Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack
    Моя коллекция :
     
    MikroTik. Правильный dst nat при использовании 2-х и более провайдеров
    Mikrotik и два провайдера — только объединение, толково и проверенно.
    Mikrotik RouterOS; два провайдера - балансировка, маршрутизация, firewall (без скриптов)
    Равномерное распределение каналов двух провайдеров и доступ к их локальным ресурсам на роутере Mikrotik
     
    Универсальный скрипт переключения 2-х каналов интернета Mikrotik
    Резервынй канал + Два провайдера — Mikrotik. Failover. Load Balancing. (Очень понятно, рассмотрены все варианты).
    Mikrotik, 3 провайдера, переключение и разделение трафика
    Организация резервного канала связи без скриптов.
    Отказоустойчивый сценарий
    Два офиса по два резервных канала, круговое резервирвоание. — отсюда, там есть по тексту обновленный скрипт
     
     
    Моя отсебятина может быть неактуальной. Всё ссылки очень сильно разнятся по датам. Но если постараться, то вполне себе можно найти вариант.
     

    Цитата:
    Для этой задачи мне рекомендовали RB3011  

    Можно аппарат и подешевле если нет ресурсоемких задач (трафик, Firewall). RouterOS у всех одинаковая.  
     
     

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 23:39 07-04-2017 | Исправлено: leshiy_odessa, 23:49 07-04-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    По поводу картинки
    Из правил форума
    3.9. Запрещена публикация листингов (логов, конфигурационных и прочих файлов, выводов команд и так далее), если длина такого листинга превышает 15 (пятнадцать) строк, а также изображений (картинок) размером более 40 кБ. При необходимости публикации объёмных сообщений используйте тег more. При возникновении технических вопросов пользуйтесь FAQ по новому тегу more.  
    leshiy_odessa

    Цитата:
    MikroTik. Правильный dst nat при использовании 2-х и более провайдеров

    На мой взгляд там в мангле в 4 последних правилах ошибка, в правилах ниже после правил в мангле трафик не будет учитываться. Этот мануал везде с ошибкой по интернету.
    contrafack

    Цитата:
    мне рекомендовали RB3011

    Хороший аппарат, много не бывает, а вот мало бывает даже очень часто.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 06:23 08-04-2017 | Исправлено: alexnov66, 06:29 08-04-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Большое спасибо за разъяснение. Вполне здравые и практичные правила.  
     
    alexnov66

    Цитата:
    На мой взгляд там в мангле в 4 последних правилах ошибка, в правилах ниже после правил в мангле трафик не будет учитываться. Этот мануал везде с ошибкой по интернету.  

     
    Я в курсе, что там много бреда и собственно комментарии под этими статьями об этом говорят и требуют очень тщательного изучения.  
    Но вы правы, возможно для contrafack требуется больше чем намек на это обстоятельство.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 12:00 08-04-2017 | Исправлено: leshiy_odessa, 12:05 08-04-2017
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
     
    Спасибо за ссылки, действительно много инфы и разные настройки. Но я никогда не видел даже микротика. не очень все это представляю как должно работать. Хотел с знающим человеком это провести.  
     
    alexnov66
    да, тоже так думаем, что "с запасом" лучше возмем.

    Всего записей: 3288 | Зарегистр. 21-04-2008 | Отправлено: 23:41 08-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, есть вопрос. Сделал между двумя офисами L2TP с IPsec. Соединение устанавливается, сети пингуются. Но есть на филиале видеорегистратор HikVision. Они ни в какую не хочет прогружать свой веб-интерфейс в головном офисе. На филиале, естественно вебморда нормально работает, прогружается. А вот в головном - никак. Браузер (IE) бесконечно мотает свой кружочек и ошибку не выдаёт. Намекните, куда копать?
    P.S. да. кстати, в головном офисе есть сетевой принтер, так этот принтер тоже не показывает свою вебморду в филиале. В файерволах, на обеих сторонах, открыл весь форвард между сетями.
     
    Добавлено:
    RDP из филиала в офис только что проверил - нормально работает.
     
    Добавлено:
    Проверил Radmin из офиса на филиал - работает. Заметил ещё один косяк. Из офиса на филиал коннект с помощью WinBox проходит, но в окошках ничего нет, никаких данных, ни файрвол, ни НАТ, ни роуты. Всё пусто и винбокс примерно через 30 секунд отваливается. Чувствую, что-то ещё надо разрешить. но не могу понять - что?

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 15:33 09-04-2017 | Исправлено: Accessor, 15:43 09-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    leshiy_odessa
    я же написал, что ни мобильный, ни плохой, ни какой-либо интернет тут ни при чём. всё дело в удобстве пользования. специфика ведения диалога в этой теме (одна тема на обсуждение всех вопросов) периодически лично меня, например, заставляет отматывать на некоторое количество постов/страниц назад и перечитывать что-то. и когда просто задалбываешься мотать из-за таких необоснованно огромных сообщений и просто игнорируешь развитие вопроса - с одной стороны, понимаешь, что тебе за это не платят, и пусть сами разбираются, с другой стороны понимаешь, что из-за одного пользователя-длиннописателя второй пользователь-нецитирующий-долгоотвечатель не получит ответ, хотя ты этот ответ потенциально можешь дать - и становится грустновато.
     
    Accessor
    с MTU проблем не может быть? попробуйте MSS занизить и проверить

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:08 09-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    с MTU проблем не может быть? попробуйте MSS занизить и проверить

    Ещё в логах в филиале вижу, как срабатывает дефолтное правило дропанья инвалидных форвардных пакетов.

    Цитата:
    18:54:43 firewall,info DropInvalidForward: forward: in:bridge-local out:VPNL2TP, src-mac d4:be:d9:49:d9:f8, proto TCP (ACK,RST), 192.168.88.24
    6:51675->192.168.1.100:80, len 40  
    18:55:32 firewall,info DropInvalidForward: forward: in:VPNL2TP out:bridge-local, proto TCP (ACK,RST), 192.168.1.100:80->192.168.88.246:51649,  
    len 40  

    Уменьшать MSS? Пробовать?
     
    Добавлено:
    В логах микротика в офисе никаких дропов нет. Всё чисто.
     
    Добавлено:
    До какого размера уменьшать?
     
    Добавлено:
    Да, кстати, в Мангале уже есть динамические правила для уменьшения
    Цитата:
    [admin@MikroTik] /ip firewall mangle> print
    Flags: X - disabled, I - invalid, D - dynamic  
     0  D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1411-65535  
     
     1  D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1411-65535  

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 18:55 09-04-2017 | Исправлено: Accessor, 18:58 09-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Accessor
    ну, я бы традиционно 1300 проверил (причём не на ppp, а на весь трафик). если изменений нет - ну, смотреть дальше, какие запросы уходят и не возвращаются (Torch, Packet Sniffer, etc)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:14 09-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А что делать с динамическими правилами мангала? Они создаются при каждом подключении заново, ведь так?
    И ещё хотел бы спросить. Поднял SSTP - всё заработало без нареканий. Но я боюсь, что SSTP - это не безопасно. Я нигде не встретил там настроек IPsec. Можно ли оставить SSTP? Или вопрос более глобально. Что порекомендуете поднять для соединения двух офисов, при условии, что на головном есть белый IP, а на филиале его нет?

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 22:22 09-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Accessor
    динамические не трогать, тестовое добавить выше них
    при поднятии IPSec в системе появляется новый интерфейс? а то я так-то с ним не работал
     
    во избежание проблемы "tcp over tcp" для тоннелей рекомендуют L2TP (можно поднять поверх IPSec, как помню) - он работает на UDP

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:26 09-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IPsec не создаёт свой виртуальный интерфейс.

    Цитата:
    во избежание проблемы "tcp over tcp" для тоннелей рекомендуют L2TP  

    Вот и я хотел L2TP, но что-то в моем случае он работает криво. ладно, попробую ещё OpenVPN.

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 13:53 10-04-2017
    Andrue



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    есть 2 сети:
    своя 192,168,5,хх - свой dhcp 192.168.5.1
    чужая 192,168,0,хх - чужой dhcp 192.168.0.9
    как для своей сети закрыть доступ к чужому dhcp?
    wlan и обе сети в одном bridge

    Всего записей: 857 | Зарегистр. 29-01-2003 | Отправлено: 16:00 10-04-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Andrue
    Самое правильное - VLAN`ы

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 16:14 10-04-2017
    Andrue



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    мне нужен  
    доступ к сети 192,168,0,хх и блокировать dhcp
    к dhcp 192,168,0,9 доступа нет

    Всего записей: 857 | Зарегистр. 29-01-2003 | Отправлено: 16:20 10-04-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Andrue

    Цитата:
     как для своей сети закрыть доступ к чужому dhcp?  

     
    https://forum.mikrotik.com/viewtopic.php?t=101249#p503214

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 16:24 10-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Accessor

    Цитата:
    IPsec не создаёт свой виртуальный интерфейс

    значит, динамические правила для MSS не работают в случае IPSec. добавить
     

    Цитата:
    Вот и я хотел L2TP, но что-то в моем случае он работает криво

    можно попробовать пальцем выровнять, если криво. или описать проблему
     

    Цитата:
    ладно, попробую ещё OpenVPN

    он в RouterOS тоже по tcp работает

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:32 10-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Проблему я описал в первом своем сообщении. При L2TP соединении не работают веб-морды у сетевого принтера и у видеорегистратора. С этого всё началось ...

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 16:39 10-04-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Accessor
    сорри, прочитал только про IPSec %)
    уменьшение MSS не помогло?
    я бы смотрел уже Tools->Torch, куда пакеты бегают через SSTP и не бегают через L2TP

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:54 10-04-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Смогу поставить эксперимент с MSS только через час-два. Сейчас люди работают. По SSTP.

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 17:02 10-04-2017
    Andrue



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa

    Цитата:
    https://forum.mikrotik.com/viewtopic.php?t=101249#p503214

    спасибо
    я там пробовал как описано
     
    весь трафик блокирует  

    Код:
    interface bridge filter
    add action=log chain=filter comment="Block DHCP traffic" \
    disabled=no ip-protocol=udp mac-protocol=ip src-port=67-68
     

     
    а вот только по сети нет (даже логи не пишет)

    Код:
    interface bridge filter
    add action=log chain=filter comment="Block DHCP servers on 192.168.0.0/16" \
    disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
    "ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
    src-port=67-68
    add action=drop chain=filter comment="Block DHCP servers on 192.168.0.0/16" \
    disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
    ip src-address=192.168.0.0/16 src-port=67-68

     

    Всего записей: 857 | Зарегистр. 29-01-2003 | Отправлено: 08:46 11-04-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru