» MikroTik RouterOS (часть 3)

нужна помощь!
есть основной маршрутизатор mikrotik 10.0.0.254, по умолчанию он выдаётся всем клиентам в качестве шлюза.
есть прокси UserGate 10.0.0.3, он прописан на клиентах в браузере.
есть ещё один mikrotik для выхода в интернет по безлимитному каналу 10.0.0.200, он прописан в качестве нулевого маршрута на 10.0.0.254 для серваков.
есть сайт rutracker, который отказывается работать через обычный прокси, а только через nat, так как использует порт 1935, плюс ко всему постоянно меняет адрес сервака к которому подключается.
т.е. клиент открывает rutracker, он у него открывается, но видео, так как использует специфический порт 1935, не проходит через прокси, а идёт по нулевому маршруту на 10.0.0.200, а так как выход по безлимиту для данных клиентов закрыт, то видео в итоге не открывается.
можно ли каким-нибудь правилом сделать переброс того что приходит на 10.0.0.200 по порту 1935 кидалось на 10.0.0.3?

Цитата:

можно ли каким-нибудь правилом сделать переброс того что приходит на 10.0.0.200 по порту 1935 кидалось на 10.0.0.3?

конечно можно: Policy routing. маркируем нужные пакеты routing-mark'ом, затем создаём дефолтовый маршрут с нужной меткой и гейтвеем

Chupaka

Цитата:

получается потому, что там адрес сервера надо вручную вводить? или почему?

Да, вручную. Старкрафт работает на UDP.
Цитата:

возможно, http://wiki.mikrotik.com

/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) - только не факт, что винда такое сможет...

Наверное не сможет. Там два микротика связываются а у нас только один

Есть ещё вопрос: как запустить сервис dyndns если два канала ADSL? Тоесть как привязать к первому каналу?

Цитата:

Старкрафт работает на UDP

да пофигу, на чём. главное - что для поиска соседей используются широковещательные пакеты


Цитата:

Наверное не сможет

в свете предыдущего абзаца (поскольку выньдамс явно не сумеет нормальный широковещательный пакет в тоннель отправить) проект обречён на провал. выход - ставить сервер PvPGN для игры


Цитата:

как запустить сервис dyndns если два канала ADSL? Тоесть как привязать к первому каналу?

а в чём проблема?

Народ, подскажите какое решение для подключения двух каналов инета в одну локальную сеть более правильное http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=1320 или http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent.

wwwwwww7
выбирайте:
http://wiki.mikrotik.com/wiki/PCC
http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

Люди помогите!
Подключил второй канал инета по рррое-клиент, но почему то нет коннекта.

wwwwwww7
Как подключил? Конфу\лог ошибок\маршруты\мангл\файрвол показывай.

faust72rus
В логах попытки законектиться

Один провайдер идет с адсл модема (модем в режиме бридж, соединение подымает микротик), адрес динамический, второй рррое и на втором не конектится с провайдером

День добрый!
Есть проблема следующего плана как в м.т. 750G настроить что-бы при получении ip адресов клиентские компы по DHCP вместе с настройками ip адресов еще получали и таблицу маршрутизации на свои машины ??? Аналог к примеру при ручной настройке маршрутов на винде "route add 192.168.102.1 mask 255.255.255.0 192.168.88.1 -p metrik 1"
А то получается следующая ситуация: при активном коннекте у клиента PPPoE или VPN соединения метрика у виртуального соединения 1 и естественно весь трафик идет через это соединение предназначенное для инета и режется шейпером, что мне не нужно, у меня ведь за маршрутизатором есть еще и сетевые ресурсы что дает локальный провайдер без ограничения по скорости... а к интернету он меня тоже по PPPoE пускает

Цитата:

GOGA2604
А то получается следующая ситуация: при активном коннекте у клиента PPPoE  или VPN соединения метрика у виртуального соединения 1 и естественно весь трафик идет через это соединение предназначенное для инета и режется шейпером, что мне не нужно, у меня ведь за маршрутизатором есть еще и сетевые ресурсы что дает локальный провайдер без ограничения по скорости... а к интернету он меня тоже по PPPoE пускает

а не проще пометить в мангле эти локальные ресурсы другой меткой, и поставить
это правило выше правил для шейпера, тогда этот трафик не будет попадать
под ваш шейпер.

Цитата:

по DHCP вместе с настройками ip адресов еще получали и таблицу маршрутизации

курить DHCP Option 249

Подскажите пожалуйста. Есть два канала в инет. Раньше был один. Надо ли убирать чек add default router

Цитата:

по DHCP вместе с настройками ip адресов еще получали и таблицу маршрутизации

курить DHCP Option 249

включил опцию 249 в сервере, вроде оно, клиент теперь получает чистый IP + маска 255.255.255.255 и все. Где все в параметры вбиваются ? или терминалом руками ? если терминалом то формат ? читал в цисковском форуме, мало что понял...



Добавлено:

Цитата:

а не проще пометить в мангле эти локальные ресурсы другой меткой, и поставить
это правило выше правил для шейпера, тогда этот трафик не будет попадать
под ваш шейпер.

на мой стыд пока не совсем понимаю как это делается(((, может так и лучше для линуксовых машин, но, пинг при прохождении к через PPPoE и отключенном шейпере 15 мс а напрямую 1 мс, вот ради этого кажется стоит помучатся

нашел !!!!!! http://www.mikrotik.by/index.php?showtopic=50
после прописания маршрутов при закачке 3 потоков фильмов нагрузка на 2 интерфейса как была 85% так и осталась а вот нагрузка на проц микротика упала с 75% до 35% !!!!!

Настроил балансировку по http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways, но почему то с канала А не все сайты открываются. Когда убираю в маршруте А маркировку все работает нормально. И при такой настройке нужно убирать чек add default router на интерфейсе рррое который у меня раньше был один

wwwwwww7

Цитата:

И при такой настройке нужно убирать чек add default router на интерфейсе рррое который у меня раньше был один

да, нужно убрать получение маршрутов с обоих интерфейсов.

=======================================

и так, настроил на линке точка точка MPLS вместо WDS по этому
мануалу, но проблема в том, что если присваивать IP с /30 то MPLS
не поднимается и зайти на удаленную точку не получается не по MAC не по IP,
если поставить маску 24, то MPLS поднимается и все работает.
это что очепятка в мануале или что то у меня не так, хотя делал все точно также
за исключением частоты и IP адреса?
и второй вопрос, при проверки состояния туннеля в мануале в столбе
SEND-TARGETED стоит NO:

Код: [admin@MikroTik] /mpls ldp neighbor> print
Flags: X - disabled, D - dynamic, O - operational, T - sending-targeted-hello, V - vpls
# TRANSPORT LOCAL-TRANSPORT PEER SEND-TARGETED ADDRESSES
0 DOTV 172.16.0.2 172.16.0.1 172.16.0.2:0 no 172.16.0.2

Добрый день.

Проблема с Mikrotik v3.3

У меня есть 2 WAN (Белые IP) интерфейса и 1 LAN (серые IP)
Необходимо направить исходящий трафик под одному Вану, а Входящий по другому, для серых IP адресов!

На Linux это все делается легко средствами iproute2 пакета, но в микротике нет типа такого ip route add nat ...

Цитата:

Необходимо направить исходящий трафик под одному Вану, а Входящий по другому

заменить masquerade на src-nat, где в to-addresses прописать адрес другого вана

Не работает, идет весь траф или через один интерфейс или через другой

Цитата:

У меня есть 2 WAN (Белые IP) интерфейса и 1 LAN (серые IP)
Необходимо направить исходящий трафик под одному Вану, а Входящий по другому, для серых IP адресов!

На Linux это все делается легко средствами iproute2 пакета, но в микротике нет типа такого ip route add nat ...

а линух работает ? или это в теории ?

просто для того, чтобы такое работало надо, чтобы с другой стороны было то же самое.

Цитата:

Не работает, идет весь траф или через один интерфейс или через другой

маршрут по умолчанию должен указывать на шлюз первого провайдера, а натирование - осуществляться на адрес второго. если так вообще не будет работать, значит, первый оператор блокирует исходящие пакеты с левыми адресами, и номер не прокатит

Добавлено:

Цитата:

просто для того, чтобы такое работало надо, чтобы с другой стороны было то же самое

что в данном случае "другая сторона"? О_о

Спасибо, вроде все запахало!
Еще один маленький вопрос у меня динамический ИП на ВАНе, как в src-nat, to-address вбивать полученный ИП с ВАНа динамически?

Спасибо разобрался, использую скрипт !

Код: :global oldIP; # работаем с этой глобальной переменной
:local currentIP [/ip address get [find interface=pppoe-out1] address]; # получаем текущий адрес
:set currentIP [:pick $currentIP 0 [:find $currentIP "/"] ]; # отрубаем у адреса префикс (/32)
:if ($oldIP != $currentIP) do={ /tool e-mail send тра ля ля; } # при несовпадении адресов - делаем, что надо
:set oldIP $currentIP; # сохраняем адрес при необходимости

Кто-нибудь поднимал l2tp-ipsec между Микротиком и штатным VPN-клиентом Windows Mobile?
Решил поэкспериментировать, но пока что-то ни чего не выходит. За основу взял настройки, любезно предоставленные faust72rus для коннекта Микротика с Windows 7:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=880#10
Перед Микротиком у меня стоит ещё один роутер, но на нём все нужные сервисы проброшены на адрес внешнего интерфейса RB450G, в логах вышестоящего роутера ничего подозрительного нет. IPSec-дебагер Микротика выдаёт следующие логи:

Код:
23:18:20 ipsec respond new phase 1 negotiation: 192.168.200.2[500]<=>90.150.65.114[27834]
23:18:20 ipsec begin Identity Protection mode.
23:18:20 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
23:18:20 ipsec received Vendor ID: FRAGMENTATION
23:18:20 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
23:18:20 ipsec
23:18:22 ipsec ISAKMP-SA established 192.168.200.2[500]-90.150.65.114[27834] spi:ed09b208b20fafa4:fb378f266bc77238
23:18:22 ipsec respond new phase 2 negotiation: 192.168.200.2[500]<=>90.150.65.114[27834]
23:18:22 ipsec no policy found, try to generate the policy : 10.30.113.58/32[1701] 109.x.x.x/32[1701] proto=udp dir=in
23:18:23 ipsec IPsec-SA established: ESP/Transport 90.150.65.114[0]->192.168.200.2[0] spi=107432096(0x66748a0)
23:18:23 ipsec IPsec-SA established: ESP/Transport 192.168.200.2[0]->90.150.65.114[0] spi=2474688(0x25c2c0)
23:18:58 ipsec ISAKMP-SA expired 192.168.200.2[500]-90.150.65.114[27834] spi:ed09b208b20fafa4:fb378f266bc77238
23:18:58 ipsec unknown Informational exchange received.
23:18:59 ipsec ISAKMP-SA deleted 192.168.200.2[500]-90.150.65.114[27834] spi:ed09b208b20fafa4:fb378f266bc77238

Еще одна проблема, Mikrotik 3.3 OpenVPN в режиме ethernet линуксовые клиенты работают нормально, а вот Mikrotik OVPN-client в режиме ethernet коннектится но не работает
Status: Connected, Not Running !

Микротик 3.3. Шейпер построен на базе simple queues. Возможно ли в такой ситуации, и если да, то как, дать http трафику наивысший приоритет?

Опять проблема!
rb750g + calisto821+r3 в режиме бриджа
1) постоянно переподключается PPPoE соединение раз в 2 секунды
????

Дорогие друзья! незадача:
Имеем pptp сервер на Centos и pptp клиент Mikrotik
задача:
что бы все клиенты из сети CentOS и Mikrotik свободно могли черерз \\ обмениваться файлом в шарах.
Все поднял все работает.. все да не все
пинги во все стороны идут, по радмину везде захожу, по внс тоже.
Нет одного: не работают сетевые шары, вообще..
порты которые за это отвечают ни nmap не видны, фаерволы выключены.
Кошусь на mtu:

на севере:

name pptpd
mtu 1462
default-mru
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
persist
lcp-echo-interval 1
logfile /var/log/pptpd.log

на клиенте mtu и mru - 1462

http://dl.dropbox.com/u/3057949/%D0%A1%D0%BD%D0%B8%D0%BC%D0%BE%D0%BA-10.png [off](1280x1024, 101.8Kb)[/off]

SyCraft

Может вопрос в бродкастах. Попробуй заходить на расшаренные папки не из сетевого окружения, а виде \\xxx.xxx.xxxx.xxx\, где xxx.xxx.xxx.xxx - ip компьтера, на кторый заходишь.

свободно могли черерз \\ обмениваться файлом в шарах.
о том и речь так и пытаюсь заходить, но не выходит
smb порты не видны увы