» MikroTik RouterOS (часть 3)

Newbie
Маршрут не нужен. Он появится сам, когда подключение будет создано!

Добавлено:
rosalin
Роуты принтани.

rosalin
Не, все логично. CALLER-ID = 10.49.13.100

faust72rus
А я бы руками прописал.

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup

3 S 192.0.0.0/24 unreachable 192.0.0.1 1

такой ???

Newbie
Каллер айди этот как раз дополнительный идентификатор пользователя. (в случае с PPP он равен его внешнему айпишнику).
Маршрут на микротике появится вида:
192.0.0.254/32 192.0.0.1 <l2tp-0>

Всё должно заработать.

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 72.255.67.246 1 WAN
1 A S 10.8.0.0/24 reachable 192.168.0.6 1 LAN
2 ADC 72.255.67.244/30 72.255.67.245 0 WAN
3 S 192.0.0.0/24 unreachable 192.0.0.1 1
4 ADC 192.168.0.0/24 192.168.0.4 0 LAN

rosalin
Это с активным коннектом?

сорри

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 72.255.67.246 1 WAN
1 A S 10.8.0.0/24 reachable 192.168.0.6 1 LAN
2 ADC 72.255.67.244/30 72.255.67.245 0 WAN
3 S 192.0.0.0/24 unreachable 192.0.0.1 1
4 ADC 192.0.0.254/32 192.0.0.1 0 <l2tp-user1>
5 ADC 192.168.0.0/24 192.168.0.4 0 LAN

rosalin
Ну вот всё верно. Роут появился сам, тот который создал удали, он лишний. Пинг\ Трасировку делай т самого микроитка и от локальных клиентов.

от клиентов все также

faust72rus
Я то в курсе про CALLER-ID

rosalin
Не такой ) Маршрут на твою LAN через gateway 192.0.0.1

rosalin
Ну тык покажи его!
И от микротика покажи и пинг и трасировку. И от удалённого покажи и пинг и трасировку. И вообще стучи в аську уже =) Я те в личку написал.

Newbie


Цитата:

Не такой ) Маршрут на твою LAN через gateway 192.0.0.1

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 72.255.67.246 1 WAN
1 A S 10.8.0.0/24 reachable 192.168.0.6 1 LAN
2 ADC 72.255.67.244/30 72.255.67.245 0 WAN
3 ADC 192.0.0.254/32 192.0.0.1 0 <l2tp-user1>
4 ADC 192.168.0.0/24 192.168.0.4 0 LAN
5 S 192.168.0.0/24 unreachable 192.0.0.1 1


не получаеться , уже почти сложил руки , в своей тупости (:

rosalin
Ну действительно, если не получится стучи в аську.

Newbie

Совместно с rosalin путём непонятных танцев с виндовс семь, выясняли, проблема в клиенте - он игнорировал 0.0.0.0 gw 192.0.0.1 маршрут. (вполне возможно что виновник установленный рядом OpenVPN клиент, т.к. на моём ноутбуке всё завелось и заработало почти без шаманства)

Newbie

Цитата:

завелось и заработало почти без шаманства)

На самом деле вопрос с l2tp остался открытым.
Если есть человек сумевший победить именно L2TP VPN IPsec (а не просто l2tp client, т.е. БЕЗ отключения IPSec), т.е. тот который без шаманства доступен в Висте и Семёрке, то ОГРОМНАЯ просьба рассказать что нужно подкруть в IPSec на микротике (или в винде), что бы туннель поднялся.

На данный момент IPSec туннель у меня со стороны микротика ругается: "не могу найти такую конфигурацию", со стороны винды тунель тупо висит.

*** или уже ждать 5-ку с её встроенным SSTP сервером...

faust72rus
Присоединяюсь к просьбе , ибо очень актуально !!!! Машин на 7 становиться все больше, а информации по настройке и ньюансам нет

Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком.

Моя версия ПО 4.11, клиентская тачка Windows 7 x64, на клиенте создаю дефолтное подключение, потом в свойствах указываю принудительно что будет L2TP IPSec VPN + pre-shared-key.


На микротике:
Параметры L2TP сервер (ничего сверхестественного):

[admin@MikroTik] > /interface l2tp-server server print
enabled: yes
max-mtu: 1460
max-mru: 1460
mrru: disabled
authentication: pap,chap,mschap1,mschap2
default-profile: default-encryption


Профиль (всё по старому):

[admin@MikroTik] > /ppp profile print
Flags: * - default
0 * name="default-encryption" local-address=192.0.0.1 remote-address=ppp
use-compression=default use-vj-compression=default
use-encryption=required only-one=default change-tcp-mss=yes

Пул адресов для туннеля:

[admin@MikroTik] > /ip pool print
# NAME RANGES
0 ppp 192.0.0.2-192.0.0.254

Ну и настройки пиров в Ipsec:

[admin@MikroTik] /ip ipsec peer> print
Flags: X - disabled
0 address=0.0.0.0/0:500 auth-method=pre-shared-key secret="secret"
generate-policy=yes exchange-mode=main send-initial-contact=yes
nat-traversal=yes proposal-check=obey hash-algorithm=sha1
enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
dpd-interval=disable-dpd dpd-maximum-failures=1

Без "/0" оно не работает! (баг или фича? Но в доках просто "0.0.0.0") NAT-T возможно не требуется, поэкспериментируйте!

Настройки proposal:

[admin@MikroTik] /ip ipsec> proposal print
Flags: X - disabled
0 name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m
pfs-group=modp1024

Ребята не могу победить проблему ,
у клиентов windows 7 из вне которые коннектятся к микротику из интернета , приходиться вручную дописывать маршруты , что бы они видели локальные сети за микротиком

route add 172.16.1.0 mask 255.255.255.0 192.168.0.83 - например , притом даже прописать постоянные маршрут не помогает (еще уточняю)

Может кто что подскажет

[admin@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S ;;; added by setup
0.0.0.0/0 reachable 72.255.67.246 1 WAN
1 A S 10.8.0.0/24 reachable 192.168.0.6 1 LAN
2 ADC 72.255.67.244/30 72.255.67.245 0 WAN
3 A S 172.16.1.0/24 reachable 192.168.0.83 1 LAN
4 ADC 192.0.0.254/32 192.0.0.1 0 <l2tp-user1>
5 ADC 192.168.0.0/24 192.168.0.4 0 LAN

Имеется следующая конфигурация:


Код:
/interface pptp-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 comment="" connect-to=192.168.10.1 dial-on-demand=no disabled=no max-mru=1460 max-mtu=1460 \
mrru=disabled name=internet password=N03jqm profile=profile-nomss user=AP741010


/ppp profile
add change-tcp-mss=no comment="" name=profile-nomss only-one=default remote-address=2.2.2.2 use-compression=default use-encryption=default \
use-vj-compression=default

/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=Белый_IP dst-port=3389 protocol=tcp to-addresses=192.168.88.141 to-ports=\
3389

/ip firewall mangle
add action=change-mss chain=forward comment="" disabled=no in-interface=internet new-mss=1420 protocol=tcp tcp-flags=syn
add action=change-mss chain=forward comment="" disabled=no new-mss=1420 out-interface=internet protocol=tcp tcp-flags=syn

Может не много не в ту тему, но спрошу.
Есть девайс:
RB/433UAH
В описании к нему написано:
В нём можно соединять внешние источники данных при помощи 2-х USB 2.0 портов.
Что это значит?
могу ли я тыкнуть в него ЮСБ винт, и расшарить его в сеть? получив таким образом сетевое хранилище?

me2k

Цитата:

при помощи 2-х USB 2.0 портов

возможно речь идет о внешних носителях с подключением через USB , с дополнительным разъемом USB питанием

Подскажите нет ли ошибки в этих правилах (у меня задача создать failover с проверкой внешних стабильных ip) Делал по мануалу Chupaka из вики mikrotikа.

/ ip route
*Метим все пакеты на разные шлюзы
add dst-address=0.0.0.0/0 gateway=109.87.88.254 routing-mark=to_wlan1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=91.211.13.113 routing-mark=to_wlan2 check-gateway=ping
*Проверка шлюзов на жизнь
add dst-address=0.0.0.0/0 gateway=109.87.88.254 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=91.211.13.113 distance=2 check-gateway=ping
*Определение nexthop до внешнего ip по каждому из интерфейсов
add dst-address=209.85.148.147 gateway=109.87.88.254 scope=10
add dst-address=208.67.220.220 gateway=91.211.13.113 scope=10
*Маркировка пакетов на очередность интерфейса, шлюз - внешний ip с проверкой
add distance=1 gateway=209.85.148.147 routing-mark= to_wlan1 check-gateway=ping
add distance=2 gateway=208.67.220.220 routing-mark= to_wlan2 check-gateway=ping
add distance=1 gateway=208.67.220.220 routing-mark= to_wlan1 check-gateway=ping
add distance=2 gateway=209.85.148.147 routing-mark= to_wlan2 check-gateway=ping
*Насколько я понял эту строчку добавляют из-за бага в RoS, когда не происходит рекурсивное определение роутов.
add dst-address=209.85.148.147 type=blackhole distance=20
add dst-address=208.67.220.220 type=blackhole distance=20

Chupaka

Цитата:

сделать очередь на 3 мбит/с, поставить её parent'ом у очередей этих компов, limit-at сделать, соответственно, 1M и 2M, max-limit=3M. в итоге каждый будет получать гарантированные свои 1/2 Мбит/с, плюс то, что осталось от 3 из-за простаивающего канала

Chupaka создал в simple queues очередь на 3мбит/с поставить её parent'ом у очередей этих компов, но ничего не получилось(пост 30).
Через включенный комп идет весь канал (12 мбит/с) без ограничения. Подсажи , что я сделал не так.

Добавлено:
Все разобрался. Создал правила в queue tree.

Люди помогите пожалуйста. Как выделить 2 IP адреса в отдельный канал с гарантированной скорость, допустим 1 мбит/с, а потом разделить их между этими адресами, что бы при выключении одного компа вся скорость переходила на другой.

wwwwwww7
ну если не вдаваться в подробности как у Вас все там настроено и сколько
каналов, то в мангле метим пакеты от этих ip для шейпера, в Queue Types - Rate=1M, в Queue Tree создаем дерево - Max-limit=2M а в листьях дерева
указываем Max-limit=2M и Limit-at=1M

vlh
В мангле пометил пакеты от этих двух IP адресов. В Queue Tree создал правила для этих пакетов. Весь канал у меня 12 мбит/с и подключено еще с десяток компов. Когда работают оба устройства, то каждое берет по 1 мбит/с. А мне надо что бы 1 мбит/с был на оба компа (на первый 950 кбит/с, на второй 50 кбит/с) и при выключении первого на втором что бы было 1 мбит/с

wwwwwww7
ну вот видите, сразу появились новы данные
аппетит приходит во время еды
значит из новых данных у вас еще есть трафик по этому каналу от других
устройств....
тогда придется делать общий шейпер и на них...
то есть делаем дерево в котором должны быть лепестки всех
групп, и также еще один лепесток который имеет свои лепестки
как раз пакеты от двух IP...на первом выставляем limit-at=950k
на втором limit-at=50k... на паренте для этих лепестков выставляем
limit-at=1M...max-limit=12M должен быть везде....
так же не забывайте, что нужно еще подсчитать limit-at и для остальных
групп с учетом вашей гарантированной...

vlh
Ситуация такая, инет раздается на 10 компов. Внешний канал 12 мбит/с Ip адреса раздаются по DHCP, скорость режется в simple queues. У одного юзера на два разных IP подключены комп и спутниковый тюнер с сетевой картой. Сделал как писал выше, в мангле пометил пакеты от этих двух IP адресов. В Queue Tree создал правила для этих пакетов. Limit-at у компа поставил 950кбит/с Max-limit 1Mбит/с, у тюнера 50 кбит/с и 1 Мбит/с соответственно. Но когда качают оба устройства то берут по 1 Мбит/с каждое, а мне надо что бы когда работают оба то на комп 950 кбит/с, тюнер 50 кбит/с. Когда выключается комп на тюнер должно идти 1 Мбит/с. Я так думаю, что мне надо как то прописать отдельный канал на 1 Мбит/с от общего 12 Мбит/с, а потом распределить по этим двум устройствам. Как это сделать попроще?

в вашем случае нужно отказаться от simple queues и делать все на
queue tree...
и как уже писал выше, нужно делать общее дерево со всеми компьютерами...
если вы знаете как строить деревья шейпера в queue tree, то нет ни чего
сложного реализовать ваш вариант....