» MikroTik RouterOS

quickgen
Окей)
Команду вышеназванную выполнил, т.е. перевел, все запрещающие правила в фаерволле задисейблил. В винде с этого и начал, в 2008 уже аж три брандмауера, все повыключал, и в интерфейсе также проверил что бы не была фильтров на входе и на выходе. Не работает...(

Добавлено:
Что из конфигов выбрасывать... В фаерволле запрещающих уже нету (все выключил, не удалил). В Нате написано "маскардинг срцнат !езернет1"

Salik приведи конфиги из /ip route /interfaces
Покажи traceroute с клиентов и с win2008.

Для теста: выруби маскарадинг и пропингуй или сделай tracert с клиентов на win2008.

Вырубил, пинг не идет просто вообще тогда.


Код:
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.0.0.0/24 10.0.0.199 ether3
1 ADC 82.144.200.0/24 82.144.200.100 ether2
2 ADC 192.168.0.1/24 192.168.1.10 MyVPN
3 ADC 192.168.1.0/24 192.168.1.199 ether1
4 A S 0.0.0.0/0 r 82.144.200.1 ether2

Salik Конечно пинг обратно не пойдет, ведь у тебя все натится под этим ip 192.168.1.199, т.е. те клиенты которые у тебя в 192.168.1.0/24 выходят на 192.168.0.1 с IP 192.168.1.199.

Тебе следовало бы прочесть _http://www.drivermania.ru/articles/obedinjaem-ofisi-s-pomoshhju-mikrotik.html из шапки и у тебя все вопросы бы отпали.

Ты можешь настроить просто маршрутизацию через PPTP(VPN)

или

Ты можешь настроить Ethernet over IP(EoIP) и тогда Win2008 и клиенты из 192.168.1.0/24 будут общаться как по сети обычной Lan.

quickgen
Да...кхе) Ну мейби да вот только все просто замечательно работало когда стоял Windows Server 2003. У тут внезапно переехал на 2008, теже настройки и не работает( В роутере естественно ничего не менял, но грешу именно на него.

Salik с этого и надо было начинать =))))) Не понимаю как это у тебя все работало. Может я уже подтормаживаю от усталости...
Попробуй настроить "официальными способами". Я на заслуженный отдых пошел.

Да вот ещё понять каким местом Вин EoIP поддерживает)

VitRom

imho, как правильно тут подсказали у тебя на компах в сетках gateway не прописан.

Привет всем!Имеется локальная сеть на 12 компов,подключение к Интернет через Enthernet модем D-Link-DSL2500U.Задача собственно такого рода:
1)Запустить сервер на Mikrotik RouterOS.
2)Настроить его таким образом чтобы в дальнейшем можно было регулировать скорость канала каждого пользователя!
До этого сервак стоял на Windows XP ! в Nix системах полный 0 ! Поэтому попрошу вас обьяснить всё поподробней! Желательно обьяснить как его настроить через Winbox! Статьи с форума pcrouter.ru не помогли! хотя делал всё по пунктам!
Заранее премного благодарен!

zorg007
1. Устанавливаешь микротик
2. Логинишься под admin без пароля.
3. Пишешь в консоли setup [Enter]
4. Добавляешь на внешний интерфейс ip клавишей a вида x.x.x.x/x где x.x.x.x - ip и /x маска.
5. Нажимаешь клавишу x и опять добавляешь уже на внутрений интерфейс ip клавишей a
6. Нажимаешь клавишу x потом клавишу g и прописываешь gateway.
7. Нажимаешь пару раз клавишу x пока не выходишь из setup.
8. Пишешь команду /ip firewall nat add chain=srcnat action=masquerade
9. Пишешь команду /ip dns set primary-dns=x.x.x.x Если у тебя 2 DNS сервера то добавляешь и его /ip dns set secondary-dns=x.x.x.x Вместо x.x.x.x нужные ip адреса.
10. Разрешаешь клиентам использовать dns микротика /ip dns set allow-remote-requests=yes

Клиентам пишешь в настройках протокола TCP/IP
ip: x.x.x.x
mask: x.x.x.x (скорее всего 255.255.255.0)
gateway: ip адрес микротика
primary-dns: ip адрес микротика
secondary-dns: не нужен

Если не хочешь бегать прописывать всем компам настройки, настраивай DHCP сервер на микротике.

11. Читаешь и выучиваешь это _http://www.x-drivers.ru/articles/manuals/12/3.html и потом всю статью _http://www.x-drivers.ru/content/view/541/53/
12. Используешь для начала самый простой метод Simple Queues. Все что тебе надо указать это ip адрес клиента на которого будешь накладывать ограничение и собственно требуюмую скорость.

Помогите прописать необходимые правила в фаерволе.
Три интерфейса eth1 192.168.0.0/24 - локалка_1, eth2 - 10.1.1.0/24 инет, eth3 - 192.168.1.0/24 локалка_2. К провайдеру цепляюсь по PPPoE. (В таком случае какой мне getway прописывать?). Настроил авторизацию из локалок через PPPoE, клиентам выдается 10.10.0.*.
Фаервол пуст, что нужно в нем прописать и в маршрутизации.
И еще вопрос, возможно ли для PPPoE клиентов ограничивать скорость только интернет трафика, а между ними в локалке 10.10.0* не шейпить, если да то поясните как.

dimanchdimanch тебе нужен только один гейтвэй - ip PPPoE сервера на конце провайдера.

Также тебе надо указать явно что маскарадить т.е. так:
/ip firewall nat add chain=srcnat src-address=10.10.0.0/24 dst-address=!10.10.0.0/24 to-addresses=x.x.x.x, где x.x.x.x=ip PPPoE сервера на конце провайдера

А насчет как не шейпить трафик локальных клиентов - делаешь в мангле /ip firewall mangle такие правила:

/ip firewall mangle add src-address=10.10.0.0/24 dst-address=10.10.0.0/24 new-packet-mark=local passthrough=no
/ip firewall mangle add src-address=10.10.0.0/24 new-packet-mark=all passthrough=no

Важно чтобы первое правило было выше второго.

В Queues назначая скорость выбираешь packet-mark=all

Подскажите пожалуйста можно ли подключить к Mikrotik DLINK DSL-200. Спасибо.

sergey2142 Можно. По ethernet подключению.

quickgen
Вот перенастроил все, но работать все равно не хочет. Значит теперь такая сеть: Подсеть 192.168.0.0 - сеть из вирт.серверов. Подсеть 192.168.1.0 - офисная сетка. Между ними тунель 192.168.2.1 и 192.168.2.2. Вот траффик все равно натится. Потому что из офиса все пингуется, а с 192.168.0.0 ничего кроме 192.168.2.2 - т.е. ип роутера не видно

Цитата:

Можно. По ethernet подключению.

Не совсем понял. Ведь DSL-200 подключается через USB.

sergey2142 если у него нету ethernet порта, значит не получится. USB драйвера на микротик поставить нельзя. Посмотри список поддерживаемового оборудования на сайте микротика.


Добавлено:
Salik Укажи явно что маскарадить:

1.Сделай список в /ip firewall address-list ну например local-ips и добавь туда все твои сети:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

2.Теперь сделай правило для нат:

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address-list=!local-ips to-addresses=82.144.200.100

Твой трафик будет натиться на все ресурсы кроми твоих "локальных" сетей.

3. Разберись с форвардингом пакетов:

В /ip route пропиши путь:

/ip route add gateway=192.168.2.2(IP адрес тунеля на конце винды???) dst-address=192.168.0.0/24

(То же самое можно сделать и с помощью мангла - просто возни больше)

На другом конце, ты должен прописать статический маршрут:

Если у тебя пограничный маршрутизатор Win2008 то переделай нижеследующую команду под него.

/ip route add gateway=192.168.2.1(IP адрес тунеля на конце микротика???) dst-address=192.168.1.0/24

По идее ничего не забыл. И постоянно пускай traceroute на обоих концах, чтобы понимать где заваливаются пакеты.

Цитата:

sergey2142 если у него нету ethernet порта, значит не получится. USB драйвера на микротик поставить нельзя

Спасибо за быстрый ответ.

Добрый день!

Есть еще одна проблема!

активировал ДНС сервер на микротике, начались дикие глюки, почему то резольвит через раз, отменял все правила в фаере, бестолку, такое ощущение, то что в кеше онрмально резольвит, а то что нет в кеше. при запросах к верхнему днс серверу отваливается по таймауту, где эти таймеры лежат я не знаю, плиз хелп!

JohnnyBravo У тебя один провайдер или 2?
1. Выруби все правила в фаерволе
2. На клиентской машине запусти nslookup из командной строки.
3. Пробуй зарезолвить какие-то dns имена (Я постоянно тренировался на amazon.com)
Резолвь пару раз подряд. А потом по ошибкам будем думать.

Вообще настрой DCHP сервер. Избавляет от головной боли.

У меня совсем недавно была ситуация: 2 провайдера. Один из провайдеров блокирует DNS запросы на свои DNS сервера из всех сетей кроме своих.
Решение временное было такое: Шлюз по умолчанию первого провайдера - днс сервер первого провайдера. Тоже самое по аналогии для второго провайдера (Когда первый падает).
Решение правильное: Разделил по отдельным серверам провайдеров. До сих пор все супер.

У нас провайдеры в войнушку играют. Неразделенные територии, понимаешь....

quickgen


Пров один, по нслукап как раз и говорю, на первые два три раза дает нет домена, потом резольвит и так каждые пять минут. чем тут дхцп поможет? правила уже отменял, не помогло. ощущение что есть таймаут по запросу от вышестоящего ДНС сервера, что нет ответа за 1 мс - значит домена нет, хз вобщем

JohnnyBravo DHCP - чтобы клиентов можно было автоматом пересаживать на другие днс сервера если что.

Посмотри в Torch какие обращения и куда идут.

Смени Днс сервер тогда. Попробуй DNS другого провайдера.

Народ всем привет! Help плиз
Ситуация такая есть 6 машин
Одна из них Микротик ip 172.16.0.200 маска 255.255.0.0
остальные ХР имеют ip=172.16.1.1, 1.2 и т. дмаска 255.255.0.0
как сделать так что б при присвоении незадейственного ip сеть на клиентской машине не работала

alex_1986
1. Управляемый свитч.
2. Как вариант машина на линуксе с установленным и настроеным http://www.nongnu.org/ip-sentinel/

Но она от подмены мака не защитит.
!!!Использовать эту программу следует только после понимания ее принципов работы!!!

Файл настроек ip-sentinel будет в твоем случае выглядить так:

###############################

0.0.0.0/0 #Block Everything
!172.16.1.0/24 #Allow only 172.16.1.*

172.16.1.1@!XX:XX:XX:XX:XX:XX #Client1
172.16.1.2@!XX:XX:XX:XX:XX:XX #Client2

172.16.1.{3-254} #Unused ips

###############################

Первая строка заблокирует ВСЕ IP!
Вторая строка разрешит ИП-шники 172.16.1.1 - 172.16.1.255
Третья и четвертая строка привязывают ип к маку(формата XX:XX:XX:XX:XX:XX)
Последняя строка блокирует незадействованный диапазон.

Суть программы в том что она использует атаку ARP Poisoning выдавая при этом IP Conflict непрописанным макам.

Сенкс, буду пробывать.Какой линук посоветуешь?Мандрива подойдет, или есть что нибудь попроще?

Цитата:

ip-sentinel

пользуюсь, свое название оправдывает

alex_1986 вроде как без разницы. На вкус и цвет товарища нет =)
usr721 уже как 4 года без проблем использую. Ни разу не падал.

Блин качнул и как его проставить?

alex_1986 Распаковываешь, компилируешь, устанавливаешь.

Почитай Readme. Обычно для компиляции и установки достаточно следуйщего:
./configure
./make & make install

quickgen Вся проблема в том что Readme на английском у меня с этим трабл.Если есть у кого то на русском буду благодарен! А пока буду переводить.


Добавлено:
quickgen Для распаковке и компиляции Midnight Commander подойдет?