» MikroTik RouterOS (часть 4)

RuS_UA
что б не использовать инет с сервера - отключить Добавлять дефолтный маршрут

А чтоб клиенты видили друг друга? )

RuS_UA

Цитата:

но они шастали в интернет через меня!!

Не разрешать интернет на микротике и клиенты сами поснимают галочки.

RuS_UA
смотрите по маршрутам, которые получают клиенты...

Это пи**дец
Делаешь по настройке с оф. сайта:
Всё 1 в 1 нифига не работает.
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP


Есть какие то идеи?

proxy-apr включил на всём возможном.

Цитата:

с SIM картой yota (128кб бесплатно)

как ?!

RuS_UA
файервол на пк выключен?

Тестилось на 3х ПК по нету. Файрволы вообще вырубил. Результата ноль. Между клиентами PPTP пинга нет, и сам микторит не пингует клиентов. Бредятина...

RuS_UA
1. Я бы посмотрел на вывод команд:
/ip firewall filter print
/ip firewall nat print
/ip firewall mangle print
2. Локальные адреса у клиентов какие?
3.
Цитата:

Файрволы вообще вырубил.

Иногда этого бывает мало. Проще в фаере сделать разрешающее правило для icmp. Доступность клиентской машины с других компов из её подсети есть?
4. На винду иногда ставят антивирусы. Что с ними?

[more]
[admin@MikroTik] > /export compact
# jul/17/2016 18:27:42 by RouterOS 6.35.4
# software id = MRT5-U47J
#
/interface bridge
add admin-mac=E4:8D:8C:54:A7:ED arp=proxy-arp auto-mac=no comment=defconf name=\
bridge
/interface ethernet
set [ find default-name=ether1 ] arp=proxy-arp
set [ find default-name=ether2 ] arp=proxy-arp name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] arp=proxy-arp master-port=ether2-master
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=\
MikroTik-54A7F1 wireless-protocol=802.11
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=pool1 ranges=10.10.10.1-10.10.10.10
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/ppp profile
add bridge=bridge bridge-path-cost=10 bridge-port-priority=0x80 name=profile1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=wlan1
/interface pptp-server server
set enabled=yes
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
192.168.88.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="defconf: accept ICMP" dst-port=1723 protocol=tcp
add chain=input comment="defconf: accept ICMP" protocol=gre
add chain=input comment="defconf: accept ICMP" protocol=icmp
add chain=input comment="defconf: accept established,related" connection-state=\
established,related
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes \
in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
connection-state=established,related disabled=yes
add chain=forward comment="defconf: accept established,related" \
connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
invalid disabled=yes
add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new disabled=yes in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
ether1
/ip route
add distance=1 dst-address=10.1.101.0/24 gateway=10.1.101.1 scope=10
/ppp secret
add local-address=10.1.101.1 name=Laptop password=rus123 profile=profile1 \
remote-address=10.1.101.100 service=pptp
add local-address=10.1.101.1 name=user03 password=123 profile=profile1 \
remote-address=10.1.101.101 service=pptp
/system clock
set time-zone-name=Europe/Kiev
/system leds
set 5 interface=wlan1
/system routerboard settings
set init-delay=0s protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge
[admin@MikroTik] >
[/more]

RuS_UA

Цитата:

Делаешь по настройке с оф. сайта:
Всё 1 в 1 нифига не работает.

Что то не похоже что точно по инструкции.


Цитата:

но они шастали в интернет через меня!!

Потому что у вас маршрут только на интернет и прописан в внешний интерфейс.

Мало поднять тунель между двумя устройствами, нужно прописывать маршруты к противоположным сетям на обоих концах оборудования через этот тунель, которых на скрине я не вижу, и маскардинг включить между этими сетями, а лучше создайте правило маскардинга без указания адресов и интерфейсов, и проблем не будет.

Добрый день! Помогите решить такую задачу.
Есть два роутера 1 и 2 у первого есть белый iP
у первого роутера внутренняя подсеть 192.168.0.0/24 и допустим внешний адрес 178.236.*.*
у второго роутера внутренняя подсеть 192.168.1.0/24
роутеры соединены между собой VPN тунелем
есть сервер RDP который находится за вторым роутером у него адрес 192.168.1.5
как сделать так что бы при обращении на адрес 178.236.*.*:6666 можно было попасть на 192.168.1.5
прописать просто проброс портов что при обращении на адрес 178.236.*.*:6666 уходило на 192.168.1.5 не заработало.Какие еще нужно прописать правила?
Заранее при много благодарен

svyatoy666
А зачем соединяться на внешний адрес? Конектись по внутреннему адресу. При правильной маршрутизации все будет работать

RuS_UA
В настройках есть мусор, но он не влияет. В целом работать должно. Я бы всё-таки посмотрел в сторону клиента.

Rus_UA
И еще одно замечание.
Из мануала

Цитата:

Notice that the PPTP local address is the same as the router's address on the local interface and the remote address is from the same range as the local network (10.1.101.0/24).

Перевод
Обратите внимание, что PPTP локальный адрес совпадает с адресом маршрутизатора на локальном интерфейсе и удаленный адрес выдаётся из той же подсети внутренней локальной сети (10.1.101.0/24).

А у вас выдаётся из разных диапазонов адресов, первым делом включите маскардинг
И в фаере в /ip firewall filter должны быть правила разрешающие форвард трафика сетей между собой.
Ошибочное мнение если правил нет в фаере то разрешено всё, разрешено только подключение к самому микротику а форвард трафика нужно разрешать правилами к нужным сетям.
Из скрина видно что вы пытаетесь подключаться из внутренней сети по pptp
Интерфейсы занесены в бридж, достаточно включить proxy-arp на самом бридже, хотя должно работать и без этого.

Добавлено:
svyatoy666

Цитата:

Какие еще нужно прописать правила?

А какие вообще правила есть, хоть бы конфиг предоставил, телепаты в отпуске.

Допустим есть локальная сеть (192.168.5.0/24)с внешним белым IP:123.123.123.123 так как шлюз на windows, то Hairpin (зайти по внешнему IP-адресу из локальной сети) не настроить в принципе. Есть MikroTik роутер с wifi. По нему будут цепляться планшеты. Можно ли Микротик так настроить чтобы клиенты которые подключились через него при обращении к адресу 123.123.123.123 на порт 5555 попадали на 192.168.5.10 порт 80. Думаю что например можно всех клиентов Микротика спрятать за нат. Получается такая сеть внутри сети (внешний адрес микротика будет: 192.168.5.2, внутренний: 192.168.6.1 сеть: 192.168.6.0/24). Это нужно для того чтобы один ресурс был доступен для планшетов и из интернета и изнутри сети по одному и тому же IP. Какие правила нужно прописать чтобы планшет (192.168.6.10) при обращении 123.123.123.123:5555 попадал на 192.168.5.10:80 ?

melboyscout
Не совсем понимаю как человек из дома может обратиться на внутренний адрес?

andreikav

Код:
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=123.123.123.123 dst-port=5555 protocol=tcp to-addresses=192.168.5.10 to-ports=80
add action=src-nat chain=srcnat src-address=192.168.5.10 protocol= tcp src-port=80 to-addresses=123.123.123.123 to-ports=5555
add action=src-nat chain=srcnat dst-address=192.168.5.10 dst-port=80 protocol= tcp src-address=192.168.6.0/24 to-addresses=123.123.123.123 to-ports=5555

Joo1z
Спасибо. Надеюсь с такими настройками заработает

alexnov66
конфиг стандартный ни каких лишних правил не ставил. Только соединены роутеры VPNом PPTP
2ой роутер соединяется с 1. прописаны роутинги что бы пользователи первого роутера видели компьютеры 2го и наоборот. Из подсети 192.168.0.0/24 виден сервер 192.168.1.5 и к нему без проблем пользователи подключаются а вот из вне ни как.

svyatoy666
по приведённому конфигу
Цитата:

конфиг стандартный ни каких лишних правил не ставил

трудно что либо сказать определённое.


Цитата:

подсети 192.168.0.0/24 виден сервер 192.168.1.5 и к нему без проблем пользователи подключаются а вот из вне ни как

Из этого предпологаю что проброс портов не правильно настроен, это как минимум.

alexnov66
на первом роутере прописано
/ip firewall nat
add action=dst-nat chain=dstnat dst-address=178.236.*.* dst-port=6667 protocol=tcp to-addresses=192.168.1.5 to-ports=3389
когда запускаю удаленку вижу что трафик по этому правилу какой то идет
я так понимаю что на втором роутере нужно прописать что то что бы от RDP сервера возвращалось в первую подсеть где внешний адрес

Добрый день.

Подскажите плз
Есть у кого опыт настраивания взаимодействия mikrotik 1100 и hp 1910 + vlan ?

Повесил на ether1 vlan3 с id 3
50 порт hp - trunk, tagged 3

На vlan3 в микротике поставил 192.168.250.1/24
На vlan3 в hp поставил 192.168.250.2/24

Пинга нет ни в одном направлении, ни с микротика на hp ни с hp до интерфейса микротика

Воспроизвожу схему на 3011 + hp 1910 - работает.

Краем уха помню, что есть разница в чипах, никто не сталкивался?

Цитата:

Есть две сети 192.168.0.0 и 192.168.88.0, необходимо чтоб они видели друг друга , а сейчас после пинга выдает заданная сеть недоступна.Есть два провайдера и сейчас каждая сеть ходит на своего провайдера

Помогите люди добрые.

Вы VLAN хотите настроить или? Если его то тут есть немного полезной инфы

svyatoy666
У тебя скорее всего срабатывает NAT между роутерами.

Как правильно написать layer7-protocol для блокировки соцсетей?

ip firewall layer7-protocol add name=social regexp="^.*(get|GET).+(vk.com|odnoklassniki.com|facebook.com).*$"
ip firewall filter add chain=forward layer7-protocol=social action=drop comment="drop social"

не работает что то

если блокировать через Content, сильно падает скорость выгрузки, 7 правил и upload падает со 100 до 20 мбит.

Sergey_Demchuk
лично у меня facebook, ok.ru и новый интерфейс vk открываются по протоколу https, так что никакого GET роутер не увидит. поэтому можно начать с regexp="(vk.com|odnoklassniki.com|facebook.com)"

если по content - добавьте в правило connection-bytes=0-10240, чтобы проверка шла только на первых 10 Кб соединения. явно если пользователь качает что-то большое - то в середине скачки не начнётся соцсеть

Цитата:

(vk.com|odnoklassniki.com|facebook.com)"

Пробовал, открываются все равно. Не работал вообще с этими регулярными выражениями. Может что изменилось на последних версиях ОС.
по content прописал, аплоад стал получше, уже 70. download работает на полную.

Sergey_Demchuk

Код: ^.+(facebook.com|www.facebook.com|ok.ru|www.ok.ru|vk.com|www.vk.com).*$

есть сеть с VDSL подключением через Fritz!Box.
Надо как-то прокинуть реальный адрес на Mikrotik.
Что пранирую сделать:
- отключить VDSL на модеме, и включить PPPoE Pass Throug
- настроить PPPoE на Mikrotik, который будет использовать модем от Fritz!Box

Заработает ли такая сеть?