» MikroTik RouterOS (часть 3)

Достала окончательно одна проблема: есть FTTB провайдер, даёт интернет по рртр и доступ к своим внутренним ресурсам тоже по рртр, т.е. в итоге для доступа к инету и внутренним ресурсам надо поднимать два рртр соединения (логины и пароли у них разные). Создал соединение "internet", настроил, поставил галочку "add default route", cоздал соединение "intranet", настроил, галочку "add default route" снял, добавил необходимые правила для роутинга нужных сетей через нужные интерфейсы. Когда запускаешь по отдельности всё замечательно работает. Если соединения поднимать одновременно (причём последовательность поднятия неважна), то весь траффик идёт через интерфейс intranet. Проблема в том, что в результате получается такая таблица маршрутизации:


Цитата:

destination | gateway | gateway interface | interface | distance | routing mark | pref. source
------------------------------------------------------------------------------------------------------------------
DAS 0.0.0.0/0 [x.x.28.36] internet 1

DAC [x.x.28.36] intranet 0 [y.y.11.202]
DC [x.x.28.36] internet 0 [z.z.160.240]

т.е. маршрут intranet интерфейса становиться активным, а internet интерфейса неактивным (в winbox`е выделен синим цветом).

А вот так выглядит верная таблица маршрутизации:


Цитата:

destination | gateway | gateway interface | interface | distance | routing mark | pref. source
------------------------------------------------------------------------------------------------------------------
DAS 0.0.0.0/0 [x.x.28.36] internet 1

DAC [x.x.28.36] internet 0 [z.z.160.240]
DC [x.x.28.36] intranet 0 [y.y.11.202]

где x.x.28.36 - шлюз провайдера, он один и для внутренних ресурсов и для интернета,
z.z.160.240 - адрес в сети интернет
y.y.11.202 - адрес в сети интранет, внутренней сети провайдера.

Вопрос: как это побороть, чтобы независимо от последовательности поднятия соединений таблица маршрутизации всегда была верной.

aleksvolgin
предлагаю в качестве шлюза использовать не его адрес, а название pptp-интерфейса. ессесно, всё ручками создать

Цитата:

предлагаю в качестве шлюза использовать не его адрес, а название pptp-интерфейса. ессесно, всё ручками создать

прочёл десять раз, но не могу понять, что вы имели ввиду?

aleksvolgin
/ip route add gateway=internet
/ip route add gateway=intranet routing-mark=intra

как-то так

Помогите пожалуйста разобраться с пробросом портов на микротике.
Мне нужно пробросить порт 1148 снаружи на определенную машину в сети.
Правила ниже (в фильтре вообще все разрешил).
Проблема в том, что на мой комп (192.168.0.177) - все работает как надо, а когда
подставляю ip нужной мне машины, при сканировании порта из интернета получаю port-timeout.
В логе цепочки forward

Код:
18:18:30 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 44
18:18:31 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 44
18:18:32 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 44
18:18:33 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28
18:18:35 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28
18:18:35 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28
18:18:37 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28
18:18:41 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28
18:18:49 firewall,info P1148 forward: in:adsl-bancorp out:local, proto TCP (SYN)
, 208.79.211.112:49511->192.168.0.142:1148, len 28

1. Исходящий интерфейс один? (Судя по правилу маскарадинга не факт) Если нет значит добиваем сорснатовским правилом исходящую маскировку.
2. Фильтр правило номер два кидаем в самый низ (не нравится мне что оно выше чем продакшн правило). Так же не наблюдается не одного Инпут правила, на данный порт. (чёта вроде в инпут пакеты будут падать при таком пробросе, а не в форвард хотя судя по твоим логам я заблуждаюсь, но тем не менее)
3. Правила в нате поменяй местами, маскарадинг перемести в самый низ.
4. Нах те мангл? Ты куда то потом промаркированные пакеты юзаешь?

Ну и последнее, есть ли сто%ная уверенность в доступности этого порта на 192.168.0.142?

Цитата:

Так же не наблюдается не одного Инпут правила, на данный порт. (чёта вроде в инпут пакеты будут падать при таком пробросе, а не в форвард хотя судя по твоим логам я заблуждаюсь, но тем не менее)

только в форвард. инпут - это то, что придёт на адрес роутера, а не пройдёт сквозь него


Цитата:

Правила в нате поменяй местами, маскарадинг перемести в самый низ

смысла нет, т.к. по Packet Flow сначала выполняется dstnat, потом все фильтры и манглы, и только после этого - srcnat


Цитата:

Нах те мангл?

присоединяюсь - не совсем понятное правило


Цитата:

есть ли сто%ная уверенность в доступности этого порта на 192.168.0.142?

это, и плюс - возвращаются ли пакеты от 192.168.0.142 в Интернет именно через этот роутер? а то всякое бывает

Мангл сделан с учетом того, что после того, как подниму проброс портов, в микротик будет воткнут еще 1 интернет.

Порт точно открыт, 1148 я использую для тестов (прогой TCP Listener открываю, она слушает порт и показывает попытки коннекта по этому порту).


Цитата:

это, и плюс - возвращаются ли пакеты от 192.168.0.142 в Интернет именно через этот роутер? а то всякое бывает

Вот в этом то и может быть проблема, как проверить?
По логам то выходит, что на микротик ответные пакеты с 192.168.0.142 вообще не приходят.

Цитата:

Вот в этом то и может быть проблема, как проверить?

трассировку сделать с 0.142 в Интернет и смотреть, будет ли роутер одним из хопов

А вообще, выходит, что пакеты до 0.142 также не доходят, т.к. TCP Listener не показывает наличие попытки соединения. В сети есть еще один шлюз с керио (иначе работа встанет), через него на 0.142 проброс идет.

так у 0.142 шлюз какой - керио или мелкотик?

Цитата:

так у 0.142 шлюз какой - керио или мелкотик?

Там по-хитрому, шлюзом по умолчанию стоит комп с керио, но для ip адреса ресурса, с которого я сканирую порт, добавлен маршрут через микротик.

в трассировке до этого ресурса первым хопом стоит микротик


БАЛИИИИН!!!.... извините, люди добрые, спасибо за отзывчивость. Касперыч, чтоб его, отключил и все заработало.

Цитата:

/ip route add gateway=internet

большой рахмат, всё заработало как надо

RB 450G
ROS 4.9
3 прова: 1и2 локальные городские, 3-ий ОГО.
1-pptp
2и3-pppoe
Проблема с пробросом порта для торрента для 1-го прова-
ситуация такая: при пробросе портов 2-го прова и ОГО проблем никаких, все как по маслу, правила NAT для всех провов аналогичны за исключением названия интерфейса и номера порта, например:
/ip firewall nat
add action=dst-nat chain=dstnat comment=OGO_uTorrent disabled=yes dst-port=\
60500 protocol=tcp to-addresses=172.16.2.2 to-ports=60500
add action=dst-nat chain=dstnat comment="" disabled=yes dst-port=60500 \
protocol=udp to-addresses=172.16.2.2 to-ports=60500
пробовал менять с десяток разных портов итог один:
в мюторенте желтый треугольник а при проверке

Произошла ошибка.

Порт 61234 вероятно, не открыт.

Самое интересное то, что при подключении напрямую ОБЯЗАТЕЛЬНО ПРИ ВКЛЮЧЕНОМ БРАНДМАУЭРЕ и без дополнительной его настройке (по настоятельной просьбе прова) все работает как часики- порт открыт.

Пробавал вкл UPnP - результата 0.

Цитата:

to-ports=60500

Цитата:

Порт 61234 вероятно, не открыт

а вообще - есть уверенность, что ответные пакеты возвращаются через тот же интерфейс, через который они пришли?

Прошу прощения писал на автомате, и там и там порт 60500.
Уверен на 100% что ответ идет на запросный интерфейс.
Какие будут мысли по поводу ОБЯЗАТЕЛЬНО включенного брандмауэра?

P.S. по не официальным данным у прова на раздаче железные MikroTikи 2,9,27.

Цитата:

Какие будут мысли по поводу ОБЯЗАТЕЛЬНО включенного брандмауэра?

никаких. не связано это. а мысли будут стандартные: снифер. смотреть путь пакетов: проходят ли они маршрутер в обе стороны через нужные интерфейсы, в какой момент пропадают...


Цитата:

у прова на раздаче железные MikroTikи 2,9,27

железные? О_о

Народ, помогите кто может. Есть два компа №1и №2 с IP адресами192.168.88.200 и 192.168.88.220. НА первом 1Мб/с на втором 2 Мб/с. Как сделать , что бы при выключении второго компа на первом было 2Мб/с с второго компа. Все режется с помощью simple queues.Версия микротика 3.22

Цитата:

никаких. не связано это. а мысли будут стандартные: снифер. смотреть путь пакетов: проходят ли они маршрутер в обе стороны через нужные интерфейсы, в какой момент пропадают...

посоветуй норм снифер, просканирую порт выложу здесь результат.

Цитата:

железные? О_о

имеется ввиду что ROS стоит на компе.

wwwwwww7
сделать очередь на 3 мбит/с, поставить её parent'ом у очередей этих компов, limit-at сделать, соответственно, 1M и 2M, max-limit=3M. в итоге каждый будет получать гарантированные свои 1/2 Мбит/с, плюс то, что осталось от 3 из-за простаивающего канала

Добавлено:

Цитата:

посоветуй норм снифер, просканирую порт выложу здесь результат.

снифер никакого отношения к сканированию портов не имеет =)

нормальный снифер для компа - Wireshark. в RouterOS - Tools -> Packet Sniffer

Как в Шедулере запланировать ребут роутерборда каждые 24 часа?

Подскажите как мне сделать что при при запросе проводником на адрес Микротика, шла переадресация на другой комп.
К примеру Микротик 3.20 имеет адрес 10.0.65.59 (INET) на одной карточке и 172.16.16.1 (LAN)- на второй. Провайдер разрешает с другого места с адреса к примеру 10.9.10.10 (домашнего) видеть 10.0.65.59 (INET)(рабочий). Как мне сделать так, что бы я находясь дома при вводе адреса в проводнике \\10.0.65.59 попадал автоматически на свой рабочий комп \\172.16.16.2 без использования ВПН.

Схема нужна для приставки Asus O!Play что бы с дома смотреть контент записанный на рабочем серваке, т.к.

Chupaka, а можно пожалуйста поподробней, что и где прописать.

Цитата:

Как в Шедулере запланировать ребут роутерборда каждые 24 часа?

interval=1d on-event="/system reboot"

Добавлено:

Цитата:

Подскажите как мне сделать что при при запросе проводником на адрес Микротика, шла переадресация на другой комп

/ip firewall nat add chain=dstnat dst-address=10.0.65.59 dst-port=139,445 action=dst-nat to-addresses=172.16.16.2
и проследить, что 172.16.16.2 имеет доступ в Инет именно через этот маршрутер

wwwwwww7

Цитата:

а можно пожалуйста поподробней, что и где прописать.

тогда попрошу поподробнее о том, что уже прописано

Chupaka скорости прописаны в simple queues.

wwwwwww7

Код: /queue simple export

Подскажите, могут ли в одной сети находиться два микторика с авторизацией по ПППОЕ??? Дело в том что первый проводит авторизацию без проблем… ввожу нудный логин и пароль и он подключается… а вот второй не сразу, так же вбиваю логин и пароль (гогины и пароли естественно разные)) но авторизуется раза с 3-5-го и выскакивают ошибки типа не удалось распознать имя и пароль и еще что-то..(жму повторный вызов) но как только отключу первый шлюз то все четко… с первого раза все авторизуется….. но первому без разницу подключен второй или нет авторизация проводится без проблем с первого раза!!!Микротики настроены идентично… может проблема в сетевой карте второго??? Как считаете??

borees_britva
А зачем тебе два сервера?

Добавлено:
Логи не пробовал смотреть? Трафик по-мониторить?

borees_britva
2 ППоЕ это не по правилам...

можно попробывать разделить их по имени сервиса, но не знаю где в винде указывать при подключении к какому сервису

Цитата:

/ip firewall nat add chain=dstnat dst-address=10.0.65.59 dst-port=139,445 action=dst-nat to-addresses=172.16.16.2

к сожалению не катит. Еще добавлял правда protocol=tcp