Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    fvgth

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Я извиняюсь за вопрос котрый скорее всего глупый. А можно на Микротике организовать VPN туннель чтобы не пользоваться платными VPN серверами (сервисами) ?

    Всего записей: 202 | Зарегистр. 02-10-2009 | Отправлено: 21:44 20-11-2017
    2007Black

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Пока еще не очень силен в настройках этого девайса (MIKROTIK 2011) помогите пожалуйста, как можно закрыть доступ в соц сети (в частности одноклассники и фэйсбук)

    Использовать функцию allow to add domain name to address-lists. Железяка сама определит IP адреса через DNS. Но нужно учитывать что www.blablabla.com и blablabla.com могут иметь разные IP. Комикс здесь http://mikrotik-ukraine.blogspot.com.by/2016/08/mikrotik.html

    Всего записей: 30 | Зарегистр. 10-12-2007 | Отправлено: 22:17 20-11-2017
    ilyaperes

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день.
    Есть Microtik hEX Lite.
    На внешнем интерфейсе статика интернета.
    На внутреннем 192.168.88.1-254 DHCP
    Поднят L2tp сервер.
    При подключении клиента снаружи, все ОК. Сеть внутри видит. Интернет работает. Сам роутер не виден напрочь. Ни пинги, ни консоль не подключаются. Т.е. 192.168.88.1 для VPN не доступен.
    На VPN раздаются адреса из того же пула 192.168.88.ХХХ.
    Куда копать?

    Всего записей: 6 | Зарегистр. 10-09-2010 | Отправлено: 10:01 21-11-2017
    ph5

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    У Микротика очень тонкая настройка присутствует. Но, увы, я с ним не работал.
    А  получится ли по ip найти принтер? Ведь комп в другой подсети.

    Всего записей: 226 | Зарегистр. 18-08-2011 | Отправлено: 10:16 21-11-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ph5
    Ну, покупать автомобиль, чтобы ездить на велосипеде без колёс - оригинальное решение, конечно...
     

    Цитата:
    А  получится ли по ip найти принтер? Ведь комп в другой подсети.

    Да, конечно. Разве что придётся masquerade настроить, чтобы запросы шли с адреса роутера, а не компьютера. А если настроить бридж между LAN и wifi - то компьютер будет получать настройки от DHCP беспроводного роутера; по сути, будет подключен как будто напрямую в вайфай
     
    ilyaperes

    Цитата:
    Куда копать?

    В конфиг, например Policy routing не используется? Может, фильтром файрвола (chain=input/output) блокируется доступ.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:38 21-11-2017
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Скажите, можно ли настроить через Winbox простой роутинг между двумя подсетями подключенными к разным интерфейсам или придётся "погружаться"? Не хотелось бы, ибо решение временное.
     
    Дано
    Eth1 192.168.64.5/24 - вновь подлключенный провод
    Eth5 192.168.208.5/22 - старый провод
    Eth7 white subnet - провайдер
     
    Через Eth1 и шлюз в ней 192.168.64.2 доступна сеть 172.17.0.0/18 В нее нужен маршрут.
     
    При добавлении маршрута из 5 в 1 идёт через NAT. Это не решение, ибо каждому надо давать разрешения и вообще, это NAT со всеми проистекающими.
    Мне надо чтобы шел обычный роутинг. Поставить радом девайс не совсем интересно, ибо клиентские настройки, 192.168.208.5 - шлюз по умолчанию у всей подсети, и надо чтобы через него роутилась сеть 172.17.0.0/18 без каких-либо ограничений. При этом, сети 172.17.0.0/18 провайдер совсем не нужен.
    То есть классический route add Простой роутинг в обе стороны
    Не могу сходу вкурить, а гугль заточен под вопросы раздачи интернета и правил NAT. Мне же это не нужно вовсе.
     
    Добавлено:
    RB 1100AHx2

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:09 21-11-2017
    ph5

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Правильно ли я понимаю порядок:
    1. Настраиваю MikroTik в режиме репитера, т.е., подключаю к существующей точке доступа по wifi.
    2. Через меню Bridge создаю мост между wifi и проводом.
    3. Нахожу принтер по IP, подключаю
    4. Подключаю Yota и смотрю от какого провайдера идет трафик.

    Всего записей: 226 | Зарегистр. 18-08-2011 | Отправлено: 12:49 21-11-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Paromshick

    Цитата:
    При добавлении маршрута из 5 в 1 идёт через NAT

    Если вы уверены, что там нужен NAT (ну, ещё бы - зачем вы иначе его там добавили...) и хотите, чтобы только на 172.17.0.0/18 он не действовал - создайте в NAT наверху правило с dst-address=172.17.0.0/18 action=accept.
     

    Цитата:
    ибо каждому надо давать разрешения

    Каждому кому? Разрешение на что?
     

    Цитата:
    При этом, сети 172.17.0.0/18 провайдер совсем не нужен

    Это что значит? Что данная сеть не должна иметь доступ в Интернет через Eth7? Это надо блокировать в Firewall Filter
     

    Цитата:
    То есть классический route add Простой роутинг в обе стороны

    Вот просто и делайте:
    /ip route add dst-address=172.17.0.0/18 gateway=192.168.64.2
    Вуаля. Если нат не делаете - не забудьте убедиться, что на 192.168.64.2 прописан маршрут через 192.168.64.5 к подсетям, которые будут туда ходить.
     
    ph5

    Цитата:
    1. Настраиваю MikroTik в режиме репитера, т.е., подключаю к существующей точке доступа по wifi.  

    Это два разных режима. Вам не нужен репитер (у компьютера ведь нет сетевой карты), вам надо просто подключиться к точке доступа в режиме station-pseudobridge
     

    Цитата:
    2. Через меню Bridge создаю мост между wifi и проводом.

    После этого компьютер должен получить адрес от DHCP-сервера за вайфаем (подразумевается, что все настройки с мелкотика удалены, и он не пытается сам никаких адресов раздавать)
     

    Цитата:
    3. Нахожу принтер по IP, подключаю  

    Ну, если через вайфай можно по MAC - можете и по MAC, в этот момент вы должны обладать всеми возможностями, что и любой другой wifi-клиент
     

    Цитата:
    4. Подключаю Yota и смотрю от какого провайдера идет трафик.

    Вот это вообще не понял. А от какого он должен идти?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:27 21-11-2017
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Давайте NAT оставим в стороне, просто держим в уме, что он есть, для сети Eth5 192.168.208.5/22 для выхода наружу. Я уверен, что мне он совсем НЕ нужен, но он есть, ничего не поделаешь.
     
    К этой сети, Eth5 192.168.208.5 пристыкована другая,172.17.0.0/18. Вернее, пытается пристыковаться, воткнув провод в первый NIC. Настройки выше. Мне надо видеть ее без всяких NATов. Новой сети выход наружу - не нужен.
    На любом компе с двумя интерфейсами эта задача решаема на раз, но у такого компа будет иной IP, а мне надо сохранить MkriTik'овский, ибо он у клиентов шлюзом по умолчанию.
    Так как MikroTik велик и ужасен, стоит в продакшене, то что-то там ковырять не хочется, хочется спросить. Повторю
     
    Дано
     
    Eth1 192.168.64.5/24 - вновь подлключенный провод
    Eth5 192.168.208.5/22 - старый провод
    Eth7 white subnet - провайдер  
     
    Через Eth1 и шлюз в ней - 192.168.64.2 доступна сеть 172.17.0.0/18
    В нее нужен маршрут.
    Можно ли настроить через Winbox простой роутинг между двумя подсетями подключенными к разным интерфейсам?
     
    ЗЫ. Почему я сказал, что через НАТ идёт. Потому, что прописав на винбоксе роутинг к 172.17.0.0/18 я спокойно иду. Но через НАТ. Забудьте о нем, пожалуйста. Неужели нельзя сделать роутинг, который я на цисках освоил минут за 30...


    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 13:58 21-11-2017 | Исправлено: Paromshick, 13:59 21-11-2017
    ph5

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    1. Комп должен оставаться изолирован от общей сети. У него свой ip, забит статикой.
    2.
    Цитата:
    Вот это вообще не понял. А от какого он должен идти?

     Комп же будет к сети wifi подключен. Возможно, он будет гнать внешний трафик через wifi. А нужно через Yota.
     

    Всего записей: 226 | Зарегистр. 18-08-2011 | Отправлено: 14:19 21-11-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    просто держим в уме, что он есть, для сети Eth5 192.168.208.5/22 для выхода наружу

    Наружу - это в Eth7? Ну так и напишите в правиле out-interface=Eth7, не надо натировать всё, до чего роутер дотянется.
     

    Цитата:
    Почему я сказал, что через НАТ идёт. Потому, что прописав на винбоксе роутинг к 172.17.0.0/18 я спокойно иду. Но через НАТ. Забудьте о нем, пожалуйста. Неужели нельзя сделать роутинг, который я на цисках освоил минут за 30

    Так вы и сделали роутинг. Просто зачем-то приплели сюда НАТ, хотя непонятно, работает он или нет для этого трафика Для взаимодействия 192.168.208.5/22 и 172.17.0.0/18 через два роутера (192.168.64.2 и 192.168.64.5) надо на обоих роутерах прописать маршрут к сети, находящейся за другим роутером (если, конечно, маршрут по умолчанию ведёт не туда же). Это то, что вы должны отлично понимать, освоив такую же простую маршрутизацию на Cisco

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:43 21-11-2017
    ph5

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    1. Комп должен оставаться изолирован от общей сети. У него свой ip, забит статикой.
    2.
    Цитата:
    Вот это вообще не понял. А от какого он должен идти?

     Комп же будет к сети wifi подключен. Возможно, он будет гнать внешний трафик через wifi. А нужно через Yota.
     

    Всего записей: 226 | Зарегистр. 18-08-2011 | Отправлено: 15:02 21-11-2017
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Вы или немножко не понимаете, или я не умею объяснять. Давайте я обрисую не имеющее к технике... Хотя не надо. Видимо, и так придется сказать многое. Не понимаю, зачем, но извольте.
     
    Нельзя про NAT забыть? Можно же.
     
    Представьте, работающая сеть, имеющая этот замечательный девайс в качестве шлюза. Здесь (там) наадминено столько, что нет никакого желания, честно. Клиенты из старой подсети выходят в инет через NAT авторизуюсь по МАСу.
     
    Теперь.
    Рядом поднята еще одна сеть. Ей - ничего не надо. У нее всё есть и я нигде не говорил, что что-то ей надо.
    Это старой надо видеть новую, бо это ее серверный придаток.
    Через шлюз сторонний - все прекрасно видится. Видится и так и эдак, ибо можно роутить тут двояко. Можно раздать клиентам шлюз в новую сеть. Руками, ногами... DHCPями... Зачем это всё?
    У микротика есть еще один интерфейс. Есть полная возможность воткнуться в него, на переходный период. Втыкаемся. Присваиваем адрес. Делаем роут в новую сеть. С компа, который авторизован к выходу в интернет новая сеть прекрасно видится. Неавторизованному - отлуп. Проверено всячески, пробу ставить некуда, поверьте - так и есть. Между интерфейсами работают фильтры. Я не имею возможности их ковырять и желания тем более.
    Так что ничего я не приплетал.
    Есть сеть. Есть девайс. Дан интерфейс Winbox.  
    И есть вопрос, WTF.
     
    По моему, этот вопрос и первый раз заданный вполне самодостаточный. Зря было сказано про NAT, но что поделать, если он явно виден и мешает.
     
    Нужен маршрут. Не надо этот маршрут просеивать ни через какие фильтры. Это же можно сделать? И если так
     
       
     
    то почему не работает? Маршрут тоже пробовался по разному.
    Недавно озвучил страшное китайское админское проклятие: чтоб ты строил ядро на фаерволе. ПолучИте, блин
     
     
    Добавлено:
    192.168.64.5 - это внутренний интерфейс микротика. Он же роутер?
    Странно это всё.
    Роутер там один - Cisco. Она имеет один интерфейс 192.168.64.2, а другой в 117.17...
    Простеййшая сеть. Если б не микротик
     
    Добавлено:
    Наваял, чтоб не со слов.
     
       
    Была ошибка в адресе шлюза. Заменил. Вот эта похожа на правду.
     
    3. -- Существующий маршрут в Интернет. 192.168.208.0/22 192.168.208.5 Клиенты имеют этот шлюз по умолчанию, выпускаются по МАСу, шейпятся по скорости.
    2. -- Стремно и странно полуработающий маршрут в 172.17.0.0/18  с теми же условиями, что и в п.3. Необходимо переключение next hope на 2960
    1. -- Отлично работающий маршрут в 172.17.0.0/18 но имеющий недостатки, а именно route add 172.17.0.0 на каждом клиенте или еще как-то.
     
    Если на 2960 указать 192.168.208.0/22 192.168.64.3 то работает у всех у кого есть роут на компе. Если перевести на Микротик, на 192.168.64.5 то роут не нужен, но срабатывает какой-то пакетный фильтр.
     
    Что-то я не так добавляю на микрОтике. не умею его готовить. Потому спрашиваю здесь
     
    Добавлено:
    Добавлю, не особо надеясь-то... С "неавторизованного" компа спокойно пингуется второй NIC микрОтика, то есть Eth1, то есть 192.168.64.5. А 192.168.64.3 уже не пингуется, как и 192.168.64.2, хоть они с 192.168.64.5 в одном бродкастовом домене, то есть маршрут к ним - вообще не нужен.

    Код:
    Pinging 192.168.64.2 with 32 bytes of data:
    Reply from 192.168.208.5: Destination net unreachable.

     
    Добавлено:
    Если б request timed out я бы еще понял. Роут в сеть источник идёт через другой шлюз и ответа нет. Но он сразу - нафиг. Не доступна тебе эта сеть и всё.

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:34 21-11-2017 | Исправлено: Paromshick, 16:33 21-11-2017
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
     
    НАТ на внутренних интерфейсах не надо - только на аплинке. С НАТом тоже можно настроить, но диагностика проблем станет более затруднительной. Смысл в том, что при включенном НАТе на 192.168.64.5, запрос из 172.17.0.0/18 в 192.168.208.0/22 идет по маршруту 1, а ответ возвращается по маршруту 2 (что не есть проблема) с измененным SRC адресом (что есть проблема) и отвергается запросившим хостом. Т.е. запросы из 192.168.208.0/22 в 172.17.0.0/18 работать будут, а вот обратно - гарантированно будут глюкавить. Выловить это не особо сложно, но ... и не очень просто, в общем.
     
    Ну, так проблема не в маршрутизации. Маршрутизация ничего не знает про НАТ вообще - этим занимается стенка. Отключите файрвол и аплинк на провайдера временно и проверьте маршрутизацию между внутренними сеткам - это 5..10 минут. Если работает (а таки должна, похоже), то потом проверите логику правил стенки и найдете, где ошибка.
     
    Или (как fast fix) в топ правил стенки добавьте определение для хождения трафика между 192.168.208.0/22 и 172.17.0.0/18 без маскарадинга. Если в логике правил стенки есть паленные/кривые правила (что скорей всего), влияющие на этот маршрут - то это правило их переопределит.
     
    Ну и да, на 2960 - маршрут на 192.168.208.0/22 через 192.168.64.5 и выпилить левый маршрут с клиентов в 192.168.208.0/22.
     
     

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 17:01 21-11-2017 | Исправлено: RemComm, 17:14 21-11-2017
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RemComm
    Роуты у меня все работают. Хорошо, что их не в микротиках изобретали.
    Не могу я трогать это м... НАТ. Ну сказал же.
    Простите меня, но за два дня - закипишь. НЕ МОГУ. Я. Трогать это работающий к чертям, девайс. Воткнуться, куча свободных портов, прикрутить адрес, - добавить роут. Позволили. Дали интерфейс графический.
    Что и было сделано. Всем этого достаточно обычно, даже не к ночи помянутому TMG. Отношения между сетями? Маршрут. Всё!
     
    Роут хочу. Без всего. Классику лохматых годов.
    Если это не возможно, ну, чтобы, не трогать там эти правила, то так и запишем. Девайс не умеет роутить. Роутером его назвали ошибочно.
    Это так?

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:14 21-11-2017
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
     
    Приношу извинения, но, нет, не так. Он умеет маршрутизировать и именно это и делает. Пример - ваш аплинк на провайдера. Роутинг же? Таки да.
     
    В микротике это сделано именно так, как сделано. И, к сожалению, никак по другому. Там поверх маршрутизации работает стенка (ака пакетный фильтр). Это концепция комплексного решения, так же, как в цисках, например. Роутеров без пакетных фильтров даже и в лохматых годах не было (в смысле - мне таковые не известны). Просто их не везде использовали, так как паранойя на мозг не сильно давила. Вы можете испытывать боль сколько вам понравится - это не изменит вашей существующей конфигурации без нажатия правильных кнопок. Если вы не можете (в силу любых причин) добавить в топ правил стенки новое фикс правило - тогда увы вам. Про НАТ забыть нельзя, потому что он все и ломает (как именно - описал ранее).
     
    Крепитесь...

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 17:19 21-11-2017 | Исправлено: RemComm, 17:30 21-11-2017
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RemComm
    Я думаю, что вы не правы по поводу обязательной фильтрации трафика при роутинге. Мне вообще не нужна трансляциа адреса, в принципе.
    NAT является отраслевым стандартом, если что. RFC разыскиваются на раз, если что. Мне не надо. Какой смысл вообще смотреть полезную нагрузку IP пакета, если я этого не заказывал.
    Провайдер здесь ни при чём, тот аплинк использует нат, чтобы выпустить несколько машин с одного адреса. Не мой случаи и вариант.
     
    Ну что ж. Этот вариант не годится, только и всего.

    Цитата:
    Он умеет маршрутизировать и именно это и делает.

    Венда с двумя интерфейсами справится быстрее
    Удачи

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:03 21-11-2017
    RemComm



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
     
    М... К сожалению не припомню, где именно я упоминал об обязательной фильтрации трафика. Возможно, вы не достаточно внимательно прочли. Как раз, напротив, я говорил об обязательной его нефильтрации. Если вы относительно моего последнего предложения
    Цитата:
    Про НАТ забыть нельзя, потому что он все и ломает (как именно - описал ранее).

     
    - Так это ответ на ваще утверждение
    Цитата:
    Нельзя про NAT забыть? Можно же.  

     
    Потому что именно в вашей конфигурации - нельзя, потому что он есть, на внутреннем интерфейсе, где его не должно быть, он вам все ломает и вы не можете его трогать потому что
    Цитата:
    Не могу я трогать это м... НАТ. Ну сказал же.  

     
    Давайте взглянем:
     

    Цитата:
    Что-то я не так добавляю на микрОтике. не умею его готовить. Потому спрашиваю здесь
    - Ок, это не есть проблема, Вам рассказали, что в вашей конфигурации проблема не в маршрутах, а в правилах стенки. Маршрут вы добавляете правильно. Его там по другому и не добавить. Скорей всего, вы не поняли микротик и хотите все сделать "по своим правилам". Но микротик вам не позволит.
     

    Цитата:
    Роут хочу. Без всего.
    - Когда вы добавляете маршрут - вы и получаете роут без всего. Но в вашей конфигурации одного только маршрута недостаточно. Потому что, поверх модуля перенаправления пакетов, у вас еще отрабатывает стенка. Поэтому надо ж ведь еще и ей точно указать, что именно фильтровать или НАТить. А в соответствии с текущей конфигурацией она НАТит исходящие пакеты на интерфейсе 192.168.64.5. Это следует из ваших исходных данных:
    Цитата:
    При добавлении маршрута из 5 в 1 идёт через NAT.

    Именно отсюда мы понимаем, что на Eth1 у вас НАТ, что есть необычно. Таким образом, вы имеете НАТ на двух интерфейсах: на Eth7 (аплинк) и на Eth1 (192.168.64.5). К НАТу на Eth7 вопросов нет. Вопросы были к НАТу на Eth1, потому что к внешнему, проходящему через аплинк, трафику этот НАТ никакого отношения не имеет. Возможно, это потому, что в правилах стенки уже определено маскарадить на всех интерфейсах, кроме Eth5. Такое ведь возможно? Вам сразу сказали фикс:

    Цитата:
    Если вы уверены, что там нужен NAT (ну, ещё бы - зачем вы иначе его там добавили...) и хотите, чтобы только на 172.17.0.0/18 он не действовал - создайте в NAT наверху правило с dst-address=172.17.0.0/18 action=accept.


    Цитата:
    Нужен маршрут. Не надо этот маршрут просеивать ни через какие фильтры. Это же можно сделать? И если так ...
    то почему не работает? Маршрут тоже пробовался по разному.  
    - хм, даже не знаю... Потому что поверх модуля перенаправления пакетов отрабатывает еще и стенка, и для нее определены свои правила, и они не изменяются при добавлении только маршрута?
     
    Курить там много не надо. Надо понять, что именно у вас происходит и как именно работает конкретное программное обеспечение. В вашем конкретном случае - микротик, в общем случае - линукс, потому что именно на нем микротик и построен.
     
    Вы задали вопрос - вам ответили. Вы не разобрались в ответе и приложили схему. Все было понятно и без нее, но ок, она упростила объяснение для вас. Второй раз вам сказали про НАТ, и про то, что он Вам все ломает.
     

    Цитата:
    НЕ МОГУ. Я. Трогать это работающий к чертям, девайс.
    - но вы его уже трогаете, вы настраиваете новый интерфейс и добавляете маршрут. Так добавьте еще одно правило для стенки.
     
    По сути:
     
    1 - маршрут вы добавляете правильно.
    2 - этого просто не достаточно в вашей конкретной конфигурации, надо добавить правило стенки.
    3 - правило для стенки вы не будете добавлять.
     
    или ваши исходные данные неверны.
     
     
    Ну, ОК. Вы просто попробуете еще что-то другое.

    Всего записей: 838 | Зарегистр. 30-09-2003 | Отправлено: 00:38 22-11-2017 | Исправлено: RemComm, 04:17 22-11-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    3. -- Существующий маршрут в Интернет. 192.168.208.0/22 192.168.208.5 Клиенты имеют этот шлюз по умолчанию, выпускаются по МАСу, шейпятся по скорости.

    что бы клиенты сети 192.168.208.0/22 имели доступ к сети 192.168.64.0/24 и дальше к 172.17.0.0/18 должно быть два маршрута на микротик, в мангле метить пакеты от сети 192.168.208.0/22 и роутить к нужным сетям что бы запросы к этим сетям не пошли через шлюз провайдера.
     
    В место правил в мангле можно прописать в /ip route rule
     

    Цитата:
    С "неавторизованного" компа спокойно пингуется второй NIC микрОтика, то есть Eth1, то есть 192.168.64.5. А 192.168.64.3 уже не пингуется, как и 192.168.64.2

    пока маршрута не будет, будет доступен только интерфейс микротика, попробуйте включить маскардинг между сетью 192.168.208.0/22 и 192.168.64.0/24, правило должно быть выше правила ната к провайдеру.

    Всего записей: 1169 | Зарегистр. 29-08-2005 | Отправлено: 06:22 22-11-2017 | Исправлено: alexnov66, 07:06 22-11-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick
    Да, у вас слегка каша в голове (например, NAT - это не какое-то глобальное явление на весь роутер, а всего лишь действие над адресами заданных пакетов, бегающих по интерфейсам роутера; что задано в конфиге - мы не знаем, вы не говорите), и на нервах вы совсем плохо объясняете...
     
    Если уже настроенная железка со своими правилами фильтрации пакетов не пропускает нужные вам пакеты (а, судя по Destination net unreachable, так оно и есть - ведь на самом деле эта сеть вполне себе Reachable, ведь она висит как Connected на роутере на интерфейсе, смотрящем в 2960) и вы не хотите эти правила менять - чуда не произойдёт, сами они не разрешатся "вдруг". Надо помимо маршрута добавить ещё и разрешающие правила фильтра файрвола, чтобы пакеты с интерфейса, на котором висит адрес 192.168.208.5, могли свободно ходить на интерфейс, на котором висит адрес 192.168.64.5, и обратно, а не только в Интернет.
     
    После этого на 2960 шлюзом для 192.168.208.0/22 указать 192.168.64.5 вместо 192.168.64.5 - и настанет счастье и радость [, если, конечно, на мелкотике не настроен какой-нибудь хитрый Policy Routing, например его полную конфигурацию мы не знаем].

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:09 22-11-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru