» MikroTik RouterOS (часть 2)

Почему клиент, подключеныый к RB750 не может подключиться к нему. В логе пишет, что ДХЦП назначает адрес такому-то МАК-адресу, потом, через 3-5 минут пишет deassigned 192.168.88.250 from x.x.x.x.x (mac)
На компьютере клиента сетевая карта не может получить сетевой адрес.
Получается, что ДХЦП-сервер Микротика видит новое подключение, пытается ему отправить настройки, но ответа нет. В чем проблема? Другие 3 клинта работают норм.
У проблемного клиента ВинХР, возможно много вирусов (не было пока возможности проверить). На двуг отдельных сетевых картах картина повторяектся, толькол МАК меняется

Скорей всего что-то с машиной этого проблемного клиента...

доброго времени суток

у меня йп списки, для которых у меня скорость намного больше чем для остольного мира, как их маркировать для queue tree

Нид хелп!
Вот на этом девайсе:
http://routerboard.com/index.php?showProduct=90

Активировал политику для IPSec которая заблокировала вес трафик, как исправить это безобразие?

Добавлено:
всё разобрался нашёл ресетд-жампер на плате.

Подскажите пожалуйста! Тут человек по имени Gozya приходил с подобным, но по моему его вопрос остался без ответа, я вот столкнулся с подобным.
Mikrotik настроен как pptp сервер, пользователи к нему подключаются, инет им раздается. А вот через обычный NAT открываются только ya.ru, yandex.ru, google.ru. Другие сайты пингуются по доменному имени, т.е. проблема с DNS отпадает, даже ася через NAT работает, а вот сайты не открывает.
На PPPOE интерфейсе, который идет к прову, пробовал ставить MTU: 1460, 1480(стоит в данный момент), 1492, не помогло...
Может кто сталкивался?
Заранее спасибо!

Galeups
http://www.mikrotik.by/index.php?showtopic=56

Здравствуйте.
Вот прошу помощи.
Можно такое сделать или нет?

Что есть:
Воркгрупа. На шлюзовом сервере крутится керио, и микротик на том же железе в виртуальной машине.

керио записывает http логи, блокирует сайты и т.п.
далее идет микротик, который разруливает трафик между разными шлюзами в инет, принимает VPN соединения от внешних юзеров и серверов.


Что надо?
Есть юзер (бухгалтер), который работает с веб приложением по https протоколу, используя разные сертификаты и различные электронные ключи. т.е. заходит на сайт, далее ему предоставляется возможность выбора сертификата, выбирает сертификат, вставляет соответствующий электронный ключ и работает. (заполняет, вносит и т.д.) при этом веб сервер один и тот же.

Задача: сделать так, чтобы выбирая нужный сертификат, он использовал нужный шлюз.

как уже сделано.
Есть еще один юзер. Он заходит на различные сервера. Надо было сделать выход на разные серваки с разных шлюзов. Состветственно в микротике трафик маркируется в зависимости от адреса назначения, затем роутится на нужный шлюз.

В моей теперешней задаче web сервер, один и тот же.

У кого какие мысли?
Можно ли решить мою задачу используя фильтр content? или к https трафику это не применимо?


вобщем нид хэлп

srg7
ничего не получится сделать. обмен сертификатами ведётся уже после установления соединения. а установленное соединение перекинуть на другой канал невозможно

Chupaka
Большое спасибо, завтра с утра попробую. Ещё оказывается в FAQ-е есть:

http://wiki.mikrotik.com/wiki/Russian/FAQ

" Я не могу попасть на некоторые сайты, если я использую PPPoE.
Используйте /ip firewall mangle чтобы изменить MSS (maximum segment size - максимальный размер сегмента) на величину, меньшую на 40 байт, чем MTU вашего соединения. Например, если вы имеете шифрованый PPPoE линк с MTU=1492, установите mangle правило следующим образом:

/ ip firewall mangle
add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1448
"

Сделал, как написано в FAQ и все заработало, всем спасибо! =)

Столкнулся тут с проблемой
в локальной сети существуют подсети
1) 192.168.7.0 шлюз 192.168.7.1 (без шлюза они не видят 172.25.100.0)
2) 172.25.100.0 шлюз 172.25.16.1 (без шлюза они не видят 192.168.7.0)

МТ 3.30
ether2 192.168.1.3/24 - смотрит на модем
ether1 172.25.100.200/24 - смотрит в локальную сеть
народ подключается по vpn к МТ (172.25.100.200) для получения инета

засада с тем что юзеры из 192.168.7.0/24 не видят МТ, точнее (судя по соединениям в фаерволе) пакеты до МТ доходят но МТ на них не отвечает.
Также через встроенный пинг через ether1 не пингуется ни один ресурс в 192.168.7.0/24

Как я понимаю это изза того что на итерфейсе ether1 нигде не указан шлюз 172.25.16.1

подскажите что указать в роутах чтобы были доступны ресурсы в 192.168.7.0/24??

пс: все фильтры в фаерволе выключены
пробовал добавить правило в ip route
add comment="" disabled=no distance=1 dst-address=192.168.7.0/24 gateway=ether1 pref-src=172.25.16.1
в итоге оно даже не активно

Light_AS
так а 192.168.7.1 - это кто?..

Chupaka
192.168.7.1 это шлюз у подсети 192.168.7.0/24 в винде у всех юзеров прописано в настройках tcp/ip
Если по железу то управляймый свитч длинк =)

Добавлено:
Chupaka
192.168.7.1 это шлюз в подсети 192.168.7.0/24 у всех юзеров в настройках подключения винды прописано
а если по железу то управляемый свитч д-линк

|------------|
| | |-------------------|
| RB 1000 |<=========================> | Internet Server |<====> WWW
| | |-------------------|
|------------|<--------------| |
| | |
ip. 10.8.0.10 | |
routes. 192.168.10.0/24 | |----------------------------|
192.168.9.0 /24 | |ip. 192.168.10.1 |
Nastroen VPN server | |dlya avtorizacii klientov |
abonenty poluchayut | |----------------------------|
ip. 192.168.10.0 |
192.168.9.0 |
|
|
|
|
|---------------------------------------------|
|klienty ipishki 10.8.0.0/24 i 10.9.0.0/24|
|---------------------------------------------|

Всем привет!
Первый раз настраиваю РБ, и вот столкнулся с какой проблемой:
ВПН настроен на РБ-1000 (при подключении клиент получает айпи адресс 192.168.10.10, тестовый второй айпи на РБ 192.168.10.5)
видит РБ (пингует), в РБ добавлены роуты на 2 сети 192.168.10.0/24 и 192.168.9.0/24

Дальше РБ клиент не может выйти. При пингах прихолит ответ "превышен интервал ожидания для запроса".

Сервер для авторизации клиентов и выхода в интернет 192.168.10.1 (этот адрес не пингуется со стороны клиента). На сервере установлен Траффик Инспектор.

Немогу понять в чем дело. Помогите плиз разобраться?

Light_AS
вот между свитчем и мелкотиком и надо настраивать маршруты

flexman
т.е. клиенты ВПНа получают адреса из той же подсети, что и у других машин в эзернет-сети? тогда на эзернете надо включить Proxy-ARP

добрый! Подскажите плиз с проблемой! Стоит nat masquerade всё на внешний интерфейс. Как обрезать тех или подропать кол-во их запросов - кто начинает флудить на шлюз (разного рода вурусы\атаки)?

Цитата:

т.е. клиенты ВПНа получают адреса из той же подсети, что и у других машин в эзернет-сети? тогда на эзернете надо включить Proxy-ARP

Да это как я писал выше сервер с ТИ (192.168.10.1) для выхода в интернет.

Картина немного изменилась, теперь (после настройки nat masquerade) я начал видеть сервер и даже авторизовался на нем...
но интернет не пускает пишет вот что:

C:\Documents and Settings\Admin>ping ya.ru

Обмен пакетами с ya.ru [77.88.21.3] по 32 байт:

Ответ от 10.8.0.10: Заданная сеть недоступна.
Ответ от 10.8.0.10: Заданная сеть недоступна.
Ответ от 10.8.0.10: Заданная сеть недоступна.
Ответ от 10.8.0.10: Заданная сеть недоступна.

Статистика Ping для 77.88.21.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

Проблема в НАТе или как? Может я его не правильно настроил?

Цитата:

Как обрезать тех или подропать кол-во их запросов - кто начинает флудить на шлюз (разного рода вурусы\атаки)?

в фильтре файрвола курить секции Connection Limit, Limit, etc.

flexman
судя по всему, проблема в фильтре файрвола

Цитата:

судя по всему, проблема в фильтре файрвола

Фильтров никаких нет. Файер не настраивал.

flexman
тогда, может, в маршрутах проблема?

з.ы. трассировка-то с клиента что показывает?

Цитата:

тогда, может, в маршрутах проблема?

з.ы. трассировка-то с клиента что показывает?

C:\Documents and Settings\Admin>tracert ya.ru

Трассировка маршрута к ya.ru [77.88.21.3]
с максимальным числом прыжков 30:

1 10.8.0.10 сообщает: Заданная сеть недоступна.

Трассировка завершена.

Вот что показывает, говорю это первая настройка и пока я не спец в этом.
Сразу оговорюсь что проблема может быть где угодно... :)

Цитата:

Цитата: Цитата:Как обрезать тех или подропать кол-во их запросов - кто начинает флудить на шлюз (разного рода вурусы\атаки)?

в фильтре файрвола курить секции Connection Limit, Limit, etc.

подскажите как сделать что бы правила в Queue Tree срабатывало
в определенное время, например с 6 утра до 24 вечера?
в Firewall там все понятно....

почему при подключении свича compex 2208b мой rb/750 через 5 сек зависает (пропадает связь через ВинБокс, как будто выполнена комманда shutdown), интернет тоже сразу пропадает. Причем так происходит, когда просто через кабель подключен просто свич, к которому больше ничего не подсоединено.
Попробовал на трех одинаковых рабочих свичах. Другие свичи работают на ура. Что за х...я? Пробовал и прямой и крос-кабель. РБ/750, если к свитчу подсоединен хотя бы один пользователь, успевает только DHCP-сервером раздать адреса, и сразу зависает (вырубается).

Цитата:

почему при подключении свича compex 2208b мой rb/750 через 5 сек зависает

Что то подобное у меня начало происходить несколько дней назад, когда столбик термометра перешагнул за +35: через свич у меня подключены ТД. Свич установлен на чердаке где ему стало видать жарко. И он зависал. А за ним вис и 750G и я уже не мог к нему подключится винбоксом.. После перезагрузки по питанию все восстанавливалось на короткое время
Комп напрямую включен в РВ, не через свич. Решил проблему установкой другого свича....

Вот только что 750G неизвестно чего повис... Может и ему уже жарко? Ктати а на 750 температура проца не отображается командой System + Health . На 450G эта функция работает... Может ее чем то нада запустить?

На 750G эта команда не дейсвует - system health print

Цитата:

как сделать что бы правила в Queue Tree срабатывало
в определенное время, например с 6 утра до 24 вечера?

можно, например, включать очередь в 6 утра и выключать в 24 вечера =)

http://wiki.mikrotik.com/wiki/Manual:System/Scheduler

nkbss
а в целом компьютеры через свитч нормально работают? а то может просто свитч такой =)

подскажите, как организовать выдачу айпи адреса новому компьютеру, который физически подключается к сети впервые.
создаём пул адресов, далее он заносится в привязки ?

Добавлено:
есть ещё такой параметр client ID - что он означает ?

FreeLSD_md
многое зависит от политики партии... если подключаться может кто угодно и куда угодно - то просто пул адресов, и дальше никого никуда заносить не надо

Подскажите пожалуйста, чего то найти не могу, возможно ли в скрипте сделать проверку, включен ли нужный мне интерфейс?
Пинги не подходят, нужно именно enable он или disable в текущий момент

Цитата:

сделать проверку, включен ли нужный мне интерфейс

Код:
[admin@1] > ut [/interface get eth disabled];
false
[admin@1] > ut [/interface get ether2 disabled];
true
[admin@1] >