Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    myf

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    в Winbox'e в in-interface нет выбора Internet-main, пробовал all ppp , тоже не то, и проверил через термнинал - ошибку выдает
     
     
     

    Всего записей: 86 | Зарегистр. 01-06-2006 | Отправлено: 16:33 23-01-2018
    zilf



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    У меня вот такой вопрос появился.
    Как прописать такое правило, чтобы при поднятии соединения с провайдером в правиле Nat прописывалось значение Action - src-nat To Addresses (и ip что выдал пров), а если нету соединения - то просто masquerade. Возможно ли это?

    Всего записей: 105 | Зарегистр. 26-09-2006 | Отправлено: 16:58 23-01-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    myf
    Разрешающее правило нужно добавлять на input трафика, кроме него должно быть разрешающее правило на forward трафика в интернет и обратно для пробрасываемого апарата.
    Правила проброса описаны в документации по микротик.
     

    Цитата:
    в Winbox'e в in-interface нет выбора Internet-main, пробовал all ppp , тоже не то, и проверил через термнинал - ошибку выдает

     
    В правиле нужно указывать тот интерфейс с какого у вас идёт интернет трафик, вы сами привели в правиле этот интерфейс в прошлом сообщении как интерфейс провайдера, так какого вы указываете ether1 в правиле.
     
    А лучше указывать не интерфейс а реальный ip адрес получаемый от провайдера. Адрес то реальный получается ?

    Всего записей: 1169 | Зарегистр. 29-08-2005 | Отправлено: 19:58 23-01-2018 | Исправлено: alexnov66, 20:06 23-01-2018
    Kanev75



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Цитата:
    если из удаленного офиса по VPN подключается первый пользователь, то при подключении по VPN второго пользователя из этого же офиса (в удаленном офисе не Mikrotik) начинаются проблемы у первого.  
    ping идет только от одного пользователя, первый через время отваливается от VPN  
    если кратко, по VPN нормально работает только для одного пользователя.  
     
    простите, неужели никто не сталкивался с решением такой проблемы?  

     
    Задача решена используя sstp с генерацией сертификатов.
    теперь все работает.

    Всего записей: 654 | Зарегистр. 30-05-2003 | Отправлено: 23:39 23-01-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kanev75
    В профиле подключения нужно указать параметр only-one=no и тогда будет возможность подключения с одного адреса нескольких сессий.
     
    А в центральном офисе следует установить аппарат помощнее чем
    Цитата:
    подключаются к центральному офиса, где стоит  RB951G-2HnD

    Всего записей: 1169 | Зарегистр. 29-08-2005 | Отправлено: 04:53 24-01-2018 | Исправлено: alexnov66, 04:59 24-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    в Winbox'e в in-interface нет выбора Internet-main

    Хм, как же нет, если в первом правиле оно используется?..

    Цитата:
    /ip firewall nat  
    add action=masquerade chain=srcnat out-interface=Internet-main

     
    zilf

    Цитата:
    Как прописать такое правило, чтобы при поднятии соединения с провайдером в правиле Nat прописывалось значение Action - src-nat To Addresses (и ip что выдал пров), а если нету соединения - то просто masquerade. Возможно ли это?

    Это и делает Masquerade. Зачем лишние телодвижения?
     
    alexnov66

    Цитата:
    Разрешающее правило нужно добавлять на input трафика

    Зачем?..
     

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 09:31 24-01-2018
    Rubikss

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте, подскажите пж как правильно настроить маршрутизацию.
     
    Есть:
    1. mikrotik rb951ui-2hnd
    2. 3-и линии от провайдера по DHCP
     
    1 порт wan для всех юзеров
    2 порт lan уходи в коммутатор на всех юзеров
     
    3 порт wan выделенная линия для 1-го юзера
    4 порт lan для 1-го юзера
     
    5 порт wan выделенная линия для 2-го юзера

    Всего записей: 2 | Зарегистр. 18-11-2014 | Отправлено: 12:57 24-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Rubikss
    А где порт 2-го юзера? %) А то я уже почти придумал элегантное решение:
     

    Код:
     
    /ip route vrf
    add routing-mark=cust-1 interfaces=ether3,ether4
    add routing-mark=cust-2 interfaces=ether5,etherXXX
     

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:51 24-01-2018
    ans72



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеется локальная сеть в составе:
    1. MikroTik hEX, на который заходит интернет от провайдера и который используется в качестве DHCP-сервера.
    2. MikroTik hAP mini, работающий в режиме моста и использующийся в качестве беспроводной точки доступа.
     
    Вопрос: как этому hAP подключиться?
    Через браузер по адресу 192.168.88.1 попадаю на hEX, который DHCP-сервер.
    Как определить адрес hAP mini, чтобы можно было подключиться через WebFig?
    Раньше на hEX заходил в меню IP -> Neighbors, и там отображался адрес hAP mini, например 192.168.88.251. После обновления на RouterOS 6.41 это перестало работать.

    Всего записей: 7771 | Зарегистр. 28-05-2006 | Отправлено: 17:15 24-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ans72
    Если по 192.168.88.251 не заходит - видимо, он получает адрес по DHCP, значит надо зайти на 192.168.88.1 в DHCP Server Leases и посмотреть, какой адрес у hAP

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:51 24-01-2018
    agamespb

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


    Цитата:
    Вопрос: как этому hAP подключиться?

     
    winbox умеет по mac

    Всего записей: 34 | Зарегистр. 31-03-2012 | Отправлено: 18:18 24-01-2018
    ans72



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Спасибо, попробую, когда буду в той местности.
     
    agamespb

    Цитата:
    winbox умеет по mac

    У меня нет виндовса, мне удобнее через WebFig. Но если по-другому не получится, попробую из виртуальной машины запустить.

    Всего записей: 7771 | Зарегистр. 28-05-2006 | Отправлено: 18:41 24-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ans72

    Цитата:
    У меня нет виндовса

    Wine. Или Tik-App на Android

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 19:34 24-01-2018
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите, пожалуйста, с правилами.
    Дано:
    Дома - динамический IP на RB2011, к которому подключено несколько компов и WiFi устройства.
    В гараже - статический IP на RB2011, к которому подключено 2 камеры и хочется ещё NAS воткнуть
     
    Как мне, максимально безопасно, организовать доступ к камерам с одного из домашних компов и доступ к НАСу со всех (программа максимум! для начала, хотябы камеры)?
    Пытался нащупать сам, но не получается. Гараж от дома далеко. Ездить туда сюда, правила корректировать - накладно. А знаний должных нет, чтобы сразу все правильно сделать. Я так пока думал, сделать доступ в гараж только с определенных MAC адресов. Правильно? Но для начала, я даже туннель пробросить не смог.
    Спасибо.

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 12:43 26-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Germanus

    Цитата:
    Ездить туда сюда, правила корректировать - накладно

    Надо разрешить доступ WinBox'у из любой сети (включая Интернет) - и настраивать удалённо Можно ещё вспомнить Safe Mode, если рука может совсем дёрнуться.
     
    Настроить DDNS в IP -> Cloud.
     
    Что вы понимаете под "максимально безопасно"?
     
    Поднимите ipip-тоннель с IPSec между DNS-именами роутеров - вот у вас уже связь двух точек. Дальше фильтром файрвола обозначить, что кому можно, а что - нельзя.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:47 26-01-2018 | Исправлено: Chupaka, 13:47 26-01-2018
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Надо разрешить доступ WinBox'у из любой сети (включая Интернет) - и настраивать удалённо

    Сделал для теста на домашнем RB IP Service List -> winbox -> Available from 0.0.0.0/0.
    Так же дал доступ 0.0.0.0/0 для пользователя, под которым захожу в RB через winbox. Результат ниже.
     

    Цитата:
    Настроить DDNS в IP -> Cloud.

    Это дома? Сделал. Публичный адрес показывает правильно. Но зайти с винбокса по ххххх.sn.mynetname.net через мобильного оператора с ноута не могу. Видимо нужно что-то добавлять в файрволе?
     

    Цитата:
    Что вы понимаете под "максимально безопасно"?

    Ну, как бы стандарт: доступ только для моих компов из дому в гараж, особенно, если НАС будет там стоять.
     

    Цитата:
    Поднимите ipip-тоннель с IPSec между DNS-именами роутеров - вот у вас уже связь двух точек. Дальше фильтром файрвола обозначить, что кому можно, а что - нельзя.

    Темный лес...

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 15:15 26-01-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Germanus

    Цитата:
    Это дома?

    Это везде Для удобства.
     

    Цитата:
    Но зайти с винбокса по ххххх.sn.mynetname.net через мобильного оператора с ноута не могу. Видимо нужно что-то добавлять в файрволе?

    Видимо, да. Вам виднее, файрвол у вас перед глазами, не у нас. Можно что-то вроде
    /ip fi fi add chain=input protocol=tcp dst-port=8291 place-before=0
     

    Цитата:
    Ну, как бы стандарт: доступ только для моих компов из дому в гараж, особенно, если НАС будет там стоять.

    Тут "максимально" и не пахнет Тогда вам нужен просто тоннель.
     

    Цитата:
    Темный лес...

    Interfaces - Add - IP Tunnel - Local/Remote address - написать mynetname.net-имена обоих роутеров - тыкнуть мышкой в Keepalive.
     
    Тоннель должен подняться (буква R в списке интерфейсов, running в строке состояния в окне интерфейса). Дальше вам надо настроить маршрутизацию - например, добавить на ipip-интерфейс адреса 192.168.255.(1,2)/30, а потом в IP -> Routes добавить роуты через эти шлюзы к соответствующим локальным подсетям.
     
    Если же подсеть у вас везде одна, можно вместо IP-тоннеля поднимать EoIP-тоннель. Добавить по той же инструкции, потом просто добавить этот тоннель с обеих сторон в бридж с локалкой. Ну и убедиться, что адреса не пересекаются и DHCP-серверы мешать друг другу не будут

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:52 26-01-2018
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Добавил /ip fi fi add chain=input protocol=tcp dst-port=8291 place-before=0
    Закрыл винбокс случайно. Открываю и теперь не могу зайти на RB из winbox-а. Висит в состоянии Connecting to 192.168.1.1 и ничего не происходит...
     
    Добавлено:
    Теперь только сброс, я так понимаю?

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 16:39 26-01-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Именно так, сам себе дверь и закрыл а ключ внутри оставил.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 16:54 26-01-2018
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Но объясните, почему? Я же дал доступ винбоксу. До этого задал для своего логина доступ с любого адреса и для винбокса с любого адреса. Что не так?

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 17:06 26-01-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru