Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    korn3r



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Помогите пожалуйста. куплен Cap AC другу.
    Не работает с айфонами - не коннектит вообще. Любые другие устройства - ок. Сбрасывал, перенастраивал заново раз 20 - не помогает.
    В интернете искал - некоторое количество тем с тем же самым вопросом и камментами вида "у меня куча apple девайсов и все ок".
    Не знаю куда копать. У самого cap ac тоже, но с ним почему-то все ок.

    Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 23:00 28-01-2019
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    korn3r

    Цитата:
    Не знаю куда копать.

     
    https://arxont.blogspot.com/2015/04/mikrotik-wifi-apple.html
     
    Обязательно потом напишите на каком этапе iPhone подключился.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 01:21 29-01-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    korn3r
    Не используйте TKIP и WPA, а только AES и WPA2, насколько помню новое оборудование устаревший TKIP больше не поддерживает, думаю и в RouterOS то же скоро уберут.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 06:53 29-01-2019 | Исправлено: alexnov66, 06:55 29-01-2019
    korn3r



    Full Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    спасибо, вроде бы дело оказалось именно в TKIP. Хотя я был уверен, что пробовал его отключать.

    Всего записей: 496 | Зарегистр. 19-10-2005 | Отправлено: 11:01 29-01-2019
    exolize



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Настроил подключение к Ростелеком (через оптический терминал, переведенный в режим моста), делал по этой инструкции инструкции.
    Подскажите, пункты 5 и 6 (создание drop правила в файрволе) нужны? Без этого правила интеренет также работает.

    Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 15:24 30-01-2019
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    exolize
    drop запрещает подключение к микротику из интернета - его админку никто не угонит.
     
    Подробнее...
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 15:29 30-01-2019 | Исправлено: fakintosh, 15:32 30-01-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    exolize
    Обязательно нужно

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 15:38 30-01-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    exolize
    По умолчанию (при отсутствии правил и для пакетов, не попадающих ни под какие правила) всё разрешено. Поэтому сначала разрешают всё, что должно быть разрешено - а в конце всё остальное дропают

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:01 30-01-2019
    exolize



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    То есть это только для защиты роутера, на само PPPoE соединение не влияет?
     
    Проблема в том, что соединение часто разрывается и после этого не восстанавливается само, помогает только перезагрузка роутера.
    Сейчас настроено так: https://imgur.com/a/BdGFFQf
    Может что-то не так сделано?

    Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 16:08 30-01-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    exolize
    PPPoE-соединение устанавливается на втором уровне модели OSI, а IP Firewall работает на третьем. Поэтому правила не могут влиять на подключение PPPoE. А что в Log'е наблюдаете, когда соединение не может восстановиться?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:24 30-01-2019
    exolize



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Всё это происходит удаленно, так что лог не могу сам посмотреть.
    Сделал запись лога в файл, посмотрю когда соединение снова не сможет восстановиться.

    Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 16:43 30-01-2019
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    exolize
     
    Вы нашли  какую то старую инструкцию как говно мамонта. На скрине Winbox версии 2.xx
     
    Поэтому первое что бы я сделал это убрал бы предлагаемые в инструкции правки MTU/MRU, а сделал бы их по умолчанию.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 17:04 30-01-2019
    exolize



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
    MTU/MRU я не менял

    Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 17:30 30-01-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    exolize
    Попробуйте добавить правило в мангле и поднять его на самый верх

    Код:
    /ip firewall mangle  
    add out-interface=Rostelecom protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

     
    Попробуйте в правиле подключения параметр Keepalive Timeout выставить в 30 секунд а не 10 или немного увеличить.
     
    Судя по скрину у вас в фаере правила переставлены местами, расположение правил что за чем идёт имеет большое значение, зачем вы правила переставляли и изменяли их.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 20:35 30-01-2019 | Исправлено: alexnov66, 21:00 30-01-2019
    exolize



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Попробуйте добавить правило в мангле и поднять его на самый верх
     
    Код:
    /ip firewall mangle  
    add out-interface=Rostelecom protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535
     
     
    Попробуйте в правиле подключения параметр Keepalive Timeout выставить в 30 секунд а не 10 или немного увеличить.  

    Попробую
     

    Цитата:
    Судя по скрину у вас в фаере правила переставлены местами, расположение правил что за чем идёт имеет большое значение, зачем вы правила переставляли и изменяли их.  

    Правила файрвола не трогал, так было в стандартной конфигурации, только добавил последнее правило.

    Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 18:55 31-01-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Можно ли в ROS настроить условную пересылку запросов DNS?
     
    То есть, просто говоря, все запросы разрешения имён шлются к провайдеру, а запросы, относящиеся к определённому домену, abc.somedomain.dom "спрашиваются" у серверов, скажем, 10.10.10.10 и 10.10.10.11
    Важно, чтоб клиентам отвечал сам MikroTik, а не устраивал рекурсию, мол "спроси там". "Там" как раз клиентам недоступен, в отличие от микротика.


    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:53 04-02-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    Можно ли в ROS настроить условную пересылку запросов DNS?  
     

    Увы, увы...

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 21:27 04-02-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Ах, как жаль...
    Давно порывался спросить. Что значит выделенное болдом

    Код:
    > ip dns print
    servers: IP1,IP2
    dynamic-servers:  
    allow-remote-requests: yes
    max-udp-packet-size: 4096
    query-server-timeout: 2s
    query-total-timeout: 10s
    max-concurrent-queries: 100
    max-concurrent-tcp-sessions: 20
    cache-size: 2048KiB
    cache-max-ttl: 1w
    cache-used: 17KiB
    Провайдер жаловался, что к нему на DNS прилетают UDP бомбы по 4К... Не оно ли?

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 21:48 04-02-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Paromshick
    Значит, что udp-пакеты большего размера будут отбрасываться службой DNS. Давным-давно в Интернетах использовалось значение 512, но с приходом всяких DNSSEC и прочих EDNS0 пакеты перестали пролазить в этот лимит, поэтому он был увеличен.
     
    Что до UDP-бомб, так это неправильно сформированные пакеты, при нормальной работе они не должны появляться независимо от лимитов.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 00:38 05-02-2019
    michael

    Любитель пива
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick

    Цитата:
    Можно ли в ROS настроить условную пересылку запросов DNS?  

    А если так попробовать?

    Код:
    /ip firewall layer7-protocol
    add name="dns local" regexp=abc.somedomain.dom
    /ip firewall mangle
    add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \
        layer7-protocol="dns local" new-connection-mark="dns local" \
        passthrough=no protocol=tcp
    add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \
        layer7-protocol="dns local" new-connection-mark="dns local" \
        passthrough=no protocol=udp
    /ip firewall nat
    add action=dst-nat chain=dstnat comment="DNS local" connection-mark=\
        "dns local" to-addresses=10.10.10.10

     

    Всего записей: 729 | Зарегистр. 19-07-2001 | Отправлено: 01:43 05-02-2019
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru