» MikroTik RouterOS

Цитата:

после установки 3.16 пришлось прописывать конфигурацию вручную?

конфигурацию чего? Я заново почти все настроил. Частично воспользовался результатами export из 2.9. (не забудь сделать, если будешь мигрировать

gamespb
Я ошибся на счет "все нормально". Проблема осталась. Сломал голову. Подсвечиваю нужные соединения, ставлю routing mark, прописываю в /ip routes rules правила.
Все равно летит все через один интерфейс.

Статик роут использовать не удобно. Я не пойму логику работы rules. Кто-нибудь использует этот функционал?

Здравствуйте, столкнулся с проблемой флуда любителей "пощелкать" видео-каналы.

Конфигурация такова, за Микротиком(3.10) работает видеосервер на базе VLC. Выделен диапазон http-портов с 7000, где на каждом раздается по одному каналу.

Первое попробывать ограничить кол-во соединений до 1 на порту для каждого адреса командой:

Код: chain=forward action=drop tcp-flags=syn dst-address=айпи_видеосервера protocol=tcp connection-limit=1,32

Попалась в руки routerboard 532 с микротиком естестно и пароля я не знаю. Как сбросить его в дефолт?

Добавлено:
Все сам разобраля

Поскажите, отчего может быть такая бяка - микротик 2.9.27 переодически сбрасывает DNS с 172.16.1.1 на 192.168.0.1.. как запретить ему менять ДНС и как он его обновляет? установка была полной, стоят все пакеты..

AHbKA
Как вы инет получаете? Скорее всего, в свойствах вашего ppp*_out или в dhcp-client включена опция use peer dns.

Отключите ее.

Скажите, кому-нибудь удалось настроить DHCP Client так, чтобы он получал и имя WINS-сервера, вместе с кучей других параметров (адреса, шлюза, DNS)? Дело в том, что машинка с микротиком получает адрес от DHCP-сервера, который нет возможности контролировать (т. е. возможна произвольная смена параметров в любой момент), поэтому нужно настроить доступ по имени. Винда это делает сразу же, а в микротике даже поля такого нету, как WINS. Теряюсь в догадках, как реализовать данную фичу... Тот же ClarkConnect это легко делает, там хоть WINS можно вручную задать, но от микротика отказываться не хочется. Кажется что в микротике это вообще невозможно, но вдруг?

simplix
адрес, шлюз, DNS, NTP-сервер - всё это получает, только что проверил. а WINS RouterOS'у никуда не упал, он им пользоваться не умеет, это ж не Виндамс

Конечно получает. Всё, кроме WINS. А пользоваться должен уметь, это ведь линукс. Как уже говорил, ClarkConnect же умеет (пусть не получать, но можно вручную прописать, и всё работает).

Цитата:

а WINS RouterOS'у никуда не упал, он им пользоваться не умеет

Тут и уметь-то не нужно - тупо передать своё имя серверу. Почему разработчики это до сих пор не сделали - загадка.

потому что есть DNS. /tool dns-update тоже присутствует

Удалено.

Предстоит миграция с 2.9.27 на 3.16. Для полной совместимости конфигураций рекомендуется использовать export/import. Подскажите с какими параметрами нужно запускать эти команды и как вообще на практике это должно происходить. Или ткните в мануал где это пошагово прописано...

GM07

Цитата:

Предстоит миграция с 2.9.27 на 3.16. Для полной совместимости конфигураций рекомендуется использовать export/import. Подскажите с какими параметрами нужно запускать эти команды и как вообще на практике это должно происходить. Или ткните в мануал где это пошагово прописано...

я делаю по следующей схеме - в консольке микротика в нужном разделе (например, "/ip/firewall/mangle") делаю команду "export file=mangle", потом забираю этот файл mangle.rsc с фтп микротика ( или через винбокс из файлов) к себе на комп, редактирую его(если надо) и заливаю на другой микротик. там экспортом применяю. но чаще всего после редактирования сразу копирую строки в терминал новонастраиваемого роутера =)

люди! помогите!

ничего не понимаю надо сделать проброс на внутренний ип, вот что имею:


Код:
3 ;;; PROV
chain=srcnat action=masquerade out-interface=NET2 src-address=10.0.1.0/24

4 chain=dstnat action=dst-nat to-addresses=10.0.1.100 to-ports=3389 dst-address=81.x.x.x

6 ;;; 22
chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22 src-address=217.x.x.x
dst-address=81.x.x.x protocol=tcp

7 chain=srcnat action=src-nat to-addresses=81.x.x.x to-ports=22 src-address=10.0.1.99

8 ;;; 80
chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=80 dst-address=80.x.x.x
protocol=tcp

9 chain=srcnat action=src-nat to-addresses=81.x.x.x to-ports=80 src-address=10.0.1.99

Stupido
мне хватило добавить одну записть
add chain=dstnat protocol=tcp dst-port=3399 action=dst-nat \
to-addresses=192.168.4.7 to-ports=3389 comment="" disabled=no
где 192.168.4.7 адрес внутренней машины внутри сети с которой будет свять терминал клиента

Добавлено:
simplix
у тика 2.9.27 есть в разделе dhcp-server network поле wins server
то есть если ты его знаешь то можешь своим клиентам его выставлять. а то что тик его не может получить будучи сам клиентом то что поделать. пиши производителю в литву

Вопрос снят, проблема решилась установкой самбы.

установкой самбы куда? О_о

Stupido
а разрешающие правила есть в файерволе? в смысле, пропустить пакет от 217.х.х.х до 10.0.1.99?

AHbKA

а по подробнее...
где и как выглядет ?

Chupaka
Переделал немного этот пакет, а на него поставил самбу.

Цитата:

Раздел форума PCRouter, посвященный MikroTik RouterOS

Никто не знает, что случилось ?

подскажите, есть ли рабочий способ способ привязать к dyndns?

Есть такая задача: Клиенты конектятся к серверу Микротик по ВПН получают ИП. Инет на сервер идет по OpenVPN с другого моего же сервера но на win 2003, на нем же стоит билинг Traffic Inspector.

Почему все так запутано? Дело в том что серверу на win 2003 подключена еще куча клиентов по ВПН а от те, которые не видят ВПН (в силу определенных причин) хочу подключить к другому серверу на Микротике а канал резать и делать билинг на сервере с ТИ.

Так от, чтоб это все организовать нужно, на мой взгляд, что бы сервер с ТИ увидел ИП клиентов подключенные по ВПН к серверу Микротик а потом по этим ИП резать канал. Или что на каждый ИП выделенный ВПН сервером на Микротике присваивался адрес ОпенВПНа и по этому адресу делать билинг на 2003 с ТИ.

Какая с этих идей реальная? Если хоть какая-то реальная то тыкните меня носом в инфу по этому вопросу. Или есть более простой способ как это сделать?

Заранее большее спасибо.

ну если ты просто правильно настроиш маршрутизацию то сервак с ТИ отлично увидить ip VPN_клиентов микротика, и дальше реж что хочеш

будет так

ip>--vpn-->mikrotik-->ip_vpn_cl mikrotik (шлюз - ip_open_vpn_srv)>--openvpn(без нат )-->TI_srv
ну и обратно соответственно

Извините. Немного неправильно написал.
Для того чтобы ТИ начал считать трафик и т.д. он должен увидеть юзеров с ИП входящими в подсеть заданной одним из внутренних интерфейсов сервера с ТИ. В моем случае это ОпенВПН.

DemonMetalist

Цитата:

подскажите, есть ли рабочий способ способ привязать к dyndns?

В вики лежит скрипт. Копайте там.

Есть сеть, оборудование подключено сл. образом:
Catalyst (172.16.x.x/16) -> (inside,172.16.a1.a2/16) PIX (outside, 80.y1.y2.y3/28) -> WAN
Добавляю Mikrotik 3.17
Catalyst (172.16.x.x/16) -> (inside,172.16.a1.a2/16) PIX (outside, 80.y1.y2.y3/28) ->
-> (ethernet2) Router (ethernet1) -> WAN
Интерфейсы ethernet1 и ethernet2 объеденены в bridge1
Интерфейсу ethernet3 присвоен адрес из LAN и он подключен к коммутатору.
Все работает, но... netflow считается только с ethernet3, что абсолютно бесполезно, необходимо с ethernet1
Пробовал присвоить WAN IP-адрес интерфейсу ethernet1, все продолжает работать, роутер становится виден извне, но netflow так и не отправляется.

Задача в принципе проста - добавить в существующую сеть маршрутизатор для подсчета трафика, не меняя текущей адресации.
Какой в данном случае способ правильный?

Пока приходит в голову только переделать адресацию (чего сильно не хочется), перенеся WAN адреса с PIX'а на Mikrotik и настроив NAT

AHbKA

Цитата:

я делаю по следующей схеме - в консольке микротика в нужном разделе (например, "/ip/firewall/mangle") делаю команду "export file=mangle", потом забираю этот файл mangle.rsc с фтп микротика ( или через винбокс из файлов) к себе на комп, редактирую его(если надо) и заливаю на другой микротик. там экспортом применяю. но чаще всего после редактирования сразу копирую строки в терминал новонастраиваемого роутера =)

сорри, но я полный нуб в микротике... прошу не пинать, но подскажите как попасть в консоле в раздел /ip/firewall/mangle? и какие еще разделы необходимо бакапить для абсолютного 100%-ного клонирования конфиги?

У меня вопросик по скриптам. Можно ли написать такой скрипт, чтобы в момент потери сигнала с управляющего порта (20561) или потери линка от провайдера Микротик ребутился?

ZloiLexa
Tools->Netwatch не подходит?

Цитата:

Tools->Netwatch не подходит?

ИМХО - System->Watchdog