Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

Открыть новую тему     Написать ответ в эту тему

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS: 6.40.1, 5.26, 4.17
актуальные версии SwitchOS: 1.17
актуальные версии WinBox: 3.11, 2.2.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 120 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: ans72, 17:30 22-08-2017
    Vareznik777

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Есть владельцы RB951Ui-2HnD?

    Аха

    Всего записей: 1 | Зарегистр. 27-09-2017 | Отправлено: 00:01 28-09-2017
    voron2001



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть вопрос: каким образом микротик узнаёт ip адрес шлюза если в таблице маршрутизации в статическом маршруте гейтвеем указан интерфейс?

    Всего записей: 15 | Зарегистр. 15-09-2005 | Отправлено: 20:46 28-09-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001
    А интерфейс случайно не из этой серии?

    Всего записей: 1174 | Зарегистр. 02-12-2011 | Отправлено: 22:21 28-09-2017
    vertex4



    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001
    arp-запрос. Поэтому не рекомендуется в качестве next hop указывать интерфейс в не point-to-point соединениях

    ----------
    R.I.P., batva

    Всего записей: 9874 | Зарегистр. 29-01-2006 | Отправлено: 22:46 28-09-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001
    если интерфейс - тоннель, то никак не узнаёт, просто отправляет в тоннель. а если интерфейс ethernet - то надо понимать, что указать шлюзом ip-адрес шлюза и указать шлюзом интерфейс - это совершенно разные вещи. во втором случае получается подобие connected-маршрута - и в целом всё будет работать не так, как некоторые ожидают

    Всего записей: 3144 | Зарегистр. 05-05-2006 | Отправлено: 08:20 29-09-2017
    voron2001



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    karavan
    vertex4
    Chupaka
    Ага, значит если интерфейс из PPP то согласно его протокола все пакеты будут пересылаться другой стороне. А если в интерфейс ethernet и dst-адрес в маршруте не из коннектед-сети, а гейтвей указан как интерфейс то тут непонятно как mikrotik определит ip адрес шлюза.

    Всего записей: 15 | Зарегистр. 15-09-2005 | Отправлено: 09:33 29-09-2017
    harm86



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пожалуйста, помогите разобраться, зашел в тупик.
    Хочу реализовать подобную схему. На VPS установить CHR и поднять там VPN. Чтоб подключившись к этому VPN с компьютера или телефона, через VPN проходили только определенные сайты, а все остальное шло напрямую через моего провайдера.
    В итоге получилось установить, поднял там PPTP, все работает хорошо, отличная скорость, но через VPN идет весь трафик. Возможно ли реализовать прохождение только определенных сайтов? Может ли это вообще работать так? Ведь я подключился к VPN, получил ip внутренней сети и теперь весь мой трафик идет через VPN тунель, как маршрутизатор может заставить идти часть трафика вне тунеля.

    Всего записей: 29 | Зарегистр. 18-02-2007 | Отправлено: 10:29 29-09-2017 | Исправлено: harm86, 10:32 29-09-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001

    Цитата:
     то тут непонятно как mikrotik определит ip адрес шлюза

    Он и не будет его определять. Если шлюз = интерфейс, значит указанная подсеть (dst-address) доступна прямо на интерфейсе, без шлюза.
     
    Например, /ip route add dst-address=10.200.0.0/24 gateway=ether5
    При получении пакета для 10.200.0.5 роутер пошлёт с интерфейса ether5 ARP-запрос "кто тут 10.200.0.5?", получит ответ от 10.200.0.5 (если, конечно, 10.200.0.5 "услышит" этот запрос) - и отправит пакет на MAC-адрес хоста 10.200.0.5.
     
    Иногда хитрые пользователи делают что-то вроде /ip route add dst-address=0.0.0.0/0 gateway=ether1-gateway (к ether1-gateway подключен провод провайдера) - и всё чудесным образом как будто работает. На самом деле благодарить надо провайдера, который включил у себя на интерфейсе ARP Proxy, роутер считает, что все хосты в Интернете подключены у него напрямую в порт (безо всяких шлюзов), а роутер провайдера на все ARP-запросы добросовестно откликается своим MAC-адресом. Технически всё работает как и при указании шлюзом IP-адреса роутера провайдера (все пакеты отправляются на единственный MAC-адрес роутера провайдера), за одним исключением: информация о каждом хосте, к которому отправлялись пакеты, добавляется в ARP-таблицу роутера. И если при указании IP-адреса шлюза на интерфейсе ether1-gateway будет лишь одна ARP-запись (IP-адрес шлюза : MAC шлюза; например 10.200.0.1 = 00:de:ad:00:be:ef), то при указании ethernet-интерфейса в качестве шлюза ARP-таблица будет выглядеть как-то так:
    8.8.8.8 = 00:de:ad:00:be:ef
    8.8.4.4 = 00:de:ad:00:be:ef
    10.200.0.1 = 00:de:ad:00:be:ef
    216.58.209.46 = 00:de:ad:00:be:ef
    172.217.20.174 = 00:de:ad:00:be:ef
    87.250.250.242 = 00:de:ad:00:be:ef
    31.192.120.36 = 00:de:ad:00:be:ef
     
    И так для каждого ресурса, к которому было обращение.
     
    Добавлено:
    harm86
    Тут два варианта: либо в настройках PPTP-клиента/Протокол Интернета IPv4 снять галку "Использовать как шлюз по умолчанию" и прописывать маршруты через VPN к нужным ресурсам ручками, либо поднять тоннель IPSec (на Windows можно, например, использовать Shrew VPN Client https://www.shrew.net/download) и через ModeConfig (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Mode_Config) отдавать клиенту необходимые подсети, которые надо пускать через VPN

    Всего записей: 3144 | Зарегистр. 05-05-2006 | Отправлено: 10:31 29-09-2017
    harm86



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Тут два варианта: либо в настройках PPTP-клиента/Протокол Интернета IPv4 снять галку "Использовать как шлюз по умолчанию" и прописывать маршруты через VPN к нужным ресурсам ручками, либо поднять тоннель IPSec (на Windows можно, например, использовать Shrew VPN Client https://www.shrew.net/download) и через ModeConfig (https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Mode_Config) отдавать клиенту необходимые подсети, которые надо пускать через VPN

    Тут основная идея была в том, чтоб без доп настроек и программ это работало "из коробки" на любом устройстве и можно было легко давать знакомым и родственникам.
    Т.е. действительно CHR никак не сможет самостоятельно этим рулить?
    У меня есть подобное решение на openvpn, оно работает, но не нравится скорость работы и настройка, визуализация этого всего.

    Всего записей: 29 | Зарегистр. 18-02-2007 | Отправлено: 10:50 29-09-2017
    vertex4



    Gold Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    И так для каждого ресурса, к которому было обращение.

    до тех пор, пока таблица не переполнится. И провайдеры почти всегда отключают proxy-arp

    Всего записей: 9874 | Зарегистр. 29-01-2006 | Отправлено: 11:25 29-09-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    harm86

    Цитата:
    без доп настроек и программ это работало "из коробки" на любом устройстве и можно было легко давать знакомым и родственникам

    Увы, RouterOS не умеет push'ить роуты по PPTP. Возможно, стоит посмотреть в сторону других PPTP-серверов, которые это умеют.
     
    Хотя сильно ли сложнее будет решение на Shrew по сравнению с решением на OpenVPN? Вроде, ни того, ни другого нет в винде по умолчанию
     
    vertex4

    Цитата:
    до тех пор, пока таблица не переполнится

    При домашнем пользовании переполниться ей не дадут таймауты, да и слабо я представляю пользователя, которому надо сразу много тысяч пиров в Интернете...
     

    Цитата:
    провайдеры почти всегда отключают proxy-arp

    не, практически никогда не включают. но некоторым абонентам везёт - и они думают, что так и должно работать

    Всего записей: 3144 | Зарегистр. 05-05-2006 | Отправлено: 14:24 29-09-2017
    voron2001



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Спасибо за обьяснение.
    Ещё один вопрос : один провайдер,  в таблице маршрутизации есть маршрут в удалённую лок сеть через ppp соединение без ната. При его падении пакеты как я понял идут по маршруту по умолчанию и пробуют натится на шлюз провайдера. После поднятия ppp в Firewall-Connections и дальше висит одно соединение ( постоянные опросы) с атрибутом ната  (s) , ну и соответсвенно  оно не работает. Если его убить то соединение восстанавливается без ната и все работает.  Интересует или можно средствами маршрутизации сделать так чтобы соединение  не перескакивало  на маршрут по умолчанию ?  

    Всего записей: 15 | Зарегистр. 15-09-2005 | Отправлено: 11:39 01-10-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001

    Цитата:
    средствами маршрутизации сделать так чтобы соединение  не перескакивало  на маршрут по умолчанию ?

    Можно маркировать пакеты по некоторому правилу (как пример, по адресу сети назначения), а в таблице роутинга указать, что маркированный траф направлять на определенный маршрут.
    На практике у меня так работают шлюзы через gsm с ограничениями на тетеринг:  
    - у микрота дефолтный маршрут в сеть провайдера
    - микрот поднимает vpn-соединение на мой vpn-шлюз
    - в таблице mangle указываю, что на форвард-трафик вешать маркировку.
    - в таблице роутинга промаркированный трафик направляю в vpn-канал.

    Всего записей: 1174 | Зарегистр. 02-12-2011 | Отправлено: 13:15 01-10-2017
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    JcVai

    Цитата:
    Хмм. Сложно как то.  
    А простой вариант привязки mac к порту рассматривали?

     
    Не работает. Включил на порту reply-only, прописал в ARP ip и фальшивый MAC, все равно трафик идет с этого порта. Так как же привязать МАС к порту, а остальные заблокировать?

    Всего записей: 748 | Зарегистр. 21-11-2009 | Отправлено: 20:14 01-10-2017
    alexnov66



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlh
    Трафик в любом случае будет, ведь любой подключенный аппарат прежде всего общается с микротиком.
    Трафик в фаере можно ограничить не только по ip адресу но и по мак адресу, что бы с другого мака небыло интернета да и подключения к самому микротику.
    Что бы остальное всё блокировалось кроме разрешенного в самом низу должны быть три запрещающих правила на всё.
     

    Код:
    /ip firewall filter
    add action=drop chain=input comment=input_drop
    add action=drop chain=output comment=output_drop
    add action=drop chain=forward comment=forward_drop

    Всего записей: 401 | Зарегистр. 29-08-2005 | Отправлено: 03:17 02-10-2017 | Исправлено: alexnov66, 04:04 02-10-2017
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Вы наверное не поняли в чем вопрос, несколько страниц назад я писал в чем проблема. Настраиваю CRS как коммутатор по этой инструкции. Изоляция портов работает, доступ к самому микротику закрыт, только с аплинк порта. Там в инструкции есть настройка как привязать МАС, но она не работает, как выяснил ARP то же не помог.

    Цитата:
    Трафик в фаере можно ограничить не только по ip адресу но и по мак адресу, что бы с другого мака небыло интернета

     
    Вот это наверное то что нужно, надо попробовать. Спасибо.
     
    P.S.
    Попробовать могу не скоро. Но что то терзают меня смутные сомнения, а при настройке CRS как коммутатора работает firewall? Разве для этих целей не сделан ACL?

    Всего записей: 748 | Зарегистр. 21-11-2009 | Отправлено: 08:52 02-10-2017 | Исправлено: vlh, 09:04 02-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    voron2001

    Цитата:
    есть маршрут в удалённую лок сеть через ppp соединение без ната. <...> можно средствами маршрутизации сделать так чтобы соединение  не перескакивало  на маршрут по умолчанию ?  

    можно, добавьте маршрут

    Код:
    /ip route add gateway=лок_сеть distance=200 type=unreachable

    при отваливании ppp маршрут через него станет неактивным, поэтому рабочим станет этот - он и не пустит локалку в Интернет

    Всего записей: 3144 | Зарегистр. 05-05-2006 | Отправлено: 09:03 02-10-2017
    alexnov66



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlh

    Цитата:
    как выяснил ARP то же не помог

    mac и arp таблица разные вещи, статику мак адреса компьютера следует прописать сдесь

    Код:
    /interface ethernet switch host
    add mac-address=C9:30:00:C5:DD:EE ports=ether2 share-vlan-learned=no switch=switch1
     

     
    Таблица MAC-адресов
     
    L2 коммутация

    Всего записей: 401 | Зарегистр. 29-08-2005 | Отправлено: 16:12 02-10-2017 | Исправлено: alexnov66, 16:41 02-10-2017
    HUB107



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Тупой вопрос, но. Как скриптом послать с одного микротика команду на выполнение другому микротику?

    Всего записей: 297 | Зарегистр. 15-02-2005 | Отправлено: 16:42 02-10-2017
    vlh

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    /interface ethernet switch host

     
    Нет такой команды.

    Всего записей: 748 | Зарегистр. 21-11-2009 | Отправлено: 20:24 02-10-2017
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2017

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru