Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Drasha

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет!
    Подскажите, тоже имею проблему с маршрутами. четвёртый день пошёл, моих страданий. Дано:
    Микротик 2011UiAS-2HnD, прошивка FW3.30, RouterOS 6.34.4. LTE модем Мегафон, несколько компов. Интернет работает, всё здорово. Поступила команда - на google.com и mail.ru ходить анонимно. Взят hideme.ru, проделана инструкция http://www.decker.su/2015/10/vpn-mikrotik-pbr-setup.html (которая как раз подходит под мою задачу), а именно:
     

    Код:
    /ip firewall nat add action=masquerade chain=srcnat out-interface=hideme-vpn
    /ip route add dst-address=0.0.0.0/0 gateway="hideme-vpn" routing-mark=through_vpn
    /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=through_vpn new-routing-mark=through_vpn passthrough=no

    ну и длпроверки:

    Код:
    /ip firewall address-list add address=178.63.151.224 list=through_vpn

    делаю:

    Код:
    tracert 2ip.ru
     
    Трассировка маршрута к 2ip.ru [178.63.151.224]
    с максимальным числом прыжков 30:
     
      1    <1 мс    <1 мс    <1 мс  192.168.0.1
      2   108 ms    91 ms   128 ms  10.112.192.1
      3    71 ms    87 ms    72 ms  50.7.86.241
      4    89 ms   106 ms    82 ms  be4434.rcr21.b023657-1.fra03.atlas.cogentco.com [149.6.42.161]
      5    99 ms    78 ms    78 ms  be2589.ccr42.fra03.atlas.cogentco.com [154.54.56.113]
      6    94 ms    98 ms    89 ms  multi-use.cogentco.com [154.54.36.254]
      7   102 ms    98 ms    96 ms  be2270.rcr21.nue01.atlas.cogentco.com [154.54.37.217]
      8   102 ms    96 ms    95 ms  te0-0-1-1.nr11.b040138-0.nue01.atlas.cogentco.com [154.25.0.14]
      9   155 ms   106 ms    88 ms  149.6.158.6
     10   103 ms    88 ms    99 ms  core11.hetzner.de [213.239.203.137]
     11   107 ms   107 ms    86 ms  core21.hetzner.de [213.239.245.222]
     12   104 ms    95 ms   105 ms  juniper1.rz10.hetzner.de [213.239.245.42]
     13   102 ms    98 ms    93 ms  hos-tr2.ex3k1.rz10.hetzner.de [213.239.227.162]
     14   114 ms    98 ms    92 ms  node2.barznet.de [188.40.35.142]
     15    96 ms    85 ms    88 ms  2ip.ru [178.63.151.224]

    Вот оно, счастье! 10.112.192.1 - адрес тоннеля, 2ip.ru говорит, что я в германии. Ну, на радостях можно и скорость проверить. Добавляю в список адреса speedtest.net, захожу на сайт и... Вижу свой местный IP и название провайдера! Повторяю тот же фокус с гуглом, и в ЛК на гугле опять вижу, что я дома, а ни в какой не в германии! Перепроверил адреса, даже запихнул в правила целиком подсети гугла и спидтеста - не помогает. Логи говорят, что траффик натится в туннель. Отключаю местный нат (который на сеть мегафона), отключаю правила маркировки (что бы ВЕСЬ траффик шёл через VPN - всё отображается корректно. Но такой вариант не устраивает. Вот понять не могу, где я накосячил?

    Всего записей: 39 | Зарегистр. 26-10-2003 | Отправлено: 12:53 31-05-2016
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlary

    Цитата:
    Пингани с клиента какой-нибудь хост в сети, а потом посмотри на нем арп таблицу.  

    Очистил arp-таблицу на клиенте, сделал пинг в удаленную сеть. Вот что появилось в таблице:
    Код:
    Интерфейс: 192.168.1.218 --- 0x1f
      адрес в Интернете      Физический адрес      Тип
      192.168.1.1                                 статический
      224.0.0.22                                  статический

     
    Добавлено:
    Коллеги, вопрос решился. Добавил разрешающее правило:
    Код:
     1    ;;; l2tp allow
          chain=forward action=accept in-interface=all-ppp log=yes log-prefix=""
    Всем спасибо за помощь.

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 13:39 31-05-2016
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Drasha
    Цитата:
    Добавляю в список адреса speedtest.net, захожу на сайт и... Вижу свой местный IP и название провайдера!
    speedtest.net использует кучу серверов в разных сетях, на них правил не напасешься.
    Потому единственно правильное решение - поднял VPN со шлюзом в удаленной сети,
    отработал критический ресурс - отключился.
    А вариант "здесь играем, здесь не играем, здесь селедка была завернута" чреват.
    Accessor
    Собственно, подозревал. что дело в правилах фаервола. Тем не менее поздравляю.
     

    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 14:32 31-05-2016
    Drasha

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    С серверами google та же беда?

    Всего записей: 39 | Зарегистр. 26-10-2003 | Отправлено: 14:59 31-05-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Drasha
    speedtest явно адрес определяет не на основном домене (а, например, на каком-нибудь c.speedtest.net) - его добавлять тоже надо
     
    также не очень понятно, что имеется в виду под "подсетями гугла и спидтеста" и где они были взяты

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:38 31-05-2016
    RuS_UA



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый вечер.
    Тыкните носом как через Routing->PIM  IPTV от Укртелекома сделать.
    Через IGMP Proxy настроил работает.
     
    Но в целях образования хочу ещё и через PIM добиться результата.
    p.s. При настройке PIM прокси отключал

    Всего записей: 338 | Зарегистр. 04-01-2008 | Отправлено: 19:05 31-05-2016 | Исправлено: RuS_UA, 19:05 31-05-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    RuS_UA
    На сколько помню, пим нужен на промежуточных роутерах. А у вас уже клиентский
    linkmeup.ru/blog/129.html

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 20:20 31-05-2016
    nutsmc

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый день!
     
    Подскажите, что может быть?
     
    Имеется роутер Микротик РБ2011. На 5 портах отдельная подсеть с DHCP. Адреса сетей на портах 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24. Порт SFP соединен с сетью 192.168.0.0/24. Адреса интерфейсов микротика соответственно 192.168.х.253 ДХЦП клиентам подсетей раздает шлюзом 192.168.х.253
     
    Настраивалось с чистой конфигурации. Из настроек: присвоил адреса интерфейсам, поднаял на интерфейсах ДХЦП, маршрутизация динамическая, один статический маршрут 0.0.0.0 через интернет шлюз 192.168.0.1 Больше ничего не настраивал.
     
    Проблема:
    Нет доступа из одной подсети в другую. Адрес 192.168.10.10 не пингует адрес 192.168.20.5
    При этом интерфейсы микротика в 10-й и 20-й сети пингуются. Динамические маршруты на эти сети в микротике есть.
     
    При этом вообще непонятная вещь присутствует. Некоторые адреса пингуются. Например, в 10-й сети активны клиенты с 10-го по 20-й адрес. Дак вот, с 192.168.20.5 пингуется штуки 3, а остальные нет. С микротика пингуются все.
     
    Может кто сталкивался с подобным? Спасибо.

    Всего записей: 6 | Зарегистр. 10-02-2005 | Отправлено: 05:13 01-06-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    nutsmc
    Или чудеса, или где-то ошибка.
     
    Покажите фаервол
    /ip firewall export
    и
    активную таблице маршрутизации
    /ip route print  
     

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 08:12 01-06-2016 | Исправлено: Simply_Kot, 08:13 01-06-2016
    nutsmc

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
     
    [admin@MikroTik] > ip firewall export
    # jun/01/2016 11:35:33 by RouterOS 6.35
    # software id = QC7K-JM34
    #
    /ip firewall filter
    add chain=input
    add chain=forward in-interface=all-ethernet out-interface=all-ethernet
    /ip firewall mangle
    add chain=forward in-interface=all-ethernet out-interface=all-ethernet
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=sfp1_UpLink
     
     
    [admin@MikroTik] > ip route print
    Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,  
    B - blackhole, U - unreachable, P - prohibit  
     #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
     0 ADS  0.0.0.0/0                          192.168.0.1               0
     1 ADC  192.168.0.0/21     192.168.5.233   sfp1_UpLink               0
     2   S  192.168.0.0/21                     192.168.0.1               1
     3 ADC  192.168.10.0/24    192.168.10.253  eth1_Video                0
     4 ADC  192.168.20.0/24    192.168.20.253  eth2_LAN                  0
     5 ADC  192.168.30.0/24    192.168.30.253  eth3_WiFi                 0
     6 ADC  192.168.40.0/24    192.168.40.253  eth4_IPTV                 0
     7  DC  192.168.50.0/24    192.168.50.253  eth5_Locks              255
     8 ADC  192.168.60.0/24    192.168.60.1    eth6_PBX                  0
     9  DC  192.168.100.0/24   192.168.100.100 eth10_UpLink            255

    Всего записей: 6 | Зарегистр. 10-02-2005 | Отправлено: 08:37 01-06-2016 | Исправлено: nutsmc, 08:39 01-06-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    nutsmc
    А вот это вам зачем?
    /ip firewall mangle
    add chain=forward in-interface=all-ethernet out-interface=all-ethernet

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 10:14 01-06-2016
    nutsmc

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Так сказать для "уже все перепробовал и ничего не помогает" ....  
    Если убрать все цепочки, в том числе нат, то все равно не работает.
    Без нат и маскарад в 192.168.0.0 выхода нет.

    Всего записей: 6 | Зарегистр. 10-02-2005 | Отправлено: 10:17 01-06-2016 | Исправлено: nutsmc, 10:19 01-06-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    nutsmc
     
    Тогда именно вам ни к чему
    /ip firewall mangle
     
    Еще покажите
     /interface ethernet print

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 10:24 01-06-2016 | Исправлено: Simply_Kot, 10:25 01-06-2016
    RuS_UA



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout

    Цитата:
    На сколько помню, пим нужен на промежуточных роутерах. А у вас уже клиентский
    linkmeup.ru/blog/129.html

    Получается кроме IGMP прокси другого варианта нет?

    Всего записей: 338 | Зарегистр. 04-01-2008 | Отправлено: 22:48 01-06-2016
    nutsmc

    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Simply_Kot
     
    [admin@MikroTik] > interface ethernet print
    Flags: X - disabled, R - running, S - slave  
     #    NAME                     MTU MAC-ADDRESS       ARP        MASTER-PORT                 SWITCH                
     0 R  eth1_Video              1500 E4:8D:8C:34:21:96 enabled    none                        switch1                
     1 R  eth2_LAN                1500 E4:8D:8C:34:21:97 enabled    none                        switch1                
     2 R  eth3_WiFi               1500 E4:8D:8C:34:21:98 enabled    none                        switch1                
     3 R  eth4_IPTV               1500 E4:8D:8C:34:21:99 enabled    none                        switch1                
     4    eth5_Locks              1500 E4:8D:8C:34:21:9A enabled    none                        switch1                
     5 R  eth6_PBX                1500 E4:8D:8C:34:21:9B enabled    none                        switch2                
     6    eth10_UpLink            1500 E4:8D:8C:34:21:9F enabled    none                        switch2                
     7    ether7                  1500 E4:8D:8C:34:21:9C enabled    none                        switch2                
     8    ether8                  1500 E4:8D:8C:34:21:9D enabled    none                        switch2                
     9    ether9                  1500 E4:8D:8C:34:21:9E enabled    none                        switch2                
    10 R  sfp1_UpLink             1500 E4:8D:8C:34:21:95 enabled    none                        switch1

    Всего записей: 6 | Зарегистр. 10-02-2005 | Отправлено: 09:14 02-06-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    nutsmc
    Тоже без криминала...
    Если только неправильно адреса на интерфейсах настроены?
     
    Если можно полный /export

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 13:09 02-06-2016
    w00dpecker

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго.
     
    Как раскидать по таблицам маршрутизации соединения, которые устанавливает сам роутер?
     
    Есть офис с двумя провайдерами, адреса ISP1 и ISP2. И удалённый офис с одним провайдером ISP3
     
    В головном офисе в маршрутах без метки прописан шлюз ISP1 с метрикой 1, шлюз ISP2 с метрикой 2.
    Настроены правила в mangle чтоб вешал метки via_isp1 и via_isp2 на транзитный трафик и нормально так разбрасывает его через провайдеров.
    Также поднят IPSEC-GRE тунель ISP1-ISP3 до второго офиса.
     
    Надо: Поднять IPSEC-GRE тунель ISP2-ISP3 и настроить балансировку/фэйловер.
    Если я в маршрутах выставляю одинаковую метрику для шлюзов обоих провайдеров начинается форменный бардак.
    При текущих настройках GRE не поднимается, потому что пакеты ходят через шлюз ISP1
    Как сформулировать правило в мэнгл, чтоб "трафик с source-ip=ISP2" шёл через шлюз ISP2?
    Метки то-ли не вешаются, то-ли игнорируются, то-ли этот трафик вообще в prerouting не попадает...
    Для watctdog прописываются маршруты до пингуемых адресов... а тут адрес назначения у туннелей одинаковый.
    Как побороть?

    Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 15:02 02-06-2016
    RuS_UA



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет .
    Ещё вопросик как назвать сеть.
    В общем чтоб после идентификации в Windows вместо Сеть 6. Написало то что я хочу.

    Всего записей: 338 | Зарегистр. 04-01-2008 | Отправлено: 19:46 02-06-2016 | Исправлено: RuS_UA, 19:48 02-06-2016
    Accessor



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    RuS_UA
    Насколько я понимаю, что это можно сделать либо руками в реестре, либо должно быть доменное сетевое подключение. Микротик тебе этого не сделает.

    Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 14:32 03-06-2016
    One13

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    5. IP->Firewall маскарад SRC первой п/сети и DST второй подсети с знаком "!"

     
    Настроил следующим образом:
    На 1 WAN интернет  
    на остальных портах - отдельные подсети
    https://cloud.mail.ru/public/D3C1/U9xGYSjh3
    Для каждой сети свой dhcp сервер
    https://cloud.mail.ru/public/KHKo/de6b3hdXZ
    https://cloud.mail.ru/public/BiCp/SKJWx8Hw3
     
    Как теперь правильно прописать правила в фаерволе, что бы все сети ходили в интернет и не было доступа из одной сети в другую?
    Заранее спасибо.

    Всего записей: 42 | Зарегистр. 26-01-2009 | Отправлено: 14:24 05-06-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru