ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anshboard в DHCP-клиенте не стоит ли галка "Add Default Route"? Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 14:30 05-12-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору RB1200 + 5.10(pre). Сегодня был ребут и следом ещё около 4-ёх. Ожил, минут 10 как спокойно. Залил 5.8 поидее после ребута сам апгрейднется ежели что. Мдя ... Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 16:18 05-12-2011

Smito1 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka я знаю ты меня выручишь, уже много раз выручал, перечитал всю тему, перепробовал все, но так и не смог ограничить p2p нужно собственно заблокировать весь торрент трафик кроме одного айпи в сети, выручи... Всего записей: 373 | Зарегистр. 19-12-2006 | Отправлено: 16:40 05-12-2011 | Исправлено: Smito1, 16:45 05-12-2011

skynet120 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: 1. используем  NAT     Код:   chain=srcnat action=src-nat to-addresses=8.8.8.8 src-address=192.168.0.4        out-interface=ether1-wan-primary     в данном примере у нас есть адрес 8.8.8.8 от машего провайдера и он у нас на интерфейсе ether1-wan-primary, 192.168.0.4 адрес того кто будет выходить через него в мир.   Вы тут не указываете протокол, это означает что перенаправляется любой протокол? Всего записей: 202 | Зарегистр. 28-01-2009 | Отправлено: 18:43 05-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору slech Цитата: Залил 5.8 поидее после ребута сам апгрейднется ежели что не проапгрейдится. апгрейд производится перед ребутом supout.rif'ы делали, в суппорт слали?   Smito1 чтобы зарезать p2p, есть один верный способ - заблокировать forward и слать всех принудительно на прокси )) в противном случае p2p всё равно кудой-нибудь пролезет   так что остаётся второй вариант - маркировать весь трафик, потом перемаркировывать легитимный трафик (типа хттп/хттпс) - и направлять хотя бы первый в ограниченную по скорости очередь   Добавлено: skynet120 Цитата: не указываете протокол, это означает что перенаправляется любой протокол? именно так Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 19:03 05-12-2011

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka По повроду PCC Цитата:   теперь надо сделать через второго прова. всё остальное там уже есть     А вот нихрена,  видимо, наружу улетало всё через приоритетный дефолтный маршрут. Приконнектиться можно было только к нему.   Поскольку микротики у меня виртуализованные, я вернулся к на схеме с тремя роутерами: два занимаются натом на границе с провайдерами, а третий - дефолтный шлюз локалки и PCC.  Так и конфиги лаконичнее и более управляемы, и сеткам промежуточным (между микротиками которые) находится применение: приземляю туда впн-клиентов...       Осталась мелочь: добиться, чтобы срабатывал check-gateway на дефолтном шлюзе при падении провайдерского линка.     Как это лучше сделать? Скриптом гасить-поднимать внутренний интерфейс на граничных роутерах? Пример такого скрипта есть? Всего записей: 17493 | Зарегистр. 14-10-2001 | Отправлено: 22:13 05-12-2011 | Исправлено: LevT, 22:20 05-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT Цитата: А вот нихрена,  видимо, наружу улетало всё через приоритетный дефолтный маршрут ну, если правила брались напрямую из вики, без изменений, то должно работать: prerouting маркирует входящий канал, "connection-mark=no-mark" не даёт перемаркировать его правилам pcc   Цитата: добиться, чтобы срабатывал check gateway на дефолтном шлюзе при падении провайдерского линка открываем нашу постоянную рубрику "минутка саморекламы": http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 22:21 05-12-2011

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Кажись, сообразил, в чем могла быть загвоздка: у одного из провов по дороге встречаются частные адреса 192.168....   Дефолтный как раз другой.       Добавлено:   Означает ли это, что мне надо попросить второго прова как-то доконфигурить свои роутеры? Как? Всего записей: 17493 | Зарегистр. 14-10-2001 | Отправлено: 22:35 05-12-2011 | Исправлено: LevT, 22:38 05-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT "по дороге" вообще никак не должно влиять Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 22:43 05-12-2011

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Это если они правильно сконфигурены. А если сюрприз какой? Всего записей: 17493 | Зарегистр. 14-10-2001 | Отправлено: 23:11 05-12-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka моему горю не поможешь? Я помню что ты не любишь ковыряться в чужих конфигах, но все же... Всего записей: 534 | Зарегистр. 30-01-2008 | Отправлено: 23:16 05-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору .   Добавлено: LevT Цитата: А если сюрприз какой? какой?   ramzes83 люблю, когда люди дают ссылки на горе   этому горю? http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=2700#17   Цитата: чтобы полностью скрыть локалку от провайдера что нужно использовать? искусственный интеллект. что понимается под "полностью"? NAT легко вычисляется хотя бы по TCP Sequence, или как там... в инете полно статей. а вообще - да, NAT + неизменение TTL творят чудеса "на глаз"   Цитата: из вне отлично видно мой локальный IP ну так отключить проксю, которая адрес палит   Цитата: планируется 2 разделенные подсети. Объединить в бридж или назначить один порт мастером, остальные к нему подключить? Критичная разница есть в этом? "friends never let friends bridge their networks" =) использовать два раздельных интерфейса - только маршрутизация!   Цитата: если на один интерфейс повесить 2 адреса разных подсетей. ..0.1 и ..1.1 например. онда с DHCP вторая без него. К первой будут применяться правила блокировок, вторая будет без них (приходящие ноуты в ремон для быстрого подключения к сети) или нет, не так...   В APR таблице привязка IP+mac. Как добавить несколько IP для которых привязка не требуется???   DHCP вешается не на подсеть, а на интерфейс. какая привязка? reply-only или статические записи? Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 00:45 06-12-2011 | Исправлено: Chupaka, 00:46 06-12-2011

sumyst Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Господа, кто-нибудь мне ответит? У кого наблюдалась такая же картина с большими задержками пакетов при использовании IPSEC? Всего записей: 287 | Зарегистр. 24-08-2010 | Отправлено: 03:09 06-12-2011

Smito1 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka промаркировал входящий и исходящий трафик, так же входящий исходящий  p2p трафик, не знаю надо нет, а что дальше...   перемаркировывать легитимный трафик (типа хттп/хттпс), смысл понял но как сделать не знаю, подскажи пжл Всего записей: 373 | Зарегистр. 19-12-2006 | Отправлено: 09:50 06-12-2011

skynet120 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Цитата: не указываете протокол, это означает что перенаправляется любой протокол?   именно так   не выходит, определяет что человек выходит в мир с общим ip а не с тем что я ему прописал Всего записей: 202 | Зарегистр. 28-01-2009 | Отправлено: 11:31 06-12-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Smito1 Цитата: перемаркировывать легитимный трафик (типа хттп/хттпс), смысл понял но как сделать не знаю например, protocol=tcp dst-port=80 action=mark-packet new-packet-mark=http protocol=tcp src-port=80 action=mark-packet new-packet-mark=http   dialup4eg /ip route add gateway=pppoe-out2 routing-mark=wan2 затем либо /ip route rule add dst-address=8.8.8.0/24 action=lookup table=wan2 либо /ip firewall mangle add chain=prerouting dst-address=8.8.8.0/24 action=mark-routing new-routing-mark=wan2   skynet120 Цитата: определяет что человек выходит в мир с общим ip а не с тем что я ему прописал кто как определяет? а правило пакетики считает? а оно находится выше общего правила в списке? Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 12:34 06-12-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: не проапгрейдится. апгрейд производится перед ребутом supout.rif'ы делали, в суппорт слали?   да, так и получилось. downgrade выполнил вручную. с 5.10 supout.rif неуспел сделать. там 3-5 ребутов подряд, я всё спешил откатиться. буду ждать офф. 5.10 - может тогда попробую. Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 14:30 06-12-2011

skynet120 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: а оно находится выше общего правила в списке? тут то и ошибка похоже, поменял, позже проверю   P.S. а можно указать не для одного пользователя, а для группы пользователей Всего записей: 202 | Зарегистр. 28-01-2009 | Отправлено: 15:15 06-12-2011 | Исправлено: skynet120, 15:25 06-12-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование