Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    contrafack

    Цитата:
    вы думайте проблема в фаере?

    Теоритически предположил, а вы проверяйте, оборудование у вас же под рукой.
    Возможно в фаере микротиков.
    Возможно даже в фаере самого компьютера к которому проверяется.
    Что мешает поставить компьютер с адресом 192.168.0.3 в офисе и проверить туннэль и работоспособность без checkpoint

    Всего записей: 1170 | Зарегистр. 29-08-2005 | Отправлено: 13:08 20-05-2018 | Исправлено: alexnov66, 13:16 20-05-2018
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     

    Цитата:
     Что мешает поставить компьютер с адресом 192.168.0.3 в офисе и проверить туннэль и работоспособность без checkpoint

    А смысл ?  
    Вон на 192.168.0.2 пингуется же из филиала. это IP адрес WAN интерфейса фаера.  
    тут дело именно в подсети 192.168.1.0/24
    Мне кажется микротик не перенаправляет пакеты касаемо 192.168.1.0/24.  
    Нет ли никаких диагностических средств, чтоб выяснить в чем конкретно проблема? методом тыка не могу, потому что по сети/интернету работают люди. Это я образно рисовал по одной точки с каждой стороны. На самом деле их гораздо больше.  

    Всего записей: 3288 | Зарегистр. 21-04-2008 | Отправлено: 14:38 20-05-2018
    kisss



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Видимо у вас :
     
    /routing igmp-proxy interface
    add alternative-subnets=224.0.0.0/4 interface=ether1 threshold=1 upstream=yes
     
     
    А это неправильно. Подгруппы вещания определяются по вкладке «MFC».
     
    Как вариант влепите там 0.0.0.0/0, а остальное удалите.  

    У меня стоит 0.0.0.0/0
    Вообще почему такая ошибка вылазит ?

    Всего записей: 21 | Зарегистр. 16-12-2015 | Отправлено: 15:45 20-05-2018
    goletsa



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     
    пинги НЕ ИДУТ:  
    192.168.4.20 > 192.168.1.10 (обязательно нужно, для RDP соединения)  
    192.168.1.10 > 192.168.4.20  

    Проблема может быть банально в фраерволах компов, дефолтовая политика винды не пускает соединения не из своей сети.
    Ну и пинг для рдп не нужен, он по тцп работает.

    Всего записей: 5801 | Зарегистр. 21-06-2005 | Отправлено: 01:58 22-05-2018 | Исправлено: goletsa, 01:58 22-05-2018
    contrafack

    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    goletsa
     
    Спасибо. С этим чуть чуть разобрался.  
    На компе филиала отключил встроенный файрволл - пиги начали идти.  
    тоже самое сделал с офисным компом, но пинги не идут, в том числе и RDP.  
    Кстати, уже из офиса пингуется локальный интерфейс файрволла: 192.168.1.1
    а вот дальше.. не идет почему то.

    Всего записей: 3288 | Зарегистр. 21-04-2008 | Отправлено: 08:14 22-05-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    kisss

    Цитата:
    Вообще почему такая ошибка вылазит ?

     
     
    Вы так и не догадались выложить ваш конфиг. Верите в экстрасенсов?  
    Нe хорошо, погуглил за вас.  
     
     

    Код:
    /ip firewall filter
    add action=accept chain=input comment="Enable IPTV" disabled=no protocol=igmp
    add action=accept chain=forward disabled=no dst-port=1234 protocol=udp
    add action=accept chain=forward disabled=no protocol=igmp
     

     
    А затем зайдите в меню [IP] — [Firewall] и поднимите мышкой последние три правила.
     
       
     

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 11:26 22-05-2018 | Исправлено: leshiy_odessa, 11:26 22-05-2018
    iojeg13

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую! Второй день тыркаюсь пытаясь понять что не так. Ситуация такая:
    Появился 2й провайдер, решил сделать предыдущего резервным и пустить через него трафик с одного компа сразу же.
    Настроил на порте дхцп клиент - все хорошо.
    В фаерволе добавил правила чтобы виделся роутер извне - по обоим айпишникам видна вебморда, пингуется. Добавил dst-nat до сервачка внутри, все открывается, качается и т.п.
    route ричибл, светится синим, на первом канале дистанс 2, на этом 4.
    А теперь проблема:
    В мою сеть доступ есть, из моей - нет никуда.
    С резервного интерфейса на самом микротике не идет пинг никуда кроме шлюза провайдера, до 8.8.8.8(и прочих интернетов) не достучаться. Имена резолвит. По трейсроуту с моего белого ip на интерфейсе приходит ответ timeout или no route to host. Torch на интерфейсе видит только входящие соединения извне+пинг до шлюза, пинг до 8.8.8.8 не показывается. Естественно, завернутый трафик с компа никуда не идет.
     
     
    з.ы основной канал/интерфейс работает отлично. RB951G-2HnD.

    Всего записей: 4 | Зарегистр. 15-04-2014 | Отправлено: 13:51 22-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    iojeg13
    Доброго. Конфиги ваши нам самим надо сочинять, или всё же покажете, добавили ли вы правило src-nat для нового провайдера?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:56 22-05-2018
    380971111111

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребята, приветствую.
     
    Подскажите плз.:
    столкнулся с проблемой: на объекте на микротике настроил хотспот сервер на бридже, созданном для этого.
    Трафик приходит по влану в влане (q-in-q) на порт. Порт входит в бридж. На этом бридже висит Влан и входит в бридж. на бридже хотспот сервер. (может здесь проблема)
    Если отключить хс сервер на бридже. то все норм. Если обратно включить, то не срабатывают правила как минумум в /ip firewall filter, те где есть extra hotspot=from client
     
    Локально поднял две виртуалки с микротиком и ХРшкой, через OVPN подключился к микротику, сделал, чтобы впн бриджевался в бридж сххс сервером и все норм.
     
    Есть какие идеи?

    Всего записей: 189 | Зарегистр. 09-08-2012 | Отправлено: 15:14 22-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    380971111111

    Цитата:
    те где есть extra hotspot=from client

    А клиент перед этим нормально авторизуется на Хотспоте?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:25 22-05-2018
    iojeg13

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    [/q]
    [q]Доброго. Конфиги ваши нам самим надо сочинять, или всё же покажете, добавили ли вы правило src-nat для нового провайдера?

     
    chain=srcnat action=masquerade out-interface=ether5-gateway2 log=no log-prefix=""  
     
    это имеется ввиду(все через винбокс делаю)? Для первого провайдера также выглядит.

    Всего записей: 4 | Зарегистр. 15-04-2014 | Отправлено: 17:39 22-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    iojeg13
    Видимо, оно
     

    Цитата:
    По трейсроуту с моего белого ip на интерфейсе приходит ответ timeout или no route to host. Torch на интерфейсе видит только входящие соединения извне+пинг до шлюза, пинг до 8.8.8.8 не показывается

    Такое чувство, что у вас весь трафик уходит через первого провайдера, и тот не пускает чужие адреса через свою сеть. /ip route print detail и прочие /firewall mangle export помогут прояснить ситуацию.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:54 22-05-2018
    iojeg13

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Такое чувство, что у вас весь трафик уходит через первого провайдера, и тот не пускает чужие адреса через свою сеть. /ip route print detail и прочие /firewall mangle export помогут прояснить ситуацию.

     
    Пришел домой, выдернул кабель первого провайдера, трафик нормально пошел через 2го как надо. Как возвращаю кабель на место, у второго все та же болезнь.
     
    ip route print detail

    Код:
     
     0 X S  ;;; VPN_ewelink
            dst-address=0.0.0.0/0 gateway=de233.vpnbook.com gateway-status=de233.vpnbook.com inactive distance=1 scope=30  
            target-scope=10 routing-mark=VPN_ewelink  
     
     1 A S  dst-address=0.0.0.0/0 gateway=ether5-gateway2 gateway-status=ether5-gateway2 reachable distance=1 scope=30  
            target-scope=10 routing-mark=to_beeline  
     
     2 ADS  dst-address=0.0.0.0/0 gateway=37.204.32.1 gateway-status=37.204.32.1 reachable via  ether1-gateway distance=2  
            scope=30 target-scope=10 vrf-interface=ether1-gateway  
     
     3   S  dst-address=0.0.0.0/0 gateway=ether1-gateway gateway-status=ether1-gateway reachable check-gateway=ping distance=2  
            scope=30 target-scope=10  
     
     4  DS  dst-address=0.0.0.0/0 gateway=95.27.136.1 gateway-status=95.27.136.1 reachable via  ether5-gateway2 distance=4  
            scope=30 target-scope=10 vrf-interface=ether5-gateway2  
     
     5   S  dst-address=0.0.0.0/0 gateway=ether5-gateway2 gateway-status=ether5-gateway2 reachable check-gateway=ping distance=4  
            scope=30 target-scope=10  
     
     6 ADC  dst-address=37.204.32.0/20 pref-src=37.204.47.239 gateway=ether1-gateway gateway-status=ether1-gateway reachable  
            distance=0 scope=10  
     
     7 ADC  dst-address=95.27.136.0/21 pref-src=95.27.139.113 gateway=ether5-gateway2 gateway-status=ether5-gateway2 reachable  
            distance=0 scope=10  
     
     8 ADC  dst-address=192.168.88.0/24 pref-src=192.168.88.1 gateway=bridge-local gateway-status=bridge-local reachable  
            distance=0 scope=10  
     

    Кстати, немного не понятно, должны ли дистансы у статических роутов и динамических отличаться, и если должны то как их ставить для failover.
     
    ip firewall mangle export

    Код:
     
    add action=change-mss chain=forward in-interface=ether1-gateway new-mss=1416 passthrough=yes protocol=tcp tcp-flags=syn \
        tcp-mss=1417-65535
    add action=change-mss chain=forward new-mss=1416 out-interface=ether1-gateway passthrough=yes protocol=tcp tcp-flags=syn \
        tcp-mss=1417-65535
    add action=change-mss chain=forward in-interface=ether5-gateway2 new-mss=1416 passthrough=yes protocol=tcp tcp-flags=syn \
        tcp-mss=1417-65535
    add action=change-mss chain=forward new-mss=1416 out-interface=ether5-gateway2 passthrough=yes protocol=tcp tcp-flags=syn \
        tcp-mss=1417-65535
    add action=mark-routing chain=prerouting new-routing-mark=to_beeline passthrough=no src-address=192.168.88.180
     
     

    180-виртуалка с которой связь тестю, правила для to_beeline отключал.
    Есть подозрение, что надо выставить что-то или в роуте, или в дхцп клиенте(что-то не дефолтное)

    Всего записей: 4 | Зарегистр. 15-04-2014 | Отправлено: 19:29 22-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    iojeg13

    Цитата:
    dst-address=0.0.0.0/0 gateway=ether5-gateway2

    Вот и ошибка. gateway у вас должен быть IP-адресом шлюза, а не названием ethernet-интерфейса.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:05 23-05-2018
    iojeg13

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Вот и ошибка. gateway у вас должен быть IP-адресом шлюза, а не названием ethernet-интерфейса.

     
    Имелось в виду правило под номером 1?
     
    Да, указал айпишник шлюза(3 и 5 так же, перечитал про резервирование), с тестового компьютера всё заработало, а пинга с интерфейса на микротике все равно нет, но это уже мелочи. Почему-то думал что надо по аналогии с впн указать имя интерфейса, а не айпишник шлюза.
     
    Спасибо!

    Всего записей: 4 | Зарегистр. 15-04-2014 | Отправлено: 14:05 23-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    iojeg13

    Цитата:
    Имелось в виду правило под номером 1?

    Все правила с таким шлюзом имелись в виду. Он нигде не правильный
     

    Цитата:
    пинга с интерфейса на микротике все равно нет, но это уже мелочи

    Либо в Mangle output надо маркировать роутинг соответствующим образом, либо в пинге указывать Routing Table to_beeline. Иначе оно уходит по умолчанию в таблице main через первого провайдера.
     

    Цитата:
    думал что надо по аналогии с впн указать имя интерфейса, а не айпишник шлюза

    Оно работает так, как вы думаете, только для интерфейсов точка-точка (типа VPN). Для широковещательных сетей (типа ethernet) - оно работает по-другому, и чаще всего не так, как ожидают

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:01 23-05-2018
    konungster



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ребят, сколько может клиентов wifi держать HapLite? при более 30 подключенных к нему телефонов, он или перезагружается или телефоны перестают к нему подключаться (но wifi в это время светит). Думал, может, брак, но у меня несколько hap Lite, подключал другие - без разницы.
     
    Вот конфиг:
    Подробнее...

    Всего записей: 959 | Зарегистр. 31-10-2005 | Отправлено: 17:07 23-05-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    konungster

    Цитата:
    он или перезагружается или телефоны перестают к нему подключаться

    А что говорит Log в такие моменты? Память/процессор как используются?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:20 23-05-2018
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    konungster

    Цитата:
    при более 30 подключенных к нему телефонов, он или перезагружается или телефоны перестают к нему подключаться

     
    Это нормальное поведение для SOHO роутеров. На ubiquiti тоже самое.  
    Ничего вы тут не сделаете. Только покупка точки для ентерпрайз по совсем другой цене.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 17:59 23-05-2018 | Исправлено: leshiy_odessa, 17:59 23-05-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    konungster
    А почему указан такой маленький кеш dns

    Всего записей: 1170 | Зарегистр. 29-08-2005 | Отправлено: 17:59 23-05-2018 | Исправлено: alexnov66, 18:03 23-05-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru