Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    vlary



    Platinum Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IvanovEv
    Цитата:
    чтобы при недоступности IP1 он переключал на IP2
    А ты уверен, что IP1 не остается доступен через 2-го провайдера?


    ----------
    Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек

    Всего записей: 17271 | Зарегистр. 13-06-2007 | Отправлено: 12:43 04-07-2016
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уверен, проверил на сервере нормально переключаются каналы. В Netwatch у меня все правильно прописано? , переключение писал только в netwatch скрипты отдельно не делал.

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 15:32 04-07-2016 | Исправлено: IvanovEv, 15:36 04-07-2016
    Lik_MigTel



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    /ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject

     
    таким образом если PPTP падает то правило перестает работаеть и пишет "PPTP not ready"
    и трафик все равно идет через дефолтный айпи.
     
    я тут подумал мне же не надо знать кучу айпи игровыХ?
     
    может как то адрес впн сервера в качестве gateway прописать чтобы с моего внутреннего айпи только туда ходило а остальное дропалось?

    Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 16:30 04-07-2016
    Lik_MigTel



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    это правило работает только если PPTP ready
    а если он отвалился то правило не работает и пишет "PPTP NOT READY"
     
    может какой то мой внутренний айпи заставить ходить только на внешний IP VPN?
    чтобы даже при условии отвала PPTP пакеты долбились только туда

    Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 09:33 05-07-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Lik_MigTel
    ну, можно поменять на out-interface=!all-ppp (если основное подключение не PPP, а Ethernet) или сделать два правила:
     

    Код:
    /ip firewall filter
    add chain=forward src-address=мой_айпишник out-interface=pptp-out1 action=accept
    add chain=forward src-address=мой_айпишник action=reject


    ----------
    Заходите в гости: Форум о MikroTik в Беларуси и не только! =)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:11 05-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka

    А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?
    Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие
     
    Как правильно прописать регулярное выражение L7 для форвардинга ДНС по шаблону: оканчивается .local ?
     
    Добавлено:
    И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял

    ----------
    Человек по своей природе существо злое. А его добрые поступки - это лишь проявление его силы воли!

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 20:59 05-07-2016 | Исправлено: melboyscout, 10:23 06-07-2016
    Lik_MigTel



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    СПАСИБО ОГРОМНОЕ! то что надо.
    спасибо Руборду за то что спустя десять лет тут все еще можно получить грамотный ответ.

    Всего записей: 44 | Зарегистр. 02-07-2016 | Отправлено: 23:23 05-07-2016
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    По моему вопросу подскажите что я делаю не так
     
    В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.  
     
    Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит  
    UP  
    /interface ovpn-client set VPN1 disabled=yes  
    /interface ovpn-client set VPN2 disabled=no  
     
    DOWN  
    /interface ovpn client set VPN2 disabled=yes  
    /interface ovpn client set VPN1 disabled=no  
     
    сам NetWatch статус меняет при падение канала, как мне правильно сделать??

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 04:16 06-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout

    Цитата:
    А как правильно прописать блокировку хождения сетей впн-клиентов (192.168.1.0, 192.168.2.1 и т.д.) на 192.168.222.0 и при этом оставить обмен между 192.168.111.0?  
    Как понимаете, вместо сетей 192.168.1.0, 192.168.2.1 могут оказаться другие

    Запрещающее правило на форвард, для не нужных сетей, для нужных в исключение добавте.
     

    Код:
    /ip firewall filter
    add action=drop chain=forward dst-address=!192.168.222.0/24 dst-address-list=\
        list_ip_all src-address=!192.168.111.0/24
     

    В адрес лист list_ip_all добавить весь диапазон адресов 192.168.0.0/16 можно еще указать и src адрес лист
     

    Цитата:
    И как динамически добавлять маршруты на ВПН сервер в сети клиентов? ППП-сикрет-роут ?? В каком формате? Вики смотрел, но не понял

     
     
    192.168.0.0/24 192.168.150.1 1,192.168.1.0/24 192.168.150.1 1,192.168.2.0/24 192.168.150.1 1
     
    можно и без метрики
     
    192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1
     
     

    Код:
    /ppp secret
    add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\
        192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 11:02 06-07-2016 | Исправлено: alexnov66, 20:00 06-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    192.168.х.0/24 - это подсети клиентских роутеров?
    192.168.150.1 - адрес сервера ВПН?
     
    Если так, то тогда динамически получится маршруты:
    192.168.х.0/24 via 192.168.150.1?
     
    Но мне ведь нужно вместо ...150.1 что б был адрес ВПН клиента!
     
    Да, и вроде для ОВПН (как у вас) не работает:

    Цитата:
    Routes that appear on the server when the client is connected. The route format is: dst-address gateway metric (for example, 10.1.0.0/ 24 10.0.0.1 1). Several routes may be specified separated with commas. This parameter will be ignored for OpenVPN.

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 11:22 06-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout
    Я лиш пример привёл как на микротике в настройках клиента прописываются маршруты.
    192.168.150.1 это адрес выдаваемый клиенту на микротике, и маршруты создаваемые на сети находящиеся за клиентским микротиком или другим оборудованием подключающихся к основному микротику, если вам нужно прописывать маршруты в программе ovpn у клиента на компьютере то это не в эту тему.
    Адрес сервера выдаваемый клиенту прописывается в профиле этого клиента на микротике, конечно можно указать и в самих настройках клиента. Там же в примере указан remote-address удалённый адрес
     
    Передавать маршруты считаю извращением, разруливать должно оборудование провайдера и клиентское оборудование не должно знать как и куда идёт трафик.
    Если у вас на микротике правильно прописаны маршруты к нужным сетям то не зачем их передавать клиенту.
     

    Цитата:
    Да, и вроде для ОВПН (как у вас) не работает:

    разници нет по какому сервису подключается клиент, прописывается в настройках клиента подключающегося к микротику, на самом микротике к которому подключается пользователь компьютером или оборудованием.
    Даже исли не сработает для ovpn то что мешает прописать маршрут статически на микротике.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 11:29 06-07-2016 | Исправлено: alexnov66, 12:09 06-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    ну так если у меня клиенты получают адреса из пула при подключению к ВПН? я ж не могу заранее его знать
    Все дело в том, что мне нужно доступ только к локалке сервера ВПН, и ни инет ни другие подсети  анонсировать не нужно. Поэтому галка "добавлять дефолтный маршрут" снята

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 12:10 06-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout
    В мангле пометте весь диапазон выдаваемый клиентам ovpn и разруливайте на микротике их куда хотите прописав маршрут к внутренней сети, тогда пропишите маршрут на микротике один и не нужно их плодить при подключении каждого пользователя. можно попробовать прописать в роутах в рулес, проверте должно работать.
     

    Код:
    /ip route rule
    add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
        192.168.1.0/24 table=ovpn
    add action=lookup-only-in-table dst-address=192.168.111.0/24 src-address=\
        192.168.2.0/24 table=ovpn

     
    И маршрут пропишите на эту метку через интерфейс к локалке, это в место правил в мангле.
    Естественно в фильтре должен быть разрешен форвард трафика для нужных диапазонов адресов и включен маскардинг между ними в нат

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 12:18 06-07-2016 | Исправлено: alexnov66, 12:42 06-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    у меня ж сайт-ту-сайт, а не удаленные клиенты

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 12:43 06-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout
    Вы сами не знаете чего хотите, вам нужен доступ ovpn клиентов к локалке, я вам привел как прописать, а что там сайт или десятки серверов должно работать.
    Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 12:48 06-07-2016 | Исправлено: alexnov66, 12:56 06-07-2016
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Друзья, помогите пожалуйста пробросить порт на qqBittorrent. Стыдно даже признаваться, честное слово. Но не пойму, что не так делаю - не работает.
    Тик смотрит в инет интерфейсом 0_PPPoE
    qBittorrent слушает порт 13162 на компе с адресом 192.168.2.26, который и получает от тиковского DHCP.
    Создаю 2 правила:

    Код:
    chain=dstnat
    protocol=tcp
    dst-port=13162
    in-interface=0_PPPoE
    action=dst-nat
    to-address=192.168.2.26
    to-ports=13162

     
    второе такое же, только для протокола UDP.
    Не работает. В qBittorrente горит желтый кружок и отдачи нет.
    Подсобите пожалуйста.

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 18:25 06-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Germanus
    для проброса портов нужно еще второе правило, с форвард

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 19:14 06-07-2016
    Germanus



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    melboyscout
    В файрволе, в смысле? Я это в NAT создал эти 2 правила.

    Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 19:22 06-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Germanus
    именно...
    Слишком старо, поновее
    alexnov66

    Цитата:
    а что там сайт или десятки серверов должно работать.  

    причем тут это, у меня ВПН для site-to-site, а не "доступ сотрудника в корпоративную сеть".

    Цитата:
    Вообще если нужен доступ к серверу к примеру web на сайт с внешнего реального ip адреса то делается проброс портов.

    об этом никто и не заикался.
     
    Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН.

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 19:38 06-07-2016 | Исправлено: melboyscout, 19:44 06-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Germanus
     
    Кроме правил проброса должны быть правила в фаере разрешающее подключение на input
    Можно включить upnp на микротике и правила проброса должны создаваться автоматически.
     
     
    melboyscout

    Цитата:
    Вопрос остается открытым - что прописать, чтобы динамически создавались маршруты при подключении удаленных подсетей по ВПН

    я вам приводил пример прописывания маршрута, при подключении маршрут будет создаваться автоматически а при отключении удаляться. Прописывается в настройках клиента на микротике.
     

    Код:
    /ppp secret
    add name=user-ovpn password=user-ovpn profile=ovpn150 remote-address=\
        192.168.150.1 routes="192.168.0.0/24 192.168.150.1,192.168.1.0/24 192.168.150.1,192.168.2.0/24 192.168.150.1" service=ovpn

     
    Еще раз повторяю это лиш пример, пропишите то что вам надо, к такой то сети через такой то адрес, насколько помню можно указать не адрес а имя интерфейса.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 19:53 06-07-2016 | Исправлено: alexnov66, 20:07 06-07-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru