Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

cyb_x



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Neym
    хм... насколько помню, routing-test просто отключится после установки... проверить?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:08 22-07-2009
    Neym

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    shumaher85
     
    Ты наверно за NAT'ом сидишь. Пробрось порт своего bit-torrent клиента у себя на роутере (если у тебя внешний ip есть, пусть даже динамический иначе тряси провайдера чтобы пробросил.).  
     
    Добавлено:
    Еще один вопрос по скриптингу в МТ.
     
    Нужно следуещее:
     
    При поключении абонента по pptp чтобы в mangle поднимались правила up/down с меткой покетов именем клиента, далее чтобы генерировались правила в queue tree.  
     
    Соответственно при отключении клиента, чтобы правила с mangle и queue tree удалялись/деактивировались.
     
    Проблема в следующем. Во-первых я так понял невозможно запускать скрипт on-event/по событию, при подключении абонента, соответственно скрипт должен проверять не подключился ли новый клиент каждую секунду, а значит должен иметь БД подключенных абонентов и проверять по нему или уалять записи из него.
     
    Во-вторых как найти правило из списка mangle соответсвующее этому абоненту чтобы удалить его при отключении, т.к. правила там идут в перемешку с динамическими и по номеру не вариант.
     
    RADIUS не подключен, нужно сделать все исключительно средствами МТ.
     
    Добавлено:
    Да и обязательно сначала метить соединения, а потом пакеты в этом соединении, или можно сразу пометить пакеты, к примеру все пакеты с in-interface=<pptp_user1>  пометить user1-in и все пакеты  out-interface=<pptp_user1> пометить user1-out ??
    Всего записей: 101 | Зарегистр. 28-11-2007 | Отправлено: 18:10 22-07-2009
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Neym
    в профиле pptp указать Address List - в него будут добавляться адреса клиентов при подключении. их и маркировать. а в Queue Tree использовать всего две очереди типа PCQ
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:19 22-07-2009
    Neym

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     Не совсем понял твою мысль. Можно поподробней?
     
    Да и столкнулся с еще одной проблемой в шейпере.
     
    Накатал пару правил, но что-то не работают они как надо.
     
    Вот mangle:
     

    Код:
     
    [vesper@IPSec-GW] /ip firewall mangle> print detail
    Flags: X - disabled, I - invalid, D - dynamic
     0   chain=prerouting action=mark-connection new-connection-mark=tornado-out
         passthrough=yes src-address=10.10.0.13 dst-address-list=od-ix
     
     1   chain=prerouting action=mark-packet new-packet-mark=tornado-out
         passthrough=no connection-mark=tornado-out
     
     2   chain=prerouting action=mark-connection new-connection-mark=tornado-in
         passthrough=yes dst-address=10.10.0.13 src-address-list=od-ix
     
     3   chain=prerouting action=mark-packet new-packet-mark=tornado-in
         passthrough=no connection-mark=tornado-in
     

     
    А это Queue Tree:
     

    Код:
     
    [vesper@IPSec-GW] /queue tree> print detail
    Flags: X - disabled, I - invalid
     0   name="ftp-queue" parent=global-total packet-mark="" limit-at=0 queue=pcq
         priority=8 max-limit=50000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     
     1   name="od-ix" parent=global-total packet-mark="" limit-at=0 queue=pcq
         priority=8 max-limit=50000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     
     2   name="inet-in" parent=global-in packet-mark="" limit-at=0 queue=pcq
         priority=7 max-limit=5000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     
     3   name="inet-out" parent=global-out packet-mark="" limit-at=0 queue=default
         priority=8 max-limit=5000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     
     4   name="tornado-in" parent=od-ix packet-mark=tornado-in limit-at=512000
         queue=pcq priority=8 max-limit=50000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     
     5   name="tornado-out" parent=od-ix packet-mark=tornado-out limit-at=512000
         queue=pcq priority=8 max-limit=50000000 burst-limit=0 burst-threshold=0
         burst-time=0s
     

     
    Входящий трафик шейпется по правилу tornado-out, tornado-in вообще 0 bps и 0 B, трафик через эту очередь вообще не идет.
    Хотя в mangle пакеты метятся, ито как-то непонятно. Статистика makr-packet в 10раз превышает статистику mark-connection, хотя траффик то один, и статистика должна быть одинакова. Чертовщина какая-то...
     
    Пример настройки mangle и queue брал из http://wiki.mikrotik.com/wiki/TransparentTrafficShaper Только вместо simple очередей использовал Tree.
    Всего записей: 101 | Зарегистр. 28-11-2007 | Отправлено: 02:15 23-07-2009
    larin58



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте!
     
    Появилась с недавних пор частая ошибка в логе хочу разобраться:
     
    jul/22 22:11:38 pptp,info TCP connection established from 10.4.145.38  
    jul/22 22:11:38 pptp,ppp,info <pptp-0>: waiting for call...  
    jul/22 22:11:38 pptp,ppp,info <pptp-0>: authenticated  
    jul/22 22:11:39 pptp,ppp,info <pptp-0>: connected  
    jul/22 22:11:39 pptp,ppp,info,account igor logged in, 172.16.1.14  
    jul/22 22:11:39 pptp,ppp,error could not add address: already have such address (6)  
    jul/22 22:11:39 pptp,ppp,info,account igor logged out, 1 108 120 6 9  
    jul/22 22:11:39 pptp,ppp,info <pptp-igor-1>: terminating... - could not add address: already ha
    ve such address (6)  
    jul/22 22:11:39 pptp,ppp,info <pptp-igor-1>: disconnected  
     
    Юзеры подключаються к тику по VPN все было отлично пол года никто ничего не трогал, теперь часто при подключении юзера пишет ошибку что "такой" IP уже занят (т.е. якобы данный юзер уже подключен) и рвет соединение. IP адреса у всех статические и НЕ повторяются. Человеку достаточно несколько раз попытаться зайти и тик его обычно на 3-5 раз пускает. Причем на других пользователях эта ошибка может вообще не проявляться... Потом долгое время опять все работает нормально потом опять появляется у конкретных пользователей на протяжении недели, в общем зависимости никакой нет и проявляется на разных пользователях.
     
    Данная ошибка проявлялась и на версии 3.16 и на 3.20 и на 3.23 одинаково. Появилась сама по себе никакие настройки в тике не менялись.
     
     
    Кто, что может подсказать по этому поводу?
    Всего записей: 108 | Зарегистр. 25-07-2005 | Отправлено: 02:55 23-07-2009
    Demon

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Neym
    На сколько я знаю, при форвандинге если получент ответ от первичного сервера (даже отрицательный), то запрос на вторичный не идет. А мне нужно, что бы при отрицательном ответе запрос шел на второй dns, а потом может и на третий. А прописывать статически адреса чужих ресурсов, да это работает. но это не правильно, хотя бы потому, что я не знаю всех их ресурсов
    Всего записей: 583 | Зарегистр. 03-10-2001 | Отправлено: 10:29 23-07-2009 | Исправлено: Demon, 10:31 23-07-2009
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Neym
    самое главное заблуждение при составлении вышеприведённых правил: connection - существо на самом деле двунаправленное. то есть "chain=prerouting action=mark-connection new-connection-mark=tornado-out passthrough=yes src-address=10.10.0.13 dst-address-list=od-ix" метит соединение, по которому пакетики бегают уже в обе стороны: как от клиента к серверу, так и обратно. соответственно, src-address можно убрать, а метку заменить на просто "tornado"
     
    дальше как раз наоборот: когда помечаем пакеты коннекшена "tornado", то для пакетов с src-address=10.10.0.13 ставим метку "tornado-out", а для dst-address=10.10.0.13 - соответственно "tornado-in". после этого всё должно заработать
     
    Добавлено:
    Demon
    RouterOS - это операционка маршрутизатора, а не name-сервера, етц. их DNS-сервер - ультрабазовый, для кэширования одного провайдера. никаких зон, всё по минимуму
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:43 23-07-2009
    Graf_Vurdalak



    Newbie    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    2 конторы, 1 инет
     
    Суть такая: есть 2 конторы для одного провайдера. У каждой по своему ип-адресу. есть 1 канал "весом" 1МБ. В Микротике 4 карты.
    Задача: Контору 1 пустить в инет полностью (трафик режется у них у самих) на скорости 512, а вторую контору уже делить и рулить на микротике.
     
    Пояснения: сделать то можно, просто хочу узнать пожелания какие можете сказать.
     
    Проблемы:
    1. Можно ли управляя скоростью через Queue регулировать канал который бриджем зацеплен?
    2. И вообще можно ли так: 1-я контора юзает инет через бридж, но микротик урезает скорость до 512 (через бридж чтобы в нате не прописывать порты, т.к. у них у самих все настроено), 2-ю контору полностью рулить через нат и скорость резать в тех же queue?
    Всего записей: 5 | Зарегистр. 23-07-2009 | Отправлено: 11:44 23-07-2009
    Neym

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    larin58
     
    Обрати внимание на эту строчку:
     

    Цитата:
    jul/22 22:11:39 pptp,ppp,error could not add address: already have such address (6)  

     
    Это значит что при подключении абонента у тебя ему присваивается уже существующий ип-адресс. Из-за чего конфликт. Или введи всем абонентам ип-адресс вручную, статистически или создай adress-pool
    Например так:

    Код:
     
    [vesper@IPSec-GW] /ip pool> add name="pptp-pool" ranges=172.16.0.2-172.16.0.254
     
     
    И укажи этот pool в своем ppp-profile для абонентов в поле Remote Address
     
    Добавлено:
    Chupaka
     
    Спасибо! Буду пробовать
    Всего записей: 101 | Зарегистр. 28-11-2007 | Отправлено: 12:00 23-07-2009
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Graf_Vurdalak
    1. можно. в третьей версии только /interface bridge settings set use-ip-firewall=yes поставить
    2. тоже не вижу трудностей. главное пакеты правильные помечать, не напутать =) тогда получится, что на бридже висит внешний адрес и первая контора (а-ля роутер воткнут в свитч вместе с линком провайдера и первой конторой, которая ходит (полу)прозрачно (через наше ограничение 512к) к провайдеру), а с интерфейса бриджа на интерфейс роутера, к которому подключена вторая контора, мы и будем маршрутизацией заниматься
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:32 23-07-2009
    Neym

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    Всеравно, tornado-in трафик идет, а tornado-out пустая очередь. хотя пакеты метяться на out.
    и уже и in и out одинаково метил tornado а пакеты по ним уже соответственно *-in и *-out.
     
    Да и еще. Мне нужно разделить траффик на адресс-лист od-ix и с него -до 50Мбит и отдельно внешку.
     
    Как мне в таком случае, я что-то совсем запутался в этих правилах
     
    и еще непонятно с prerouting, postrouting и forward. Где-то на вики нашел что на in нужно ставить prerouting на out - postrouting. Да и непонятно с галочкой passthrough.
     
    Черт голову сломает с этим шейпером.. И нигде нету элементарного шаблона для queue tree.
    Всего записей: 101 | Зарегистр. 28-11-2007 | Отправлено: 19:16 23-07-2009
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Neym
    не совсем понимаю назначение очереди "od-ix". просто использовать в качестве родителей для обеих global-out
     

    Цитата:
    и еще непонятно с prerouting, postrouting и forward

    http://wiki.mikrotik.com/wiki/Packet_Flow - самая полезная штучка в плане понимания =)
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 19:20 23-07-2009
    Neym

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     

    Цитата:
    не совсем понимаю назначение очереди "od-ix". просто использовать в качестве родителей для обеих global-out  

     
     
    У меня на od-ix аплинк 100Мbit а внешка естественно значительно меньше. Вот я и хочу чтобы на od-ix шейпер выдавал людям отдельную очередь в макс 50Mbit и отдельно внешку.
     

    Цитата:
    http://wiki.mikrotik.com/wiki/Packet_Flow - самая полезная штучка в плане понимания =)

     
    Да я какраз курил над этим -  http://wiki.mikrotik.com/images/1/19/Packet_flow.png
     
    А тут даже понятливей, щас еще покурю маны
     
     
    Добавлено:
    Я так понимаю в моем случае подходит это:
     
       
     
    Только правда я рулю трафиком не между двумя физическими Ethernet а между pptp-peruser и pppoe на провайдера. сложно сказать как в этом случае трафик идет  
    Всего записей: 101 | Зарегистр. 28-11-2007 | Отправлено: 19:48 23-07-2009 | Исправлено: Neym, 20:08 23-07-2009
    larin58



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Neym

    Цитата:
    Цитата:
    jul/22 22:11:39 pptp,ppp,error could not add address: already have such address (6)  
     
     
    Это значит что при подключении абонента у тебя ему присваивается уже существующий ип-адресс. Из-за чего конфликт. Или введи всем абонентам ип-адресс вручную, статистически или создай adress-pool

     
    Если ты прочел мое первое сообщение то ты бы заметил:
    "IP адреса у всех статические и НЕ повторяются."
     
    Будь внимательнее в чтении сообщений, вопрос открыт.
    Всего записей: 108 | Зарегистр. 25-07-2005 | Отправлено: 20:51 23-07-2009
    mukas

    BANNED    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ооооо спб, ток хотел спрсоить наподобии =).
    Всего записей: 252 | Зарегистр. 24-04-2007 | Отправлено: 22:36 23-07-2009
    xxxMaxtorxxx

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сегодня включаю комп смотрю в лог файл наблюдаю такое .... что это?
     
       
     
    Это что чорт по айпи 60.160.183.2 подбирает пас к микротику у меня я так понимаю?
     
    + что можна зделать чтоб рубануть это ему....
    Всего записей: 93 | Зарегистр. 02-03-2009 | Отправлено: 08:27 24-07-2009
    johfed2001

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Выручайте! Как сделать так чтобы в USER MANAGERE квоты у пользователе отнулялись каждый день или месяц?
    Всего записей: 60 | Зарегистр. 14-02-2009 | Отправлено: 08:38 24-07-2009
    SolarW



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    xxxMaxtorxxx

    Цитата:
    что можна зделать чтоб рубануть это ему....

    Нормальное дело. У меня на микротах где открыт SSH для внешнего мира по нескольку раз на дню такие атаки идут.
    А насчет что делать - защищаться
    Например вот так
    http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH%29
    Ну и другие статьи на эту тему отсюда
    http://wiki.mikrotik.com/wiki/Firewall
    Всего записей: 889 | Зарегистр. 07-12-2001 | Отправлено: 09:17 24-07-2009
    xxxMaxtorxxx

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    spasibo....Я взял пересоздал подключения ПППоЕ к провайдеру и все =)
    Всего записей: 93 | Зарегистр. 02-03-2009 | Отправлено: 09:28 24-07-2009
    SolarW



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    xxxMaxtorxxx

    Цитата:
    Я взял пересоздал подключения ПППоЕ к провайдеру и все

    Я уже предвижу следующее твое сообщение - Опа! Опять кто-то ломится
    Надеюсь ты понимаешь происходящее?
    - провайдер выдает тебе реальный IP-адрес
    - у тебя в настройках файрвола нет правил запрещающих доступ к микротику снаружи по протоколу ftp (да и ssh скорее всего)
    - на твой айпишник натыкается некоторая автоматическая система, сканящая большие диапазоны адресов на предмет доступных сервисов
    - наткнувшись на твой адрес и обнаружив открытые порты система начинает подбирать пароль
    - ты пересоздал подключение к провайдеру, получив другой адрес
    - этот сеанс сканирования прервался
    - а что будешь делать когда на твой новый адрес опять кто-то наткнется? Сидеть глядя в лог и видя начало новой атаки пересоздавать соединение? Не кажется что это слегка... гммм... неоптимально?
    Всего записей: 889 | Зарегистр. 07-12-2001 | Отправлено: 10:35 24-07-2009
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS
    ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru