Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    то есть из внутренней сети по внешнему ip по RDP на сервер не зайти. Как сделать чтоб работало?  

    ЗДЕСЬСсылка

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 22:02 17-05-2019
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HERSOFT
    Цитата:
    ЗДЕСЬСсылка

    Неужели и впрямь достаточно одного правила чтобы зайти по внешнему IP-адресу из локальной сети?
    Везде пишут, что для этого нужны 2 или 3 правила.
    Чего то слабо в это верится ...

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 22:43 17-05-2019 | Исправлено: 4seasons, 22:48 17-05-2019
    Sashaiv

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ЗДЕСЬСсылка
    не работает

    Всего записей: 9 | Зарегистр. 18-04-2019 | Отправлено: 22:52 17-05-2019
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sashaiv
    Цитата:
    не работает  

    А как тут пишут - работает?

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 23:38 17-05-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sashaiv
    В правиле для внутренней сети нужно использовать src-nat

    Код:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=101.102.103.104 dst-port=80 protocol=tcp to-addresses=192.168.0.134 to-ports=80
    add action=src-nat chain=srcnat dst-address=192.168.0.134 dst-port=80 protocol=tcp src-address=192.168.0.0/24 to-addresses=101.102.103.104
     

     
    Правило маскардинга переместите ниже правил проброса.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 01:55 18-05-2019 | Исправлено: alexnov66, 20:36 28-05-2019
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    А почему никто не даёт самый правильный URL — Hairpin NAT - MikroTik Wiki

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 11:58 18-05-2019
    4seasons



    Gold Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
    Цитата:
    А почему никто не даёт самый правильный URL — Hairpin NAT

    Таких URL-ов в инете полно и я один из них давал.
    Только развитие этого вопроса тут идет уже без его автора.
    Только Hairip очень затратный и меня заинтересовал вариант из одного правила от HERSOFT

    Цитата:
    Многие сталкивались с вопросом обращения на внешний свой ip изнутри сети чтобы например проверить как работает то или иное правило NAT...
    но к огромному сожалению такой информации очень мало очень скудно но имеется.
    Вот мое работающее решение
    / ip firewall nat
    add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.xxx protocol=tcp dst-port=0-65535 src-address=yyy.yyy.yyy.0/24 to-ports=0-65535 comment=”NAT loopback” disabled=no
     
    где xxx.xxx.xxx.xxx - внешний IP
    yyy.yyy.yyy.0/24 - внутренняя подсеть
     
    Вуаля и работает!
    С портами делайте все что хотите)))

    Кто нибудь его проверял?

    Всего записей: 5510 | Зарегистр. 31-05-2009 | Отправлено: 13:19 18-05-2019 | Исправлено: 4seasons, 13:42 18-05-2019
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Столкнулся сегодня со странным. Proxmox + MikroTik CHR. Нужно было сменить mac адрес на wan интерфейсе. Меняю, терминал принимает команду, но mac адрес не меняется. Пол часа поизвращался, но так mac адрес и не сменил.
     
    Единственное объяснение это то что Proxmox не дает менять виртуальные интерфейсы из-за бриджа с реальными.
     

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 15:24 18-05-2019
    Zigic

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    нужна помощь, Микротик настроен в режиме умного свитча. Схем такая:
    Приходит транковый кабель от cisco - потом каждому порту настроен определенный vlan. Так вот, встала необходимость настроить на нем простую раздачу wifi. Застрял в самом начале, как интернет из vlana? как создать wan интерфейс? может кто видел пример настройки подобного типа?

    Всего записей: 143 | Зарегистр. 07-04-2012 | Отправлено: 10:22 21-05-2019
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zigic
    WAN
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 10:25 21-05-2019
    Zigic

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    делал так, не получает адрес. Свитч настроен такими командами:
    /interface bridge
    add name=bridge1 vlan-filtering=no
     
    /interface bridge port
    add bridge=bridge1 interface=ether24
    add bridge=bridge1 interface=ether7 pvid=160
     
    /interface bridge vlan
    add bridge=bridge1 tagged=ether24 untagged=ether7 vlan-ids=160
     
    /interface bridge set bridge1 vlan-filtering=yes

    Всего записей: 143 | Зарегистр. 07-04-2012 | Отправлено: 10:33 21-05-2019
    fakintosh



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Zigic
     
    Надо из локалки выкинуть интерфейс на который нужно ловить интернет

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!

    Всего записей: 2156 | Зарегистр. 02-01-2009 | Отправлено: 10:41 21-05-2019
    Zigic

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh
    как это сделать командами на микротике? или мне тупо из одного порта(vlan) миrротика кинуть патч на другой порт, который сделать WANом?)

    Всего записей: 143 | Зарегистр. 07-04-2012 | Отправлено: 11:03 21-05-2019
    leosart



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый день! Изначально была проблема:

    Цитата:
    Добрый день, уважаемые! Подскажите, кто сталкивался, как правильно настроить на микротике бондинг с раунд робином двух входящих провайдеров (eth1 и eth2)?  
    Суть самой проблемы в том, что за роутером телефония и операторы. Когда операторы звонят клиентам начинают теряться голосовые пакеты, плюс сам винбокс тормозит и выбрасывает меня (я к нему подключаюсь из инета). И впнщиков тоже отключает.  
    К виндоксу подключаюсь на внешний IP интерфейса eth1, на енго же и впнщики подключаются. У провайдеров транков разрешены обы наших внешний IP.  
    Или микрот с бондингом внешних каналов не умеет работать?


    Цитата:
    vklp  
    Приоритеты не менял, но и в правду очень странно все срабаотывает...  
    Просмотрел РСС, да, пожоже то что надо, спасибо!  

    Настроил РСС по примеру такой инструкции, у меня два плюс-минус одинаковых канала. Надеялся, что это исправит проблему с потерей голосовых пакетов, но не помогло. Подскажите, что можно еще попробовать. Или может есть какой-то ньюанс для именно голосовых пакетов?

    Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 12:52 27-05-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leosart
    PCC к приоритезации отношения не имеет, для приоритезации нужно настраивать очереди.
    Нужно ещё смотреть загрузку интерфейсов, ЦП и потери до IP адресов серверов телефонии в те моменты, когда проблема наблюдается.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 13:30 27-05-2019
    vertex4

    Moderator
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    leosart
    Есть такой нюанс, что голосовой трафик нельзя пускать по разным каналам. Так как кроме скорости, они должны быть схожи по задержкам/джиттеру, что для голоса критично.
    vklp
    Голосовой трафик нет смысла держать в буфере. Лучшей тактикой будет его отбросить, чем получить с задержкой  
     
    Добавлено:
    В действительности, бондинг внешних каналов - это так себе идея, надо понимать ограничения и отдавать себе отчет в том, что если часть пакетов придет с одного оператора, часть с другого - многие серверы посчитают это атакой и отбросят такие пакеты. Особенно этим "грешат" всякие он-лайн банкинги и т.п.

    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 13:49 27-05-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Есть такой нюанс, что голосовой трафик нельзя пускать по разным каналам.

    Ага, Мизулина запретила?

    Цитата:
    Голосовой трафик нет смысла держать в буфере. Лучшей тактикой будет его отбросить, чем получить с задержкой  

    Я где-то писал про буфер?

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 14:04 27-05-2019
    leosart



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vklp

    Цитата:
    Нужно ещё смотреть загрузку интерфейсов, ЦП и потери до IP адресов серверов телефонии в те моменты, когда проблема наблюдается.

    Нагрузка на интерфейсы совсем не большая, на ЦП тоже. Операторы и телефония в одной сети, между ними потерь нет, потери за шлюзом нет возможности смотреть.
    Проблема постоянная, как только добавляю маршруты. Маршруты выключил - проблемы нет, но и баланса между провайдерами нет, все идет только на первого провайдера.

    Всего записей: 135 | Зарегистр. 05-07-2010 | Отправлено: 19:05 27-05-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leosart

    Цитата:
    как только добавляю маршруты

    Выложите результат export hide-sensitive когда проблемы нет и экспорт, когда проблема наблюдается, на pastebin или сюда, вот и сравним.
     

    Цитата:
    отери за шлюзом нет возможности смотреть

    Не понял, что мешает запустить tools - ping до сервера или tools - traceroute?

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 19:25 27-05-2019 | Исправлено: vklp, 19:28 27-05-2019
    Sashaiv74

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А как тут пишут - работает?


    Цитата:
    Таких URL-ов в инете полно и я один из них давал.
    Только развитие этого вопроса тут идет уже без его автора.
    Только Hairip очень затратный и меня заинтересовал вариант из одного правила от HERSOFT

     
    автор немного приболел
     
     ip firewall nat
    add chain=srcnat action=src-nat to-addresses=xxx.xxx.xxx.xxx protocol=tcp dst-port=0-65535 src-address=yyy.yyy.yyy.0/24 to-ports=0-65535 comment=”NAT loopback” disabled=no  
     
    не работает. по крайней мере с маскарадингом в одну сторону. с маскарадингом без указания внешнего интерфейса работает обычный проброс порта из внутренней сети аналогичный правилу проброса с внешней сети. даже работает одно правило если убрать из правила проброса источник и интерфейс. но так неправильно. я настроил Hairpin NAT третье правило которого по сути тот же обратный маскарадинг для частичного случая. работает.
    еще есть вопросы. помнится в предыдущих пошивках обязательно надо было в фаерволе открывать порт rdp. сейчас работает без этого правила. Для цепочки инпут правило нужно (например для SSH)
     
    обясните о порядке правил в NAT. у меня первый стоит маскарадинг, потом остальные пробросы. в предыдущей прошивке правила не перемещались, нужно было создавать новые. какой смысл в перемещении правила маскарадинга
     
    еще подскажите, есть практический смысл сегодня делать прозрачный прокси сервер в микротике?
    как лучше сделать  - все ip сети динамические (потом в микротике сделать make static) или пусть постоянные хосты будут со статическими ipне очень понятно мне о net flow микротика - что можно сделать с его помощью.
    тчно хочу сделать систему мотиторинга, рекомендуют DUDE. но думаю может что нибуть универсальное можно прикрутить, так сказать с прицелом на будущее или остановиться на Dude/
     
    вопросов много. но не прошу разжевывать, напишите мнения что сделать то и то для безопасности и то и то для того, а там уже буду сам изучать

    Всего записей: 8 | Зарегистр. 19-07-2011 | Отправлено: 17:48 28-05-2019 | Исправлено: Sashaiv74, 17:58 28-05-2019
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru