» MikroTik RouterOS

Цитата:

ddushas

Включи рип или пиши статику...

просьба поподробнее - или пните где на примерах решались такие задачи...
трудно дается после виндоза (

ddushas

1) ты бы почитал книжки по сетевому администрированию... это в общемто похоже во всех осях.

2) статический роутинг будет тебе проще настроить через винбокс ...
менюшка
IP -> ROUTES ...


но лучше почитай в любой книжке про любую ось принципы управления роутингом сначала...

Раньше никогда не работал с nix'ами, так что вопрос немного чайниковский.

Поставил 2.9.27. Поднял 2 ether-интерфейса (192.168.34.220; 192.168.32.220). Вопрос остался за малым - настроить роутинг.

Итак, есть 2 сети: (а) 192.168.34.0/24 и (б) 192.168.32.0/24. В сети (а) есть 2 ADSL-Итернета (шлюзы: 192.168.34.100 и 192.168.34.254).
Требуется пустить сеть (а) в сеть (б), и сеть (б) в сеть (а) соответственно, с вытекающей отсюда возможностью доступа к интернету для сети (б), а также возможностью обозревать компьютеры обоих сетей в сетевом окружении. Не теряя при этом возможности контролировать трафик между сетями.

Вроде все просто и через RRAS на Win2k3 все довольно просто реализуется, но а вот тут я откровенно туплю.

Так всё уже работает - по умолчанию микротик форвардит пакеты между подсетями (если нет фильтрующих правил).
По поводу шлюзов - пиши роуты (советую через winbox) на эти шлюзы ( на какие адреса через какой шлюз пускать), если у тебя оба шлюза прямо смотрят в инет (без ната) то можешь устроить балансировку загрузки этих двух каналов ( через Bonding - смотри в интерфейсах).
По поводу видимости в сетевом окружении - это отдельная большая тема.

Вроде бы разобрался со всеми своими задачами. Вот только не могу понять как разрулить на роутере следущие проблемы:

Исходные данные:

подсеть1: 192.168.34.0/24
подсеть2: 192.168.32.0/24

RouterOS: 192.168.34.220 и 192.168.32.220

ADSL-модем провайдера1: 192.168.34.254 (VPN-servers: 81.25.32.67-68)
подсеть локальных ресурсов провайдера: 81.25.32.0

ADSL-модем провайдера2: 192.168.34.100 (VPN-servers: 172.31.1.1-3)

Текущие настройки Mikrotik RouterOS:




1. После поднятия VPN-соединения для доступа в Инет через любого из провайдеров - шлюзом по-умолчанию становится шлюз который дает VPN-сервер провайдера и как следствие этого вся другая подсеть относительно исходной становится недоступной. Это проблема локально решается прописыванием маршрута на каждом клиенте:

route add -p 192.168.32.0 mask 255.255.255.0 192.168.34.220 - для подсети1
route add -p 192.168.34.0 mask 255.255.255.0 192.168.32.220 - для подсети2

Можно ли обойтись без прописывания вышеуказанного шлюза?


2. Для доступа к локальным ресурсам провайдера1 VPN поднимать не нужно, а достаточно прописать роуты на клиентской машине, например для доступа к провайдерскому shoutcast-серверу: route add -p 81.25.32.97 mask 255.255.255.255 192.168.
34.254 (для подсети1) или: route add -p 81.25.32.97 mask 255.255.255.255 192.168.32.220 (для подсети2).

Можно ли сделать так чтобы клиенту было достаточно указывать default gateway на роутер, а уже роутер разруливал дальше?
(C указанными выше настройками на роутере - не работает! Приходится у клиентов помимо шлюза по-умолчанию все равно прописывать маршруты как на роутере.)


3. Вопрос наверное избитый, но все же: можно ли заставить работать multicast/broadcast чат? А вернее: форвадить multicast/broadcast-пакеты из одной подсети в другую и наоборот?

Цитата:

ты бы почитал книжки по сетевому администрированию...

Порекомендуйте кульную книжку.

Цитата:

Порекомендуйте кульную книжку.

Думаю подойдет любая, готовящая к 70–291

RomanMA


Цитата:

Для отбрасывания таких пользователей я написал скрипт, который запускается через какой-то промежуток времени, смотрит активных пользователей и если разность между лимитов, истраченным трафиком и уже использованным трафиком за сессию меньше или равно 0, то сессия этого пользователя гасится (remove). А дальше, если он попытается залогинется вновь, то HotSpot уже сообщает ему, что лимит привышен и не пускает.

А можно увидеть сие чудо plz

Вот есть мануал http://www.gpsinformation.org/hotspot/netinstallmikrotiktechnet.html

Fader

Цитата:

1. После поднятия VPN-соединения для доступа в Инет через любого из провайдеров - шлюзом по-умолчанию становится шлюз который дает VPN-сервер провайдера и как следствие этого вся другая подсеть относительно исходной становится недоступной. Это проблема локально решается прописыванием маршрута на каждом клиенте:

route add -p 192.168.32.0 mask 255.255.255.0 192.168.34.220 - для подсети1
route add -p 192.168.34.0 mask 255.255.255.0 192.168.32.220 - для подсети2

Можно ли обойтись без прописывания вышеуказанного шлюза?


2. Для доступа к локальным ресурсам провайдера1 VPN поднимать не нужно, а достаточно прописать роуты на клиентской машине, например для доступа к провайдерскому shoutcast-серверу: route add -p 81.25.32.97 mask 255.255.255.255 192.168.
34.254 (для подсети1) или: route add -p 81.25.32.97 mask 255.255.255.255 192.168.32.220 (для подсети2).

Можно ли сделать так чтобы клиенту было достаточно указывать default gateway на роутер, а уже роутер разруливал дальше?
(C указанными выше настройками на роутере - не работает! Приходится у клиентов помимо шлюза по-умолчанию все равно прописывать маршруты как на роутере.)

Если VPN поднимает MikroTik, то:
Выставь в статических маршрутах на публичные IP сервера провайдера параметр Distance в значение 1. Это скажет роутеру, что данное правило будет приоритетным, по сравнению с образующимся динамически после установки VPN соединения (0.0.0.0 через шлюз, который MikroTik получает при установке VPN).
Если VPN поднимает клиент (комп), то это невозможно, т.к. шлюзом по умолчанию (после установки VPN соединения) становится шлюз провайдера, т.е. все запросы на 0.0.0.0 будут идти через шлюз прова.


Цитата:

3. Вопрос наверное избитый, но все же: можно ли заставить работать multicast/broadcast чат? А вернее: форвадить multicast/broadcast-пакеты из одной подсети в другую и наоборот?

Настройкой Bridge (моста) на интерфейсах в обе сети в Mikrotik.

Или, для корректной работы протокола Client for Microsoft networks и File and Printer Sharing, настроить два Wins сервера, по одному в каждой подсети, настроить репликацию между ними. Затем прописать Wins у каждого клиента (или в DHCP, если он используется в сети), находящийся в той же подсети.

Или, если некритичен
Цитата:

Не теряя при этом возможности контролировать трафик между сетями.

то назначить у всех хостов маску 255.255.0.0

Fader
А что мешает в интерфейсе PPTP-client снять галку "Add default route" и прописать нужные маршруты в таблице вручную?
У меня собственно так и сделано

Подскажите как доустановить пакеты? А то сразу пакет security не установил.... вот теперь без ssh мучаюсь....... как доставить его?
И еще если апдейтить пакеты то ключь не слитит?

the_prodigy_man
Цитата:

Подскажите как доустановить пакеты?

Прогуляйтесь сюда: h--p://www.mikrotik.com/testdocs/ros/2.9/guide/packages.php

Цитата:

И еще если апдейтить пакеты то ключь не слитит?

нет.

Просто добавь нужный пакет

Привет!

Лажу по сайту и как-то туплю ....
Подскажите, а какие ограничения у версии 3 beta 7 ???

что значит ограничения ? без ключа имеется ввиду ? такие же как и у не беты.

а как это бета может быть с ключем ?
она же БЕТА - незаконченный продухт

бета - не означает бесплатно, бета - означает тестовый. А какие ограничения на тестовый вариант насладывать решает разработчик.

Вобщем, если хочешь посмотреть, то ищи поломаный. С точки зрения функциональности 3-ий от 2.9 не сильно отличается

Цитата:

Поделитесь плиз инфой кто чем пользуется для учета траффика через МТ. Какой надежный билинг можно прикрутить к МТ

Так же интересен этот вопрос. Возможно кто то к чему то уже приспособил и нет нужды повторять чужие подвиги.

Цитата:

Какой надежный билинг можно прикрутить к МТ

хм... любой, который ВЫ считаете надежным (через SNMP)

да и ... поиск рулит
ну хоть ... http://www.opennet.ru/openforum/vsluhforumID3/37266.html

Помогите разрулить след. конфигурацию сети:



ADSL 1 - используется только почтовым сервером

ADSL 2 - используется для выхода в Интернет всех пользователей сети + через это соединение могут подключаться по VPN удаленные пользователи, чтобы работать с БД на офисном сервере

Первый вопрос:
Я так понимаю, что на рутере (Mikrotik) нужно прописать default gateway два раза. Но как заставить рутер посылать всех через ADSL 2, а на ADSL 1 заруливать только пакеты с почтового сервера???

Вторая проблема:
Удаленные пользователи хотят работать по VPN еще и с почтовым сервером (при помощи Outlook по Exchange протоколу). Ведь по идее все ответы от почтового сервера будут уходить через ADSL 1, а не через туннель... как тогда поступить???

Помогите плиз.

Кто тут билинга хотел?
Настраиваем бюджетный биллинг: UTM+Mikrotik
Автор - просто молодца, в шапке ссылки на еще пару его руководств.

Добавлено:
zaharmd
- adsl перечисленные в каком режиме работают? Бриджи или роутеры?
- на обоих adsl реальные адреса?
- почтовый домен привязан к одному из них?

А пока нет ответов несколько отвлеченных размышлений... советы, уточнения, рекомендации...
Типа начальные условия если правильно все понято.
- локалка на фейковых адресах (192.168.0.x)
- mikrotik смотрит в локалку адресом 192.168.0.254 (этот адрес является шлюзом по умолчанию для локалки)
- почтовый сервер пусть будет 192.168.0.1
- второй сервер пусть будет 192.168.0.2
- будем считать что adsl1 работает с реальным адресом ххх.ххх.ххх.2 (со стороны провайдера ххх.ххх.ххх.1)
- будем считать что adsl2 работает с реальным адресом ууу.ууу.ууу.2 (со стороны провайдера ууу.ууу.ууу.1)
- почтовый домен привязан к адресу ххх.ххх.ххх.2
- ВПН-щики цепляются на ууу.ууу.ууу.2, получают адрес из диапазона 192.168.0.ххх

Итого получаем:
- шлюз по умолчанию на микроте ууу.ууу.ууу.1
- весь smtp трафик говорим роутить на ххх.ххх.ххх.1
- настроен портмапинг smtp с адреса ххх.ххх.ххх.2 на 192.168.0.1
- ВПН-щики попадаю внутрь сети обращаются к серверам как к 192.168.0.1 и 192.168.0.2

Вроде так все решается... Поправьте кто считает меня неправым.

Цитата:

Автор - просто молодца, в шапке ссылки на еще пару его руководств.

+1 статьи у автора просто бомбовые. молодец. оч помогает.

может вопрос и совсем тупой, но как мне интегрировать свой драйвер для сетевой карты? дело в том, что одна из сетевых карт (D-Link DFE-250TX) неправильно определяется (как VIA Rhine I/II). Насколько я понял, то мне необходимо добавить в дистрибутив драйвер для моей карточки?

никак

m0ps

Цитата:

может вопрос и совсем тупой, но как мне интегрировать свой драйвер для сетевой карты? дело в том, что одна из сетевых карт (D-Link DFE-250TX) неправильно определяется (как VIA Rhine I/II). Насколько я понял, то мне необходимо добавить в дистрибутив драйвер для моей карточки?

Зачем? если и так определяется. а длинк если я не ошибаюсь своих чипов никогда не имел, и делал всегда на чужих, в твоем случае на виа-шном.

Цитата:

в твоем случае на виа-шном.

да... я тут пол дня в сети прорыскал, и нашел что моя карточка основана на чипе VIA VT6105 Rhine-III, но определяется она как Rhine-I / II и не хочет работать. первая сетевая установлена на локальный интерфейс, эта же на глобальный (модем). дак вот: из локалки роутер пингуется, с роутера сеть тоже, но вот с роутера на модем пинги не проходят
может проблема и не в драйвере? тогда может кто подскажет в чем может быть проблема.

m0ps
опиши топологию, желательно с указанием адресов и масок.

вообще так:
есть локальная сеть - 192.168.111.ХХХ/255.255.0.0
роутер под микротиком - две сетевые карты. одна смотрит в сеть - 192.168.1.199/255.255.0.0, ко второй подключен ADSL-модем - 192.168.1.201/255.255.0.0.
модем настроен в режиме роутера (сам подымает PPPoE-сессию) - 192.168.1.200/255.255.0.0

m0ps
мдя... топология конечно не фонтан. правила фаера на микротике проверял? мак адрес в арп кеше на микротике есть?