ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: конечно. если пакет доходит до роутера - то вместо правила НАТ достаточно прописать маршрут на этот адрес через другой роутер/компьютер, навесить на то устройство ещё и этот адрес - и радоваться     Спасибо за идею )) Воспользуюсь в крайнем случае: всё же нехорошо пускать внешний трафик в LAN.     "ReverseNAT" с для нескольких компов остаётся под вопросом.     Всего записей: 17163 | Зарегистр. 14-10-2001 | Отправлено: 20:44 01-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slech потому что прокси указывает в заголовке, для кого проксирует запрос. http://myip.ru показывает адрес соединения, http://cmyip.ru по возможности ещё и вытягивает инфу из прокси   Цитата: Воспользуюсь в крайнем случае: всё же нехорошо пускать внешний трафик в LAN. не вижу ничего в этом плохого. ведь я же не говорил, что при этом трафик не надо файрволить уже на входе   Цитата: "ReverseNAT" с для нескольких компов остаётся под вопросом. для меня данная тема покрыта мраком: как-то не слышал никогда о таком, поэтому не могу комментировать... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:13 02-08-2011

Smito1 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupakaдружище, не раз уже помогал, выручи ещё раз...дело такое,  я с девушкой моей в одной сети, в одном сегменте, т.к. у меня постоянно включенный сервак на микротике, и есть постоянно ин-нет, а ей надо раз в год попользоваться, ну или порой не оплачен а надо, пришла мысль, пустить ей через прокси или впн тунель если возомжно ин-нет, раньше такое пробовали с другом, когда были лишь два компьютера подключенные напрямую, он поднимал веб прокси, а я вбивал его ип и порт, как бы мне сейчас организовать? у неё напрямую без роутеров подключено, я пробовал настраивать но у меня не получилось ничего Всего записей: 373 | Зарегистр. 19-12-2006 | Отправлено: 02:12 02-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Smito1 "ничего" можно понимать как угодно. можно просто прокси включить, ей его вбить, а фильтром файрвола в инпуте заблочить доступ извне, кроме как от неё Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 03:55 02-08-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: потому что прокси указывает в заголовке, для кого проксирует запрос. http://myip.ru показывает адрес соединения, http://cmyip.ru по возможности ещё и вытягивает инфу из прокси   у 3 прокси был такой ключик - a он как раз и прятал эту инфу можно ли тут победить это ?   И ещё вот меня что беспокоит: у меня есть IP на тике - 89.xx.xx.40, так же мне Starnet выдал ещё 7 IP - 89.xx.xx.70-76 Мне нужно сделать сайт доступным из мира по 80 порту: Цитата:   ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.72 protocol=tcp dst-address-list=ext-ip-starnet-3 dst-port=80   так вот насколько я припоминаю оно не хотело работать пока я этот внешний IP не добавил на этот внешний интерфейс и тогда оно заработало. Потом я удалил этот IP оттуда, но всё продолжало работать. Я перегружал тик пару раз и всё работало. Сегодня утром мне пожаловались что сайт не работает. И заработал он только после добавления мною IP на интерфейс. Почему такое могло произойти ? Щас снова удалил этот IP с интерфейса, перегрузил тик и всё работает.   Ещё у меня вопрос по Графикам. Не смог найти где они должны храниться, посчитал что оперативной памяти. Перегрузился - графики есть, значит на flash самой железки. Сегодня утром после перезагрузки(после установки CF) вижу что графиков нету - куда они подевались ? Они что обнулятся раз в сутки ? И где они хранятся.   Спасибо. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 12:15 02-08-2011 | Исправлено: slech, 12:17 02-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: у 3 прокси был такой ключик - a он как раз и прятал эту инфу не нахожу в настройках ничего подобного...   Цитата: насколько я припоминаю оно не хотело работать пока я этот внешний IP не добавил на этот внешний интерфейс и тогда оно заработало правильно. провайдер вам не смаршрутизировал тот блок, а настроил бриджем - худший вариант из двух возможных. теперь оборудование провайдера спрашивает АРП'ом: у кого айпищнег такой-то? если этот адрес никому не навешен и Proxy-ARP выключен - то никто и не ответит. если навесить - то тик отрапортуется своим маком и девайс провайдера его запомнит на некоторое время. теперь можно перезагружать всё, что угодно. главное, чтобы по истечении времени жизни ARP-записи было опять кому на запрос ответить   советую попросить провайдера смаршрутизировать эту подсеть на ваш 89.xx.xx.40, дабы избавиться от ненужного геморроя   Цитата: Ещё у меня вопрос по Графикам. Не смог найти где они должны храниться, посчитал что оперативной памяти. Перегрузился - графики есть, значит на flash самой железки. угу, на флэше. графики пропадать могут при изменении системного времени в очередной момент их отрисовки. перезагрузка производилась по питанию или корректным шатдауном? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:08 02-08-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: перезагрузка производилась по питанию или корректным шатдауном? и вот и незнал что есть такая команда shutdown может в 5-ой версии появилась. System --> Reboot --> выключение питания --> установка флешки -->ключение обратно.   Добавлено: Chupaka спасибо за подробные ответы. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 18:46 02-08-2011

Smito1 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka легко), поэтому прошу помощи, может мануал подскажешь, или поэтапно если не сложно у меня допустим айпи вида 10,10,92,45 у неё 10,10,92,56, статический айпи без впн и прочего, не пойму что надо в фаерволе прописать чтобы пускать трафик в обратную сторону Всего записей: 373 | Зарегистр. 19-12-2006 | Отправлено: 23:43 02-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: и вот и незнал что есть такая команда shutdown   может в 5-ой версии появилась. всегда она там была. ну, раз графики пропали - могу только на изменение времени сослаться...   Цитата: у меня допустим айпи вида 10,10,92,45 у неё 10,10,92,56, статический айпи без впн и прочего, не пойму что надо в фаерволе прописать чтобы пускать трафик в обратную сторону   не совсем понял вопрос... не надо в файрволе ничего прописывать - тогда трафик свободно будет ходить в обе стороны =) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:05 03-08-2011

AntoshAReal Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Приветствую Вас, уважаемые! Прошу показать пример разлычных маршрутов для разные адресов. Например, есть внутрисетевой адреса 192.168.0.1 для него надо направить весь основной трафик на 172.254.254.1 , а для адреса 192.168.0.20 надо использовать 187.254.254.2 .   Надеюсь что понятно изложил свою мысль. Всего записей: 305 | Зарегистр. 31-08-2005 | Отправлено: 19:34 04-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AntoshAReal как-то так: Код: /ip route add routing-mark=gw1 gateway=172.254.254.1 /ip route add routing-mark=gw2 gateway=187.254.254.2 /ip route rule add src-address=192.168.0.1 action=lookup table=gw1 /ip route rule add src-address=192.168.0.20 action=lookup table=gw2 Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:29 04-08-2011

AntoshAReal Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Огромное спасибо, работает.   elemenrad Попробуй нечто похожее: Код:   /ip firewall nat add action=dst-nat chain=dstnat comment="FTP Port 990 for SS" disabled=no \     dst-port=21 in-interface=SS protocol=tcp to-addresses=192.168.254.6 \     to-ports=990 add action=dst-nat chain=dstnat comment="FTP Port 991 for NTK" disabled=no \     dst-port=21 in-interface=NTK protocol=tcp to-addresses=192.168.254.6 \     to-ports=991   где 192.168.254.6 - внутренний адрес, куда перенаправлять 990 - внутренний порт сервера FTP для провайдера SS 991 - внутренний порт сервера FTP для провайдера NTK   SS и NTK - названия интерфейсов для этих провайдеров   Вместо 990-991 можешь написать 21, либо оставить пустым, если сервер использует порт по-умолчанию.     RB750 вроде ничем не отличается от всех остальных на RouterOS, поэтому могут быть приняты стандартные правила для Queues. Например: Код:   /queue simple add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment="" \     direction=both disabled=no dst-address=0.0.0.0/0 interface=LAN limit-at=\     1M/1M max-limit=100M/100M name=queue1 parent=none priority=8 queue=\     default-small/default-small target-addresses=192.168.254.250/32 \     total-queue=default-small   max-limit=100M/100M - максимальная доступная скорость limit-at=1M/1M - минимальная гарантированная скорость 192.168.254.250/32 - адрес, для которого действует правило interface=LAN - на каком интерефейсе применять Всего записей: 305 | Зарегистр. 31-08-2005 | Отправлено: 15:34 05-08-2011 | Исправлено: AntoshAReal, 15:49 05-08-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А я из локалки по адресу example.com зайти не могу. В чем может быть косяк?       В том, что нужен в общем случае ReverseNAT - о котором не знает даже Chupaka. ))   Если же вебсервис единственный - то нужно настроить сплит днс внутри локалки, чтобы example.com разрешалось не во внешний айпишник шлюза, а в локальный адрес сервера. Всего записей: 17163 | Зарегистр. 14-10-2001 | Отправлено: 12:18 08-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: нужен в общем случае ReverseNAT - о котором не знает даже Chupaka теперь Чупака прокачался (на страничке http://networkingtrix.com/wiki/Reverse_NAT ): Цитата: Reverse NAT is a method used by a NetScaler to translate network addresses by replacing the source IP addresses of packets generated by the servers and replacing them with NAT IP addresses. The NAT IP Addresses is a public IP Address. It is called Reverse NAT, because it is referred to as outbound NAT, for connections going out of the NetScaler, as opposed to incoming NAT which is the norm. так что это и есть то, что Тик называет Masquerading, или Src-NAT Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:30 08-08-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование