evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Цитата: Можно ли в ROS настроить условную пересылку запросов DNS? Попробуйте так Код: /ip firewall nat add action=dst-nat chain=dstnat dst-port=53 in-interface-list=lan protocol=tcp dst-address-list=list_out_all src-address-list=list_in_all to-addresses=10.10.10.10 to-ports=53 add action=dst-nat chain=dstnat dst-port=53 in-interface-list=lan protocol=udp dst-address-list=list_out_all src-address-list=list_in_all to-addresses=10.10.10.10 to-ports=53   list_in_all внутренние адреса которые нужно переадресовать list_out_all внешние адреса к которым нужно переадресовать запросы   Цитата: max-udp-packet-size: 4096   больше 1024 не стоит ставить Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 04:52 05-02-2019 | Исправлено: alexnov66, 05:01 05-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору michael Пакеты действительно маркируются, счётчик в ip firewall mangle работает. Срабатывает счётчик и в ip firewall nat Но вот ответы до меня не долетают. Пробовал для проверки назначить на ROS внутренние DNS сервера вместо гугля, те самые, на которые пересылается запрос - в этом случае нормально разрешает имена. То есть фильтр не блокирует трафик, если  правильно понимаю. Но мне этот вариант, с назначением внутренних серверов, не подходит.   alexnov66 Не совсем понял способ. Не предполагается внешних адресов. Домена abc.somedomain.dom нет в интернете. Соответственно, когда идёт запрос  имени comp1.abc.somedomain.dom надо спрашивать у внутреннего сервера 10.10.10.10, а не у внешнего 8.8.8.8. Я же не могу добавить в лист символьное имя. Соответственно, не понятно, чем заполнять листы. Если вручную держать зону на Микротике, то проще использовать статические записи DNS. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:23 05-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Т.е. 10.10.10.10 клиенту недоступен? И разрешить нельзя? Или можно, если осторожно? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:57 05-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Я могу изменить многое, но надо понимать, стоит ли это менять (С). Насколько я помню, мои пространные пояснения вызывали эффект жевания лимона. Не хочу печалить вас ничем Впрочем... Клиенты находятся в сети соседней организации. У них "всё на микротиках"... и пара админов уровня анукей. Мне нужно отдать им свою внутреннюю зону ДНС. Ну, скажете, пусть смотрят на твои сервера. Но тогда, я стану для них провайдером ДНС. Жевание лимона, головная боль и гиморрой обеспечены. Потому, что даже если у меня всё будет работать, то звонки и выяснения, а действительно ли всё работает... С их то уровнем... Вы поставите на порту Cisco, к которому подключен хаб с 10-ю клиентами port-security? Один МАС и всё. Конечно же не будет работать. Это к вопросу об уровне. И не докажешь. Нафиг нафиг. Задача должна быть решена как-то иначе, а у них "всё на микротиках", возможно и голова тоже.   Всё же, если правила "щёлкают", каждый запрос DNS вызывает оживления счётчика, то очевидно, что срабатывает и маркирование, значит распознаётся суффикс, и по условию этого маркирования отрабатывает dst-nat. Два правила. То есть, запрос уходит к серверу. Чего-то не хватает, не пойму чего. Какие должны быть правила фильтра? Сейчас эмулирую ситуацию на своем микротике, а значит ДНС серверы находятся в LAN. Клиент, то есть я - тут же. Назначил себе Микротик сервером ДНС. Соседи будут расположены также. Внутренний канал связи. Запрос к внутреннему имени вызывает срабатывание соотв. счётчиков. Внешние разрешаются без проблем. Ставлю внутренний ДНС сервером в настройках Микротика - нет проблем. Всё работает, кроме искомого. Получать внутреннюю зону от ROS.     Добавлено: Цитата: Получать внутреннюю зону от ROS При этом сама ROS должна быть настроена на внешние ДНС. Это же будет чужой микротик и как они получали ДНС, так должны и получать. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 14:26 05-02-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vertex4 Цитата: Как защита от DDoS - это не эффективно если ставиш больше бывает сайты плохо открываются или не открываются вообще. несколько раз замечал это на нескольких микротиках.   Добавлено: Paromshick если домен не существует то прописать дополнительно статику, пару доменов прописать проблем нет. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 15:10 05-02-2019 | Исправлено: alexnov66, 15:11 05-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Да понимаю я все пути. Не об этом же речь в данной теме. Можно вообще править hosts где надо по звонку. Будет же работать, что? Будет     Добавлено: Особо красиво будет выглядеть hosts с кучей srv и txt записей, и приятно будет слышать объяснение того, что надо изменить в случае смены DC, по телефону   Ну, нет так нет. Кобыле легче. Пусть поднимают ДНС. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:17 05-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору michael Мой рабочий конфиг - это назначенные на MikroTk'е внутренние сервера ДНС. Работает. То есть - долетают пакеты. Да и нет фаера внутри сети. Назначение внешних серверов было сделано для эмуляции ситуации "как у соседей". Кстати, не работало. Веншние ДНС не резолвили запросы. Пришлось добавить правило, разрешающее input UDP53 на внешнем интерфейсе. Вредно это скорее всего, можно мою зону увидеть в рабочей конфигурации. Но не суть, на ситуацию не влияет. Единственный фаер между микротиком и вынь ДНС - встроенный фаер на вынь. Отключал, не помогло.   Вчера вечером "тыкал в интерфейс" тупо. Менял значения. Типа не prerouting, а input и т.д. и т.п. Замечено, что когда я "ломаю" NAT или Mangle, то в nslookup сразу получаю Non-existent domain То есть, пакеты уходят к провайдеру и сразу ошибка. Счётчики на правилах мгновенно прибавляют 4 пакета. В предложенной же конфигурации, счётчики плавно повышаются на единицу, всего тоже 4, а в nslookup вижу таймауты DNS request timed out.     timeout was 2 seconds. 4 раза. Ощущение действительно, что либо пакеты не долетают, либо не возвращаются. Но блочить может только сам микротик. Напомню, что если выставить сервер ДНС сразу в настройках - всё работает. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 11:32 06-02-2019 | Исправлено: Paromshick, 11:32 06-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору michael Пакеты идут с/на адрес микротика?   Добавлено: С адреса ROS на ДНС сервер ничего не приходит. Видимо, не сможет он НАТить на одном и том же, внутреннем интерфейсе ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 15:34 06-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: Особо красиво будет выглядеть hosts с кучей srv и txt записей А так разве можно?   Цитата: Видимо, не сможет он НАТить на одном и том же, внутреннем интерфейсе НАТ происходит не на интерфейсе, а на роутере. Могут быть специфические случаи вроде https://wiki.mikrotik.com/wiki/Hairpin_NAT - но это уже проблема дизайна. В целом, если трафик туда-сюда идёт через один и тот же роутер - NAT просто работает.   В целом, я у себя сейчас имею такую ситуацию: основной ДНС - Cloudflare (1.1.1.1 и 1.1), через L7-правила (вида "\x04test\x03com|\x05local\x06domain" для test.com и local.domain) делаю DST-NAT пакетов на порт 53/UDP с нужными доменами на другой DNS, находящийся за VPN-тоннелем. Тот DNS резолвит корпоративные домены. Вроде ситуация похожа на вашу, и всё работает как часы. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 11:46 07-02-2019 | Исправлено: Chupaka, 11:46 07-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: А так разве можно? Написать-то? Можна Ирония это. Впрочем, почему нет. Не изучал вопрос. В конечном счёте, все записи текстовые. Цитата: всё работает как часы Вот и у меня ощущение, что не хватает некоего правили или параметра. По ссылке, к примеру, есть action=masquerade… Сейчас всё как описано было michael. Код: /ip firewall layer7-protocol    add name="dns local" regexp=abc.somedomain.dom    /ip firewall mangle    add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \        layer7-protocol="dns local" new-connection-mark="dns local" \        passthrough=no protocol=tcp    add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \        layer7-protocol="dns local" new-connection-mark="dns local" \        passthrough=no protocol=udp    /ip firewall nat    add action=dst-nat chain=dstnat comment="DNS local" connection-mark=\        "dns local" to-addresses=10.10.10.10   Мои рассуждения. Пакет, прилетая на роутер, получает по 7-му уровню маркирование и должен уйти на ДНС сервер. Какой адрес будет в src у пакета? Похоже, не роутера, а мой. Если так то ДНС сервер ответит на мой адрес. На некий порт, где его никто не ждёт. Финита ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:38 07-02-2019

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Paromshick Похоже у вас тунель не правильно настроен, компьютера должны пинговаться с обоих сторон. И микротики должны знать где находится противоположная сеть. Схема не понятно нарисована, vlan напрямую между комутаторами. Всего записей: 1232 | Зарегистр. 29-08-2005 | Отправлено: 13:43 07-02-2019 | Исправлено: alexnov66, 13:48 07-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Цитата: В конечном счёте, все записи текстовые. В hosts все записи - A/AAAA, скорее   По правилам: для TCP от них смысла - ноль целых фиг десятых, поскольку данные по TCP летят далеко не в первом пакете, когда уже поздно что-то натировать, поэтому я не заморачивался:   Код: /ip firewall nat add action=dst-nat chain=dstnat comment="redirected local DNS" dst-port=53 layer7-protocol=dns-to-local protocol=udp to-addresses=10.20.30.40   Цитата: Мои рассуждения. Пакет, прилетая на роутер, получает по 7-му уровню маркирование и должен уйти на ДНС сервер. Какой адрес будет в src у пакета? Похоже, не роутера, а мой. Если так то ДНС сервер ответит на мой адрес. На некий порт, где его никто не ждёт. Финита Да, src-адрес сохранится, если на него не будет применено правило src-nat. Чтобы src-address сменился на адрес роутера, достаточно на них masquerade натравить. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:35 07-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору alexnov66 Плохо, что проблема раздёргана на множесво постов. Теряется связанность. Cеть работает, можно было бы поверить... Итак. Схема.     Сейчас, я работаю в левой части схемы. Эмулирую ситуацию. Поэтому, при наличии действующего внутреннего ДНС, клиент настроен на шлюз - Микротик. Про "Соседей" забудьте. Нету в задаче. Просто, объясняют саму её постановку, смысл балета.   Настройки.   Домен abc.somedomain.dom В Глобальном интернете не зарегистрирован. Приватный интернет. Адресация RFC 1918   DNS Server 10.10.10.10/24 route 0.0.0.0 mask 0.0.0.0 10.10.10.5 DNS 1.1.1.1 (Forward lookup)   Клиент. 10.10.11.10/24 route 0.0.0.0 mask 0.0.0.0 10.10.11.5 DNS 192.168.8.10   MikroTik /ip address add address=192.168.8.10/24 interface=lan-bridge1 comment="LAN Bridge IP Address" /ip address add address=x.x.x.x/28 interface=wan-bridge-rt comment="ISP Rostelecom" /ip route add gateway=x.x.x.x comment="ISP Rostelecom Gateway" /ip route add dst-address=10.10.10.0/24 gateway=192.168.8.5 comment="VLAN 100 Gateway" /ip route add dst-address=10.10.11.0/24 gateway=192.168.8.5 comment="VLAN 101 Gateway" /ip dns set servers=1.1.1.1,8.8.8.8   Ядро, C3560 interface Vlan100  description SERVERS  ip address 10.10.10.5 255.255.255.0 ! interface Vlan101  description USERS  ip address 10.10.11.5 255.255.255.0 ! interface Vlan201  description BORDER  ip address 192.168.8.5 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 192.168.8.10   Задача. Необходимо достичь результата, когда ДНС запрос клиента, обращенный к именам, расположенным в зоне abc.somedomain.dom, отправлялся бы MikroTik'ом для разрешения не к серверам 1.1.1.1,8.8.8.8, а к серверу 10.10.10.10.   Все маршруты есть, все пинги проходят. Имена стандартными настройками разрешаются   ////   Цитата: Схема не понятно нарисована, vlan напрямую между комутаторами. VLAN поднят на обоих коммутаторах. Это "ничейная зона", пограничный маршрут. Там никого нет. SFP - SFP fiber channel   Добавлено: Было применено Код: /ip firewall layer7-protocol     add name="dns local" regexp=abc.somedomain.dom     /ip firewall mangle     add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \         layer7-protocol="dns local" new-connection-mark="dns local" \         passthrough=no protocol=tcp     add action=mark-connection chain=prerouting comment="DNS local" dst-port=53 \         layer7-protocol="dns local" new-connection-mark="dns local" \         passthrough=no protocol=udp     /ip firewall nat     add action=dst-nat chain=dstnat comment="DNS local" connection-mark=\         "dns local" to-addresses=10.10.10.10   В результате Счетчики в ip firewall mangle и ip firewall nat - срабатывают на каждый пакет. Но до клиента ответ не доходит. На сервере ДНС запросов от MikroTik'а не регистрируется. ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:03 07-02-2019 | Исправлено: Paromshick, 16:09 07-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Paromshick Код: /ip fi nat add chain=srcnat src-address=10.10.11.0/24 dst-address=10.10.10.10 protocol=udp dst-port=53 action=masquerade   Ибо в текущей ситуации у вас получается Hairpin NAT, я ссылку вам выше дал, вы читали? Клиент отправляет запрос на MikroTik (пакет 10.10.11.10->192.168.8.10:53), тот его dst-nat'ит на DNS (пакет становится 10.10.11.10->10.10.10.10:53), DNS генерирует ответ и отправляет его на адрес запрашивающего, 10.10.11.10. Тот в свою очередь получает ответ от 10.10.10.10 (поскольку обратный пакет дошёл только до Cisco, и MikroTik не имел возможности сменить у него src-address) и отбрасывает его, поскольку запрос он отправлял на 192.168.8.10, а не на 10.10.10.10. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:20 07-02-2019

Paromshick Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: Ибо в текущей ситуации у вас получается Hairpin NAT, я ссылку вам выше дал, вы читали?   Цитата: Вот и у меня ощущение, что не хватает некоего правили или параметра. По ссылке, к примеру, есть action=masquerade…   ] Цитата: Мои рассуждения. Пакет, прилетая на роутер, получает по 7-му уровню маркирование и должен уйти на ДНС сервер. Какой адрес будет в src у пакета? Похоже, не роутера, а мой. Если так  то  ДНС сервер ответит на мой адрес. На некий порт, где его никто не ждёт. Финита   Добавлено: Цитата: /ip fi nat add chain=srcnat src-address=10.10.11.0/24 dst-address=10.10.10.10 protocol=udp dst-port=53 action=masquerade Bingo! ---------- Скучно Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:38 07-02-2019

exolize Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите как направить весь интернет трафик через VPN L2TP подключение, интернет подключен через PPPoE (Ростелеком)   Делал по этой инструкции https://forum.mikrotik.com/viewtopic.php?t=73775   Код:   /ip firewall address-list add address=10.0.0.0/8 disabled=no list="Local subnet" add address=172.16.0.0/12 disabled=no list="Local subnet" add address=192.168.0.0/16 disabled=no list="Local subnet"   /ip firewall mangle add action=mark-routing chain=prerouting disabled=no dst-address-list="!Local subnet" in-interface=bridge new-routing-mark=traffif_for_VPN passthrough=yes src-address=192.168.88.0/24   /ip route add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VPN_ihor routing-mark=traffic_for_VPN scope=30 target-scope=10     Не работает, трафик идет как обычно. Всего записей: 79 | Зарегистр. 06-12-2007 | Отправлено: 13:25 09-02-2019 | Исправлено: exolize, 13:39 09-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору exolize Так вы свои маршруты покажите. Тот, что вы добавили — активный? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:45 09-02-2019

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование