Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    изначально первый порт для WAN

    Нет в RouterOS деления физических портов по назначению.
    Как сконфигуришь, так и будет.
    В дефолтной конфиге (заводской) первый порт только потому WAN, что в правиле маскарада он обозначен как out-port.

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 21:31 24-09-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1karavan1
    И не только, на первый порт подключаетесь при востановлении микротика, на первый порт подаётся напряжение питания, между первым и вторым портом в зависимости от модели скорость максимальная, первый порт выводится из свича микротика, так что первый порт не только потому что в правиле обозначен.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 22:03 24-09-2016 | Исправлено: alexnov66, 22:07 24-09-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
    Подача PoE и возможность загрузки по tftp никак не обязывают использовать его как WAN, только правило маскарада, о чем я сказал выше.
     
    P.S.: Хотя, да, PoE и загрузка по tftp единственные отличия ether1 от остальных, но эти отличия ни как не влияют на конфигурирование девайса.
     

    Цитата:
    первый порт выводится из свича микротика

    можно пруф? не припомню вывода первого порта из свитча (аппаратного).

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 22:07 24-09-2016 | Исправлено: 1karavan1, 22:12 24-09-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1karavan1
    Использовать можно любой порт, всё упирается в возможность микротика прокачать трафик через другой порт, между первым и вторым портом скорость в зависимости от модели максимальная, между первым и остальными процентов на 60

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 22:10 24-09-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    между первым и вторым портом в зависимости от модели скорость максимальная

    Не берусь опровергать, но и без самостоятельного тестирования верить нет оснований.

    Цитата:
    первый порт выводится из свича микротика

    Пример аппаратной архитектуры несогласен с тобой.
    Раз
    Два

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 01:43 25-09-2016
    dianaa76



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    1karavan1

    Цитата:
    dianaa76  
    покажите провайдерскую инструкцию на подключение  

    Вот все инструкции http://www.e-burg.mts.ru/dom/device_assistance/modem/
    Вот для ASUS http://static.mts.ru/uploadsibir/contents/1008/vpn_asus.pdf

    Всего записей: 215 | Зарегистр. 01-04-2010 | Отправлено: 18:58 25-09-2016
    1karavan1

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dianaa76
    Чот в инструкциях разброд и шатание по размеру mtu.
    Пытался до Вашей тех.поддержки дозвониться - пол часа жизни потратил впустую.
    Попробуйте указать 1400 (не смотря на то, что в инструкциях я встретил 1400, 1450, 1460 и 1472) и отпишитесь с результатом.

    Всего записей: 382 | Зарегистр. 20-11-2015 | Отправлено: 19:56 25-09-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dianaa76

    Цитата:
    Проработал до утра, а на следующий день снова сайты не грузятся но пингуются

    Попробуйте в настройках dns указать максимальный udp пакет 1024 или даже меньше 512
     

    Код:
    /ip dns
    set max-udp-packet-size=1024

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 20:14 25-09-2016 | Исправлено: alexnov66, 20:23 25-09-2016
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    anahaym

    Цитата:
    я удалил все адреса из списка выданных, изменил пул со 100 на 2 адреса - и два устройства, для которых этот пул будет использоваться, не могут получить адрес

    а зачем пул-то для такого количества? статикой прописать два устройства - наверное, правильнее будет...
     
    Добавлено:
    alexnov66

    Цитата:
    Проработал до утра, а на следующий день снова сайты не грузятся но пингуются

    а что если

    Код:
    /ip firewall mangle  
    add chain=forward protocol=tcp tcp-flags=syn tcp-mss=!0-1448 action=change-mss new-mss=1448

    ?
     
    ну и поиграться при случае с 1448 (сделать меньше, например)

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:08 25-09-2016
    dragovich01

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    не работает у меня - всем блокируются соцсети...
    сделал как и советовали - создал лист с хорошими IP адресами и указал его в правиле с восклицательным знаком, в чем беда может быть?
     
    параметры правила такие: General> Chain-forward,Advanced> Scr. Address List - !good(IP которые должны исключаться), Layer7 Protocol - Social sites(^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*$), Action> Action-drop

    Всего записей: 104 | Зарегистр. 03-09-2014 | Отправлено: 03:44 26-09-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dragovich01
    Порядок правил в NAT и Firewall - имеет значение!  
    ну и IN интерфейс указать бы не плохо бы...

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 09:30 26-09-2016 | Исправлено: DrDEVIL666, 09:33 26-09-2016
    dragovich01

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    DrDEVIL666
    это правило у меня находится в Filter Rules пробовал в вверху размещать и внизу.

    Всего записей: 104 | Зарегистр. 03-09-2014 | Отправлено: 10:02 26-09-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dragovich01
     
    Там может уже уже настало время привести вывод команды
    /ip firewall export
    чтобы мы не гадали на кофейной гуще?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 10:18 26-09-2016
    anahaym

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А где собственно wan

    обычно это первый порт. у меня не исключение

    Цитата:
    на схеме нижний микротик включен в свич ланом а верхний ваном

    да, но на верхнем я хочу из вана сделать лан. т.е. я хочу, чтобы верхний МК работал не как роутер, а как свитч. Сейчас так и есть, но если подключить его во второй порт. При подключении в первый порт - у клиентов (третий порт) нет интернета.
    Все правила WF, маскардинга - удалены
    зелёная сеть - это сеть для кабельных подключений
    красная сеть - это сеть только для WiFi (пока так не сделал, но надо...)
     
    Добавлено:

    Цитата:
    В дефолтной конфиге (заводской) первый порт только потому WAN, что в правиле маскарада он обозначен как out-port.

    так я удалил все правила, назначил ему адрес из локальной сети - всё равно тишина

    Всего записей: 586 | Зарегистр. 24-03-2007 | Отправлено: 10:42 26-09-2016 | Исправлено: anahaym, 10:45 26-09-2016
    dragovich01

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Simply_Kot
    /ip firewall layer7-protocol
    add name="Social sites" regexp="^.+(vk.com|vkontakte|odnoklassniki|odnoklasniki|facebook|ok.ru).*\$"
    /ip firewall address-list
    add address=192.168.10.36 list=good
    add address=192.168.10.51 list=good
    add address=192.168.10.253 list=good
    add address=192.168.10.169 list=good
    add address=192.168.10.30 list=good
    add address=192.168.10.49 list=good
    /ip firewall filter
    add action=drop chain=forward comment="Block ok.ru" content=ok.ru protocol=tcp src-address=192.168.10.31
    add action=drop chain=forward comment="block vk" content=vk.com protocol=tcp src-address=192.168.10.31
    add action=drop chain=forward comment="Zapret vsem social" disabled=yes layer7-protocol="Social sites" src-address-list=!good
    add chain=input comment="Group admin - ACCEPT (22, 23, 80)" src-address-list=Admin
    add action=drop chain=input comment="HTTP block" dst-port=80 protocol=tcp
    add action=drop chain=input comment="SSH block" dst-port=22 protocol=tcp
    add action=drop chain=input comment="Telnet block" dst-port=23 protocol=tcp
    add chain=input connection-state=established
    add chain=input connection-state=related
    add chain=input protocol=gre
    add chain=input dst-port=1723 protocol=tcp
    add chain=input protocol=icmp
    add chain=forward protocol=icmp
    add chain=forward connection-state=established,related
     

    Всего записей: 104 | Зарегистр. 03-09-2014 | Отправлено: 11:05 26-09-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dragovich01
    Пакет, который уходит с адреса из листа "good" (src-address = 192.168.10.30) на сайт, например vk.com доходит по назначению, а вот ответный пакет с сайта vk.com (src-address=95.213.11.146) уже заблокируется вашим правилом.
     
    Поэтому для правил, особенно с action=drop нужно указать in-interfаce, на что вам ранее уже указывал DrDEVIL666.

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 12:50 26-09-2016 | Исправлено: Simply_Kot, 12:54 26-09-2016
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dragovich01

    Цитата:
    не работает у меня - всем блокируются соцсети

    Попробуйте так
     

    Код:
    /ip firewall layer7-protocol
    add name=block_site_social regexp="^.+(facebook.com|www.facebook.com|ok.ru|www.ok.ru|twitter.com|www.twitter.com|vk.com|www.vk.com|video.yandex.ru|music.yandex.ru|mail.ru|www.mail.ru).*\$"
     
    /ip firewall filter
    add action=drop chain=forward comment=block_site_social protocol=tcp disabled=no layer7-protocol=block_site_social src-address-list=!list_allow_social
     
     

     
    Вообще это скорее всего глюки самой системы, вот рабочий вариант блокировки и исключения определённых ip адресов без правил в layer7
     

    Код:
    /ip firewall filter
    add action=reject chain=forward comment=block_site_social dst-address-list=list_drop_social_ip protocol=tcp reject-with=tcp-reset src-address=192.168.0.0/16 src-address-list=!list_allow_social_ip
     
     

     
    В адрес листе list_allow_social_ip разрешенные адреса внутренней сети
     
    В адрес листе list_drop_social_ip доменные имена запрещенных сайтов, подчеркиваю не ip адреса а имена.

    Всего записей: 1166 | Зарегистр. 29-08-2005 | Отправлено: 18:24 26-09-2016 | Исправлено: alexnov66, 21:26 26-09-2016
    korggrodno



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите как в mikrotik simple queues правильно написать правило для узла без ограничений.
    Пытаюсь это сделать так как это описано в руководстве
    http://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%D0%BE%D0%B2%D0%BE%D0%B4%D1%81%D1%82%D0%B2%D0%B0:%D0%9E%D1%87%D0%B5%D1%80%D0%B5%D0%B4%D1%8C_%28Queue%29
    [admin@MikroTik] /queue simple> add name=server target-addresses=10.1.1.1/32 max-limit=0/0 interface=ether2
     
    Конкретно в моем случае правило выглядит так
    /queue simple add name=zenbook_lan  target=10.77.2.111 max-limit=0/0
    https://lh3.googleusercontent.com/-WhHVYZNIDzI/V-octwHA_mI/AAAAAAAADfc/gdCA_kEjmoI/s0/screenshot%2525202016-09-27%252520001.jpg
    Но оно почему-то не отфильтровывает
    Total Uploaded / Dawnload = 0 / 0
    Помогите разобраться почему?
    И как написать правильно правило?

    Всего записей: 383 | Зарегистр. 15-11-2007 | Отправлено: 10:23 27-09-2016 | Исправлено: korggrodno, 11:45 27-09-2016
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Народ ,как добавить статический маршрут в OSPF ?

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 11:33 27-09-2016
    Simply_Kot

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    korggrodno
    Может не попадает в Queues потому что по нему отрабатывает FastTrack?

    Всего записей: 229 | Зарегистр. 07-02-2007 | Отправлено: 12:56 27-09-2016
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru