» MikroTik RouterOS

Fader
quickgen
А что мне проще зделать? У меня 20компов прописаны, и каждый в фаерволе и Queues и мне ето очень сложно давалось, можна поподробние пожалуйста!!!

vanjalupak проще PPPoE _http://www.mikrotik.com/testdocs/ros/3.0/vpn/pppoe.php
Тут все подробно обьясняется _http://www.drivermania.ru/articles/obedinjaem-ofisi-s-pomoshhju-mikrotik.html

quickgen
Спасибо большое! щас попровбую!!! постараюсь розобратса.

кто-нибудь ответит на мой вопрос?

ice_m я к сожалению с wifi имел мало дела. Тут не могу помочь ничем.

Ищё один вопрос! Можна как нибуть узнать идинаковые мак адреса в локальной сете??? И каким компам они пренадлижат???

vanjalupak
Насчет PPPoE.
Имелось в виду примерно следующее.
К примеру у вас сетка на сто компов в адресном поле 192.168.0.0/24.
В интернет можно ходить 20 компам - предположим с 192.168.0.21 по 192.168.0.40.
Переводим сетку (всю если необходимо чтобы все друг друга видели внутри сети) в другой диапазон, предположим в 192.168.1.0/24.
Создаем 20 записей с разными логинами и паролями, в свойствах этих записей указываем что они получают каждая свой адрес (из упомянутого раньше диапазона 21-40).
На компьютерах которым можно ходить в инет создаем PPPoE соединения, с соотв логинами/паролями.
Все, результат достигнут - пользователь получает свой адрес (и попадает в инет) только если знает имя и пароль.

SolarW
А что мне надо настраивать на клиентских машинах?

Привет всем! Есть вопрос: а можно ли на роутере блокировать IGMP, если да, то как это сделать?

ZloiLexa в фаерволе. Выбираешь протокол IGMP и даешь ему action=drop

vanjalupak

Создание PPPoE подключения

WindowsXP
1.    Открываем меню Пуск (Start)
2.    Находим пункт Программы (Programs)
3.    Находим пункт Стандартные (Accessories)
4.    Открываем пункт Связь (Communications)
5.    Находим и открываем Мастер Новых Подключений (New Connection Wizard)
6.    Нажимаем кнопку Далее (Next)
7.    Выбираем первый пункт – Подключить к Интернету (Connect to the Internet) и нажимаем кнопку Далее (Next)
8.    Выбираем второй пункт – Установить подключение вручную (Setup my connection manually) и нажимаем кнопку Далее (Next)
9.    Выбираем второй пункт – Через высокоскоростное подключение, запрашивающее имя пользователя и пароль (Connect using a broadband connection that requires a username and a password) и нажимаем кнопку Далее (Next)
10.    В поле Имя Поставщика Услуг (ISP Name) вводим CompanyName и нажимаем кнопку Далее (Next)
11.    Вводим Имя пользователя (Username) и Пароль (Password) 2 раза и ставим (оставляем) обе галочки. Нажимаем кнопку Далее (Next)
12.    Устанавливаем галочку на Добавить ярлык подключения на рабочий стол (Add a shortcut to this connection to my desktop) и нажимаем Готово (Finish)

Естесственно можно сделать это и альтернативными способами. Но это уже твоя домашняя работа.

Встал такой вопрос.
Есть:
1) Социально агрессивная категория юзеров(студенты).
2) Роутер с RouterOS(2.9)
Задача:
Ограничить количество подключений с IP.
Пробовал играться с Limit но чтото все равно куча пакетов идет...

goletsa
мало инфы

goletsa Выбираешь в фаерволе протокол tcp и играешься с Connection Limit.

Имеем 3 независимых провайдера интернет:
orgus_lan
dlm_net_realip
dlm_vpn
И локальную сеть:
noka_lan

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; orgus_lan
213.135.125.93/29 213.135.125.88 213.135.125.95 orgus_lan
1 ;;; locnet
172.22.63.24/28 172.22.63.16 172.22.63.31 noka_lan
2 ;;; dlm_net
10.202.10.66/26 10.202.10.64 10.202.10.127 dlm_net
3 ;;; dlm_net_realip
83.146.114.170/30 83.146.114.168 83.146.114.171 dlm_net_realip
4 ;;; dlm_vpn
83.146.115.77/32 83.146.115.77 83.146.115.77 dlm_vpn

Для каждого провайдера существует свой gateway
orgus_lan - 213.135.125.94
dlm_net_realip - 83.146.114.169
dlm_vpn - 83.146.115.77

[admin@MikroTik] > ip route print
1 A S 0.0.0.0/0 r 213.135.125.94 orgus_lan

Если указываю gateway по умолчанию 213.135.125.94, то
все три сетевых интерфейса orgus_lan, dlm_net_realip, dlm_vpn,
пингуются со стороны интернет,
если указать gateway по умолчанию 83.146.114.169 или 83.146.115.77
то пингуются только соотвественно интерфейсы dlm_net_realip или dlm_vpn

Проблема в том, что когда провайдер orgus_lan со шлюзом 213.135.125.94
падает, то перестают пинговаться соотвественно все 3 интерфейса.

Как сделать так чтобы каждый сетевой интерфейс использовал свой шлюз?

Я попробовал пометить интерфейс dlm_net_realip и направить его на соответствующий шлюз:

[admin@MikroTik] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; dlm_net_realip
chain=prerouting in-interface=dlm_net_realip action=mark-routing
new-routing-mark=dlmrealiproute3 passthrough=yes

[admin@MikroTik] > ip route print
1 A S 0.0.0.0/0 r 213.135.125.94 orgus_lan
2 A S 0.0.0.0/0 r 83.146.114.169 dlm_net_realip mark:dlmrealiproute3

Но в результате, клиенты в моей локальной сети noka_lan
которые с помощью NAT имеют доступ ко всем 3м сетям orgus_lan, dlm_net_realip, dlm_vpn,
потеряли доступ к сети которую я помечал: dlm_net_realip

Что делать? в какую сторону мне двигаться далее?

Noka если у тебя в нате action=masquerade, то тебе надо это правило заменить и помимо меток создать 3 правила для ната с явным указанием ип, под которым будут маскарадиться клиенты, ходя на тот или иной интерфейс.
И в мангле устанавливай passthrough=no.

quickgen

Цитата:

если у тебя в нате action=masquerade,

Да имеено так сейчас и обстоит дело:

[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=orgus_lan action=masquerade
1 chain=srcnat out-interface=dlm_net_realip action=masquerade
2 chain=srcnat out-interface=dlm_net action=masquerade
3 chain=srcnat out-interface=dlm_vpn action=masquerade

[admin@MikroTik] > ip firewall filter print forward
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=forward action=accept
1 ;;; Allow ICMP Ping
chain=forward protocol=icmp action=accept
2 ;;; Drop invalid connection packets
chain=forward connection-state=invalid action=drop
3 ;;; Allow established connections
chain=forward connection-state=established action=accept
4 ;;; Allow related connections
chain=forward connection-state=related action=
accept
5 ;;; Access to internet from nokacomp & nsrvdns
chain=forward src-address=172.22.63.21 action=accept
6 chain=forward src-address=172.22.63.18 action=accept
7 chain=forward src-address=172.22.63.19 action=accept
8 chain=forward src-address=172.22.63.20 action=accept
9 chain=forward src-address=172.22.63.26 action=accept


Цитата:

то тебе надо это правило заменить и помимо меток создать 3 правила для ната с явным указанием ип, под которым будут маскарадиться клиенты, ходя на тот или иной интерфейс.

3 правила, для каждого клиента? 172.22.63.18, 19, 20, 21, 26
Если это возможно приведи пример такого правила.


Цитата:

И в мангле устанавливай passthrough=no.

Понятно, спасибо.

Noka у меня, к сожалению, нету возможности проверить на работающей системе. Но думаю что тебе надо поступить вот так:
1. Маркируем в цепочке Input подключения на каждый из интерфейсов провайдерских, в твоем случае их 3 будет(connection-mark).
2. Маркируем в цепочке Output пакеты из каждого connection-mark с помощью routing-mark
3. Создаем 3 рута(на каждого провайдера) с указанными routing-mark

На деле это выглядит так(для одного провайдера):

/ip firewall mangle
add chain=input comment="" in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes disabled=no

add chain=output connection-mark=dlm_net_realip-conn action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no comment="" disabled=no

/ip route
add gateway=83.146.114.169 routing-mark=dlm_net_realip-route

Нат пока оставь так как есть. Если схема не заработает, будем дальше думать.

quickgen
Сделал, для всех 3х интерфейсов:

Цитата:

/ip firewall mangle
add chain=input comment="" in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes disabled=no

add chain=output connection-mark=dlm_net_realip-conn action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no comment="" disabled=no

/ip route
add gateway=83.146.114.169 routing-mark=dlm_net_realip-route

Предварительный итог:
теперь даже при недоступности шлюза orgus_lan 213.135.125.94
два оставшиеся интерфейса dlm_net_realip 83.146.114.169 и dlm_vpn 83.146.115.77
пингуются со стороны интернет (раньше не пинговались).

Но теперь перестали видеться со стороны интернет, сервисы которые были у меня за NATом, а имеено DNS сервер:
Работал он с помошью проброса портов вот таким образом:

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=orgus_lan action=masquerade
1 chain=srcnat out-interface=dlm_net_realip action=masquerade
2 chain=srcnat out-interface=dlm_net action=masquerade
3 chain=srcnat out-interface=dlm_vpn action=masquerade
4 chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
5 chain=dstnat dst-address=213.135.125.93 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
6 chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
7 chain=dstnat dst-address=83.146.114.170 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
8 chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
9 chain=dstnat dst-address=83.146.115.77 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

[admin@MikroTik] > ip firewall filter print forward
Flags: X - disabled, I - invalid, D - dynamic
14 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
15 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
16 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
17 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
18 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
19 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept

Noka Если я правильно понял то тебе надо чтобы какие-то внешние ип резолвили днс с твоего внутреннего сервера. Если так то замени твои правила для ДНС вот чем:

Создай в адрес-листе фаервола, list например под названием allow-dns. Запихни туда все ипшники которые тебе нужны.
Далее создай всего-лишь одно правило:

/ip firewall nat
add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

quickgen
У меня уже есть:

Цитата:

4 chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
6 chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
8 chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

Как я понимаю это и есть равносильно тому что ты предлагаешь:

Цитата:

Создай в адрес-листе фаервола, list например под названием allow-dns. Запихни туда все ипшники которые тебе нужны.
Далее создай всего-лишь одно правило:

/ip firewall nat
add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

Просто количество правил уменьшится,

Но у меня то перестал работать сам port forwarding

Цитата:

Но теперь перестали видеться со стороны интернет, сервисы которые были у меня за NATом, а имеено DNS сервер:
Работал он с помошью проброса портов вот таким образом:

Подозреваю что пакеты которые пересылаются на DNS сервер с помошью dstnat
тоже нужно както пометить и потом роутить, чтобы port forwarding заработал снова.

Noka Не факт. Заметь что у тебя указано
Цитата:

dst-address=83.146.114.170

а должно быть source-address.
Опять же, если я правильно понял, 83.146.114.170 это source address и он не может быть dst-address.
Количество правил всегда влияет на нагрузку процессора - это факт.

Всем привет! прошу помощи в такой ситуации:
сделал бридж, в который включил два влана, приходящих от прова и лан порт, третий влан от прова это интернет, у всех клиентов на бридже реальные ИП, на бридже включил прокси арп и сделал правило, что все арп не от реальной подсети дропаются. получил такую ситуацию, что на некоторое время иногда не могу достучатся до хостов из бриджа, после, видимо, обновления арп таблицы на роутере достукиваюсь, что я недонастроил?

Привет!
Есть три сетки:
192.168.0.0 - ether2
192.168.2.0 - ether3
192.168.3.0 - ether4
192.168.4.0 - ether5
Как сделать так, чтобы сетки видели друг друга? Прочитал статью "Объединяем офисы с помощью Mikrotik", но там обрисована несколько другая ситуация

ZloiLexa
вероятно роутингом, а на интерфейсе микротика поднять ИП от каждой из подсетей

ZloiLexa по умолчанию форвардинг включен! На клиентских машинах должен быть указан ip, mask и gateway как минимум. Все будет работать.
JohnnyBravo с мостами дела не имел. Для начала выясни в чем проблема методом исключения.

quickgen

Цитата:

а должно быть source-address.

сделал:

Цитата:

/ip firewall nat
add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

через это правило трафик не проходит,
port forwarding перестал работать
Вернул свои:

Цитата:

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=orgus_lan action=masquerade
1 chain=srcnat out-interface=dlm_net_realip action=masquerade
2 chain=srcnat out-interface=dlm_net action=masquerade
3 chain=srcnat out-interface=dlm_vpn action=masquerade
4 chain=dstnat dst-address=213.135.125.93 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
5 chain=dstnat dst-address=213.135.125.93 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
6 chain=dstnat dst-address=83.146.114.170 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
7 chain=dstnat dst-address=83.146.114.170 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
8 chain=dstnat dst-address=83.146.115.77 protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
9 chain=dstnat dst-address=83.146.115.77 protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

[admin@MikroTik] > ip firewall filter print forward
Flags: X - disabled, I - invalid, D - dynamic
14 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
15 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
16 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
17 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
18 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
19 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept

Видимо всеже внешний IP с которого перенапрявлю пакеты на компьютер в локалку,
нужно писать под dst-address
Эти правила я делал по примеру http://pcrouter.ru/ipb/index.php?showtopic=54

Noka Заметь что по той ссылке что ты мне дал, нигде не указан dst-address в примерах и у меня имено таким образом
Цитата:

/ip firewall nat
add chain=dstnat src-address-list=allow-dns protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

все пробросы и настроены.

Попробуй просто вот так:
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

Посмотри если трафик будет проходить. Если не будет, попробуй отключить те правила мангла которые мы добавляли раньше.

quickgen

Цитата:

Заметь что по той ссылке что ты мне дал, нигде не указан dst-address в примерах

Да я заметил, это был мой личный изврат, сейчас попробуем как ты предложил.

Убрал:

Цитата:

[admin@MikroTik] > ip firewall filter print forward
Flags: X - disabled, I - invalid, D - dynamic
14 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
15 chain=forward in-interface=orgus_lan dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
16 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
17 chain=forward in-interface=dlm_net_realip dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept
18 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=udp dst-port=53 action=accept
19 chain=forward in-interface=dlm_vpn dst-address=172.22.63.18 protocol=tcp dst-port=53 action=accept

Поставил:

Цитата:

/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53
add chain=dstnat protocol=tcp dst-port=53 action=dst-nat to-addresses=172.22.63.18 to-ports=53

Данные правила работают одинаково.

т.е. как и раньше
port forwarding работает только когда указан шлюз по умолчанию:

Цитата:

[admin@MikroTik] >ip route print
1 A S 0.0.0.0/0 r 213.135.125.94 orgus_lan
2 S 0.0.0.0/0 r 83.146.114.169 dlm_net_realip

и не работает когда указан любой другой шлюз:

Цитата:

[admin@MikroTik] >ip route print
1 S 0.0.0.0/0 r 213.135.125.94 orgus_lan
2 A S 0.0.0.0/0 r 83.146.114.169 dlm_net_realip

Мангл включен и в данный момент имеет следующий вид:

Цитата:

[admin@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes
1 chain=output connection-mark=dlm_net_realip-conn action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no
2 chain=input in-interface=dlm_vpn action=mark-connection new-connection-mark=dlm_vpn-conn passthrough=yes
3 chain=output connection-mark=dlm_vpn-conn action=mark-routing new-routing-mark=dlm_vpn-route passthrough=no
4 chain=input in-interface=orgus_lan action=mark-connection new-connection-mark=orgus_lan-conn passthrough=yes
5 chain=output connection-mark=orgus_lan-conn action=mark-routing new-routing-mark=orgus_lan-route passthrough=no


[admin@MikroTik] > ip route print
1 A S 0.0.0.0/0 r 213.135.125.94 orgus_lan
2 S 0.0.0.0/0 r 83.146.114.169 dlm_net_realip
3 A S 0.0.0.0/0 r 83.146.114.169 dlm_net_realip mark:dlm_net_realip-route
4 A S 0.0.0.0/0 r 83.146.115.77 dlm_vpn mark:dlm_vpn-route
5 A S 0.0.0.0/0 r 213.135.125.94 orgus_lan mark:orgus_lan-route

Noka давай мангл подрихтуем таким образом:


Цитата:

/ip firewall mangle
add chain=input in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes

add chain=input connection-mark=dlm_net_realip-conn action=mark-packet new-packet-mark=dlm_net_realip-pkts passthrough=yes

add chain=output packet-mark=dlm_net_realip-pkts action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no

P.S. Поиграйся со значениями passthrough=yes/no

Выключай фаервол полностью на время игры с этими значениями, чтобы точно знать что он трафик не блокирует.

quickgen

Цитата:

давай мангл подрихтуем таким образом:

Через правило:

Цитата:

add chain=output packet-mark=dlm_net_realip-pkts action=mark-routing new-routing-mark=dlm_net_realip-route passthrough=no

пакеты и трафик не проходят,
Через:

Цитата:

add chain=input in-interface=dlm_net_realip action=mark-connection new-connection-mark=dlm_net_realip-conn passthrough=yes

add chain=input connection-mark=dlm_net_realip-conn action=mark-packet new-packet-mark=dlm_net_realip-pkts passthrough=yes

Трафик проходит пока там присутствует passthrough=yes


Цитата:

Выключай фаервол полностью на время игры с этими значениями, чтобы точно знать что он трафик не блокирует.

А как выключать, я включаю следующие правила в начале:

Цитата:

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept
1 chain=input action=accept
2 chain=output action=accept