Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    youtube - https - открывается, видео проигрывается,  
    mail.ru - https, главная страница открывается, а новости не открываются, но в почтовый ящик на https://e.mail.ru/ - входит.
    speedtest.net - http - не открывается..
    tut.by - открывается и почта их, на https://mail.yandex.by - открывается.
     

    Цитата:
    Про цепочки tcp и udp ни слова.

    Да, так и есть - ничего. Так и было в некоем мануальчике. Для проброса портов эти цепочки не нужны?
    Т.е. эти два правила для tcp и udp можно удалять? (т.к. с этими протоколами не планируется ничего делать, будет только объединение каналов, балансировка между ними и ограничение скоростей через Queue Tree)
     
    P.S. После выходных обнаружился флуд на 53 порту, добавил 3,4 правила для отсечки флудящих

    Код:
    /ip firewall filter
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp
    add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp src-address-list="dns flood"

     
    Позже, когда будет 2-3 провайдера, заменю atlant-l2tp-inet на all-ppp.

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 09:01 25-04-2016 | Исправлено: Eronim, 10:14 25-04-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    SIP протокол через NAT работает вообще криво  

    Все говорят про SIP, а NAT'ится ли h323 ?

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 10:07 25-04-2016 | Исправлено: DrDEVIL666, 11:12 25-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    del.  дубль.

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 10:17 25-04-2016 | Исправлено: Eronim, 10:22 25-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eronim
    Тогда правила с jump (tcp и udp) нужно удалить. Они не мешают, но процессорное время под себя берут.
     
    Проверьте до неоткрывающихся сайтов MSS.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 11:52 25-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
     
    Вот что отловилось wireshark-ок

     
    а вот параметры l2tp соединения

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 16:42 25-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eronim
    В терминале МТ что выдает следующая команда?
     
    ping 178.248.233.33 size=1460 do-not-fragment
     
    Кроме того, в экспорте почему-то отсутствуют action, и в нате не указан интерфейс

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 23:32 25-04-2016 | Исправлено: Simply_Kot, 23:50 25-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    Результаты команды в терминале:

    Код:
    [tt@MikroTik] > ping 178.248.233.33 size=1460 do-not-fragment
      SEQ HOST                                     SIZE TTL TIME  STATUS                                                                        
        0 178.248.233.33                           1460  56 28ms  
        1 178.248.233.33                           1460  56 28ms  
        2 178.248.233.33                           1460  56 28ms  
        3 178.248.233.33                           1460  56 28ms  
        4 178.248.233.33                           1460  56 28ms  
        5 178.248.233.33                           1460  56 28ms  
        6 178.248.233.33                           1460  56 28ms  
        sent=7 received=7 packet-loss=0% min-rtt=28ms avg-rtt=28ms max-rtt=28ms  

    Новый экспорт:

    Код:
    [tt@MikroTik] /ip firewall> export
    # apr/26/2016 08:22:26 by RouterOS 6.35
    # software id =  
    #
    /ip firewall filter
    add action=drop chain=input comment="Drop Invalid connections" connection-state=invalid
    add chain=input comment="Allow Established connections" connection-state=established
    add chain=input comment="Allow Related connections" connection-state=related
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=atl
        protocol=udp
    add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp src-address-list="dns flood"
    add chain=input comment="Allow UDP" protocol=udp
    add chain=input comment="Allow limited pings" limit=50/5s,2:packet protocol=icmp
    add chain=input comment="Allow ICMP" protocol=icmp
    add action=drop chain=input comment="Block Open Proxy" in-interface=all-ppp protocol=icmp
    add action=drop chain=forward comment="Drop invalid connections" connection-state=invalid protocol=tcp
    add chain=forward comment="Allow related connections" connection-state=related
    add chain=input in-interface=!all-ppp src-address=192.168.0.0/24
    add action=jump chain=forward jump-target=icmp protocol=icmp
    add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
    add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
    add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
    add chain=icmp comment="host unreachable fargmentation required" icmp-options=3:4 protocol=icmp
    add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
    add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
    add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
    add chain=icmp comment="Deny all other types" icmp-options=12:0 protocol=icmp
    add action=drop chain=input comment="Drop everything else"
    add chain=forward comment="Allow already established connections" connection-state=established
     
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=atlant-l2tp-inet

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 08:23 26-04-2016 | Исправлено: Eronim, 08:25 26-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eronim

    Цитата:
    add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp src-address-list="dns flood"  

    Также DNS идет по TCP. Тоже надо блокировать:
    add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=tcp src-address-list="dns flood"
     
    Правил

    Цитата:
    add chain=input comment="Allow ICMP" protocol=icmp  

    Принимает все icmp, поэтому вот эта конструкция:
    add action=drop chain=input comment="Block Open Proxy" in-interface=all-ppp protocol=icmp
     

    Цитата:
    add action=jump chain=forward jump-target=icmp protocol=icmp
    add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
    add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
    add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
    add chain=icmp comment="host unreachable fargmentation required" icmp-options=3:4 protocol=icmp
    add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
    add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
    add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
    add chain=icmp comment="Deny all other types" icmp-options=12:0 protocol=icmp  

     
    становится бесполезной
     
    А вот это очень непонятно.

    Цитата:
    add action=drop chain=input comment="Drop everything else"

    Вы запрещаете все входящие соединения. Отовсюду. Даже из локальной сети.
    Укажите in-interface

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 09:20 26-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    добавил 2 правила на TCP для блокировки DNS-flood

    Код:
    add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=\
        atlant-l2tp-inet protocol=tcp
    add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=tcp src-address-list="dns flood"

    Но правила для блокировки флудящих добавил только вчера, когда заметил приличный трафик по 53 порту. Проблема с доступностью сайтов была и до того.
     
    По правилу  

    Код:
    add action=drop chain=input comment="Drop everything else"

    попробовал добавить all-ppp.
    Оно идет 24-м, а 13-м идет правило, разрешающее входящие со всех интерфейсов, кроме all-ppp

    Код:
    add chain=input in-interface=!all-ppp src-address=192.168.0.0/24

     
    По правилам (на ROS 5.26 больше статистики):
    - Block Open Proxy на одном из интерфейсов отработано 16 522 513 пакетов и счет растет
    - ICMP: Allow ICMP - всего 194 пакета, тогда как для jump forward icmp - 15577 пакетов, для "Echo reply" - 165 пакетов, "Allow echo request" - 15401 пакет и "Deny all other types" - 11.

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 09:52 26-04-2016
    VecHPro



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кто нить может подсказать что произошло, не могу отключить openvpn-client интерфейс у себя, в консоли пишет: failure: non rate limit queues are useless on this interface
    куда смотреть? в queue стоит ограничения скорости для пары IP адресов, ничего криминального не вижу, через winbox эта же ошибка
     
    причем внутри этого интерфейса еще и скорость режется до 2.1 мбит, хотя канал позволяет больше
     
    куда смотреть?

    Всего записей: 166 | Зарегистр. 29-03-2016 | Отправлено: 13:36 26-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eronim
     /ip fi m ex

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 13:38 26-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    Нет пока правил в Mangle, кроме автоматически создаваемых правил change MSS.
     
    Но маркировать соединения планирую.
    Буду переделывать вот такие правила:

    Код:
    /ip firewall mangle
    add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
    add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn
     
    add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
    add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2
     
    add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=Local
     
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
    add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes
     
    add chain=prerouting connection-mark=WAN1_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN1
    add chain=prerouting connection-mark=WAN2_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN2

     
     
     

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 16:40 26-04-2016 | Исправлено: Eronim, 16:49 26-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Eronim
    Перечитал еще раз ваши сообщения. Возник вот какой вопрос.
    У вам MTU и MRU разный на атланте. Так и задумано?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 08:06 27-04-2016
    Eronim

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    В закладке Genegal для l2tp-клиента MTU, MRU = 1460, MMRU = 1600, а в Status уже MTU = 1460, MRU = 1464.
    Если даже в General изменяю MTU, MRU на 1400, то в Status показывает MTU = 1400,а MRU = 1464.
     
    В обычном роутере TP-Link MTU для этого провайдера = 1460 по умолчанию.  
     
    У другого роутера с ROS 5.26 для adsl провайдера с pptp подключением MTU, MRU в Genegal и Status совпадают (1400), но у подключающихся к VPN-серверу на роутере автоматически выставляются MTU = 1400, MRU = 1460.
    Для второго adsl провайдера в свойствах pppoe-клиента Genegal и Status совпадают (1480) и пинги с таким размером проходят без фрагментации через него.
     
    P.S. После обновления до 6.35.1 habrahabr, geektimes, megamozg по https загрузились, но не загрузился speedtest.net и не открываются почти все новости на mail.ru (висит в Ожидание....)

    Всего записей: 62 | Зарегистр. 20-03-2008 | Отправлено: 08:12 27-04-2016 | Исправлено: Eronim, 17:12 27-04-2016
    EgorD

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подробнее...

    Всего записей: 8 | Зарегистр. 27-04-2016 | Отправлено: 12:00 27-04-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как повторить такую же запись на микротике  
     
    т.е. компы NAT'ить а телефонию пропускать мимо
     
    ----------------------
    EgorD
    ежели AVAYA через h323 то присоединяйся, уже давненько пытаюсь поднять, в итоге односторонняя связь
    ежели SIP то там намного всё проще , узнавай какие лицензии в AVAYA куплены
     
    - Берёшь 3-х 2011RM или 3011RM в зависимости от трафика гоняющегося  
    - поднимаешь на каждом DHCP + опции Подробнее...
    - поднимаешь в любом VPN сервер , на остальных VPN клиентов  
    - поднимаешь OSPF ? хотя впринципи 3-ри п/сети можно и ручками прописать
    - останутся только порты и шары
    - ну и про QOS и очередь не забыть

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 14:00 27-04-2016 | Исправлено: DrDEVIL666, 14:26 27-04-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
     
    Может сбриджевать все телефоны и ATC на L2?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 16:43 27-04-2016
    EgorD

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666, Simply_Kot, Авайя не сип - а со своим протоколом, но на обычном VPN без обрезки замечательно работает, главное чтобы маршруты на самой АТС были настроены и телефоны могли до неё добраться. Поскольку везде ожидается единственный маршрутизатор, это не проблема.
    И если маршрутизатор не будет резать какие-то порты внутри VPN, конечно.
     
    DrDEVIL666, наверное, я чего-то не понимаю - но нормальный VPN между сетями (в моём понимании!) предполагает свободный проход в обоих направлениях. Без трансляции адресов. Ибо нафига?

    Всего записей: 8 | Зарегистр. 27-04-2016 | Отправлено: 17:14 27-04-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    не прокатит, единственный вариант через ОПУ - это EoIP, но вот от него как раз хочется отказаться  
     
    EgorD
    AVAYA - это АТС, а вот какие лицензии у тебя куплены для её хождения SIP или h323, вот что важно, т.к. SIP за Микротиком ходит и работает, а вот h323 уже через одно место, и победить мне  пока что не получилось ...
     
    про ибо нафиг- теперь я не понял

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 17:23 27-04-2016 | Исправлено: DrDEVIL666, 17:24 27-04-2016
    EgorD

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666, я имел в виду, что если две сетки объединять - то между ними должно быть хождение по "оригинальным" адресам и без обрезки портов. NAT, проброс портов - лишнее.

    Всего записей: 8 | Зарегистр. 27-04-2016 | Отправлено: 17:51 27-04-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru