Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    И снова здравствуйте.
    Роутер 951G-2HnD
    Необходимо настроить резервную линию через 3G-модем. Отсюда ряд вопросов
    1. Совместимые модели модемов смотреть в оф. вики ? https://wiki.mikrotik.com/wiki/Manual:Peripherals  Подойдёт любой модем USB 3G/LTE из этого списка?
    2. Как быть с удалёнными клиентами? Отваливается у нас интернет основного провайдера (статичный IP), подключается интернет с USB-модема, но внешний IP уже будет какой-то другой и удалённые клиенты не смогут подключиться, пока адрес не сменят.
    Да и мне по удалёнке на роутер как заходить, если IP ytbpdtcnty

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 09:20 20-06-2018
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    2. Как быть с удалёнными клиентами? Отваливается у нас интернет основного провайдера (статичный IP), подключается интернет с USB-модема, но внешний IP уже будет какой-то другой и удалённые клиенты не смогут подключиться, пока адрес не сменят.
    Да и мне по удалёнке на роутер как заходить, если IP ytbpdtcnty
     

    Есть два пути решения:
    1) статичный адрес у ОпСоСа
    2) http://itfound.ru/20-server-na-dinamicheskom-ip.html

    Всего записей: 288 | Зарегистр. 12-07-2008 | Отправлено: 09:34 20-06-2018 | Исправлено: HERSOFT, 09:35 20-06-2018
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HERSOFT
    Точно! Есть же IP -> Cloud.
     
    Тогда остаётся первый вопрос

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 10:33 20-06-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У всех опсосов мобильных ip давным давно за натом. Так что в роутер вы все равно извне не попадете по 3-4G связи, даже с помощью ip-Cloud.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:39 20-06-2018
    vcrank

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fatal500
    Вот это поворот. Тогда решением будет являться подключение второго проводного провайдера ?

    Всего записей: 1067 | Зарегистр. 24-10-2005 | Отправлено: 10:52 20-06-2018
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Естественно, при условии прямого ip у этого провайдера. Ныне многие проводные грешат натом, адресов не хватает.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:54 20-06-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vcrank
    Либо VPS со статикой, к нему - VPN от обоих клиентов

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:34 20-06-2018
    len321

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Тело rb951ui
    Провайдер дает нам 2 белых ай пи, шнурок из вне приходит один.
    Хочу вай фай переключить на 2 ай пи.
    Подскажите  через, что реализуется?

    Всего записей: 31 | Зарегистр. 11-11-2015 | Отправлено: 11:07 25-06-2018
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    len321
    Зависит от того, как он их даёт: DHCP/PPPoE/etc. Телепатов нет.
     
    Добавлено:
    len321
    Если они уже оба настроены на роутере - тогда надо добавить в начало списка правило IP Firewall NAT, указав там chain=srcnat src-address=вай_фай action=srcnat to-addresses=2_ай_пи

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:30 25-06-2018
    KUSA

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго дня. Помогите с проблемой.
    Настраивал RB751U-2HnD. Сначала обновил прошивку, потом сбросил, и без помошника скрипта помощи настраивал. LAN порты ether2-ether5 добавил в интерфейс Bridge, кроме первого WAN порта ether1.
    DHCP повесил на Bridge. Помучился, но wlan тоже настроил. Wifi раздается и компьютеры подключенные по wifi видят другие. IP входящий - статика. Соответсвенно enter1 - WAN, Bridge - LAN.
    Дальше ip firewall nat add chain=srcnat out-interface=WAN action=masquerade/
    У всех везде работает инет, почти нет проблем.
    Но мне надо было прокинуть порт до сервера Сделал правило dsnat-tcp-33890-in interface list -wlan/Action - dst-nat-to address 192.168.8.8 to ports 3389.
    Примеров в интернете куча, но ничего не работает, порт не пробрасывается. Даже в счетчике пакетов по этому правилу, ничего не меняется.  
    Правило для цепочки forward - тоже сделал established related - accept.
    Проблема в том, что до этого стоял другой MIKROTIK без wifi. И на нем это правило отрабатывает.
    Решили поменять на тот, корый с wifi.
    И вот тут у меня последний пункт с пробросом не прошел. Пока вернул старый роутер, сегодня просидел до восьми часов, но проброс так и не заработал.
    Обясните пожалуйста, как надо сделать правильно.
    (Пакеты на enter1 приходят, но почему дальше не идут, я не знаю).

    Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 00:11 01-07-2018 | Исправлено: KUSA, 00:13 01-07-2018
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA
    Давайте посмотрим на вывод команды /ip firewall filter print

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6679 | Зарегистр. 29-04-2009 | Отправлено: 00:32 01-07-2018
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA
    dst adress свой ойпи статичный внешний прописать иначе не работает
     
       
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 00:55 01-07-2018 | Исправлено: fakintosh, 00:57 01-07-2018
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh

    Цитата:
    dst adress свой ойпи статичный внешний прописать иначе не работает  

    И без этого всё будет работать. У KUSA косяк в in-interface. Скорее всего там должно быть in-interface=WAN.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6679 | Зарегистр. 29-04-2009 | Отправлено: 01:03 01-07-2018
    CrazyCooler



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго дня и ночи. Подскажите, может кто сталкивался, нужно реализовать доступ к https://api.telegram.org.
    Для реализации сделано следующее:
    1. Настроен и подключен VPN через сервер США.
    2. Добавлено правило в Nat (маскарад) через vpn
    3. В mangle добавлено правило маркировки пакетов из списка.
    4. В firewall address добавлен список из 3х хостов (telegram.org, 2ip.ru и api.telegram.org)  
    5. В профиле vpn стоит change - tcp-mss=on (остальное по дефолту)  
    6. В route добавлено правило 0.0.0.0/0 шлюз VPN для маркированных пакетов.  
    Итого:
    На 2ip.ru показывает ip сервера vpn США, на сайт telegram.org заходит нормально, а вот на https://api.telegram.org ни в какую не заходит. Хотя в списке сайт добавлен и по имени и по ip.  
    P.s. Если на компе зайти через тел нет на этот сайт с портом 443, сайт откликается...  
    Сломал голову... Куда копать?  

    Всего записей: 43 | Зарегистр. 13-02-2006 | Отправлено: 02:12 01-07-2018
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    Нифига, у меня завелось только когда внешний ip прописал.

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 08:12 01-07-2018
    KUSA

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv
    Описался, извините устал просто.  
    Сделал правило dsnat-tcp-33890-in interface list -WAN/Action - dst-nat-to address 192.168.8.8 to ports 3389.
    Так сделано.

    Цитата:
    Давайте посмотрим на вывод команды /ip firewall filter print

    Тогда это не совсем кошерно. Нас интересует цепочка nat.
    Наверное правильнее будет так  /ip firewall filter print /ip firewall nat print
    Я смогу это сделать только в субботу. Когда в офисе никого не будет. Буду рад, если поможете. Придется ехать ещё раз, что-бы заставить заработать проброс порта. (Хотя по 6 дней работать...)
    Пробовал на рабочем MIKROTIK - не показывает это правило по пробросу.  
    Только через /ip firewall nat print ( см ниже)
     
    fakintosh

    Цитата:
    dst adress свой ойпи статичный внешний прописать иначе не работает
    chain=dsnat action=dst-nat to-address 10.10.10.5 to-ports=80 protocokol=tcp dst-adress=87.110.111.178 in-interface=bridge-radiolink dst-port=80 log=no  
     

    А почему входящий интерфейс в Вашем правиле bridge, если пакеты приходят на интерфейс WAN (enter1)?
    Но ведь на другом MIKROTIK моё правило работает. И проброс идет без проблем.
    Вот вывод /ip firewall nat print на работающем, но зависающем MIKROTIK
    chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp  
          src-address-list=!rdpbad in-interface-list=wan dst-port=33890 limit=5/1h,5:packet log=yes  
          log-prefix="rdp-in"  
    где RDP bad - список заблокированных ip адресов.
     
    В чем эта разница, моя ошибка итд.
     
    2. Ещё вопрос - протокол ICMP надо разрешать во входящих соединениях к интерфейсу enter1?
    Сколько не читал об этом в интернете - одни говорят - нельзя, другие - надо. Я уже запутался.
     
    3. И ещё вопрос, старый MIKROTIK виснет периодически один два-раза в день. Правил в фаерволе не более 12. Логи отбитых пакетов не ведутся. Виснет так, что даже через winbox я на него зайти не могу. Приходится отключать питание . Как-то можно узнать причину зависания.(Сделан по схеме чипа коммутатора, а не через стандартный bridge).

    Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 13:12 01-07-2018 | Исправлено: KUSA, 19:46 01-07-2018
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh

    Цитата:
    Нифига, у меня завелось только когда внешний ip прописал.
     


    Цитата:
     2    chain=dstnat action=dst-nat to-addresses=192.168.51.121 to-ports=40022 protocol=tcp in-interface=ether10 dst-port=40122  
          log=no log-prefix=""  

    Всё работает, но это не показатель. Могут быть нюансы.
     
    KUSA

    Цитата:
    Тогда это не совсем кошерно. Нас интересует цепочка nat.
    Наверное правильнее будет так  /ip firewall filter print /ip firewall nat print  

    Самые трудные пациенты - это врачи.
     

    Цитата:
    dsnat-tcp-33890-in interface list -WAN/Action - dst-nat-to address 192.168.8.8 to ports 3389

    Простите, но вашу нотацию правил понять тяжело. Даже исправленную.
     

    Цитата:
    А почему входящий интерфейс в Вашем правиле bridge, если пакеты приходят на интерфейс WAN (enter1)?

    Потому что у fakintosh`а так называется интерфейс. Назвать его можно как угодно. Подозреваю, что у него инет "приходит" по wi-fi, поэтому у интерфейса и такое название.
     

    Цитата:
    chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp  
          src-address-list=!rdpbad in-interface-list=wan dst-port=33890 limit=5/1h,5:packet log=yes  
          log-prefix="rdp-in"

    Предлагаю начать с самых простых правил: без адресных листов, ограничений и логов. Добейтесь чтобы правило с самым минимумом необходимых правил заработало, а потом уже будете наворачивать нашлёпки.
     


    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6679 | Зарегистр. 29-04-2009 | Отправлено: 19:11 01-07-2018 | Исправлено: urodliv, 19:12 01-07-2018
    KUSA

    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    urodliv

    Цитата:
    Самые трудные пациенты - это врачи.  

    (Я не врач, просто привык использовать в корпоративном сигменте iptables , который как мне кажется много проще, и много гибче. Или Kerio. Но на этой работе мне достались MIKROTIK, и приходится перестраиваться под их обслуживание. Оборудование, с которым я раньше не работал. Перечитал тучу всего, вроде стало намного проще, но все равно, нужна практика что-бы набить руку в их настройке без шпаргалки.)
    Да вот не поверите -  я так и сделал. По простому chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp    
    in-interface-list=wan dst-port=33890 log=no
    И тишина, вижу только, что пакеты например с данного IP попадают в интерфейс wan. Но где они потом умирают, я даже не знаю как это отследить.  
     
    А что делать с 2 и 3?

    Всего записей: 1679 | Зарегистр. 14-04-2006 | Отправлено: 19:46 01-07-2018 | Исправлено: KUSA, 19:58 01-07-2018
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA
     

    Цитата:
    А почему входящий интерфейс в Вашем правиле bridge, если пакеты приходят на интерфейс WAN (enter1)?  

     
    У меня настроено так, что можно в бридж с WAN интерфейсом добавить любой локальный интерфейс и динамический ip адрес (пров даёт два белых) от провайдера пустить на этот интерфейс, железке которая там подключена, в моём случае - радиолинк, то есть интеренет от меня по воздуху на каких 2км идёт в частный дом.
    То есть радиолинк находится вне моей локальной сети.


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 19:59 01-07-2018
    urodliv



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    KUSA

    Цитата:
    chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp    
    in-interface-list=wan dst-port=33890 log=no

    По-простому будет так: chain=dstnat action=dst-nat to-addresses=192.168.8.8 to-ports=3389 protocol=tcp    
    in-interface=<название wan-интерфейса> dst-port=33890 log=no
    2. По желанию. У клиента есть провайдер, который требует, что пользовательское оборудование отвечало по ICMP. Лично я его открываю.
    3. Для начала замените ему блок питания. Если не поможет, то загляните внутрь. Если в нём есть электролитические конденсаторы, то смотрим не вспухли ли они.

    ----------
    Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.

    Всего записей: 6679 | Зарегистр. 29-04-2009 | Отправлено: 20:22 01-07-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru