» MikroTik RouterOS

b1t
если у тебя получиться засунуть его в d-link , обещаю попробовать засунуть его в cisco !

Привет всем!

Прошу ногами не пинать! вопрос избитый,но к сожалению ответа на него вразумительного я так и не нашел.

Подсчет трафика по IP.

Стоит микротик 2.9.2, который рутит сетку реальных адресов /28.
Хочу посчитать сколько на какой IP приходится!
Предвкушая вопросы:
Мне нужна приблизительная оценка трафика с погрешностью 1-5%.
Желательно конечно, чтобы скрипт по меньше писал на диск - ибо флешка!!!
Желательно отправлять данные по почте.
Статистика нужна по месячная, но понимаю что это не реально(включение\выключение влечет сброс счетчиков файервола) хотелось бы получать ежедневную статистику по почте, дальше я уже сам просуммирую.

Пожалуйста если кто уже реализовывал чирканите пару строк:
интересуют счетчики в файервол и сам скрип.
Спасибо.

nzzly

реализовал с помощью ip accounting

Добрый день!

У меня проблема с proxy-arp,

моя сеть

Интернет------[(real IP)WAN port--(VPN-PPTP server)--LAN port(real IP)]------свич----подсеть (real IP)
|
подсеть 192.168.1.0/24 (серый транспорт для мостов)

если ставлю proxy-arp, чтобы видеть LAN сеть из PPTP подключения, то в локалке перестаю видеть свою серую сеть

похожая проблема вроде тут разбиралась
http://forum.mikrotik.com/viewtopic.php?f=13&t=19130&p=100534#p100534

Может кто сталкивался?
Спасибо!

Подскажите пожалуйста.

Есть 4 интерфейса:
home 172.16.1.1/24
lan1 192.168.132.123/20
lan2 192.168.xxx.xxx/16 (dhcp)
wan xxx.xxx.xxx.xxx (прямой, dhcp, pptp через lan2)

пока настроен маскарад из lan2 и wan в home.

диапазоны lan1 и lan2 перекрываются, хочу сделать замену пространства lan1(192.168.128.0/20) в пространство 172.16.128.0/20, вопрос: как? на интерфейсе lan1 выставить /32? и что прописывать в /ip firewall nat ? будут ли видны все адреса в lan2 (включая .132.123)?
(upd: )да, и как быть если dhcp выдаст для lan2 адрес такой же как у lan1?

второй вопрос:
можно ли пробросить udp-мультикаст (телевидение) из lan2 в home? адрес источника знаю, говорят нужен igmp-snooping, нашёл его только в третьем МТ, а стоит, понятное дело, 2.9.27. наслышан про bridge, но что и как конкретно прописывать чтоб заработало -- не знаю.
upd: PIM только в третьей версии

заранее благодарю.

А кто может ткнуть носом в полную документаци но не "онлайн", а "оффлайн", с возможностью распечатать и вкуривать В принципе нашел для 2.8.х - думаю, что пока этого хватит за глаза. Всем спасибо.

sls
Ткни и меня носом вэту документацию, я бы тоже почитал.

bob32768, Wizard_in_blacK дал даже более свежую ссылку,я же нашел эту.

А вобще вот :

2.8(PDF)
2.9(PDF)
3.0(PDF)

Дока для 3.0 в статусе In Progress - возможно еще не до конца дописана. Для 2.8 более 500 страниц написано, для 3.0 - 236 страниц. Точно сказать не могу, но статистика на лицо. Вобщем ссылки есть, осталось только прочитать.

Спасибо!
Но на 3.0 к сожалению 404

Цитата:

Но на 3.0 к сожалению 404

Моя вина. Ссылку кривую дал - теперь должно быть все нормально.

Народ, подскажите такую вещь. Есть Wi-Fi карта на чипе Ralink RT2500, она умеет работать как AP. Если поставить на комп Microtik, воткнуть в него эту карту, то:

1 - Нужны ли на нее дрова?
2 - Будет ли она работать как AP?
3 - Удастся ли поднять AP с выдачей ключа сети автоматически, отдельным ключом на каждую сессию и аутентификацией через EAP-PEAP-MSCHAP с использованием RADIUS (или другой аутентификацией, не суть важно, главное, чтобы юзер вообще не мог войти в сеть, пока не введет логин и пасс)?

Vengant
Если Микротик знает вашу карту (список на их сайте), то он сможет все реализовать через радиус и специализированный хот-спот сервис. определение свой-чужой по маку, через веб-страничку (классика )

Посмотрел на сайте... Карты на чипе Ralink не поддерживаются(((
Значит, нет смысла ставить RouterOS? Добавить драйвер в дистрибутив системы никак нельзя?

никак. микротик закрытая ОСь. попробуйте другие.

Помогите с таким вопросом.
Надо запретить определённому ИП LAN доступ к определённым внешним ИП.
Вроде должно быть просто, но что то не получается
Cпасиб

BoY 1. Делаешь список запрещенных ип адресов в /ip firewall address-list, например Banned-ips.
2. В /ip firewall filter добавляешь правило в цепочку forward подобного содержания:
ip firewall filter add chain=forward src-address=x.x.x.x dst-address-list=Banned-ips где x.x.x.x ип юзера из Lan.

Этим правилом ты запретишь хождение на твой список запрещенных адресов с нужного хоста.

action=drop потерялся

Wizard_in_blacK так и есть =) спасибо.

Обьясните дураку:
Стоит 2.9.27.
Прописан порт форвардинг (например порт 80 на 192.168.0.5).
Снаружи все работает, но если обращаюсь к внешнему интерфейсу изнутри сетки, то не работает. Если ставлю линукс как роутер или обычный linksys, то все ок.

Что делать???
Спасибо.

iie В правиле у тебя указан ip адрес с которого ты заходишь с внешки (src-address)? Привязан этот проброс к определенному интерфейсу (in-interface)?
Ты видишь напрямую 192.168.0.5 или же только через маршрутизатор?

Что тебе мешает зайти на 192.168.0.5 по обычному? Зачем через внешний IP?

quickgen
src-address не указан,
chain=dstnat in-interface=WAN protocol=tcp dst-port=80 action=dst-nat
to-addresses=192.168.0.5 to-ports=80

если убираю in-interface=WAN, то результат тот же.
...
Цитата:

Ты видишь напрямую 192.168.0.5 или же только через маршрутизатор?

вижу напрямую


Цитата:

Что тебе мешает зайти на 192.168.0.5 по обычному? Зачем через внешний IP?

для удобства

iie не могу сказать точно но скорей всего причина в нате или же тут нужен какой-то хитрый dst-nat =)


Цитата:

для удобства

В чем удобство? Не вижу смысла.

Цитата:

В чем удобство? Не вижу смысла

ну, например, чтобы не менять конфигурацию Outlook-а для чтения mail-а (mail server внутри) на ноутбуке

петлю вообще-то не то что не запрещается, но и крайне не рекомендуют делать.

Цитата:

чтобы не менять конфигурацию Outlook-а для чтения mail-а

решается более элегантно другими способами (днс).

5555555

Цитата:

решается более элегантно другими способами (днс).

а можно поподробнее, пожалуйста...?

iie
это оффтопик здесь, коротко - (хотя зависит от протокола работы с сервером), но там где идет обращение по днс имени - снаружи само собой вопросов не возникает, внутри завести ложный домен аналогичный внешнему имени, в котором mx - внутренний айпи почтового сервера. Вообщем работы на 2 минуты, большая гибкость.

5555555

Цитата:

Вообщем работы на 2 минуты, большая гибкость

да, но не средствами MikroTik-а ?

iie

Цитата:

но не средствами MikroTik-а

нет. не знаю для вас это плюс или минус, но в целом несомненно плюс, поскольку не привязано к роутеру и т.д. и т.п.

Народ, у меня с микротиком возникла проблема неуживчивости микротика и win2003, как только появился в сети win2003R2(в качестве рерминал сервера для 1С) тут же становится не доступна часть машин, причем в случайном порядке. Т.е. они не пингуются, не пингуется и MT с w2003. После удаления из сети одного из серверов всё работает нормально.
На МТ стоит dhcp, хотспот, работает в качестве шлюза. На 2003 нет ничего кроме Terminal Services.
Может кто сталкивался с такой проблемой? Гугл не помог.

PS Версия МТ 2.9.27