» MikroTik RouterOS (часть 3)

a520

Цитата:

я всегда перенаправлял на полноценный squid, т.к. встроенный очень уж упрощен

а почему в указанном примере перенаправляете сначала на встроенный?


Цитата:

И даже не подозревал о том, что есть какой-то способ добраться до него из вне

зато теперь уже точно знаете, что есть =) защищайтесь на здоровье...

ramzes83

Цитата:

Как промаркировать вроде понял,а как проверить - нет.

промаркировать что? проверить - я уже сказал: connection-type=sip

Madjidin3D
в чём настройка должна заключаться? ТЗ просто поражает своей краткостью

Chupaka
Требуется помощь в простейшей настройке, т.е. на режим моста. Ну и объяснение принципов этой настройки. Адекватного моста самому получить так и не удалось

Madjidin3D
хм... уже интересно... а не могли бы вы описать принцип действия "неадекватного моста"?.. потому как адекватный создаётся добавлением моста с последующим добавлением в него портов... всё

Chupaka
Дело в том что наш системный администратор (да упокоится душа его) не оставил никаких инструкций, и разобраться в одних лишь проводных коммутациях нам стоило месяца. Мы бы нашли другого, да нет в нашей глубинке людей с опытом работы в роутерами данного типа. Вернее каждый второй подписывается, но поняв что настраивать не Dlink dir320, убегает в ужасе. Если у кого есть возможность, помогите пожалуйста, отблагодарить не забуду.

Madjidin3D
собсна, до сих пор никто в топике понятия не имеет, что надо сделать и о каких размерах структуры мы говорим. сделать мост - три секунды (ну, ладно, вру - секунд 40...), а поднять на мосту хотспот с двухпроходным шейпером и проксёй - это... скажем так, чуть более сложно. поэтому задавайте, пожалуйста, конкретные вопросы - и получайте, по мере возможностей, конкретные ответы =)

Chupaka
Я бы с удовольствием задал конкретные вопросы, но я в этом деле совсем уж ламер (я бухгалтер), а мануалы уж больно толстые по этому делу
Попробую обрисовать ситуацию:
Есть сервер. Он получает интернет на внешнюю сетевую плату, у него внешний ip. Еще у сервера есть внутренняя сетевая плата, от нее идет патчкорд к свичу. А вот уже от свича питаются локальные компьютеры, и собственно роутер на базе Microtic RouterOS (от роутера идет три секторных антенны, на десяток пользователей).
Так вот. Какую цель выполняет сервер? Он раздает интернет внутренним устройствам, посредством Traffic Inspector 2+. Ось Win2007. На сервере поднят DHCP.
Нужно - чтобы роутер Microtic был просто мостом между подключенными устройствами, и самим сервером. На сервер есть доступ через TeamViewer.
Организация - вуз. Начальство пригрозило уволить, если не справлюсь с задачей в течении нескольких дней. Готов приплатить из своего кармана, тому кто поможет с этим роутером разобраться.

skype Lachesis3D

Madjidin3D
Хороши админы что на венде делают сервера.
вы сами от куда и какова ЗП ? может к вам поеду работать

Добавлено:

Цитата:

Нужно - чтобы роутер Microtic был просто мостом между подключенными устройствами, и самим сервером. На сервер есть доступ через TeamViewer.

Сбросте устройство в дефолт и поднимите точку доступа
настойте DHCP репитер в зону WIFI делов то на 5 минут.

Цитата:

Сбросте устройство в дефолт и поднимите точку доступа
настойте DHCP репитер в зону WIFI делов то на 5 минут.

Ну что вы советуете бухгалтеру? Mikrotik за свичём, может там виланы какие, интерфейсов куча, а вы в настойте репитер, сбросте в дефоулт...

to Madjidin3D вообщем ищите специалиста.

Madjidin3D
Отладите доступ я вам настрою
мой логин в скайпе nloshka404
я с микротиком разобрался за 2 часа
хотя тоже так же задвал вопросы на форуме
оказывается там всё так просто
просто младенец справится

Добавлено:

Цитата:

Ну что вы советуете бухгалтеру? Mikrotik за свичём, может там виланы какие, интерфейсов куча, а вы в настойте репитер, сбросте в дефоулт...

Да конечно я погорячился в терминах
извините

Chupaka

Цитата:

а почему в указанном примере перенаправляете сначала на встроенный?

Дык не умею я по другому делать прозрачный прокси. И, кстати, уверен что мой недоступен из вне

Цитата:

И, кстати, уверен что мой недоступен из вне

уверен почему? потому что всё же завайрволен в input'е?

Chupaka

Цитата:

уверен почему? потому что всё же завайрволен в input'е?

squid в локальной сети за NAT. 80 порт из вне перенаправляется на сервер с 1с веб, а 3128 никуда не перенаправляется. Как к нему (squid) попасть из вне?

Добавлено:
Да и в настройках squid разрешены только локальные адреса. Даже не задумывался никогда о его защите.

Цитата:

squid в локальной сети за NAT

а про сквид речь не идёт. главное - попасть на мелкотиковский прокси по его порту (по внешнему адресу). если это возможно - то понеслись запросы, которые прокся уже перенаправит на сквид _от своего адреса_! а уж он-то явно локальным является =) да и, похоже, единственным, который сквид обслуживает...

Chupaka

Цитата:

главное - попасть на мелкотиковский прокси по его порту

а на него то и не попасть из вне

кстати, а как по другому то устроить прозрачный прокси?

Цитата:

а почему в указанном примере перенаправляете сначала на встроенный?

В /ip firewall filter что ли добавить редирект?

Цитата:

а на него то и не попасть из вне

блин... я, наверное, задам тупой вопрос, но всё же: а почему?


Цитата:

кстати, а как по другому то устроить прозрачный прокси?

да как угодно. я, например, маршрутизирую трафик к сквиду - так и только так можно работать в режиме TProxy в простом случае можно сразу натировать на сквид

Цитата:

блин... я, наверное, задам тупой вопрос, но всё же: а почему?

я брал конфиг из примера на офф.сайте где соединения TCP явно не принимаются
и попадают под завершающее правило
/ip firewall filter
add action=drop chain=input comment="Drop everything else" disabled=no


Цитата:

я, например, маршрутизирую трафик к сквиду

а можно пример?

a520

Цитата:

и попадают под завершающее правило... chain=input

я рад, что вы всё же согласились с тем, о чём я твердил со второй трети этой страницы =)


Цитата:

а можно пример?

как-то так:

Код: /ip route add gateway=squid_ip routing-mark=to-squid
/ip firewall mangle chain=prerouting src-mac-address=!squid_mac protocol=tcp dst-port=80 action=mark-routing new-routing-mark=to-squid
/ip firewall mangle chain=prerouting src-mac-address=!squid_mac protocol=tcp src-port=80 action=mark-routing new-routing-mark=to-squid

Chupaka

Цитата:

как-то так: ...

Работает! Проверил!
и в цепочке HTTP_VIA на посещаемых сайтах теперь только squid, а был mikrotik + squid.
Спасибо!



Добавлено:
Chupaka
а под правило где src-port=80 вроде ни кто не попадает, может убрать его?

Цитата:

а под правило где src-port=80 вроде ни кто не попадает, может убрать его?

оно для сквида в режиме TProxy с одним сетевым интерфейсом =) это когда прокси не меняет IP-адрес пользователя на свой

Цитата:

оно для сквида в режиме TProxy

ага! нашел зачем, http://bloggik.net/index.php/articles/networks/18-cisco/38-squid-tproxy-wccp

мне пока не актуально, у меня одна подсеть, но за науку спасибо.

Цитата:

ага! нашел зачем <...> мне пока не актуально, у меня одна подсеть, но за науку спасибо

значит, не нашли =) это может быть неактуально только в том случае, если не подсеть одна, а адрес один (например, используем модем провайдера и втихаря перепродаём услугу десяти пользователям). как только есть несколько пользователей с разными внешними адресами - при попытке прогнать их через прозрачный прокси получим, что внешний адрес у них у всех стал дынтичен адресу прокси. вот тут на сцену и выходит TProxy - он НЕ меняет адреса соединения, сайт видит подключение с адреса пользователя, а не с адреса прокси

... и внешний адрес тоже один
(а если перепродажа втихаря то, наверное все равно какой адрес и боятся надо налоговую, а не провайдера, IMHO)

Chupaka
я конечно извиняюсь, за тупость, но можно подробно, где и как посмотреть тип соединения???

Цитата:

проверить - я уже сказал: connection-type=sip

.... если это в разделе Firewall - Connections, то тут отсутствуют какие-либо метки..
Только после включения правил фильтров Layer7 в графе P2P появляется "bit torrent" так понимаю один из созданных фильтров.

сори.. случайно.....

Доброго времени суток, подскажите пожалуйста, где можно что накрутить чтобы при флуде клиентского микротика база могла его просто отбрасывать, а то у меня управлялка гасит порт базы сразу, вдруг чего((( Помогите! Заранее спасибо

П.С.
База - 3 сектора на 433AH микротике, клиенты по WDS конектяться к ней, wep шифрование с радиусом)

может не совсем в тему вопрос, но требуется техническое объяснение тому что у меня происходит, на рисунке приведена схема и внизу то сообщение которые появляются в логах микротика, иногда их нет целый день а иногда сыпятся часами:



получается, что карточка смотрящая в локальную сеть делает DNS запрос, хотя это должна делать карта смотрящая на RB1200, или может у какого то клиента вирус или он себе что то не то прописал, внешние адреса меняются и замечено их пока 3, это как бы не напрягает, но хочется разобраться что это, так как это происходит не постоянно думаю, что это какой то клиент.

vlh
это не DNS-запрос, это DNS-ответ =) у него src-port 53, а не dst

в какой-то момент один из клиентов сходит с ума, теряет адрес, не может получить новый - и автоматически навешивает себе 169.254.*.*. потом он каким-то образом всё же делает DNS-запрос к 172.16.1.1:53 с этого автоматического адреса (возможно, в момент, когда нормальный адрес уже получен, но по инерции используется почему-то автоматический), на который DNS и отвечает. только вот он не в курсе, где находится подсеть 169.254.0.0/16 (она у него нигде не прописана), поэтому пакет с ответом уходит на шлюз по умолчанию - в Интернет

Chupaka
спасибо за ликбез, тогда еще вопрос, у нас нет DHCP адреса статические, тогда судя по тому что вы написали можно предположить, что клиент не прописывал себе статику и тогда ему присвоились эти ip (169.254.0.0) тогда непонятно откуда он знает про шлюз и про DNS? или же у него просто сетевая карта глючит? или скорее всего IP стоит получать а DNS прописан статикой.
и еще почему эти запросы попадают в лог микротика, ведь DNS запросы от других клиентов у которых все нормально не попадают в лог?

vlh

Цитата:

или скорее всего IP стоит получать а DNS прописан статикой

тоже может быть. сейчас подробнее не могу проверить, как себя ведёт машина с такими настройками - ведь вроде как и шлюз ей должен быть известен для отправки...

спасибо, немного дополнил свой пост, по поводу почему эти записи попадают в лог.