Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    CrazyCooler



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    apok не понятен момент "виртуальная атс"... это ростелеком облачная атс или просто чья то атс во внешней сети?
    Если так, то телефону тому продлите аренду, в идеале ставьте статику, а в микротике прописывайте правила как для астера.
    В идеале, делается так:
    1. в НАТ делается проброс с WAN порт 5060 NAT на IP (Asterisk) 5060  
    2. в Firewall Source address (провайдера) forward enable
    3.  такие же 2 правила для RTP только без указания sip провайдера (короче разрешить для всех)
    4. создать очереди для телефонов т.е для подсети с телефонами и астериском резервировать канал, иначе когда кто-то будет тащить торрент, телефоны будут булькать все.
     

    Всего записей: 43 | Зарегистр. 13-02-2006 | Отправлено: 10:35 14-06-2018 | Исправлено: CrazyCooler, 10:48 14-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Меньше доверяй словам бухгалтеров а проверяй сам. Деградация качества голоса и порты это совершенно разные вещи.

    спасибо
     
     
    Добавлено:

    Цитата:
    4. создать очереди для телефонов т.е для подсети с телефонами и астериском резервировать канал, иначе когда кто-то будет тащить торрент, тедефоны будут булькать все.  

    это возможно. понял. я ща погуглю.
     
    Добавлено:

    Цитата:
    не понятен момент "виртуальная атс"... это ростелеком облачная атс или просто чья то атс во внешней сети?  

    это голд телеком Виртуальная мини-АТС

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 10:42 14-06-2018
    SibD



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    apok
    Выше правильно сказали - деградация SIP чаще всего возникает из-за загруженности канала и неправильной/отсутствующей организацией очередей и приоритетов.
    Выделите для телефонов полосу пропускания из вашего канала и в дереве очередей создайте default (или default-small) очередь для них. SIP протокол очень не любит задержки, т.ч. его нужно пропускать как есть и как можно быстрее. Задержки будут отбрасываться в любом случае и приводить к бульканьям, пропаданиям и пр. эффектам.

    ----------
    Если человек пошёл налево, то надо его поправить.
    Мтсео вчестри желиетй Тиратаи

    Всего записей: 3679 | Зарегистр. 01-06-2002 | Отправлено: 11:42 14-06-2018 | Исправлено: SibD, 14:53 14-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Выше правильно сказали - деградация SIP чаще всего возникает из-за загруженности канала и неправильной/отсутствию организации очередей и приоритетов.  
    Выделите для телефонов полосу пропускания из вашего канала и в дереве очередей создайте default (или default-small) очередь для них. SIP протокол очень не любит задержки, т.ч. его нужно пропускать как есть и как можно быстрее. Задержки будут отбрасываться в любом случае и приводить к бульканьям, пропаданиям и пр. эффектам.
     

    благодарю всех за подробные ответы!

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 12:03 14-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Cегодня в одной из клиник 44.0/24 перестала открываться почта керио по 80 порту, по 443 открывается. При чем ни каких изменений не было. Везде открывается, а из этой подсети нет.
     
    Трассировка маршрута к mail.XXXXXXX.info [192.168.41.210]
    с максимальным числом прыжков 30:
     
    1 <1 мс <1 мс <1 мс router.lan [192.168.44.1]
    2 3 ms 3 ms 3 ms 10.0.100.200
    3 5 ms 6 ms 5 ms 10.0.100.11
    4 13 ms 13 ms 11 ms 172.26.79.1
    5 13 ms 14 ms 14 ms mail.XXXXXXX.info [192.168.41.210]
     
    почта керио находится за Kerio control, изменений так же там не было.
     
    Как можно продиагностировать?  
     
    схема сети
     
    https://ibb.co/i0LN9d
     
    firewall на микротике 44.0/24, на других микротиках все грузится, конфигурация 1 в 1  
     

    Код:
     
    /ip firewall filter
    add action=accept chain=forward connection-state=established,related dst-port=3050 protocol=tcp
    add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC L2TP" dst-port=1701 protocol=udp
    add action=drop chain=input comment=Port_scanner_drop src-address-list="port scanners"
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp psd=21,3s,3,1
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp tcp-flags=fin,syn
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp tcp-flags=syn,rst
    add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input in-interface=ether1 \
        protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
    add action=drop chain=input comment=Bogon_Wan_Drop in-interface=ether1 src-address-list=BOGON
    add action=drop chain=input comment=Drop_winbox_black_list dst-port=5323,5324 in-interface=ether1 protocol=tcp \
        src-address-list=black_list
    add action=add-src-to-address-list address-list=black_list address-list-timeout=5m chain=input comment=Winbox_add_black_list \
        connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=Winbox_Ssh_stage3
    add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 address-list-timeout=1m chain=input comment=\
        Winbox_Ssh_stage3 connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=\
        Winbox_Ssh_stage2
    add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 address-list-timeout=1m chain=input comment=\
        Winbox_Ssh_stage2 connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp src-address-list=\
        Winbox_Ssh_stage1
    add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 address-list-timeout=1m chain=input comment=\
        Winbox_Ssh_stage1 connection-state=new dst-port=5323,5324 in-interface=ether1 protocol=tcp
    add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=5323,5324 in-interface=ether1 protocol=tcp
    add action=accept chain=input comment=Established_Wan_Accept connection-state=established
    add action=accept chain=input comment=Related_Wan_Accept connection-state=related
    add action=drop chain=input dst-port=123 in-interface=ether1 protocol=udp
    add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp
     


    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 18:04 14-06-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Имеется RB2011 c RouterOS 6.42.1
    Провайдер подключен через SFP.
    Внутри нетегированный VLAN 1 и пара тегированных на ether2 с подключенным к нему коммутатором L2. ether 3 на всякий случай
    Настроил с нуля всё, что необходимо для внутренних дел, но заткнулся на внешке
    1. Не могу настроить NAT отдельно для каждой подсети. Нашел только один для всех, что не удобно, ибо
    2. Надо каждую внутреннюю подсеть шейпить. Main (обе) - 5M, а Free Wi-Fi - 128K с Burst - 5M в течение 10 сек. Думаю, нужно 3 правила для NAT?
     
    Накомпилировал из источников, более чем разнообразных следующий код

    Цитата:
    /interface bridge
    add name=bridge1
    /
    /interface bridge port
    add bridge=bridge1 interface=ether2
    add bridge=bridge1 interface=ether3
    /
    /interface vlan
    add comment="Main Wi-Fi" interface=ether2 name="VLAN 201 - Main Wi-Fi" vlan-id=201
    add comment="Free Wi-Fi" interface=ether2 name="VLAN 202 - Free Wi-Fi" vlan-id=202
    /
    /interface bridge vlan
    add bridge=bridge1 tagged=ether2 vlan-ids=201
    add bridge=bridge1 tagged=ether2 vlan-ids=202
    /
    /ip address
    add address=192.168.1.11/24 comment="Main Gateway" interface=sfp1
    add address=192.168.32.1/22 comment="Main Network Gateway" interface=bridge1
    add address=10.210.0.1/22 comment="Main Wi-Fi Gateway" interface="VLAN 201 - Main Wi-Fi"
    add address=10.210.128.1/18 comment="Free Wi-Fi Gateway" interface="VLAN 202 - Free Wi-Fi"
    /
    /ip pool
    add name=Main_Network ranges=192.168.33.1-192.168.35.254
    add name=Main_Wi-Fi ranges=10.210.1.1-10.210.3.254
    add name=Free_Wi-Fi ranges=10.210.129.1-10.210.131.254
    /
    /ip dhcp-server network
    add address=192.168.32.0/22 comment="Main Network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.32.1
    add address=10.210.0.0/22 comment="Main Wi-Fi" dns-server=8.8.8.8,8.8.4.4 gateway=10.210.0.1
    add address=10.210.128.0/18 comment="Free Wi-Fi" dns-server=8.8.8.8,8.8.4.4 gateway=10.210.128.1
    /
    /ip dhcp-server
    add address-pool=Main_Network disabled=no interface=bridge1 name=Main_Network
    add address-pool=Main_Wi-Fi disabled=no interface="VLAN 201 - Main Wi-Fi" name=Main_Wi-Fi
    add address-pool=Free_Wi-Fi disabled=no interface="VLAN 202 - Free Wi-Fi" name=Free_Wi-Fi
    /
    /ip route
    add dst-address=0.0.0.0/0 gateway=192.168.1.1 comment="Open-WRT Gateway"
    /
    /ip firewall nat
    add chain=srcnat action=masquerade out-interface=sfp1
    /
    Если возможно, поправьте, чтобы были три правила, выпускающие подсети в инет, для каждой своё, и был бы шейпинг скорости
    Гуёвые инструкции больно уж уёвые, так любой может
     
    Добавлено:
    Чуть более другая задача есть, просто не знаю, решаема ли она в принципе.
    Внутри, понятно, точки доступа. На них нетегированный трафик для управления и тегами делаются две Wi-Fi сети. Надеюсь, что понятно. Это Ubiquiti, они умеют.
    Вот. Но одна точка - в удалении. Подключена в тот же девай, который присылает MikroTik'у интернет - в Open-WRT с двумя (всего) портами. Девайс виланы понимает.
     
    Вопрос. Возможно ли как-то отослать внутренний трафик через интерфейс SFP, но без NAT'а? То есть, чтобы та точка доступа так же управлялась, как и внутренние и была бы в тех же сетях.
    Приходит в голову, сделать не два, а три вилана. Отдавать оконечными устройствами где надо тегированный и нетегированный трафик, а на ether2 оставить только транк. На Open-WRT же смотреть тремя тегированными виланами и одним нативным, а там уж разруливать. То же делать внутренним L2 свитчом, но здеь натив тогда и не нужен в принципе, один чистый транк.
    Но как-то всё запутано, и для начала хотелось бы понять.  
    Именно: Можно ли принципе так сделать???
    Через внешний интерфейс, получающий интернет трафик не тегированным, через него же, тегами отдать внутреннюю сеть, три внутренних вилана.
    Open-WRTон наш, но вопрос изменения VLAN'а, присылающего интернет не рассматривается. Он должен быть без тега.

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 18:53 14-06-2018 | Исправлено: Paromshick, 18:54 14-06-2018
    andreik99

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    подскажите, после пропадания питания 220V при включении Routera RB-2011 - RouterOS 6.42.1, при подключении WinBox'ом в терминальной сессии появились вот такие записи:
     

    Цитата:
    jun/01/2018 15:54:24 dhcp,critical,error dhcp-client on ether1 lost IP address <мой внешний IP адрес> - lease expired
    jun/11/2018 00:26:30 dhcp,critical,error dhcp-client on ether1 lost IP address <мой внешний IP адрес> - lease expired
    jun/11/2018 06:38:49 system,error,critical router was rebooted without proper shut down
    jun/12/2018 17:36:46 system,error,critical router was rebooted without proper shut down
    jun/13/2018 18:33:43 system,error,critical router was rebooted without proper shut down  

     
    Это штатная ситуация или есть проблемы в работе маршрутизатора, настройках ?

    Всего записей: 1485 | Зарегистр. 19-06-2008 | Отправлено: 20:00 14-06-2018 | Исправлено: andreik99, 20:01 14-06-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Естественно штатно, все роутеры пишут в лог о пропадании питания.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 05:16 15-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день,  
     
    подскажите правило, на сервере поднята почта kerio connect, обращаюсь к ней по имени dns, везде работает, но изнутри сети не открывается, по IP работает.

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 10:41 15-06-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ну так пропиши внутри сети на днсе сопоставление имени и ip адреса. Причем тут микротик вообще?

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:50 15-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Ну так пропиши внутри сети на днсе сопоставление имени и ip адреса. Причем тут микротик вообще?

    так и хотел сделать, до этого стоял керио контрол, без проблем все открывалось.

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 10:55 15-06-2018 | Исправлено: apok, 11:01 15-06-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick
    NAT к шейпингу имеет чуть менее, чем никакое отношение. Если у вас один адрес на WAN - одного правила Masquerade вам выше крыши.
     
    Дальше создайте Queue Types PCQ с нужными параметрами - и две Simple Queue для непосредственной нарезки трафика этими типами
     

    Цитата:
    Возможно ли как-то отослать внутренний трафик через интерфейс SFP, но без NAT'а?

    Создать первым правило NAT с action=accept для нужного трафика - и последующие правила на него действовать не будут.
     
    Но что-то у вас смешалось отсутствие NAT'а с отсутствием тега. Просто навешивайте на ether1 нужный VLAN-интерфейс, создавайте бридж и добавляйте в него этот VLAN и тот, с которым он должен быть в одной L2-подсети. Ну и все адреса-правила перевесить с первоначального VLAN на этот бридж.
     
    apok
    Вот почему: https://wiki.mikrotik.com/wiki/Hairpin_NAT
    Да, проще и правильнее всего в DNS прописать внутренний IP

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:01 15-06-2018
    apok



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    apok  
    Вот почему: https://wiki.mikrotik.com/wiki/Hairpin_NAT  
    Да, проще и правильнее всего в DNS прописать внутренний IP

    спасибо!

    Всего записей: 201 | Зарегистр. 06-12-2007 | Отправлено: 11:09 15-06-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    Не могу настроить NAT отдельно для каждой подсети.


    Цитата:
    чтобы были три правила, выпускающие подсети в инет

    Что мешает создать три правила для каждой подсети.
    В каждом правиле указать свою подсеть.

    Код:
     
    /ip firewall nat
    add chain=srcnat action=masquerade out-interface=sfp1 src-address=192.168.32.0/22
    add chain=srcnat action=masquerade out-interface=sfp1 src-address=10.210.0.0/22
    add chain=srcnat action=masquerade out-interface=sfp1 src-address=10.210.128.0/22
     

    Но это если наблюдать трафик каждой подсети, можно одно правило с адрес листом в котором указать все внутренние подсети.

    Цитата:
    Надо каждую внутреннюю подсеть шейпить

    Nat к ограничению скорости трафика не имеет ни какого отношения, в мангле метить пакеты и в /queue tree ограничивать скорость
     

    Цитата:
    Но одна точка - в удалении. Подключена в тот же девайс, который присылает MikroTik'у интернет

    На этом девайсе соответственно нужно всё сделать что бы трафик точки проходил на микротик.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 16:00 15-06-2018 | Исправлено: alexnov66, 16:29 15-06-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    В каждом правиле указать свою подсеть.

    Как правило, это совет на проблему из серии "как разрешить доступ в Интернет только для заданной подсети". И это вредный совет. Потому что Интернет, может, и не будет работать у других, но флудить они будут в сторону провайдера. Поэтому в таких ситуациях маскарадить надо всё одним правилом. Для ограничений и прочих маркировок - Filter и Mangle, но никак не NAT.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:42 15-06-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    что Интернет, может, и не будет работать у других

    Почему не будет, будет, будет видно трафик каждой подсети.

    Цитата:
    но флудить они будут в сторону провайдера

    Что бы не флудило должны быть правила в внешку только на разрешенный трафик не только у пользователей провайдера но и на оборудовании самого провайдера, в противном случае администраторов сети провайдера надо гнать поганой метлой.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 17:51 15-06-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Почему не будет, будет

    Я про то, что если указать src-address=192.168.1.0/24, то у 192.168.2.* доступа в Интернет не будет, но их трафик всё равно будет вылетать в сторону провайдера. А некоторые провайдеры любят за такое порт немного блокировать. Вот и жалуются потом, что плохой провайдер, а по факту - криворукий настройщик роутера.
     

    Цитата:
    будет видно трафик каждой подсети.

    Правила NAT ловят только первые пакеты соединений, поэтому трафика не будет видно. 52 байта на одно tcp-соединение - исключительно полезная информация о трафике. А актуальную, как я уже говорил, можно получить правилами Filter или Mangle.
     

    Цитата:
    должны быть правила в внешку только на разрешенный трафик не только у пользователей провайдера

    Так зачем усложнять правила NAT, если это усложнение не привносит ничего полезного, а только может помочь ошибиться в дальнейшем?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:03 15-06-2018
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    Но что-то у вас смешалось  

    Верно подмечено
    По первому вопросу: просто хотелось чтобы так же элегантно, без "тырканья мышью", нарисовалось бы три правила NAT, как три строчки в консоли. Ничего сверхъестественного. Ибо я в сабже - чуть выше шляпки гвоздя, забитого в плинтус. То есть, не могу написать эти строчки. Такое бывает. Собственно, поэтому и спросил, типа, дяди, нарисуйте мне NAT, чтоб для каждой подсети отдельно, и очереди к ним. Такие же отдельные. В GUI - нет вопросов, но не интересно, и мне казалось, что жмут сроки.
    По второму вопросу. Задача действительно не тривиальная. Надо, чтобы (не пинать) свич, тупо свитч L2, жил своими интерфейсами и на внутренней и на внешней стороне роутера. Внешней считается SFP, который принимает от модема нетегированный трафик. Грубо говоря, это VLAN1. Поэтому нет возможности использовать VLAN1 еще как-то, так как он - уже "снаружи". Придумался 101-й, не суть. И чтоб SFP же принимал трафик провайдера и натил внутренние сети. Уже путанно, тогда схема
    Просто не пойму, реально это в принципе? С моей квалификацией... Видимо, создаются VLAN'ы на свиче, а не сабинтерфейсы… Вот и все мысли
     
    Добавлено:
    Изменил хостинг картинок, вроде теперь всё видно.
     
    Добавлено:
    alexnov66
    Спасибо за код NAT'а. Про очереди я пояснил, просто вопрос как-то "слипся".
     
    Добавлено:

    Цитата:
    в мангле метить пакеты и в /queue tree ограничивать скорость  

    Вот здесь http://demo.mt.lv/webfig/#Queues.Simple_Queues.new Target Download это разве не искомое "ограничение скорости"? Надо ограничивать не всю подсеть за NAT'ом, а каждого клиента индивидуально. Чтоб не мог телевизор смотреть. Но чтоб серфинг шел комфортно, нужен Burst.
    Куда хоть посмотреть. Вики как-то мутновато, много уделено Trashold, что не вносит ясности)

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:55 15-06-2018 | Исправлено: Paromshick, 21:01 15-06-2018
    Skylear

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    всем привет.  
    Имеем: сеть 192.168.0.0/24 с микротиком (6,39) 192.168.0.1, WAN - ppoe  
    в локалке есть сервер 192.168.0.100 называется SERVER  
    микротик является PPTP-сервером 192.168.18.1/24  
     
    другая сеть 192.168.1.0/24, в ней комп 192.168.1.50, который подключается по PPTP к микротику  
     
    задача: корректная работа ТОЛЬКО интернета на компе, сеть за микротиком не нужна.  
     
    не работает: комп подключается к микротику по PPTP, весь инет идет через микротик, сетка у компа своя, все норм, НО если с компа подключится по RDP (по глобалу типа 85.234.xxx.xxx:xxxx) к серверу2 (совершенно в другой сети, но тоже имеет имя SERVER), то микротик заворачивает запрос на сервер в своей сети - SERVER. если имя сервера не совпадает - то все норм. ТАКЖЕ - если комп цепляется к этому серверу2 через глобал по своему инету, а потом подключается по PPTP - то соединение рвется и ругается на ошибку сертификата.  
    собственно микротик опять таки заворачивает запрос на свой сервер.  
    Если на микротике добавить правило роутинга, чтобы подсетка 18.0/24 и 0.0/24 не видели друг-друга (хотя и так не видят), то при подключенном к микротику соединения комп НЕ лезет на сервер2 вообще.... подскажите, может проблема в сертификатах серваков или может какое правило подписать микротику (маскарадинг 18.0/24 включен)

    Всего записей: 17 | Зарегистр. 19-06-2013 | Отправлено: 21:31 15-06-2018
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Skylear
    Как по вашему микротик должен определить какой из серверов с одинаковым именем вам нужен ?
    Одинаковых ip адресов не может быть в сети так же и имён.

    Всего записей: 1171 | Зарегистр. 29-08-2005 | Отправлено: 18:14 16-06-2018 | Исправлено: alexnov66, 18:18 16-06-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru