Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11
актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd

FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти

Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти

    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


    		  

    		 

    		 
       


    		  

    		 
    		     
     
    		 
    		     
     
    		 
    		     
     
    		 
    		 


    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru
    // текущий бэкап шапки..
    • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    HUB107



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Помогите обьяснить провайдеру что он не прав. Или есть способ с этим NAK бороться?
     

     
    Всего записей: 340 | Зарегистр. 15-02-2005 | Отправлено: 22:09 04-05-2018 | Исправлено: HUB107, 22:10 04-05-2018
    BlackLabel



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Добрый вечер , помогите сообразить  
     
    Двум компам в сети закрыто все кроме порта TCP/UDP который используется для TeamViewer  а  
     
    закрывал таким правилом

    Код:
    chain=forward action=drop protocol=tcp src-address-list=No_Internet dst-port=!5938 log=no log-prefix=""  
    chain=forward action=drop protocol=udp src-address-list=No_Internet dst-port=!5938 log=no log-prefix=""
     
     
    В address-list=No_Internet соответсвенно 2 IP адреса  
     
    Теперь понадобилось этим же компам открыть доступ к паре  внешних IP адресов  
     
    Никак не соображу , как ни крутил то одно правило не работало то другое ...  
     
    Задача по сути такова , закрыть все кроме TeamViewera + 2 внешних ип адреса .
    Всего записей: 1046 | Зарегистр. 14-04-2004 | Отправлено: 22:10 04-05-2018 | Исправлено: BlackLabel, 22:12 04-05-2018
    Traveller

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107

    Цитата:
    Помогите обьяснить провайдеру что он не прав. Или есть способ с этим NAK бороться?  

    Подождать обновления прошивки. На форуме микротика об этой проблеме в последних версиях много пишут. Вроде, в следующих версиях должны исправить.
    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 23:02 04-05-2018
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
    А если вручную настройки прописать, после месяца мучений ушел от такого провайдера.
    Так же на интерфейсе к провайдеру проверте в каком режиме работает интерфейс Full Duplex или Half Duplex, так же можно попробовать поставить интерфейс вручную в режим 100 мегобит а не авто
    Проверте адресацию получаемую dhcp клиентом и vpn
     
    Добавлено:
    BlackLabel
    У вас эти правила блокируют всё, разрешающие правила к ip адресам поднимите выше этих правил.
    Надо делать разрешающие правила к нужным ресурсам и портам а самыми последними три правила запрещающие всё.
    Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 05:49 05-05-2018 | Исправлено: alexnov66, 06:28 05-05-2018
    HUB107



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Спасибо всем- кто ответил. Но проблема ушла после выдачей провайдером другого ip на wan. Всё же видать чё то там с dhcp у них не так.
    Всего записей: 340 | Зарегистр. 15-02-2005 | Отправлено: 08:59 05-05-2018
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    HUB107
    Когда аренда ip адреса закончится проблема повторится.
    Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 10:21 05-05-2018
    HUB107



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66, я еще раз повтораяю. После выдачи другого ip проблема с арендой ушла. Да, там то же самое время выдачи, но глюка с перевыдачей нет. Значит тупил dhcp прова с конкретным ip на выдаче.
    Всего записей: 340 | Зарегистр. 15-02-2005 | Отправлено: 12:08 05-05-2018
    fakintosh



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос такой:
     
    Мой телефон Redmi 4X на скачивание жмёт около 20мбит, подключаю его к Alcatel Lucent оптическому терминалу и там выжимаю нормальную скорость.
     
    Куда копать?
     
    скрин
     
    Но что странно, wifi адаптер TP Link жмёт нормальную скорость через микрот а телефон нет
     
    http://www.speedtest.net/result/7285456413

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
    Всего записей: 2194 | Зарегистр. 02-01-2009 | Отправлено: 20:38 05-05-2018 | Исправлено: fakintosh, 22:05 05-05-2018
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    fakintosh
    Версия RouterOS?
    Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 09:05 06-05-2018
    fakintosh



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     
    6.40.7

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
    Всего записей: 2194 | Зарегистр. 02-01-2009 | Отправлено: 09:34 06-05-2018
    Vladislav_A



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fakintosh

    Цитата:
    6.40.7

    Переходи на Current release 6.42.1. Там это дело пофиксили.
    *) wireless - improved compatibility with BCM chipset devices;
    Всего записей: 2445 | Зарегистр. 23-07-2001 | Отправлено: 10:28 06-05-2018
    fakintosh



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Vladislav_A
     
    Там же новый бридж или как там оно называется, придётся чуть перенастраивать..

    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
    Всего записей: 2194 | Зарегистр. 02-01-2009 | Отправлено: 10:31 06-05-2018
    fakintosh



    Silver Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Оказывается новый багфикс вышел и там как раз это тоже есть
    вот теперь намерял http://www.speedtest.net/ru/result/a/3894522461
     
    скрин
     


    ----------
    Нащяльника, мая сервира паставиль, фрибизьдя инсталя сделаль, апачи сабраль, пыхапе патключиль, сапускаю, а ано - ажамбех пашамбе эшельбе шайтанама!
    Всего записей: 2194 | Зарегистр. 02-01-2009 | Отправлено: 17:01 06-05-2018 | Исправлено: fakintosh, 17:05 06-05-2018
    vcrank

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    И снова здравствуйте.
    Выкроил время и решил продолжить тему с обходом блокировок с помощью VPN для сайтов из списка.
     
    Для заблокированных сайтов такой способ не работает у моего провайдера.
     
    Если я прописываю ip сайта 2ip.ru (195.201.201.32), то показывается IP арубы, т.е. идёт через VPN
    Если я прописываю Ip rutracker.org (195.82.146.214), то открывается сайт-заглушка от провайдера -
    Цитата:
    https://you-shall-not-pass.is74.ru/#http://rutracker.org/

    Переадресация идёт перед путём перенаправления «Location в http-header  
    Проделывал действия из этой статья

    Цитата:
    /ip firewall filter
    add action=drop chain=forward disabled=yes in-interface=ether1-gateway protocol=tcp src-port=443 tcp-flags=rst
    add action=drop chain=forward content="Location: https://you-shall-not-pass.is74.ru/" disabled=yes in-interface=ether1-gateway log-prefix=rul protocol=tcp src-port=80

    Но тоже не помогло
    Всего записей: 1076 | Зарегистр. 24-10-2005 | Отправлено: 20:32 06-05-2018
    Institor

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Проверьте DNS.
    Соединения на IP адреса из списка, которые помечены в mangle через mark-routing, не могут попадать на провайдера - они должны идти через VPN. Соответственно поменять location в http провайдер не может - значит пакеты идут мимо VPN.
     
    Обычно проблемы с этой конфигурацией (туннель + маркировка соединений в mangle) возникают из-за fasttrack. Все, что маркируется, обрабатывается и т.п., надо исключать. Временно для дебага достаточно отключить правило fasstrack (только нужно, чтобы взамен было разрешающее правило в цепочке forward, иначе вообще все перестанет работать. В дефолтном конфиге оно есть).
     
    Я обычно предлагаю делать так: все соединения, идущие через VPN, метить в mangle действием mark-connection. А на правило fasttrack навесить дополнительное условие, исключающее эти помеченные соединения. (Connection Mark = no-mark например).
    Всего записей: 37 | Зарегистр. 04-02-2007 | Отправлено: 09:08 07-05-2018 | Исправлено: Institor, 09:14 07-05-2018
    konungster



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Все обновили свои роутеры? ))))
     
    Подробнее...
    Всего записей: 961 | Зарегистр. 31-10-2005 | Отправлено: 12:25 07-05-2018
    vcrank

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Institor

    Цитата:
    Я обычно предлагаю делать так: все соединения, идущие через VPN, метить в mangle действием mark-connection. А на правило fasttrack навесить дополнительное условие, исключающее эти помеченные соединения. (Connection Mark = no-mark например).

    Вот так получается:

    Код:
    /ip firewall mangle
    add action=mark-routing chain=prerouting dst-address-list=vpn new-routing-mark=vpn passthrough=no
    add action=mark-connection chain=output comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec
    add action=mark-connection chain=input comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec


    Код:
    /ip firewall filter
    add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related
    add action=drop chain=forward comment=RST in-interface=ether1-gateway packet-size=40 protocol=tcp src-port=443 tcp-flags=rst ttl=equal:120
    add action=drop chain=forward content="Location: https://you-shall-not-pass.is74.ru/" disabled=yes in-interface=ether1-gateway log-prefix=rul protocol=tcp src-port=80
    add action=accept chain=forward dst-port=8080 in-interface=ether1-gateway protocol=tcp
    add action=accept chain=forward dst-port=80 in-interface=ether1-gateway protocol=tcp
    add action=accept chain=forward dst-port=8081 in-interface=ether1-gateway protocol=tcp

    Чуть выше у меня правило на Location отключено. Я так понял, что оно и не нужно

    Код:
    /ip route
    add distance=1 gateway=l2tp-out1 routing-mark=vpn

     

    Цитата:
    Соединения на IP адреса из списка, которые помечены в mangle через mark-routing, не могут попадать на провайдера - они должны идти через VPN. Соответственно поменять location в http провайдер не может - значит пакеты идут мимо VPN.  

    Если посмотреть статистику первого правила на пометку пакетов vpn, то видно

    Код:
    prerouting: in:bridge-local outunknown 0), src-mac 1c:1b:0d:6e:a5:22, proto TCP (ACK,FIN), 192.168.1.2:60211->195.201.201.32:443, NAT (192.168.1.2:60211->192.168.42.11:60211)->195.201.201.32:443, len 40

    и ничего не отображается при открытии рутрекера
     

    Цитата:
    Проверьте DNS.  

    Где это сделать?
    Всего записей: 1076 | Зарегистр. 24-10-2005 | Отправлено: 17:38 07-05-2018
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vcrank
    Так а если правило action=fasttrack-connection отключить?
    Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 17:59 07-05-2018
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vcrank
    Попробуйте сначала это ввести и перезагрузить микротик, если он зависнет, а такое бывает, выдерните блок питания из розетки и через скажем сикунд десять включите, параметры должны сохраниться.
    И проверте трасу к прописанным dns серверам на микротике, должно идти через тунель.
    А потом уже настраивать всё остальное
     

    Код:
    /interface bridge settings
    set allow-fast-path=no use-ip-firewall=yes
    /ip settings
    set allow-fast-path=no
     
    Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 18:26 07-05-2018 | Исправлено: alexnov66, 18:31 07-05-2018
    vcrank

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Так а если правило action=fasttrack-connection отключить?

    Ничего не изменилось
    alexnov66
    1. Ввёл команды
    2. Перезагрузил роутер
    3. Сделал tracerout
    Подробнее...
    Всего записей: 1076 | Зарегистр. 24-10-2005 | Отправлено: 19:35 07-05-2018
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru

    Рейтинг.ru