Цитата:
как заблочить сайты не устанавливая proxy
по IP. либо L7-фильтром
» MikroTik RouterOS (часть 2)
Цитата:
по IP. либо L7-фильтром
Chupaka
Цитата:
по названию или по содержанию?
Цитата:
L7-фильтром
по названию или по содержанию?
Chupaka
а как же QoS, не ужели все обречено?
Задача то и строилась так чтобы шлюз был один, и балансировка была только между А и Б. А в интернет в итоге все вываливалось в одном месте и возвращалось в него же.
Ну только не говорите что мне надо опустить руки, очень не хочется... ))
а как же QoS, не ужели все обречено?
Задача то и строилась так чтобы шлюз был один, и балансировка была только между А и Б. А в интернет в итоге все вываливалось в одном месте и возвращалось в него же.
Ну только не говорите что мне надо опустить руки, очень не хочется... ))
Я пробывал что то не получается если можно ипишите по подробней как это делать
Цитата:
по названию или по содержанию?
Цитата:
ипишите по подробней как это делать
в L7-фильтре отловить строку "Host: название.сайта.ру"
realchUpa
так я кагбэ ни разу не узрел ответа на поставленный вопрос %)
Цитата:
какой характер трафика?
без этой информации сложно прогнозировать фатальность провала
Доброго времени суток.
Столкнулся с такой проблемой. Нужно использовать Юзер-Менеджер удаленно, то есть авторизовать пользователей с одного микротика на другом. Проблема в том что ни по прямому интернет адресу ни через туннель пппое связаться не получается. Пакеты вроде как доходят, но ответов на них нет. В логах Юзер-менеджера пусто.
Вопрос. как использовать встроенный радиус сервер микротика другим микротиком через интернет.
Chupaka спасибо будем искать дальше.
Столкнулся с такой проблемой. Нужно использовать Юзер-Менеджер удаленно, то есть авторизовать пользователей с одного микротика на другом. Проблема в том что ни по прямому интернет адресу ни через туннель пппое связаться не получается. Пакеты вроде как доходят, но ответов на них нет. В логах Юзер-менеджера пусто.
Вопрос. как использовать встроенный радиус сервер микротика другим микротиком через интернет.
Chupaka спасибо будем искать дальше.
lexassa1
фильтр файрвола проверить. всё должно работать. некоторые даже перепродают такую услугу
фильтр файрвола проверить. всё должно работать. некоторые даже перепродают такую услугу
Chupaka
я опять за переводом и разъяснением
тут
два параметра,
disconnect-timeout - тут не понятно...
frame-lifetime - то-есть если 0, то фреймы отбрасываются после потери линка,
а если например 20, то фрейм будет передаваться и после потери линка 20 мили секунд?
я опять за переводом и разъяснением
тут
два параметра,
disconnect-timeout - тут не понятно...
frame-lifetime - то-есть если 0, то фреймы отбрасываются после потери линка,
а если например 20, то фрейм будет передаваться и после потери линка 20 мили секунд?
Цитата:
опять за переводом
карта пытается отправлять пакет (одна попытка - hw-retries+1 раз). не получилось. снижает скорость. не получилось. дошли до минимальной скорости. три раза не получилось. если disconnect-timeout нулевой - рубим линк. если ненулевой - в течение этого времени с интервалом on-fail-retry-time попытки всё ещё будут повторяться =)
теперь frame-lifetime. роутер выставляет в очередь на отправку несколько пакетов. возможны случаи, когда первый пакет в очереди будет отправляться очень долго (см., например, выше). если какой-то пакет стоит в очереди больше, чем frame-lifetime - он отбрасывается. если frame-lifetime нулевой - то пакеты будут оставаться в очереди до удачной отправки либо до дисконнекта
спасибо, все очень доходчиво...
была бы такая справка на русском языка, много бы вопросов сразу отпало...
была бы такая справка на русском языка, много бы вопросов сразу отпало...
Задавал вопрос, никто не ответил. Подскажите пожалуйста, как отключать юзеров от инета или перебрасывать на страничку "Ваш лимит исчерпан" допустим через 35 дней. Версия МТ 2. 9.27.
Цитата:
Версия МТ 2. 9.27
обновиться =)
з.ы. простити, религия =)
Присоединяюсь к просьбе !! Люди объясните плизз....
Цитата:
Цитата:
Задавал вопрос, никто не ответил. Подскажите пожалуйста, как отключать юзеров от инета или перебрасывать на страничку "Ваш лимит исчерпан" допустим через 35 дней.
Господа, доброго времени суток, помогите пожалуйста с проблемой:
Есть системник с лицензионой установленной RouterOS 5.0beta(1-5)
Пытаюсь соединиться по SSH с использованием DSA ключа и отключением цветастости в консоли (флаг +с к логину).
Никак не проходит с этим флагом. Микротик ругается что ключ не подходит для логина к примеру admin+c, хотя для логина admin ключ импортирован.
Без флага +с все работает прекрасно.
На предыдущих версиях до 5ки все работало отлично.
Команда соединения следующая:
/usr/bin/ssh -o BatchMode=yes -o StrictHostKeyChecking=no -o ConnectTimeout=2 -i .ssh/id_dsa admin+c@212.0.xx.xx
Вырезка из лога микротика:
user key differs from offered for user admin+c
Если потребуется сделаю вырезку из лога в дебаге.
Заранее благодарен.
Есть системник с лицензионой установленной RouterOS 5.0beta(1-5)
Пытаюсь соединиться по SSH с использованием DSA ключа и отключением цветастости в консоли (флаг +с к логину).
Никак не проходит с этим флагом. Микротик ругается что ключ не подходит для логина к примеру admin+c, хотя для логина admin ключ импортирован.
Без флага +с все работает прекрасно.
На предыдущих версиях до 5ки все работало отлично.
Команда соединения следующая:
/usr/bin/ssh -o BatchMode=yes -o StrictHostKeyChecking=no -o ConnectTimeout=2 -i .ssh/id_dsa admin+c@212.0.xx.xx
Вырезка из лога микротика:
user key differs from offered for user admin+c
Если потребуется сделаю вырезку из лога в дебаге.
Заранее благодарен.
shangtsung
Цитата:
в пятёрке переписан с нуля пакет ssh - повод писать в support@mikrotik.com, чтобы пофиксили
Цитата:
На предыдущих версиях до 5ки все работало отлично.
в пятёрке переписан с нуля пакет ssh - повод писать в support@mikrotik.com, чтобы пофиксили
Помогите пожалуйста разобраться .
Маркируем нужные пакеты
Код:
[admin@WINXPSP3] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=forward action=mark-packet new-packet-mark=ack pack passthrough=yes
tcp-flags=ack protocol=tcp
1 ;;; torrent
chain=prerouting action=mark-packet new-packet-mark=torrent tcp pack
passthrough=yes protocol=tcp layer7-protocol=\B5TP
2 chain=prerouting action=mark-packet new-packet-mark=torrent udp pack
passthrough=yes protocol=udp layer7-protocol=\B5TP
3 chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack
passthrough=yes protocol=udp layer7-protocol=BitTorrent
4 chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack
passthrough=yes protocol=tcp layer7-protocol=BitTorrent
5 chain=prerouting action=mark-packet new-packet-mark=torrent udp3 pack
passthrough=yes protocol=udp layer7-protocol=bittorrent
6 ;;; mail
chain=prerouting action=mark-packet new-packet-mark=mail pack
passthrough=yes protocol=tcp dst-port=110
7 chain=prerouting action=mark-packet new-packet-mark=mail1 pack
passthrough=yes protocol=tcp dst-port=995
8 chain=prerouting action=mark-packet new-packet-mark=mail2 pack
passthrough=yes protocol=tcp dst-port=143
9 chain=prerouting action=mark-packet new-packet-mark=mail3 pack
passthrough=yes protocol=tcp dst-port=993
10 chain=prerouting action=mark-packet new-packet-mark=mail4 pack
passthrough=yes protocol=tcp dst-port=25
11 ;;; http down
chain=prerouting action=mark-packet new-packet-mark=http down pack
passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0
12 chain=prerouting action=mark-connection new-connection-mark=http down con>
passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0
13 ;;; ftp
chain=prerouting action=mark-packet new-packet-mark=ftp pack
passthrough=yes protocol=tcp dst-port=20
14 chain=prerouting action=mark-packet new-packet-mark=ftp1 pack
passthrough=yes protocol=tcp dst-port=21
15 ;;; sftp
chain=prerouting action=mark-packet new-packet-mark=sftp pack
passthrough=yes protocol=tcp dst-port=22 packet-size=1400-1500
16 ;;; dns
chain=prerouting action=mark-packet new-packet-mark=dns pack
passthrough=yes protocol=tcp dst-port=53
17 chain=prerouting action=mark-packet new-packet-mark=dns2 pack
passthrough=yes protocol=udp dst-port=53
18 ;;; icmp
chain=prerouting action=mark-packet new-packet-mark=icmp pack
passthrough=yes protocol=icmp
19 ;;; https
chain=prerouting action=mark-packet new-packet-mark=https pack
passthrough=yes protocol=tcp dst-port=443
20 ;;; http req
chain=prerouting action=mark-packet new-packet-mark=http req pack
passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000
21 chain=prerouting action=mark-connection new-connection-mark=http req conn
passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000
22 ;;; skype2skype
chain=prerouting action=mark-packet new-packet-mark=skype2skype pack
passthrough=yes protocol=tcp layer7-protocol=skype2skype
23 chain=prerouting action=mark-packet new-packet-mark=skype22skype pack
passthrough=yes protocol=udp layer7-protocol=skype2skype
24 ;;; other
chain=prerouting action=mark-packet new-packet-mark=mark all tcp
passthrough=yes protocol=tcp
25 chain=prerouting action=mark-packet new-packet-mark=all udp
passthrough=yes protocol=udp
26 ;;; dht
chain=prerouting action=mark-packet new-packet-mark=dht udp pack
passthrough=yes protocol=udp layer7-protocol=dht
27 chain=prerouting action=mark-connection new-connection-mark=dht tcp pack
passthrough=yes protocol=tcp layer7-protocol=dht
Маркируем нужные пакеты
Код:
[admin@WINXPSP3] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=forward action=mark-packet new-packet-mark=ack pack passthrough=yes
tcp-flags=ack protocol=tcp
1 ;;; torrent
chain=prerouting action=mark-packet new-packet-mark=torrent tcp pack
passthrough=yes protocol=tcp layer7-protocol=\B5TP
2 chain=prerouting action=mark-packet new-packet-mark=torrent udp pack
passthrough=yes protocol=udp layer7-protocol=\B5TP
3 chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack
passthrough=yes protocol=udp layer7-protocol=BitTorrent
4 chain=prerouting action=mark-packet new-packet-mark=torrent udp2 pack
passthrough=yes protocol=tcp layer7-protocol=BitTorrent
5 chain=prerouting action=mark-packet new-packet-mark=torrent udp3 pack
passthrough=yes protocol=udp layer7-protocol=bittorrent
6 ;;; mail
chain=prerouting action=mark-packet new-packet-mark=mail pack
passthrough=yes protocol=tcp dst-port=110
7 chain=prerouting action=mark-packet new-packet-mark=mail1 pack
passthrough=yes protocol=tcp dst-port=995
8 chain=prerouting action=mark-packet new-packet-mark=mail2 pack
passthrough=yes protocol=tcp dst-port=143
9 chain=prerouting action=mark-packet new-packet-mark=mail3 pack
passthrough=yes protocol=tcp dst-port=993
10 chain=prerouting action=mark-packet new-packet-mark=mail4 pack
passthrough=yes protocol=tcp dst-port=25
11 ;;; http down
chain=prerouting action=mark-packet new-packet-mark=http down pack
passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0
12 chain=prerouting action=mark-connection new-connection-mark=http down con>
passthrough=yes protocol=tcp dst-port=80 connection-bytes=500000-0
13 ;;; ftp
chain=prerouting action=mark-packet new-packet-mark=ftp pack
passthrough=yes protocol=tcp dst-port=20
14 chain=prerouting action=mark-packet new-packet-mark=ftp1 pack
passthrough=yes protocol=tcp dst-port=21
15 ;;; sftp
chain=prerouting action=mark-packet new-packet-mark=sftp pack
passthrough=yes protocol=tcp dst-port=22 packet-size=1400-1500
16 ;;; dns
chain=prerouting action=mark-packet new-packet-mark=dns pack
passthrough=yes protocol=tcp dst-port=53
17 chain=prerouting action=mark-packet new-packet-mark=dns2 pack
passthrough=yes protocol=udp dst-port=53
18 ;;; icmp
chain=prerouting action=mark-packet new-packet-mark=icmp pack
passthrough=yes protocol=icmp
19 ;;; https
chain=prerouting action=mark-packet new-packet-mark=https pack
passthrough=yes protocol=tcp dst-port=443
20 ;;; http req
chain=prerouting action=mark-packet new-packet-mark=http req pack
passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000
21 chain=prerouting action=mark-connection new-connection-mark=http req conn
passthrough=yes protocol=tcp dst-port=80 connection-bytes=0-500000
22 ;;; skype2skype
chain=prerouting action=mark-packet new-packet-mark=skype2skype pack
passthrough=yes protocol=tcp layer7-protocol=skype2skype
23 chain=prerouting action=mark-packet new-packet-mark=skype22skype pack
passthrough=yes protocol=udp layer7-protocol=skype2skype
24 ;;; other
chain=prerouting action=mark-packet new-packet-mark=mark all tcp
passthrough=yes protocol=tcp
25 chain=prerouting action=mark-packet new-packet-mark=all udp
passthrough=yes protocol=udp
26 ;;; dht
chain=prerouting action=mark-packet new-packet-mark=dht udp pack
passthrough=yes protocol=udp layer7-protocol=dht
27 chain=prerouting action=mark-connection new-connection-mark=dht tcp pack
passthrough=yes protocol=tcp layer7-protocol=dht
Осваиваю потихоньку RB750G. В самом простом варианте уже все работает, но вот не могу найти элементарного, как посмотреть загрузку проца, памяти и как посмотреть uptime роутера?? Заранее спасиб
/system resource print мне бы твои проблемы 
(
(kentavrik
спасаю, просвящаю: passthrough=yes обозначает, что обработка правил не прерывается. поэтому пакет, попавший под http, маркируется как http и дальше проверяется всеми остальными правилами. доходит до all tcp, перемаркировывается в all tcp - и таким и остаётся. самое простое решение - перенести all tcp и all udp наверх
спасаю, просвящаю: passthrough=yes обозначает, что обработка правил не прерывается. поэтому пакет, попавший под http, маркируется как http и дальше проверяется всеми остальными правилами. доходит до all tcp, перемаркировывается в all tcp - и таким и остаётся. самое простое решение - перенести all tcp и all udp наверх
kentavrik
Спасиб
Спасиб
Шайтан однако 
Спасибо огромное.
А как добраться до АР что находиться за хотспотом. Есть в наличии
lan 10.0.1.1 ->411AH->wan hotspot 10.0.0.0.24->NanoStation2 bridge 192.168.0.0/24->hotspot client 10.0.0.0/24. Как с Lan попасть на NanoStation?
Спасибо огромное.
А как добраться до АР что находиться за хотспотом. Есть в наличии
lan 10.0.1.1 ->411AH->wan hotspot 10.0.0.0.24->NanoStation2 bridge 192.168.0.0/24->hotspot client 10.0.0.0/24. Как с Lan попасть на NanoStation?
Цитата:
как добраться до АР что находиться за хотспотом
ммм... это получается, что в идеале Нанос должен авторизоваться на хотспоте? попробовать его в wallet-garden добавить
а еще у меня роутинга нема , если отключаю хотспот то все ок, вкл хотспот добавляю wallet-garden src. addr 10.0.1.2 dst 192.168.0.101 allow и тишина
, если отключаю хотспот то все ок, вкл хотспот добавляю wallet-garden src. addr 10.0.1.2 dst 192.168.0.101 allow и тишина Цитата:
Осваиваю потихоньку RB750G. В самом простом варианте уже все работает, но вот не могу найти элементарного, как посмотреть загрузку проца, памяти и как посмотреть uptime роутера?? Заранее спасиб
Цитата:
/system resource print мне бы твои проблемы (
это все хорошо? но проще и наглядней выводить эти сведения постоянно- правой кнопкой мыши в районе стрелочек отмена-возврат на самой верхней строке и выбираешь "Add CPU" "Add Memory" или "Add Uptime"
Прошу помочь советом в настройке VLAN. Вот есть такая схема сети: на управляемый коммутатор L2 "приходят" пользователи со своими VLANами, порты untagged, а один порт tagged смотрит на микротик. У всех пользователей белые IP, т.е. кол-во ограничено. Микротик - роутер выпускающий пользователей в интернет, имеет 1 IP адрес на локальном интерфейсе, он же адрес шлюза по умолчанию для пользователей. Скажите, как правильно настроить VLANы на микротике чтобы эта схема работала? Я пробовал создавать на микротике такие же VLANы, привязывал их к локальному интерфейсу, но пока не задам ИП адрес на каждом VLANe, не работает. Как бы "сказать" микротику, что все что приходит на VLAN 1(2,3,4) отправлять на интерфейс ether1? Может немного сбивчиво объяснил, но примерно так. Версия Микротика 3.20.
grinch
создать бридж и добавить в него ether1,vlan1,vlan2,etc.
адрес перевесить с ether1 на бридж
Добавлено:
grinch
либо добавить адрес ether1 на каждый влан, а в network и broadcast указать у него адрес нужного пользователя в вилане
создать бридж и добавить в него ether1,vlan1,vlan2,etc.
адрес перевесить с ether1 на бридж
Добавлено:
grinch
либо добавить адрес ether1 на каждый влан, а в network и broadcast указать у него адрес нужного пользователя в вилане
Подскажите пожалуйста
Ситуация следующая:
Пользователь цепляется за AP, получает IP по DHCP ,авторизуется через веб интерфейс хотспота со своим паролем,и начинает работу.В этот момент к этой-же AP подключается другой "нехороший человек" ,и запускает у себя tcpdump и отлавливает IP/MAC авторизованного пользователя, после прописывает их себе и получает бесплатный инет.
Может кто-то решил уже данную проблему?
Ситуация следующая:
Пользователь цепляется за AP, получает IP по DHCP ,авторизуется через веб интерфейс хотспота со своим паролем,и начинает работу.В этот момент к этой-же AP подключается другой "нехороший человек" ,и запускает у себя tcpdump и отлавливает IP/MAC авторизованного пользователя, после прописывает их себе и получает бесплатный инет.
Может кто-то решил уже данную проблему?
Vlasglass
отключить default forward в АР
Добавлено:
Vlasglass
ну и шифрование, наверное, с выдачей каждому индивидуального ключа шифрования =) через RADIUS, например...
отключить default forward в АР
Добавлено:
Vlasglass
ну и шифрование, наверное, с выдачей каждому индивидуального ключа шифрования =) через RADIUS, например...
Цитата:
Vlasglass
отключить default forward в АР
Добавлено:
Vlasglass
ну и шифрование, наверное, с выдачей каждому индивидуального ключа шифрования =) через RADIUS, например...
Chupaka спасибо за ответ ! Забыл сказать,что AP внешние и не от микротика.И проблема в том, что эти железки не поддерживают WPA-Enterprise (
Здравствуйте уважаемые.
Прошу вас помочь мне в настройке роутера RB/750G при подключении к Beeline по протоколу PPTP. Версия 5.0.5beta
admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.242.26.1 1
1 DS 0.0.0.0/0 192.168.200.1 1
2 ADS 10.0.0.0/8 10.242.26.1 1
3 ADC 10.242.26.0/24 10.242.26.144 ether1-gateway 0
4 ADS 78.107.52.0/24 10.242.26.1 1
5 ADS 85.21.72.80/28 10.242.26.1 1
6 ADS 85.21.79.0/24 10.242.26.1 1
7 ADS 85.21.90.0/24 10.242.26.1 1
8 ADC 192.168.88.0/24 192.168.88.1 ether2-local-ma... 0
9 ADC 192.168.200.1/32 95.31.128.3 pptp-corbina 0
10 ADS 217.118.84.0/24 10.242.26.1 1
11 DS 233.33.210.0/24 10.242.26.144 1
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway
1 chain=srcnat action=masquerade out-interface=pptp-corbina
2 I chain=srcnat action=masquerade out-interface=corbina-l2tp
vpn.internet.beeline.ru пингуется. Локалка провайдера есть. Интернета нет.
Прошу вас помочь мне в настройке роутера RB/750G при подключении к Beeline по протоколу PPTP. Версия 5.0.5beta
admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 10.242.26.1 1
1 DS 0.0.0.0/0 192.168.200.1 1
2 ADS 10.0.0.0/8 10.242.26.1 1
3 ADC 10.242.26.0/24 10.242.26.144 ether1-gateway 0
4 ADS 78.107.52.0/24 10.242.26.1 1
5 ADS 85.21.72.80/28 10.242.26.1 1
6 ADS 85.21.79.0/24 10.242.26.1 1
7 ADS 85.21.90.0/24 10.242.26.1 1
8 ADC 192.168.88.0/24 192.168.88.1 ether2-local-ma... 0
9 ADC 192.168.200.1/32 95.31.128.3 pptp-corbina 0
10 ADS 217.118.84.0/24 10.242.26.1 1
11 DS 233.33.210.0/24 10.242.26.144 1
[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade out-interface=ether1-gateway
1 chain=srcnat action=masquerade out-interface=pptp-corbina
2 I chain=srcnat action=masquerade out-interface=corbina-l2tp
vpn.internet.beeline.ru пингуется. Локалка провайдера есть. Интернета нет.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: Шары открываются только по IP (не по имени)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.