Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

cyb_x



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009
    dimanchdimanch

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите прописать необходимые правила в фаерволе.
    Три интерфейса eth1 192.168.0.0/24 - локалка_1, eth2 - 10.1.1.0/24 инет, eth3 - 192.168.1.0/24 локалка_2. К провайдеру цепляюсь по PPPoE. (В таком случае какой мне getway прописывать?). Настроил авторизацию из локалок через PPPoE, клиентам выдается 10.10.0.*.  
    Фаервол пуст, что нужно в нем прописать и в маршрутизации.
    И еще вопрос, возможно ли для PPPoE клиентов ограничивать скорость только интернет трафика, а между ними в локалке 10.10.0* не шейпить, если да то поясните как.
    Всего записей: 8 | Зарегистр. 24-01-2008 | Отправлено: 17:14 25-02-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dimanchdimanch тебе нужен только один гейтвэй - ip PPPoE сервера на конце провайдера.
     
    Также тебе надо указать явно что маскарадить т.е. так:
    /ip firewall nat add chain=srcnat src-address=10.10.0.0/24 dst-address=!10.10.0.0/24 to-addresses=x.x.x.x, где x.x.x.x=ip PPPoE сервера на конце провайдера
     
    А насчет как не шейпить трафик локальных клиентов - делаешь в мангле /ip firewall mangle такие правила:
     
    /ip firewall mangle add src-address=10.10.0.0/24 dst-address=10.10.0.0/24 new-packet-mark=local passthrough=no
    /ip firewall mangle add src-address=10.10.0.0/24 new-packet-mark=all passthrough=no
     
    Важно чтобы первое правило было выше второго.
     
    В Queues назначая скорость выбираешь packet-mark=all
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 18:11 25-02-2008 | Исправлено: quickgen, 18:17 25-02-2008
    sergey2142

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста можно ли подключить к Mikrotik DLINK DSL-200. Спасибо.
    Всего записей: 4 | Зарегистр. 26-02-2008 | Отправлено: 13:43 26-02-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sergey2142 Можно. По ethernet подключению.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 14:40 26-02-2008
    Salik



    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen
    Вот перенастроил все, но работать все равно не хочет. Значит теперь такая сеть: Подсеть 192.168.0.0 - сеть из вирт.серверов. Подсеть 192.168.1.0 - офисная сетка. Между ними тунель 192.168.2.1 и 192.168.2.2. Вот траффик все равно натится. Потому что из офиса все пингуется, а с 192.168.0.0 ничего кроме 192.168.2.2 - т.е. ип роутера не видно
    Всего записей: 250 | Зарегистр. 12-03-2004 | Отправлено: 15:18 26-02-2008
    sergey2142

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Можно. По ethernet подключению.

     
    Не совсем понял. Ведь DSL-200 подключается через USB.
    Всего записей: 4 | Зарегистр. 26-02-2008 | Отправлено: 15:58 26-02-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sergey2142 если у него нету ethernet порта, значит не получится. USB драйвера на микротик поставить нельзя. Посмотри список поддерживаемового оборудования на сайте микротика.
     
     
    Добавлено:
    Salik Укажи явно что маскарадить:
     
    1.Сделай список в /ip firewall address-list ну например local-ips и добавь туда все твои сети:  
    192.168.0.0/24
    192.168.1.0/24
    192.168.2.0/24
     
    2.Теперь сделай правило для нат:
     
    /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address-list=!local-ips to-addresses=82.144.200.100
     
    Твой трафик будет натиться на все ресурсы кроми твоих "локальных" сетей.
     
    3. Разберись с форвардингом пакетов:
     
    В /ip route пропиши путь:
     
    /ip route add gateway=192.168.2.2(IP адрес тунеля на конце винды???) dst-address=192.168.0.0/24
     
    (То же самое можно сделать и с помощью мангла - просто возни больше)  
     
    На другом конце, ты должен прописать статический маршрут:
     
    Если у тебя пограничный маршрутизатор Win2008 то переделай нижеследующую команду под него.
     
    /ip route add gateway=192.168.2.1(IP адрес тунеля на конце микротика???) dst-address=192.168.1.0/24
     
    По идее ничего не забыл. И постоянно пускай traceroute на обоих концах, чтобы понимать где заваливаются пакеты.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 16:08 26-02-2008 | Исправлено: quickgen, 16:09 26-02-2008
    sergey2142

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    sergey2142 если у него нету ethernet порта, значит не получится. USB драйвера на микротик поставить нельзя

     
    Спасибо за быстрый ответ.
    Всего записей: 4 | Зарегистр. 26-02-2008 | Отправлено: 19:00 26-02-2008
    JohnnyBravo

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
     
    Есть еще одна проблема!
     
    активировал ДНС сервер на микротике, начались дикие глюки, почему то резольвит через раз, отменял все правила в фаере, бестолку, такое ощущение, то что в кеше онрмально резольвит, а то что нет в кеше. при запросах к верхнему днс серверу отваливается по таймауту, где эти таймеры лежат я не знаю, плиз хелп!
    Всего записей: 154 | Зарегистр. 30-10-2002 | Отправлено: 19:31 28-02-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JohnnyBravo У тебя один провайдер или 2?  
    1. Выруби все правила в фаерволе
    2. На клиентской машине запусти nslookup из командной строки.
    3. Пробуй зарезолвить какие-то dns имена (Я постоянно тренировался на amazon.com)
    Резолвь пару раз подряд. А потом по ошибкам будем думать.
     
    Вообще настрой DCHP сервер. Избавляет от головной боли.
     
    У меня совсем недавно была ситуация: 2 провайдера. Один из провайдеров блокирует DNS запросы на свои DNS сервера из всех сетей кроме своих.  
    Решение временное было такое: Шлюз по умолчанию первого провайдера - днс сервер первого провайдера. Тоже самое по аналогии для второго провайдера (Когда первый падает).
    Решение правильное: Разделил по отдельным серверам провайдеров. До сих пор все супер.
     
    У нас провайдеры в войнушку играют. Неразделенные територии, понимаешь....  
       
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 22:55 28-02-2008 | Исправлено: quickgen, 22:57 28-02-2008
    JohnnyBravo

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen
     
     
    Пров один, по нслукап как раз и говорю, на первые два три раза дает нет домена, потом резольвит и так каждые пять минут. чем тут дхцп поможет? правила уже отменял, не помогло. ощущение что есть таймаут по запросу от вышестоящего ДНС сервера, что нет ответа за 1 мс - значит домена нет, хз вобщем
    Всего записей: 154 | Зарегистр. 30-10-2002 | Отправлено: 00:56 29-02-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JohnnyBravo DHCP - чтобы клиентов можно было автоматом пересаживать на другие днс сервера если что.
     
    Посмотри в Torch какие обращения и куда идут.
     
    Смени Днс сервер тогда. Попробуй DNS другого провайдера.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 09:57 29-02-2008
    alex_1986

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ всем привет! Help плиз
    Ситуация такая есть 6 машин
    Одна из них Микротик ip 172.16.0.200 маска 255.255.0.0
    остальные ХР имеют ip=172.16.1.1, 1.2 и т. дмаска 255.255.0.0
    как сделать так что б при присвоении незадейственного ip сеть на клиентской машине не работала
    Всего записей: 79 | Зарегистр. 14-02-2008 | Отправлено: 17:10 05-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alex_1986
    1. Управляемый свитч.  
    2. Как вариант машина на линуксе с установленным и настроеным http://www.nongnu.org/ip-sentinel/
     
    Но она от подмены мака не защитит.
    !!!Использовать эту программу следует только после понимания ее принципов работы!!!      
     
    Файл настроек ip-sentinel будет в твоем случае выглядить так:
     
    ###############################

    0.0.0.0/0 #Block Everything  
    !172.16.1.0/24 #Allow only 172.16.1.*
     
    172.16.1.1@!XX:XX:XX:XX:XX:XX #Client1
    172.16.1.2@!XX:XX:XX:XX:XX:XX #Client2
     
    172.16.1.{3-254} #Unused ips

    ###############################
     
    Первая строка заблокирует ВСЕ IP!
    Вторая строка разрешит ИП-шники 172.16.1.1 - 172.16.1.255
    Третья и четвертая строка привязывают ип к маку(формата XX:XX:XX:XX:XX:XX)
    Последняя строка блокирует незадействованный диапазон.
     
    Суть программы в том что она использует атаку ARP Poisoning выдавая при этом IP Conflict непрописанным макам.  
     
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 11:58 06-03-2008 | Исправлено: quickgen, 12:10 06-03-2008
    alex_1986

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сенкс, буду пробывать.Какой линук посоветуешь?Мандрива подойдет, или есть что нибудь попроще?
    Всего записей: 79 | Зарегистр. 14-02-2008 | Отправлено: 13:29 06-03-2008
    usr721

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ip-sentinel
    пользуюсь, свое название оправдывает
    Всего записей: 721 | Зарегистр. 10-07-2006 | Отправлено: 14:32 06-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alex_1986 вроде как без разницы. На вкус и цвет товарища нет =)
    usr721 уже как 4 года без проблем использую. Ни разу не падал.
     
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 14:36 06-03-2008 | Исправлено: quickgen, 14:37 06-03-2008
    alex_1986

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Блин качнул и как его проставить?
    Всего записей: 79 | Зарегистр. 14-02-2008 | Отправлено: 15:18 06-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alex_1986 Распаковываешь, компилируешь, устанавливаешь.
     
    Почитай Readme. Обычно для компиляции и установки достаточно следуйщего:
    ./configure  
    ./make & make install
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 16:23 06-03-2008
    alex_1986

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen Вся проблема в том что Readme на английском у меня с этим трабл.Если есть у кого то на русском буду благодарен! А пока буду переводить.  
     
     
    Добавлено:
    quickgen Для распаковке и компиляции  Midnight Commander подойдет?
    Всего записей: 79 | Зарегистр. 14-02-2008 | Отправлено: 09:09 07-03-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS
    ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru