ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору nitskel Влан приходит (и надо снять тег) или ты его отдаёшь (и нужно пустить трафик с тегом)?   Если приходит (и при прописавании тега на порт и адреса не тегированный порт) линка нет, значит беда у провайдера и он даёт тебе линк всё таки без тега (потому когда адрес вещаешь прямо на физику всё и работает).     Если всё таки ты сам собираешь свичь с вланом, тогда не понимаю зачем тебе бридж, когда можно прописать порты слейвом и тогда они автоматом будут в одном свиче, а далее на свичь навешать vlan через меню switch - > vlan. (ключевой вопрос = зачем тебе бридж?) Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 09:32 23-12-2010 | Исправлено: faust72rus, 09:34 23-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Tomogara765 Документация молчит? http://wiki.mikrotik.com/wiki/SwOS Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 09:55 23-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ShriEkeR Может добавить http://wiki.mikrotik.com/wiki/SwOS в шапку? Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 10:20 23-12-2010

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: /ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \   to-addresses=192.168.0.6     /ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \   to-addresses=62.231.24.174   Ребята при такой настройке . Без маскардинга не работает выход в инет из локальной сети     Я сделал так     [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic    0   ;;; DMZ      chain=dstnat action=dst-nat to-addresses=192.168.0.6 dst-address=62.231.24.174      1   chain=srcnat action=src-nat to-addresses=62.231.24.174 src-address=192.168.0.6      2   chain=srcnat action=masquerade out-interface=!ether2   !ether2 - это локальная сеть Всего записей: 2621 | Зарегистр. 15-04-2003 | Отправлено: 11:05 23-12-2010

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: только вместо ether2 поставь интерфейс который смотрит на внешку это же аут интерфейс   но ведь насколько я понял в правилах   !ether2=не локальный интерфейс   Добавлено: Может есть здесь спецы по VPN ?   не понимаю почему пользователи перестали видить компы в локальной сети , подключенные из вне ,   раньше получали маршрут   # push "route 192.168.0.0 255.255.254.0"   Всего записей: 2621 | Зарегистр. 15-04-2003 | Отправлено: 12:01 23-12-2010

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: 4 порта прописываю на бридж, 1 (5 порт) на влан (id 10), влан тоже бриджуется, когда задаешь в адресах адрес влану - ничего не работает, работает если только задать адрес порту на котором находится влан в случае бриджа правильно добавлять адрес на бридж, а не на его порты   Цитата: Может добавить http://wiki.mikrotik.com/wiki/SwOS в шапку? ммм... причём в шапку темы "В помощь системному администратору » MikroTik SwOS"? это же совершенно другая история... Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 12:03 23-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rosalin Это Цитата:   2   chain=srcnat action=masquerade out-interface=!ether2     значит НЕ второй интерфейс. Для маскарадинга это не годится. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 13:54 23-12-2010

keeper1978 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: 1. маркировать пакеты штатными средствами   /ip firewall mangle   add action=mark-packet chain=prerouting comment=all-p2p disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no   add action=mark-packet chain=prerouting comment="\B5TP-1" disabled=no layer7-protocol="\B5TP-1" new-packet-mark=p2p passthrough=no   add action=mark-packet chain=prerouting comment="\B5TP-2" disabled=yes layer7-protocol="\B5TP-2" new-packet-mark=p2p passthrough=no   add action=mark-packet chain=prerouting comment=DHT disabled=no layer7-protocol=DHT new-packet-mark=p2p passthrough=no   add action=mark-packet chain=prerouting comment=BitTorrent disabled=yes layer7-protocol=bittorrent new-packet-mark=p2p passthrough=no     2. маркировать пакеты по сигнатуре Layer7   /ip firewall layer7-protocol   add comment="" name="\B5TP-1" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"   add comment="" name=DHT regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"   add comment="" name="\B5TP-2" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"   add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=|get /announce\\\?info_hash=|ge\       t\r\       \n/ann\?uk=|get\r\       \n/client/bitcomet/|get /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"     Порядок секций в файерволе:   /ip firewall filter     3. Разрешить ВСЕ! (и торренты тоже) из листа "full" (себе любимому, корешу и т.д.) !!   add action=accept chain=forward comment=full disabled=no src-address-list=full   add action=accept chain=forward comment=full disabled=no dst-address-list=full     3. Разрешить порт 8080     4. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)   add action=add-src-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \       packet-mark=p2p src-address=192.168.0.0/16   add action=add-dst-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \       dst-address=192.168.0.0/16 packet-mark=p2p   add action=log chain=forward comment=p2p-packet disabled=yes log-prefix="" packet-mark=p2p   add action=drop chain=input comment=all-p2p disabled=no p2p=all-p2p   add action=drop chain=input comment=p2p-mark disabled=no packet-mark=p2p   add action=drop chain=forward comment=all-p2p disabled=no p2p=all-p2p   add action=drop chain=forward comment=p2p-mark disabled=no packet-mark=p2p     5. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)   add action=drop chain=forward comment="!!!_BAN_!!!  -> torr" disabled=no dst-address-list=torrent protocol=tcp src-port=1000-65535   add action=drop chain=forward comment="!!!_BAN_!!!  -> torr" disabled=no dst-address-list=torrent protocol=udp src-port=1000-65535   add action=drop chain=forward comment="!!!_BAN_!!!  torr ->" disabled=no dst-port=1000-65535 protocol=tcp src-address-list=torrent   add action=drop chain=forward comment="!!!_BAN_!!!  torr ->" disabled=no dst-port=1000-65535 protocol=udp src-address-list=torrent   но при этих настройках блокируетя даже скайп  как это обойти   Всего записей: 69 | Зарегистр. 01-06-2006 | Отправлено: 14:16 23-12-2010

nitskel Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору faust72rus все работает, просто комп на котором все это тестировалось тупой до ужаса, чтобы проверить порты приходится ребутать сетевуху на каждую проверку х))) спасибо Всего записей: 2 | Зарегистр. 25-01-2007 | Отправлено: 15:13 23-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору nitskel что то странное. Для работы микротика требования ничтожны. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 15:34 23-12-2010

keeper1978 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору и почемуто ip клиентов тоже кидает в бан чего по идее не должен делать причём даже сервера qip и icq попали в бан Всего записей: 69 | Зарегистр. 01-06-2006 | Отправлено: 16:12 23-12-2010 | Исправлено: keeper1978, 16:21 23-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору keeper1978 Аська же по порту 5190 работает, разумеется ты его перекрываешь (он вроде попадает в диапазон 1000 - 65535). Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 20:08 23-12-2010

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ребята опять взялся за ковыряние Микротика , переделал правила нат ,   [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic    0   chain=srcnat action=masquerade out-interface=WAN      1   chain=dstnat action=dst-nat to-addresses=192.168.0.6 to-ports=5000 protocol=udp        in-interface=WAN dst-port=5000   Поднятый OpenVPN работает , НО есть один ТРАБЛ   если у пользователя в локальной сети указан шлюз МИКРОТИКА , то пользователи из вне не могут его пинговать , если указать другой шлюз то все хорошо Всего записей: 2621 | Зарегистр. 15-04-2003 | Отправлено: 09:36 24-12-2010

faust72rus Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору rosalin Трасировку кидай. Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 09:46 24-12-2010

rosalin Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору c faust72rus какого конца ? и с какими лучше параметрами       Добавлено: примерно так это от пользователя из вне   C:\Windows\system32>tracert 192.168.0.51   Трассировка маршрута к 192.168.0.51 с максимальным числом прыжков 30     1     1 ms     1 ms     1 ms  10.8.0.1     2     *        2 ms     3 ms  192.168.0.51     Трассировка завершена.   Добавлено: 1     1 ms     1 ms     1 ms  10.8.0.1 это сервер OpenVPN он же шлюз 192.168.0.6    2     *        2 ms     3 ms  192.168.0.51 это комп в локальной сети , у него же прописан шлюз 192.168.0.6   все пингуеться ,     но как только я указываю на компе  192.168.0.51 шлюзом Микротик 192.168.0.4 , то пинги до 192.168.0.51 не идут   Добавлено: У удаленного пользователя     IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0     10.49.13.126     10.49.13.100     20          10.0.0.0        255.0.0.0     10.49.13.126     10.49.13.100     21          10.8.0.0    255.255.255.0         10.8.0.5         10.8.0.6     30          10.8.0.4  255.255.255.252         On-link          10.8.0.6    286          10.8.0.6  255.255.255.255         On-link          10.8.0.6    286          10.8.0.7  255.255.255.255         On-link          10.8.0.6    286       10.49.13.64  255.255.255.192         On-link      10.49.13.100    276      10.49.13.100  255.255.255.255         On-link      10.49.13.100    276      10.49.13.127  255.255.255.255         On-link      10.49.13.100    276       92.255.64.0    255.255.252.0     10.49.13.126     10.49.13.100     21         127.0.0.0        255.0.0.0         On-link         127.0.0.1    306         127.0.0.1  255.255.255.255         On-link         127.0.0.1    306   127.255.255.255  255.255.255.255         On-link         127.0.0.1    306        172.16.0.0      255.240.0.0     10.49.13.126     10.49.13.100     21       192.168.0.0      255.255.0.0     10.49.13.126     10.49.13.100     21       192.168.0.0    255.255.254.0         10.8.0.5         10.8.0.6     30       195.2.232.0    255.255.254.0     10.49.13.126     10.49.13.100     21         224.0.0.0        240.0.0.0         On-link         127.0.0.1    306         224.0.0.0        240.0.0.0         On-link      10.49.13.100    276         224.0.0.0        240.0.0.0         On-link          10.8.0.6    286   255.255.255.255  255.255.255.255         On-link         127.0.0.1    306   255.255.255.255  255.255.255.255         On-link      10.49.13.100    276   255.255.255.255  255.255.255.255         On-link          10.8.0.6    286 =========================================================================== Постоянные маршруты:   Отсутствует   Добавлено: на компе с OpenVPN   Активные маршруты: Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика           0.0.0.0          0.0.0.0      192.168.0.4      192.168.0.6     20          10.8.0.0  255.255.255.252         10.8.0.1         10.8.0.1     30          10.8.0.0    255.255.255.0         10.8.0.2         10.8.0.1      1          10.8.0.1  255.255.255.255        127.0.0.1        127.0.0.1     30    10.255.255.255  255.255.255.255         10.8.0.1         10.8.0.1     30         127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1       192.168.0.0    255.255.255.0      192.168.0.6      192.168.0.6     20       192.168.0.6  255.255.255.255        127.0.0.1        127.0.0.1     20     192.168.0.255  255.255.255.255      192.168.0.6      192.168.0.6     20         224.0.0.0        240.0.0.0         10.8.0.1         10.8.0.1     30         224.0.0.0        240.0.0.0      192.168.0.6      192.168.0.6     20   255.255.255.255  255.255.255.255         10.8.0.1         10.8.0.1      1   255.255.255.255  255.255.255.255         10.8.0.1                2      1   255.255.255.255  255.255.255.255      192.168.0.6      192.168.0.6      1 Основной шлюз:         192.168.0.4 =========================================================================== Постоянные маршруты:   Отсутствует Всего записей: 2621 | Зарегистр. 15-04-2003 | Отправлено: 10:26 24-12-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование