



  34. Где утилита Winbox хранит свои настройки?
      в Windows XP - C:\Documents and Settings\%USER%\Application Data\Mikrotik\
      в Windows 7  - C:\Users\%USER%\AppData\Roaming\Mikrotik\


  35. Как сделать обработку ошибок в скрипте?
    Пример:  

    Код:
    o {
             :resolve domena.net
          } on-error={
              /log warning ("Error")
          }



  36. Как вызвать доп-процедуру с переменной?
    Пример:  

    Код:
    [admin@MikroTik] > :global fun do={:put "YES!!!"}    
    [admin@MikroTik] > $fun
    YES!!!



  37. Как скриптом завершить работающий скрипт?
    Пример:  

    Код:
    /system script job remove $id
    Подробнее...


  38. Есть /ip dhcp-server lease статические записи, нужно выбрать по host-name все записи у которых встречается "mak"?
    Пример:  

    Код:
    /ip dhcp-server lease print where !dynamic and host-name~"mak"



  39. Как отключить ненужные записи в лог?
    В System - logging и в основном правиле инфо добавляем две строки исключающие ненужные записи(правило со знаком "!")
       


Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 20:38 17-11-2015
   

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)
ShriEkeR (17-11-2015 20:38):


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru