» MikroTik RouterOS

Да проблема то стандарная, пробросить шлюз именно для одного из одной подсети в другую, делаю по докам 2.9 - толку ноль.
Рисовать - в центре - роутер, а от него - три подсети, в каждой есть как модемы, так и пользователи.Нуна чтоб пользователь мог пользоваться своим инетом от модема, установленного в другой подсети.

Что значит пробросить шлюз? куда вы его бросать будете?
Может имеется в виду маршрутизация??
Нарисуйте схему. С вашего объяснения ничего не понятно.

Попробуйте либо на клиентах прописать нужные маршруты, либо на роутере их прописать...

Fitter
"Connection" - это двухстороннее соединение, поэтому его надо помечать лишь один раз. а вот уже при маркировке пакетов сортировать по
Цитата:

src-address=0.0.0.0/0 dst-address=159.148.39.0/24

и наоборот. потому что сейчас, видимо, получается ситуация, когда пакет аплоада маркируется, а потом перемаркировывается в даунлоад. проверить просто - поменять местами 0,1 и 2,3 правила. должен пропасть даунлоад и появиться аплоад. если важна работоспособность, а не корректность реализации, можно просто попробовать поставить passthrough=no у правил action=mark-packet

router604
из пояснения мне видется, что:
один подопытный должен использовать канал инета(модемБ) из другой подсети

остальные компы той же сети в которой находится наш подопытный для выхода в инет используют шлюзом по умолчанию - модемА

так?

назначить подопытному шлюзом машину с микротиком
на микротике натить его в сеть с модемомА

Добавлено:
ошибочка надо
натить на модемБ

Chupaka
Важно разобраться , чтоб работало. Я эксперементирую с простыми правилами, чтоб написать сложное. Поэтому взял пример из статьи для шлюза и переделал, как понимал для моста.

Меняя правила местами ничего не меняеться. МОжет сейчас , когда оффис пуст трудно реализовать опыт.
Но я пробую загружать большой файл и не получаю ограничение 128к (это я специально подправил, для наглядности)

Спасибо.

Прошу помощи в следующем вопросе:
Есть задача организовать VPN IPSec тунель между Mikrotik и ПК OS Windows.
На ПК будет использоваться NetGear VPN Client, либо Cisco VPN Client.
Необходима инф. по настройке IPSec на Mikrotik
Заранее благодарен!

Такой вопрос ! можно ли крякнуть мтик 3.20,3.22 на усб флеши так ка у меня чета не получается. Ломаю через Gentoo( а также через телнет) roskey /dev/sda1 после подбора ключа делаю ребут. Мтик видает loading loading loading ...... плз хелп !!

maxpayne1987
а до роскея грузилось быстро? может дело не в кряке. попробуй минут 20 подождать
у меня когда я на компактфлэшь ставил минут 15 за загрузке стояло
потом после переустановки работало нормально.

п.с. на юсб не ставил

Внутренний DNS сервер и доступ к нему из 2 провайдеров

Имеем 2 независимых провайдера интернет:
orgus_lan
dlm_net_realip

И локальную сеть:
noka_lan

Внутренний DNS на IP 172.22.63.18

[noka@MikroTik] > ip address export
/ip address
add address=213.135.125.93/29 broadcast=213.135.125.95 comment=orgus_lan \
disabled=no interface=orgus_lan network=213.135.125.88
add address=95.129.235.10/30 broadcast=95.129.235.11 comment=dlm_net_realip \
disabled=no interface=dlm_net_realip network=95.129.235.8
add address=172.22.63.24/28 broadcast=172.22.63.31 comment=noka_lan disabled=\
no interface=noka_lan network=172.22.63.16

Пробрасываю порты на внутренний DNS:

[noka@MikroTik] > ip firewall nat export
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=orgus_lan
add action=masquerade chain=srcnat comment="" disabled=no out-interface=dlm_net_realip
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=213.135.125.93 dst-port=53 protocol=udp to-addresses=172.22.63.18 to-ports=53
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=213.135.125.93 dst-port=53 protocol=tcp to-addresses=172.22.63.18 to-ports=53
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=95.129.235.10 dst-port=53 protocol=udp to-addresses=172.22.63.18 to-ports=53
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=95.129.235.10 dst-port=53 protocol=tcp to-addresses=172.22.63.18 to-ports=53


Все исходящие соединения идут через шлюз указанный по умолчанию:

[noka@MikroTik] >> ip route export
/ip route
add comment=!!! disabled=no distance=1 dst-address=0.0.0.0/0 gateway=213.135.125.94 scope=255 target-scope=10
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=95.129.235.9 routing-mark=dlm_net_realip-route scope=255 target-scope=10

Задача: Метить входяще соединения по интерфейсам, и исходяшие роутить обратно через теже интерфейсы

Поискал по теме, и другим форумам, предполагаю 2 решения:
1) нужно маркировать вошедшие пакеты на порт 53 и исходя из их соурса ответы слать с соответсвующего адреса
2) надо метить сессии, т.е. если сессия пришла с определенного интерфейса, метками маршрутизации выводить её обратно через тот же интерфейс

Добавил правила:

[noka@MikroTik] > ip firewall mangle export
/ip firewall mangle
add action=mark-connection chain=input comment="" disabled=no in-interface=dlm_net_realip new-connection-mark=dlm_net_realip-conn passthrough=yes
add action=mark-routing chain=output comment="" connection-mark=dlm_net_realip-conn disabled=no new-routing-mark=dlm_net_realip-route passthrough=no

В итоге при падении и не доступности шлюза по умолчанию 213.135.125.94 (orgus_lan),
интерфейс 95.129.235.10 (dlm_net_realip) виден в интернет.

Но это не помогло решить задачу.
При падении шлюза 213.135.125.94 (orgus_lan),
пакеты приходящие на 95.129.235.10 (dlm_net_realip) port 53,
форвардятся на IP 172.22.63.18 port 53
а в ответ идут не на шлюз 95.129.235.9 (dlm_net_realip),
а на шлюз по умолчанию 213.135.125.94 (orgus_lan)

Подскажите как правильно пометить пакеты, чтобы можно было в ответе завернуть их на нужный шлюз.

Цитата:

из пояснения мне видется, что:
один подопытный должен использовать канал инета(модемБ) из другой подсети

остальные компы той же сети в которой находится наш подопытный для выхода в инет используют шлюзом по умолчанию - модемА

так?

назначить подопытному шлюзом машину с микротиком
на микротике натить его в сеть с модемомА

Да, только при нате, неполучаеться фильтровать входящие по маку на adsl модеме, т.к. при нате - входящие соединение на модеме отображаеться как входящие с роутера, а не с компа клиента.
Вопрос: Как пробросить мак через роутер на adsl модем?

router604
мак на модеме будет если два интерфейса объединить в бридж на тике, или пусть подопытный устанавливает ipsec тунель с модемом сам(но как не знаю и есть ли нужное в модеме)

Добавлено:
Noka
как получилось?
думаю получиться сделать если один днс нужен через одного провайдера, а второй через другого и днс внутри два(на двух адресах).

Цитата:

мак на модеме будет если два интерфейса объединить в бридж на тике, или пусть подопытный устанавливает ipsec тунель с модемом сам(но как не знаю и есть ли нужное в модеме)

и первое и второе отпадает.
Может стоит попробовать перейти на версию 3.20 ?
вроде в ней нучились работать с широковещалкой ?

router604
? что там добавили для этого?

Добрые люди, подскажите!
Занимаюсь обслуживание организаций и очень часто с сталкиваюсь казалось бы с очень простоя задачей. ПРИМЕР: офисы 3-20 компов, требуется пользователям ходить в интернет. Важно! СУТОЧНЫЕ КВОТЫ, АВТОРИЗАЦИЯ ПО IP+MAC и ЭЛЕМЕНТАРНАЯ СТАТИСТИКА ЗА ПЕРИОД С ЦЕЛОМ И ОТДЕЛЬНО ПО ПОЛЬЗОВАТЕЛЯМ! Так вот Mikrotik справиться??? С АВТОРИЗАЦИЯ ПО IP+MAC я разобрался ARP-ы, а вот КВОРЫ и СТАТИСТИКА никак не получается! HOTSPOT не подходит так как авторизация по IP+MAC! UserManager модно использовать без хотспота????

Radius + Netflow?
Вполне норм связка получится.

Доброго времени суток...
Может у меня вопрос смешной, но я никак не могу найти причину ошибки....
У меня есть правило запрещающее выход П2П клиентов на внешку.
Иногда мне может понадобится выключить это правило, но однажды забыл включить, а у меня трафик платный...
Так вот, я хочу написать скрипт который проверял если это правило включено, и если нет - то включить.
Вот что у меня получилось...


Код:
:if ([/ip firewall filter get [ ip firewall filter find comment="Drop Extern p2p"] enabled]=false) do={
/ip firewall filter enable [/ip firewall filter find comment="Drop Extern p2p"] }

Цитата:

HOTSPOT не подходит так как авторизация по IP+MAC!

так почему не подходит? IP+MAC делается через статическую ARP-таблицу, а Hotspot по MAC и авторизует =)

IHaveAProblem
нет такого свойства - enabled, есть disabled =)

правильный вариант предыдущего скрипта:

Цитата:

:if ([/ip firewall filter get [ /ip firewall filter find comment="Drop Extern p2p"] disabled]=true) do={
/ip firewall filter set [/ip firewall filter find comment="Drop Extern p2p"] disabled=no}

правильный вариант скрипта:


Цитата:

/ip firewall filter set [/ip firewall filter find comment="Drop Extern p2p"] disabled=no]

=)

Здравствуйте!

Нужно настроить микротик для раздачи интернета по WiFI.
железо:
р-боард 411ah
карта R52
у клиентов: nanostation2 , bullet2
Посоветуйте статью, как настроить базовую станцию на мтике для раздачи.
че-то на wiki.mikrotik.com не могу найти.

СПАСИБО!

Цитата:

правильный вариант предыдущего скрипта:

Цитата:

:if ([/ip firewall filter get [ /ip firewall filter find comment="Drop Extern p2p"] disabled]=true) do={
/ip firewall filter set [/ip firewall filter find comment="Drop Extern p2p"] disabled=no}

Спасибо большое, вы мне очень помогли!!! Низкий вам поклон!

Добрый день всем.
Ситуация такая.
есть ТИК RB1000
На нем поднято 2 интерфейса на одном 2 vlan с интерфейсам разных провайдеров на другом vlan в свою сеть.
получаю от двух провайдеров по BGP full view.
Есть необходимость сделать разграничение по каналам траффик на один 10% а на другой 90%.
Вот незнаю где и как это сдалеть.
Подскажите в каком направлении копать.

Вот конфиг:

/routing bgp instance print

0 X name="default" as=65530 router-id=0.0.0.0 redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=yes ignore-as-path-len=no

1 name="AS12389" as=48129 router-id=188.128.88.230 redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=no ignore-as-path-len=no

2 name="AS3216" as=48129 router-id=194.186.6.189 redistribute-connected=no redistribute-static=no redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter="" client-to-client-reflection=no ignore-as-path-len=no

/routing bgp peer print
Flags: X - disabled
0 name="rostelecom" instance=AS12389 remote-address=188.128.88.229 remote-as=12389 tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no
hold-time=3m ttl=255 in-filter="" out-filter="" address-families=ip

1 name="GLDN" instance=AS3216 remote-address=194.186.6.189 remote-as=3216 tcp-md5-key="" nexthop-choice=default multihop=no route-reflect=no hold-time=3m
ttl=255 in-filter="" out-filter="" address-families=ip

Кстати кто разбирался с DHCP Alert?
Как заставить его слать допустим мне отчет что найден нарушитель с определенным мак адресом.
?

А то развелось в сети криворучек с роутерами, руками искать слишком запарно выходит...

goletsa
в простейшем случае написать

Цитата:

/tool e-mail send to=bla-bla-bla subject="DHCP Alert on interface foo!"

а там уже можно зайти и посмотреть. ну или скриптом вытянуть мак из алерта...

Chupaka
а есть какие нибуть возможность по блокирыванию того сервака?
(мне только приходит в голову положить порт на свиче, но не у всех такие свичи)

gamespb
программных - думаю, нет. а если свитч позволяет положить порт, то там и до DHCP Relay недалеко

Ну у нас почти везде стоят L2.
А просканить arp таблицы всех свичей и найти виновника я думаю вполне реально.

gamespb

Цитата:

как получилось?
думаю получиться сделать если один днс нужен через одного провайдера, а второй через другого и днс внутри два(на двух адресах).

Мне бы кок раз надо, чтобы внутри был один (физический) DNS сервер, а не два.

Noka
так наверно есть возможность присвоить два адреса на один интерфейс?
и тогда можно метить входящие и исходящие направлять тоже по меткам.

Добрый день! проблема у меня в следующем...провайдер раздаёт инет по средствам VPN... как настроить МК чтоб он работал таким образом..просто раньше с таким не сталкивался... обычно через PPPoE...а тут VPN..как быть? если есть какая информация по настройке, буду весьма признателен...

romanovich2008
аналогично pppoe, только во всех командах вместо комбинации букаф 'pppoe' использовать комбинацию 'pptp' =)

Или l2tp...
Вроде микротик умеет его...