cyb_x Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     Официальный сайт : http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ для версии 2.8.х http://www.mikrotik.com/docs/ros/2.8/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page     Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux. Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Исходные данные:   2 локальные сети: 192.168.0.0/24 и 192.168.34.0./24   Между ними роутер микротик с двумя интерфейсами, смотрящими каждый в свою сеть.   На микротике поднимается VPN(PPTP)-соединение в локалку провайдера.   Провайдер в свою очередь транслирует адреса в инет.       Проблема в том что при установлении VPN-соединения на микротике - VPN-сервер провайдера присваивает адрес сервера/клиента совпадающий с одной из исходных локалок (192.168.0.0/24), добавляет default getway микротику - 192.168.0.1. В результате чего, ессно, исходные локалки перестают правильно роутиться.   Подозреваю, что нужно идти в закладку Rules роутинга, но хотелось бы знать 100%-но правильное решение. Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 19:04 07-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору SFH   Ты не понял. Я поднимаю не PPTP сервер на микротике, а PPTP клиента для коннекта с PPTP-сервером провайдера. Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 17:26 08-10-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору NewClass Цитата: Кто знает как сделать импорт в микротике? наверное кто-нибудь да знает, но никто не скажет, пока не откроешь сокровенную тайну чего ты хочешь в микротик импортировать ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 13:24 11-10-2007

cyb_x Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Fader я так понимаю 192.168.0.0\24 - это твоя локалка, если так то: придеться менять подсеть с  192.168.0.0\24 на скажем 10.0.10.0\24 (или любую другую, отличную от 192.168.0.0\24) Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 11:47 16-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору cyb_x Такое решение было бы очень трудоемким, учитывая что IP статические. Но я уже решил эту проблему - пнул провайдера.   Теперь возник другой вопрос: необходимо все адреса одной сети транслировать (NAT) только на определенные адреса другой. Не догоняю как должно выглядеть правило NAT. Тупо выбрать action=masqurade для трансляции НА ВСЕ адреса не подходит. Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 17:54 16-10-2007

cyb_x Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Fader http://www.mikrotik.com/testdocs/ros/2.9/ip/nat.php Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 23:54 21-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору cyb_x Шапку я умею читать.     Но даже почитав описания нижеприведенных экшенов - не разобрался...   accept - accepts the packet. No action is taken, i.e. the packet is passed through and no more rules are applied to it   add-dst-to-address-list - adds destination address of an IP packet to the address list specified by address-list parameter   add-src-to-address-list - adds source address of an IP packet to the address list specified by address-list parameter   dst-nat - replaces destination address of an IP packet to values specified by to-addresses and to-ports parameters   jump - jump to the chain specified by the value of the jump-target parameter   log - each match with this action will add a message to the system log   masquerade - replaces source address of an IP packet to an automatically determined by the routing facility IP address   netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks   passthrough - ignores this rule goes on to the next one   redirect - replaces destination address of an IP packet to one of the router's local addresses   return - passes control back to the chain from where the jump took place   same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client   src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 00:41 22-10-2007 | Исправлено: Fader, 00:43 22-10-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Fader Цитата: Но даже почитав описания нижеприведенных экшенов - не разобрался...   Дык надо не экшны читать, а про выборку. примерно это выглядит так: в мангле делаешь правило, которое отлавливает пакеты от адресов которые нужно натить и помечаешь. далее идешь в списки сетей делаешь список сетей при работе с которыми нужно натить. потом делаешь правило ната: при посылке пакета от маркированных ип в список сетей, action masquerade. вот тебе теория которая при правильной настройке будет работать. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 08:38 22-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Raredemon   Хм... интересный вариант,... отмаркировать пакеты. Но я думал что, если достаточно только одного правила НАТ для натирования определенного(-ных) адреса(-ов) в другую сеть, то будет так же достаточно только одним правилом НАТ разрулить и мою проблему (натировать все адреса одной сети для обращения только к определенным адресам другой). Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 11:44 22-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору alfred444 Установка RouterOS Mikrotik: система работает, администратор отдыхает (первоисточник) Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 15:36 22-10-2007

kradenkov Newbie Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Две локалки: 192.168.0.0/24 192.168.2.0/24   на 192.168.0.100 L2TP Server с адресом     микротик 192.168.2.101 подключен как 10.0.1.3/24     пинги из сетки в сетку идут. А вот к удаленному рабочему столу, например, подключается нестабильно или вовсе не подключает. Потери пакетов нет.       Цитата: [admin@FreeBSD_1M_NEW] > ip firewall filter print Flags: X - disabled, I - invalid, D - dynamic  0   ;;; Drop invalid connection packets      chain=input connection-state=invalid action=drop    1   ;;; Allow established connections      chain=input connection-state=established action=accept    2   ;;; Allow established connections      chain=forward connection-state=established action=accept    3   ;;; Allow related connections      chain=input connection-state=related action=accept    4   ;;; Allow related connections      chain=forward connection-state=related action=accept    5   ;;; Allow UDP      chain=input protocol=udp action=accept    6   ;;; Allow UDP      chain=forward protocol=udp action=accept    7   ;;; Allow ICMP Ping      chain=input protocol=icmp action=accept    8   ;;; Allow ICMP Ping      chain=forward protocol=icmp action=accept    9   ;;; Drop invalid connection packets      chain=forward connection-state=invalid action=drop   10   chain=forward out-interface=LAN src-address=192.168.2.0/24 action=accept   11   chain=forward in-interface=LAN dst-address=192.168.2.0/24 action=accept   12 X ;;; MASQUERADE_ALL      chain=forward src-address-list=MASQUERADE_ALL action=log      log-prefix="MASQ_ALL"   13   ;;; MASQUERADE_ALL      chain=forward src-address-list=MASQUERADE_ALL action=accept   14   ;;; Access to Miktotik by IP-address      chain=input protocol=tcp dst-port=8291 action=accept   15   ;;; Allow DNS requests      chain=input in-interface=LAN protocol=tcp dst-port=53 action=accept   16   ;;; Access ALL port forwarding to LOTUS      chain=forward dst-address=192.168.0.250 action=accept   17 X chain=forward protocol=tcp dst-port=5222-5223 action=log      log-prefix="JABBER"   18   ;;; WebProxy      chain=input in-interface=LAN src-address=192.168.0.0/24 protocol=tcp      dst-port=3128 action=accept   19   chain=input in-interface=!LAN protocol=tcp dst-port=3128 action=drop   20   ;;; Allow 5190 for ICQ      chain=forward protocol=tcp dst-port=5190 src-address-list=!ICQ      action=drop   21   ;;; Torrent for 0.61      chain=forward protocol=tcp dst-port=32000 action=accept   22   ;;; POP3      chain=forward protocol=tcp dst-port=110 action=accept   23   ;;; SMTP      chain=forward protocol=tcp dst-port=25 action=accept   24   ;;; Client-banking      chain=forward protocol=tcp dst-port=8804 action=accept   25   ;;; 443 port forwarding      chain=forward protocol=tcp dst-port=443 action=accept   26   ;;; Log ALL dropped in FORWAD chain      chain=forward action=log log-prefix="FORWARD_DENY"   27   ;;; All other inputs drop      chain=forward action=drop   28   chain=input protocol=tcp dst-port=22-23 action=accept   29 X ;;; Log droped INPUT      chain=input action=log log-prefix="DROP_INPUT"   30   ;;; All other inputs drop      chain=input action=drop     [admin@FreeBSD_1M_NEW] ip> route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf  #     DST-ADDRESS        PREF-SRC        G GATEWAY         DISTANCE INTERFACE  0 ADC 10.0.1.2/32        10.0.1.1                                   l2tp-video  1 ADC 10.0.1.3/32        10.0.1.1                                   l2tp-dhz  2 ADC 192.168.0.0/24     192.168.0.100                              LAN  3 A S 192.168.2.0/24                     r 10.0.1.3                 l2tp-dhz  4 A S 192.168.5.190/32                   r 10.0.1.2                 l2tp-video  5 A S 192.168.5.0/24                     r 192.168.0.101            LAN  6 ADC 213.130.10.48/32   89.105.ффф.чч                              pppoe-1024  7 AD  0.0.0.0/0                          r 213.130.10.48   1        pppoe-1024   [admin@FreeBSD_1M_NEW] > interface print Flags: X - disabled, D - dynamic, R - running  #    NAME                         TYPE             RX-RATE    TX-RATE    MTU  0  R LAN                          ether            0          0          1500  1  R WAN                          ether            0          0          1500  2  R pppoe-1024                   pppoe-out        0          0          1480  3  R l2tp-video                   l2tp-in          0          0          1460  4  R l2tp-dhz                     l2tp-in          0          0          1460 Всего записей: 4 | Зарегистр. 05-02-2007 | Отправлено: 16:14 22-10-2007 | Исправлено: kradenkov, 16:15 22-10-2007

Fader Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору zaharmd полагаю что - отмаркировать в Firewall - Mangle пакеты этого IP/на этом порту и на основе этого марка заНАТить на Ether2. Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 11:29 23-10-2007 | Исправлено: Fader, 11:32 23-10-2007

Raredemon Advanced Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Fader Цитата: полагаю что - отмаркировать в Firewall - Mangle пакеты этого IP/на этом порту и на основе этого марка заНАТить на Ether2. 100% попадание у меня так работает выборочный нат в выборочные сети для выборочных клиентов. ---------- Designed for Windows XP. Powered by Gentoo! Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логу прокси.... Всего записей: 1787 | Зарегистр. 03-09-2003 | Отправлено: 12:12 23-10-2007

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование