Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    VVladPav

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
    На mikrotik RB3011UiAS, развереут L2TP server. В
    Имеется 4 допофиса.
    В центральном офисе локальная сеть 192.168.1.0/24
    Сеть для туннеля 176.16.30.0/24
     
    1-й допофис локальная сеть 192.168.0.0/24  
    Адрес со стороны допофиса 176.16.30.6 Адрес со стороны ЦО 176.16.30.5
    2-й допофис локальная сеть 192.168.2.0/24
    Адрес со стороны допофиса 176.16.30.2 Адрес со стороны ЦО 176.16.30.1
    3-й допофис локальная сеть 192.168.3.0/24
    Адрес со стороны допофиса 176.16.30.10 Адрес со стороны ЦО 176.16.30.9
    4-й допофис локальная сеть 192.168.4.0/24
    Адрес со стороны допофиса 176.16.30.14 Адрес со стороны ЦО 176.16.30.13
    Прописаны маршруты центральном роутере.
    Dst.Address:192.168.0.0/24 Gateway:172.16.30.6 Pref.Source:192.168.1.1
    Dst.Address:192.168.2.0/24 Gateway:172.16.30.2 Pref.Source:192.168.1.1
    Dst.Address:192.168.3.0/24 Gateway:172.16.30.10 Pref.Source:192.168.1.1
    Dst.Address:192.168.4.0/24 Gateway:172.16.30.14 Pref.Source:192.168.1.1
    Так же прописаны маршруты на каждом роутере  
    Dst.Address:192.168.1.0/24 Gateway:172.16.30.5 Pref.Source:192.168.0.1
    Dst.Address:192.168.1.0/24 Gateway:172.16.30.1 Pref.Source:192.168.2.1
    Dst.Address:192.168.1.0/24 Gateway:172.16.30.9 Pref.Source:192.168.3.1
    Dst.Address:192.168.1.0/24 Gateway:172.16.30.13 Pref.Source:192.168.4.1
    Все работает с центрального офиса доступны все подсети всех допофисов. Из каждого допофиса доступна подсеть центрального офиса.
     
    Необходимо сделать доступ из подсети 192.168.3.0/24 в подсеть 192.168.4.0/24 и обратно. Я понимаю что надо прописать еще несколько маршрутов. Но не понимаю какие.
    Прошу Вас помочь. За ранее спасибо за любую информацию.

    Всего записей: 20 | Зарегистр. 16-08-2008 | Отправлено: 16:22 17-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    VVladPav
    В офисах маршрут 192.168.1.0/24 смените на 192.168.0.0/16, например - и все офисы будут общаться друг с другом

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:32 17-10-2017
    VVladPav

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    В офисах маршрут 192.168.1.0/24 смените на 192.168.0.0/16, например - и все офисы будут общаться друг с другом

    Спасибо заработало. Пинги пошли и доступ тоже.  
    А если необходимо только с 3 подсети в 4 подсеть, не подскажите как?

    Всего записей: 20 | Зарегистр. 16-08-2008 | Отправлено: 16:41 17-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    VVladPav
    Для ограничения доступа используется IP Firewall Filter. Разрешите там хождение в нужных направлениях, запретите в остальных. На центральном коммутаторе, проще всего.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:23 17-10-2017 | Исправлено: Chupaka, 17:26 17-10-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VVladPav
    теперь проверте трасу с филиалов к своей же внутренней сети, что выдаст.
     

    Цитата:
    А если необходимо только с 3 подсети в 4 подсеть, не подскажите как?

    Прописывать маршрут на филиале не к всему диапазону сети а только к той подсети филиала какой нужен через тунель

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 17:29 17-10-2017 | Исправлено: alexnov66, 17:37 17-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Прописывать маршрут на филиале не к всему диапазону сети а только к той подсети филиала какой нужен через тунель

    Это типа как никому не говорить свой домашний адрес - тогда и дверь запирать не надо, никто ведь не должен прийти

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:49 17-10-2017
    VVladPav

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос закрыт.
    Всем спасибо!!

    Всего записей: 20 | Зарегистр. 16-08-2008 | Отправлено: 18:02 17-10-2017
    drakoshh

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, можно ли настроить на канал интернета ограничение по скорости пропускания? Т.е. микрот на 3g-модеме, перерасход трафа - дорого. В мануалах такого не нашел.

    Всего записей: 2 | Зарегистр. 13-04-2012 | Отправлено: 18:04 18-10-2017
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Естественно можно. В Queue все настраивается.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 18:45 18-10-2017
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день, может кто то подключал Mikrotik к ProtonVPN?
    Поделитесь пошаговой инструкцией

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 18:46 18-10-2017
    DrDroid

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2, не подключал но судя по их конфигурационным файлам OpenVPN, вам подойдет инструкция https://habrahabr.ru/post/227767/ читать со слов "Осталось скопировать корневой сертификат(ca.crt)"
     
    Кстати недавно проскакивала инфа в новостях, что они (ProtonVPN) помогли слить чувака который преследовал свою бывшую, логи айпишников они таки хранят.

    Всего записей: 734 | Зарегистр. 30-07-2006 | Отправлено: 00:12 23-10-2017
    Tycoon70

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    День добрый, настроен VPN между двумя микротиками, у каждого своя подсеть. Пользователи раскиданы по группам, 1(Интернет+VPN), 2(Только почта+VPN), 3(Только VPN), т.е. если IP с подсети A находится в списке №1 то автоматически он может ходить по vpn в подсеть B и т.д. Подскажите пожалуйста как ограничить хождение IP подсети A только до определённых IP подсети B ?

    Всего записей: 8 | Зарегистр. 19-06-2016 | Отправлено: 10:32 23-10-2017
    dmi3n2



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDroid
    спасибо, у протона к сожалению файлы конфигурации .ovpn и тип шифрования SHA-512
    микротик так не умеет, поэтому я так понял, пока не судьба.

    Всего записей: 305 | Зарегистр. 08-11-2015 | Отправлено: 19:25 23-10-2017
    DrDroid

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmi3n2, ну понятно что файл .ovpn вы напрямую не импортируете в микротик, но это обычный текстовый файл содержащий настройки подключения и ключи. Ключи сохраняем в отдельные файлы, используя настройки подымаем впн.
    MikroTik  умеет все что надо:

    Код:
     
    cipher AES-256-CBC
    auth SHA512
     

     
    https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Encryption_algorithms

    Цитата:
     
    RouterOS ESP supports various encryption and authentication algorithms.
     
    Authentication:
     
    SHA2 (256, 512)
    SHA1
    MD5
    Encryption:
     
    DES - 56-bit DES-CBC encryption algorithm;
    3DES - 168-bit DES encryption algorithm;
    AES - 128, 192 and 256-bit key AES-CBC encryption algorithm;
    Blowfish - added since v4.5
    Twofish - added since v4.5
    Camellia - 128, 192 and 256-bit key Camellia encryption algorithm added since v4.5
     


    Всего записей: 734 | Зарегистр. 30-07-2006 | Отправлено: 22:52 23-10-2017
    feniksjan

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите пожалуйста как проще сделать . Дано  :
    mikrotik ccr1016 с 12 слотов под sfp + 1 порт 10gb.
    В микроте создан мост , через него проходит трафик с портов , основной трафик это туннели PPPoE. Все пролетает "мимо" т.е. микрот это тупо свитч .  
    Требуется фильтрация всего что пролетает в мосту . Убить все что вне туннелей PPPoE и отфильтровать образование туннелей по мак адресу.  
    Все понятно , PPPoE session напрямую , дабы не грузить микрот, PPPoE discovery фильтровать по маку, остальное блок .. вернее сначала пропуск всех PPPoE session , далее блок всего кроме PPPoE discovery , а последнее фильтр по маку пакетов PPPoE session ну и в конце блок всего что пролезло как то ...
     
    Собственно проблема в том что маков много , несколько тысяч и они периодически меняются.  Как грамотно их вписать в фаервол ?  По одному скриптом оно понятно , можно ли еще как то ? Неким аналогом списка для IP адресов ?  Или каждому маку по правилу , а то и по два  ?

    Всего записей: 29 | Зарегистр. 31-12-2012 | Отправлено: 10:51 25-10-2017
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, всем привет. Есть вопрос. Имеется виндовый домен, двухкомпонентный (firma.ru). И есть веб-сайт на внешнем хостинге (http://firma.ru). У каждого корпоративного клиента в качестве ДНС прописаны ДНС виндового домена (контроллеров).
    Те, кто не знаком, как работает доменная винда я поясню. Когда машина в домене, то имя домена (firma.ru) должно резолвиться в IP контроллера(ов) домена и никак иначе. Т.е. внутри сети firma.ru обязана резолвиться в серый IP типа 192.168.1.1; в противном случае пользователь не сможет логиниться в домен, получать права доступа, не работают групповые политики и т.д.
    Вместе с тем веб-запрос http://firma.ru по 80 и 443 порту должен резолвиться во внешний IP и отдаваться на клиента. Как перехватить и обработать такой запрос микротиком, чтоб всё заработало?
    Да, еще. На внешний хостинг есть VPN. И, при необходимости, можно веб-сервер запрашивать на адресе 192.168.2.1, например.
     
    Добавлено:
    Это нужен какой-то dstnat на бридже

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 14:26 27-10-2017 | Исправлено: Accessor, 14:29 27-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Accessor
    Проще всего, видимо, будет перехватить запросы на 80 и 443 порт к 192.168.1.1 и отправить их на веб-сервер.
    Пользователи в подсети контроллера и подключены через мелкотик?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:43 27-10-2017
    tzom



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем.
    Подскажите, что может приводить к раздуванию размера файла .backup
    Сейчас у меня размер 1.5 мегабайта.
    Делаю после перезагрузки. Лог файл удалён, вообще нет ничего в папке files.
    Размер скрипта конфигурации 1.7 KiB
    Версия ROS 6.39.3 железка RB2011iL-RM

    Всего записей: 162 | Зарегистр. 25-01-2002 | Отправлено: 17:51 28-10-2017
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Сделал на своём rb2011uias-2hnd-in хотспот онли посмотреть как это работает да оставить на какое время и потом по логам посмотреть кто им пользуется или нет, с лимитом на 5 минут и даже кое какой самогенерированный микротиком сертификат для SSL сделал.
     
    Как сделать теперь редирект всегда с http://10.5.50.1/login?dst=http://любой урл/ на http://10.5.50.1/login?  
     
    Кстати я удалил все файлы html из Files и теперь если вбить http://любой урл/ то корректно редиректит на http://10.5.50.1/login?dst=http://любой урл/
     
    Когда html файлы были в Files то написав любой адрес редиректило на страницу 404 Not Found и никак не мог попасть в  http://10.5.50.1/login?dst=http://любой урл  
       
     
     
     
    Ещё включен fasttrack - с включенным хотспотом скорость стала такая a download должен быть как upload http://www.speedtest.net/my-result/6747276133 CPU под 100%


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 18:31 29-10-2017 | Исправлено: fakintosh, 20:29 29-10-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    fakintosh
    Ну, httpS и не должно редиректить (не для того его придумывали).
    Вы в описании не запутались? Зачем вам редирект с http://10.5.50.1*** на http://10.5.50.1***?
     
    Про fasttrack: у вас в профиле хотспота не указан Address Pool? https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - Fasttrack не совместим с Hotspot Universal Client
     
    Ну и гляньте для приличия, что именно так грузит проц (Tools -> Profile)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 09:21 30-10-2017 | Исправлено: Chupaka, 09:22 30-10-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru