» MikroTik RouterOS (часть 3)

Всем привет, кто-нибудь сталкивался с проблемой в версии 5,5.

Следующая ситуация: Есть модем АДСЛ с адресом 192.168.1.1/24 включен в режиме роутера.

К нему подключен микротик, на микротике есть фейс с адресом 192.168.1.2/24

в IP-route добвляю нулевой маршрут и гетвей (шлюз) 192.168.1.1

прописываю в днс адрес днс провайдера, НО в микротике почему-то глючит шлюз!

при трассировке он не появляется в хопах! Интернет не работает, никаких прочих настроек не производилось, микротике чистый.

У меня была бэта 5,5 мучал сначала ее, потом скачал с офф сайта версию стейбл последнюю 5,5 проблема так и осталась.

Chupaka

Цитата:

Цитата:Как, вообще, правильно для хотспота ограничивать трафик?

через настройки в профиле пользователя?

да, это работает. Я понимал, что профиль ограничивает суммарную скорость всех подключенных по данному профилю? Или каждого?

VladislavT
ну, если бета 5.5 была получена от разработчиков - логично было бы им и отписывать про глюки беты =)

Demon
для каждого. на каждого юзера создаётся своя очередь

Цитата:

при трассировке он не появляется в хопах! Интернет не работает

он не появляется - а что появляется? если он просто не появляется - то это может быть особенностью модема, а неработоспособность Интернета - это вообще отдельная тема

з.ы. проверил 5.5 - нормально в трассировку хопы показывает (виртуалка на ESXi)

Народ подскажите почему не получается зайти на MikroTik RB750 через Web интерфейс, через WinBox по IP 192.168.22.1 захожу. Если то же самое прописываю в браузере, страница недоступна

Какой роутер или железо посоветуете под микротик нужно чтобы было две сетевухи ) и занимал очень мало места )

Alfizik

Возможно web отключен.
winbox - ip-services

Цитата:

Какой роутер или железо посоветуете под микротик нужно чтобы было две сетевухи ) и занимал очень мало места )

RouterBOARD =) модель - по потребностям

Demon
Alfizik
или файрвол файрволит

Chupaka
У меня микротик стоит на вмаре воркстейшн 7

eineo:

RouterBoard 750, или если нужны гигабитные порты, то RouterBoard 750G
У них по 5 портов, двухпортовых я не видел (в тех местах где искал), вернее были только с мини-PCI или Wi Fi, они стоят дороже, по размеру такие же. Лицензия level 4, ОЗУ 32 флэш 64.
Вариант чуть подороже - RB450g - 256 ОЗУ, 512 флэш, есть слот для mictoSD и лицензия level 5.

wsadneg
Но лицензию то мы можем любую поставить) Хочу поставить его перед инетом чтобы инет раздавал через nat и юзать его как аппаратный фаервол.

Demon,


Цитата:

Возможно web отключен.
winbox - ip-services

в том то и дело что включен.

Цитата:

chert90
можно, конечно. надо у маршрутов указать gateway=ipaddress%interface (до пятой версии - только черерез терминал)

Вау отлично...буду пробовать....у меня на PC МТ 3.30 стоит...прокатит?

Приведи пример синтаксиса добавление маршрута (gateway=ipaddress%interface) через терминал...спасибо)

при добавлении в маршрут либо ИП либо интрфейса становиться один из интерфейсов по дефолту либо 1 либо 2 ..как сделать что бы такого небыло?

------------------------------------------------------------------------------------------------------------------------------------------

# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S 0.0.0.0/0 172.16.0.30 reachable 10.1.8.1 1 ether1
reachable ether1 ether1
1 S 0.0.0.0/0 172.16.0.40 reachable 10.1.8.1 1 ether1
reachable ether3 ether3
2 ADC 10.1.8.0/22 10.1.9.181 0 ether1
3 DC 10.1.8.0/22 10.1.9.185 0 ether3
4 ADC 172.16.0.0/16 172.16.0.40 0 ether2
5 DC 172.16.0.0/16 172.16.0.30 0 ether4

-------------------------------------------------------------------------------------------------------------------------------------------

eineo в принципе для 90% случаев хватит 750, но я взял с запасом 450g на случай расширения сети, хотя я представить не могу, как потратить столько ресурсов, сейчас памяти (ОЗУ) 205 метров свободно, при том что 32 метра выделено под кэш для прокси. При этом в файрволе около 50 правил, 15 в nat, несколько vpnов поднято, в общем запас ещё очень большой, но по цене разница небольшая, потому я б посоветовал 450g, запас он ведь никогда не помешает

коллеги, подскажите решение проблемы.

есть серая сеть, которая подключена к Интернет через микротик RB-450. возникла необходимость подключаться из сети к внешнему L2TP серверу.
какие правила необходимо прописать на микротике?

wsadneg а она в корпусе идет? и где покупали? (если в России) 450g шикарная штука )) ее и нужно брать.)) Но цена данного девайса 4829 руб а цена RB/750 1576 руб

Цитата:

Но лицензию то мы можем любую поставить)

ну, любая стоит денег, а та идёт в комплекте


Цитата:

у меня на PC МТ 3.30 стоит...прокатит?

прокатит, если поставить пакет routing-test. повторяю, шлюз надо указывать именно через процент: gateway=1.2.3.4%ether1

miasik

Цитата:

L2TP

Порт: 1701/TCP, 1701/UDP

Народ помогите разобраться.


Цитата:

Народ подскажите почему не получается зайти на MikroTik RB750 через Web интерфейс, через WinBox по IP 192.168.22.1 захожу. Если то же самое прописываю в браузере, страница недоступна

Цитата:

Возможно web отключен.
winbox - ip-services

Насколько я понимаю web включен, смотрите скриншот:





Цитата:

Demon
Alfizik
или файрвол файрволит

Вот скриншоты фаервола, я только вникаю в RouterOS, и для меня многое еще непонятно, растолкуйте что значат приведенные на скриншоте настройки.

Alfizik

Обрати внимание. что у тебя www включен на 88 порту, соответственно, заходить нужно на http://адрес_микротика:88

Цитата:

Порт: 1701/TCP, 1701/UDP

а можно подробнее по правилам? что прописывать в файрволе и в нате?

Mikrotik 3.30
привет. Прошу помощи, так как с линуксом ооочень мало знаком, но появилась нужда настроить микротик для офиса... Правила прописывал по инструкции сайта
При ВСЕХ включенных правилах кроме 1,2,3 - все работает. Далее проверяю, отключил правила 11,12 - http перестал работать - норм.
отключил 17,18 -аська все равно продолжает работать. Правда она идет через 443 порт. Торренты все равно ползут....
-- Впринципе задача: Заблокировать ВСЕ кроме http icq банк-клиен. обязательно заблокировать торенты во всех их проявлениях.
сможете немного разжевать эту информацию. она должна помочь с торрентами.
Можно-ли указывать таким образом "10.10.5.0/24 src-port=80" диапазоны адресов для всех, а потом отдельно полный доступ амину?
Сейчас разобраться бы в фильтрах, потом создам группы пользователей и переназначу правила.
--- Как правильно настроить фильтрацию, или что я делаю не так..
[more][admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough

1 X ;;; fake 10.0.0.0/8
chain=forward action=drop src-address=10.0.0.0/8 in-interface=!ether1

2 X ;;; fake 172.16.0.0/12
chain=forward action=drop src-address=172.16.0.0/12 in-interface=!ether1

3 X ;;; fake 192.168.0.0/16
chain=forward action=drop src-address=192.168.0.0/16 in-interface=!ether1

4 ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

5 ;;; Allow established connections
chain=forward action=accept connection-state=established

6 ;;; Allow related connections
chain=forward action=accept connection-state=related

7 ;;; Allow UDP
chain=forward action=accept protocol=udp

8 ;;; Allow ICMP Ping
chain=forward action=accept protocol=icmp

9 X ;;; Allow all for admin
chain=forward action=accept dst-address=10.10.5.2

10 X ;;; Allow all for admin
chain=forward action=accept src-address=10.10.5.2

11 ;;; Allow http (in)
chain=forward action=accept protocol=tcp dst-address=10.10.5.0/24 src-port=80

12 ;;; Allow http (out)
chain=forward action=accept protocol=tcp src-address=10.10.5.0/24 dst-port=80

13 ;;; Allow https (in)
chain=forward action=accept protocol=tcp dst-address=10.10.5.0/24 src-port=443

14 ;;; Allow https (out)
chain=forward action=accept protocol=tcp src-address=10.10.5.0/24 dst-port=443

15 ;;; Allow ftp (in)
chain=forward action=accept protocol=tcp dst-address=10.10.5.0/24 src-port=21

16 ;;; Allow ftp (out)
chain=forward action=accept protocol=tcp src-address=10.10.5.0/24 dst-port=21

17 X ;;; Allow icq (in)
chain=forward action=accept protocol=tcp dst-address=10.10.5.0/24 src-port=5190

18 X ;;; Allow icq (out)
chain=forward action=accept protocol=tcp src-address=10.10.5.0/24 dst-port=5190

19 ;;; All other forwards drop
chain=forward action=drop
[/more]
Для настройки использовал данные этого и этого сайта
Кстати, правла аналогичные "0" появляются автоматически, и в разделе FilterRules и NAT

miasik

Цитата:

а можно подробнее по правилам? что прописывать в файрволе и в нате?

в forward это если юзеры подключаются) разрешить protocol=tcp dst-port=1701 и protocol=udp dst-port=1701. хотя непонятно, зачем они сейчас заблокированы...

Цитата:

Цитата:у меня на PC МТ 3.30 стоит...прокатит?

прокатит, если поставить пакет routing-test. повторяю, шлюз надо указывать именно через процент: gateway=1.2.3.4%ether1

установил пакет добавил..всёравно если на клиенте выбираю шлюз 0,30 или 0,40 пакеты идут по одному маршруту (((

что сделал не так?

таблица маршрутов:

---------------------------------------------------------------------------------------

[root@MikroTik] /ip route> print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 172.16.0.30 10.1.8.1%ether1 1
1 S 0.0.0.0/0 172.16.0.40 10.1.8.1%ether3 1
2 ADC 10.1.8.0/22 10.1.9.181 ether1 0
ether3
3 ADC 172.16.0.0/16 172.16.0.40 ether2 0
ether4
----------------------------------------------------------------------------------------------------

Друзья! создаю l2tp соединение к зеленой точке с Mikritik 5.5. сперва конектится, потом пишет failed authenticate ourselves to peer, и на время отваливается..
шифрование выключил, побывал и включать и все что угодно.
Что может быть?

eineo,
Я заплатил ~4200р с учётом пересылки, без корпуса, без БП, но где-то видел в продаже в корпусе. Брал здесь
Насчёт цены уж не знаю, тебе решать что нужней. Тут по месту надо смотреть - понадобится когда-нибудь такой ресурс или нет, если есть хоть небольшой шанс, что понадобится, то лучше переплатить сразу, сэкономишь потом

в роутерах zyxel есть режим, когда ПК подключенные к роутеру получают интернет, если у них настроен любой IP и есть шлюз

как сделать подобное в mikrotik ? чтобы любые "серые" адреса маскарадились, при любом сером шлюзе ?

на ПК прописываем любой IP и любой адрес шлюза из подсети что и IP

ПК включаем непосредственно в zyxel - на ПК есть интернет

wsadneg заказал себе RB/450g + корпус к нему и блок питания )

chert90
как уже не раз писалось, роутер понятия не имеет, какой из его IP-адресов используется клиентами в качестве шлюза. маршруты эти надо разносить в разные таблицы (назначать routing-mark), а потом правилами mangle назначать пакетам тот же routing-mark, и тошда пакет пойдёт на нужный шлюз

Dimsoft
Hotspot точно такое умеет, если прописан Address Pool у него в настройках

Помогите, пожалуйста.
Необходимо подключить комп. в локальной сети, где Микротик 750г шлюз, по ВПН с протоколом PPTP к чужому серверу. Создаю стандартное Виндовс подключение впн, на этапе проверки пароля обрывается с ошибкой 619. Причем если те же параметры прописать Микротике как PPTP-Client, то соединение устанавливается и даже пингуются компы в удаленной сети, но только в Winbox на самом Микротике, а на компах в локальной сети нет. Кстати к моему удаленному серверу на таком же Микротике750г с любого компа подключится можно. Мне нужно понять либо как настроить маршрутизацию в локальную сеть когда Микротик PPTP-Client, либо понять почему он блокирует соединение с локального компа.

/ip firewall filter>

0 ;;; Drop invalid connections
chain=input action=drop connection-state=invalid

1 ;;; Allow esatblished connections
chain=input action=accept connection-state=established

2 ;;; Allow esatblished connections
chain=forward action=accept connection-state=established

3 ;;; Allow related connections
chain=input action=accept connection-state=related

4 ;;; Allow UDP
chain=input action=accept protocol=udp

5 ;;; allow GRE
chain=input action=accept protocol=gre

6 chain=input action=accept protocol=tcp dst-port=1723

7 chain=forward action=accept protocol=tcp dst-port=1723

8 ;;; Allow ICMP
chain=input action=accept protocol=icmp

9 ;;; Allow connection to router from local network
chain=input action=accept in-interface=!ether1

10 ;;; Allow FTP
chain=input action=accept protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=21

11 ;;; Allow WINBOX
chain=input action=accept protocol=tcp src-address=xxx.xxx.xxx.xxx dst-port=8291

a520
других правил в файрволе нет? NAT не привязан к протоколу? тогда показывайте /ip firewall service-port print