Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    wwwwwww7

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Задавал вопрос, никто не ответил. Подскажите пожалуйста, как отключать юзеров от инета или перебрасывать на страничку "Ваш лимит исчерпан" допустим через 35 дней. Версия МТ 2. 9.27.
    Всего записей: 104 | Зарегистр. 12-10-2009 | Отправлено: 00:03 08-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Версия МТ 2. 9.27

    обновиться =)
     
    з.ы. простити, религия =)
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:06 08-08-2010
    ShokoAsahara

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Присоединяюсь к просьбе !! Люди объясните плизз....

    Цитата:
    Задавал вопрос, никто не ответил. Подскажите пожалуйста, как отключать юзеров от инета или перебрасывать на страничку "Ваш лимит исчерпан" допустим через 35 дней.  
    Всего записей: 53 | Зарегистр. 18-02-2009 | Отправлено: 14:37 08-08-2010
    shangtsung



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, доброго времени суток, помогите пожалуйста с проблемой:  
    Есть системник с лицензионой установленной RouterOS 5.0beta(1-5)
    Пытаюсь соединиться по SSH с использованием DSA ключа и отключением цветастости в консоли (флаг +с к логину).  
     
    Никак не проходит с этим флагом. Микротик ругается что ключ не подходит для логина к примеру admin+c, хотя для логина admin ключ импортирован.  
     
    Без флага +с все работает прекрасно.  
    На предыдущих версиях до 5ки все работало отлично.  
     
    Команда соединения следующая:  
    /usr/bin/ssh -o BatchMode=yes -o StrictHostKeyChecking=no -o ConnectTimeout=2 -i .ssh/id_dsa admin+c@212.0.xx.xx
     
    Вырезка из лога микротика:  
    user key differs from offered for user admin+c
     
    Если потребуется сделаю вырезку из лога в дебаге.  
     
    Заранее благодарен.
    Всего записей: 3 | Зарегистр. 02-09-2005 | Отправлено: 10:18 09-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    shangtsung

    Цитата:
    На предыдущих версиях до 5ки все работало отлично.

    в пятёрке переписан с нуля пакет ssh - повод писать в support@mikrotik.com, чтобы пофиксили
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:44 09-08-2010
    kentavrik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите пожалуйста разобраться .
    Маркируем нужные пакеты

    Код:
     
    [admin@WINXPSP3] > ip firewall mangle print
    Flags: X - disabled, I - invalid, D - dynamic  
     0 X chain=forward action=mark-packet new-packet-mark=ack pack passthrough=yes  
         tcp-flags=ack protocol=tcp  
     
     1   ;;; torrent
         chain=prerouting action=mark-packet new-packet-mark=torrent tcp pack  
         passthrough=yes protocol=tcp layer7-protocol=\B5TP  
     
     2   chain=prerouting action=mark-packet new-packet-mark=torrent udp pack  
         passthrough=yes protocol=udp layer7-protocol=\B5TP  
     
     3   chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack  
         passthrough=yes protocol=udp layer7-protocol=BitTorrent  
     
     4   chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack  
         passthrough=yes protocol=tcp layer7-protocol=BitTorrent  
     
     5   chain=prerouting action=mark-packet new-packet-mark=torrent udp3 pack  
         passthrough=yes protocol=udp layer7-protocol=bittorrent  
     
     6   ;;; mail
         chain=prerouting action=mark-packet new-packet-mark=mail pack  
         passthrough=yes protocol=tcp dst-port=110  
     
     7   chain=prerouting action=mark-packet new-packet-mark=mail1 pack  
         passthrough=yes protocol=tcp dst-port=995  
     
     8   chain=prerouting action=mark-packet new-packet-mark=mail2 pack  
         passthrough=yes protocol=tcp dst-port=143  
     
     9   chain=prerouting action=mark-packet new-packet-mark=mail3 pack  
         passthrough=yes protocol=tcp dst-port=993  
     
    10   chain=prerouting action=mark-packet new-packet-mark=mail4 pack  
         passthrough=yes protocol=tcp dst-port=25  
     
    11   ;;; http down
         chain=prerouting action=mark-packet new-packet-mark=http down pack  
         passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0  
     
    12   chain=prerouting action=mark-connection new-connection-mark=http down con>
         passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0  
     
    13   ;;; ftp
         chain=prerouting action=mark-packet new-packet-mark=ftp pack  
         passthrough=yes protocol=tcp dst-port=20  
     
    14   chain=prerouting action=mark-packet new-packet-mark=ftp1 pack  
         passthrough=yes protocol=tcp dst-port=21  
     
    15   ;;; sftp
         chain=prerouting action=mark-packet new-packet-mark=sftp pack  
         passthrough=yes protocol=tcp dst-port=22 packet-size=1400-1500  
     
    16   ;;; dns
         chain=prerouting action=mark-packet new-packet-mark=dns pack  
         passthrough=yes protocol=tcp dst-port=53  
     
    17   chain=prerouting action=mark-packet new-packet-mark=dns2 pack  
         passthrough=yes protocol=udp dst-port=53  
     
    18   ;;; icmp
         chain=prerouting action=mark-packet new-packet-mark=icmp pack  
         passthrough=yes protocol=icmp  
     
    19   ;;; https
         chain=prerouting action=mark-packet new-packet-mark=https pack  
         passthrough=yes protocol=tcp dst-port=443  
     
    20   ;;; http req
         chain=prerouting action=mark-packet new-packet-mark=http req pack  
         passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000  
     
    21   chain=prerouting action=mark-connection new-connection-mark=http req conn  
         passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000  
     
    22   ;;; skype2skype
         chain=prerouting action=mark-packet new-packet-mark=skype2skype pack  
         passthrough=yes protocol=tcp layer7-protocol=skype2skype  
     
    23   chain=prerouting action=mark-packet new-packet-mark=skype22skype pack  
         passthrough=yes protocol=udp layer7-protocol=skype2skype  
     
    24   ;;; other
         chain=prerouting action=mark-packet new-packet-mark=mark all tcp  
         passthrough=yes protocol=tcp  
     
    25   chain=prerouting action=mark-packet new-packet-mark=all udp  
         passthrough=yes protocol=udp  
     
    26   ;;; dht
         chain=prerouting action=mark-packet new-packet-mark=dht udp pack  
         passthrough=yes protocol=udp layer7-protocol=dht  
     
    27   chain=prerouting action=mark-connection new-connection-mark=dht tcp pack  
         passthrough=yes protocol=tcp layer7-protocol=dht
     
     

     
    В queue tree выставляем приоритеты

    Код:
    [admin@WINXPSP3] > queue tree print
    Flags: X - disabled, I - invalid  
     0   name="ack" parent=global-in packet-mark=ack pack limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
     1   name="dns tcp" parent=global-in packet-mark=dns pack limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
     2   name="dns udp" parent=global-in packet-mark=dns2 pack limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
     3   name="icmp" parent=global-in packet-mark=icmp pack limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
     4   name="https" parent=global-in packet-mark=https pack limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
     5   name="http req" parent=global-in packet-mark=http req pack limit-at=0 queue=default priority=1 max-limit=0  
         burst-limit=0 burst-threshold=0 burst-time=0s  
     
     6   name="skype" parent=global-in packet-mark=skype2skype pack limit-at=0 queue=default priority=5 max-limit=0  
         burst-limit=0 burst-threshold=0 burst-time=0s  
     
     7   name="skype udp" parent=global-in packet-mark=skype22skype pack limit-at=0 queue=default priority=5 max-limit=0  
         burst-limit=0 burst-threshold=0 burst-time=0s  
     
     8   name="http down" parent=global-in packet-mark=http down pack limit-at=0 queue=default priority=7 max-limit=0  
         burst-limit=0 burst-threshold=0 burst-time=0s  
     
     9   name="all tcp" parent=global-in packet-mark=mark all tcp limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s  
     
    10   name="all udp" parent=global-in packet-mark=all udp limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0  
         burst-threshold=0 burst-time=0s
     

    Мангл в винбоксе

    queue tree в винбоксе

     
    Как видим манг маркирует, а в queue tree активность есть только в all tcp, all udp и почемуто icmp? И ВСЕ!!!
    Спасите, просветите,.....
    Всего записей: 90 | Зарегистр. 03-11-2003 | Отправлено: 21:06 09-08-2010
    keyduk1987

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Осваиваю потихоньку RB750G. В самом простом варианте уже все работает, но вот не могу найти элементарного, как посмотреть загрузку проца, памяти и как посмотреть uptime роутера?? Заранее спасиб
    Всего записей: 12 | Зарегистр. 17-05-2008 | Отправлено: 21:20 09-08-2010
    kentavrik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    /system resource print  мне бы твои проблемы (
    Всего записей: 90 | Зарегистр. 03-11-2003 | Отправлено: 21:27 09-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    kentavrik
    спасаю, просвящаю: passthrough=yes обозначает, что обработка правил не прерывается. поэтому пакет, попавший под http, маркируется как http и дальше проверяется всеми остальными правилами. доходит до all tcp, перемаркировывается в all tcp - и таким и остаётся. самое простое решение - перенести all tcp и all udp наверх
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:42 09-08-2010
    keyduk1987

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kentavrik
    Спасиб
    Всего записей: 12 | Зарегистр. 17-05-2008 | Отправлено: 22:14 09-08-2010
    kentavrik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Шайтан однако  

    Спасибо огромное.
    А как добраться до АР что находиться за хотспотом. Есть в наличии    
     lan 10.0.1.1 ->411AH->wan hotspot 10.0.0.0.24->NanoStation2 bridge 192.168.0.0/24->hotspot client 10.0.0.0/24. Как с Lan попасть на NanoStation?
     
     
    Всего записей: 90 | Зарегистр. 03-11-2003 | Отправлено: 23:05 09-08-2010 | Исправлено: kentavrik, 23:16 09-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    как добраться до АР что находиться за хотспотом

    ммм... это получается, что в идеале Нанос должен авторизоваться на хотспоте? попробовать его в wallet-garden добавить
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:21 09-08-2010
    kentavrik



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    а еще у меня роутинга нема , если отключаю хотспот то все ок, вкл хотспот добавляю wallet-garden src. addr 10.0.1.2 dst 192.168.0.101 allow и тишина
    Всего записей: 90 | Зарегистр. 03-11-2003 | Отправлено: 23:32 09-08-2010
    DLMJ



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Осваиваю потихоньку RB750G. В самом простом варианте уже все работает, но вот не могу найти элементарного, как посмотреть загрузку проца, памяти и как посмотреть uptime роутера?? Заранее спасиб

     

    Цитата:
    /system resource print  мне бы твои проблемы (

     
    это все хорошо? но проще и наглядней выводить эти сведения постоянно- правой кнопкой мыши в районе стрелочек отмена-возврат на самой верхней строке и выбираешь "Add CPU" "Add Memory" или "Add Uptime"
     
    Всего записей: 44 | Зарегистр. 05-02-2009 | Отправлено: 13:12 10-08-2010
    grinch



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прошу помочь советом в настройке VLAN. Вот есть такая схема сети: на управляемый коммутатор L2 "приходят" пользователи со своими VLANами, порты untagged, а один порт tagged смотрит на микротик. У всех пользователей белые IP, т.е. кол-во ограничено. Микротик - роутер выпускающий пользователей в интернет, имеет 1 IP адрес на локальном интерфейсе, он же адрес шлюза по умолчанию для пользователей. Скажите, как правильно настроить VLANы на микротике чтобы эта схема работала? Я пробовал создавать на микротике такие же VLANы, привязывал их к локальному интерфейсу, но пока не задам ИП адрес на каждом VLANe, не работает. Как бы "сказать" микротику, что все что приходит на VLAN 1(2,3,4) отправлять на интерфейс ether1? Может немного сбивчиво объяснил, но примерно так. Версия Микротика 3.20.
    Всего записей: 13 | Зарегистр. 27-01-2004 | Отправлено: 14:31 11-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    grinch
    создать бридж и добавить в него ether1,vlan1,vlan2,etc.
    адрес перевесить с ether1 на бридж
     
    Добавлено:
    grinch
    либо добавить адрес ether1 на каждый влан, а в network и broadcast указать у него адрес нужного пользователя в вилане
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:56 11-08-2010
    Vlasglass

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста
     
    Ситуация следующая:  
    Пользователь цепляется за AP, получает IP по DHCP ,авторизуется через веб интерфейс хотспота со своим паролем,и начинает работу.В этот момент к этой-же AP подключается другой "нехороший человек" ,и запускает у себя tcpdump и отлавливает IP/MAC авторизованного пользователя, после прописывает их себе и получает бесплатный инет.
     
    Может кто-то решил уже данную проблему?
    Всего записей: 11 | Зарегистр. 12-07-2010 | Отправлено: 18:35 11-08-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vlasglass
    отключить default forward в АР
     
    Добавлено:
    Vlasglass
    ну и шифрование, наверное, с выдачей каждому индивидуального ключа шифрования =) через RADIUS, например...
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:57 11-08-2010
    Vlasglass

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Vlasglass  
    отключить default forward в АР  
     
    Добавлено:  
    Vlasglass  
    ну и шифрование, наверное, с выдачей каждому индивидуального ключа шифрования =) через RADIUS, например...

     
    Chupaka спасибо за ответ ! Забыл сказать,что AP внешние и не от микротика.И проблема в том, что эти железки не поддерживают WPA-Enterprise (
    Всего записей: 11 | Зарегистр. 12-07-2010 | Отправлено: 08:42 12-08-2010
    13x13

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте уважаемые.
    Прошу вас помочь мне в настройке роутера RB/750G при подключении к Beeline по протоколу PPTP. Версия 5.0.5beta
     
    admin@MikroTik] > ip route print
    Flags: X - disabled, A - active, D - dynamic,  
    C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,  
    B - blackhole, U - unreachable, P - prohibit  
     #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
     0 A S  0.0.0.0/0                          10.242.26.1        1        
     1  DS  0.0.0.0/0                          192.168.200.1      1        
     2 ADS  10.0.0.0/8                         10.242.26.1        1        
     3 ADC  10.242.26.0/24     10.242.26.144   ether1-gateway     0        
     4 ADS  78.107.52.0/24                     10.242.26.1        1        
     5 ADS  85.21.72.80/28                     10.242.26.1        1        
     6 ADS  85.21.79.0/24                      10.242.26.1        1        
     7 ADS  85.21.90.0/24                      10.242.26.1        1        
     8 ADC  192.168.88.0/24    192.168.88.1    ether2-local-ma... 0        
     9 ADC  192.168.200.1/32   95.31.128.3     pptp-corbina       0        
    10 ADS  217.118.84.0/24                    10.242.26.1        1        
    11  DS  233.33.210.0/24                    10.242.26.144      1      
     
    [admin@MikroTik] > ip firewall nat print
    Flags: X - disabled, I - invalid, D - dynamic  
     0   ;;; default configuration
         chain=srcnat action=masquerade out-interface=ether1-gateway  
     
     1   chain=srcnat action=masquerade out-interface=pptp-corbina  
     
     2 I chain=srcnat action=masquerade out-interface=corbina-l2tp  
     
     
     
    vpn.internet.beeline.ru пингуется. Локалка провайдера есть. Интернета нет.
    Всего записей: 1 | Зарегистр. 09-06-2006 | Отправлено: 09:32 12-08-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru