» MikroTik RouterOS (часть 2)

vlh
оставить одну очередь с parent=global-out

ну и этаааа... логичнее было бы делить потоки на входе в вайфай, а не на выходе т.е. с другой стороны линка

Chupaka

Цитата:

ну и этаааа... логичнее было бы делить потоки на входе в вайфай, а не на выходе т.е. с другой стороны линка

пробовал, но мне показалось что это не правильно, так как клиентский компьютер
забивает канал своими запросами или я ошибаюсь?

подскажите пожалуста, в каой стороне копать, чтобы видеть расшареные ресурсы локольной сети, а то получается каждая машинка в сети работают но друг дружку не видять....
заранее благодарен

Цитата:

клиентский компьютер забивает канал своими запросами

в вышеприведённой конфигурации ограничивается даунлоад клиентов. аплоад остаётся неограниченным. поэтому повторюсь: клиентский даунлоад лучше шейпить на той стороне линка. и дополнюсь: а вот аплоад - как раз на этой

Цитата:

Вопрос по PPPoE серверу на базе Mikrotik 4.3.
как сделать так чтобы PPPoE сервер принимал соединения ТОЛЬКО СО СВОИМ service name а на запросы клиентов с пустым service name не откликался?
Спасибо

Также интересует этот вопрос потому что провайдер подключает по PPPoE без имени и мой PPPoE клиент коннектится к моему же серверу PPPoE

Подскажите пожалуйста, как надо настроить DHCP сервер, чтобы при каждом новом подключении клиенту выдавался новый адрес из диапазона 192.168.0.0/24, а старый оставался свободен ля других клиентов

voki2009
только средствами встроенного DHCP - никак. да это и противоречит идеологии DHCP =)

voki2009 А какова конечная цель данного мероприятия? Может, ее можно достичь менее экстравагантным способом?

Пользователи меняют mac и ip потом происходит конфликт, авторизацию перевел на PPPoE, но это проблемы не решило, вот и хочу, чтоб пользователи получали постоянно новые ip после перезагрузки ПК

voki2009
что то я не совсем понял смысл происходящего....

voki2009
Цитата:

Пользователи меняют mac и ip

Это как же они умудряются? Нет, технически это не сложно, я в смысле системной политики... И чем вам в таком случае поможет трюк с постоянно меняющимся айпи?
Цитата:

авторизацию перевел на PPPoE, но это проблемы не решило

И не решит. Либо ставьте на свичах фильтр по маку, либо используйте 802.1Х

voki2009
наверно можно скриптами намудрить, есть таблица выделенных адресов. если после выдачи ему менять в этой таблице мак и делать статик до следующего запроса ИПа. а затем старую запись удалять.
Но как это реализовать. И это не спасет если кто то(нуб) ручками себе поставит тот же ИП, правильному пользователю придется перезапросить ИП.

давайте по пунктам...

1) если подключение - PPPoE, то как вообще может конфликтовать уровень IP, если он в этом случае вообще не должен существовать вне PPPoE?..

2) если адрес занят, дхцп-сервер вроде как должен выдавать следующий, а текущий делать busy. не? какая версия оси используется?

версия 4.9
проблема решилась отключением VLANа который был прокинут для пользователей с реальным IP
СПАСИБО за поддержку в трудную минуту

Приветствую! Стояла задача разделить 2 канала в инет, пустив по одному из них (который похуже) торренты, а по другому хттп, игры, телефонию и тп. Поскольку перенаправить торрент трафик напрямую на один из каналов невозможно, решил пометить нужные мне сервисы и пустить их по одному каналу, а по другому, соответственно, все остальное, в том числе и торренты.

Как я сделал:


Код: /ip firewall mangle> print
....
4;;; http https
     chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
     dst-port=80,8080,443,3128,8008,8090
5;;; mail TCP
     chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
     dst-port=21,25,57,109,110,143,220,587,995,20
6;;; mail UDP
     chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=udp
     dst-port=21,25,57,109,110,143,220,587,995,20
7;;; ICQ
     chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp dst-port=5190
....

уважаемый, Chupaka или кто-то еще подскажите идиоту советом
имеем

абонент -----> роутер(MikroTik) --------> WiFi <------------> WiFi
192.168.0.x 192.168.8.1 77.232.x.x 10.126.1.2 10.126.1.1


когда все работает, есть линк между точками WiFi зайти с 192.168.0.x на 10.126.1.x можно, а вот когда линка нет нельзя
как сделать чтобы можно было зайти на 10.126.1.х?

на виндовом серваке делал статический маршрут, тут хз как это сделать (((

star4ik Я бы тебе ответил, но не понял вопроса. Откуда там вайфай точки? Как они соединены с локалкой или микротиком?

Ov3r1ord
сделать шлюз по умолчанию на хороший канал. в правилах метки "хорошего" канала поставить passthrough = no
и в конце правило все пометить в "плохой" канал.

попробуй так

2vlary

обьясняю, вайфай точки это радио линк от вышестоящего прова. если линк есть и их шлюз пингуется соответственно можно попасть на 10.126.1.х

а что Вы имели ввиду как соеденены? естественно по ethernet. но пров нам дает "белый" IP 77.232.x.x
т.е. внешний интерфейс соеденен с точками вайфай и трафик от пользователей натируется.

вроде все понятно?

Ну, возможно когда линк между 10.126.1.2 и 10.126.1.1 падает, то и интерфейс 10.126.1.2 уходит в даун. Ну а уж на 10.126.1.1 тогда точно не попасть.

нет, 10.126.1.2 точно работает.

вобщем вопрос не в этом. как сказать микротику что 10.126.1.2 находится за интерфейсом 77.232.х.х
и чтоб он пакеты до 10.126.1.2 не слал на шлюз прова, а напрямую к 10.126.1.2

народ, сори сам туплю просто ппц. разобрался)))

star4ik
дык вроде просто прописать статический маршрут в IP -> Routes %)

star4ik Все хорошо, что хорошо кончается. А в чем же был пп.ц?

Цитата:

star4ik
дык вроде просто прописать статический маршрут в IP -> Routes %)

ага и разрешить трафик. а я маршрут добавил и запретил все

Знатоки! Глянте на фото и подскажите, что за соединения, выделенные синим цветом появляются после загрузки микротика. Если их удалить - больше не появляются. Это что - кто то пытается зайти или есть вшитый в микротик троян?
ССылка : http://slil.ru/29171997

cambit
что за версия?

адсл-Модем(бридж) --> mikrotik RB750 (ПППОЕ) --> пользователи (адреса назначаются ДХЦП-сервером Микротика из диапазона 192.168.88.2-254)
Настроил 1порт - WAN, 2-5 объединены в свитч (мастером является 2)
Версия предустановленной РоутерОС была 3,29 (с 8-значным ключом), была сразу обновлена до 4.9 (стандартный набор пакетов всё-в-одном, IPv6 неактивен), бут тоже обновлен.

Вопросы:
1. в окне intarfaces скорость показывается только для мастер-порта, хотя кабели подключены ко всем 2-5. Это норм? (Интиернет есть)
2. Не вижу в локалке ни одного компьютера (правила файрвола выбраны галочками в веб-интерфейсе: protect NAT, protect LAN, protect Router). Почему не пингуются, хотя айпи, присвоенные дхцп-сервером Микротика, мне известны.
3. Как скопировать настройки в виде кода (из винбокса), чтобы выложить сюда?
4. Когда указывал ИП сети, то написал 192.168.88.0/24 (читал, что вроде битность нужно для локалки 16 ставить), это правильно?
5. почему на интерфейсе WAN (ether1) TX/RX норм показывает (передача/прием), а тот же трафик на мастер-порту свитча (ether2-5) показывается наоборот, то есть скорость входящего трафика показана в колонке TX, а исходящего - в колонке RX?

P.S. Темы обе читал 2 недели подряд, но ДО покупки 750, поэтому на практике пока знаний мало.
Сразу спасибо тем, кто [без оскорблений] ответит.

1. видимо, норм - аппаратный свитч статистику, значит, не отдаёт =)
2. брандмауэр Виндамс? =) роутер не может заблокировать общение на уровне 2
3. слева New Terminal, там /export file=bla-bla.txt, потом его забрать из Files, перетянуть куда надо
4. ничего неправильного не вижу
5. а что тут странного? то, что клиент _принимает_ из интернета, роутер клиенту _отдаёт_. т.е. даунлоад из интернета - это аплоад роутера к пользователю

Chupaka, спасибо.
Еще вопросы:
до того как я купил РБ/750 адсл-мопед был настроен роутером (при работающем торренте при отключенных удп-пакетах, только TCP, загибался даже при ограничении в торренте количества одновременных соединений до 40), сеть была 192.168.1.0 (модем 192.168.1.1).
1. Я поменял режим работы модема на бридж, а сейчас сеть LAN 192.168.88.0. Как попасть на веб-интерфейс модема (нужно наблюдать за изменениями в характеристиках линии), если известен его MAC?
2. Чем грозит мне в плане безопасности то, что интернет 4-м пользователям раздается без всякой авторизации, просто используя дхцп и привязку IP к MAC? Или активировать ППТП (ПППОЕ) сервер?
3. Если я уберу привязку 3-5 портов LAN ко 2-му, то статистика будет на каждом? На этот вопрос не отвечайте, если вопрос риторический.
4. Просто из любопытности: почему адреса из пула ДХЦП раздаются с конца, т.е. 254, 253, ... ? Как по возрастанию?
5. Настроил NTP-клиент, т.к. в моем роутерборде нет батарейки/аккумулятора. Есть возможность установить ее на плату (может контакты есть нераспаянные)?

Цитата:

попасть на веб-интерфейс модема, если известен его MAC?

никак. должен быть известен его IP. http работает на третьем, а не на втором уровне


Цитата:

Чем грозит мне в плане безопасности

а что за пользователи? если хацкеры - то конечно VPN, иначе они маки поменыют на соседские - и будут работать


Цитата:

Если я уберу привязку 3-5 портов LAN ко 2-му, то статистика будет на каждом?

да, будет на каждом. чтобы свести задачу к предыдущему случаю, надо будет создать bridge и добавить в него все эти порты, а после везде в конфигурации сменить ether2 на bridge


Цитата:

почему адреса из пула ДХЦП раздаются с конца

потому что они так раздаются. более того, как руки дойдут - проанализирую ситуёвину, думаю, буду писать телегу в MikroTik... по-моему, при достижении последнего адреса движение совсем не начинается в обратную сторону...


Цитата:

в моем роутерборде нет батарейки/аккумулятора. Есть возможность установить ее на плату?

в роутербордах нет батареек и, насколько знаю, возможности их установки