Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Цитата:
    FAQ

  1. Как скопировать лог?
      В терминале набираем /log print. Так же можно вывести в файл, для этого используйте команду: /log print file=log


  2. Как зайти на роутер, если случайно заблочил доступ в фаерволе?
      Смотря как заблочил, если привязал к интерфейсу, можно попробовать зайти с другого интерфейса. Если заблочил на всех интерфейсах то можно зайти по МАС-адресу, он может не транслироваться по MNDP и CDP (и не отображаться в поиске WINBOX), но если mac-сервер запущен (а он запущен по дефолту), то зайти можно. Для этого в адресную строку WINBOX нужно вбить МАС-адрес устройства(для SOHO на обратной стороне устройства, или на коробке, есть перечисление всех МАС-ов - один из них). Так же можно зайти через консольный кабель.


  3. Где у роутера WAN порт?
      У роутеров MIKROTIK каждый порт равноправный, поэтому понятие WAN неуместно. Провайдера можно подключить к любому из портов.


  4. Как сменить МАС адрес сетевого интерфейса?
      МАС адрес сетевого интерфейса можно сменить через консоль, набрав в ней - /interface ethernet set ether1 mac-address FF:FF:FF:FF:FF:FF, где ether1 - имя сетевого интерфейса мас-адрес которого нам нужно сменить, FF:FF:FF:FF:FF:FF - MAC-адрес. Важно понимать, что при сбросе настроек роутера, или при резете роутера эта настройка тоже сбрасывается.


  5. Как дать прямую ссылку на отдельный раздел веб-интерфейса роутера?
    Пользователю можно дать полный путь до нужного подпункта меню через веб-интерфейс (webfig). Для этого заходим через webfig на роутер, копируем путь до меню http://x.x.x.x:y/webfig/#System:Packages.Check_For_Updates, где x.x.x.x:y - ip адрес и порт. После ввода  пароля пользователю откроется сразу нужное меню. Важно понимать, что пользователь, зная логин и пароль, может изменять конфигурацию в зависимости от полноты своих прав.


  6. Интернет на роутере есть, я пингую с WINBOX хост (например ya.ru) пинг не проходит, пингую IP - проходит, как такое может быть?
      При работе через винбокс, при вносе админом в панели настроек адресов в формате URL, винбокс использует DNS-резольвер компа(!), на котором он запущен. В то же время, встроенный в винбокс telnet использует уже внутренний DNS микротика. Это объясняет "странность", когда URL не распознаются микротиком при настройке.


  7. У меня есть web-сервер внутри сети, но я не могу зайти на него с внешнего ip\внешнего хоста. Что делать?
      Для того, что бы сайты были доступны из внутренней сети по внешнему ip, нужно воспользоваться настройкой Hairpin NAT.


  8. Как привязать маршрут конкретно к интерфейсу, при наличии одинаковой адресации от одного провайдера и одного шлюза, но нескольких айпи, на разных линках?
      Для этого маршруты добавляем таким образом:
    Код:
    /ip route add gateway=10.10.0.1%ether1 routing-mark=inet1

    /ip route add gateway=10.10.0.1%ether2 routing-mark=inet2
    , где к ether1 привязываем пакеты с меткой inet1, а к ether2 пакеты с меткой inet2. Подробнее....


  9. Как автоматически передать и выполнить скрипт с одного роутера на другой?
      Для этого в планировщике первого роутера выполняем скрипт
    Код:
    /tool fetch mode=ftp upload=yes address=0.0.0.0 port=2121 user=admin password=admin ascii=yes src-path=1.txt dst-path=1.auto.rsc
    , где по фтп передается файл 1.txt, в котором содержится сценарий для второго микротика, и в процесе передачи переименовывается в 1.auto.rsc. Как только файл с раширением .auto.rsc попадет на второй микротик, он тут же выполнится.


  10. Устройство apple не может отобразить страницу HOTSPOT.
      Устройства apple при подключении обращаются на страницу http://www.apple.com/library/test/success.html, для того, что бы разрешить обращение:
    Код:
    /ip hotspot profile set hsprof1 dns-name=""

    /ip hotspot walled-garden

    add action=allow comment="" disabled=no dst-host=www.apple.com path=/library/test/success.html
    Подробнее...


  11. Как автоматически выполнить какие-либо действия не заходя на рутер?
      По правильному для этого стоит использовать API или WebFig. Система разрешений на данный момент не позволяет детально разграничивать права пользователей в ROS.
    Простенький бат-скрипт для включения wlan1-private интерфейса может выглядеть так:
    Код:
    ::
    set host=192.168.1.1
    set port=22
    set user=robot
    set password=******
    set "command=/interface wireless enable wlan1-private"
    ::
    echo y | d:\Install\Programs\SSH\Putty\PLINK.EXE -P %port% -l %user% -pw %password% %host% "%command%"
    ::
    Будьте внимательны! В данном подходе пароль сохраняется в батнике в открытом виде и у данного пользователя полные права в системе.


  12. Какие UPS поддерживает RouterOS?
       Операционная система поддерживает UPS ТОЛЬКО фирмы APC, которые используют протокол APC Smart protocol, но как показала практика работают и ИБП более дешевого сегмента APC Back-UPS. В последних основные параметры работают, но могут не поддерживаться второстепенные функции.(Но сказать по-правде, в боевом режиме использование данный серии затруднено, упс может отпасть, или не появиться в микротике после выключения, короче говоря оно то работает, но кривовато, поэтому используйте Smart-UPS и радуйтесь) К роутерам можно подключить UPS через USB или COM-порт. Это касается и x-86 и SOHO-сегмента. Так же по USB можно подключить через USB-HUB.


  13. К роутеру подключаются клиенты по PPP, для этих клиентов нужно сделать правила в  firewall и его привязать к интерфейсу конкретного клиента. Если привязать к динамическому интерфейсу, то при отключении клиента правило в firewall становиться недействительное, т.к. интерфейса этого нет.
      Можно поступить следующим образом: под клиента создать интерфейс L2TP Server Binding или PPTP Server Binding в зависимости от типа подключения, в поле User указать имя с secret, и интерфейс будет статическим с статическим именем, поэтому можно применять к нему правила.


  14. Как узнать какой интерфейс соответствует физическому порту?
      Иногда администраторы RouterOS переименовывают интерфейсы, что бы узнать какой интерфейс соответствует физическому порту можно воспользоваться кнопкой Interfaces -  Blink и смотреть какой порт мигает. Но эта функция может не поддерживаться некоторыми устройствами. Так же можно воспользоваться командой  interface ethernet export , которая в поле find default-name покажет реальный номер порта. Так же команда /interface ethernet print detail where name=bla, где bla - текущее имя интерфейса, покажет в  default-name нужное нам имя.


  15. Как ограничить один аккаунт PPP одной сессией?
      В настройка профиля, который используется в PPP параметр  "limits - only one"поставить в yes.


  16. В логе появилась запись синим цветом "warning excessive or late collision, link duplex mismatch?"
      На порту возникает несоответствие из-за автоматического согласования, причины в ссылке выше. Решить проблему можно отключением autonegotiation в настройка порта и включение принудительного режима порта, например 100Mbit, full duplex.


  17. Как удалить лог?
      Воспользоваться скриптом:
    Код:
    /system logging action
    set memory memory-lines=1
    /system logging action
    set memory memory-lines=100
    как видно этот скрипт удаляет лог из категории "memory" с 1 по 100 линию. Модифицируем под свои нужды.


  18. Как сделать экспорт конфигурации без паролей (например пользователей vpn)?
      Стоит сказать, что пользователи операционной системы не экспортируются в целях безопасности. Для большей безопасности вы можете воспользоваться ключём hide-sensitive при выполнении export. Команда: export hide-sensitive  Например пользователи PPP при такой команде будут экспортироваться без паролей. С версии 6.13 можно зашифровать бекап паролем, включено по умолчанию, что-бы не использовать - включите флаг dont-encrypt.


  19. Как отключить гашение(переход в режим энергосбережения) монитора в простое (речь о х86)?
      Команда:  /system console screen set blank-interval=never.  


  20. Как ограничить доступ к файлу в роутере оперделенным пользователям?
      С версии 6.13 если в имени файла содержаться '.sensitive.' и у пользователя нет права sensitive, доступ к этому файлу будет ограничен.


  21. На некоторых роутерах есть разьем сзади RG45. Для чего он?
      Это консоль. Кабель подойдёт от Cisco. Подробнее...


  22. Как настроить wep-шифрование?
     Ссылка на оф. форум.


  23. Как во время монтажа беспроводных точек важно точно направить их друг на друга?
      Во время монтажа беспроводных точек важно точно направить их друг на друга. Откройте настройки беспроводного интерфейса wlan1 и перейдите на вкладку Status. Сначала направляйте антенны в горизонтальной плоскости и следите за уровнями Tx/Rx Signal Strength, а потом в вертикальной плоскости. Хорошими уровнями считаются -60...-70 dBm. Также смотрите, чтобы перекос по поляризациям был минимальный. Значения Tx/Rx должны быть в идеале равны.


  24. Как организовать работу нескольких web-серверов за микротиком?
      Нужно сделать проброс:
    Код:
    /ip proxy
    set enabled=yes max-cache-size=none
    /ip dns static
    add address="вебсервер1" name=www.porno.com
    add address="вебсервер2" name=www.cisco.com
    /ip firewall nat
    add action=redirect chain=dstnat dst-address="публичный айпи" dst-port=80 \
        protocol=tcp to-ports=8080

     Прокси защитить снаружи.


  25. Порты объединены в бридж. В арп таблице маки показываются на интерфейсе бридж.  
     Есть ли возможность в просмотреть с какого порта роутер услышал мак?

     
    Код:
    /interface bridge host print
    Или в меню слева "Bridge" закладка "Hosts".


  26. Проброс rdp (555 -> 3389) с запретом всего остального. Как решить?
       
       
     
       
       
     
       
       


  27. Как сделать что б SSID микротика постоянно был на первом месте в списке сетей?
     В поле SSID перед именем сети поставить пробел. На версии 5.x это можно сделать только через терминал. Так же при экспорте конфигурации пробел пропадает.


  28. Как организовать Hairpin NAT при динамическом внешнем IP?
     
    Код:
    in-interface=интерфейс dst-address-type=local

    Пример:

    Код:
    /ip firewall nat  
       
     add action=dst-nat chain=dstnat comment="Nxt API portmap" dst-port=7876 in-interface=ether1 protocol=tcp to-addresses=192.168.1.150  
       
     add action=dst-nat chain=dstnat comment="Nxt API portmap local" dst-address-type=local dst-port=7876 in-interface=brg_home_all protocol=tcp to-addresses=192.168.1.150  
       
     add action=masquerade chain=srcnat comment="Nxt API portmap local masq" dst-address=192.168.1.150 dst-port=7876 protocol=tcp src-address=192.168.1.0/24



  29. Как вывести в лог скриптом сообщение другого цвета?
    BLACK
    log info "blah blah this log is in black"
    BLUE
    log warning "blah blah this log is in blue"
    RED
    log error "blah blah this log is in red"


  30. Как отключить режим энергосбережения для работы при экстремально-низких температурах?
    mikrotik cpu-mode (power-save | regular; default: power-save) - whether to enter CPU suspend mode in HTL instruction. Most OSs use HLT instruction during CPU idle cycle. When CPU is in suspend mode, it consumes less power, but in low-temperatire conditions it is recommended to choose regular mode, so that overall system temperature would be greater.


  31. Как подключить юзера по vpn с доступом в локальную подсеть, при условии, что он находиться в той же подсети?
    Пример:

    Цитата:
    1) Включаем vpn сервер, добавляем юзера, ip vpn сервера из той же сети, что и Ether2-master-local, в моем случае Ether2-master-local = 192.168.1.1; vpn server=192.168.1.30 vpn client=192.168.1.35 Все остальные настройки vpn оставлены по умолчаниям, как в микротике так и в винде, если vpn клиенту не нужен интернет с тика, то в свойствах подключания vpn галочку использования основного шлюза в удаленной сети снимаем.
     2) На интерфейсе Ether2-master-local переключаем ARP из положения enable в proxy.
     3) Подключаемся извне к тику по vpn, соединение устанавливается.
     4) Теперь с любого хоста в локалке за тиком из сети 192.168.1.0/24 можем пинговать ip подключенного клиента vpn - 192.168.1.35
     5) Так же, с удаленного клиента 192.168.1.35 можем пинговать любой хост в локальной сети, например 192.168.1.7 обмен пингами теперь двусторонний. Самое главное удалось этого добиться без mangle, статических роутов на тике и на клиенте, без адрес листов. Теперь все работает как и положено.



  32. Как при резервировании канала, при переключении сбрасывать установленные UDP-соединения?
     
    Код:
    :foreach i in=[/ip firewall connection find dst-address~":2227" protocol~"udp"] do={ /ip firewall connection remove $i }
     При ненадобности номер порта можно и не упоминать.


  33. Как пустить отдельную машину только через одного определенного провайдера не использую прероутинг?
     
    Код:
    /ip route add gateway=1.1.1.1 routing-mark=markName
    /ip route rule add src-address=192.168.0.12 action=lookup-only-in-table table=markNmae



  34. Где утилита Winbox хранит свои настройки?
      в Windows XP - C:\Documents and Settings\%USER%\Application Data\Mikrotik\
      в Windows 7  - C:\Users\%USER%\AppData\Roaming\Mikrotik\


  35. Как сделать обработку ошибок в скрипте?
    Пример:  

    Код:
    o {
             :resolve domena.net
          } on-error={
              /log warning ("Error")
          }



  36. Как вызвать доп-процедуру с переменной?
    Пример:  

    Код:
    [admin@MikroTik] > :global fun do={:put "YES!!!"}    
    [admin@MikroTik] > $fun
    YES!!!



  37. Как скриптом завершить работающий скрипт?
    Пример:  

    Код:
    /system script job remove $id
    Подробнее...


  38. Есть /ip dhcp-server lease статические записи, нужно выбрать по host-name все записи у которых встречается "mak"?
    Пример:  

    Код:
    /ip dhcp-server lease print where !dynamic and host-name~"mak"



  39. Есть микротик с белым ИП и есть с серым ИП, задача поднять между ними L2
    Автор vqd    
    Подробнее...
     
    Со стороны сервера:

    Код:
     
    /interface l2tp-server server set enabled=yes
    /interface l2tp-server server set enabled=yes mrru=1600
    /ppp profile add bridge=bridge1 name=l2
    /ppp secret add name=vqd1 password=qwaszx12 profile=l2
     

     
    со стороны клиента

    Код:
     
    /ppp profile add bridge=bridge1 name=l2
    /interface l2tp-client add connect-to=111.222.333.111 disabled=no mrru=1600 name=l2tp-out1 password=qwaszx12 profile=l2 user=vqd1
     

     
    Все это дело поднимается и видим

    Код:
     
    [admin@CRN.MSK-Olimp16] > /interface bridge port print  
    Flags: X - disabled, I - inactive, D - dynamic  
     #    INTERFACE                              BRIDGE                             PRIORITY  PATH-COST    HORIZON
     0 I  ether9                                 bridge1                                0x80         10       none
     1  D l2tp-out1                             bridge1                                0x80         10       none
     

     
    Аналогично и со стороны сервера. Для проверки вешаем DHCP-Client

    Код:
     
    [admin@CRN.MSK-Olimp16] > /ip dhcp-client print  
    Flags: X - disabled, I - invalid  
     #   INTERFACE  USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS        ADDRESS            
     0   bridge1          no                      no                    bound         192.168.200.11/24
     



     
  40. Изоляция подсетей и маршрутизация избранных хостов
    Автор vqd    
    Подробнее...
     
     
    Возьмем задачу и что бы было не все так просто ее же немного усложним
     
    Имеем
    Сеть А - 192.168.0.0/24
    Сеть Б - 192.168.1.0/24
     
    Задача
    Полностью изолировать обе сети кроме устройство из сети А с ИП - 192.168.0.100 которое должно спокойно работать ТОЛЬКО с устройством в сети Б ИП - 192.168.1.200
    Устройство из сети Б - ИП 192.168.1.200 доступа в сеть А не имеет в том числе и до 192.168.0.100
     
    Вот так вот. В головах начинает возникать либо портянка правил либо пустота ))) Сделаем это все 2-мя правилами в фильтрах
     
    А понадобится там вот эта статья в викии http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Properties
    конкретно
     

    Цитата:
     
    connection-state (estabilished | invalid | new | related; Default: )
    established - a packet which belongs to an existing connection
    invalid - a packet which could not be identified for some reason
    new - the packet has started a new connection, or otherwise associated with a connection which has not seen packets in both directions.
    related - a packet which is related to, but not part of an existing connection, such as ICMP errors or a packet which begins FTP data connection
     

     
    Получаем:
     

    Код:
     
    /ip firewall address-list
    add address=192.168.0.100 list=no_filterA
    add address=192.168.1.200 list=no_filterB
     
    /ip firewall filter
    add action=drop chain=forward connection-state=new dst-address=192.168.0.0/24 src-address=192.168.1.0/24 src-address-list=!no_filterA dst-address-list=!no_filterB
    add action=drop chain=forward connection-state=new dst-address=192.168.1.0/24 src-address=192.168.0.0/24
     

     
    Можно в принципе использовать 1 адрес лист но может возникнуть каша
    Можно еще сократить и в одну строчку сделать но кривовато будет
     
    Поясняю:
    Когда устройство с адресом 192.168.0.100 ломится в сеть Б оно попадает в исключение src-address-list=!no_filterA но блокируется src-address-list=!no_filterB
    Когда устройство с адресом 192.168.0.100 ломится до 192.168.1.200 до блокировки не происходит и диалог устанавливается ибо ответы от 192.168.1.200 не соответствуют ни одному правилу
    Когда устройство с адресом 192.168.1.200 ломится в сеть А до все его запросы попадают под второй фильтр и соединение не устанавливается.
     
    Теперь немного покритикую вариант с  
    add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24
     
    Да оно внешне работать будет, то-есть все попытки соединится из сети 192.168.1.0/24 в сеть 192.168.77.0/24 будут пресекаться
    НО соединения из сети 192.168.77.0/24 будут пропускаться, а резаться будут именно ответы и потому ЯКОБЫ соединения нет, на самом деле просто не доходят ответы
     
    Правильно будет так
     

    Код:
     
    add action=drop chain=forward dst-address=192.168.1.0/24 src-address=192.168.77.0/24
    add action=drop chain=forward dst-address=192.168.77.0/24 src-address=192.168.1.0/24
     

     
    ну или так (не совсем корректное решение)
     

    Код:
     
    add action=drop chain=forward dst-address=192.168.0.0/16 src-address=192.168.0.0/16
     

     


  41. Как отключить ненужные записи в лог?
    В System - logging и в основном правиле инфо добавляем две строки исключающие ненужные записи(правило со знаком "!")
       


Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
   

На первую страницук этому сообщениюк последнему сообщению

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru