» MikroTik RouterOS (часть 3)

Цитата:

как он проверяется?

на эту тему я уже отписывался на официальном форуме - неплохо бы дать возможность выбирать routing-table. пока что - только main, как обычный пинг с роутера


Цитата:

но в тоже время пинг должен проверяться на gw1

именно это и делается в той статье


Цитата:

я например делаю эти два правила

пинговать на каждом канале надо разные хосты, а не один и тот же

Chupaka

Цитата:

включить Proxy-ARP на интерфейсе Ethernet

Спасибо большое!!! Заработало!!! Может в двух ловах что изменилось??? Для понимания происходящего.

Chupaka
да, с двумя разными хостами оба маршрута активные...
но что то я сразу как то не обратил на это внимание, если я направляю
какую нибудь группу на маршрут скажем:

Код: /ip route
add dst-address=77.88.21.3 gateway=PABLIC-1 scope=10

Цитата:

Может в двух ловах что изменилось??? Для понимания происходящего

теперь есть кому отвечать на ARP-запросы к PPPoE-адресам. этим стал заниматься роутер


Цитата:

у нее пропадает интернет

вообще-то там есть маршрут для группы, с dst-address=0.0.0.0/0 и gateway=77.88.21.3 вот по нему группу и надо направлять


Цитата:

не пойму как привязать netwatch

как я уже написал в своём предыдущем сообщении - никак хотя, если управлять пользователями в отдельных таблицах роутинга, а самому роутеру оставить только один шлюз, который нужно проверять - то вроде будет работать как хочется в данной ситуации

Цитата:

получается netwatch не возможно использовать потому что не удается в нем
управлять через какой интерфейс ему проверят пинг...

может показатся бредово, но разве нельзя прописать в роутингах что: для src адреса микротика и dst определённого айпишника который мониторит netwatch гейтвей паблик-1, также, и закрыть доступ до этого айпи через паблик-2 ? тогда при падении доступа через паблик-1, даже через паблик-2 айпи не будет виден, пока не подымется паблик-1

з.ы. со своей проблемой я так и не разобрался

Цитата:

Chupaka
как я уже написал в своём предыдущем сообщении - никак хотя, если управлять пользователями в отдельных таблицах роутинга, а самому роутеру оставить только один шлюз, который нужно проверять - то вроде будет работать как хочется в данной ситуации

спасибо, разобрался...как работает маршрутизация по ссылке...
если бы мне нужно было только сам роутер и группы перевести
на второй канал, то по примеру который ты дал нет проблем...
но мне надо еще некоторые правила в мангле отключить а некоторые
включить...думал netwatch поможет но наверное не судьба...
оставлю как сделал, при падении канала netwatch запускает скрипт
down и переводит всех туда куда мне нужно и отключает и включает
то что мне нужно, ну а потом будем сами контролировать когда перейти
обратно на основной канал...если бы роутер кроме mail sms по этому
поводу смог бы отослать, было бы супер

Цитата:

если бы роутер <...> sms по этому поводу смог бы отослать

http://wiki.mikrotik.com/wiki/Manual:Tools/Sms

Chupaka
спасибо, будет время попробую...
создал себе нечаянно проблему, выручай, что можно сделать...
стал в firewall снизу перетаскивать вновь созданное правило,
и случайно зацепил какое то правило на запрет и оно оказалось
выше правил на разрешения определенным компьютерам коннектится
к микротику...
теперь понятное дело не могу на него зайти ни веб, ни телнет, ни винбох...
как бы все работает инет и все остальное, но вот админить его теперь ни как...
понимаю, что можно сбросить до заводских настроек, но может есть какой еще выход?

vlh
MAC-WinBox - зайти по MAC-адресу. в Винбоксе жмём три точки, видим в списке наш маршрутер, жмём на MAC, подключаемся

если маршрутизатор находится в другом бродкастовом домене (читать: за другим маршрутизатором), то заходим на этот маршрутизато, жмём IP -> Neighbours, там правой кнопкой по нужному - MAC Telnet

Подскажите
Поднял vpn
Сейчас сам vpn работает нормально
Но вот - в сам инет - попасть не могу
Подсказали - нужно написать какое-то правило
Можете подсказать - какое ???

Цитата:

Chupaka MAC-WinBox - зайти по MAC-адресу. в Винбоксе жмём три точки, видим в списке наш маршрутер, жмём на MAC, подключаемся

спасибо, но не помогло, MAC видел, но не подключается...
пришлось 100км, пилить и сбрасывать борд, только странно
у меня на флешки был бекакп после сброса он пропал
пришлось все вручную заново настраивать...
ни как не смог найти как найти ты где то писал как с микротика
через нат попасть на модем...
делал так но не получилось:
добавляем ip из той же подсети что и сеть модема на интерфейсе что смотрит
на модем:

Код: /ip address add address=192.168.1.10/24 interface=WAN

vlh
если с микротика - то и нат не нужен. нат это через микротик с другого компа, не известного модему

да действительно, без ната работает
а по поводу того, что на флешке был бекап и после резета
он пропал, что скажешь?

а резет как делался?..

Цитата:

Chupaka а резет как делался?

замыкал контакты на плате...

Цитата:

замыкал контакты на плате

роутерборд?.. о какой флэшке речь?..

Цитата:

Chupaka роутерборд?.. о какой флэшке речь?

RB450G там есть гнездо под микро карту...
бекап точно был на карте а не в памяти микротика...

Не парь себе мозги vlh
десабле все кроме 53 и пары игровых
udp disable как клас запретить
30 конектов на июверя и все
никакой головной боли
ну или тогда freebsd по торентам там есть отличные решения

приветствую
Chupaka есть вопросов несколько.
схема сетки такая
----МТ5
роутер---eth---МТ1---Wlan---МТ2---eth---МТ3----Wlan---МТ4---eth--cвитч---МТ6
----МТ7
расшифровка
ну роутер понятно что такое
потом МТ1, МТ2, МТ3, МТ4 это микротики для доставки канала к раздающим базовым станциям МТ5, МТ6, МТ7
eth это изернет подключение, wlan это радио часть

задача следующая прокинуть канал от клинтских устройств до роутера прозрачно.

пытаюсь сделать бридж.
на роутере на изернете 192.168.0.1/24
МТ1

Код: name=bridge1 arp=enabled protocol-mode=none auto-mac=yes
interface=wlan1 bridge=bridge1
interface=ether1 bridge=bridge1
address=192.168.0.2/24 interface=bridge1
dst-address=0.0.0.0/0 gateway=192.168.0.1

Цитата:

change2002 30 конектов на июверя и все  
никакой головной боли

ну ка покажите мне как вы udp сессии ограничиваете?

Цитата:

почему то этого не происходит, а вот почему не могу понять. Есть какие ни будь мысли почему не отрабатывает как положено?

думаю, ответ - радио. надо либо использовать WDS, либо режим station-pseudobridge, либо поднимать по воздуху тоннель (EoIP, например) и его уже в бридж добавлять

Добавлено:

Цитата:

покажите мне как вы udp сессии ограничиваете

я ещё не вникал, но можно глянуть ради фана
http://forum.mikrotik.com/viewtopic.php?p=232824#p232824

Цитата:

думаю, ответ - радио. надо либо использовать WDS, либо режим station-pseudobridge, либо поднимать по воздуху тоннель (EoIP, например) и его уже в бридж добавлять

то есть получается что радио без WDS маки не пробрасывает или вообще ничего не пробрасывает ???

хм... а прикольно МТ1 и МТ2 видят друг друга бес проблем, а вот трафик уже не пропускают.

Цитата:

а прикольно МТ1 и МТ2 видят друг друга бес проблем, а вот трафик уже не пропускают

угу, "друг друга". потому и маршрутизация работала бы отлично. а вот насквозь уже - фигушки, вайфай...

можно сразу между МТ1 и МТ4 тоннель поднять - и бриджевать

Цитата:

можно сразу между МТ1 и МТ4 тоннель поднять - и бриджевать

можно конечно и поднять, но тоннель хавает ресурсы как канальные так и CPU.
служебки там много гонять придется.

fdboss
тогда - preudobridge лобо WDS. либо MPLS =)

Цитата:

Chupaka

пробовал увеличить, уже после обращения на форум, а то, что описал - было до. Увеличивал длину очередей до 100, с шагом в 10 и увеличивал до 1000 с шагом в 100. Повторюсь - показатели на тестерах не изменились.

вернусь к вопросу. Что можно еще посмотреть, кроме длины очередей и где их нужно смотреть, когда настроен динамический шейпер?

Здравствуйте, подскажите пожалуйста у меня установлен микротик 5.0rc1. Он непускает на себя по ssh с freeBSD хотя с помощю putty на него можна зайти. на другие версии микротика захожу без проблемм, также с других версий freebsd зайти не могу: или подключение подвисает, или постоянно пишет что неправильный пароль. такде не могут зайти программы написанные на perl

Chupaka
подскажи такой вопрос, вчера я тебе показывал как у меня был
сделан шейпер и кос, но что то ты не сказал правильно ли у меня настроен шейпер.... если помнишь у меня было 4 тарифа у которых было указано мах-лимит и лимит-ат но не было общего родителя, то есть у всех парент был
дефаулт, я подумал и сделал так:

так вроде должно быть более правильнее, теперь тарифы имеют общего
родителя pcq_unlimit_in и pcq_unlimit_out и так сказать знают всю ширину
канала...
или все таки первый вариант правильнее?..

и второй вопрос, все таки хочу попробовать доработать QoS..
знаю, что в прероутинге нельзя пометить сразу пакеты на вход, так как
за натом еще не видно локальные IP, но вро де как читал, что с помощью
сначала промаркировки соединения это сделать можно, так это или нет?
если можно, то подскажи правила как например пометить в прероутинге
пакеты на вход и выход TCP 80...
смотрел тут но так и не понял:
http://wiki.mikrotik.com/wiki/TransparentTrafficShaper
вот это правило оно метит пакеты только на вход?

Код: add chain=prerouting protocol=tcp dst-port=80 action=mark-connection \
new-connection-mark=http_conn passthrough=yes
add chain=prerouting connection-mark=http_conn action=mark-packet \
new-packet-mark=http passthrough=no

подскажите как фильтровать сайты по URL ?
Раздаю Internet через NAT.

Content Filtering
url filtering & redirect website
Filter by Firewall "Content" ? How?
Website Blocking or Filtering
URL Filtering on Mikrotik
URL filtering possible?
Content filtering
URL filtering

Неужели только через прокси ?

Добавлено:
Web Proxy
How to make transparent web proxy
How to Block Websites & Stop Downloading Using Proxy


активировал прокси --> создал правило для перенаправления трафика.
получаю тайм-аут от прокси.

Добавлено:
вроде даже сработало ограничение на тестовый сайт, правно ожтдание пордка 10 сек.
а незаблокированные сайты вообще неоткрываются.

что может быть нетак ?

Chupaka

а вот с таким глюком не сталкивался,
все та же вышеописанная схема, только управление и интернет разнесены по вланам, то есть
от роутера до базовых станций пробрасываются вланы. вот такой конф из МТ3.

Код:
name=bridge1 arp=enabled protocol-mode=none auto-mac=yes
interface=wlan1 bridge=bridge1
interface=ether2 bridge=bridge1

address=192.168.0.4/24 interface=vlan777

dst-address=0.0.0.0/0 gateway=192.168.0.1