ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору chert90 как уже не раз писалось, роутер понятия не имеет, какой из его IP-адресов используется клиентами в качестве шлюза. маршруты эти надо разносить в разные таблицы (назначать routing-mark), а потом правилами mangle назначать пакетам тот же routing-mark, и тошда пакет пойдёт на нужный шлюз   Dimsoft Hotspot точно такое умеет, если прописан Address Pool у него в настройках Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:28 21-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору a520 других правил в файрволе нет? NAT не привязан к протоколу? тогда показывайте /ip firewall service-port print Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:31 23-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору a520 Цитата: 5 I pptp                                                                   1723   вот из-за прописанного порта у вас эта самая важная строчка является невалидной =) уберите 1723 Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:20 23-07-2011

a520 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да на RB450 там действительно пусто было, убрал и на RB750g вот  /ip firewall service-port> print Flags: X - disabled, I - invalid    #   NAME                                                                 PORTS  0   ftp                                                                  21      1 X tftp                                                                 69      2 X irc                                                                  6667    3 X h323                                                                  4   sip                                                                  5060                                                                             5061    5   pptp                                                                   перезагрузил роутер и тогда сработало, без перезагрузки не было эфекта   ОГРОМНОЕ СПАСИБО   куда пиво отгружать?   Добавлено: Интересно разобраться и во второй части, если RB750 будет  PPTP-Client как сделать так, чтоб компы за ним увидели удаленную сеть. Фактически как заставить заработать пример из http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP#Site-to-Site_PPTP если говорить по этому примеру, то Laptop10.1.202.2 видит только адрес 172.16.1.2 а вот с RB750 в winbox любой Workstation пингуется. Чего там не договорили про маршрутизацию? Всего записей: 84 | Зарегистр. 05-08-2006 | Отправлено: 16:29 23-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: куда пиво отгружать? Минск, Беларусь ))   про вторую часть: смотреть трассировку с обеих сторон навстречу друг другу Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:55 23-07-2011

wsadneg Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору a520 Чтоб лаптоп увидел сетку 10.1.101.0/24 нужно на первом микротике (HOME) прописать маршрут Код: /ip route> add dst-address=10.1.101.0/24 gateway=172.16.1.1 Всего записей: 212 | Зарегистр. 20-05-2011 | Отправлено: 20:02 24-07-2011 | Исправлено: wsadneg, 20:03 24-07-2011

a520 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Эх, в Киеве я бы отправил пиво, но в Минске ни как   понятно что /ip route> add dst-address=10.1.101.0/24 gateway=172.16.1.1   я прописал в роутере и с роутера в винбоксе Workstation пингуется и трасса правильная, но не с лаптопа, там только 172.16.1.2 виден. А на самом лаптопе лезть в ROUTE ADD вроде как не нужно бы, но tracert (лаптоп под вин) на 10.1.101.3 показывает только 10.1.202.1 а дальше ***.   Добавлено: --------------   На своих микротиках я настраиваю профиль в PPP так, что он раздает локальный и удаленный адрес в той же подсети и тогда в свойствах стандартного виндовс впн соединения можно снять галку «использовать как основной шлюз» и ничего не добавлять в ROUTE ADD (я это просто не умею). А в данном случае нужно соединится с чужой сетью и тут приходится эту галку установить, и работать только с одним этим впн, остальные отваливаются из-за этой установки, а использовать роутер как PPTP-Client не получилось почему-то. Было б интересно узнать как другие решают подобную задачу. Всего записей: 84 | Зарегистр. 05-08-2006 | Отправлено: 16:58 25-07-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Может кто помочь ???  Немного еще добавил, подглядев на IXBT Подробнее...  Торенты все равно живут своей жизнью... Как побороть???? Хелпп.. Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 15:51 26-07-2011 | Исправлено: ramzes83, 16:00 26-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как l2tp сервер повесить на один IP, а скажем openvpn сервер на другой?  (сетка /29 от провайдера)   Как микротик определяет основной IP на WAN интерфейсе? Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 19:27 27-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Как l2tp сервер повесить на один IP, а скажем openvpn сервер на другой? файрволом закрыть доступ на ненужные адреса, например. а смысл? =)   Цитата: Как микротик определяет основной IP на WAN интерфейсе? в каком смысле "основной"? если речь про NAT Masquerade и src-address генерируемых роутером пакетов - то тут явно используется Pref.Src из используемого роута Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 20:54 27-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата:  а смысл? =)     Я как-то привык, что разные WAN IP используются для разных нужд (с помощью нескольких шлюзов). Надеялся, что продвинутый Microtik поможет сократить их количество - это я зря, что ли?   Не утверждаю, что я прав; наоборот, хотел бы сломать неверный шаблон.     Цитата: если речь про NAT Masquerade и src-address генерируемых роутером пакетов - то тут явно используется Pref.Src из используемого роута   А если он не задан для дефолтного маршурта?     Добавлено:   Pref.Src выбирается случайно в таком случае?     И что является бестпрактисом для нескольких WAN ip? Типа они только для NAT 1:1, а больше не нужны ни для чего ?     Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 21:23 27-07-2011 | Исправлено: LevT, 21:33 27-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: сократить их количество   Цитата: l2tp сервер повесить на один IP, а скажем openvpn сервер на другой сократить - это повесить всё на один, а не плодить адреса без необходимости   Pref.Src в том случае выбирается из маршрута к шлюзу   бестпрактисом является невешание нескольких адресов на один интерфейс - зачем? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:53 27-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   Есть несколько адресов от провайдера, все на одном канале. Цель - разумно употребить 4/5 из них с помощью единственного микротика, не размножая интернет-шлюзы в локалке сверх необходимости.     Цитата: нескольких адресов на один интерфейс - зачем?     Например для NAT 1:1   Или, например, для одновременной публикации нескольких вебсервисов на стандартном порту (чтобы юзерам в интернете хватало DNS имён без мороки с портами).     Пока использую для этого внешний "webhop redirect" от dyndns, но хотелось бы обойтись микротиком. Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 06:07 28-07-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору товарищи. Я понимаю, что моя проблема - практически детская. Но может кто поделится простеньким рабочим конфигом?? Или сможет мне помочь с настройкой текущего.   Повторюсь, инет всем поровну, и заблочить ВСЕ кроме HTTP ICQ И пары бух-приложений Обязательно торенты и прочие P2P. Ну и возможность контролировать, с какого адреса идет трафик (на случай заражения, чтоб быстро вычислить)  Плз хеелп!!! Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 09:24 28-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Например для NAT 1:1 это, строго говоря, никак не связано с числом адресов на интерфейсе. чтобы их "употребить" в режиме моста (когда там сеть /29) - да, можно понавешать отдельных адресов на интерфейс, можно включить и настроить Proxy-ARP (геморройно, наверное, ибо такой конфиг в принципе неправилен); результат один - на ARP-запросы провайдера будут приходить ответы, хоть и с одним и тем же маком. всё равно трафик будет гулять между двумя маками (провайдерским и тиковским), поэтому всё ещё непонятно, зачем ППП-серверы разносить на разные адреса.   Цитата: для одновременной публикации нескольких вебсервисов на стандартном порту   все вебсервисы - на разных серверах? тогда надо использовать прокси. а если на одном - добро пожаловать в NameVirtualHost Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:05 28-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   Можно ещё раз, чуть подробнее?   1) Цитата: можно включить и настроить Proxy-ARP   Это как, интересно, о чём вообще речь? Я знаю только одно употребление Proxy ARP: для включения VPN клиентов в сегмент LAN.   2) Цитата:  результат один - на ARP-запросы провайдера будут приходить ответы, хоть и с одним и тем же маком.   У меня etherWAN интерфейс включён в WAN бридж. Возможно ли как-то добавить левых маков по числу адресов? Оправдано ли это?     Цитата: зачем ППП-серверы разносить на разные адреса.     Для того, чтобы иметь возможность каждый из них по отдельности перенести внутрь локалки (например, на ISA-TMG-UAG), убрав его с шлюза.     Малой кровью (без глобального переписывания и тестирования конфигов). И НЕ ПОРУШИВ остальные.     Цитата: все вебсервисы - на разных серверах? тогда надо использовать прокси.   Ссылку на доку можно?  Я правильно понимаю, что речь о реверс-прокси?     Цитата:  а если на одном - добро пожаловать в NameVirtualHost   А ето што це такэ? Заранее благодарен за пояснения!   Всего записей: 17171 | Зарегистр. 14-10-2001 | Отправлено: 01:14 29-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT Цитата: Это как, интересно, о чём вообще речь? Я знаю только одно употребление Proxy ARP: для включения VPN клиентов в сегмент LAN. Proxy-ARP в целом используется для того, чтобы одна машина отвечала на ARP-запросы за другую. надо это с большего тогда, когда вторая машина находится на разных интерфейсах у первой: например, локальная сеть и впн-юзер, или провайдер и машина с адресом из подсети провайдера, но находящаяся за маршрутизатором. в данный момент речь как раз о втором случае. т.е. теоретически можно включить арп-прокси и прописать маршрут на адреса, которые предполагается пробрасывать на другие машины, внутрь локалки. теоретически потому, что я не люблю Proxy-ARP и потому его не использую - лучше настроить нормально маршрутизацию   Цитата: У меня etherWAN интерфейс включён в WAN бридж а зачем, если не секрет? за что люблю такие разговоры: вначале кажется, что схема проста до безобразия, а потом как начинают всплывать такого рода подробности внутренней организации... =)   Цитата: Для того, чтобы иметь возможность каждый из них по отдельности перенести внутрь локалки (например, на ISA-TMG-UAG), убрав его с шлюза. ну, если всё равно трафик будет бегать через тот же маршрутизатор - то тут вообще параллельно, отмаршрутизировать способом с Proxy-ARP никто вроде не мешает. а вообще за многие годы работы в этой области я очень хорошо понял, насколько позитивным является DNS: можно менять IP-адресацию, не меняя настроек пользователей =)   Цитата: Ссылку на доку можно?  Я правильно понимаю, что речь о реверс-прокси? вроде того. в DNS Мелкотика статикой вбиваются имена серваков с их внутренними IP-адресами - и затем все веб-запросы перенаправляются на мелкотиковский прокси, который обращается непосредственно к нужному серверу и результат отдаёт клиенту. ссылки, к сожалению, под рукой нет, но вроде как я это в мануале к тику и читал   Цитата: NameVirtualHost Цитата: А ето што це такэ? а это возможность Apache'а держать на одном айпишнике:порту сколько угодно сайтов на разных доменах Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:13 29-07-2011

wsadneg Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите пожалуйста, можно ли выключить обнаружение cisco и mikrotik, сегодня обнаружил, что раз в минуту роутер шлёт discovery-пакеты, а мне это совсем ни к чему. Всего записей: 212 | Зарегистр. 20-05-2011 | Отправлено: 23:32 29-07-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование