Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    omsk_mail
    тогда никак

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 12:54 28-10-2016
    omsk_mail



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Generate Policy = port override
    only-one=no
    К сожалению не помогает!
     
    Добавлено:
    Ясно уже решил вопрос через OpenVPN

    Всего записей: 407 | Зарегистр. 18-02-2008 | Отправлено: 13:24 28-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Зачем какие то скрипты городить? тут всего два правила:  
    1. постучал на порт 3389 -> попал в список (исключение нужных ИП, через другой список)  
    2. список -> дроп  

     
    А городить приходится для того, т.к. бываем на выездах и с разных провайдеров с разными динамическими внешками подключаемся. С моими правилами ну нужно каждый раз лазитиь на роутер и их в белый лист вносить.
     
    Добавлено:

    Цитата:
    И еще вопрос может из-за прошивки не входить в микротик через винбокс(может плохо "легла") или есть какие то особенности при при работе DHCP client  и назначении провайдером по MAC адресу статического IP? Прошивка последняя 6.37.1, микротик новый как купил сразу залил эту так что сказать что было до этой прошивки не могу. Статический адрес пингуется и в Adreses вижу что он назначен, а войти не могу показывает ошибку ERROR:could not connect to XX.XX....

     
    Вы в Filter Rules порт 8291 для коннекта открыли? В разделе NAT у вас dstnat цепочки какие есть? В Services порт 8291 для winbox включен?

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 20:21 28-10-2016 | Исправлено: HUB107, 20:38 28-10-2016
    DemonMetalist



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Спасибо  DemonMetalist  
    в таком виде все заработало(у Вас там какая то ошибка в синтаксисе когда вставляешь в микротик и еще не понятно при чем там TP-link)  
    add action=dst-nat chain=dstnat dst-port=8189 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.1.251 \  
        to-ports=80  
    add action=masquerade chain=srcnat dst-address=192.168.1.251 dst-port=80 out-interface=ether2-master-local \  
        protocol=tcp  
    И еще вопрос может из-за прошивки не входить в микротик через винбокс(может плохо "легла") или есть какие то особенности при при работе DHCP client  и назначении провайдером по MAC адресу статического IP? Прошивка последняя 6.37.1, микротик новый как купил сразу залил эту так что сказать что было до этой прошивки не могу. Статический адрес пингуется и в Adreses вижу что он назначен, а войти не могу показывает ошибку ERROR:could not connect to XX.XX.... Пробовал включить веб доступ на порт 8080, тоже глухо, включал Cloud хотя у меня и так стат IP но тоже не помогло (кст Cloud мне показывал мой же стат IP) Думаю перешить по новой на 6.37.1 или взять релиз кандидат какой нибудь, шить на меньшую версию боюсь - вдруг слетит все, а он в удаленном офисе.

     
    перепутал, там в оригинальном вопросе asus wi-fi роутер а не tplink) ошибка скорее всего ибо писал навскидку, главное что принцип понятен.  
    прошивка 6.37.1  требует свежего винбокса 3,6 версии

    Всего записей: 147 | Зарегистр. 02-11-2006 | Отправлено: 22:43 28-10-2016 | Исправлено: DemonMetalist, 22:44 28-10-2016
    korggrodno



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите команду как в Mikrotik вывести  
    сетевые настройки для такого-то интерфейса ( Ip, mask, gateway )
    если смотреть в ip -> adresses то там не показывает gateway  
     
    Добавлено:
     
    Хочу написать правила маркировки трафика в разделе mangle также как это описано по ссылке
    https://geektimes.ru/post/186284/
    Для того чтобы после этого можно было использовать prerouting для управления трафиком.  
     
    Вот так выглядят мои интерфейсы
    https://lh3.googleusercontent.com/-4E0WLvI7UqY/WBbnplAZzPI/AAAAAAAAD50/WPW2ads2g_g/s0/screenshot%2525202016-10-31%252520010.jpg
     
    для них пишу такие правила маркировки.  
     
    /ip firewall mangle add chain=input action=mark-connection new-connection-mark=ether1-ISP1-Input passthrough=no dst-address=134.17.24.1  in-interface=ether1-ISP1
    /ip firewall mangle add chain=output action=mark-routing new-routing-mark=ether1-ISP1 passthrough=no connection-mark=ether1-ISP1-Input
     
    /ip firewall mangle add chain=input action=mark-connection new-connection-mark=VPN-VOIP-Input passthrough=no dst-address=VPN-VOIP  in-interface=VPN-VOIP
    /ip firewall mangle add chain=output action=mark-routing new-routing-mark=VPN-VOIP passthrough=no connection-mark=VPN-VOIP-Input  
     
    /ip firewall mangle add chain=input action=mark-connection new-connection-mark=ISP2-reserv(pppoe)-Input passthrough=no dst-address=ISP2-reserv(pppoe)  in-interface=ISP2-reserv(pppoe)
    /ip firewall mangle add chain=output action=mark-routing new-routing-mark=ISP2-reserv(pppoe) passthrough=no connection-mark=ISP2-reserv(pppoe)-Input
     
    Для интерфейса ether1-ISP1 правила маркировки применяются норм.  
    Для интерфейсов VPN-VOIP ISP2-reserv(pppoe) правила маркировке не прменяются.  
    Пишет что в dst-address= должен быть Ip адрес которого нету чтобы написать.  
    Подскажите как правильно выйти из ситуации.  

    Всего записей: 383 | Зарегистр. 15-11-2007 | Отправлено: 09:02 31-10-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ip -> adresses то там не показывает gateway

     
    /ip route print и смотрите ваши gateway-и и mask-и

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 09:46 31-10-2016
    sattva



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кто нибудь настраивал авторизацию AD пользователей на Wi-Fi роутерах mikrotik через CAPsMANv2 - НЕ РАБОТАЕТ (при этом если настроить все вручную - без использования CM - работает!). На другой AP (производство не mikrotik все работает).
     
    конфигурация CAPsMANv2:
     
    конфигурация AP
     

    Всего записей: 119 | Зарегистр. 02-02-2006 | Отправлено: 12:07 31-10-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    korggrodno
    Не указывать ip адрес а только интерфейс.
    Вообще в этом "мануале" настройки делаются на реальные интерфейсы с прописанными адресами, расматривайте другие настройки под ваши нужды если не получится.
    Эти правила нужны если запрос поступит на один из интерфейсов с внешней стороны, если вам нужно разрулить пользователей по разным провайдерам то толку нет в этих правилах.
     
    Если на интерфейсе настроен dhcp клиент то в статусе все настройки получаемые.

    Всего записей: 1169 | Зарегистр. 29-08-2005 | Отправлено: 14:10 31-10-2016 | Исправлено: alexnov66, 14:49 31-10-2016
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите почему при перезагрузке сперва включается потом выключается и потом снова включается WAN интерфейс?
     
       
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 17:08 31-10-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    Определение скорости подключения к провайдеру, выставте вручную 100
    Может быть косяк в настройках оборудования провайдера, после подключения интерфейса посмотрите в его свойствах с какой скоростью он подключился.
    В настройках интерфейса стоит ли галочка на Full Duplex

    Всего записей: 1169 | Зарегистр. 29-08-2005 | Отправлено: 17:51 31-10-2016 | Исправлено: alexnov66, 18:27 31-10-2016
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    Оборудование - GPON ONT alcatel lucent i-240w-a, на первом порту доступ внутрь ONT, собственно для этого завёл ещё один патч корд который подключен к неконфигурированным в локалку 100мбит портам в железке RB2011UiAS-2HnD-IN, 4 порт в режиме моста.
     
    На обоих интерфейсах стоит и на скриншоте видно Full Duplex
     
    Тут что подкрутить?

     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 18:45 31-10-2016 | Исправлено: fakintosh, 18:54 31-10-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    Убрать "Auto Negotiation"

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:01 31-10-2016
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1karavan1
    Убрал, потерялся и не находится ip

     
    После перезагрузки так же не находит
     

     
    Потом вот это:
     

     
    Вернул Auto Negotation всё заработало и ip нашёлся
     
     
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 19:16 31-10-2016 | Исправлено: fakintosh, 19:22 31-10-2016
    korggrodno



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите как в mikrotik пользователям заблокировать vk
    пробовал вот так
    /ip firewall filter add chain=forward protocol=tcp content="Host: vk.com"         action=reject reject-with=tcp-reset comment="---ISP1-reject-ALL-VK---" place-before 3
    но таким образом блокирует только для случая когда пользователь использует http
    если используется https блокировка не работает.  
    Подскажите как исправить правило чтобы оно работало и для https

    Всего записей: 383 | Зарегистр. 15-11-2007 | Отправлено: 10:18 01-11-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    заблокировать vk.com  

    Цитата:
    https блокировка

     
    в firewall в filter rules добавить chain:forward protocol:tcp port:443 content:vk.com action:reject reject with:icmp admin prohibited
     
    или  
     
    1) layer7 добавить имя и внести ^.+(vk.com|www.vk.com|new.vk.com|).*$  
    2) в firewall в filter rules добавить chain:forward и в layer7 protocol выбрать ваше имя из layer7 (из пункта 1) и action:drop
     

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 10:28 01-11-2016 | Исправлено: HUB107, 10:31 01-11-2016
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток. Подскажите какое-нибудь красивое решение следующей задачи
    RB951G-2HnD
    Внутри сети адреса вида 192.168.1.X выдаются по DHCP и некоторым (постоянным) сопоставлены по MAC.
    Новые компы появляются каждый день (мастерская по ремонту ПК и прочего).
    Есть гостевой Wifi (10.10.10.x), изолированный от главной сети
     
    Сейчас в офис будем делить с другой организацией. Как их изолировать и ограничить без особого гемора? Переписывать MAC - не вариант
     
    Мне на ум приходит пока следующее: у них в помещении поставить отдельный роутер, соединить по проводу с нашим и назначить подсеть 192.168.2.x
     
    Есть ли решение без доп. оборудования ?

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 11:17 01-11-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Есть ли решение без доп. оборудования ?

     
    ну выделить им порт один в VLAN отдельный и на сетевухах этот VLAN ID прописать

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 11:29 01-11-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ну выделить им порт один в VLAN отдельный и на сетевухах этот VLAN ID прописать

    тогда на каждой сетевой придётся прописывать VLAN, но не на каждой можно прописать VLAN (есть древние сетевые и т.д. и т.п.)
     
    не проще ли в фаерволе, отрезать 192.168.1.0/24 от 192.168.2.0/24 и в обратку если требуется
     
    хотя опять же вопрос. как реализован гостевой вай-вай? если на том же микроте, то сделать такую же гостевую 192.168.2.0/24 как и 10.10.10.0/24

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 11:57 01-11-2016
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    тогда на каждой сетевой придётся прописывать VLAN

     
    ну это да... им даже
     

    Цитата:
    Переписывать MAC - не вариант  

     
     
    Да и вообще если им отдельный порт выдаем, что на том конце получается тока 1 ПК будет, если  
     

    Цитата:
    Есть ли решение без доп. оборудования

     
     
    Нужно более детальное описание того что есть из оборудования в наличии.

    ----------
    Ищу работу. Серьёзно. Предложения в личку.

    Всего записей: 336 | Зарегистр. 15-02-2005 | Отправлено: 12:05 01-11-2016 | Исправлено: HUB107, 12:08 01-11-2016
    korggrodno



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вполне хорошо работают следующие правила.  
    И их работа меня вполне удовлетворяет.
    /ip firewall filter add chain=forward protocol=tcp dst-address=95.213.11.149      action=reject reject-with=tcp-reset comment="---ISP1-reject-ALL-VK---" place-before 2
    /ip firewall filter add chain=forward protocol=tcp dst-address=95.213.11.148      action=reject reject-with=tcp-reset comment="---ISP1-reject-ALL-VK---" place-before 2
    /ip firewall filter add chain=forward protocol=tcp dst-address=95.213.11.147      action=reject reject-with=tcp-reset comment="---ISP1-reject-ALL-VK---" place-before 2
    А может есть возможность как нибудь переписать эти три правила более красиво?
    Можно три адреса засунуть в адресс лист.  
    Можно ли как нибудь эти три адреса связать с именем vk.com и воткнуть в правило?

    Всего записей: 383 | Зарегистр. 15-11-2007 | Отправлено: 12:24 01-11-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru