Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

cyb_x



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ValeriyZ Именно через редирект порта работает "Transparent Proxy" на микротике и я это проделывал стандартно не один раз. Почитай сам http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy_content.php#7.53.7
    И кстати я сейчас говорю о PPTP сервере на Микротике.
     
    А клиент опции изменения порта не имеет.
     
    Можно попробовать промаркировать в цепочке output пакеты с микротика на порт 1723 и направить с помощью dst-nat на нужный сервер и нужный порт.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 01:12 16-08-2008 | Исправлено: quickgen, 01:25 16-08-2008
    ValeriyZ

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    И кстати я сейчас говорю о PPTP сервере на Микротике.  

     
    Да тут Вы правы. Создаю ВПН сервер на МИкротике, делаю на него коннект по ВПН от юзера где ВПН работает на 1015 и все работает. Тоесть то что Вы написали это работает для ВПН сервера (кода микротик сервером), а мне нужно чтоб микротик  был ВПН клиентом.  
     
    Я вчера все эксперименты проводил как на клиенте.  
     
    Подскажите пожалуйста как прописать.  
    Всего записей: 77 | Зарегистр. 22-05-2007 | Отправлено: 08:47 16-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    а мне нужно чтоб микротик  был ВПН клиентом.  
     
    Я вчера все эксперименты проводил как на клиенте.  
     
    Подскажите пожалуйста как прописать.

    пока никак. настроек у него таких нет, а dst-nat в output chain не работает. но можно, например, поставить второй мелкотик (даже виртуальный - начиная с версии 3.11), который будет заниматься редиректом подключения первого мелкотика. или написать в саппорт с просьбой сделать возможность выбирать порт - чем чёрт не шутит, я вот за несколько дней выбил из них персылку DHCP Option82 на RADIUS =)
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:46 16-08-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ребят облазился уже везде, никак немогу найти команду для смены мака для сетевухи, был бы оч. благодарен
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 22:20 18-08-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito есть такая тема недокументированная =)
     
    /interface ethernet set ИмяСетевухи mac-address=XX:XX:XX:XX:XX:XX
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 00:16 19-08-2008 | Исправлено: quickgen, 00:18 19-08-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen
    дада в какой раз уже выручаешь, именно она, спс, но уже методым тыка сам разобрался
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 00:55 19-08-2008
    terset

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    здравствуйте!
    есть микротик 2.9.27
    интерфейс внутренний и внешний
    поднят ip proxy
    правила:
    chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no  
    chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list  address-list-timeout=1d comment="detect DoS attack" disabled=no
    для ограничения количества сессий.  
    НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить?
    Всего записей: 11 | Зарегистр. 15-10-2007 | Отправлено: 16:23 20-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    как победить?

    для начала попробовать на более новой версии - 2.9.27 кривовата в некоторых аспектах. для начала на троечке бы протестить
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:57 20-08-2008
    Vornicescu



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    А что, троечка решает эту проблему, может сетевые поменять на более производительные типа 3COM?
    Всего записей: 132 | Зарегистр. 09-09-2003 | Отправлено: 09:39 21-08-2008 | Исправлено: Vornicescu, 09:41 21-08-2008
    terset

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    сетевые intel pro 1000mt server. Конечно, можно поменять на 3com, но, думаю, это проблему не решит.
    Всего записей: 11 | Зарегистр. 15-10-2007 | Отправлено: 10:38 21-08-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    terset скорее всего у тебя проблема в правилах. Приведи полность правила из:
     
    /ip firewall filter
    /ip firewall mangle
    /ip firewall nat
    /ip firewall address-list
     
    Троечку оставьте в покое - она недоделанная и работает хуже 2-ки, при тех же конфигурациях. У меня тройка 6-го левела.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 13:08 21-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    "работает хуже" - в чём? так сказать может любой
     
    если хотите померяться пиписьками - то у меня тройка шестого уровня и 14 штук четвёртого... с двойкой сравнить трудно - некоторых фишек в ней просто нет. чего стоит гейтвей по интерфейсу, а не по IP... а доработка DHCP-сервера под мои нужды? в 2.9.27 такого никогда не будет
     
    Vornicescu, а по поводу тройки в варезнике - тут вам не варезник, поэтому претензии необоснованные
     
    terset, коннектов одновременных много - от каждого юзера? что творится в DoS_black_list, со счётчиками правил?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 20:18 21-08-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka пиписьками меряются дети в детском саду. Я ясно сказал что при тех же конфигурациях. PPPoE сервер - основная задача которая закладывалась при покупке 3-ки. 2-ка не справлялась с нагрузкой. Что 2-ка, что 3-ка имели одинаковый конфиг и работали на абсолютно одинаковом железе. 2-ка была стабильна месяцами до очередного отключения электричества на N-ое количество часов. А тройка перезагружалась каждый день. На ней висели 500 клиентов. Думаешь весело?
     
    А суппорт проблему так и не решил. Думаешь я стал бы рисковать 500-ми клиентами?
     
    Вот и дождались SMP и равномерного распределения нагрузки на процессоры.
     
    Поэтому поставили две двойки и разделили по разным Вланам нагрузку. Работает бесперебойно вот уже который месяц.
     
    А тройка работает DHCP сервером и Радиусом. Вот за это и отдали ХХХ баксов. Единственное что она делает правильно в отличии от 2-ки - это раздача маршрутов опцией 249 на виндоус клиенты. А установка Caller-ID для радиус клиентов из WEB-интерфейса до сих пор не реализована.
     
    И каждый нароет парочку таких нюансов.
     
    Пища для размышления.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 22:55 21-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    тройка какой версии была? что-то не помню, чтобы на PPPoE на форуме жаловались в свете перезагрузки. там часом не использовался кэширующий прокси?
     
    по поводу веб-интерфейса - а в двойке эта установка работает? и вообще саппорт отписывался, что они делают новую версию веб-интерфейса, ибо текущая - крайне урезана по возможностям
     
    а вот DHCP - да. радиус у нас работает на отдельной машине, и в последней версии они-таки по нашей просьбе добавили пересылку с DHCP-сервера в радиус-запросе параметров Option 82, без чего нормально нельзя было сделать привязку пользователя к порту. вроде маленький нюанс, но для стратегии работы - весьма значительный
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:29 22-08-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka я не буду проводит пару часов читая снова форум в поисках ответа, но навскидку пару тем:
     
    http://forum.mikrotik.com/viewtopic.php?f=2&t=25567
    http://forum.mikrotik.com/viewtopic.php?f=2&t=26079
    http://forum.mikrotik.com/viewtopic.php?f=2&t=22640
     
    и так далее...
     
    Прокси не использовался. Версия микротика апгрейдилась безрезультатно начиная с 3.3 по 3.8 пока успешна не была снята с "производства".  
     
    В двойке для радиуса нету методов аутентификации chap, mschap, mschap2 - вроде как только PAP. Это автоматом снижает надобность в нем как таковом. Проще поднять фрирадиус с вебинтерфейсом или нетамс.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 04:14 22-08-2008 | Исправлено: quickgen, 04:25 22-08-2008
    terset

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen  
    правила стоят первыми, до них ничего не обрабатывается.
    манглы смысла приводить нет, поскольку они только отображают протоколы у меня.
     /ip firewall filter print
    0 X ;;;  
         chain=forward protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no  
     1 X ;;;
         chain=forward protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list  address-list-timeout=1d comment="detect DoS attack" disabled=no  
     
     
    /ip firewall nat print  
    chain=srcnat action=masquerade out-interface=wan01
     
    /ip firewall address-list print
     D DoS_black_list    мой ip  
     
    вариант с action=drop - результаты те же
    вариант с версией 3.13- результат тот же
    Всего записей: 11 | Зарегистр. 15-10-2007 | Отправлено: 12:15 22-08-2008 | Исправлено: terset, 15:32 22-08-2008
    NewClass

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как в домене роздавать по имени домена\пользователя интернет через прокси
    Подскажите как это сделать*?
    Всего записей: 42 | Зарегистр. 17-12-2005 | Отправлено: 14:25 22-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen
    в первой же теме:
    http://forum.mikrotik.com/viewtopic.php?p=126300#p126300
     
    terset
    ммм... а где правило, которое, собственно, перекидывает в цепочку sanity-check?.. может, в нём всё дело?
     
    Добавлено:
    NewClass
    привязаться к ActiveDirectory? не, Мелкотик такого не умеет - ставьте Kerio WinRoute какой-нить
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:52 22-08-2008
    terset

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    исправил пост, сорри, скопировал не оттуда
    Всего записей: 11 | Зарегистр. 15-10-2007 | Отправлено: 15:33 22-08-2008
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    если в правила добавить out-interface=public - результат тот же?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 19:41 22-08-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS
    ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru