Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток! Который день уже бьюсь над такой траблой - есть RB750, два разный прова, ISP1 и ISP2 к примеру, локалка. Как выпускать разных клиентов по разным провам - это сделано, но есть еще и VPN-сервер, слушающий интерфейс ISP1, т.е. удаленные клиенты используют "белый" IP от ISP1 в качестве сервера VPN. Сейчас сделано так: default gateway ISP1, на ISР2 идут замаркированые роуты. Делаю:
     
    / ip firewall mangle
    add chain=input in-interface=pppoe-isp1 action=mark-connection new-connection-mark=in_isp1
    add chain=input in-interface=pppoe-isp2 action=mark-connection new-connection-mark=in_isp2
    add chain=output connection-mark=in_isp1 action=mark-routing new-routing-mark=to_isp1      
    add chain=output connection-mark=in_isp2 action=mark-routing new-routing-mark=to_isp2      
     
    / ip route
    add dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.xxx routing-mark=to_isp1  
    add dst-address=0.0.0.0/0 gateway=yyy.yyy.yyy.yyy routing-mark=to_isp2
     
    ...и впн-клиенты успешно отваливаются. В логах:
    input: in:pppoe-isp1 outnone), proto TCP (SYN), 94.179.xxx.xxx:39992->195.xxx.xxx.xxx:1723, len 40 (от клиента ко мне)
     
    есть такое правила в фаерволе:
    ......
    6   ;;; Allow VPN
         chain=input action=accept protocol=tcp dst-port=1723  
     
     7   ;;; Allow GRE
         chain=input action=accept protocol=gre  
     
     8   ;;; Allow IKE
         chain=input action=accept protocol=udp dst-port=500  
     
     9   ;;; Allow IPSec-esp
         chain=input action=accept protocol=ipsec-esp  
     
    10   ;;; Allow IPSec-ah
         chain=input action=accept protocol=ipsec-ah  
    ...
     
    если же убираю в маршрутизации в правиле routing-mark=to_isp1 - то все поднимается влет.
    Может кто ткнет меня носом - реально уже мозги набекрень =(
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 10:44 16-02-2010 | Исправлено: Yakimoto, 10:53 16-02-2010
    SytnykAV

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите настроить авторизацию по ip и mac, как это реализовать?если есть возможность то поподробней, я только знакомлюсь с МТ.заранее благодарен
    Всего записей: 1 | Зарегистр. 15-02-2010 | Отправлено: 11:44 16-02-2010
    BigElectricCat

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Demon: Проверяю сам, визуально действительно тормоза, в таче около 850 сессий, вот и стал вопрос как прооверить и точно уюедиться, что есть ограничение, если оно есть, то нафиг такой канал.

    Как вариант, можно поднять где то на стороне фтпшник с безлимитными сессиями и попробовать стянуть большой файл (гигов на 10) какой-то качалкой которая может поднять более двух тыс соединений, так в логе качалки обрывы сразу увидишь.
     
    komar90
    А микротик у тебя не падает, в смысле, не перезагружается часом?
    Всего записей: 1401 | Зарегистр. 20-12-2006 | Отправлено: 13:24 16-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Yakimoto

    Цитата:
    В логах:

    а если логи output посмотреть? интересует тот же порт 1723/tcp и протокол gre
     
    дефолтовый немаркированный маршрут есть? с какой ошибкой отваливаются клиенты?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:25 16-02-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    to Chupaka:
    дефолтовый немаркированный есть:

    Код:
     
    1 A S  ;;; RouteToISP2
    0.0.0.0/0     reachable     193.254.xxx.xxx    1        pppoe-isp2  #маркированный                        
    2 A S  ;;; RouteToISP1
    0.0.0.0/0     reachable     195.xxx.xxx.xxx     1        pppoe-isp1
     

     
    вот лог при подключении клиента по немаркированном дефолтовом шлюзе:

    Код:
     
    13:57:59 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (ACK,FIN), 213.154.xxx.xxx:40664->195.xxx.xxx.xxx:1723, len 32  
    13:57:59 firewall,info output: in:(none) out:pppoe-isp1, proto TCP (ACK), 195.xxx.xxx.xxx:1723->213.154.xxx.xxx:40664, len 32  
    13:57:59 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (SYN), 213.154.xxx.xxx:40665->195.xxx.xxx.xxx:1723, len 40  
    13:57:59 firewall,info output: in:(none) out:pppoe-isp1, proto TCP (SYN,ACK), 195.xxx.xxx.xxx:1723->213.154.xxx.xxx:40665, len 40  
    13:57:59 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (ACK), 213.154.xxx.xxx:40665->195.xxx.xxx.xxx:1723, len 32  
    13:57:59 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (ACK,PSH), 213.154.xxx.xxx:40665->195.xxx.xxx.xxx:1723, len 188  
    13:57:59 firewall,info output: in:(none) out:pppoe-isp1, proto TCP (ACK), 195.xxx.xxx.xxx:1723->213.154.xxx.xxx:40665, len 32  
    13:57:59 firewall,info output: in:(none) out:pppoe-isp1, proto TCP (ACK,PSH), 195.xxx.xxx.xxx:1723->213.154.xxx.xxx:40665, len 188  
    13:58:00 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (ACK), 213.154.xxx.xxx:40665->195.xxx.xxx.xxx:1723, len 32  
    13:58:00 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (ACK,PSH), 213.154.xxx.xxx:40665->195.xxx.xxx.xxx:1723, len 200  
    13:58:00 firewall,info output: in:(none) out:pppoe-isp1, proto TCP (ACK,PSH), 195.xxx.xxx.xxx:1723->213.154.xxx.xxx:40665, len 64  
    13:58:00 firewall,info input: in:pppoe-isp1 out:(none), proto 47, 213.154.xxx.xxx->195.xxx.xxx.xxx, len 30  
    13:58:00 firewall,info output: in:(none) out:pppoe-isp1, proto 47, 195.xxx.xxx.xxx->213.154.xxx.xxx, len 39  
    13:58:00 firewall,info output: in:(none) out:pppoe-isp1, proto 47, 195.xxx.xxx.xxx->213.154.xxx.xxx, len 30  
     
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 15:03 16-02-2010 | Исправлено: Yakimoto, 15:04 16-02-2010
    komar90

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    [q][/q]
     
    Неа.Отслеживаю через winbox это.Клиент пытается дозвониться бесперестанно пишет диалинг и дисконнект,а в это время сервак думает что все заебись о чем говорит в логах(ВИДИМО ТУПИТ).Единственное сколько раз не проверял когда заново создаю пптп соединение оно устанавливается ровно на 1мин 27 сек.и далее обрывает и не может дозвониться.Вот хотите верьте хотите нет мистика блин.
    Всего записей: 5 | Зарегистр. 08-02-2010 | Отправлено: 15:41 16-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Yakimoto
    я про лог, когда не подключается
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:48 16-02-2010 | Исправлено: Chupaka, 15:48 16-02-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    по вашей рекомендации для блокировки трафика между двумя интерфейсами
    в бридж:
    /interface bridge filter
    немного не разберусь... а именно:

    Код:
    Chain=forward action=drop in-interface=lan out-interface=wlan1

    просто сейчас нет возможности собрать стенд, это правило заблокирует пакеты
    в бридже между интерфейсами lan и wlan1?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:50 16-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    нет. во-первых, надо так:
     
    chain=forward in-bridge-port=lan out-bridge-port=wlan1 action=drop  
     
    это правило заблокирует в бридже пакеты с порта lan в порт wlan1 (но не обратно!)
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:55 16-02-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а если еще и с wlan1 в lan, то наверное создать еще одно правило?

    Код:
    chain=forward in-bridge-port=wlan1 out-bridge-port=lan action=drop

    ну или ни чего не создавать, так как пакеты могут идти только в одном направлении,
    а это значит обмен файлами между компьютерами будет не возможен...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 16:01 16-02-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka в том-то и дело, что исходящих нет

    Код:
     
    0   chain=input action=mark-connection new-connection-mark=in_isp1 passthrough=yes in-interface=pppoe-isp1  
    1   chain=input action=mark-connection new-connection-mark=in_isp2 passthrough=yes in-interface=pppoe-isp2  
    2   chain=output action=mark-routing new-routing-mark=to_isp1_conn passthrough=yes connection-mark=in_isp1  
    3   chain=output action=mark-routing new-routing-mark=to_isp2_conn passthrough=yes connection-mark=in_isp2  
    4   chain=input action=log src-address=213.154.xxx.xxx log-prefix=""  
    5   chain=output action=log dst-address=213.154.xxx.xxx log-prefix=""
     

    а в логах вот что:

    Код:
     
    15:05:06 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (SYN), 213.154.xxx.xxx:40682->195.xxx.xxx.xxx:1723, len 40  
    15:05:12 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (SYN), 213.154.xxx.xxx:40682->195.xxx.xxx.xxx:1723, len 40  
    15:05:24 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (SYN), 213.154.xxx.xxx:40682->195.xxx.xxx.xxx:1723, len 40  
    15:05:43 firewall,info input: in:pppoe-isp1 out:(none), proto TCP (SYN), 213.154.xxx.xxx:40683->195.xxx.xxx.xxx:1723, len 40
     
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 16:06 16-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Yakimoto
    т.е. output пуст? и есть ли при этом дефолтовый маршрут в таблице main?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:08 16-02-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    так, стоп! Если включен дефолтовый маршрут без маркировки, то все прекрасно работает (я раньше лог написал). А последняя выкладка из лога, это когда маркируются входящие соединения и маршруты строятся согласно маркированным маршрутам (из мануала).
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 16:21 16-02-2010
    BigElectricCat

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    komar90
    хм… а логи что кажут? У меня было что-то подобное, но тогда штык падал, там правда другая причина, в нём винт почти сдох (сыпался).
    Yakimoto
    Посмотри в логи если сделать маршрутом по умолчанию pppoe-isp2, а не pppoe-isp1. Даётся мне, что штык не знает куда отправлять пакет. Маркировка маршрутов как-то не так как надо отрабатывает.
    Всего записей: 1401 | Зарегистр. 20-12-2006 | Отправлено: 17:45 16-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Yakimoto
    два маршрута должны быть с маркировкой (на каждого провайдера), и один - без маркировки. именно эта ситуация меня интересует
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:50 16-02-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    два маршрута должны быть с маркировкой (на каждого провайдера), и один - без маркировки

    при таком случае - все работает... и pptp и l2tp+IPSec
     
    Добавлено:
    + проверю сегодня из дому, что-то жалуются, что сайты, что внутри лежат на веб-серве - тупят.
     
    ..хм... странно
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 18:22 16-02-2010
    komar90

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А не подскажите люди добрые как логи более подробные посмотреть, а то log print выдает только поверхностные логи
    Всего записей: 5 | Зарегистр. 08-02-2010 | Отправлено: 09:02 17-02-2010
    Yakimoto

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    komar90
    поднять где-нить syslog-сервер и сбрасывать логи на него
    /system logging action - смотри remote (или через winbox)
    Всего записей: 12 | Зарегистр. 16-02-2010 | Отправлено: 09:44 17-02-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    komar90
    http://wiki.mikrotik.com/wiki/Log#Topics
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:04 17-02-2010
    jamsik

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    господа такой вопрос
    2 здания не связаных между собой  
    2 тазика с микротиками 2.9.27  
    динамические айпи от провайдера - единственный вариант линка только через инет
    в динднс (www.changeip.com) я настроил отчет об текущем айпи через каждые 5 минут
    задача поднять с одного роутера на второй ВПН-тунель
    проблема в том что микротик преобразовывает имя с ДинДнс в айпиадрес, каждый раз лезть и менять это не дело
    может существует решение этой проблемы?
    скриптик или еще чего?
    Всего записей: 4 | Зарегистр. 27-04-2009 | Отправлено: 15:14 17-02-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru