Гениально. спасибо. Работает.
» MikroTik RouterOS (часть 2)
Каким-то образом можно к Микротику прикрутить web-сервер, либо как заметить стандартную главную страницу?
Подскажите как правильно ограничить скорость для всех айпи на ftp, то есть на порт 21.
Понимаю что маркировать, а потом по маркеру резать, но пока не получилось.
Понимаю что маркировать, а потом по маркеру резать, но пока не получилось.
gooel
если цель - ограничить порт 21, то, вероятно, всё получилось. загвоздка может быть в том, что 21 порт - это протокол управления. непосредственно файлы передаются, вроде как, с порта 20
если цель - ограничить порт 21, то, вероятно, всё получилось. загвоздка может быть в том, что 21 порт - это протокол управления. непосредственно файлы передаются, вроде как, с порта 20
Уже и 20 порт добавил, маркировка проходит, но до шейпера не доходит.
Напишите пожалуйста командами, сеть 192.168.1.0/28 сервер стоит на 192.168.1.1
Всем нужно ограничить скорость на ФТП по 2Мбайта на адрес.
Напишите пожалуйста командами, сеть 192.168.1.0/28 сервер стоит на 192.168.1.1
Всем нужно ограничить скорость на ФТП по 2Мбайта на адрес.
Не только с 20...
В пассивном режиме еще есть набор портов, должен быть прописан в настройках FTP-сервера.
Я обычно ставлю что-то вроде 10000-10050.
Итого получаем что маркировать надо пакеты идущие отовсюду на 20-21 и 10000-10050 порты сервера и с этих портов сервера на все айпишники.
Код:
/ip firewall mangle
add action=mark-packet chain=forward comment=TO-FTP disabled=no dst-address=192.168.0.200 dst-port=20-21 in-interface=wan new-packet-mark=TO-FTP out-interface=lan1 passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment="" disabled=no dst-address=192.168.0.200 dst-port=10000-10049 in-interface=wan new-packet-mark=TO-FTP out-interface=lan1 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment=FROM-FTP disabled=no in-interface=lan1 new-packet-mark=FROM-FTP passthrough=yes protocol=tcp src-address=192.168.0.200 src-port=20-21
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=lan1 new-packet-mark=FROM-FTP passthrough=yes protocol=tcp src-address=192.168.0.200 src-port=10000-10049
В пассивном режиме еще есть набор портов, должен быть прописан в настройках FTP-сервера.
Я обычно ставлю что-то вроде 10000-10050.
Итого получаем что маркировать надо пакеты идущие отовсюду на 20-21 и 10000-10050 порты сервера и с этих портов сервера на все айпишники.
Код:
/ip firewall mangle
add action=mark-packet chain=forward comment=TO-FTP disabled=no dst-address=192.168.0.200 dst-port=20-21 in-interface=wan new-packet-mark=TO-FTP out-interface=lan1 passthrough=yes protocol=tcp
add action=mark-packet chain=forward comment="" disabled=no dst-address=192.168.0.200 dst-port=10000-10049 in-interface=wan new-packet-mark=TO-FTP out-interface=lan1 passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment=FROM-FTP disabled=no in-interface=lan1 new-packet-mark=FROM-FTP passthrough=yes protocol=tcp src-address=192.168.0.200 src-port=20-21
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=lan1 new-packet-mark=FROM-FTP passthrough=yes protocol=tcp src-address=192.168.0.200 src-port=10000-10049
ммм... может, воспользоваться 'connection-type=ftp'? =)
Цитата:
ммм... может, воспользоваться 'connection-type=ftp'? =)
И так работает. Опять же маркирует, но до шейпера не доходит.
ай, влом проявлять телепатические способности. конфиг в студию
Да, действительно, давно пора...
[admin@router] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting connection-type=ftp action=mark-packet
new-packet-mark=ftp passthrough=yes
[admin@router] queue tree> print
Flags: X - disabled, I - invalid
0 name="queue1" parent=ether1 packet-mark=ftp limit-at=0 queue=default
priority=8 max-limit=512000 burst-limit=0 burst-threshold=0
burst-time=0s
[admin@router] ip firewall mangle> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting connection-type=ftp action=mark-packet
new-packet-mark=ftp passthrough=yes
[admin@router] queue tree> print
Flags: X - disabled, I - invalid
0 name="queue1" parent=ether1 packet-mark=ftp limit-at=0 queue=default
priority=8 max-limit=512000 burst-limit=0 burst-threshold=0
burst-time=0s
а если parent поменять на global-out?
Заработало. Спасибо. Не пробовал, потому что не понял до конца что означает этот global, out in total.
gooel
А если passthrough=yes поменять на passthrough=no, передаст в шейпер?
Chupaka
Цитата:
Ну для тех, кто понимает как оно работает - вне всякого сомнения
Я правильно понимаю что при включении данной опции начинает работать некий протокол-инспектор анализирующий обмен по 21-му порту на предмет команды PORT чтобы знать по какому порту клиент и сервер собираются обмениваться данными?
Если да то в принципе понятно как это использовать в ip firewall filter и не до конца понятно
как потом шейпить помеченное таким образом если надо засовывать помеченное в два плеча дерева HTB, на вход и на выход.
А если passthrough=yes поменять на passthrough=no, передаст в шейпер?
Chupaka
Цитата:
может, воспользоваться 'connection-type=ftp'? =)
Ну для тех, кто понимает как оно работает - вне всякого сомнения
Я правильно понимаю что при включении данной опции начинает работать некий протокол-инспектор анализирующий обмен по 21-му порту на предмет команды PORT чтобы знать по какому порту клиент и сервер собираются обмениваться данными?
Если да то в принципе понятно как это использовать в ip firewall filter и не до конца понятно
как потом шейпить помеченное таким образом если надо засовывать помеченное в два плеча дерева HTB, на вход и на выход.
SolarW При обоих значениях passthrough шейпер режет.
Господа, кто-нибудь связывал MikroTik и LanBilling 1.9 ?
Можете описать необходимые шаги?
Необходимо раздавать пользователям интернет через PPPoE сессии, авторизация через RADIUS, лимитирование скорости, динамические адреса выдаваемые биллингом, а не микротиком.
Можете описать необходимые шаги?
Необходимо раздавать пользователям интернет через PPPoE сессии, авторизация через RADIUS, лимитирование скорости, динамические адреса выдаваемые биллингом, а не микротиком.
Помогите ришить проблемс поднят бридж под WLAN и LAN на микротике ,
на нем висит 10 чел суть такая тик выдает не больше 3 мб/с хотя водной канал 10 и лакалка 100 мб/с в чем может быть бок
Клиенты работают через PPPoE поднятом на отдельном серваке
на нем висит 10 чел суть такая тик выдает не больше 3 мб/с хотя водной канал 10 и лакалка 100 мб/с в чем может быть бок
Клиенты работают через PPPoE поднятом на отдельном серваке
Всем привет! Подскажите, пожайлуста, как настроить MikroTik 3.22 таким образом, чтобы используемые в локальной сети точки доступа в интернет (от двух и более), объединнить в один канал. В данный момент локальная сеть состоит из 30 компов, объединёнными неуправлямыми свитчами с четырьмя маршрутизаторами, настроенными в режиме роутера. (Я понимаю, что adsl модемы должны быть настроены в режиме моста. Надо создать bridge и в него вставить интерфейсы которые мне нужно объеденить.) Опешите для чайника подробно как это сделать
Вопрос такого плана. Mikrotik 2.9.6 получает интернет двумя каналами через ВПН (VPN_EX_1 и VPN_EX_2)
Также есть 2 пользователя, которые подключаются к Микротик по ВПН.
Как правильнее сделать, чтобы первый получал интернет через внешнее подключение VPN_EX_1, а второй через VPN_EX_2?
Также есть 2 пользователя, которые подключаются к Микротик по ВПН.
Как правильнее сделать, чтобы первый получал интернет через внешнее подключение VPN_EX_1, а второй через VPN_EX_2?
gooel
в mangle сделать mark-packet для каждого клиента, в маршруты две соответствующие таблицы с дефолтовыми гейтвеями каждого выхода
в mangle сделать mark-packet для каждого клиента, в маршруты две соответствующие таблицы с дефолтовыми гейтвеями каждого выхода
Так изначально и делал.
Маркировка проходит успешно, но при прописывании в роуты интерфейс не оределяется "uknown".
Возможно какие-то настройки с большим приоритетом не дают сделать этого?
Маркировка проходит успешно, но при прописывании в роуты интерфейс не оределяется "uknown".
Возможно какие-то настройки с большим приоритетом не дают сделать этого?
Прошу помощи.
PPTP-client устанавливает соединение неправильно (ROS v2.9, v3.22)
Перестало правильно работать соединение от PPTP-clint (mikrotik) К провайдеру интернета. Проблема возникла после изменения каких-то настроек VPN (PPTP) доступа у провайдера. При этом VPN(pptp) соединение WindowsXp работает нормально, если подключать вместо микротика.
Текущая ситуация такая:
Микротик PPTP соединение устанавливает, но "криво" (пакеты через него не ходят)
Кривизна, как я вижу, в следующем:
1. неправильный адрес сети устанавливаемого VPN интерфейса (2 в примере ниже),
2. и как следствие неправильно прописываются динамические маршруты (0 и 1 в примере ниже)
[admin@MikroTik] /interface> print detail
0 R name="WAN" mtu=1500 type="ether" (Интернет-бесплатный трафик)
1 R name="LAN" mtu=1500 type="ether" (Локалка)
2 R name="vpn.vneshka.ru" mtu=1460 type="pptp-out" (VPN Интернет-платный трафик)
[admin@MikroTik] > interface pptp-client print detail
0 R name="vpn.vneshka.ru" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=77.106.95.246 user="*****"
password="*****" profile=default add-default-route=yes allow=mschap1,mschap2
[admin@MikroTik] > ip address print detail
0 address=192.168.0.2/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN actual-interface=LAN
1 D address=79.136.143.165/25 network=79.136.143.128 broadcast=79.136.143.255 interface=WAN actual-interface=WAN
2 D address=79.136.209.155/32 network=77.106.106.1 broadcast=0.0.0.0 interface=vpn.vneshka.ru actual-interface=vpn.vneshka.ru
^^^^^^^^^^^^______________некорректный адрес сети
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 77.106.106.1 1
^^^^^^^^^^^^^^________Кривой маршрут
1 DS 0.0.0.0/0 79.136.143.129 10
2 ADC 77.106.106.1/32 79.136.209.155 vpn.vneshka.ru 0
^^^^^^^^^^^^^^___________________________________________Кривой маршрут
3 ADC 79.136.143.128/25 79.136.143.165 WAN 0
4 ADC 192.168.0.0/24 192.168.0.2 LAN 0
Статус соединения (winXP) при успешном подключении такой:
vpn.vneshka.ru - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 79.136.209.155
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 79.136.209.155
^^^^^^^^^^^^^^ - корректный адрес шлюза
DNS-серверы . . . . . . . . . . . : 77.106.108.139
77.106.109.135
NetBIOS через TCP/IP. . . . . . . : отключен
тип устройства Vpn
тип сервера PPP
транспорты TCP/IP
Проверка подлинности MS CHAP V2
сжатие (нет)
IP адрес сервера 77.106.106.1
IP Адрес клиента 79.136.209.155
Подскажите какая может быть причина проблемы, в каком направлении копать?
С провайдером разговора не получается, т.к. он "справедливо" считает, что все "ОК" раз Винда подключается нормально.
PPTP-client устанавливает соединение неправильно (ROS v2.9, v3.22)
Перестало правильно работать соединение от PPTP-clint (mikrotik) К провайдеру интернета. Проблема возникла после изменения каких-то настроек VPN (PPTP) доступа у провайдера. При этом VPN(pptp) соединение WindowsXp работает нормально, если подключать вместо микротика.
Текущая ситуация такая:
Микротик PPTP соединение устанавливает, но "криво" (пакеты через него не ходят
) Кривизна, как я вижу, в следующем:
1. неправильный адрес сети устанавливаемого VPN интерфейса (2 в примере ниже),
2. и как следствие неправильно прописываются динамические маршруты (0 и 1 в примере ниже)
[admin@MikroTik] /interface> print detail
0 R name="WAN" mtu=1500 type="ether" (Интернет-бесплатный трафик)
1 R name="LAN" mtu=1500 type="ether" (Локалка)
2 R name="vpn.vneshka.ru" mtu=1460 type="pptp-out" (VPN Интернет-платный трафик)
[admin@MikroTik] > interface pptp-client print detail
0 R name="vpn.vneshka.ru" max-mtu=1460 max-mru=1460 mrru=disabled connect-to=77.106.95.246 user="*****"
password="*****" profile=default add-default-route=yes allow=mschap1,mschap2
[admin@MikroTik] > ip address print detail
0 address=192.168.0.2/24 network=192.168.0.0 broadcast=192.168.0.255 interface=LAN actual-interface=LAN
1 D address=79.136.143.165/25 network=79.136.143.128 broadcast=79.136.143.255 interface=WAN actual-interface=WAN
2 D address=79.136.209.155/32 network=77.106.106.1 broadcast=0.0.0.0 interface=vpn.vneshka.ru actual-interface=vpn.vneshka.ru
^^^^^^^^^^^^______________некорректный адрес сети
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 77.106.106.1 1
^^^^^^^^^^^^^^________Кривой маршрут
1 DS 0.0.0.0/0 79.136.143.129 10
2 ADC 77.106.106.1/32 79.136.209.155 vpn.vneshka.ru 0
^^^^^^^^^^^^^^___________________________________________Кривой маршрут
3 ADC 79.136.143.128/25 79.136.143.165 WAN 0
4 ADC 192.168.0.0/24 192.168.0.2 LAN 0
Статус соединения (winXP) при успешном подключении такой:
vpn.vneshka.ru - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 79.136.209.155
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 79.136.209.155
^^^^^^^^^^^^^^ - корректный адрес шлюза
DNS-серверы . . . . . . . . . . . : 77.106.108.139
77.106.109.135
NetBIOS через TCP/IP. . . . . . . : отключен
тип устройства Vpn
тип сервера PPP
транспорты TCP/IP
Проверка подлинности MS CHAP V2
сжатие (нет)
IP адрес сервера 77.106.106.1
IP Адрес клиента 79.136.209.155
Подскажите какая может быть причина проблемы, в каком направлении копать?
С провайдером разговора не получается, т.к. он "справедливо" считает, что все "ОК" раз Винда подключается нормально.
Попробуй убрать add-default-route=yes и прописать
/ ip route
add dst-address=0.0.0.0/0 gateway=79.136.209.155 scope=255 target-scope=10 \
comment="" disabled=no
/ ip route
add dst-address=0.0.0.0/0 gateway=79.136.209.155 scope=255 target-scope=10 \
comment="" disabled=no
gooel
настройки не помешают. телепаты всё ещё на съёмках "Битвы Экстрасенсов". что прописываем и что не работает?
настройки не помешают. телепаты всё ещё на съёмках "Битвы Экстрасенсов". что прописываем и что не работает?
gooel
Убрать add-default-route=yes никак нельзя т.к. ip-адрес vpn-интерфейса динамический. Однако я пробовал править в течение одногой сессии ip address интерфейса записи в таблице маршрутов. Проку нет.
Убрать add-default-route=yes никак нельзя т.к. ip-адрес vpn-интерфейса динамический. Однако я пробовал править в течение одногой сессии ip address интерфейса записи в таблице маршрутов. Проку нет.
Прошу помочь построить тунель от провайдера к клиентам
Провайдер отдает инет по PPPoE в VLAN1 к которому Я могу коннектится с MikroTik1 интерфейс BRIDGE1, а дальше надо прокиуть за MikroTik2 для сеть3 PPPoEClient-ы
(ПРОВАЙДЕР PPPoESERVER VLAN1) сеть1 (VLAN1 MikroTik1 BRIDGE1 VLAN2) сеть2 (VLAN2 MikroTik2 BRIDGE2 FastEthernet) сеть3 ( PPPoEClient-ы)
ПРОШУ HELP!!!
Провайдер отдает инет по PPPoE в VLAN1 к которому Я могу коннектится с MikroTik1 интерфейс BRIDGE1, а дальше надо прокиуть за MikroTik2 для сеть3 PPPoEClient-ы
(ПРОВАЙДЕР PPPoESERVER VLAN1) сеть1 (VLAN1 MikroTik1 BRIDGE1 VLAN2) сеть2 (VLAN2 MikroTik2 BRIDGE2 FastEthernet) сеть3 ( PPPoEClient-ы)
ПРОШУ HELP!!!
miko4inet
Ты пробовал и не получилось? У меня тоже на ВПН динамический айпи, но шлюз же статический.
Ты пробовал и не получилось? У меня тоже на ВПН динамический айпи, но шлюз же статический.
gooel
Я пробовал, и не получилось. Пробовал именно в течение одной сессии подключения.
PS. Если динамический IP, то и шлюз - динамический - по определению. Статический, в некотором роде, шлюз может быть только в частном случае когда IP динамически выбираются из одной подсети. Но где гарантия, что в следующий конект будет тажа подсеть? В моем же случае (см. приведенные конфигурации) адрес IP = адресу сети.
IP address=79.136.209.155/32 (т.е. маска 255.255.255.255, подсеть - 79.136.209.155 состоящая из одного IP) - корректным шлюзом может быть - 79.136.209.155, в данной сесии подключения, а в следующей IP м.б. 79.136.210.005, например.
Я пробовал, и не получилось. Пробовал именно в течение одной сессии подключения.
PS. Если динамический IP, то и шлюз - динамический - по определению. Статический, в некотором роде, шлюз может быть только в частном случае когда IP динамически выбираются из одной подсети. Но где гарантия, что в следующий конект будет тажа подсеть? В моем же случае (см. приведенные конфигурации) адрес IP = адресу сети.
IP address=79.136.209.155/32 (т.е. маска 255.255.255.255, подсеть - 79.136.209.155 состоящая из одного IP) - корректным шлюзом может быть - 79.136.209.155, в данной сесии подключения, а в следующей IP м.б. 79.136.210.005, например.
gooel
Если шлюзы у обоих каналов одинаковые или динамические, то самое правильное решение, это ставить МК 3,х т.к. там возможно указать в качестве шлюза не ip, а интерфейс
Если шлюзы у обоих каналов одинаковые или динамические, то самое правильное решение, это ставить МК 3,х т.к. там возможно указать в качестве шлюза не ip, а интерфейс
gooel
Заостряю внимание на том, что проблема с неправильными динамическими путями - вторична. Источник проблемы - неправильно отрабатываемая процедура PPTP cсоединения, результатом которого является кривой PPTP интерфейс, а именно создается некорректный (в принципе) адрес подсети интерфейса. Поскольку, ручная правка (замена динамических записей на правильные "вручную") адреса интерфейса и путей не дает результата (невозможно пинговать через него), то видимо, проблемы ППТП подключения боелее глубокие. Какие, я не понимаю, о чем и спрашиваю знающих.
Характерно, что проблема возникла после какой-то перенастройки у провайдера. Виндовс ВПН-клиент работает нормально.
Заостряю внимание на том, что проблема с неправильными динамическими путями - вторична. Источник проблемы - неправильно отрабатываемая процедура PPTP cсоединения, результатом которого является кривой PPTP интерфейс, а именно создается некорректный (в принципе) адрес подсети интерфейса. Поскольку, ручная правка (замена динамических записей на правильные "вручную") адреса интерфейса и путей не дает результата (невозможно пинговать через него), то видимо, проблемы ППТП подключения боелее глубокие. Какие, я не понимаю, о чем и спрашиваю знающих.
Характерно, что проблема возникла после какой-то перенастройки у провайдера. Виндовс ВПН-клиент работает нормально.
Цитата:
Помогите ришить проблемс поднят бридж под WLAN и LAN на микротике ,
на нем висит 10 чел суть такая тик выдает не больше 3 мб/с хотя водной канал 10 и лакалка 100 мб/с в чем может быть бок
Клиенты работают через PPPoE поднятом на отдельном серваке
плыз помогите решить проблемс
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: Шары открываются только по IP (не по имени)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.