» MikroTik RouterOS (часть 3)

верно ли я понял?

/ip firewall nat add chain=srcnat action=masquerade out-interface=INET1 in-interface=LOCAL1
/ip firewall nat add chain=srcnat action=masquerade out-interface=INET2 in-interface=LOCAL2

не позволяет добавить такое правило

Цитата:

muk_as
не то, там 2 инета в 1 локалку. надо 1 в 1, а 2 в 2.

да хоть пять локалок и пять провайдеров, или вы хотите
что бы вам дали ссылку по которой будет написано -
- специально для muk_as и полный мануал под вашу
задачу?
читайте внимательно мануал по ссылки, там все понятно
даже без знания языка. там пример с одной локалкой, а кто
вам мешает подключить вторую, третью, немного переделав
пару правил и все...

Забыл добавить что шлюз у интернет соединений один и тот же.

Цитата:

muk_as
Забыл добавить что шлюз у интернет соединений один и тот же.

это как? две учетки от одного провайдера?
вы же их настраиваете на разных интерфейсах,
вот в правилах и указываете кому через какой интерфейс
ходить в интернет.

да все нашел все работает.
http://wiki.mikrotik.com/wiki/Manual:Load_balancing_multiple_same_subnet_links

но фишка в том что сперва я втыкаю инет в управлялку, там делаю лдя каждого гнезда свой влан

ну и все сходится к микротику, там на сетевухе делаю вланы. и в каждый сажаю инет

но еще загвоздка в том что мак у вланов одинаковый, ну и могу запалиться пеед провайдером)

кароче нельзя чтоб маки были одинаковы, но нужно исп-ть влан.

сделал вот по етой инструкции
http://wiki.mikrotik.com/wiki/Change_MAC_address_of_VLAN_interface

т.е. влан инета связал с бриджом и у бриджа сменил мак

ну и соотв все в инструкции что выше заменил влан инета на бридж интерфейс который связан с влан инетом


так вот без бриджа все работает, как только использую бридж, = инета нет.
настрйоки все перепроверял. везде бриджовые интерфесы верно заменял.

Цитата:

как только использую бридж, = инета нет

а почему?

Chupaka
это все что от тебя требовалось тролль


Код:
/ip firewall mangle
add chain=prerouting action=mark-routing new-routing-mark=site src-address=10.215.2.0/24

/ip route
add dst-address=0.0.0.0/0 gateway=10.215.1.3 routing-mark=site

Farch
сорри, у меня всегда на быдло проявляется троллевский рефлекс =) рад слышать, что разобрались. может, хоть научитесь в дальнейшем проблемы формулировать

Chupaka дбрый день.
Подскажите великодушно.

Есть Две базы rb433 ап-бридж (level4) и несколько клиентов rb411 бридж (level3). Режим WDS.

Как заставить базы устанавливать связь только с теми клиентами, которые прописаны в Access List.
И точно так же, как заставить клиентов устанавливать связь только с теми базами, которые прописаны в Connect List.

Они не слушаются и соединяются как попало.

С уважением,

dea_appolo
а правило "deny all" в конце списков добавляется?

Chupaka

нет не добавляется.

и rb433 и в rb411 версия v5.4.
Из под винокса:
Wireless - Wireless Tables - Access List
или
Wireless - Wireless Tables - Connect List
в них можно добавить "+" только "New AP Access Rule" либо "New Station Connect Rule",
в которых вводится Интерфейс, МАК и т.п.
Особых правил для ввода там не предусморенно.

С уважением.

P.S.
я даже пытался на интерфейсах указывать arp replay-only и прописывал в ARP только разрешенные, но это тоже не помогало.

Может кто знает как в firewall разрешить трафик, который открывается через UPnP?
Хочу настроить firewall по принципу все запрещено, кроме того, что разрешено.

Для портов открытых по UPnP трафик идет в input, а потом в forward.
Получается, надо открыть все порты на input снаружи и разрешить forward снаружи в локальную сеть, а из локальной сети разрешить весь established/related.

При таком раскладе смысл в файрволе практически теряется

dea_appolo
в Мелкотике всё, что не запрещено - разрешено. поэтому после всех правил в самый низ Connection List нужно добавить ещё одно правило: ничего не указывать (это будет ловить любые подключения, не попавшие в предыдущий список) и снять флажок "Connect" - это правило и будет отбрасывать всё остальное


Цитата:

Для портов открытых по UPnP трафик идет в input, а потом в forward

трафик идёт либо в input, либо в forward. в input, видимо, идут сами UPnP-запросы, а в forward - непосредственно соединения

не совсем понятно, что именно хочется сделать.
Цитата:

разрешить forward снаружи в локальную сеть, а из локальной сети разрешить весь established/related

- это разрешит входящие подключения, запретив исходящие

никто что ли не поднимал L2TP на микротике что ли????


Цитата:

Здравствуйте, и так никак не поборю свою проблему с установкой VPN L2TP на протоколе IPsec.
спасибо за подсказку:

Цитата:Jun/08/2011 15:05:28 ipsec trns_id mismatched: my:3DES peer:AES
Jun/08/2011 15:05:28 ipsec not matched

строки сами за себя говорят.
2 варианта
1)поставить в профиле aes (сами в конфиге указали 3DES)
2) поставить на клиента 3DES вместо AES



Но теперь другая проблема. Не сходятся настройки на микротике и моем компьютере (подключаюсь стандартными средствами Windows 7)
Вот что говорит микротик:

Цитата:
Jun/10/2011 11:36:31 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:2048-bit MODP group
Jun/10/2011 11:36:31 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = AES-CBC:3DES-CBC
Jun/10/2011 11:36:31 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:2048-bit MODP group
Jun/10/2011 11:36:31 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#5) = AES-CBC:3DES-CBC
Jun/10/2011 11:36:31 ipsec no suitable proposal found.
Jun/10/2011 11:36:31 ipsec failed to get valid proposal.



В Винде толком настроек IPSec нет. В микротике 2048-bit MODP group поставить невозможно. Что подскажете делать???

Цитата:

В микротике 2048-bit MODP group поставить невозможно. Что подскажете делать???

видимо, обновляться - как минимум в версии 5.4 всё есть:

Код: [admin@Alpha] > /ip ipsec proposal add pfs-group=
ec2n155 modp1024 modp2048 modp4096 modp768
ec2n185 modp1536 modp3072 modp6144 none
[admin@Alpha] > /ip ipsec proposal add pfs-group=

посоветуйте пожалуйста где лучше купить лицензию MikroTik?

Chupaka

я сделал по вашему совету.
базы с клиентами коннектятся теперь как надо.

Большое спаисбо за помощь.

С уважением.

dea_appolo

на точках случаем не включен пункт - Default Authentificate ?
потому что как раз с ним все и происходит.
то есть его надо отключить.
по крайней мере у меня так, и клиенты конектится согласно
Access List. выключив какой нибудь MAC и все клиент отвалился.
ни какого доп правила я не создавал.

Chupaka

подскажи что означает в ip firewall nat при создании правила
для NAT вот этот параметр - ipv4-options=no-timestamp,
это правило будет убирать из пакетов параметр timestamp
или подменять его своим?
или это вообще не из той "оперы"?

vlh

Цитата:

ipv4-options=no-timestamp

это правило отбора пакетов, а не воздействия на них, поэтому оно менять ничего не будет. ловит те пакеты, у которых в заголовке IPv4 не установлена опция Timestamp. сама опция используется преимущественно для тестирования, как говорит Цицковская дока

за описаниями на микротик нужно теперь к сиськам ходить?
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
ipv4-options (...) Matches IPv4 header options как бы черным по английски

подскажите есть mikrotik RB750G
в первый порт приходит тегированный трафик VLAN ID 1,2,3,4
порты 2-5 используются как LAN (внутренняя сеть) для портов 3,4,5 порт 2 прописан как мастер порт

стало надо получить на порту 2 и LAN (нетегированный трафик внутренней сети) так и тегированный трафик VLAN 1,2,3,4

как лучше поступить ?

сделать еще 4 интерфейса с разными VLAN ID на втором порту, сделать 4 бриджа и интерфейсы объединить попарно ?

или как то более "прямо" решается ?

и как быть с нетегированным трафиком ? убирать порт 2 из мастеров ?

Цитата:

gloomymen
как бы черным по английски

как бы из этого мануала ни чего не почерпнул, по этому
и задал тут вопрос.
написано, что опция ipv4 ну и что дальше?
что это опция и так понятно, вопрос был на что она способна,
и ответ получен - для информации не более того, за что отдельное
спасибо.... не будем называть его имени

Matches == соответствие/совпадение, т.е. пакет содержит = совпало дуем в target, нет -на нет и суда нет
дело-то понятное, чужие мозги дешевле) главное не забыть вовремя спасибо сказать

Цитата:

gloomymen
т.е. пакет содержит = совпало дуем в target, нет -на нет и суда нет

вот именно это где написано в мануале?
особенно "нет -на нет и суда нет".


Цитата:

дело-то понятное, чужие мозги дешевле

ну это вы зря, мануал тоже чужими "мозгами" написан
однако все и вы в том числе его тоже читаете
но кто то уловил суть написанного автором, а кто нет,
для этого и существуют форумы.... не так ли?
вспомните школу, вуз, есть преподаватели которые
очень доходчиво излагают материал, а есть, что и с
нескольких раз не поймешь, что за тема то...

Цитата:

за описаниями на микротик нужно теперь к сиськам ходить?

вообще-то базовая инфа из мануала и почерпнута. а вот подробности о заголовке IP-пакетов и конкретных флагах - из Цисководовских манов, ибо именно они всегда отличались детализацией

Добавлено:
Dimsoft

Цитата:

сделать еще 4 интерфейса с разными VLAN ID

ну, не с разными, а с теми же - 1,2,3,4. только имена другие
по-другому... можно попробовать в бридж ether1 и ether2 впихнуть - может, и теггированный трафик побежит

Цитата:

можно попробовать в бридж ether1 и ether2 впихнуть

Chupaka
в первом порту провайдер - мне не хочется весь дом в родную локалку пускать

2 all
перешел на 5.4 и сломалась pxe загрузка с tftp в логе пишел tftp error permission denied
как поправить ?
(откат на 4.17 не помог )

Что-то ipsec не получается нормально настроить.
Создал ip2ip туннель, без шифрования внутренние ip туннеля пингуются без проблем.
Как только включаю ipsec пинги перестают идти, при этом SA создаются нормально.
В лог ipsec ничего не пишет.
Что это может быть? HELP!!!

Вот мои настойки по ipsec:
/ip ipsec proposal
set default auth-algorithms=sha1 comment="" disabled=no enc-algorithms=3des lifetime=30m name=default pfs-group=modp1024
/ip ipsec peer
add address=1.1.1.1/32:500 auth-method=pre-shared-key comment="" dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=5 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=md5 lifebytes=0 lifetime=1d nat-traversal=no proposal-check=obey secret=PASSWD send-initial-contact=yes
/ip ipsec policy
add action=encrypt comment="" disabled=no dst-address=1.1.1.1/32:any ipsec-protocols=esp level=require priority=0 proposal=default protocol=ip-encap sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=2.2.2.2/32:any tunnel=no

На другом хосте аналогично, только 1.1.1.1 и 2.2.2.2 местами поменял
пробовал играться с dpd-interval, generate-policy - не помогает
В микротике по ipsec какую-то отладку можно включить?


Добавлено:
В общем, сделал disable: ipsec policy, ipsec peer и ip2ip теннеля
Потом все обратно включил - заработало. Как-то пугает перспектива отваливания vpn...
Наблюдаю дальше.
В системном логе Микротика никаких ошибок нет - странно все это.

Цитата:

в первом порту провайдер - мне не хочется весь дом в родную локалку пускать

фильтры бриджа и файрвола как раз и существуют для того, чтобы кого-нибудь куда-нибудь не пускать

/ip firewall nat print
chain=srcnat action=masquerade dst-address=192.168.0.0/16
out-interface=ether2

chain=srcnat action=masquerade dst-address=172.25.0.0/16
out-interface=ether2

chain=srcnat action=masquerade dst-address=10.80.20.0/24
out-interface=ether2

chain=dstnat action=dst-nat to-addresses=10.0.0.11 to-ports=21
protocol=tcp dst-address=10.80.20.201 dst-port=21

chain=dstnat action=dst-nat to-addresses=10.0.0.12 to-ports=21
protocol=tcp dst-address=10.80.20.201 dst-port=22

chain=dstnat action=dst-nat to-addresses=10.0.0.11 protocol=tcp
dst-port=5900

chain=dstnat action=dst-nat to-addresses=10.0.0.12 to-ports=5900
protocol=tcp dst-port=5901

есть 2 пк (10.0.0.11 10.0.0.12) находящихся за микротиком и локалка которая приходит в мтик, с настройками выше получается пробросить в локалку фтп находящиеся на этих 2 пк но фтп сервер работает только в пассивном режиме...чего еще добавить чтобы фтп заработал в активном режиме

Light_AS
в IP -> Firewall -> Serveice Ports включен ftp? в фильтре запрещающие правила не могут мешать?