» MikroTik RouterOS (часть 2)

Будьте добры, подскажите, возможно ли такое на РоутерОС:
Есть железка Cisco ASA, стоит в центральном офисе, принимает запросы от удаленных клиентов, которые подключают свои ноуты/компы используя Cisco VPN Client. Хотелось бы вместо тучи ВПН клиентов, поднимаемых на каждой машине поднимать одно соединение от Тика к Циске. Т.е. задача - поднять IPSec VPN в сторону циски. На клиентской стороне IP динамический, на стороне Cisco ASA - статика. Каким образом можно на тике поднять подобное соединение?

Цитата:

На клиентской стороне IP динамический, на стороне Cisco ASA - статика. Каким образом можно на тике поднять подобное соединение?

из ключевого в случае динамического адреса, насколько помню - generate-policy=yes. в остальном по мануалу, видимо...

Chupaka
Динамика на клиенте нас не волнует ни как...
Всё что тут является вопросом это как устроен Cisco VPN Client - можно ли обойтись без него при подключении к Cisco ASA или нет, или если нельзя то существует ли он под linux(наверное да, если требуется).
По цискам у нас тут vlary знаток... и еще кто не помню уже).

Chupaka
А подробнее можно? По аналогии с Циско ВПН клиентом - АСА на другой стороне ожидает входящего соединения, соединение инициализируется клиентом, после всех проверок клиент получает адрес из группы адресов центрального офиса. Как в тике при использовании PPTP или L2TP клиента привязать IPSec?

Цитата:

Динамика на клиенте нас не волнует ни как...

правда? даже с учётом

Цитата:

Т.е. задача - поднять IPSec VPN в сторону циски

? вроде как ипсек чувствителен к перемене IP. ну, как минимум на форуме пишут =)


Цитата:

как устроен Cisco VPN Client

про него в задаче ничего не было

MamontS
для начала можно попробовать покурить эти статьи:


Добавлено:
http://wiki.mikrotik.com/wiki/IPSec_VPN_with_Dynamic_Routing_/_Mikrotik_and_Cisco
http://wiki.mikrotik.com/wiki/MikroTik_router_to_CISCO_PIX_Firewall_IPSEC

з.ы. чёта предыдущее сообщение по Ctrl-V отправилось %)

Всем доброго времени суток. Хотелось бы обсудить кто как балансировал нагрузку нескольких интернет каналов на микротике. Побывал разными способами и ECMP и PCC и по типу трафика делить. Но у каждого способа есть свои недостатки. Конечно PCC самое менее трудоёмкое как и для железки так и для пользователя, но не настолько эффективное как хотелось бы : )) Кто ещё как побывал и какие впечатления?

Harded Steel
PCC - самое универсальное. может повторять поведение других способов простым изменением классификатора. в каком ключе неэффективное?

Добавлено:
к слову, в своё время я реализовывал алгоритм, который через несколько лет мог бы быть банально заменён PCC с классификатором src-address =) это именно тот случай, когда на большом числе пользователей проблемы напрочь отсутствуют =)

Подскажите ! Клиенты авторизуются на сервере с микротиком через VPN. Юзают интернет. Как сделать, чтоыб часть клиентов при попытке открыть любую из страниц интернета, попадали бы на предупреждение о необходимости оплаты. Спасибо заранее !!!

Chupaka
Hw.Retries: 15 немного помогло, но не совсем...
где то надо еще рыть...
а вот зажатие скорости на линке, это правильное решение?

ShokoAsahara

Цитата:

Подскажите ! Клиенты авторизуются на сервере с микротиком через VPN. Юзают интернет. Как сделать, чтоыб часть клиентов при попытке открыть любую из страниц интернета, попадали бы на предупреждение о необходимости оплаты. Спасибо заранее !!!

Вам нужно смотреть в сторону прокси и редирект....

Сейчас клиенты (~10) подключаются к мтику по впн, получают инет.
На мтик инет приходит по нескольким пппое соединениям.

Необходимо мтик убрать за пк на вин2003, т.е. будет клиенты->вин2003->мтик->инет

чего то пока в голове не укладывается как это реализовать

мтик(192.168.21.9)
поднял впн сервер на вин2003 (192.168.21.10),
клиентам назначаются 172.16.0.*,

подскажите чего прописать на мтике чтобы раздать инет впн юзерам

Цитата:

чего прописать на мтике чтобы раздать инет впн юзерам

прописать доступ в инет для 172.16.0.*

Цитата:

Подскажите ! Клиенты авторизуются на сервере с микротиком через VPN. Юзают интернет. Как сделать, чтоыб часть клиентов при попытке открыть любую из страниц интернета, попадали бы на предупреждение о необходимости оплаты. Спасибо заранее !!!

Вам нужно смотреть в сторону прокси и редирект....

а напишите плиззз командами ...

RB 750 G (NEW), После включения не заработал???
При первом включении устройство не издало ни звука, светодиоды PWR и ACT горят постоянно.
По мануалу ports 2-5 Lan - подключил.
Сетевой интерфейс компьютера по DHCP не определился.
Сетевая карта компьютера показывает - "Сетевой кабель не подключен",
и соответственно свето-диоды портов на устройстве не горят.
Попробовал сбросить на заводские настройки встроенной функцией - кнопка Reset - выкл-вкл питание
результат "0"
Приподнял одну из ножек на корпусе, закоротил медную площадку-под питанием-без питания, результат "0"
Есть ли возможность оживить? Или вернуть устройство магазину-продавцу?

Chupaka
знаю, что есть у Вас фильтр L7 для порно сайтов
поделитесь с народом....
предложение со списком DNS имен, как то думаю не катит,
список больше 3000 адресов, думаю система будет притормаживать,
да и он не совсем гибкий, нельзя назначить отдельным компьютерам в сети...
L7 думаю в самый раз, просматривать содержание, пусть не все заблокирует,
но хоть какую то часть...

P.S.
ShokoAsahara

Цитата:

а напишите плиззз командами ...

это к Chupaka
"мы обычно так делаем, если нам админ в сети не дает пароли к компьютерам
или еще что режет, берем пару крепких парней, утюг и идем к админу спрашивать"
шутка, но помочь тут сможет только он....

Цитата:

знаю, что есть у Вас фильтр L7 для порно сайтов

не, нету =)


Цитата:

пусть не все заблокирует, но хоть какую то часть

OpenDNS в помощь?

ShokoAsahara
а по какому принципу надо отбирать пользователей, которых редиректить?

есть два ISP один кабельный подключение по PPPoE а второй Укртелеком(ADSL+) тоже по PPPoE. Там где находятся два провайдера стоит RB750 к нему подключены два провайдера,клиент и точка доступа. Задача передать два порта точно как на первой стороне потому что на другой стороне стоит сервер с Kerio и на нем выполняется балансировка.Как провельно это сделать с помощью двух микротиков RB750? Eoip Tunnel или VLan.

mPustik
EoIP либо MPLS. не уверен по поводу Vlan на Wi-fi

Народ, подскажите пожалуйста, как сделать так , что бы на определенный IP адрес (например 10.10.10.8) с 7:00 до 01:00 было 1 Мб/с , а остальное время например 512 кб/с. Создавал два правила в simple queues на один IP(в одном указывал время 07:00:00 - 00:59;59 в другом 01:00:00- 06:59:59), но после 00:59:59 отключалось первое правило (512 кб/с) и скорость на данном IP становилась неограниченной.

Цитата:

Народ, подскажите пожалуйста, как сделать так , что бы на определенный IP адрес (например 10.10.10.8) с 7:00 до 01:00 было 1 Мб/с , а остальное время например 512 кб/с. Создавал два правила в simple queues на один IP(в одном указывал время 07:00:00 - 00:59;59 в другом 01:00:00- 06:59:59), но после 00:59:59 отключалось первое правило (512 кб/с) и скорость на данном IP становилась неограниченной.

Не знаю -у меня это работает без проблем... только выставлял 7:00 до 23:59:59
и 00:00:00 до 6:59:59

Цитата:

в одном указывал время 07:00:00 - 00:59;59

время начала должно быть меньше времени конца. можно, например, создать две очереди - до полуночи и после

И еще возникает проблема, когда я два правила создаю с одним IP и одинаковыми именами микротик пишет в одном из правил, что нодо переписать имя.

wwwwwww7
правильно. надо изменить имя

А если надо 07:00:00 - 00:59;59 ,то придется создавать три правила 07:00:00 - 23:59;59 второе 00:00:00 - 00:59;59 с 512кб/с и третье 00:59;59 -06:59:59 с 1 МБ/с

wwwwwww7
да

Спасибо Chupaka. Все пойду дрыхнуть.

wwwwwww7


Цитата:

А если надо 07:00:00 - 00:59;59 ,то придется создавать три правила 07:00:00 - 23:59;59 второе 00:00:00 - 00:59;59 с 512кб/с и третье 00:59;59 -06:59:59 с 1 МБ/с

да, три правила и работало без проблем

Подскажите пожалуйста, как узнать информацию кто в данный момент загружает канал.
Вижу в интерфейсах загрузку по портам, вижу в firewall - connections коннекты.
Как связать эти коннекты с загрузкой канала?

sergartemyev

Цитата:

Как связать эти коннекты с загрузкой канала?

Tools > Torch

Спасибо!

Подскажите пожалуйста, как можно заставить микротик вести лог посещаемых пользователями ресурсов? прокси включен, хотелось бы знать кто куда лазает
Заранее спасибо!