» MikroTik RouterOS (часть 2)

Официальная документация:
http://wiki.mikrotik.com/wiki/Category:Manual
для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/
для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/
для версии 2.8.х http://www.mikrotik.com/docs/ros/2.8/
RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)

Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page


Обсуждение ROS:
Раздел форума PCRouter, посвященный MikroTik RouterOS
Раздел форума DriverMania. Много полезного.

Статьи:
Краткий FAQ по настройке (первоисточник).
Объединяем офисы с помощью Mikrotik
Делим Интернет или QoS на Mikrotik (первоисточник).
Установка и настройка ABillS + Mikrotik на Gentoo Linux.

Первый!

Так все-таки кто-нить знает ответ на мой вопрос. Или может подскажете как лучше реализовать..

Такая вот проблемка:

Web-Server----------- \
\
---------Mikrotik------Internet
/
Users/24---------------/


Есть МТ который смотрит в Инет. К МТ по pptp подключаются юзвери. И за МТ же стоит веб-сервер.
На МТ настроен Веб-Прокси. А на сервак dst-nat.
Так вот. Если юзвери пытаются зайти на вэб-сервер, через внешний адресс, то выдается сообщение:

ERROR: Gateway Timeout

Your cache administrator is ххххх@gmail.com.
Generated Sun, 13 Sep 2009 07:31:07 GMT by 10.10.0.1 (Mikrotik HttpProxy)

Если отключаю Web-Proxy то все отлично заходится.

Как сделать чтобы и с проксей работало?

Вырезка правил из NAT
0 chain=srcnat action=masquerade src-address=10.10.0.0/24

1 chain=dstnat action=redirect to-ports=8080 protocol=tcp
src-address=10.10.0.0/24 dst-port=80

2 chain=dstnat action=dst-nat to-addresses=10.10.0.100 to-ports=80
protocol=tcp dst-address=195.230.XXX.XXX dst-port=80

Цитата:

Bridge - Ports

Все прописал но так нет через PPPoE так и не залогиневаеться

Проблема разрешилась. Немного изменил правило NAT:


Код:
1 chain=dstnat action=redirect to-ports=8080 protocol=tcp
src-address=10.10.0.0/24 dst-address=!195.230.xxx.xxx dst-port=80

Люди, такой вопрос!
Сетку провайдера массово атакует SYN флуд - скорей всего абоненты, зараженные Конфикером. Лечить всех не получится, поэтому необходимо настроить сервак, чтобы он фильтровал хотя бы тот трафик, который на него поступает. На серваке крутится MikroTik OS (версию уточню днем), но в настройках TCP я нашел только следующее:



Но для борьбы с SYN флудом этого мало. Поэтому интересует следующее?
Как включить SYN cookies?
Как увеличить очередь полуоткрытых соединений?
Как уменьшить временя хранения незавершенных соединений? (TCP syn received timeout - это же оно?)
Как уменьшить временя обработки запроса на соединение?
Какие значения посоветуете поставить? Может, еще какие-то настройки могут помочь избавиться от от SYN флуда?

Заранее спасибо!

объясните пожалуйста как правильно использовать режим station pseudobridge - в связке с bridge интерфейсом или можно без bridge интерфейса ? следует ли в этом режиме присваивать wlan интерфейсу ip-адрес или же все будет прозрачный обмен между ether и wlan интерфейсами на уровне mac-адресов?

Цитата:

station-pseudobridge - wireless station that can be put in bridge. MAC NAT is performed on all traffic sent over the wireless interface, so that it look like coming from the station's MAC address regardless of the actual sender (the standard does not allow station to send packets with different MAC address from its own). Reverse translation (when replies arrive from the AP to the pseudobridge station) is based on the ARP table. Non-IP protocols are being sent to the default MAC address (the last MAC address, which the station has received a non-IP packet from). That means that if there is more than one client that uses non-IP protocols (for example, PPPoE) behind the station, none of them will be able to work correctly

station-pseudobridge-clone - similar to the station-pseudobridge, but the station will clone MAC address of a particular device (set in the station-bridge-clone-mac property), i.e. it will change itsown address to the one of a different device. In case no address is set in the station-bridge-clone-mac property, the station postpones connecting to an AP until some packet, with the source MAC address different from any of the router itself, needs to be transmitted over that interface. It then connects to an AP with the MAC address of the device that have sent that packet

Цитата:

все же будет прозрачный обмен между ether и wlan интерфейсами на уровне mac-адресов

=)


Добавлено:
http://forum.mikrotik.com/viewtopic.php?f=2&t=24092

Никто не сталкивался с багом что по SNMP отдается некоректная скорость сетевого линка?
Т.е. например если на ether1 гигабитная сетевуха, vlan принадлежащий интерфесй всего 10мбит

Изза этого в графиках сплошная пустота.

Уважаемые такая проблема.
Поставил микротик, приобрел, когда пришел ключ, включаю сервер, а он сразу вырабается с надписью ...лицензия экспиред..

Вопрос - как в таком случае подсунуть ему ключик?

Ребят есть проблема немогу настроить микротик на обычную точку доступа? блин что не делаю конечный пользователь неможет залогиниться через PPPoE


/-----Users/PPPoE
/
Interhet-------Web-Server/PPPoE-------Mikrotik--------Users/PPPoE
\
\-----Users/PPPoE

Я так понимаю пппое сервер внешний.

Тогда надо искать как сделать pppoe relay

Или использовать встроеный в микротик в связке с радиусом например.

1 Что значь pppoe relay и как его зделать
2 Просветите как эту связку с радиусом зделать
3 И памагите правельно настроить микротик в точку доступа

Добавлено:
такую схему
WiFi
/-----Users/PPPoE
волокно витая пара WiFi /
Interhet-------Web-Server/PPPoE-------Mikrotik----Рипитр---------Users/PPPoE
\
\-----Users/PPPoE

или такую


WiFi
/-----Users/PPPoE
волокно витая пара WiFi /
Interhet-------Web-Server/PPPoE-------TP-link601------Mikrotik----Users/PPPoE
\
\-----Users/PPPoE
Как лучше ее организовать?

Памагите выучить русский языг.

Полистайте тему, неоднократно поднимались вопросы.

http://www.google.com/search?hl=en&safe=off&client=opera&rls=ru&hs=JL2&q=mikrotik+pppoe+relay&btnG=Search&aq=f&oq=&aqi=
В первой ссылке есть описание как сделать релей и как раз в связке с точкой доступа.

эт я уже читал и не раз перечитывал но так настроить и не смог прямая связь есть а вот через авторизацию хоть тресни

Цитата:

такую схему
                                                                                     WiFi
                                                                                      /-----Users/PPPoE
         волокно                      витая пара        WiFi           /
Interhet-------Web-Server/PPPoE-------Mikrotik----Рипитр---------Users/PPPoE
                                                                                    \
                                                                                      \-----Users/PPPoE  
 
или такую
 
 
                                                                                           WiFi
                                                                                            /-----Users/PPPoE
         волокно                       витая пара           WiFi             /
Interhet-------Web-Server/PPPoE-------TP-link601------Mikrotik----Users/PPPoE
                                                                                          \
                                                                                            \-----Users/PPPoE  

Вы понимаете тонкость в извращениях.


Internet---WebServer/RadiusServer---витая----mikrotik/PPPoE---WIFI

Хотя зачем вам вообще микротик...
Раздавать то можно и без него.

Internet----Web/PPPoE-----WIFI--Users/PPPoE

Добавлено:
hardms3

Цитата:

эт я уже читал и не раз перечитывал но так настроить и не смог прямая связь есть а вот через авторизацию хоть тресни

Покажите что вводили.
Там просто создание бриджа описано было.

просьба взгялнуть на эту тему
http://forum.ru-board.com/topic.cgi?forum=8&topic=34158#1

Цитата:

mindusa

просьба взгялнуть на эту тему
http://forum.ru-board.com/topic.cgi?forum=8&topic=34158#1

хм а эт конечно интересно блин придеться через utm билинг настраивать

Зачем UTM

Можно и через nodeny ( http://nodeny.com.ua )
Халявная версия на 300 человек берется на оффсайте.
И там есть радиус сервер.

Я конечно ничего толком не понял в картинках, но можео на микротике просто бриджи поднять и пусть PPPoE пролезает спокойно?

Barabakan
А смысл тогда поднимать бридж. Тогда уж проще вообще без микротика.

Цитата:

Я конечно ничего толком не понял в картинках, но можео на микротике просто бриджи поднять и пусть PPPoE пролезает спокойно?

А поточнее можно, как поднять что прописовать через терминал


Добавлено:
Все всем спасибо разобрался как и че,
блин проблема была в самой оси
поставил 2,9 все завелось, через бридж

Цитата:

А смысл тогда поднимать бридж. Тогда уж проще вообще без микротика.

Ну может автору фильтры какие нужны или еще чего, мониторинг там и т.д.

Пож-та подскажите методы защиты от подмены MAC адреса в RouterOS, PPTP proxy и всякую парольную авторизацию можете не перечислять.
гугл и поиск не умею

Не занимался никогда, но наверное можно замутить что-нибудь на сертификатах.

Barabakan

Цитата:

Не занимался никогда, но наверное можно замутить что-нибудь на сертификатах.

Поясните.

мда. придется все таки PPP истользовать.. ну ладно..

воторой вопрос. как вводить лимит на скачивание не в байтах а в мегобайтах... а то запутаться можно

tiuman

Цитата:

мда. придется все таки PPP истользовать.. ну ладно..

Есть еще DHCP+L2 свичи + Option82+PortSecurity

Как сделать чтоб клиенты подключённые по WiFi не видели друг друга

Подскажите
1.Возможно извенять скорость от времени суток на анлимах?
например с 8-00 до 23-59 -256кбит
с 0-00 до 7-59 -800кбит
2.Выключать юсера по дате?
3.Создать несколько профилей с разными скоростями?

Вообщето это задачи билинга а не роутера.