» MikroTik RouterOS (часть 3)

Друзья... никак не могу нагуглить инфу как работать в скриптах с файлами
Хочу написать скрипт, который будет построчно анализировать залитый на микротик файл и выполнять необходимые действия.
Если кто сталкивался с таким - ткните носом плиз

Mikrotik позволяет с внутреннего интерфейса
подключиться на внутрение сервисы(они доступны по dst nat)
через внешний IP ?

slech Непонятно спрашиваешь.
Наверное это имеется ввиду: http://wiki.mikrotik.com/wiki/Hairpin_NAT

slech

Цитата:

я хочу 1 из них под нужды всякий сайтов, второй же отдельно для VPN

что значит "для VPN"? для VPN-сервера, для VPN-клиента, для натирования VPN-клиентов?..


Цитата:

route add 192.168.0.0 mask 255.255.255.0 192.168.10.2

именно так

sumyst

Цитата:

Вторым роутером? это не проблема, но как именно? что-то я не могу сообразить=(

ну, например, проксю включить во второй роутер, который и будет заниматься натированием

или в ether10 перед Интернетом включить второй роутер для натирования...

MAVrADMIN
у встроенного скриптового языка очень мелкие возможности по обработке файлов - чего стоит ограничение в 4 килобайта на файл... а так можно почитать http://wiki.mikrotik.com/wiki/Manual:Scripting-examples#Parse_file_to_add_ppp_secrets

Chupaka
Спасибо, именно то что надо
Суть задачи: брать из файла имена сайтов и проверять не изменились ли их адреса. так же хочется чтоб список динамических банов не сбрасывался при перезагрузке. думаю что 4к для файликов хватит

Chupaka
Тоесть в первый микротик воткнут провайдеры к нему подключаются впн тунели, во второй микротик воткнута прокся...
Манглом отправляем пакеты на второй микротик...
И тут неувязочка.
Нам прийдется делать первый микротик дефолтом и так же точно манглом отправлять на проксю пакеты.


Вариант только один: двойной нат. На проксе и на микротике.

Поправь если я не прав.

И да, спасибо за подсказки.

Chupaka

Цитата:

что значит "для VPN"? для VPN-сервера, для VPN-клиента, для натирования VPN-клиентов?..

Для VPN сервера - куда будут подключаться клиенты.
Т.е. грубо говоря сказать ROS какой интерфейс слушать для VPN, но такой настройки нет. Получается что он будет слушать все 2 IP.
Например:
У меня на 1-ом IP HTTPS для проброса на внутрение сайты.
На 2-ом IP хочу SSTP на 443 порту.

Добавлено:
Sergey Sosnovsky

Цитата:

slech Непонятно спрашиваешь.
Наверное это имеется ввиду: http://wiki.mikrotik.com/wiki/Hairpin_NAT

Именно об этом была речь .
Спасибо.

sumyst

Цитата:

Тоесть в первый микротик воткнут провайдеры к нему подключаются впн тунели

за что люблю руборд - нужна очень хорошая память что за впн? может, их лучше подключать ко второму?

slech

Цитата:

У меня на 1-ом IP HTTPS для проброса на внутрение сайты.
На 2-ом IP хочу SSTP на 443 порту.

тогда достаточно просто пробросить сайты внутрь - всё непроброшенное будет обрабатывать SSTP

Chupaka
спасибо бльшое, постараюсь проверить.

Chupaka

В кратце, "роутерА" это концентратор для стопицот впэнов.
Имеет несколько провайдеров, нужно обеспечить бесперебойную работу этого хозяйства.

Для чего все затевалось: есть ооооочень много офисов подключенных к самым разным провам, надо для этих офисов сделать доменную авторизацию с учетом трафика по IP.
Ставить "тазик" в каждый из этих офисов накладно да и не нужно (некому обслуживать), я хотел поставить единый кэптив портал в центральном офисе и раутить весь трафик через него.

Коллега, если Вы посоветуете решение лучше - буду только рад, и по приезду меня в Ваш город с меня любые напитки на Ваш выбор. ,)
Задачу я описал.

PS: то, что на картинке, которую я вам привел, это сильно упрощенная схема на стенде. начал упрощать когда понял что правило мангл не работает.

PPS: netflow не предлагать. пока просто не успею одновременно со сменой роутеров внедрить ещё и биллинг. А надо именно одновременно.

PPPS: в качестве кэптив портала используется керио, он же сейчас стоит вместо роутеров и его надо заменить.

Не могу разобраться с интересной ситуацией. Для чистоты вопроса ставлю routerOS на виртуальную машину.
Сначала версию 3.2 затем 5.2 или 5.8
После установки - сразу пытаюсь сканировать IP (Tools- IP_Scan) на интерфейсе, выходящем во внутреннюю сеть
Результат: в 3.2 при сканировании отображаются netbios имена присутствующих в сети машин , в 5.2 и 5.8 - нет , пустое поле. Что изменилось в поставках систем? может быть в 5.* где-то нужно дополнитеьлную службу включать ?

Подскажите пожалуйста, а есть у микротика официальный русскоязычный сайт? Ни как не могу решить проблему с RB493AH, дело в том, что на прошивке 4,17 что то сильно съедает память и загружает проц под 100%, приходиться перегружать, чтобы высвободить память, а на прошивке 5,8 при тех же настройках все нормально, но зато через некоторое время перестает пускать по WINBOX, зайти можно только через WEB,тоже требуется перезагрузка, но хватает буквально на пару часов, потом опять перестает отзываться через WINBOX(просто висит окно загрузки), что делать ума не приложу, уже сбрасывал в заводские настройки и настраивал вручную по новой, все то же. И сказать, что траффик смертельный – нет, всего 40 Мбит.

Цитата:

есть у микротика официальный русскоязычный сайт?

нет. но суппорт по-русски, как правило, понимает


Цитата:

через некоторое время перестает пускать по WINBOX

а если зайти другим путём и в /ip services выключить/включить Винбокс - доступ восстанавливается? если да - то в момент возникновения проблемы делать supout.rif и слать на support@mikrotik.com с небольшим комментарием

Chupaka

Цитата:

а если зайти другим путём и в /ip services выключить/включить Винбокс - доступ восстанавливается? если да - то в момент возникновения проблемы делать supout.rif и слать на support@mikrotik.com с небольшим комментарием

спасибо за совет, а не подскажете как делать supout.rif? Сейчас пока стоит прошивка 4,17 и раз в сутки перезагружаю, чтобы высвободить память, но на следующей недели постараюсь попробовать Ваш совет, на выходных траффик загружен.

Подскажите пожалуйста, вот есть микротик RB450G, у встроенной флэшки уже 0,2% bad блоков.
Ну в общем, как сделать загрузку с микроSD? Опция загрузки с карты есть, это понятно, но как сделать загрузочную карту?

likforeva

Цитата:

как делать supout.rif?

/system sup-output


Цитата:

перезагружаю, чтобы высвободить память

если этого в 5.8 нет - значит, исправили. значит, надо обновляться логика простая

wsadneg

Цитата:

у встроенной флэшки уже 0,2% bad блоков

до 1%, кажысь, - это нормально, можно не дёргаться

Chupaka

Цитата:

Цитата: У клиента 10Мб канал


где/чем он режется?

Ограничение в 10Мб на Микротике и на клиенте выставляет провайдер,
и на Микротике и на клиенте провайдер один и тот же

Задача подключить клиента к микротику , без потерь

rosalin
а такой фокус не покатит? http://www.mikrotik.by/index.php?showtopic=56

приобрели новенький RB/MRTG взамен PC ROS 3.20.
как в терминале включить автозаполнение команд?
сделал сброс настроек по умолчанию, появилось. полностью удалил - пропало.. как включить на чистой кофигурации??
не пинайте. пока настраиваю практически по видеороликам... с микротиком я еще очень даже на ВЫ, так что лишним не будет..

Цитата:

а такой фокус не покатит? http://www.mikrotik.by/index.php?showtopic=56

Попробовал , не помогло!!!
И еще раздражает что при вкл. правиле

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Web proxy
chain=dstnat action=redirect to-ports=8080 protoco
src-address-list=!NoInternet in-interface=LAN dst-port=80

Падает скорость (с 10 Мб до ~4-5 Мб)по http , при отключении все нормально

(может это завязано с тунелями , может нет пока не выеснил пока идет отдельной проблемой)

ramzes83

Цитата:

как в терминале включить автозаполнение команд?

автозаполнение по Tab работает всегда, а по Ctrl+V можно включить какой-то киздоватый режим "перманентного Tab'а" =)

Chupaka
попробую. но точно было без всяких TAB.. как в гугле, также и в микротике было

Цитата:

И еще раздражает что при вкл. правиле

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Web proxy
chain=dstnat action=redirect to-ports=8080 protoco
src-address-list=!NoInternet in-interface=LAN dst-port=80

Падает скорость (с 10 Мб до ~4-5 Мб)по http , при отключении все нормально

(может это завязано с тунелями , может нет пока не выеснил пока идет отдельной проблемой)

С этим разобрался - отключил в микротике кэширование на диск

Осталась решить со скоростью через туннель

Доброго дня всем! Маленький вопросик, РБ450Г юзает кто на 800 мегогерц? На сколько стабилно работает? Есть одно узкое место, очень бы помогла повышенная частота, пока 1100 не купим.

Bambastick
мой просто не загрузился на 800, пришлось консольный кабель подключать и откатывать на 680

Настроен прозрачный прокси. Обновления windows толком не работают (*.exe блокирую). Что прописать чтобы обращения к серверам микрософт шли мимо прокси? help me

Приветствую. Есть желание подключить к микроту (х86) LCD панельку. В харвэр вики среди прочих указаны панели powertip PC1602/PC1604/PC2002/PC2004/PC2402/PC2404. Панели powertip основанны на контроллере ST7066U и работают через LPT порт. Означенные LCD-шки достать за адекватные деньги несколько проблематично. Но есть панели других производителей на том же контроллере, к примеру есть в наличии winstar WH1602B. Заработает ли сия LCD-шка с микротом? Есть ли у кого практика по данному вопросу?

MSSIGN

Цитата:

Что прописать чтобы обращения к серверам микрософт шли мимо прокси?

узнать имена серверов - и разрешить их первыми правилами в проксе

Вопрос по файрволу. Может ли Микротиковский файрвол заглядывать внутрь пакетов и на этом основании принимать решение о маркировке или другом действии? Поясню что нужно:

Есть пакет 001a4d45a614000c42b01b640800450005 и так далее. Нужно чтобы файрвол проверял каждый пакет на наличие последовательности ну скажем a4d45a и на этом основании решал что делать дальше.

Гуглинг не помог. Вроде как есть фича packet content, но проверка последовательностей ни к чему не приводила. Подскажите, может ли так Микротик?

Ank Burov
«content» в фильтре пакетов работает. В одной из моих сетей каждый день по 5—10 жертв троянов отлавливается, которые перебирают пароли к ресурсам.

Цитата:

но проверка последовательностей ни к чему не приводила.

Значит не верно строили правило.