» MikroTik RouterOS (часть 3)

faust72rus
спасибо, совсем забыл, что пакеты от самого роутера идут по input/output...
говорю же надо пнуть только в нужную сторону

а что это ещё за

Цитата:

src-address-list=0.0.0.0/24

? наверное, его совсем надо убрать


Добавлено:

Цитата:

что бы юзеры могли подключаться через интренет к локальной сети

ну, для этого вообще лучше PPTP - в любой винде есть без надобности донастройки


Цитата:

можно было бы объединять офисы

а для этого лучше вообще EoIP бриджевать - тогда даже бродкаст будет ходить

Недавно открыл свой маленький ресурс, буду потихоньку сгребать туда информацию.
http://mikrotik.axiom-pro.ru/
Может кому нибудь будет полезным.

Inlarion
Да там был, отличный ресурс!

Chupaka
спасибо, догадался....
нужен опять пинок в нужном направлении...
почитал эту статью: ARP
и есть два вопроса:
1.При включении reply-only на интерфейсе бридж будут проходить
пакеты только от IP+MAC указанных в таблице или от других связок тоже,
не указанных в таблице?
2.Действительно кто оставил комментарий прав по поводу пункта о включении
работы таблицы ARP?
Пытаюсь сделать небольшую защиту от дурака, что бы пользователи на удаленном
сегменте сети случайно не вбивали IP сервера, то есть пакеты от пользователей
должны ходить но от от самого сервера только в связке IP+MAC...

Цитата:

При включении reply-only на интерфейсе бридж будут проходить
пакеты только от IP+MAC указанных в таблице или от других связок тоже,
не указанных в таблице?

ARP - это третий уровень, когда роутеру надо отправить пакет на какой-то IP, то таблица ARP используется для нахождения нужного MAC-адреса. мост - уровень второй, он к таблице ARP никакого отношения не имеет. там как ходило, так и будет ходить


Цитата:

Действительно кто оставил комментарий прав по поводу пункта о включении
работы таблицы ARP?

не совсем понял вопрос, но по поводу комента могу сказать следующее: таблица ARP работает всегда (см. предыдущий пункт), а автор предлагает именно способ не обслуживать клиентов, отсутствующих в таблице. пакеты от них приходить будут, а вот к ним роутер отправить данные не сможет, ибо MAC-адрес будет неизвестен


Цитата:

Пытаюсь сделать небольшую защиту от дурака, что бы пользователи на удаленном
сегменте сети случайно не вбивали IP сервера, то есть пакеты от пользователей
должны ходить но от от самого сервера только в связке IP+MAC

т.е. микротик стоит бриджем между юзерами и сервером?

Цитата:

т.е. микротик стоит бриджем между юзерами и сервером?

Это удаленная точка доступа RB411, которая настроена в WDS и
все интерфейсы добавлены в бридж...
за этой точкой не большая локальная сеть, каждый компьютер имеет
свою авторизацию на сервере-шлюзе, то есть точка это радио-мост между
сервером и локальной сетью...

Ребята настроил PPTP

local 172.16.1.1
remote 172.16.1.2

еще не понял если сетка за роутером 192.168.0.0/24
какой задать
local
remote

в фаерволе разрешил порты, поднял жре,
все коннектиться, но не понял как настроить route list на роутере
что быпользователи из вне могли увидеть сеть за роутером

rosalin
У пользователя, при поднятии PPTP туннеля, адрес local 172.16.1.1 станет дефолтным шлюзом и все пакеты и так дойдут куда следует.

Но я бы в строку remote забивал не конкретный адрес, а pool заранее созданный.

faust72rus
L2TP вообще не получаеться настроить ибо требует сертификат или ключ, на стороне клиента это выглядет как L2TP IPSec

local 172.16.1.1 это виртуальный адрес или реальный внутренний ip роутера, не совсем разобрался

rosalin
Про L2TP не понял что за серт у тебя просит.

По поводу адреса:
При создании подключения роутер и клиент получают указанные тобой адреса (local - адрес роутера, remote - пул из которого будут браться адреса для клиента). На роутере в адресах появится новая запись, в маршрутах новый маршрут. Эти настройки делать лучше в новом профиле, а в свойствах самого сервиса PPTP и свойствах пользователя (вкладка секретс) указать этот профиль.

vlh
наверное, стоит в бридже зафильтровать между клиентами ARP-пакеты с адресом сервера

faust72rus
что лучше использовать для подключения пользователей , из глобальной сети, к сети предприятия
, я читал что L2TP...


Цитата:

(local - адрес роутера,

внешний (что смотрит в интернет) или внутрений (что смотрит в локалку)


Добавлено:

Цитата:

Про L2TP не понял что за серт у тебя просит

на клиенте под win7 есть такая опция при выборе подключения L2TP IPSec (в дополнительных параметрах ) либо выбор использовать ключ или сертификат

Добавлено:
еще одно странное дело что при подключении по PPTP перестает браузер открывать страницы

rosalin
Адреса которые ты указываешь = адреса внутри туннеля. Т.е. те через который пойдёт весь трафик.

Браузер перестаёт открывать страницы потому что у тебя правило NAT не полное или потому что файрволом что то закрыто.


Про реализацию майкросовтовского туннеля L2TP ничего не скажу. Если нужен айписек, лучше использовать айписек (благо он там тоже есть!) А для подключения юзверей к сети предприятия лучше юзать дайрект акцесс и SSTP ни то не другое к версии 3.ХХ и 4.ХХ никакого отношения не имеют (SSTP появилась в 5 версии).

Добавлено:
Пишу для всех:

Давеча у меня встала задача как пустить юзверей в локальную сеть по PPTP при СНЯТОЙ галочке дефолтного шлюза в свойствах у клиента (т.е. он использует свой интернет, а доступ в локальную сеть и к её устройствам имеет)

Решение:

Создаём бридж, в свойствах указываем RSTP, в бридж кидаем локальную сеть. В свойствах PPTP профиля прописываем бридж (в соответ. поле) и в свойствах адресов указываем в обоих полях local\remote пул локальной сети.

Итог:

После коннекта пользователь получает адрес из локальной сети, получает маршрут локальной сети и может работать с любым устройством локальной сети БЕЗ волшебных пинков вида route add бла бла бла
Интернет в таком решении он продолжает брать от своего провайдера (не нагружая лишним трафиком WAN канал)

***
Более продвинутое решение при котором дописываются другие маршруты с использованием RIP опишу позже когда до конца всё оттестирую.

Цитата:

Chupaka
наверное, стоит в бридже зафильтровать между клиентами ARP-пакеты с адресом сервера

не знаю, может это глупость но у меня в бридже заблокирован трафик между
интерфейсами, это еще на одной базе RB433. то есть интерфейсы могут работать
только с интерфейсом который смотрит на линк и еще стоит свитч с vlans, то есть
все порты видят только порт смотрящий на RB433...

Хочу дома попробовать микроштык в вмваре воркстанции.
Подскажите беспроводную USB карточку, хорошую и годную для проброса.



Добавлено:

Вот здесь http://wiki.mikrotik.com/wiki/Supported_Hardware
упомянут единственный чипсет AR9271

Что, реально остальное ничто не работает?

LevT
что хочешь тестировать?

Ребята подскажите как с помощью микротика можно фильтровать по URL , webproxy поднят
miKrotiK 3.22 PC

Помогите, кто может! Есть роутер МКТ, у которого две внутренние сетки (192.168.0.0/24 и 192.168.3.0/24) и два внешних интерфейса (192.168.1.1 и 192.168.2.1), которые подключены к двум АДСЛ мопедам. Каждый к своему. Для разграничения доступа внутренних сеток в инет (каждая к своему модему) включена маркировка пакетов (prerouting) и два шлюза, которые отправляют пакеты соответственно маркеру, при этом, естественно пропала видимость компьютеров между внутренними сетями (пинг не проходит). А вот как восстановить её - немогу придумать никак. Всё что знал - испробовал. Результата нет. Если отключаю маркировку - всё в порядке. ПОМОГИТЕ!

faust72rus

Цитата:

что хочешь тестировать?

недавний образ из Варезника, mikrotik-v5.0rc4-vm.7z

@cambit
ip route print и ip firewall mangle print в студию

@rosalin
http://wiki.mikrotik.com/wiki/Testwiki/Proxy_(Cache)_services

Newbie


Цитата:

@rosalin
http://wiki.mikrotik.com/wiki/Testwiki/Proxy_(Cache)_services

очень подробно ... вообщем так иделал ... но как только в нате прописываю правило
add chain=dstnat protocol=tcp src-address=192.168.0.0/24 dst-port=
80 action=redirect to-ports=8080

почемуто у пользователей пропадает инет

Интернет должен появится после того как в настройках браузера будет указан прокси. Ну и надо уточнить как пропадает интернет. Пинги проходят? Порты не запрещены?

Newbie
а если я хочу прозрачный прокси и у пользователя указан лишь шлюз ???

Прозрачный прокси и шлюз это немного разные вещи.
Вы переадресовали весь трафик с порта 80 на 8080, но никто кроме рутера об этом не знает, поэтому в этом случае будьте добры указать клиентам как ходить в интернет, для чего и служат настройки прокси сервера.

Newbie
просто до Микротика у меня установлен был , вингате , у него достаточно было указать что перехватывать из NAT порт 80 , и он перенапрвлял его на прокси сервис !!!

думал что и здесь также


Добавлено:
Newbie
что то вообще на работает , и с указанными портами

По идее
Код: add chain=dstnat protocol=tcp src-address=192.168.0.0/24 dst-port=
80 action=redirect to-ports=8080

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=dstnat action=redirect to-ports=8080 protocol=tcp dst-port=80

1 chain=srcnat action=masquerade src-address-list=!NoInternet out-interface=WAN

[admin@MikroTik] /ip proxy> print
enabled: yes
src-address: 0.0.0.0
port: 8080
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: "adm@xxx.ru"
max-cache-size: 100000KiB
cache-on-disk: yes
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: yes
always-from-cache: yes
cache-hit-dscp: 4
cache-drive: primary-master

ip proxy access print

И работает ли доступ в интернет через порт 8080?

Цитата:

@cambit
ip route print и ip firewall mangle print в студию

Спасибо, Newbie, что откликнулись, но я сам уже допёр - еще добавил правила маркировки и шлюзы к ним. Но отсюда встал вопрос - правила mangle отрабатываются снизу вверх или сверху вниз (если работать через Winbox)?
Вот ip firewall mangle print :

[cambit@MikroTik16] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting src-address=192.168.0.2 action=mark-routing
new-routing-mark=dsl passthrough=yes

1 chain=prerouting src-address=192.168.3.2 action=mark-routing
new-routing-mark=dso passthrough=yes

2 chain=prerouting src-address=192.168.0.2 dst-address=192.168.3.0/24
action=mark-routing new-routing-mark=m1 passthrough=yes

3 chain=prerouting src-address=192.168.3.2 dst-address=192.168.0.0/24
action=mark-routing new-routing-mark=m2 passthrough=yes

4 chain=prerouting src-address=192.168.4.2 action=mark-routing
new-routing-mark=dsl passthrough=yes

5 chain=prerouting src-address=192.168.4.3 action=mark-routing
new-routing-mark=dso passthrough=yes