evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Цитата: попробуйте пингануть любой узел по внутреннему IP за NAT живого стенда нет под рукой, но в целом будет работать (как минимум, TCP/UDP, за ICMP не настолько уверен)   Цитата: значит этого правила я не понял. можете объяснить пожалуйста? оно маскарадит (то, что вы и наблюдаете) все соединения с адресов из списка noNAT к любым другим адресам. о содержимом noNAT вы ничего не говорите, так что это остаётся на вашей совести   Цитата: нет, не в бридже значит, через правый роутер ARP не пройдёт. ситуация, когда у роутера на разных интерфейсах одна IP-подсеть в разных широковещательных доменах - неверна архитектурно. нужны или костыли (типа Proxy-ARP) или переделка по-нормальному Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 12:57 21-09-2016

melboyscout Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Есть. Можно купить хардверное решение с несколькими вайфай модулями (мини-писиай) и так организовать. А можно, наверное, на одном модуле сделать два виртуадьных интерфейса. Но насчет второго хз - сможет ли один модуль работать в двух режимах. И точки и ацеспоинта. Но скорость точно упадет Всего записей: 2004 | Зарегистр. 16-02-2010 | Отправлено: 19:58 21-09-2016

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Цитата: не будет ничего работать. NAT c Firewall всё будут резать NAT вообще ничего не режет, на всякий случай. режет Filter. если он настроен резать - он будет резать, не надо NAT приплетать. некоторые люди думают, что после настройки маскарадинга на WAN-интерфейсе провайдер не может залезть к ним во внутреннюю сеть. а на самом деле может, с помощью одного статического маршрута (практически аналогично вашей ситуации). поэтому дефолтные правила в последних версиях пропускают входящие соединения, только если те подверглись dst-nat   Цитата: на каждом роутере каждая сеть прописана единожды теперь жажду подробностей по схеме: адрес 192.168.29.1 настроен на интерфейсе, который смотрит на компьютер или на левый роутер?   kikimer99 Цитата: Проверять ip адрес PPoE соединения только при изменении состояния. То есть при допустим переподключении. Хочется разгрузить немного микротик. проверка на изменение адреса раз в 10 секунд вообще никак не нагружает роутер Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 01:15 22-09-2016

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору anahaym Цитата: так ведёт себя по умолчанию виндовый NAT извините, но RouterOS создана на базе Linux, а не Windows. и если в виндах и прочих тыпылинках всё строится по заранее заданному шаблону, то RouterOS даёт гораздо больше гибкости   Цитата: интерфейс смотрит в свитч, к которому подлючено всё - левый роутер, компьютеры, другие свитчи и точки доступа тогда у вас талант обманывать людей: на схеме нарисовано совершенно иное   в актуальной схеме НАТ как раз должен помогать, если на компах 192.168.29.y не прописан маршрут к 10/8 через 192.168.29.2   я бы присмотрелся к файрволам/брандмауэрам на компах 192.168.29.x. например, виндовый брандмауэр по умолчанию блокирует пинг не из своей подсети Всего записей: 3743 | Зарегистр. 05-05-2006 | Отправлено: 15:31 22-09-2016

anahaym Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: тогда у вас талант обманывать людей: на схеме нарисовано совершенно иное прошу прощения, забыл указать. думал это не так важно.     Цитата: в актуальной схеме НАТ как раз должен помогать, если на компах 192.168.29.y не прописан маршрут к 10/8 через 192.168.29.2 если внимательно посмотреть на картинку, то можно увидеть, что этот маршрут прописан на правом МК. Цитата: я бы присмотрелся к файрволам/брандмауэрам на компах 192.168.29.x. например, виндовый брандмауэр по умолчанию блокирует пинг не из своей подсети присмотрелся, ничего такого не увидел. отключал файрволы/брандмауэры (хотя это одно и тоже) - ничего не изменилось.   пример: есть сервер с линём 10.254.1.13 на него по ссш заходит клиент с сервера с адресом 192.168.29.142 и если на лине посмотреть активные сессии, то можно увидеть: Код: root@:~# who root     pts/0        2016-09-22 14:57 (mt-gw.domain.domain.com) где mt-gw.domain.domain.com - 192.168.29.1   тут я воообще запутался... сервер видит, что на него зашли не со 142 адреса, а вообще с правого МК - КАК ТАК ???   сейчас прописал машрут в 10 на компе 192.142 - всё чётко увидел Линукс - коннект со 142 адреса... что-то я непонимаю, как работает МК. До него стоял FritzBox, где были прописаны все маршруты. Поставил МК - работает по другому......   Почему правый МК просто не переадресовывает клиента на левый МК, а отправляет запросы от своего имени? Так работает винда, так работает кошка, голый дебиан, fritzbox.... это самый обыкновенный роутинг   П.с. я не претендую на звание знатока МК, по этому и обратился на форум за помощью   Добавлено: сейчас попробую переделать сеть... там не все так просто, как на рисунке... попробую перенести 10.254.1.1 на правый MK. Всего записей: 586 | Зарегистр. 24-03-2007 | Отправлено: 16:07 22-09-2016 | Исправлено: anahaym, 16:09 22-09-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anahaym Вы сами незнаете что вам нужно, сначала давали схему где связь между сетями идёт через два микротика, теперь микротики воткнуты в один свич, под разные схемы и разные настройки должны быть. Рисуйте полную схему как всё устроено. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 17:51 22-09-2016 | Исправлено: alexnov66, 17:55 22-09-2016

anahaym Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: теперь микротики воткнуты в один свич, свитч - это тупая железка, которая никак не влияет на маршрутизацию IP сетей, потому что работает на уровне ARP (+- broadcast)   Цитата: Рисуйте полную схему как всё устроено. переделал сеть. теперь один МК, на котором: Код: [admin@MT-GW] /ip address> print   Flags: X - disabled, I - invalid, D - dynamic    #   ADDRESS            NETWORK         INTERFACE                                                                  1   192.168.28.1/24    192.168.28.0    ether2                                                                    2   192.168.29.1/24    192.168.29.0    ether3                                                                    8   10.254.1.1/24      10.254.1.0      ether4     [admin@MT-GW] /ip route> print   Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,   B - blackhole, U - unreachable, P - prohibit    #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE  4 ADC  10.254.1.0/24      10.254.1.1      ether4                    0 10 ADC  192.168.28.0/24    192.168.28.1    ether2                    0 11 ADC  192.168.29.0/24    192.168.29.1    ether3                    0   [admin@MT-GW] /ip firewall nat> print   Flags: X - disabled, I - invalid, D - dynamic    0    chain=srcnat action=masquerade src-address=192.168.28.0/24 log=no log-prefix=""    1    chain=srcnat action=masquerade src-address=192.168.29.0/24 log=no log-prefix=""    2    chain=srcnat action=masquerade src-address=10.254.1.0/24 log=no log-prefix=""         28 сетью пользуюсь только я, для подключения к МК. Все порты подключены к одному свитчу. VLAN нет.       но проблема таже (проблема с пингом решена): когда с 192.168.29.142 подключаюсь к linux серверу 10.254.1.13, то этот линукс видит сессию не из 192 сети, а с МК: Код: root@nf1ber:~# who root     pts/0        2016-09-22 17:05 (10.254.1.1)   первый вопрос: правильно ли я понял, что если включить правило NAT, как у меня написано выше, то натирование будет в любых направлениях (с любого на любой интерфейс) ?   второй вопрос, немного не по этой теме: сейчас у меня включен только NAT. Какие правила мне написать в firewall, чтобы закрыть подключения из вне? сейчас правил вообще никаких нет... доступ закрыл пока только так (разрешил доступ только с внутренних ип) Код: [admin@MT-GW] /ip service> print   Flags: X - disabled, I - invalid    #   NAME                               PORT ADDRESS                                                                CERTIFICATE                              0 XI telnet                               23  1 XI ftp                                  21  2   www                                  80 192.168.28.0/24                                                                                                      192.168.29.0/24                                                                                                      10.255.0.0/16                                                            3   ssh                                  22 192.168.29.0/24                                                                                                      192.168.28.0/24                                                          4 XI www-ssl                             443                                                                        none                                    5   api                                8728 192.168.29.0/24                                                                                                      192.168.28.0/24                                                          6   winbox                             8291 192.168.29.0/24                                                                                                      192.168.28.0/24                                                          7   api-ssl                            8729 192.168.29.0/24                                                        none                                                                                192.168.28.0/24                                                             на сколько я понял МК, то он не содаёт правило по умолчанию - блокировать всё на внешнем порту, т.к. для него не существует таких понятий, как "внешний" и "внутренни" порт. Очень прошу помочь с этим вопросом. вот этого будет достаточно? Всего записей: 586 | Зарегистр. 24-03-2007 | Отправлено: 18:23 22-09-2016 | Исправлено: anahaym, 18:57 22-09-2016

dianaa76 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 1karavan1 Цитата: mtu не тот параметр, который зависит от продолжительности активного канала, ищите проблему в другом месте. Подскажите где искать проблему? Попробовали вместо MikroTik поставить старенький D-Link без wi-fi, работает вторые сутки и связь не пропадает. Очень хочется настроить MikroTik. Всего записей: 215 | Зарегистр. 01-04-2010 | Отправлено: 19:37 22-09-2016

alexnov66 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору anahaym Цитата: когда с 192.168.29.142 подключаюсь к linux серверу 10.254.1.13, то этот линукс видит сессию не из 192 сети, а с МК[] Правильно, они в разных подсетях и рулит микротик раз включен нат между сетями. Попробуйте включить маскардинг без указания диапазонов адресов и интерфейсов. Всего записей: 1460 | Зарегистр. 29-08-2005 | Отправлено: 19:51 22-09-2016 | Исправлено: alexnov66, 20:00 22-09-2016

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование