Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ, нид хелп!!!
     
    на микроте поднял VLAN и DHCP сервер, пропустил его через все свичи, на оконечных свичах висят Uni-Fi тарелки , всё работает отлично
     
    но появился какой то умный хомячок, который меняет MAC своего огрызка и следовательно по MAC адресу его уже не заблочить
     
    как его отрезать раз и навсегда ?  
    ну проучить уже дело второстепенное. т.к. скорее всего знаю кто это ...

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 12:07 18-05-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    Надо не блокировать а выдавать только определённому мак адресу остальное блокировать, тогда хоть заменяйся но другому мак адресу доступа не будет.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 13:55 18-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    deIfin

    Цитата:
    Только в iptables встречал отдельные правила на Established соединения. Разве бывают случаи когда нужно установить соединение и дропнуть установленное?

    там ещё много других вариантов действий с уже установленным соединением, можно не только дропать

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:37 18-05-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    т.е. ты предлагаешь. в вкладке leases тех кого знаю, сделать статическую запись
    и можно уменьшить диапозон пула
     
    плин, всё равно не понимаю как это реализовать на коте  
     
    Ps блочу не на коте, а на uni-fi контроллере

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 15:47 18-05-2017 | Исправлено: DrDEVIL666, 15:48 18-05-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    Да, при подключении пользователя автоматом выдаётся ip адрес и создаётся адрес лист которому разрешено выход в интернет, остальные при получении ip адреса не будут иметь доступа в интернет так как не будет создаваться адрес лист, а только прописанным с определённым мак адресом, даже если он вручную пропишет настройки на сетевой с другим маком, если конечно интернет раздаёт микротик а не просто шлюз к другому роутеру.
     

    Цитата:
    и можно уменьшить диапозон пула

    Можно и не уменьшать а разрешать только прописанным в интернет, даже если пропишет свободный адрес в сети то только в нутри сети будет иметь доступ к другим компьютерам.
     
    На микротиковском вайфае можно прописать подключение только разрешенным макам, на uni-fi должно быть что то подобное.
     
     
    vovalm

    Цитата:
    Или что то не так делаю?

    А вы правильно перевели в nex код.
    Для систем windows и для linux нужно выдавать разные опции.
    Если к примеру передавать нужно два dns сервера то прописывать их нужно в одной опции а не указывать два раза подряд опцию с кодом 6

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 19:49 18-05-2017 | Исправлено: alexnov66, 05:36 19-05-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    попробывал так

    Код:
    ip firewall filter  
    add chain=input protocol=udp dst-port=67,68 content=android-3dede39f4d51bf25 action=drop

    эффекта ноль
    через L7 тоже не бачит

    Код:
    ^[\x01\x02][\x01- ]\x06.*c\x82sc

    т.е. проходит каких то два пакета, и дальше идёт получение IP ну и следовательно инетик тоже работает

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 09:49 19-05-2017 | Исправлено: DrDEVIL666, 10:26 19-05-2017
    snow1eopard

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Спасибо. В офисе 2 нет микротика, есть PfSense. Менять оборудование нет возможности.

    Скиньте скрины со всеми правилами, только что бы там были все колонки которые участвуют в формировании правил.

    Всего записей: 129 | Зарегистр. 26-01-2006 | Отправлено: 12:36 19-05-2017
    tiumencev



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени, помогите, пожалуйста, разобраться - внезапно перестал работать port forwarding, не могу понять в чем дело:
     
    Инет поднимается через PPPoE
     
    > /ip firewall filter print
    Flags: X - disabled, I - invalid, D - dynamic  
     0    chain=input action=add-src-to-address-list protocol=udp address-list=dns flood address-list-timeout=1h  
          in-interface=RTK dst-port=53 log=no log-prefix=""  
     
     1    chain=input action=drop protocol=udp src-address-list=dns flood in-interface=RTK dst-port=53 log=no  
          log-prefix=""  
     
     2    chain=input action=accept protocol=igmp log=no log-prefix=""  
     
     3    chain=forward action=accept protocol=udp in-interface=ether2 out-interface=bridge1 dst-port=1234 log=no  
          log-prefix=""  
     
     4    chain=forward action=accept protocol=igmp log=no log-prefix=""  
     
     5    chain=forward action=accept in-interface=bridge1 out-interface=RTK log=no log-prefix=""
     
     
    > /ip firewall nat print      
    Flags: X - disabled, I - invalid, D - dynamic  
     0    chain=srcnat action=masquerade out-interface=RTK log=no log-prefix=""  
     
     1    ;;; torrent
          chain=dstnat action=netmap to-addresses=192.168.100.5 to-ports=56856 protocol=tcp in-interface=RTK  
          dst-port=56856 log=no log-prefix=""  
     
     2    ;;; RDP
          chain=dstnat action=netmap to-addresses=192.168.100.5 to-ports=9666 protocol=tcp in-interface=RTK  
          dst-port=9666 log=no log-prefix=""  
     
     3    ;;; Plex
          chain=dstnat action=netmap to-addresses=192.168.100.250 to-ports=32400 protocol=tcp in-interface=RTK  
          dst-port=32400 log=no log-prefix=""  
     
     4    ;;; FreeLib
          chain=dstnat action=netmap to-addresses=192.168.100.5 to-ports=7931 protocol=tcp in-interface=RTK  
          dst-port=7931 log=no log-prefix=""  
     
     5    chain=dstnat action=netmap to-addresses=192.168.100.250 to-ports=3389 protocol=tcp in-interface=RTK  
          dst-port=25404 log=no log-prefix=""  
     
    до сегодняшнего дня - работало, сегодня по непонятной причине перестало. Может и провайдер, но вряд-ли. Если разрешить доступ к микротику через веб - подключение проходит и вебморда грузится.

    Всего записей: 68 | Зарегистр. 02-04-2006 | Отправлено: 21:44 19-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    tiumencev
    "перестал работать" = "правила NAT перестали считать пакеты"? все пять перестали работать?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:53 19-05-2017
    tiumencev



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    "перестал работать"

     
    Дело было не в бобине) Решил утром проверить работоспособность извне локалки - все работает.
     
    Странность одна - почему попасть на тот-же сервер plex из локальной сети по внешнему адресу не получается, а из интернета все доступно?
     
     
    т.е. 192.168.100.250:32400/web - работает, а "внешний ip":32400/web - сайт недоступен.
     
    Проверял с мобильника, через 3G: "внешний ip":32400/web - доступ есть, открывается сайт
     
    Дело в микротике или все-таки фаервол копать на 192.168.100.250?

    Всего записей: 68 | Зарегистр. 02-04-2006 | Отправлено: 06:33 20-05-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    tiumencev

    Цитата:
    т.е. 192.168.100.250:32400/web - работает, а "внешний ip":32400/web - сайт недоступен.

    Когда были созданы правила к 100.5 и к 100.250, одновременно или какие то недавно.
    А у вас нет правил что бы заходить из локалки по внешнему адресу.
     

    Код:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=111.222.333.444 dst-port=80 protocol=tcp to-addresses=192.168.100.5 to-ports=80
    add action=src-nat chain=srcnat dst-address=192.168.100.5 dst-port=80 protocol=tcp src-address=192.168.0.0/16 to-addresses=111.222.333.444 to-ports=80
    add action=src-nat chain=srcnat protocol=tcp src-address=192.168.100.5 src-port=80 to-addresses=111.222.333.444 to-ports=80
     

     
    Правило маскардинга должно быть последним а не первым.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 18:03 20-05-2017 | Исправлено: alexnov66, 18:27 20-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    tiumencev

    Цитата:
    Странность одна - почему попасть на тот-же сервер plex из локальной сети по внешнему адресу не получается, а из интернета все доступно?

    Эта проблема описана вот тут: https://wiki.mikrotik.com/wiki/Hairpin_NAT
     
    alexnov66

    Цитата:
    Правило маскардинга должно быть последним а не первым.

    Оно единственное в цепочке srcnat, поэтому оно одновременно и первое и последнее, и всё равно, где оно расположено относительно других правил - они в других цепочках

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:00 20-05-2017
    ch0mb0r



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет, играюсь с таким вот зоопарком и как то все очень странно работает.
     
    Сейчас вот роутер выдал телефону неправильный адрес, вместо 192.168.88.10-254 у меня 192.168.0.97, свитчу вчера точно тоже самое присвоил. На гигабитном микротике бриджом висит хап АС лайт и делинк в режиме роутера
     
    извечный вопрос, кто виноват и что делать?
     
     
     

    Всего записей: 84 | Зарегистр. 25-07-2007 | Отправлено: 08:16 22-05-2017 | Исправлено: ch0mb0r, 08:19 22-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ch0mb0r
    с той стороны бриджа не помогают? адрес DHCP-сервера в данных клиента принадлежит именно тожу роутеру, который и должен адреса выдавать? на роутере в IP -> DHCP Server -> Leases есть все выданные этим роутером адреса

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 09:44 22-05-2017
    ch0mb0r



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    с той стороны бриджа не помогают?

    в смысле?
     
    щас в общем удалил все записи об айпишниках на обоих роутерах, и ребутнул, сделал время жизни в год и вроде все пока тихо, dhcp сервер моста кстати весь в нулях, и соответственно в лиазес основного роутера дублированы айпишиики мостового, т.е все ок
     
    но вот например когда я сделал мост статичным, выдал ему 88.254 сеть отвалилась, но ведь не должна же была?
     
    Добавлено:
    А вообще у меня тут куча нубских вопросов
     
    - нестабильный прием 952 АС, просадка скорости и задержки — раскидал сети по каналам, раздал всем пароли что бы не тянули своими -90Дб соседей, пока наблюдаю, могло ли это быть основной причиной? или релиз кандидатная прошивка? а там еще телевизор рядом, слышал его вай фай очень злой
    - бутлуп 951 Юи — еще не добрался до логов, он раньше под нагрузкой в бутлуп уходил, а щас даже просто на шнурке питания висит и плохо себя ведет, попробовал разные БП, теперь хочу попробовать багфикс онли прошку, труп или не? покупал бушный из под конторы какой то
    - чем проверить работоспособность устройства? я бандвидс тест гоняю, есть что то более информативное?
    - есть ли смысл разгонять роутер с 600 до 750, например что бы все крутить на ЦП вместо чипа коммутации(вообще лучше ли это?), он жалуется в консольке, но вроде работает
    - куда падает основная нагрузка у клиентов на бридже, на главный свитч или на мост? сколько вообще 951Г способен стабильно тащить

    Всего записей: 84 | Зарегистр. 25-07-2007 | Отправлено: 13:35 22-05-2017 | Исправлено: ch0mb0r, 13:40 22-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ch0mb0r

    Цитата:
    в смысле?

    в смысле, там ещё одного DHCP-сервера нет, который выдаёт адреса из другого диапазона?

    Цитата:
    dhcp сервер моста кстати весь в нулях

    весь в нулях - это как?..

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:40 22-05-2017
    ch0mb0r



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну вот делинк есть, но как он может мне что то раздать, он же рангом ниже(я даже к нему по адресу со своего компа зайти не могу)
     
    0.0.0.0/0

    Всего записей: 84 | Зарегистр. 25-07-2007 | Отправлено: 13:42 22-05-2017 | Исправлено: ch0mb0r, 13:43 22-05-2017
    deIfin



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как правильно делать правила для интерфейсов коммутируемых соединений. Например, есть PPTP сервер, но интерфейс создается виртуальный, только когда подключены клиенты, и если создавать правила, то они становятся нерабочими если интерфейс пропадает, даже после того как соединение возобновляется.

    Всего записей: 122 | Зарегистр. 12-02-2008 | Отправлено: 13:59 22-05-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    deIfin

    Цитата:
    Например, есть PPTP сервер, но интерфейс создается виртуальный, только когда подключены клиенты, и если создавать правила, то они становятся нерабочими если интерфейс пропадает, даже после того как соединение возобновляется

    Создать интерфейс PPTP Server, вписать ему имя соответствующего пользователя. Тогда при подключении этого пользователя будет использоваться этот интерфейс - его можно использовать в правилах.
     
    ch0mb0r

    Цитата:
    делинк есть, но как он может мне что то раздать

    запросто. там же бридж, судя по описанию

    Цитата:
    он же рангом ниже(я даже к нему по адресу со своего компа зайти не могу)

    если он выдаёт другую подсеть - то, естественно, при получении адреса в основной подсети к нему доступа не будет

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:18 22-05-2017
    ch0mb0r



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Нет он не в бридже, простой режим роутера, с автоматическим получением адреса
     
    микротик ему выдал в ВАН адрес вот он и пашет, но по этому адресу не пускает, только через егойний файфай
     
     
    я тут задумался правил наставить, торренты порезать, вот это все, где то есть мануал с уже прописанными правилами?
     
    хорошо бы еще адблок\адгард прямо в роутер забить, что б и в телефоне не было рекламы
     
    Добавлено:
    нашел хабровые ссылку на скрипт добавляющий в днс аблок записи, фиг с ним что всю память съедает, так ведь списки бесполезные
     
    вот нашел русскую подписку адблока https://filters.adtidy.org/extension/chromium/filters/1.txt  
     
    как бы его в днс или фаервол запихать?

    Всего записей: 84 | Зарегистр. 25-07-2007 | Отправлено: 18:05 22-05-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru