Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    aladdin79

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет.
    Сеть, роутером Микротик стоит.
    Пытаюсь настроить изнутри подключение на внешний адрес по rdp.
    Как я понимаю, наружу порты в микротике не открыты, так как не  подключается.
    Подскажите настройки, пожалуйста, или укажите, если в чем-то не прав

    Всего записей: 62 | Зарегистр. 03-07-2008 | Отправлено: 21:39 17-06-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aladdin79
     
    В конфигурации по умолчанию на внешний интерфейс пакеты NATируются.
    Для начала пришлите вывод команды /export, и приблизительное описание сети. Тогда уже будем разбираться.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 09:20 18-06-2016
    zubastiy

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aladdin79
     
    если совсем кратко - все tcp запросы приходящие на интерфейс ether1 на порт 3399 транслировать для адреса 192.168.1.200 на порт 3389
     
    /ip firewall nat
    add action=netmap chain=dstnat dst-port=3399 in-interface=ether1 protocol=tcp to-addresses=192.168.1.200 to-ports=3389
     
     
    если нужно подробностей - https://habrahabr.ru/post/182166/

    Всего записей: 489 | Зарегистр. 13-10-2005 | Отправлено: 10:10 18-06-2016
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    aladdin79

    Цитата:
    настроить изнутри подключение на внешний адрес по rdp

    я немного уточню, если правильно понял требуемое
     
    ты в локальной сети и хочешь подключаться к компу в этой же локальной сети, но подключаться ты хочешь, пропысывая внешний ip
    я правильно понял?

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 17:24 18-06-2016
    w00dpecker

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Dimsoft
    Не знаю, куда он смотрит, но трассировка показывает, что он таки меняет адрес и шлёт всё через шлюз с наименьшей дистанцией.
    На транзитный трафик можно в мэнгле метки повесить... а в этом случае что делать, я никак придумать не могу.

    Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 23:23 19-06-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    w00dpecker

    Цитата:
    а в этом случае что делать, я никак придумать не могу

    маркировать роутинг в output. по src-address, видимо

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:49 20-06-2016
    w00dpecker

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
     
    маркировать роутинг в output. по src-address, видимо

     
    А можно совсем совесть потерять и попросить пример такого правила? У меня ни один вариант корректно не отработал...
    Как я для себя уяснил, маркируется всё в prerouting... А output  уже даже не postrouting а совсем на выходе отрабатывает. Или я ошибаюсь?

    Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 23:31 21-06-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    w00dpecker
    Ошибаетесь. Я специально в своё время добавил в шапку ссылку на http://wiki.mikrotik.com/wiki/Manual:Packet_Flow — там можно увидеть, что postrouting находится в самом конце, уже после output (это по поводу ваших слов), а также найти шаг "Routing adjustment" в конце output, который и позволяет проделать нужный фокус.
     
    Пример, увы, с телефона не наберу, поэтому показывайте ваш подход — будем комментировать

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:16 22-06-2016
    w00dpecker

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Код:
     
    chain=output action=mark-routing new-routing-mark=Trough_ISP2 passthrough=yes src-address=EXT_IP2 log=no log-prefix=""  

    Можно, конечно, попробовать нарисовать правило, чтоб вешал ярлыки на адреса GRE-туннеля, но от этого ничего не меняется.
    Трассировка всё равно показывает, что пакеты бодро бегут через дефолтовый шлюз, какой интерфейс не указывай
     
    Добавлено:
    Chupaka
    О!!!
    Внезапно заработало, после указания в маршруте предпочитаемого адреса... Автоматом рисовал то же самое, но не работал...
    Вот, не знаю что и думать.

    Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 14:07 22-06-2016 | Исправлено: w00dpecker, 14:08 22-06-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    w00dpecker
    вот прям затрудняюсь прокомментировать, но рад, что заработало

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:14 22-06-2016
    sbotvinovskii

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем привет !
    Подскажите новичку !
    Встала задача на работающий Mikrotik прикрутить еще несколько WAN от одного провайдера, причем IP разные, а шлюз у всех один  
    Задача дать доступ в Инет всем подсетям через разные IP
    WAN_2 > LAN_2 172.16.0.1/24 ether7
    WAN_3 > LAN_3 172.16.1.0/24 ether8
    первая локалка как ходила так и ходит через старый шлюз
    настраивал вот так  
     
    WAN_1 80.80.80.80/30 GATEWAY1 80.80.80.81 ether2
    WAN_2 70.70.70.70/19 GATEWAY2 70.70.64.1 ether3
    WAN_3 70.70.95.250/19 GATEWAY2 70.70.64.1 ether4
    LAN_1 192.168.1.0/24 ether5
    LAN_2 172.16.0.1/24 ether7
    LAN_3 172.16.1.0/24 ether8
     
     
    /ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether5 new-routing-mark=to_Wan1
    /ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether7 new-routing-mark=to_Wan2
    /ip firewall mangle add action=mark-routing chain=prerouting in-interface=ether8 new-routing-mark=to_Wan3
     
    /ip route add distance=1 gateway=GATEWAY1
    /ip route add distance=2 gateway=GATEWAY2%ethr3 routing-mark=to_Wan2
    /ip route add distance=1 gateway=GATEWAY2%ethr4 routing-mark=to_Wan3
     
     
    ping GATEWAY2  
     
    работает
     
    ping GATEWAY2  через ethr3
     
    не работает  
     
    ping GATEWAY2  через ethr4
     
    ping работает  
     
    ping 8.8.8.8 через любой WAN работает  
     
    Снаружи Mikrotik пингуется и можно зайти на RDP сервер с любого внешнего IP
     
    В чем может быть проблема ? Долго крутил разные мануалы и настройки перепробовал разные, в этом варианте что-то запинговалось и заработало перестал падать инет в локалке, вот только с косяками.
    Может что не так строю, толкните в нужном направлении
    Спасибо !
     

    Всего записей: 102 | Зарегистр. 24-12-2004 | Отправлено: 20:53 22-06-2016 | Исправлено: sbotvinovskii, 20:54 22-06-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    sbotvinovskii
    т.е. у вас проблема только в том, что пинг шлюза не работает? а попробуйте указать src-address нужный. возможно, он выбирает адрес ethr4 при попытке пинговать через ethr3 (поскольку автоматический выбор src-address происходит до ваших манипуляций с роутинг-марками)

    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 23:46 22-06-2016
    sbotvinovskii

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ок спасибо за подсказку
    мне тут подсказали надо попробовать через VRF настроить.
    но природа вмешалась, сильная гроза, отключили свет в том месте где микротик
    уже завтра попробую

    Всего записей: 102 | Зарегистр. 24-12-2004 | Отправлено: 23:57 22-06-2016
    defined

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    sbotvinovskii
    попробуйте так (может не все правила нужны, от задач зависит, можно будет посмотреть статистику и отключить неиспользуемые чтобы зря ресурсы не загружать):
     
    1) для всего трафика в сторону роутера от WAN (ну там пинги и прочее чтобы корректно обратно уходило):
    /ip firewall mangle
    add action=mark-connection chain=input connection-mark=no-mark in-interface=ether2 new-connection-mark=conn_mark_WAN1_to_FW passthrough=no
    add action=mark-routing chain=output connection-mark=conn_mark_WAN1_to_FW new-routing-mark=route_mark_WAN1 passthrough=no
    add action=mark-connection chain=input connection-mark=no-mark in-interface=ether3 new-connection-mark=conn_mark_WAN2_to_FW passthrough=no
    add action=mark-routing chain=output connection-mark=conn_mark_WAN2_to_FW new-routing-mark=route_mark_WAN2 passthrough=no
    add action=mark-connection chain=input connection-mark=no-mark in-interface=ether4 new-connection-mark=conn_mark_WAN3_to_FW passthrough=no
    add action=mark-routing chain=output connection-mark=conn_mark_WAN3_to_FW new-routing-mark=route_mark_WAN3 passthrough=no
     
    2) для всего трафика через роутер в LAN (если мапинг портов снаружи в LAN идёт. При этом явно указываем в prerouting, чтобы в WAN переправлять только тот трафик, что пришёл от адресов LAN в рамках нужного connection - иначе forward не сработает и маркированный трафик для LAN после dnat уйдёт обратно в WAN):
    /ip firewall mangle
    add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether2 new-connection-mark=conn_mark_WAN1_to_LAN1 passthrough=no
    add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN1_to_LAN1 new-routing-mark=route_mark_WAN1 passthrough=no src-address=192.168.1.0/24
    add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether3 new-connection-mark=conn_mark_WAN2_to_LAN2 passthrough=no
    add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN2_to_LAN2 new-routing-mark=route_mark_WAN2 passthrough=no src-address=172.16.0.1/24
    add action=mark-connection chain=forward connection-mark=no-mark in-interface=ether4 new-connection-mark=conn_mark_WAN3_to_LAN3 passthrough=no
    add action=mark-routing chain=prerouting connection-mark=conn_mark_WAN3_to_LAN3 new-routing-mark=route_mark_WAN3 passthrough=no src-address=172.16.1.0/24
     
    3) для трафика из LAN указываем нужный route (в список адресов "int subnets" пихаем все локальные подсетки - т.е. 192.168.1.0/24, 172.16.0.1/24 и 172.16.1.0/24):
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether5 new-routing-mark=route_mark_WAN1
    add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether7 new-routing-mark=route_mark_WAN2
    add action=mark-routing chain=prerouting dst-address-list="!int subnets" in-interface=ether8 new-routing-mark=route_mark_WAN3
     
     
    4) для всего трафика из LAN в WAN - делаем NAT:
    /ip firewall nat
    add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=192.168.1.0/24 to-addresses=80.80.80.80
    add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=172.16.0.1/24 to-addresses=70.70.70.70
    add action=src-nat chain=srcnat dst-address-list="!int subnets" src-address=172.16.1.0/24 to-addresses=70.70.95.250
     
    5) ну и маршруты по нашей маркировке (первый для всего немаркированного трафика, например, дефолтовый от роутера если не указан интерфейс и src address):
    /ip route
    add distance=1 gateway=GATEWAY1
    add distance=1 gateway=GATEWAY1 routing-mark=route_mark_WAN1
    add distance=1 gateway=GATEWAY2%ethr3 routing-mark=route_mark_WAN2
    add distance=1 gateway=GATEWAY2%ethr4 routing-mark=route_mark_WAN3
     
    6) добавить нужные правила в firewall (кому из lan разрешено в интернет) и nat (dnat для мапинга из WAN в LAN)
     
    7) в ip settings проверить параметр RP filter, для нескольких каналов должен быть или no или loose
     
    8) проверить, чтобы mac-адреса на ether3 и ether4 были разные (на случай если вручную меняли или ещё по какой-то причине они оказались одинаковые - тогда провайдер не поймёт по какому интерфейсу для wan2/wan3 кидать пакеты с одним и тем же mac)
     
    будут проблемы - пишите данные от снифера и данные из лога (по трафику из LAN - включить лог в правиле firewall для chain forward - увидим сразу и от кого из LAN трафик и как его в NAT преобразовало), подумаем что забыли в mangle добавить

    Всего записей: 497 | Зарегистр. 04-09-2004 | Отправлено: 02:20 23-06-2016 | Исправлено: defined, 07:21 23-06-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    sbotvinovskii
    VRF — это, мягко говоря, из пушки по воробьям

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 02:42 23-06-2016
    w00dpecker

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго
     

    Код:
    interface add add-default-route=yes allow=mschap1,mschap2 default-route-distance=2 interface=ether2 keepalive-timeout=180 name=pppoe-out1 password=pass use-peer-dns=yes user=user
     

     
    Канал поднимается, добавляет маршрут по умолчанию, но с метрикой 1
    В чём косяк?

    Всего записей: 21 | Зарегистр. 13-04-2016 | Отправлено: 08:38 23-06-2016 | Исправлено: w00dpecker, 10:27 23-06-2016
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    кто-то встречался с таким поведением?
    RB2011UiAS-2HnD-IN
    прошивка - последний багфикс
     

     
    по этому порту я получаю IPTV через VLAN
    наблюдается в течении 10-15 минут после рестарта роутера
     
    раньше такого не замечал
    кабели те же, лежат в стене, ничего никто не трогал

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 14:29 23-06-2016 | Исправлено: zBear, 14:29 23-06-2016
    VecHPro



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    может у провайдера порт дохнет

    Всего записей: 166 | Зарегистр. 29-03-2016 | Отправлено: 14:45 23-06-2016
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    VecHPro
    не, именно последний багфикс 6.34.6 так чудит
    на 6.32.4 такого нет
    3 раза прошился туда-обратно для проверки

    Всего записей: 1634 | Зарегистр. 20-02-2007 | Отправлено: 15:48 23-06-2016
    sbotvinovskii

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ уже перепробовал кучу мануалов и советов. Подскажите толковый мануал если есть по настройке  
    нужно просто направить одну локалку в один wan порт статика от провайдера
    и вторую локалку в другой wan порт тоже статика от провайдера.
    если быть точным то будет пять входящих пять исходящих, все локалки на свои wan порты
    не надо никаких балансировок и резервирования каналов
    Вроде все просто, но есть одно но, шлюз у всех  wan  имеет ОДИНАКОВЫЙ IP АДРЕС
    Это на микротик возможно сделать ?

    Всего записей: 102 | Зарегистр. 24-12-2004 | Отправлено: 22:05 23-06-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru