» MikroTik RouterOS (часть 3)

vlh
/user ssh-keys print

resetsa
из мануала:

Цитата:

Technically VRFs are based on policy routing. There is exactly one policy route table for each active VRF. The existing policy routing support in MT RouterOS is not changed; but on the other hand, it is not possible to have policy routing within a VRF. The main differences between VRF tables and simple policy routing are:

* Routes in VRF tables resolve next-hops in their own route table by default, while policy routes always use the main route table. Read-only route attribute gateway-table displays information about which table is used for a particular route (default is main).
* Route lookup is different. For policy routing: after route lookup has been done in policy-route table, and no route was found, route lookup proceeds to the main route table. For VRFs: if lookup is done, and no route is found in VRF route table, the lookup fails with "network unreachable" error. (You can still override this behavior with custom route lookup rules, as they have precedence.)

http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding

т.е. на пакеты, которые идут непосредственно к роутеру, это, похоже, не влияет. значение ВРФ имеет только при маршрутизации

Chupaka

Цитата:

/user ssh-keys print

как бы то же про это думал, но там ни чего нет и где взять этот файл не знаю.


Код: [admin@MikroTik] > user ssh-keys print
# USER KEY-OWNER

Chupaka
а нельзя сделать привычно (как на цисках)?через route rules

vlh
просто если там есть ключ - то в пятёрке по паролю не авторизует... если его там нет, значит причина в другом...

resetsa
к сожалению, не знаю, как на сисках, поэтому не подскажу. а задача в чём? чтобы определённый айпишник не пинговался из vrf? так это в firewall filter input можно разрешить для данной routing-mark доступ только к нужному адресу )))

Цитата:

просто если там есть ключ - то в пятёрке по паролю не авторизует

то есть при наличии ключа пароль вводить не надо, должен заходить без него?
ключа все равно нет, просто для информации.


Цитата:

если его там нет, значит причина в другом

хотелось бы понять в чем, пробовал с другого ПК под управлением Windows зайти телнетом, все то же самое, показывает версию тика и просит ввести логин, после ввода просит пароль, а дальше то о чем писал выше - облом.

Подскажите - имеется роутер rb750, на нем поднят pppoe сервер на 10 человек,проблем нет, но недавно заметил,что интернет доступен всем без подключения,если прописать вручную на любом клиенте gateway. DHCP сервер на микротику пришлось пока выключить. В чем может быть проблема?

Цитата:

В чем может быть проблема?

проблема в настройке, добавьте в адресс-лист IP тех кому разрешен интернет а в firewall правило форвард с src.address list=!(группа из адресс листа) и дроп, ну или если у Вас NAT правило только для группы из адрес листа (работать будет но это не гуд imxo).

hercares
vlh

Цитата:

нем поднят pppoe сервер

самое правильное в этом случае - удалить IP-адрес с LAN-интерфейса роутера =) тогда нечего будет прописывать шлюзом, а пппое продолжит нормально работать

Chupaka
задача в том, чтобы перенаправить трафик на другую станцию, там его профильтровать и пустить дальше в сеть (через тот же МК через который и зашел).
PS
Вроде все получилось, через VRF пигнуется только интерфейс МК (это несмотря на маршруты в VRF), остальные пакеты маршрутизируются согласно правилам маршрутизации.

Цитата:

самое правильное в этом случае - удалить IP-адрес с LAN-интерфейса роутера =) тогда нечего будет прописывать шлюзом, а пппое продолжит нормально работать

Тогда не получается поднять dhcp сервер на этом интерфейсе.

hercares

Цитата:

Тогда не получается поднять dhcp сервер на этом интерфейсе

смею предположить, что в DHCP-Server'е надо просто указать Src-Address

Помогите настроить Microtic как обычный маршрутизатор.

Есть две сети 10.0.0.0/24 и 192.168.1.0/24

как его настроить что бы юзвери свободно ходили с одной сети в другую?

Я только начинающий ламмер не бейте сильно

nloshka
Микротик всегда маршрутизирует трафик, если это не запрещено явно. Давайте конфигурацию микротика и трасу с одной сети в другую.

Цитата:

Микротик всегда маршрутизирует трафик, если это не запрещено явно. Давайте конфигурацию микротика и трасу с одной сети в другую.

webbox 2.9.6

стоит машина в ней 2 сетевухи установлена ос Mikrotic webbox 2.9.6

в одну сетевуху подкдючена 10.0.0.0/24 её ип 10.0.0.14
В другую 192.168.1.0/24 её ип 192.168.1.254

в сети по адресу 10.0.0.1 стоит биллинг на базе Ideco ICS в нём прописан маршрут
src 10.0.0.0/24 dst 192.168.1.0/24 отправлять на 10.0.0.14

Сам микротик не могу настроить

т.е. через webbox подключаюсь коннект вижу а дальше не идёт.

перечитал кучу инф перепробовал все опции ничего не помогает

nloshka

На компьютере 10.0.0.1 должен быть прописан шлюзом 10.0.0.14
на компьютерах 192.168.1.0/24 шлюзом должен быть 192.168.1.254
Все. Никаких маршрутов прописывать не надо

Цитата:

На компьютере 10.0.0.1 должен быть прописан шлюзом 10.0.0.14
на компьютерах 192.168.1.0/24 шлюзом должен быть 192.168.1.254
Все. Никаких маршрутов прописывать не надо

Так и сделано
вот трейсы с 10.0.0.0
comp:~$ traceroute 192.168.1.1
traceroute to 192.168.1.1 (192.168.1.1), 30 hops max, 60 byte packets
1 10.0.0.1 (10.0.0.1) 0.208 ms 0.181 ms 0.174 ms
2 10.0.0.14 (10.0.0.14) 3.670 ms 3.896 ms 4.050 ms
3 * * *

comp:~$ ping 192.168.1.1
PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data.
^C
--- 192.168.1.1 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3024ms

И в чём косяк?

Добавлено:
щас трейсы нормально
comp:~$ traceroute 192.168.1.10
traceroute to 192.168.1.10 (192.168.1.10), 30 hops max, 60 byte packets
1 10.0.0.1 (10.0.0.1) 0.263 ms 0.229 ms 0.217 ms
2 10.0.0.14 (10.0.0.14) 1.119 ms 1.298 ms 1.415 ms
3 192.168.1.10 (192.168.1.10) 7.481 ms 7.502 ms 7.580 ms
пинги странные
comp:~$ ping 192.168.1.10
PING 192.168.1.10 (192.168.1.10) 56(84) bytes of data.
64 bytes from 192.168.1.10: icmp_req=1 ttl=127 time=1.20 ms
From 10.0.0.1: icmp_seq=2 Redirect Host(New nexthop: 10.0.0.14)
64 bytes from 192.168.1.10: icmp_req=2 ttl=127 time=1.47 ms
From 10.0.0.1: icmp_seq=3 Redirect Host(New nexthop: 10.0.0.14)
64 bytes from 192.168.1.10: icmp_req=3 ttl=127 time=1.07 ms

с сети 10.0.0.0/24 вроде идёт коннект но передача данных нет

пытаюсь открыть www на 192.168.1.10 не открывает.

Куда теперь рыть?

Подвис microtik с 5 прошивкой, жива только консоль.
Файл для саппорта сгенерили, как забрать его теперь не ясно.
Перезагружать microtik Пока не хотелось бы

phandorin
что именно подвисло, если перезагружать не хочется?..

Chupaka
Не работает сеть. Ошибка 105 no buffer space available.

phandorin
так в чём проблема перезагрузить, если всё равно сеть не работает?..

з.ы. какая версия оси?

Ну знаешь как бывает ))) Начальство дает команду не перегружать и уезжает )))
Заодно и письмо в саппорт черкануть... Версия 5.4 проработал 3 недели в норме.
В общем понял - перегружать надо.

угу, надо - способов вытащить файл не по винбоксофтп я не нашёл =)

Traffic Flow не используется?

не юзаем - там физические лица крутятся

пока еще неспешно настраиваю под работу с SIP & Skype..
вопр1: конект в SIP идет, но звонки не пашут. нет соединения.. спользует 11024порт
[more]add action=accept chain=forward comment="Allow USER (in)" disabled=no \
dst-address-list=USER protocol=tcp src-port=80,443,21,5190,11024
add action=accept chain=forward comment="Allow USER (out)" disabled=no \
dst-port=80,443,21,5190,11024 protocol=tcp src-address-list=USER
add action=drop chain=forward comment="All other forwards drop" disabled=yes
/ip firewall nat[/more]

вопр2
Только вот скорость через микротик значительно падает.. Раньше было почти стабильно (если ни кто не качает) о 2 мегабита в оба конца. Теперь на рабочей системе (win7-x86) 2ip выдает: Входящая скорость     100-200 Kбит/сек, Исходящая скорость     1.83 Mбит/сек.
НО!!!!! для тестирования установлен на виртуалбоксе микротик3.30 и виртуальная XP, которая подключается через вирт-микро.
инет - микро3.30 - реал.комп - виртуалмикро3.3 - виртXP.
Так вот на этой виртуалке скорость входящая- 400, исходящая - 4 мегабита
Это нормально?? почему так происходит?

и еще... туплю немного... настройки прозрачного прокси, для того, чтоб закрыть доступ извне, что указать в <Your WAN Port>????
Make sure that your proxy is NOT a Open Proxy
/ip firewall filter
add chain=input in-interface=<Your WAN Port> src-address=0.0.0.0/0\
protocol=tcp dst-port=8080 action=drop

ramzes83

Цитата:

конект в SIP идет, но звонки не пашут. нет соединения..

а если то же самое разрешить для protocol=udp?

WAN port - это название интерфейса, на который из интернета пакетики валятся

пакеты нигде не теряются? pathping в помощь...

Chupaka

Цитата:

WAN port - это название интерфейса

спасиб. я думал нужен именно порт...

Цитата:

разрешить для protocol=udp

не получилось. состояние одинаково с включенными фильтрами.
счетчик времени идет. звука нет. отключил полную блокировку, появился звук. При чем исходящий трафик был, так как слышна запись микрофона и оператора...
в супорте еще раз сказал о том, что sip использует динамические порты. 11024 только для звонка, еще какой-то протокол sims спользует 5060. его тоже открыл. а голосовой поток через динамику.... Только как быть? открывать все??? - не хотелось бы. незнаешь?
сделал 3 тест-звонка: порты 29662-29663, 29924-29925, 21284-21285

Скайп в это время работает, но звук немного дрожит. Логично, так как используется всего одна "дырка"...

кстати, а есть скрипт, для занесения списка сайтов (анонимайзеров), дабы вручную не вводить?.. заблочить хотя бы первые пару страниц выдаваемых гуглом, дальше только маньяки искать будут наверное))

ramzes83
ну, можно попробовать глянуть сначала в /ip firewall service-port на предмет включенности хелпера sip, а потом проверить, не маркирует ли он искомые соединения как connection-type=sip... чем чёрт не шутит

ramzes83
>>>... настройки прозрачного прокси, для того, чтоб закрыть доступ извне...

я всегда перенаправлял на полноценный squid, т.к. встроенный очень уж упрощен.
И даже не подозревал о том, что есть какой-то способ добраться до него из вне.

add action=redirect chain=dstnat comment="web proxy" disabled=no dst-port=80 \
in-interface=ether2 protocol=tcp src-address=192.168.12.20-192.168.12.110 \
src-address-list=!proxyip to-ports=3128

/ip proxy
set always-from-cache=no cache-administrator="" cache-hit-dscp=4 \
cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=\
999 max-fresh-time=3d max-server-connections=999 parent-proxy=\
192.168.12.253 parent-proxy-port=3128 port=3128 serialize-connections=no \
src-address=0.0.0.0

в этом примере squid по адресу 192.168.12.253

Chupaka

Цитата:

проверить, не маркирует ли он искомые соединения как connection-type=sip... чем чёрт не шутит

хелпер sip включен по дефолту. А вот с маркировкой у меня проблемы... Как промаркировать вроде понял,а как проверить - нет.
ээ.. а сервис sip в микротике за что отвечает? если его отключить - чем чревато? завтра попробую.
При звонке создается UDP сеанс на случайный порт.
a520
спасибо, но мне пока и этого хватит. Как аппетиты вырастут, обращусь)

Здравствуйте. Требуется удаленная помощь и консультация в настройке устройства на базе Microtic\RouterOS . Готов заплатить за помощь.

Cooler3D@gmail.com // skype Lachesis3D