Цитата:
странно у меня на рб1200 фирмвара 2.33, os - 5.6 - ребутов нет (аппаратов 2)
подскажи фирмваре можно обновлять?
» MikroTik RouterOS (часть 3)
Цитата:
подскажи фирмваре можно обновлять?
skynet120
Цитата:
может стоит подождать 5.10 ?
Ребята, подскажите пожалуйста.
Есть PPTP - всем статически раздаём IP.
Пользователь установил 2 сесси.
Выдался ему конечно же тот же IP и в итоге работает лишь одно соединение.
Думаю выдача из IP Pool решил эту проблему, но! тогда я несмогу прописать каждому маршрут на внутрение подсети, т.к. я небуду знать какой у пользователя IP.
Ежели как сейчас то я знаю у кого какой IP и сообщил кому какие маршруты прописать.
Есть ли выход ?
Спасибо.
Цитата:
подскажи фирмваре можно обновлять?
может стоит подождать 5.10 ?
Ребята, подскажите пожалуйста.
Есть PPTP - всем статически раздаём IP.
Пользователь установил 2 сесси.
Выдался ему конечно же тот же IP и в итоге работает лишь одно соединение.
Думаю выдача из IP Pool решил эту проблему, но! тогда я несмогу прописать каждому маршрут на внутрение подсети, т.к. я небуду знать какой у пользователя IP.
Ежели как сейчас то я знаю у кого какой IP и сообщил кому какие маршруты прописать.
Есть ли выход ?
Спасибо.
Привет всем!
Имеется роутер Mikrotik G450
Также имеется 2 Интернета от разных провайдеров 100 мбит каждый
Собственно, немного танцев с бубном, и у меня работают оба, в т.к сказать "страхующем" режиме: т.е если вытянуть второй кабель - всё пойдет по первому, если вытянуть первый кабель - разницы не будет, т.к по умолчанию всё идёт по второму.
Так вот, во первых я не совсем понял, каким образом можно задать умолчание, т.е по какому каналу трафик будет идти в первую очередь.
Во вторых - вообще всё это затеевалось, для того что можно было использовать два Интернета ОДНОВРЕМЕННО!
Т.е если я качаю торрент (естественно качая 1 файл так не выйдет), то моя скорость близка к суммарной скорости обоих провайдеров, т.е под 200 мбит.
Ну и само собой, что бы если один инет глючит, то что бы вся нагрузка распределялась на второй.
В какую сторону мне нужно рыть, и вообще, реально ли такое сделать?
Имеется роутер Mikrotik G450
Также имеется 2 Интернета от разных провайдеров 100 мбит каждый
Собственно, немного танцев с бубном, и у меня работают оба, в т.к сказать "страхующем" режиме: т.е если вытянуть второй кабель - всё пойдет по первому, если вытянуть первый кабель - разницы не будет, т.к по умолчанию всё идёт по второму.
Так вот, во первых я не совсем понял, каким образом можно задать умолчание, т.е по какому каналу трафик будет идти в первую очередь.
Во вторых - вообще всё это затеевалось, для того что можно было использовать два Интернета ОДНОВРЕМЕННО!
Т.е если я качаю торрент (естественно качая 1 файл так не выйдет), то моя скорость близка к суммарной скорости обоих провайдеров, т.е под 200 мбит.
Ну и само собой, что бы если один инет глючит, то что бы вся нагрузка распределялась на второй.
В какую сторону мне нужно рыть, и вообще, реально ли такое сделать?
ArtikUA
что бы сложить два канала для этого настройки вашего оборудования маловато, нужно что бы провайдер на своей стороне тоже произвел настройки оборудования, что соответственно делать ни кто не будет, вам остается только примерно равномерно загрузить каналы - РСС а с резервированием канала попробуйте прочитать - тут
что бы сложить два канала для этого настройки вашего оборудования маловато, нужно что бы провайдер на своей стороне тоже произвел настройки оборудования, что соответственно делать ни кто не будет, вам остается только примерно равномерно загрузить каналы - РСС а с резервированием канала попробуйте прочитать - тут
Цитата:
kynet120
Цитата:
подскажи фирмваре можно обновлять?
может стоит подождать 5.10 ?
меня просто интересует этот вопрос.
так же пока не нашел как сделать что бы:
1) для определенного пользователя весь трафик ходил через определенный IP
2) как определенному пользователю закрыть доступ в инет, но оставить рабочеми ICQ и почту, а так же в обеденный перерыв открывать полный доступ
skynet120
Цитата:
1. используем NAT
Код:
chain=srcnat action=src-nat to-addresses=8.8.8.8 src-address=192.168.0.4
out-interface=ether1-wan-primary
Цитата:
так же пока не нашел как сделать что бы:
1) для определенного пользователя весь трафик ходил через определенный IP
2) как определенному пользователю закрыть доступ в инет, но оставить рабочеми ICQ и почту, а так же в обеденный перерыв открывать полный доступ
1. используем NAT
Код:
chain=srcnat action=src-nat to-addresses=8.8.8.8 src-address=192.168.0.4
out-interface=ether1-wan-primary
vlh
Спасибо, это то что мне нужно!
Кстати, еще вопрос, у меня на провайдере1 все настройки нужно прописывать руками, а на провайдере2 прописываются автоматически (т.е ip, gateway, dns)
Так вот, возникла небольшая проблема с DNS
Дело в том что когда я прописываю DNS от провайдера1 и подключаю провайдера2, то провайдер2 затирает их и прописывает свои автоматически
Спасибо, это то что мне нужно!
Кстати, еще вопрос, у меня на провайдере1 все настройки нужно прописывать руками, а на провайдере2 прописываются автоматически (т.е ip, gateway, dns)
Так вот, возникла небольшая проблема с DNS
Дело в том что когда я прописываю DNS от провайдера1 и подключаю провайдера2, то провайдер2 затирает их и прописывает свои автоматически
Подскажите как из адресного листа с экспортировать один конкретный список а не все?
Цитата:
ArtikUA Дело в том что когда я прописываю DNS от провайдера1 и подключаю провайдера2, то провайдер2 затирает их и прописывает свои автоматически
в настройках соединения (vpn, dhcp) второго провайдера, отключите - Use Peer DNS
Создал серую подсетку 10.10.11.0/24, шлюзом 10.10.11.254, делую маскарад
add action=masquerade chain=srcnat disabled=no out-interface=Public src-address=10.10.11.0/24
всё работает, теперь хочу завернуть через прокси, делаю так
add action=redirect chain=dstnat comment=NEPNET disabled=no dst-port=80 protocol=tcp src-address=10.10.11.0/24 to-ports=8004
нат пакетики считает, странички не открываются, на прокси тоже никакой активности в статусе. С белыми ипами через прокси работает. Может поскажите что?
add action=masquerade chain=srcnat disabled=no out-interface=Public src-address=10.10.11.0/24
всё работает, теперь хочу завернуть через прокси, делаю так
add action=redirect chain=dstnat comment=NEPNET disabled=no dst-port=80 protocol=tcp src-address=10.10.11.0/24 to-ports=8004
нат пакетики считает, странички не открываются, на прокси тоже никакой активности в статусе. С белыми ипами через прокси работает. Может поскажите что?
Bambastick
Цитата:
никак. полный экспорт + grep в помощь
Цитата:
доступ к проксе в firewall filter input не закрыт?
Цитата:
как из адресного листа с экспортировать один конкретный список а не все?
никак. полный экспорт + grep в помощь
Цитата:
нат пакетики считает, странички не открываются
доступ к проксе в firewall filter input не закрыт?
Разобрался 
я сам лапух было сделано ограничение соединений на инпут, очень маленьким =10, винбоксам хватало, а я открывал для проверки страничку там 8 вкладок, собственно вот и весь дефект . Спасибо за ответ!
Может кто тыкнуть меня носом в хороший мануал по прокси на русском, где более подробно описано что можно вытворять с ним(имею в виду микротиковский вебпрокси)
я сам лапух было сделано ограничение соединений на инпут, очень маленьким =10, винбоксам хватало, а я открывал для проверки страничку там 8 вкладок, собственно вот и весь дефект . Спасибо за ответ! Может кто тыкнуть меня носом в хороший мануал по прокси на русском, где более подробно описано что можно вытворять с ним(имею в виду микротиковский вебпрокси)
1)подскажите, для того, чтобы полностью скрыть локалку от провайдера что нужно использовать? NAT?
начальные стандартные настройки фаервола с доступом в инет создали правило:
/ip firewall nat chain=srcnat action=masquerade out-interface=ether1
провайдер корбина, настраивал подключение по инструкции. После настройки появился еще одно правило в NATe, для нового подключения.
/ip firewall nat chain=srcnat action=masquerade out-interface=corbina-l2tp
Эти правила не закрывают полностью информацию. из вне отлично видно мой локальный IP. Как полностью и хорошо закрыть локалку?\ еще запущен прозрачный прокси, он также виден.
Ближайший прокси 192.168.1.2 [ Mikrotik HttpProxy ]
Адрес в интранет 192.168.1.1
2)планируется 2 разделенные подсети. Объединить в бридж или назначить один порт мастером, остальные к нему подключить? Критичная разница есть в этом?
3) если на один интерфейс повесить 2 адреса разных подсетей. ..0.1 и ..1.1 например. онда с DHCP вторая без него. К первой будут применяться правила блокировок, вторая будет без них (приходящие ноуты в ремон для быстрого подключения к сети) или нет, не так...
В APR таблице привязка IP+mac. Как добавить несколько IP для которых привязка не требуется???
начальные стандартные настройки фаервола с доступом в инет создали правило:
/ip firewall nat chain=srcnat action=masquerade out-interface=ether1
провайдер корбина, настраивал подключение по инструкции. После настройки появился еще одно правило в NATe, для нового подключения.
/ip firewall nat chain=srcnat action=masquerade out-interface=corbina-l2tp
Эти правила не закрывают полностью информацию. из вне отлично видно мой локальный IP. Как полностью и хорошо закрыть локалку?\ еще запущен прозрачный прокси, он также виден.
Ближайший прокси 192.168.1.2 [ Mikrotik HttpProxy ]
Адрес в интранет 192.168.1.1
2)планируется 2 разделенные подсети. Объединить в бридж или назначить один порт мастером, остальные к нему подключить? Критичная разница есть в этом?
3) если на один интерфейс повесить 2 адреса разных подсетей. ..0.1 и ..1.1 например. онда с DHCP вторая без него. К первой будут применяться правила блокировок, вторая будет без них (приходящие ноуты в ремон для быстрого подключения к сети) или нет, не так...
В APR таблице привязка IP+mac. Как добавить несколько IP для которых привязка не требуется???
Цитата:
vlh
Спасибо, нашел!
Так-же разобрался, что клацая в DHCP "use default route" можно выбирать через какого провайдера весь трафик будет идти.
Правда я так и не понял, как правильно прописать DNSы, что бы для одного провайдера были первые два, а для второго - вторые два. Сейчас я просто 4 подряд прописал в IP -> DNS->Settings, но работает не очень корректно, часть сайтов не отображается, т.к я так полагаю он путает DNS и не всегда знает какой использовать
ArtikUA
Цитата:
используйте Гугл - 8.8.8.8 и 8.8.4.4 =)
Цитата:
Правда я так и не понял, как правильно прописать DNSы, что бы для одного провайдера были первые два, а для второго - вторые два. Сейчас я просто 4 подряд прописал в IP -> DNS->Settings, но работает не очень корректно, часть сайтов не отображается, т.к я так полагаю он путает DNS и не всегда знает какой использовать
используйте Гугл - 8.8.8.8 и 8.8.4.4 =)
Chupaka
Решение - БОМБА!!!!
Просто ни первый ни второй пров не разрешает использовать свои ДНС никому, кроме "своих", а это решило все проблемы) Спасибо!
Добавлено:
Еще вопрос, зачем обязательно для каждого WAN делать DHCP, даже тогда, когда настройки прописываешь в ручную?
Без этого инет не тянет почему-то.
И еще, какой PCC делит трафик сильнее всех поровну?
Заметил что если торрент включаешь, то ощутимо не равномерно делит канал (юзая both adresses and ports), если ли возможность вообще сделать просто что-то вроде rand(0, 1) ?
Решение - БОМБА!!!!
Просто ни первый ни второй пров не разрешает использовать свои ДНС никому, кроме "своих", а это решило все проблемы) Спасибо!
Добавлено:
Еще вопрос, зачем обязательно для каждого WAN делать DHCP, даже тогда, когда настройки прописываешь в ручную?
Без этого инет не тянет почему-то.
И еще, какой PCC делит трафик сильнее всех поровну?
Заметил что если торрент включаешь, то ощутимо не равномерно делит канал (юзая both adresses and ports), если ли возможность вообще сделать просто что-то вроде rand(0, 1) ?
У меня MIKROTIK RB/750. В настройках по умолчанию первый порт ether1-gateway. В него входит провод от провайдера. Для подключения к интернету прописал VPN - PPTP client. Проблема появляется когда перезагружается роутер после чего добавляется маршрут по умолчанию - 0.0.0.0/0 с gateway 192.168.0.200
Самый верхний в скриншоте.
После удаления этого маршрута инет начинает работать. Какой командой запретить автоматическое добавление сети? Перерыл весь Winbox но не нашел
Самый верхний в скриншоте.
После удаления этого маршрута инет начинает работать. Какой командой запретить автоматическое добавление сети? Перерыл весь Winbox но не нашел
anshboard
в DHCP-клиенте не стоит ли галка "Add Default Route"?
в DHCP-клиенте не стоит ли галка "Add Default Route"?
RB1200 + 5.10(pre).
Сегодня был ребут и следом ещё около 4-ёх.
Ожил, минут 10 как спокойно.
Залил 5.8 поидее после ребута сам апгрейднется ежели что.
Мдя ...
Сегодня был ребут и следом ещё около 4-ёх.
Ожил, минут 10 как спокойно.
Залил 5.8 поидее после ребута сам апгрейднется ежели что.
Мдя ...
Chupaka
спасибо огромное! как мне не дошло. но я полностью выключил DHCP на ether1-gateway.
спасибо огромное! как мне не дошло. но я полностью выключил DHCP на ether1-gateway.
Chupaka я знаю ты меня выручишь, уже много раз выручал, перечитал всю тему, перепробовал все, но так и не смог ограничить p2p
нужно собственно заблокировать весь торрент трафик кроме одного айпи в сети, выручи...
нужно собственно заблокировать весь торрент трафик кроме одного айпи в сети, выручи...
Цитата:
1. используем NAT
Код:
chain=srcnat action=src-nat to-addresses=8.8.8.8 src-address=192.168.0.4
out-interface=ether1-wan-primary
в данном примере у нас есть адрес 8.8.8.8 от машего провайдера и он у нас на интерфейсе ether1-wan-primary, 192.168.0.4 адрес того кто будет выходить через него в мир.
Вы тут не указываете протокол, это означает что перенаправляется любой протокол?
slech
Цитата:
не проапгрейдится. апгрейд производится перед ребутом
supout.rif'ы делали, в суппорт слали?
Smito1
чтобы зарезать p2p, есть один верный способ - заблокировать forward и слать всех принудительно на прокси )) в противном случае p2p всё равно кудой-нибудь пролезет
так что остаётся второй вариант - маркировать весь трафик, потом перемаркировывать легитимный трафик (типа хттп/хттпс) - и направлять хотя бы первый в ограниченную по скорости очередь
Добавлено:
skynet120
Цитата:
именно так
Цитата:
Залил 5.8 поидее после ребута сам апгрейднется ежели что
не проапгрейдится. апгрейд производится перед ребутом
supout.rif'ы делали, в суппорт слали?
Smito1
чтобы зарезать p2p, есть один верный способ - заблокировать forward и слать всех принудительно на прокси )) в противном случае p2p всё равно кудой-нибудь пролезет
так что остаётся второй вариант - маркировать весь трафик, потом перемаркировывать легитимный трафик (типа хттп/хттпс) - и направлять хотя бы первый в ограниченную по скорости очередь
Добавлено:
skynet120
Цитата:
не указываете протокол, это означает что перенаправляется любой протокол?
именно так
Chupaka
По повроду PCC
Цитата:
А вот нихрена, видимо, наружу улетало всё через приоритетный дефолтный маршрут. Приконнектиться можно было только к нему.
Поскольку микротики у меня виртуализованные, я вернулся к на схеме с тремя роутерами: два занимаются натом на границе с провайдерами, а третий - дефолтный шлюз локалки и PCC. Так и конфиги лаконичнее и более управляемы, и сеткам промежуточным (между микротиками которые) находится применение: приземляю туда впн-клиентов...
Осталась мелочь: добиться, чтобы срабатывал check-gateway на дефолтном шлюзе при падении провайдерского линка.
Как это лучше сделать? Скриптом гасить-поднимать внутренний интерфейс на граничных роутерах? Пример такого скрипта есть?
По повроду PCC
Цитата:
теперь надо сделать через второго прова. всё остальное там уже есть
А вот нихрена, видимо, наружу улетало всё через приоритетный дефолтный маршрут. Приконнектиться можно было только к нему.
Поскольку микротики у меня виртуализованные, я вернулся к на схеме с тремя роутерами: два занимаются натом на границе с провайдерами, а третий - дефолтный шлюз локалки и PCC. Так и конфиги лаконичнее и более управляемы, и сеткам промежуточным (между микротиками которые) находится применение: приземляю туда впн-клиентов...
Осталась мелочь: добиться, чтобы срабатывал check-gateway на дефолтном шлюзе при падении провайдерского линка.
Как это лучше сделать? Скриптом гасить-поднимать внутренний интерфейс на граничных роутерах? Пример такого скрипта есть?
LevT
Цитата:
ну, если правила брались напрямую из вики, без изменений, то должно работать: prerouting маркирует входящий канал, "connection-mark=no-mark" не даёт перемаркировать его правилам pcc
Цитата:
открываем нашу постоянную рубрику "минутка саморекламы": http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting
Цитата:
А вот нихрена, видимо, наружу улетало всё через приоритетный дефолтный маршрут
ну, если правила брались напрямую из вики, без изменений, то должно работать: prerouting маркирует входящий канал, "connection-mark=no-mark" не даёт перемаркировать его правилам pcc
Цитата:
добиться, чтобы срабатывал check gateway на дефолтном шлюзе при падении провайдерского линка
открываем нашу постоянную рубрику "минутка саморекламы": http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting
Кажись, сообразил, в чем могла быть загвоздка: у одного из провов по дороге встречаются частные адреса 192.168.... Дефолтный как раз другой.
Добавлено:
Означает ли это, что мне надо попросить второго прова как-то доконфигурить свои роутеры? Как?
Добавлено:
Означает ли это, что мне надо попросить второго прова как-то доконфигурить свои роутеры? Как?
LevT
"по дороге" вообще никак не должно влиять
"по дороге" вообще никак не должно влиять
Chupaka
Это если они правильно сконфигурены. А если сюрприз какой?
Это если они правильно сконфигурены. А если сюрприз какой?
Chupaka
моему горю не поможешь? Я помню что ты не любишь ковыряться в чужих конфигах, но все же...
моему горю не поможешь? Я помню что ты не любишь ковыряться в чужих конфигах, но все же...
.
Добавлено:
LevT
Цитата:
какой?
ramzes83
люблю, когда люди дают ссылки на горе
этому горю? http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=2700#17
Цитата:
искусственный интеллект. что понимается под "полностью"? NAT легко вычисляется хотя бы по TCP Sequence, или как там... в инете полно статей. а вообще - да, NAT + неизменение TTL творят чудеса "на глаз"
Цитата:
ну так отключить проксю, которая адрес палит
Цитата:
"friends never let friends bridge their networks" =) использовать два раздельных интерфейса - только маршрутизация!
Цитата:
DHCP вешается не на подсеть, а на интерфейс. какая привязка? reply-only или статические записи?
Добавлено:
LevT
Цитата:
А если сюрприз какой?
какой?
ramzes83
люблю, когда люди дают ссылки на горе
этому горю? http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=2700#17
Цитата:
чтобы полностью скрыть локалку от провайдера что нужно использовать?
искусственный интеллект. что понимается под "полностью"? NAT легко вычисляется хотя бы по TCP Sequence, или как там... в инете полно статей. а вообще - да, NAT + неизменение TTL творят чудеса "на глаз"
Цитата:
из вне отлично видно мой локальный IP
ну так отключить проксю, которая адрес палит
Цитата:
планируется 2 разделенные подсети. Объединить в бридж или назначить один порт мастером, остальные к нему подключить? Критичная разница есть в этом?
"friends never let friends bridge their networks" =) использовать два раздельных интерфейса - только маршрутизация!
Цитата:
если на один интерфейс повесить 2 адреса разных подсетей. ..0.1 и ..1.1 например. онда с DHCP вторая без него. К первой будут применяться правила блокировок, вторая будет без них (приходящие ноуты в ремон для быстрого подключения к сети) или нет, не так...
В APR таблице привязка IP+mac. Как добавить несколько IP для которых привязка не требуется???
DHCP вешается не на подсеть, а на интерфейс. какая привязка? reply-only или статические записи?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.