» MikroTik RouterOS

При первоначальных настройках просто канала PPPTP без PPPoE сервера разве он падал? Может проблема в каких-то конкретных настройках, которые ломают схему?
Что логи говорят?
Сетевухи поменял на intel/3com?
И вообще обновись до 3.22(ссылка есть в шапке варезника по микротику - кинь только те пакеты которые указаны в /system packages у тебя). Если обновишься выше 3.22 слетит лицензия - имей ввиду.

Сань, да кажется конкретного такого мы там не писали чтоб могло рвать связь + МТ ж работает 60 - 120 мин..., ставил сетевухи 3сом, таже... правда простояли часика 2, инет пропал, а Винбокс пишет - дисконект - соответствено пинга нет как на статичнский айпи(пинговал с другого провайдера) так и с под локалки...Вообщем нужно будет вечерком порытся - а то у меня уже сил нет =(

Возможно все-таки глюк микротика. Ладно. Вечером покопаемся. Кстати несколько чистых болванок захвати =)))

Ну что ж народ, проблема осталась с внутренними ресурсами провайдера. Ну никак не хочет Контору 2 пускать на внутренние ресурсы. Я уже и правила дропа заблочил, один фиг.. Выкладываю конфиги, надеюсь может хоть кто нибудь что нибудь подскажет..

Бридж:


Цитата:

/interface bridge

add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \

comment="Bridge Kontora2" disabled=no forward-delay=15s max-message-age=\

20s mtu=1500 name=Bridge_Kont2 priority=0x8000 protocol-mode=none \

transmit-hold-count=6

/interface bridge filter

add action=accept chain=forward comment="" disabled=no in-bridge=Bridge_Kont2 \

out-bridge=Bridge_Kont2

/interface bridge port

add bridge=Bridge_Kont2 comment="" disabled=no edge=auto external-fdb=auto \

horizon=none interface=LAN_Kont2 path-cost=60 point-to-point=auto \

priority=0x80

add bridge=Bridge_Kont2 comment="" disabled=no edge=auto external-fdb=auto \

horizon=none interface=WAN_Kont2 path-cost=60 point-to-point=auto \

priority=0x80

/interface bridge settings

set use-ip-firewall=yes use-ip-firewall-for-pppoe=no \

use-ip-firewall-for-vlan=no

Фаервол:


Цитата:

/ip firewall address-list

add address=192.168.0.0/24 comment="" disabled=no list=All_Lel

add address=10.246.0.0/16 comment="" disabled=no list=InTelBi_Net

add address=83.246.128.0/17 comment="" disabled=no list=InTelBi_Net

add address=192.168.0.10 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.12 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.13 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.14 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.15 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.16 comment="" disabled=no list=Admin_MikroTik

add address=192.168.0.10 comment="" disabled=no list=Admin_list

add address=192.168.0.12 comment="" disabled=no list=Admin_list

add address=192.168.0.13 comment="" disabled=no list=Admin_list

add address=192.168.0.14 comment="" disabled=no list=Admin_list

add address=192.168.0.15 comment="" disabled=no list=Admin_list

add address=192.168.0.16 comment="" disabled=no list=Admin_list

add address=192.168.0.71 comment="" disabled=no list=Arenda_list

add address=192.168.0.72 comment="" disabled=no list=Arenda_list

add address=192.168.0.73 comment="" disabled=no list=Arenda_list

add address=192.168.0.74 comment="" disabled=no list=Arenda_list

add address=192.168.0.1 comment="" disabled=no list=Server_list

add address=192.168.0.2 comment="" disabled=no list=Server_list

add address=192.168.0.19 comment="" disabled=no list=Office_list

add address=192.168.0.20 comment="" disabled=no list=Office_list

add address=192.168.0.22 comment="" disabled=no list=Office_list

add address=192.168.0.25 comment="" disabled=no list=Office_list

add address=192.168.0.26 comment="" disabled=no list=Office_list

add address=192.168.0.33 comment="" disabled=no list=Office_list

add address=192.168.0.50 comment="" disabled=no list=Server_list

add address=192.168.0.60 comment="" disabled=no list=Server_list

add address=192.168.0.190 comment="" disabled=no list=Admin_list

add address=192.168.0.178 comment="" disabled=no list=Office_list

add address=192.168.0.179 comment="" disabled=no list=Office_list

add address=192.168.0.181 comment="" disabled=no list=Office_list

add address=192.168.0.200 comment="" disabled=no list=Other_list

add address=87.248.212.29 comment="" disabled=no list=Blockedip_list

add address=xxx.xxx.xxx.xxx comment="" disabled=no list=Kont2_list

/ip firewall connection tracking

set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \

tcp-close-wait-timeout=10s tcp-established-timeout=1d \

tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \

tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \

tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall filter

add action=accept chain=forward comment="Access for InTelBi Net" disabled=no \

dst-address-list=InTelBi_Net

add action=accept chain=forward comment="" disabled=no src-address-list=\

InTelBi_Net

add action=drop chain=forward comment="Blocked site" disabled=no \

dst-address-list=Blockedip_list in-interface=LAN_Lel

add action=drop chain=input comment="Basic security rules" connection-state=\

invalid disabled=no in-interface=LAN_Lel

add action=accept chain=input comment="" connection-state=established \

disabled=no

add action=accept chain=input comment="" connection-state=related disabled=no

add action=accept chain=input comment="" disabled=no protocol=udp

add action=accept chain=input comment="" disabled=no protocol=icmp

add action=accept chain=input comment="Rule of access Admin" disabled=no \

src-address-list=Admin_MikroTik

add action=drop chain=input comment="All other inputs drop" disabled=no \

in-interface=LAN_Lel

add action=drop chain=forward comment="Drop fake packets" disabled=yes \

in-interface=WAN_Lel out-interface=LAN_Lel src-address=10.0.0.0/8

add action=drop chain=forward comment="" disabled=yes in-interface=WAN_Lel \

out-interface=LAN_Lel src-address=172.16.0.0/12

add action=drop chain=forward comment="" disabled=yes in-interface=WAN_Lel \

out-interface=LAN_Lel src-address=192.168.0.0/16

add action=drop chain=forward comment="Rules forward packets" \

connection-state=invalid disabled=yes

add action=accept chain=forward comment="" connection-state=established \

disabled=no

add action=accept chain=forward comment="" connection-state=related disabled=\

no

add action=accept chain=forward comment="" disabled=no protocol=udp

add action=accept chain=forward comment="" disabled=no protocol=icmp

add action=accept chain=forward comment="Rule for Admin access to inet" \

disabled=no in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=\

Admin_list

add action=accept chain=forward comment=Kontora2 disabled=no \

src-address-list=Kont2_list

add action=accept chain=forward comment="Rule for Office access to inet" \

disabled=no in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=\

Office_list

add action=accept chain=forward comment="Rule for Arenda access to inet" \

disabled=no in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=\

Arenda_list

add action=accept chain=forward comment="Rule for Servers access to inet" \

disabled=no in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=\

Server_list

add action=accept chain=forward comment="Rule for Other access to inet" \

disabled=no in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=\

Other_list

add action=drop chain=forward comment="All other LEL drop" disabled=no \

in-interface=LAN_Lel out-interface=WAN_Lel src-address-list=All_Lel

/ip firewall mangle

add action=mark-connection chain=forward comment="Marks for InTelBi Net" \

disabled=no dst-address-list=InTelBi_Net new-connection-mark=\

intelbi-net-up passthrough=yes

add action=mark-packet chain=forward comment="" connection-mark=\

intelbi-net-up disabled=no new-packet-mark=intelbi-net-up-pack \

passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

new-connection-mark=intelbi-net-down passthrough=yes src-address-list=\

InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

intelbi-net-down disabled=no new-packet-mark=intelbi-net-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment="Marks for Kontora2 net" \

disabled=no dst-address-list=!InTelBi_Net new-connection-mark=\

inet-kont2-up passthrough=yes src-address-list=Kont2_list

add action=mark-packet chain=forward comment="" connection-mark=inet-kont2-up \

disabled=no new-packet-mark=inet-kont2-up-pack passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Kont2_list new-connection-mark=inet-kont2-down \

passthrough=yes src-address-list=!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-kont2-down disabled=no new-packet-mark=inet-kont2-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment=\

"Marks of Internet for Admin" disabled=no dst-address-list=!InTelBi_Net \

in-interface=LAN_Lel new-connection-mark=inet-admin-up out-interface=\

WAN_Lel passthrough=yes src-address-list=Admin_list

add action=mark-packet chain=forward comment="" connection-mark=inet-admin-up \

disabled=no new-packet-mark=inet-admin-up-pack passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Admin_list in-interface=WAN_Lel new-connection-mark=\

inet-admin-down out-interface=LAN_Lel passthrough=yes src-address-list=\

!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-admin-down disabled=no new-packet-mark=inet-admin-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment=\

"Marks of Internet for Office" disabled=no dst-address-list=!InTelBi_Net \

in-interface=LAN_Lel new-connection-mark=inet-office-up out-interface=\

WAN_Lel passthrough=yes src-address-list=Office_list

add action=mark-packet chain=forward comment="" connection-mark=\

inet-office-up disabled=no new-packet-mark=inet-office-up-pack \

passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Office_list in-interface=WAN_Lel new-connection-mark=\

inet-office-down out-interface=LAN_Lel passthrough=yes src-address-list=\

!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-office-down disabled=no new-packet-mark=inet-office-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment=\

"Marks of Internet for Arendators" disabled=no dst-address-list=\

!InTelBi_Net in-interface=LAN_Lel new-connection-mark=inet-arenda-up \

out-interface=WAN_Lel passthrough=yes src-address-list=Arenda_list

add action=mark-packet chain=forward comment="" connection-mark=\

inet-arenda-up disabled=no new-packet-mark=inet-arenda-up-pack \

passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Arenda_list in-interface=WAN_Lel new-connection-mark=\

inet-arenda-down out-interface=LAN_Lel passthrough=yes src-address-list=\

!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-arenda-down disabled=no new-packet-mark=inet-arenda-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment=\

"Marks of Internet for Servers" disabled=no dst-address-list=!InTelBi_Net \

in-interface=LAN_Lel new-connection-mark=inet-server-up out-interface=\

WAN_Lel passthrough=yes src-address-list=Server_list

add action=mark-packet chain=forward comment="" connection-mark=\

inet-server-up disabled=no new-packet-mark=inet-server-up-pack \

passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Server_list in-interface=WAN_Lel new-connection-mark=\

inet-server-down out-interface=LAN_Lel passthrough=yes src-address-list=\

!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-server-down disabled=no new-packet-mark=inet-server-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment=\

"Marks of Internet for Other" disabled=no dst-address-list=!InTelBi_Net \

in-interface=LAN_Lel new-connection-mark=inet-other-up out-interface=\

WAN_Lel passthrough=yes src-address-list=Other_list

add action=mark-packet chain=forward comment="" connection-mark=inet-other-up \

disabled=no new-packet-mark=inet-other-up-pack passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=Other_list in-interface=WAN_Lel new-connection-mark=\

inet-other-down out-interface=LAN_Lel passthrough=yes src-address-list=\

!InTelBi_Net

add action=mark-packet chain=forward comment="" connection-mark=\

inet-other-down disabled=no new-packet-mark=inet-other-down-pack \

passthrough=yes

add action=mark-connection chain=forward comment="Marks for ICQ" disabled=no \

dst-address-list=!InTelBi_Net dst-port=5190 in-interface=LAN_Lel \

new-connection-mark=inet-icq-up out-interface=WAN_Lel p2p=fasttrack \

passthrough=yes protocol=tcp src-address-list=All_Lel

add action=mark-packet chain=forward comment="" connection-mark=inet-icq-up \

disabled=no new-packet-mark=inet-icq-up-pack passthrough=yes

add action=mark-connection chain=forward comment="" disabled=no \

dst-address-list=All_Lel in-interface=WAN_Lel new-connection-mark=\

inet-icq-down out-interface=LAN_Lel passthrough=yes protocol=tcp \

src-address-list=!InTelBi_Net src-port=5190

add action=mark-packet chain=forward comment="" connection-mark=inet-icq-down \

disabled=no new-packet-mark=inet-icq-down-pack passthrough=yes

/ip firewall nat

add action=masquerade chain=srcnat comment="Masquerade LEL" disabled=no \

out-interface=WAN_Lel

/ip firewall service-port

set ftp disabled=yes ports=21

set tftp disabled=yes ports=69

set irc disabled=yes ports=6667

set h323 disabled=yes

set sip disabled=yes ports=5060,5061

set pptp disabled=yes

Queue:


Цитата:

/queue type

set default kind=pfifo name=default pfifo-limit=50

set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50

set wireless-default kind=sfq name=wireless-default sfq-allot=1514 \

sfq-perturb=5

set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 \

red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10

set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=\

5

add kind=pcq name=pcq-download pcq-classifier=dst-address pcq-limit=50 \

pcq-rate=0 pcq-total-limit=2000

add kind=pcq name=pcq-upload pcq-classifier=src-address pcq-limit=50 \

pcq-rate=0 pcq-total-limit=2000

set default-small kind=pfifo name=default-small pfifo-limit=10

/queue tree

add burst-limit=11000000 burst-threshold=9000000 burst-time=8s disabled=no \

limit-at=2000000 max-limit=9000000 name=InTelBi-Download packet-mark="" \

parent=LAN_Lel priority=8 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=9000000 name=InTelBi-Down packet-mark=intelbi-net-down-pack \

parent=InTelBi-Download priority=8 queue=pcq-download

add burst-limit=11000000 burst-threshold=9000000 burst-time=8s disabled=no \

limit-at=2000000 max-limit=9000000 name=InTelBi-Upload packet-mark="" \

parent=WAN_Lel priority=8 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=9000000 name=InTelBi-Up packet-mark=intelbi-net-up-pack parent=\

InTelBi-Upload priority=8 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=512000 name=Kontora2-Download packet-mark="" parent=LAN_Kont2 \

priority=1 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=512000 name=Kontora2-Down packet-mark=inet-kont2-down-pack \

parent=Kontora2-Download priority=1 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=512000 name=Kontora2-Upload packet-mark="" parent=WAN_Kont2 \

priority=1 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=512000 name=Kontora2-Up packet-mark=inet-kont2-up-pack parent=\

Kontora2-Upload priority=1 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=32000 \

max-limit=512000 name=LEL-Inet-Download packet-mark="" parent=LAN_Lel \

priority=3 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=32000 \

max-limit=512000 name=LEL-Inet-Upload packet-mark="" parent=WAN_Lel \

priority=3 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=300000 name=Admin-Up packet-mark=inet-admin-up-pack parent=\

LEL-Inet-Upload priority=5 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=300000 name=Admin-Down packet-mark=inet-admin-down-pack parent=\

LEL-Inet-Download priority=5 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=256000 name=Office-Down packet-mark=inet-office-down-pack \

parent=LEL-Inet-Download priority=6 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=64000 name=Other-Down packet-mark=inet-other-down-pack parent=\

LEL-Inet-Download priority=7 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=192000 name=Server-Down packet-mark=inet-server-down-pack \

parent=LEL-Inet-Download priority=5 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=192000 name=Arenda-Down packet-mark=inet-arenda-down-pack \

parent=LEL-Inet-Download priority=8 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=192000 name=Arenda-Up packet-mark=inet-arenda-up-pack parent=\

LEL-Inet-Upload priority=8 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=256000 name=Office-Up packet-mark=inet-admin-up-pack parent=\

LEL-Inet-Upload priority=6 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=64000 name=Other-Up packet-mark=inet-other-up-pack parent=\

LEL-Inet-Upload priority=7 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=192000 name=Server-Up packet-mark=inet-server-up-pack parent=\

LEL-Inet-Upload priority=5 queue=pcq-upload

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=64000 name=ICQ-Down packet-mark=inet-icq-down-pack parent=\

LEL-Inet-Download priority=2 queue=pcq-download

add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \

max-limit=64 name=ICQ-Up packet-mark=inet-icq-up-pack parent=\

LEL-Inet-Upload priority=2 queue=pcq-upload

/queue interface

set LAN_Lel queue=ethernet-default

set WAN_Lel queue=ethernet-default

set LAN_Kont2 queue=ethernet-default

set WAN_Kont2 queue=ethernet-default

set Bridge_Kont2 queue=default

Искал в этом топике, думал, что тема подымалась уже, но так и не нашел.
Задача пропустить pptp трафик на vpn-сервер, который расположен за натом. NAT подымается на микротике, позади него расположен ISA Server 2006 на нем и поднят vpn-сервер.
Я, конечно, понимаю что можно поднять vpn-сервер непосредственно на самом mikrotik, но необходимо оставить действующий сервер на isa ввиду того, что необходимо взаимодействие с Active Directory, плюс ко всему на самом isa сервере есть надстройка которая квотирует и шейпит все впн коннекты.
Слышал мнение, что размещать vpn-сервер за NAT нельзя, так ли это?

Dimapc
а НАТ в какую сторону работает? можно схемку немножко более (псевдо)графически, с указанием диапазонов адресов?

Добавлено:
Graf_Vurdalak
во-первых, нет самого главного - IP-адресов Микротика. поэтому попрошу просто вкратце обрисовать схему сети с адресацией и описанием того, что уже работает, а что ещё предстоит сделать (те же внутренние ресурсы)

Chupaka

Вот жеж ч0рт! Спасибо естессно! Вы хоть особо и не помогли, но была одна фраза


Цитата:

нет самого главного - IP-адресов Микротика

Проверили ипы, и точно. Ошиблись в масках. Точнее я тупанул когда админу ип давал. Не ту подсеть указал..


Всем спс... Надеюсь дальше будет без факов...

Имеем канал на провайдера etner1 10мб входящего 2 мб исходящего. Есть адрес лист list1. Как правильно разделить поровну всю полосу между адресами в этом листе?

Demon
отмаркировать пакеты к/от этих адресов, зарулив их таким образом в PCQ-очереди

Demon в шапке есть ссылка http://www.x-drivers.ru/content/view/541/53/
А вот конкретные примеры http://www.x-drivers.ru/articles/manuals/12/3.html

Всем здравствуйте!
Подскажте плз почему у меня не блокируются сайты, дроп в ip firewall filter не работает, весь день потерял, ничего не нарыл . Вопрос возможно баян, но к сожалению не нашел как сделать поиск по ветке тут на форуме.

Мне нужно некоторые развлекательные ресурсы блокировать по расписанию, открывать к ним доступ во время обеденного прерыва ну и вечером за час до окончания раб. дня.

Я cоздал список адреов которые нужно блокировать, для примера короткий список:

/ip firewall address-list
add address=81.176.227.0/24 comment="" disabled=no list=Odnoklassniki
add address=81.177.140.0/24 comment="" disabled=no list=Odnoklassniki
add address=81.177.141.0/24 comment="" disabled=no list=Odnoklassniki
add address=81.177.143.0/24 comment="" disabled=no list=Odnoklassniki

создал правила:

/ip firewall filter
add action=log chain=output comment=Odnoklassniki disabled=no \
dst-address-list=Odnoklassniki log-prefix=odnokl_ out-interface=WAN \
protocol=tcp
add action=drop chain=output comment=Odnoklassniki disabled=no \
dst-address-list=Odnoklassniki out-interface=WAN protocol=tcp time=\
9h-12h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=output comment="" disabled=no dst-address-list=\
Odnoklassniki out-interface=WAN protocol=tcp time=\
13h30m-17h,sun,mon,tue,wed,thu,fri,sat

В колнках Bytes и Packets значения счетчиков растут, в логе видны пакеты "попавшие"в правило,

18:59:20 firewall,info odnokl_ output: innone) out:WAN, proto TCP (SYN), 192.168
.0.254:48295->81.177.141.180:80, len 40
18:59:23 firewall,info odnokl_ output: innone) out:WAN, proto TCP (SYN), 192.168
.0.254:56733->81.177.141.180:80, len 40

но сайты в запрещнное время как открывались так и открываются!
Убирал условие time, пробовал менять chain и интерфейсы, не помогает

Подскажите пожалуйста, что тут не так?

Добавлено:
Забыл написать, сори, версия МТ 3.20.

Если указываю другой chain и интерфйс, то счетчики вообще не крутятся и в логе ничего нет.

Цитата:

Dimapc
а НАТ в какую сторону работает? можно схемку немножко более (псевдо)графически, с указанием диапазонов адресов?

я уже приводил схемку на одном из форумов посвященных микротику, приведу и здесь



все что необходимо реализовать я так понял можно, единственное вопрос по vpn вопрос остался открытым. VPN собираюсь пустить по каналу WAN1, на нем включен маскарадинг.

Цитата:

VPN собираюсь пустить по каналу WAN1, на нем включен маскарадинг

VPN-подключения, выходящие через WAN1? будет работать, главное не забыть NAT-helper для pptp включить (IP-Firewall-Services)

Цитата:

VPN-подключения, выходящие через WAN1? будет работать, главное не забыть NAT-helper для pptp включить (IP-Firewall-Services)

я,наверное, неправильно написал, мне нужно чтобы из вне я мог подключиться к vpn-серверу который крутится на ISA-сервере, вот.

"главное не забыть NAT-helper для pptp включить"
кстати, а вот за это спасибо.

NightSleeper
вот сдесь add action=drop chain=output
цепочка должна быть forward ,а не оутпут
и странно что считает

Dimapc
да и входящие будут работать, главное пробросить dst-nat'ом порт 1723/tcp и протокол gre

gamespb
если используется прокси - то output

Chupaka

посмотри пожалуйста что может быть не так с моими настройками шейпера.

когда кто нибудь включает качалку становится просто капут( хотя при этом количество PCQ Queues равно числу активных клиентов. Спасает только скрипты меняющие рейт.

все канекты промаркированы успешно.
пробовал двайной шейпер (чуть лутше)
Пробовал менять число пакетов в очереди (ноль)

версия 3.22

клиенты подключаются через pppoe

интернет через два pppoe (внутриний трафик провайдера и полноценный интернет)

/queue type
set default bfifo-limit=15000 kind=bfifo name=default
set ethernet-default kind=pcq name=ethernet-default pcq-classifier="" pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
set wireless-default kind=pcq name=wireless-default pcq-classifier=src-address,dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
set synchronous-default kind=pcq name=synchronous-default pcq-classifier=src-address,dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
set hotspot-default kind=pcq name=hotspot-default pcq-classifier=src-address,dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=PCQ-src.adr pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=PCQ-dst.adr pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=GUEST pcq-classifier=dst-address pcq-limit=250 pcq-rate=0 pcq-total-limit=5000
add kind=pcq name=pppoe-sfq pcq-classifier=src-address,dst-address pcq-limit=250 pcq-rate=0 pcq-total-limit=5000
add kind=pcq name=udp pcq-classifier=src-address,dst-address pcq-limit=100 pcq-rate=0 pcq-total-limit=1500
add kind=pcq name=pre pcq-classifier=dst-address pcq-limit=60 pcq-rate=350000 pcq-total-limit=700
add kind=pcq name=PCQ-up pcq-classifier=src-address pcq-limit=50 pcq-rate=300000 pcq-total-limit=2000
add kind=pcq name=PCQ-down pcq-classifier=dst-address pcq-limit=60 pcq-rate=350000 pcq-total-limit=700
set default-small kind=pcq name=default-small pcq-classifier=dst-address pcq-limit=50 pcq-rate=610000 pcq-total-limit=2000
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Out packet-mark=tcp-other-ul parent=global-out \
priority=8 queue=PCQ-src.adr
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=850000 name=GUEST-keysi packet-mark=tcp-GUEST-dl \
parent=keysi priority=8 queue=GUEST
add burst-limit=1200000 burst-threshold=600000 burst-time=2m disabled=no limit-at=300000 max-limit=850000 name=RADIO-dl-all packet-mark=\
tcp-GUEST-dl parent=radio priority=8 queue=GUEST
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2000000 name=GUEST-light packet-mark=tcp-GUEST-dl \
parent=light priority=8 queue=GUEST
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=OTHER packet-mark=other-dl parent=global-out \
priority=8 queue=default-small
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=GLOBAL-IN-PRE packet-mark="" parent=global-in \
priority=8 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=TOTAL-DOWNLOAD packet-mark="" parent=\
global-out priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=download packet-mark=total-dl-mark parent=\
TOTAL-DOWNLOAD priority=3 queue=PCQ-down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=pre-download packet-mark=PRE-paket-dl parent=\
GLOBAL-IN-PRE priority=8 queue=pre
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=upload packet-mark=total-UP-mark parent=\
TOTAL-DOWNLOAD priority=8 queue=PCQ-up
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=download-browse packet-mark=total-dl-mark-brow \
parent=TOTAL-DOWNLOAD priority=2 queue=PCQ-down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2000000 name=GUEST-in-ALL packet-mark=tcp-GUEST-dl \
parent=TOTAL-DOWNLOAD priority=8 queue=GUEST
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=PROXY-HIT packet-mark=proxy-hit parent=\
TOTAL-DOWNLOAD priority=8 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=320000 name=GLOBAL-WOW packet-mark=tcp-wow parent=\
TOTAL-DOWNLOAD priority=1 queue=default


/ip firewall mangle
add action=change-mss chain=forward comment="" disabled=no in-interface=pppoe-out1-Guest new-mss=1440 protocol=tcp tcp-flags=syn \
tcp-mss=1441-65535
add action=change-mss chain=forward comment="" disabled=no new-mss=1440 out-interface=pppoe-out1-Guest protocol=tcp tcp-flags=syn \
tcp-mss=1441-65535
add action=change-mss chain=forward comment="" disabled=no in-interface=pppoe-out-ByFly-Plat new-mss=1440 protocol=tcp tcp-flags=\
syn tcp-mss=1441-65535
add action=change-mss chain=forward comment="" disabled=no new-mss=1440 out-interface=pppoe-out-ByFly-Plat protocol=tcp tcp-flags=\
syn tcp-mss=1441-65535
add action=mark-routing chain=prerouting comment="" disabled=no new-routing-mark=guest-route passthrough=yes src-address=\
12.10.10.0/24
add action=mark-connection chain=prerouting comment="" disabled=no new-connection-mark=guest-con passthrough=yes src-address=\
12.10.10.0/24
add action=mark-packet chain=forward comment="" connection-mark=guest-con disabled=no new-packet-mark=tcp-GUEST-dl passthrough=no
add action=mark-connection chain=prerouting comment=PRE-download disabled=no in-interface=pppoe-out-ByFly-Plat new-connection-mark=\
pre-Download passthrough=yes
add action=mark-packet chain=prerouting comment=PRE-Download connection-mark=pre-Download disabled=no new-packet-mark=PRE-paket-dl \
passthrough=no
add action=mark-connection chain=forward comment="Download-GUEST \E4\EB\FF \EF\EE\EB\ED\EE\E3\EE" disabled=no dst-address=\
10.10.10.0/24 in-interface=pppoe-out1-Guest new-connection-mark=Download-GUEST passthrough=yes
add action=mark-packet chain=forward comment="Download WOW \EF\EE \E3\EE\F1\F2\FE" connection-mark=Download-GUEST disabled=no \
new-packet-mark=tcp-wow passthrough=no protocol=tcp src-address-list=wow-server
add action=mark-packet chain=forward comment=GUEST connection-mark=Download-GUEST disabled=no new-packet-mark=tcp-GUEST-dl \
passthrough=no
add action=mark-packet chain=output comment="proxy-hit \EE\F2\E4\E0\F7\E0 \E8\E7 \EA\E5\F8\E0" disabled=no dscp=4 new-packet-mark=\
proxy-hit out-interface=!pppoe-out-ByFly-Plat passthrough=no
add action=mark-connection chain=forward comment="Download \EF\EE\EB\ED\FB\E9, \E2\F1\E5 \F7\F2\EE \ED\E5 \E3\EE\F1\F2\FC" \
disabled=no new-connection-mark=Download passthrough=yes
add action=mark-packet chain=forward comment="Download WOW \EF\EE \EF\EE\EB\ED\EE\EC\F3" connection-mark=Download disabled=no \
new-packet-mark=tcp-wow passthrough=no protocol=tcp src-address-list=wow-server
add action=mark-packet chain=forward comment=all-Download-BROWSE connection-bytes=0-100000 connection-mark=Download disabled=yes \
dst-address=10.10.10.0/24 new-packet-mark=total-dl-mark-brow passthrough=no protocol=tcp
add action=mark-packet chain=forward comment=all-Download connection-mark=Download disabled=no dst-address=10.10.10.0/24 \
new-packet-mark=total-dl-mark passthrough=no
add action=mark-packet chain=forward comment=up-Download connection-mark=Download disabled=no new-packet-mark=total-UP-mark \
passthrough=no src-address=10.10.10.0/24
add action=mark-connection chain=output comment="download proxy" disabled=yes dst-address=10.10.10.0/24 new-connection-mark=\
Download passthrough=yes
add action=mark-connection chain=output comment="" disabled=yes new-connection-mark=Download passthrough=yes src-address=10.10.10.1
add action=mark-connection chain=forward comment="" disabled=yes new-connection-mark=Upload passthrough=yes src-address=\
10.10.10.0/24
add action=add-src-to-address-list address-list=WAN-1 address-list-timeout=15s chain=forward comment="" disabled=yes in-interface=\
pppoe-out-ByFly-Plat
add action=mark-packet chain=output comment="Download \F1 \E2\EA\EB\FE\F7\E5\ED\ED\FB\EC \EF\F0\EE\EA\F1\E8" connection-bytes=\
0-200000 connection-mark=Download disabled=yes new-packet-mark=tcp-browse-dl passthrough=no protocol=tcp
add action=mark-packet chain=output comment="\E7\E0\E3\F0\F3\F1\EA\E0 \F1 \EE\E3\F0\E0\ED\E8\F7\E5\ED\E8\E5\EC tcp-other-dl" \
connection-mark=Download disabled=yes new-packet-mark=tcp-other-dl passthrough=no protocol=tcp time=\
16h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=mark-packet chain=output comment="" connection-mark=Download disabled=yes new-packet-mark=tcp-other-dl-no-limit \
passthrough=no protocol=tcp
add action=mark-packet chain=output comment="" connection-mark=Download disabled=yes new-packet-mark=icmp-dl passthrough=no \
protocol=icmp
add action=mark-packet chain=output comment="" connection-mark=Download disabled=yes new-packet-mark=udp-dl passthrough=no \
protocol=udp
add action=mark-packet chain=output comment="" connection-mark=Download disabled=yes new-packet-mark=other-dl passthrough=no
add action=mark-packet chain=forward comment="\EB\E0\E2\F3\F8\EA\E0 \EE\F1\F2\E0\EB\FC\ED\EE\E3\EE \F2\F0\E0\F4\E8\EA\E0" \
disabled=no new-packet-mark=other-dl passthrough=no

так а в чём проявляется капут, и рейт чего меняет скрипт?

капут проявляется так как будто при соотношении больше 1/3 коннектов на пользователя шейпер отваливается( и отдает весь трафик качку. хотя, если меньше все шикарно делится

:log info "-===START DOWN-500k===-"
/queue type set pre pcq-rate=500000
/queue type set PCQ-down pcq-rate=500000

:log info "-===FINISH DOWN-500k===-"

а Torch что показывает?

з.ы. я правильно понимаю - скрипт _увеличивает_ допустимую скорость с 350к до 500к?..

Chupaka
gamespb

Да, используется web-proxy в transparent режиме.
Поменял chain на input и списки адрсов указал в Src. Address List.

То же самое: счетчики считают и в лог пишется но дроп не работает!

NightSleeper

Вообще то Инпут - это пакеты которые заходят на микротик, но не проходят через него. Оутпут тоже самое, только они выходят. А тебе нужен форвард. И еще. Поставь свои правила в самое начало списка, тогда заработает. Проверь кстати ИПы..

И еще. недавно заметил что время в микротике работает так: если ты там настроил время со своим часовым поясом, то правила будут работать ВСЕГДА от нулевого мередиана! Т.е. от +00.00 часового пояса. Не знаю почему так, сам на этом попался. В общем выставь время вручную, часовой пояс в мануал, везде где есть упоминания про пояса поставь +00.00 и будет тебе счастье...

Цитата:

Dimapc
да и входящие будут работать, главное пробросить dst-nat'ом порт 1723/tcp и протокол gre

Сhupaka, спасибо, буду пробовать.

Graf_Vurdalak
как я уже сказал, форвард - это если _без_ прокси. а если с прокси - то нужно ловить как раз исходящие соединения прокси - это output

NightSleeper
а если вообще всё заблочить в output - всё равно дроп пишет, но всё работает? ))

Chupaka
в Torch на качка несколько потоков с одинаковым Dst (сервера откуда качает) и в Src адрес клиента.

Да скрипт именно это и делает.

Chupaka

Вообще заблочил output, это сработало, в лог пишет, трафика нет. То же самое происходит и с input, блокируется.
Но стОит только указать Src. или Dst. Address List - считает, но перестает блокировать...


Добавлено:
Попробовал это правило с другим списком айпишников, взял местного провайдера, не нашего - работает! Блокирует как надо... а с вышеприведенными айпишниками - нипашет...

1. Есть два mikrotik 2.9.27 в режиме роутера, необходимо блокировать любые соединения любых пользователей в lan3, если пользователь неподключен к Server1 . Router1 - lan1 - 192.168.1.1/24 , lan2 - 192.168.2.1/24 , lan3 - 192.168.3.1/24 . Router2 - lan1 - 192.168.1.254/24 , lan4 - 192.168.4.1/24 . Server1 - 192.168.4.2/24

2. Умеет ли микротик формировать пакеты в сеть? Т.е. в Lan3 есть Firewall , открывающий соединения на определённые ip только через порткнок http://www.portknocking.org/view/documentation/knockdaemon

Подскажите плиз! В User Manager пользователям поставил ограничение скорости, как сделать исключения? Очень нужно!

Sandorik
маркируй роутинг от юзеров. далее в роутах рзсовывай кого куда нада!
Chupaka
маркировать нужные пакеты и отправлять их в другие очереди, не динамические

Не пойму как это сделать! Приведите пример, очень нужно!

всем привет.
кто что-нибудь знает про сертификацию от Mikrotik - прошу заглянуть в тему Сертификация от Mikrotik

slech
не обижайся, но микротик не получил еще такой известности как циска и кому сертификация микротика может быть нужна?