Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

cyb_x



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen  
    А вот тебе на замену того самого первого созданного правила другое:  
     
    /ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=!91.1-routes action=mark-routing new-routing-mark=vpn-routes passthrough=no comment="vpn-routes" disabled=no
    если удалить то правило, то перестаёт инет работать, если не удалять, то вроде роутинг работает, впринципи всё работает.. но что то мне кажеться я сделал не так
    ip route print
    Flags: X - disabled, A - active, D - dynamic,  
    C - connect, S - static, r - rip, b - bgp, o - ospf  
     #     DST-ADDRESS        PREF-SRC        G GATEWAY         DISTANCE INTERFACE
     0 ADC 10.1.0.0/24        10.1.0.215                                 wds      
     1 ADC 10.10.91.0/24      10.10.91.41                                inet      
     2 ADC 172.16.1.1/32      172.16.91.41                               vpn      
     3 ADC 192.168.1.0/24     192.168.1.20                               wds      
     4 A S 0.0.0.0/0                          r 10.10.91.1               inet      
     5 A S 0.0.0.0/0                          r 172.16.1.1               vpn    
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 17:13 24-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fader Сам когда-то пытался отключить нетбиос на клиентах, так и не получилось. Может в VMWare установишь "тройку" и попробуешь? Там в changelog у них есть подозрительные записи о коректировке DHCP опций =))
     
     
    Добавлено:
    Smito должно быть 3 шлюза. 2 с метками и один без метки(это шлюз по умолчанию для Mikrotika). С маскарадингом может не так разрулил?
    Трудно сказать. Дай все секций на осмотр.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 17:31 24-03-2008
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen
    Гы. Смысл ставить тройку, пусть даже виртуалкой если к ней пока нет лекарства?
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 18:05 24-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ip firewall nat print        
    Flags: X - disabled, I - invalid, D - dynamic  
     0   chain=srcnat out-interface=!set` action=masquerade  
     
     1   chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=172.16.91.41  
         to-ports=0-65535  
     
     2   chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat  
         to-addresses=172.16.91.41 to-ports=0-65535  
     
     3   chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat  
         to-addresses=10.10.91.41 to-ports=0-65535  
     
     4   chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat  
         to-addresses=172.16.91.41 to-ports=0-65535  
     
     5   chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat  
         to-addresses=10.10.91.41 to-ports=0-65535  
     
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 18:10 24-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fader смысл в том что ты сможешь протестировать если фича точно работает на "неисправленной" версии софта. Если заработает, проверить на "исправленной". Ну тут уже можно будет сделать однозначный вывод =)  
     
     
    Добавлено:
    Smito в нате должно быть только 2 правила:
     
    0  chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat  
         to-addresses=10.10.91.41 to-ports=0-65535  
     
    1  chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat  
         to-addresses=172.16.91.41 to-ports=0-65535
     
    Все остальное удаляй.
     
    В мангле должно быть опять же только 2 правила:
     
    91.1-routes и vpn-routes. Именно в этой последовательности.
     
    В рутах должно быть 3 шлюза. 2 с метками и один без метки(это шлюз по умолчанию для Mikrotika)
     
    Вроде все.  
    Фаервол на время манипуляций выруби, если все заработает как надо, врубишь обратно.
    Делай эти операции локально чтобы не потерять конект случайно.
     
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 18:14 24-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    эм чёт я запутался, оставил два правила в нате, мангле тоже два, всё работает... но в итоге один шлюз 10,10,91,1, висит под неизвестным интерфейсом 172.16.1.1, и то я его тоже отключил... в итоге всеравно работает
     ip route print                                                              
    Flags: X - disabled, A - active, D - dynamic,                                              
    C - connect, S - static, r - rip, b - bgp, o - ospf  
     #     DST-ADDRESS        PREF-SRC        G GATEWAY         DISTANCE INTERFACE
     0 ADC 10.1.0.0/24        10.1.0.215                                 wds      
     1 ADC 10.10.91.0/24      10.10.91.41                                inet      
     2 ADC 172.16.1.1/32      172.16.91.41                               vpn      
     3 ADC 192.168.1.0/24     192.168.1.20                               wds      
     4 A S 0.0.0.0/0                          r 10.10.91.1               inet    
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 18:52 24-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito работает потому-что пакеты натятся под правильный ипшник и соответственно идут на правильный интерфейс. Если ты изменишь очередность или добавишь другие правила в нат или в мангл, ситуация может круто измениться. Так что лучше жестко привяжи, а то потом будешь долго искать где собака зарылась =)
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 19:02 24-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    quickgen
    последний вопрос, покапавшись, я примерно нашёл куда вбивать переадресацию, но слишком много мне неизвестных переменых,  
    как допустим сделать переадресацию 4587 порта на 192,168,1,11 ип?
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 20:02 25-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito
    /ip firewall nat add chain=dstnat protocol=tcp dst-port=4587 action=dst-nat to-addresses=192.168.1.11 to-ports=4587 comment="" disabled=no
     
    При этом ты можешь dst-port=4587 указать и другой. Конект пойдет на него а потом переадресуется на 192.168.1.11:4587
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 21:22 25-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    спасибо огромное за всё!, с меня пиво  

    Цитата:
    При этом ты можешь dst-port=4587 указать и другой.
    ну эт понятно
     
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 21:57 25-03-2008
    SVNa



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Fader а ты в /dhcp-server network выбрал эту опцию?
     
    SVNa limit-at это гарантированная скорость. Этот параметр надо задать. Вот отрывок из мануала, где ясно сказано что желтым класс станет когда скорость будет !выше! параматра limit-at и равно или меньше чем max-limit.

     
    Это мне полностью понятно, вся загвоздка в том что какой бы я не задал параметр в limit-at
    желтым становится только при загрузке 50% от max-limit.
    пример:
    limit-at 128к max-limit 1024к, класс загружен на на 300к кокой цвет у класса должен быть?
    если я правильно понял то желтый, а он зеленый. Но как только класс превысит порог 512 становиться желтый.
     
     
    лицензия 4, версия 3.6.
    Всего записей: 36 | Зарегистр. 15-01-2005 | Отправлено: 01:29 26-03-2008
    ZloiLexa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ случился со мной такой случай. Пропал линк на удаленный модем (соединение через "голубые коробочки"), решил проверить работу бокса, попробовал сменить адрес внешнего интерфейса с ХХХ.ХХХ.1.2 на ХХХ.ХХХ.77.112, чтобы пингануть блюбокс - результата никакого не получил (видимо что-то сделал не так). Вернул прежний адрес внешнему интерфейсу и у меня пропал из таблицы ARP адрес модема ХХХ.ХХХ.1.1 На попытку пинговать его с роутера получаю таймауты в перемешку с "ответ с ХХХ.ХХХ.1.2: host unreachable", что в переводе "заданый узел недоступен". Отсюда вопросы:
    1. где я мог накосячить и как это лечить?
    2. как сбросить роутер в заводские настройки? (т.к. мне сказали, что девайс завис и его нужно перенастраивать, хотя кроме смены адресов я ничего не делал - reboot не помогает)
    3. может ли проблема скрываться в модеме, который тупо вырубился?
    4. что можете посоветовать в данной ситуации?
    Всего записей: 37 | Зарегистр. 19-03-2008 | Отправлено: 11:53 27-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    блин, сделал переадресацию tcp и udp порта для дц, и толку ноль... поиск не работает всеравно, хм навскидку в чём может быть причина? впринципи я её сам знаю, не работает проброс tcp порта, но вот почему, хз
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 21:52 27-03-2008 | Исправлено: Smito, 02:23 28-03-2008
    ZloiLexa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    По поводу моего вопроса. Разобрался сам.
    Всего записей: 37 | Зарегистр. 19-03-2008 | Отправлено: 08:39 28-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    чёж тут поиска то нету ((, никак не могу втыкнуть как сделать порт мапинг для торента, чёж тут всё так мудрённо то ((..
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 20:44 28-03-2008 | Исправлено: Smito, 01:48 01-04-2008
    coverman



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    чёж тут поиска то нету ((, никак не могу втыкнуть как сделать порт мапинг для торента, чёж тут всё так мудрённо то ((..

     
    Идем по ссылке в шапке, а точнее  
    hxxp://pcrouter.ru/ipb/index.php?showtopic=54
    Всего записей: 30 | Зарегистр. 14-01-2005 | Отправлено: 11:36 02-04-2008
    m0ps



    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ребята, такой вопрос:
    есть adsl модем, настроенный роутером с ip 192.168.1.1 и компик под микротиком с 2-мя интерфейсами:
    ether1 - локалка, ip 172.16.5.254/24
    ether2 - тоже локалка, но с ip 192.168.1.2/24
    default route 192.168.1.1
    модем подключен в свич, оба интерфейса на микротике - тудаже. на клиентской машине (под winxp) ip 172.16.5.1/24 шлюз и днс - 172.16.5.254. на модеме фильтруются все пакеты, кроме как от 192.168.1.2
    по умолчанию винда сокращает маршрут и сразу пересылает макеты на 192.168.1.1, это лечиться принудительным приписыванием маршрутов на клиентской машине. в случае с 1 компом, эт не проблема, но настраивать так ~2 десятка - охоты нет. можно ли как-то средствами микротика заставить винь посылать пакеты через 172.16.5.254 не сокращая маршрут?
     
    Добавлено:
    проще говоря:
    как средствами микротика интернет-трафик пропускать через микротик
    172.16.5.x---->172.16.5.254--->192.168.1.2--->192.168.1.1---->Internet
    а не
    172.16.5.x---->192.168.1.1--->Internet
    ??
    Всего записей: 372 | Зарегистр. 27-05-2006 | Отправлено: 17:33 02-04-2008 | Исправлено: m0ps, 19:51 02-04-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    m0ps Зачем такие извраты? Если они все в одном свиче, какой толк с разной адресации?
     
    1.Установи 3-й интерфейс на микротике. Дай ему IP 192.168.1.2 Шлюз по умолчанию оставь 192.168.1.1
    Воткни напрямую в модем.
    2.  172.16.5.0/24 оставь как есть.
    3. Добавь еще диапазон на второй интерфейс, например 172.16.10.0/24
    4. В нате ставь action=masquerade .
    5. Настрой DHCP и администрирование станет намного легче и удобней.  
     
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 20:38 02-04-2008 | Исправлено: quickgen, 20:40 02-04-2008
    m0ps



    Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen
    дело в том, что модем и роутер физически находятся в разных местах здания, и возможности установить их рядом пока нет. планируется покупка лицензии, и для того, что бы решить стоит или нет - решил пока попробовать в таком виде.
    я понимаю, что получается изврат, но по другому без финансовых вложений не получится (а поскольку делаю не дома, а на работе, то денюжки на ветер начальство бросать не хо).
    при прямом подключении проблем возникнуть, но в данном случае возникают проблемы с маршрутизацией.
     
    вообщем насколько я знаю - то роутер может рассылать широковещательные пакеты, которые содержат данные о маршрутизации. собственно и интересует как это настроить.
    Всего записей: 372 | Зарегистр. 27-05-2006 | Отправлено: 22:22 02-04-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    m0ps Попробуй то что я предложил.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 22:51 02-04-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS
    ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru