» MikroTik RouterOS (часть 4)

Вопрос - может и не сюда, случайно выломал кнопку reset на Mikrotik CCR1009-8g-1s-pc, припаял обратно, но кнопка все равно не работает, а само устройство - ок, загружается. Подключился напрямую, через COM - все сбросил, установил новую прошивку. Настроил.
Но... интернет через mikrotik работает гораздо медленнее, чем через DIR-300, который решил поменять. Может ли кнопка ресет влиять на такое поведение?, может ее вообще выпаять? раз она все равно не работает?!!

Цитата:

Может ли кнопка ресет влиять на такое поведение?

Сами то понимаете какую чушь несёте ?

Здравствуйте.
Стоит в филиале Mikrotik RB951G-2HnD, на нем было поднято два pptp-туннеля, все работало, сбоев не было. Буквально на днях попытался к нему подключиться из дома, винбоксом, винбокс сначала долго висел на запуске, потом он мне выдал ошибку

Код: Could not get index: fatal error

DrDEVIL666
т.е. можно смело отпаять нафиг ))
.. и продолжать настройку ))

Desrozen
в фаэрволе порт для винбокс открыт ?
ip services winbox доступ со всех сетей разрешен ?

Desrozen
Если связь с МТ точно есть, то помогает очистка кеша в ВинБоксе

Цитата:

Desrozen
в фаэрволе порт для винбокс открыт ?
ip services winbox доступ со всех сетей разрешен ?

конечно. я же говорю, из внутренней сети подключаюсь нормально, через туннель тоже, не подключается только с внешки

Цитата:

Desrozen
Почистите кеш в ВинБоксе

не помогает

Desrozen

Цитата:

не подключается только с внешки

Значит подключение из внешней сети закрыто или правилами фаервола, или списком разрешенных хостов в ip-services-winbox

Цитата:

Значит подключение из внешней сети закрыто или правилами фаервола, или списком разрешенных хостов в ip-services-winbox

то то и оно что список разрешенных хостов не менялся, доступ на микротик есть только у меня и начальника отдела, но начальник туда не заходил

Desrozen

Тогда нужно изучать проблему.
1. Создаем правило
/ip fi mangle add action=passthrough in-interface=ether1-wan protocol=tcp dst-port=8129 log=yes chain=prerouting comment=wan-winbox
2. Ставим его самым верхним
/ip fi mangle move [find comment=wan-winbox] destination=0
3. Пробуем подключиться и смотрим попало ли что нибудь логи

Desrozen
Правила фаэрвола приведи

[more] [more]
Цитата:

Тогда нужно изучать проблему.
1. Создаем правило
/ip fi mangle add action=passthrough in-interface=ether1-wan protocol=tcp dst-port=8129 log=yes chain=prerouting comment=wan-winbox
2. Ставим его самым верхним
/ip fi mangle move [find comment=wan-winbox] destination=0
3. Пробуем подключиться и смотрим попало ли что нибудь логи

вот тут попало, только самое интересное что он в оконцове написал "connected", а по факту тот же еrror
http://s017.radikal.ru/i421/1605/cc/a631d150f4d4.jpg


Цитата:

Desrozen
Правила фаэрвола приведи

Код: /ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=\
established,related src-address-list=\
"192.168.0.2; 192.168.2.0/24; xx.xx.xx.xxx"
add chain=input comment="default configuration" in-interface=ether1-gateway \
src-address-list="xx.xx.xx.xxx; yyy.yyy.yy.yyy"
add chain=forward comment="default configuration" connection-state=\
established,related
add action=drop chain=forward comment="default configuration" connection-state=\
invalid
add action=drop chain=forward comment="default configuration" \
connection-nat-state=!dstnat connection-state=new in-interface=\
ether1-gateway
add chain=input protocol=udp
add chain=input protocol=udp
add chain=output protocol=tcp src-port=60001
add chain=input src-address=zz.zz.zzz.zzz
add chain=input dst-address=zz.zz.zzz.zzz
/ip firewall mangle
add action=passthrough chain=prerouting comment=wan-winbox dst-port=8129 \
in-interface=ether1-gateway log=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-port=41389 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.2 to-ports=3389
add action=dst-nat chain=dstnat dst-port=41808 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.200 to-ports=8080
add action=dst-nat chain=dstnat dst-port=555 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.200 to-ports=555
add action=dst-nat chain=dstnat dst-port=48433 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.2 to-ports=1433
add action=dst-nat chain=dstnat dst-port=3080 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.200 to-ports=3080
add action=dst-nat chain=dstnat dst-port=3081 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.200 to-ports=3081
add action=dst-nat chain=dstnat dst-port=5555 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.106 to-ports=5555
add action=dst-nat chain=dstnat dst-port=41809 in-interface=ether1-gateway \
protocol=tcp to-addresses=192.168.0.230 to-ports=3389
add action=netmap chain=dstnat comment=Video dst-port=8080 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.0.200 to-ports=8080
add action=netmap chain=dstnat comment=FTP dst-port=21 in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.0.2 to-ports=21
add action=netmap chain=dstnat comment="RDP Server" dst-port=39390 \
in-interface=ether1-gateway protocol=tcp to-addresses=192.168.0.2 to-ports=\
3389
add action=netmap chain=dstnat comment="RDP Personal" in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.0.2 to-ports=3389

Desrozen

Цитата:

add chain=input comment="default configuration" connection-state=\
established,related src-address-list=\
"192.168.0.2; 192.168.2.0/24; xx.xx.xx.xxx"
add chain=input comment="default configuration" in-interface=ether1-gateway \
src-address-list="xx.xx.xx.xxx; yyy.yyy.yy.yyy"

Неверное использование адрес-листов.
В поле src-address-list указывается существующий адрес-лист, а не перечисляются нужные адреса.
/ip fi address-list add address=192.168.0.2 list=local_station
/ip fi address-list add address=192.168.2.0/24 list=local_station
/ip fi address-list add address=xx.xx.xx.xxx list=local_station

И тогда правило будет
add chain=input comment="default configuration" connection-state=\
established,related src-address-list=local_station

Кстати, в приведенном вами логе не было ни одной попытки подключения извне.
Отсчасти потому что я порт неправильно вам сказал правильный dst-port=8291

Цитата:

Неверное использование адрес-листов.
В поле src-address-list указывается существующий адрес-лист, а не перечисляются нужные адреса.
/ip fi address-list add address=192.168.0.2 list=local_station
/ip fi address-list add address=192.168.2.0/24 list=local_station
/ip fi address-list add address=xx.xx.xx.xxx list=local_station

И тогда правило будет
add chain=input comment="default configuration" connection-state=\
established,related src-address-list=local_station

Кстати, в приведенном вами логе не было ни одной попытки подключения извне.
Отсчасти потому что я порт неправильно вам сказал правильный dst-port=8291

Ну до этого же работало все, правило создано не вчера и не позавчера... Хотя спасибо, правило поправлю
А вот про порт и правда, и я просмотрел как-то. Вот лог с исправленным портом
http://s019.radikal.ru/i642/1605/2a/dcdca364deac.jpg

Desrozen
Вот из этого лога становится понятно, что пакеты которых мы ожидаем, почему-то обработались правилом из NAT.

Смотрим подозрительные правила NAT:


Цитата:

add action=netmap chain=dstnat comment="RDP Personal" in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.0.2 to-ports=3389

Все пакеты без исключения, которые приходят из интерфейса ether1-gateway по протоколу tcp переадресовывать на 192.168.0.2 на порт 3389.
Не кажется странным? Скорее всего вы забыли указать dst-port=3389.

Цитата:

Desrozen
Вот из этого лога становится понятно, что пакеты которых мы ожидаем, почему-то обработались правилом из NAT.

Смотрим подозрительные правила NAT:


Цитата:
add action=netmap chain=dstnat comment="RDP Personal" in-interface=\
ether1-gateway protocol=tcp to-addresses=192.168.0.2 to-ports=3389


Все пакеты без исключения, которые приходят из интерфейса ether1-gateway по протоколу tcp переадресовывать на 192.168.0.2 на порт 3389.
Не кажется странным? Скорее всего вы забыли указать dst-port=3389.

Черт, и правда накосячил. Большое вам, человеческое спасибо, как-то я не связывал эту ошибку с добавлением этого правила, а вон оно как, оказывается, и правда забыл указать порт. Искренне благодарю вас, очень выручили

Не за что.
Кстати, еще один совет.
Используйте функции для того, для чего они предназначены.

Почему у вас внезапно случился переход с dst-nat на netmap в последних четырех правилах я не представляю. Вполне возможно что это из всяких мануалов, тика "netmap новее, используем его".
В вашем случае логичнее использовать dst-nat, так как нет необходимости транслировать подсети - одна в одну, а нужно всего лишь прокинуть один порт к одному хосту.

Добрый день. Подскажите, можно ли реализовать в роутерос
1) интеграцию с ад, чтобы можно было определенному пользователю ад или группе заблочить определенные сайты
2) увидеть статистику, кто, где, когда по каким сайтам лазил
3) мониторинг пользователей в реальном времени (на каких сайтах сидит, к каким айпишникам и портам обращается и т.д.)
4) ограничение скорости интернета пользователям

Ramilcheq
1. Можно интегрировать с радиусом, но вот с "определенными сайтами" тут проблемка.
Сам по себе ROS не оперирует понятием "сайт". Есть некий IP на котором что то находится.
Задача контроля доступа может быть решена посредством webproxy, однако это касается только сайтов на http. Https в настоящее время не поддерживается.
2. См. п. 1. Теоретически можно скидывать информацию на внешний сервер, и там настроить логирование и биллинг.
3. См. п. 1. Можно будет видеть от какого IP-порта на какой IP-порт.
4. Да. Простыми Simple Queue или изощренными Queue Trees

Вам же могу посоветовать прозрачный прокси-сервер с биллингом и статистикой на отдельной машине.

Как переделать скрипт ,чтобы он в адрес листе access_mac постоянно не переписывал айпи адреса,а менял их только если в арп они сменились ?

:foreach i in [/ip arp find where interface="LAN"] do={
:local mac [/ip arp get number=$i mac-address];
:local ip [/ip arp get number=$i address];

:local idaddrlist [/ip firewall address-list find where list="access_mac" and comment=$mac];
:if ($idaddrlist != "") do={ /ip firewall address-list set numbers=$idaddrlist address=$ip; }

}

evgeniy7676
дабы не размножать ответ, просто оставлю сцылку здесь: http://forum.mikrotik.by/viewtopic.php?f=5&t=30

Ребята ситуация такая, стоял сервак в сетке с выделенным внешним IP, куча пользователей коннектились по RDP , сервак уехал на другой объект , там другой IP . Можно ли микротиком настроить перенаправление с текущего внешнего IP на новый внешний IP?

rosalin
Конечно можно.

Вариант 1.
add action=dst-nat chain=dstnat dst-address=xxx.xxx.xxx.xxx dst-port=3389 in-interface=WAN protocol=tcp \
to-addresses=yyy.yyy.yyy.yyy
add action=src-nat chain=srcnat dst-port=3389 out-interface=WAN protocol=tcp to-addresses=xxx.xxx.xxx.xxx

Где xxx.xxx.xxx.xxx - старый ip-адрес, yyy.yyy.yyy.yyy - новый ip-адрес.
Из недостатков - на RDP сервере все соединения будут иметь адресом источника старый ip-адрес.

Вариант 2.
Настроить VPN до сервера, а затем все входящие c помощью dst-nat заворачивать к серверу через этот VPN.

Simply_Kot
,Спасибо попробую так и так

Спецы, подскажите, MikroTik умеет работать в качестве PPTP Client с Windows Server 2008 R2 (PPTP Server)? Никак не удается их подружить. Может кто-нибудь знает какую-то особенность этой связки?
1. MikroTik получает интернет по PPPoE Client
2. PPTP Client устанавливает соединение с Windows Server 2008 R2 (PPTP Server).
3. Сам MikroTik пингует сеть PPTP Server, но у проводных пользователей MikroTik при этом исчезает интернет и они не могут пинговать сеть PPTP Server. То есть возникает конфликт PPPoE Client и PPTP Client. Как их развести чтобы и интернет у пользователей был и они видели сеть с Windows Server 2008 R2 (PPTP Server)?

468320
Все дело, ИМХО, в маршрутах. У меня похожее с пппое и дхцп для айпитв. Пока не подружил

468320
Цитата:

PPTP Client устанавливает соединение с Windows Server

Все нормально. При подключении скорее всего появляется новый дефолт шлюз.
Поэтому и с клиента идут, и сервер клиенту отвечает.
Интернет пропадает, поскольку вместо PPPoE весь трафик уходит на PPTP,
а там вам интернета никто не обещал. И пинги не идут, поскольку тамошняя
сеть о существовании вашей сети и пути к ней через PPTP сервер даже не подозревает.

Цитата:

Интернет пропадает, поскольку вместо PPPoE весь трафик уходит на PPTP

И как их подружить?

468320
Цитата:

И как их подружить?

Если у тебя стоит галка напротив Add Default Route, то сними ее.
И пропиши маршрут к сети за PPTP сервером.
А в той сети, где стоит PPTP сервер, пусть добавят маршрут к вашей сети через этот сервер.

Друзья, подскажите как оптимально построить защиту от ARP-spoofing?
Произвел следующие действия:
1. Добавил в Access list, mac адреса устройств.
2.Доступ по паролю присутствует
3.ARP: reply-only