» MikroTik RouterOS (часть 2)

Цитата:

Если динамический IP, то и шлюз - динамический - по определению. Статический, в некотором роде, шлюз может быть только в частном случае когда IP динамически выбираются из одной подсети

просто для ликбеза: Вас обманули. во-первых, на интерфейсах точка-точка по определению нет никаких "подсетей". только два адреса. во-вторых - адреса клиента и шлюза могут быть абсолютно любые; например, у пользователя 123.45.67.8, шлюз при этом 172.16.0.1


Цитата:

Источник проблемы - неправильно отрабатываемая процедура PPTP cсоединения, результатом которого является кривой PPTP интерфейс

проверить на версии 3.30. а дальше уже - по обстоятельствам

Chupakal
Спасибо за ответ.
Не знал, что адрес пользователя и шлюз могут быть разными. Смущает, что адресом шлюза назначается адрес vpn-сервера (другое соединени. не из примера).
И особенно смущало, что Виндовс PPTP клиент, который работает нормально назначает одинаковые адреса для пользователя и шлюза.
Может есть какие предложения по диагностике ситуации, кроме апгрейда?
Проблема повторяется на v.2.9.27, v. 3.22 при подключении к 2 разным провайдерам в городе.

miko4inet
вот уже и 4.0 вышла, можно на ней попробовать. а потом, если чё, писать багрепорты в суппорт микротика...

miko4inet


Цитата:

Смущает, что адресом шлюза назначается адрес vpn-сервера

В таком случае на МК возникает петля. Ситуация не раз обсуждалась на этом форуме. Исправляется путем правки профайла. См. предыдущую часть ветки

Demon
Спасибо за наводку. Почитал стр. 64 1-й части ветки. Все заработало.

ситуация такая стоит микротик с 3-я интерфэйсами
2 wan 1 lan
в ван воткнуты витые пары которые идут от модемов, проблема в том что если определять падение канала по пингу шлюза (модема) то он получается не актуальный, так как модем пинговаться будет но не факт что на модеме есть инет. как сделать проверку wan канала допустим по ping mail.ru?

Пингуйте mail.ru

mail.ru [217.69.128.42]

Добавлено:
Можно через скрипт:

script1

:local i 0; {: Do {:set i ($i + 1)} while=(($i < 5) && ([/ping 217.69.128.42 interval=3 count=1]=1))};
:if ($i=5 && [/ip route get [find comment="ISP2"] distance]=1) do={:log info "Main Gateway up";
/ip route set [find comment="ISP2"] distance=2}

script2

:local i 0; {: Do {:set i ($i + 1)} while=(($i < 5) && ([/ping 217.69.128.42 interval=3 count=1]=0))};
:if ($i=5 && [/ip route get [find comment="ISP2"] distance]=2) do={:log info "Main Gateway down";
/ip route set [find comment="ISP2"] distance=1}

далее

В таблицу маршрутизации внести запись маршрута до 217.69.128.42 через gateway ISP1
В firewall заблокировать исходящий пинг на 217.69.128.42 через ISP2

Цитата:

В таблицу маршрутизации внести запись маршрута до 217.69.128.42 через gateway ISP1
В firewall заблокировать исходящий пинг на 217.69.128.42 через ISP2

я бы просто добавил в команду ping параметр routing-table - так как-то правильнее, что ли... и всё в одном месте ))

Chupaka

Можно подробнее и в командах? Не нашёл в ping такого параметра

Код:
[admin@MikroTik] > /ping 192.168.0.1
arp-ping do-not-fragment interval size ttl
count interface routing-table src-address
[admin@MikroTik] > /ping 192.168.0.1

Сорри. Я всё на 2.9.6 сижу

Каким способом посредством Микротик можно подключить людей, GRE в нашей сети кажется закрыли.

куда подключить? L2TP вроде не пользуется услугами GRE

gooel

оба скрипта добавил в system\scripts но на кнопку run он никак не реагирует... счас добавлю это

В таблицу маршрутизации внести запись маршрута до 217.69.128.42 через gateway ISP1
В firewall заблокировать исходящий пинг на 217.69.128.42 через ISP2

и исчо раз попробую... он оба канала будет пингом до маил ру проверять?
да и кстате ISP1 и ISP2 судя по скриптам надо поменять местами в firewall & ip route потому что [/ip route get [find comment="ISP2"] это )

Добавлено:
http://www.mikrotik.by/lofiversion/index.php/t99.html
вот этот способ более прикольный...

Добавлено:
теперь нужен скриптик по переключению канала....

Добавлено:
#set variables
:local pingcount 3
:local ipA 192.168.5.2
:local GatewayA 192.168.5.1
:local ipB 192.168.8.2
:local GatewayB 192.168.8.1


#ping gateways with src

:local pingresultYAA [/ping 213.180.204.8 src-address=$ipA count=$pingcount]
:local pingresultYAB [/ping 213.180.204.8 src-address=$ipB count=$pingcount]


#if link_A is DOWN and link_B is UP then:
:if (($pingresultYAA=0) && ($pingresultYAB=$pingcount) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayB
}

#if link_A is UP and link_B is DOWN then:
:if (($pingresultYAA=$pingcount) && ($pingresultYAB=0) do={

/ip route set [find comment="Default Gateway"] gateway=$GatewayA
}

#if both link DOWN:
:if (($pingresultYAA=0) && ($pingresultYAB=0) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayA
}

# Link A or Link B both are UP:
:if (($pingresultYAA!=0) && ($pingresultYAB!=0) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayA,$GatewayB,$GatewayB
}


народ хэлп плиз взято http://www.mikrotik.by/lofiversion/index.php/t99.html отсюда но нет возможности проверить... будет работать мой вариант? заранее спасибо за ответы всем)

Есть вот такая вот сетка


в инет смотрит WLAN с адресом 10.250.239.100/24 и шлюз 10.250.239.1
в сеть смотрит Lan с адресом 192.168.0.1/24
на микротике настроен DHCP сервер, точка доступа 2 является репитером точки доступа 1.

Вот проблема в том, что кога пользователь находиться ближе в AP-1 то его IP и мак адрес вижу, а когда подключен к AP - 2 то вижу его IP но вот мак адрес вижу не его, а AP- 2.
Мне нужно настроить так что бы какие то пользователи могли пользоваться инетом, а все остальные нет. Как это реализовать, если мак адрес у всех пользователей подключенных через репитер, одинаковый. Если по IP-шникам, то DHCP надо как я понимаю надо отключать и давать статические IP, или есть варианты как организовать ланное чудо по другому?
И еще вопрос: на какой максимальный срок можно настроить DHCP, можно ли к примеру, что бы микротик выделил ip на год?

Причем, получается так, микротик выдает одному и тому же пользователю подключенному через репитер или через первую точку один и тот же IP. Значит он видит его настоящий адрес. А вот когда IP - сканером ищу пользователей, то он мне выдает одинаковый мак для всех пользователей подключенных через репитер.

Mikepavilion
мне кажется это не правильно что точка подменяет мак. у микротика есть хотспот -авторизация через пароль.

gamespb

Понимаю что не правильно, но решить проблему не могу, подменяет и все тут. Пробовал менять все параметры как в первой точке, так и во второй. Либо вообще не работает, либо с подменой. Как понял из опытов, то для того что бы не было подмены мака, надо обе точки запускать в режиме AP, ну и тогда придется точки соединять проводом, что в моей ситуации не реально.

хотспот - можно про него по подробнее. В микротике не гуру...

Да и не понятно насчет того, что он же выдает IP-шники те же самые, значит видет мак устройства, а не точки в тот момент когда выдает. А когда IP - сканом смотрю. то блин показывает мак репитера а не юзера.

неподскажыте ? на оч хорошем железе... выбор операцыонки для isp роутера+ билинг
какая ось будет по скорости и фунцыклированию бует быстрей и гибчей... главным образом бустрей ... debian или микротик ?
ну для роутера то и нада буит всиво 5-10 маршрутов

TRIALIUS
MikroTik с 5-10 маршрутами, и на оч старом железе летать будет!!!

Mikepavilion
эт понятно.. а в дебиан пробовали.... ? мне важно в сравнении именно с дебианом
разница памойму што в дебиан можно прикрутить все... а вот микротику ... все прикрутить.... незнаю вазможно ли... например веб сервер... с базой или тот же билинг ... настройка миня непугает... ибо линух он и в африке линух ...
структура нифига неменяца с годами... тока ядра и проги... более оптимизируюца и пишуца под новые нужды

TRIALIUS
Сразу скажу, Mikrotik - он хоть и линух, но в первую очередь он роутер, а от линуха в нем мало что осталось
урезан до минимума, то-есть навешать на него, или доустановить не получиться. Если нужен только роутер, то это MikroTik, а вот если Сервер на эту же машину поставить или еще что..., то такой номер не пройдет. Только то что в нем есть, не более.

Mikepavilion
ну тут я несогласен... самолично прикручивал билинг к нему...
так што не все так плохо .... мне гораздо важней узнать разницу в скорости между дебианом и микротиком на одном и том же железе...
прошу людей отписать пользовавшых и то и то

TRIALIUS
Вопрос ниочём, микротик он роутер макс что на нём можно добиться это нас, можно пользовать юзер менеджер, полноценный билинг вы на него никак не поставите, и веб сервер тоже. ну если только сами разработаете пакеты в микротиковском формате.

Цитата:

ну если только сами разработаете пакеты в микротиковском формате.

и ведь судя по всему не разработаете - там сейчас вроде как цифровая подпись, все дела...

Mikepavilion
да и я не гуру. с маками облажался дейсвительно пока не будет разных маков наврлятли будут новые ИПы. кривое решение: точку что репитар в клиента и соединить с третей стоящий в режиме АП, к ней уже клиентов.
(ох не нравиться мне это) но ничего не придумать.
TRIALIUS
за билинг на микротике только если юзерменеджера использовать

Интересно с маками, что пишет по
> ip arp print
?

gamespb
нет, вы меня не совсем правильно поняли.
вот в ip\pool\used\print выдает список ip-ов и напротив каждого ипа пишет разный мак адрес.
а вот в Tools\ip-scan\LAN
выдает всех кто подключен в данный момент, и вот у нескольких ипов показывает один и тот же мак (мак репитера)

То-есть когда юзер подключается через репитер, то микротик дает ему тот же ип что и давал до этого, а делает он это по маку пользователя, а не по маку точки. То-есть получается, что мак пользователя он может разглядеть и дать ему IP, а вот когда IP сканом смотришь, то он уже показывает не его мак, а мак репитера.

Вот если он в состоянии разглядеть мак юзера при раздаче IP, то почему тот же фаервол или ip-scan не видит его реального мака?

и еще вопрос, какое максимальное значение можно задать в IP\DHCP server\Lease Time?
может проще сделать так:
поставить время выдачи IP к примеру на год
и блокировать всех, кроме таких то IP

так будет норм?


Добавлено:
gamespb
а насчет того что с репитером лохонулся, так это да!!! Не спорю, не красиво все получается, но по другому в моей ситуации к сожалению ни как

MG34
> ip arp print пишет все ипы, а вот маки там на несколько ипов повтаряются
> ip pool used print а вот если так, то у каждого разный мак

Mikepavilion
как мне кажеться: если в арп таблице у одного мака много разных ИПов то множество это- нормально не может работать. пользователи не жалуются, те что на репиторе?
ругал я себя за невнимательность

gamespb
Пользователи.... А как тут не жаловаться? У нас инет через двусторонний спутниковый. Канал на прием 96Кбит на 15-20 человек. И при такой скорости цена 17700 в меcяц. Ну по крайней мере их не выкидывает. Работают стабильно.

Вообщем решил разрешать доступ в инет по ip. в DHCP сервере нашел что то на подобии "сделать статическим". вот на те ипы которые надо в инет пускать, их делаю статическими и пускаю в нет по ипам, а всех остальных лесом. Попробую хотя бы так. Других вариантов пока не вижу.

Просто мне уж очень интересно, почему так происходит:

Цитата:

MG34
> ip arp print встречается на одном маке по несколько ip.
> ip pool used print а вот так, у каждого разный мак

народ скрипт не работает.... довёл до вида

#set variables
:local pingcount 3;
:local ipA [/ip address get [find interface="inet1"] address];
:local GatewayA [192.168.5.1];
:local ipB [/ip address get [find interface="inet2"] address];
:local GatewayB [192.168.8.1];
#ping gateways with src
:local pingresultYAA [/ping 213.180.204.8 src-address=$ipA count=$pingcount];
:local pingresultYAB [/ping 213.180.204.8 src-address=$ipB count=$pingcount];



#if link_A is DOWN and link_B is UP then:
:if (($pingresultYAA=0) && ($pingresultYAB=$pingcount)) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayB;
:log info "if link_A is DOWN and link_B is UP";
}

#if link_A is UP and link_B is DOWN then:
:if (($pingresultYAA=$pingcount) && ($pingresultYAB=0)) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayA;
:log info "link_A is UP and link_B is DOWN";
}

#if both link DOWN:
:if (($pingresultYAA=0) && ($pingresultYAB=0)) do={
/ip route set [find comment="Default Gateway"] gateway=$GatewayA;
:log info "if both link DOWN";
}

# Link A or Link B both are UP:
:if (($pingresultYAA!=0) && ($pingresultYAB!=0)) do={
:log info "Link A or Link B both are UP";
/ip route set [find comment="Default Gateway"] gateway=$GatewayA,$GatewayB,$GatewayA;

}
где затык? помогите плиз очень надо