Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прописано с - это я тут не поставил, Просто когда уходит в Down VPN1 не отключается и продолжает работать и соответственно VPN 2 не поднимается

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 06:58 12-07-2016 | Исправлено: IvanovEv, 07:03 12-07-2016
    basic8333

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    alexnov66

     
    Убрал маркировку сетей 192.168.0.0 и 192.168.88.0 теперь я так понимаю все идет по дефолтному маршруту. Маршруты прописаны и для сети 0.0 и для сети 88.0 в конфиге. Все равно при пинге с 88.0 на 192.168.0.31 пишет заданная сеть недоступна.

    Всего записей: 5 | Зарегистр. 30-06-2016 | Отправлено: 10:05 12-07-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    IvanovEv
    а он точно в down уходит?.. а если те команды скопировать (именно скопировать, а не набрать ручкам, как вы в том сообщении сделали) в Терминал - они отрабатывают?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:04 12-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DevilCore
    У регистратора доменного имени делаете srv запись на нужное доменное имя и порт, а на микротике пробрасываете эти порты на нужный компьютер.
     
     
    basic8333
    Я не говорил убрать, трафик к каждой сети нужно метить разными метками а не одной, так же попробуйте добавить правило маскардинга без указания адресов и интерфейсов. По дефолтному маршруту в интернет должны идти все кто не завернут другими маршрутами.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 01:59 13-07-2016 | Исправлено: alexnov66, 02:16 13-07-2016
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    Да он точно в Down уходит, проверил через терминал все срабатывает, вечером попробую канал отрубить

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 02:32 13-07-2016 | Исправлено: IvanovEv, 03:01 13-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IvanovEv

    Код:
    UP  
    /interface ovpn-client set VPN1 disabled=yes  
    /interface ovpn-client set VPN2 disabled=no  
       
    DOWN  
    /interface ovpn client set VPN2 disabled=yes  
    /interface ovpn client set VPN1 disabled=no

    У вас неправильная команда, должно быть так
     

    Код:
    /interface disable vpn1;
    /interface enable vpn2;

     
    Можно поставить секундную паузу между командами
     

    Код:
    /interface disable vpn1;
    delay 1;
    /interface enable vpn2;

     
    Или вашу команду изменить вот так

    Код:
    /interface set vpn1 disabled=yes;
    delay 1;
    /interface set vpn2 disabled=no;
     

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 02:37 13-07-2016 | Исправлено: alexnov66, 03:48 13-07-2016
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    И команда отработает если интерфейс включен а если он выключен то работать не будет, это если прописано в самом интерфейсе.

     
     
    Это получается 2 интерфейса должны быть включены?

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 03:07 13-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IvanovEv
    Нет, маленько не то написал что думал, и как выше подметили у вас ошибка в написании команды
     

    Код:
    /interface ovpn client set vpn1 disabled=yes

     
    В слове ovpn client нехватает дефиса.
     

    Код:
    UP  
    /interface ovpn-client set VPN1 disabled=yes;  
    /interface ovpn-client set VPN2 disabled=no;  
       
    DOWN  
    /interface ovpn-client set VPN2 disabled=yes;
    /interface ovpn-client set VPN1 disabled=no;

     
    Так же важен регистр названия интерфейса, VPN1 и vpn1 не одно и то же, должно быть одинаково как в названии интерфейса так и в команде. Привыкайте писать в нижнем ригистре, никогда не ошибётесь в названии.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 03:16 13-07-2016 | Исправлено: alexnov66, 03:50 13-07-2016
    IvanovEv

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    Спасибо  понял где у меня была ошибка. я в правиле не поставил в конце ; сейчас все заработало
    еще раз Спасибо

    Всего записей: 61 | Зарегистр. 18-09-2012 | Отправлено: 04:12 13-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    IvanovEv
    знак конца строки в написании скрипта или команды обязательно должен быть, хотя должно работать и без знака.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 06:02 13-07-2016 | Исправлено: alexnov66, 10:24 13-07-2016
    ProFiler

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго дня всем.
    Проблема из разряда мистических.
    Маршрутизатор RB2011UiAS-2HnD.
     
    Задействованы три интерфейса Internet, LAN, VPN.
    Проблема - из LAN нет доступа к сети за VPN, с маршрутизатора - есть. (Ping с LAN интерфейса на 172.20.х.х и 10.112.x.x не идет дальше 172.20.30.17)
     
    Аналогичная конфигурация на RB2011UiAS работает как часы.
    Вывихнул мозг, прошу помощи коллективного разума.
     
    Конфигурация

    Код:
    # jul/13/2016 15:39:30 by RouterOS 6.35.4
    # software id = KRAK-N2EC
    #
    /interface ethernet
    set [ find default-name=ether1 ] name=e1-Internet
    set [ find default-name=ether2 ] name=e2-LAN
    set [ find default-name=ether3 ] name=e3-VPN
    /ip ipsec proposal
    set [ find default=yes ] enc-algorithms=aes-128-cbc
    /ip settings
    set accept-redirects=yes accept-source-route=yes
    /ip address
    add address=192.168.100.5/24 interface=e1-Internet network=192.168.100.0
    add address=172.20.4.252/24 interface=e2-LAN network=172.20.4.0
    add address=172.20.30.17/30 interface=e3-VPN network=172.20.30.16
    /ip dns
    set servers=194.158.196.137,194.158.196.141
    /ip dns static
    add address=10.112.0.10 name=xxxx
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=e1-Internet
    add action=redirect chain=dstnat dst-port=80 in-interface=e2-LAN protocol=tcp \
        to-ports=8080
    /ip proxy
    set enabled=yes
    /ip route
    add check-gateway=ping distance=1 gateway=192.168.100.1
    add check-gateway=ping distance=1 dst-address=10.112.0.0/16 gateway=\
        172.20.30.18
    add check-gateway=ping distance=1 dst-address=172.20.0.0/16 gateway=\
        172.20.30.18
    /ip upnp
    set enabled=yes
    /lcd interface pages
    set 0 interfaces="sfp1,e1-Internet,e2-LAN,e3-VPN,ether4,ether5,ether6,ether7,eth\
        er8,ether9,ether10"
    /routing rip
    set distribute-default=always redistribute-connected=yes redistribute-static=\
        yes
    /routing rip interface
    add interface=e3-VPN send=v1-2
    /routing rip neighbor
    add address=172.20.30.18
    /routing rip network
    add network=172.20.30.16/30
    /system clock
    set time-zone-name=Europe/Minsk
    /system ntp client
    set enabled=yes primary-ntp=48.8.30.41 secondary-ntp=91.206.16.4
    /system routerboard settings
    set protected-routerboot=disabled

    Всего записей: 91 | Зарегистр. 13-04-2004 | Отправлено: 09:52 13-07-2016 | Исправлено: ProFiler, 09:56 13-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ProFiler
     
    Конфиг представлен не полностью, возможно трафик не разрешен из одной сети в другую.
    Маскардинг включите из одной сети в другую.
    попробуйте выполнить такие команды
     

    Код:
    /interface bridge settings
    set allow-fast-path=no
    /ip settings
    set allow-fast-path=no
     

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 10:11 13-07-2016 | Исправлено: alexnov66, 10:33 13-07-2016
    ProFiler

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    И, да, внутри маршрутизатора взаимно не пингуются интерфейсы. Криво встала прошивка?

    Всего записей: 91 | Зарегистр. 13-04-2004 | Отправлено: 10:24 13-07-2016
    Muslihiddin

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кто нибудь настраивал routerbord rb411 с карточкой r52 и к ним подключаеться nanostation m2 для приём и раздачи интернета?

    Всего записей: 9 | Зарегистр. 08-07-2016 | Отправлено: 10:28 13-07-2016
    friendsbbs2

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уже один раз писал, но как-то безрезультатно. Помогите пожалуйста кто нибудь! Цитирую прошлое сообщение:
     
    Понадобилось поменять точку доступа в офисе (задолбало постоянно перегружать старую), как самый стабильный вариант, и с упором на будущее, посоветовали взять MikroTik. Прикупили 951Ui-2HnD. Обычную точку доступа я из него сделал. Но, так как возможностей железки уйма, хочется по максимуму их использовать.
    Железка используется как обычная точка доступа - подключена в локальную сеть офиса и раздаёт WiFi.
    В планах - поднять на ней две WiFi-сети - одну гостевую, с ограничением скорости, WPA2 PSK аутентификацией, и изоляцией клиентов, и вторую сеть офисную - с авторизацией через RADIUS, что бы сотрудники подключались к сети используя свои доменные учётки.
    И вот тут я столкнулся с проблемой - не получается настроить связку с RADIUS-сервером. Не вижу вообще никаких попыток авторизаций, ни в логе микротика, ни в логе радиуса. Все доки и мануалы которые я находил, они описывают настройку либо с использованием Hotspot'а, либо настройку vpn. Но мне ни того, ни другого не нужно. Нужен просто WiFi с авторизацией через радиус. Такое вообще возможно на этой железке? Или я зря бьюсь?  
    В качестве RADIUS-сервера выступает Microsoft NPS на WinServ2008R2, прошивка на микротике 3.24 (MikroTik RouterOS 6.30.4)
     
    ЗЫ. В идеале хотелось бы пошаговую инструкцию, как такое сделать, учитывая особенности конкретной версии RouterOS (6.30.4), а то ползая по мануалам находил приличные расхождения в версиях - то ли что-то куда-то перенесено, то ли вообще отсутствует в данной версии.
     
    ЗЗЫ. Вот в этом посте http://forum.ru-board.com/topic.cgi?forum=8&topic=70009&start=200#6 кидал скриншоты настроек радиус-клиента и Wireless Security Profile, по просьбе Chupaka.

    Всего записей: 4 | Зарегистр. 04-02-2016 | Отправлено: 12:24 13-07-2016
    DevilCore



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Я правильно вас понял?
    Надо сделать srv запись с  
    aa.bb.cc:22
    ab.bb.cc:22
    bb.bb.cc:22
    Но как сделать проброс на микротике если порт то везде один и тот же?
    Как я вычитал про syn - ничего у меня не получится.
    Вариант изменения порта - единственный если входящее соединение приходит на измененный уже порт, например 223/224/225 и т.п, но это жанглирование портами, от которого я хочу уйти
    И второе - не весь софт позволяет менять порты подключения(ssh указал для примера)

    Всего записей: 41 | Зарегистр. 22-12-2008 | Отправлено: 12:56 13-07-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DevilCore
     
    Для того и делается srv запись, там указывается протокол, порт и http запрос, ну или любой какой сервис работает на каком порту, и имя его, что бы заходить не по ссылке
    http://moy_sait:8080/
    а по стандартной
    http://moy_sait/
    и следовательно пробрасываете этот порт на нужный компьютер. В итоге получается разные имена работают на разных портах.
    Это всё в теории, на практике не проверял.
     

    Цитата:
    но это жанглирование портами, от которого я хочу уйти

    Иначе ни как, или покупайте на каждое имя свой ip адрес.
    Или делайте запрос по 80 порту на один компьютер с апачем а он уже редиректит по другой ссылке с нужным портом и следовательно будет отзываться нужный комп, но опять же если программа не даёт изменить порт запроса то этот вариант не приемлем.
     
    Добавлено:
    friendsbbs2
    Какой биллинг или радиус где стоит, вообще прикручивал нормально работает.
    Вот тут посмотрите пример настройки

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 07:51 14-07-2016 | Исправлено: alexnov66, 08:28 14-07-2016
    friendsbbs2

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     

    Цитата:
    Какой биллинг или радиус где стоит,

    Биллинга нет. Он ни к чему. А радиус - это Microsoft NPS на WinServ2008R2.
     

    Цитата:
    Вот тут посмотрите пример настройки

    Интересная статья, полезная. Спасибо. На досуге почитаю.

    Всего записей: 4 | Зарегистр. 04-02-2016 | Отправлено: 11:04 14-07-2016
    Joo1z



    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не могу сообразить.
    Есть точка доступа с ip 192.168.5.240
    На ней WiFi с гостевой сетью 10.11.12.0/24, 10.11.12.13 и VLAN 1010
    На микротике:  

    Код:
    /interface bridge add arp=proxy-arp name=bridge_local protocol-mode=none
    /interface vlan add interface=bridge_local l2mtu=1586 name=BR-G_VLAN1010 vlan-id=1010
    /ip pool add name=BR-G_POOL ranges=10.11.12.55-10.11.12.99
    /ip dhcp-server add add-arp=yes address-pool=BR-G_POOL disabled=no interface=BR-G_VLAN1010 lease-time=12h name=BR-G_DHCP
    /interface bridge port
    add bridge=bridge_local interface=ether1
    add bridge=bridge_local interface=ether2
    add bridge=bridge_local interface=ether3
    add bridge=bridge_local interface=BR-G_VLAN1010
    /ip address
    add address=192.168.5.254/24 interface=bridge_local network=192.168.5.0
    add address=10.11.12.13/24 interface=BR-G_VLAN1010 network=10.11.12.0
    /ip dhcp-server network add address=10.11.12.0/24 dns-server=77.88.8.1 gateway=10.11.12.13 netmask=24
    /ip dns set allow-remote-requests=yes servers=77.88.8.1,192.168.5.5
     

    пишет
    Код:
    # DHCP server can not run on slave interface!

    Да и при назначении адреса принудительно пинг не идёт. Где ошибка?
     
    Я так понял что
    Код:
    /interface bridge port add bridge=bridge_local interface=BR-G_VLAN1010
    лишнее.
     
    В общем, задача такая: с точки доступа дать выход в интернет, но не видеть внутренних сетей.

    Всего записей: 123 | Зарегистр. 17-02-2009 | Отправлено: 12:05 14-07-2016 | Исправлено: Joo1z, 12:11 14-07-2016
    melboyscout



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Joo1z
    так, если нужно что б были сбриджованы вилан и локалка
    /ip dhcp-server add add-arp=yes address-pool=BR-G_POOL disabled=no interface=[strike]BR-G_VLAN1010
    bridge_local lease-time=12h name=BR-G_DHCP[/strike]
     
    Не, исключите вилан из бриджа

    Всего записей: 2000 | Зарегистр. 16-02-2010 | Отправлено: 12:29 14-07-2016 | Исправлено: melboyscout, 12:31 14-07-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru