Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    zimry

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени суток!
    Подскажите где копать?
    Стоит hap as lite.
    Отваливаются некоторые клиенты. В логах микротика disconected, unicast key exchange timeout
    Профиль безопасности WPA2-PSK aes-ccm
    Group key update 01.00.00

    Всего записей: 12 | Зарегистр. 17-12-2010 | Отправлено: 15:06 26-12-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    LevT

    Цитата:
    По крайней мере беспроводному hAP lite от его обновления вернулась работоспособность, утраченная с новой осью

    Жажду подробностей. Что там когда было утрачено? %)
     

    Цитата:
    Upd. Версия фирмваре теперь равна версии прошивки: наверное, неспроста это...  
    Полагаю, что они остаили в ROS слой абстракции, а всё железоспецифичное отправили в фирмварь. Давно бы пора, кстати!..  

    Не, они просто синхронизировали номера версий, чтобы не путаться
     
    zimry

    Цитата:
    Отваливаются некоторые клиенты

    Не Apple, часом?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:14 26-12-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zimry

    Цитата:
    В логах микротика disconected, unicast key exchange timeou

     
    Chupaka

    Цитата:
    Не Apple, часом?

     
    Во-во. Может им нужно :
     
    /interface wireless
    set [ find default-name=wlan1 ] wmm-support=enabled

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 22:01 26-12-2017
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    господа, есть пара вопросов
     
    провайдер даёт интеренет и тв-каналы по разным вланам (INTERNET и IPTV)
    стояла задача дать возможность любым устройствам в сети смотреть тв (ну и чтобы тв-приставка могла выходить в интернет для просмотра фильмов/сериалов на различных порталах)
    всё решилось через присвоение интерфейсу IPTV адреса (присвоил тот же адрес, который приставка получает от провайдера по IPTV) и настройку IGMP Proxy (из этой инструкции я пропустил правила для фаервола, т.к. и без них всё работало)
     
    неделю всё было нормально, но сегодня мне позвонили из техподдержки провайдера и сообщили, что я создаю им флуд на влане IPTV и при этом они сразу предположили, что это связано с тем, что я присвоил интерфейсу IPTV адрес
    в итоге, пока я не решу проблему с настройками, мне телевидение отключили
     
    в связи с этим вопрос:
    возможно имеет смысл запретить в фаерволе прохождение в влан IPTV пакетов отличных от udp?
    что-то типа такого:

    Код:
    /ip firewall filter add action=drop chain=forward disabled=no dst-port=!1234 out-interface=IPTV protocol=!udp

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 10:54 06-01-2018 | Исправлено: zBear, 18:44 06-01-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
    Покажите лучше вывод /routing igmp-proxy interface, скорее всего вы на downstream интерфейс захватили лишнего. Чтобы мы поняли вообще что-то то лучше выложить на pastebin.com весь конфиг.  
     
    Так же можно поработать с alternative-subnets
     
    Правила Firewall тут вообще не причем. Не понятно почему у вас interface=IPTV8=in-interface=IPTV

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 11:28 06-01-2018
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa

    Цитата:
     вывод /routing igmp-proxy interface

    /routing igmp-proxy interface
    add alternative-subnets=0.0.0.0/0 interface=IPTV upstream=yes
    add interface=bridge-local  
     

    Цитата:
    почему у вас interface=IPTV8=in-interface=IPTV

    забыл подправить :-)

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 11:51 06-01-2018 | Исправлено: zBear, 18:45 06-01-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    /routing igmp-proxy interface
    add alternative-subnets=0.0.0.0/0 interface=IPTV upstream=yes
    add interface=bridge-local  

     
    /routing igmp-proxy
    set query-interval=1m query-response-interval=10s quick-leave=yes
    /routing igmp-proxy interface
    add alternative-subnets="" comment="Downstream IPTV" disabled=no interface=bridge-loca threshold=1 upstream=no
    add alternative-subnet=0.0.0.0/0 comment="Upstream IPTV" disabled=no interface=IPTV threshold=1 upstream=yes
     
    В идеале спросит у провайдера alternative-subnets. Или самостоятельно выловить подсети путем захождения в меню «IGMP Proxy» вкладка «MFC». Затем вы включаете IPTV и начинаете переключать каналы и наблюдаете IP, которые потом переводите в одну-две подсети. Например таким образом я обнаружил у своего провайдера нигде не упоминаемую подсеть IPTV, которая даже не входит в официальный список локалки моего провайдера.  
     
     
       
     
    Тут на скриншоте явно видна — 10.22.3.0/24

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 12:33 06-01-2018 | Исправлено: leshiy_odessa, 12:35 06-01-2018
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa

    Цитата:
    выловить подсети путем захождения в меню «IGMP Proxy» вкладка «MFC»

    я немного выше говорил, что услуга iptv у меня сейчас заблокирована из-за флуда и на вкладке MFC не отображается ничего
     

    Цитата:
    наблюдаете IP, которые потом переводите в одну-две подсети

    у меня есть плейлист провайдера, я точно знаю адреса их каналов
    172.20.20.0/24
    172.21.21.0/24
    и т.д.  
     
    эти подсети мне нужно прописать в alternative-subnets?

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 12:52 06-01-2018 | Исправлено: zBear, 18:46 06-01-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear

    Цитата:
    эти подсети мне нужно прописать в alternative-subnets?  

    Да эти диапазоны адресов нужно вводить в alternative-subnets, это если знаешь диапазоны адресов.
    Не зная диапазонов можно ввести 0.0.0.0/0, будет то же работать.
     
    vlan IPTV пробрасывать в отдельный порт микротика и туда же приставку тв, ни каких адресов там не прописывать.
     
    Как сказали выше настройки микротика покажите, телепатов нет, гадать что и как у вас настроено.

    Всего записей: 1168 | Зарегистр. 29-08-2005 | Отправлено: 14:10 06-01-2018 | Исправлено: alexnov66, 14:33 06-01-2018
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    проблема оказалась в том, что я присвоил интерфейсу тот же адрес, который приставка получали от провайдера по IPTV
    после очередного звонка в поддержку, попал наконец на человека, который понял, что именно я хочу сделать и сразу сказал, что нужно присваивать интерфейсу "левый" диапазон, т.к. иначе и получается флуд в локалке (если давать адрес из локального диапазона) или у провайдера (если давать адрес из провайдерского диапазона)

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 15:50 06-01-2018 | Исправлено: zBear, 18:59 06-01-2018
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Товарищи! Есть hAP ac lite, в настройках ethernet портов на вкладке General нет настроек мастер порта, последняя строчка это ARP Timeout. Под ней должна быть Master Port но её нет, это особенность железки или что-то где-то надо включить?

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 15:45 09-01-2018 | Исправлено: 468320, 15:45 09-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    468320

    Цитата:
    в настройках ethernet портов на вкладке General нет настроек мастер порта

    Это особенность версии 6.41 и дальше.
     

    Цитата:
    What's new in 6.41 (2017-Dec-22 11:55):
     
    Important note!!! Backup before upgrade!
    RouterOS (v6.40rc36-rc40 and) v6.41rc1+ contains new bridge implementation that supports hardware offloading (hw-offload).
    This update will convert all interface "master-port" configuration into new bridge configuration, and eliminate "master-port" option as such.
    Bridge will handle all Layer2 forwarding and the use of switch-chip (hw-offload) will be automatically turned on based on appropriate conditions.
    The rest of RouterOS Switch specific configuration remains untouched in usual menus for now.
     

     
    Теперь всё делается через бридж

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:59 09-01-2018 | Исправлено: Chupaka, 16:00 09-01-2018
    468320



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Это особенность версии 6.41 и дальше. Теперь всё делается через бридж

    Т.е. если ether2 надо настроить под второго провайдера - просто выкидываем из бриджа?

    Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 16:08 09-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    468320
    Да, именно так

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:16 09-01-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А занятная презентация — Most underused and overused RouterOS features OR My “holy war” against masquerade.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 15:40 10-01-2018
    xornz

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте.
    Решил немного модернизировать старый скрипт, взятый на одном из форумов. Служит он для добавления в список клиентов, получивших адрес по DHCP.
     
    /ip firewall address-list remove [/ip firewall address-list find list=DHCP_clients_list];
    :local a;
    :set a [/ip dhcp-server lease find status="bound"];
    :local b;
    :for b from=0 to=([:len $a]-1) step=1 do={/ip firewall address-list add list=DHCP_clients_list address=[/ip dhcp-server lease get [:pick $a $b] address]}
     
    Скрипт понятен, но модернизировать я его так и не смог.
    На новом роутере каждый LAN-порт раздаёт адреса отдельным DHCP выделенного пула:
    Порт 2 --> dhcp_2 --> pool_2
    Порт 5 --> dhcp_5 --> pool_5
    Порт6  --> dhcp_6 --> pool_6
    ……..
     
    А СКРИПТ (Lease Script), размещённый в поле настроек DHCP-сервера, собирает их все адреса под «одну гребёнку» и добавляет в один ЛИСТ «DHCP_clients_list».
    Как мне сделать сортировку? Как заставить скрипт dhcp_2 создавать записи в листе «DHCP_2_clients_list», а скрипт, запускаемый при активации dhcp_5-сервера, создавал бы список «DHCP_5_clients_list» ??? (добавить каждому скрипту доп. фильтрацию по имени сервера).
    Играл с переменными и функциями часов 5- так ничего и не получилось.
    Мануал на английском – читать и переводить ппц долго.

    Всего записей: 38 | Зарегистр. 07-07-2016 | Отправлено: 22:01 10-01-2018 | Исправлено: xornz, 22:03 10-01-2018
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    xornz
    1. Я бы отказался от разделения скрипта на кусочки для каждого пула.
    2. Допили скрипт так, чтобы он проверял на каком порту доступен mac-адрес клиента. По этому условию создавай отдельные списки.
    3. Удаление списка я бы убрал из скрипта, а создание списков делал бы темповым с последующей подменой имен.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 22:46 10-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    xornz
    Получите, распишитесь:

    Код:
    :if ($leaseBound = 1) do={
      /ip firewall address-list add list="$leaseServerName_clients_list" address=$leaseActIP comment=$leaseActMAC
    } else={
      /ip firewall address-list remove [find list="$leaseServerName_clients_list" address=$leaseActIP]
    }

     
    "comment=$leaseActMAC" - по желанию

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 08:18 11-01-2018
    xornz

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Получите, распишитесь:  

    Судя по тексту - то, что надо !!!
    MAC тоже может потом пригодится в фильтрации ...
    спс

    Всего записей: 38 | Зарегистр. 07-07-2016 | Отправлено: 13:07 11-01-2018
    AccessKa

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите по по данной ошибке в Log MikroTik
    "manager,error,info,debug Running out of disk space, when minimum 500kB is reached UM will be stopped!"
     
    Что означает и что требуется исправить?

    Всего записей: 14 | Зарегистр. 11-01-2018 | Отправлено: 16:56 11-01-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru