Господа, кто-нибудь мне ответит?
У кого наблюдалась такая же картина с большими задержками пакетов при использовании IPSEC?
У кого наблюдалась такая же картина с большими задержками пакетов при использовании IPSEC?
» MikroTik RouterOS (часть 3)
Chupaka промаркировал входящий и исходящий трафик, так же входящий исходящий p2p трафик, не знаю надо нет, а что дальше...
перемаркировывать легитимный трафик (типа хттп/хттпс), смысл понял но как сделать не знаю, подскажи пжл
перемаркировывать легитимный трафик (типа хттп/хттпс), смысл понял но как сделать не знаю, подскажи пжл
Люди добрые, уже гору мануалов пересмотрел, ничего похожего не нашел. Да и в голову уже ничего не лезет. Имеется 2 wan интерфейса, подключение к интернету на обоих через pppoe. Как сделать так что бы 1wan был для всех пакетов по дефолту, но пакеты или на определенные ип, или определенные порты шли через wan2. Ткните хотя бы ссылкой где копать и куда.
Цитата:
Цитата:
не указываете протокол, это означает что перенаправляется любой протокол?
именно так
не выходит, определяет что человек выходит в мир с общим ip а не с тем что я ему прописал
Smito1
Цитата:
например,
protocol=tcp dst-port=80 action=mark-packet new-packet-mark=http
protocol=tcp src-port=80 action=mark-packet new-packet-mark=http
dialup4eg
/ip route add gateway=pppoe-out2 routing-mark=wan2
затем либо
/ip route rule add dst-address=8.8.8.0/24 action=lookup table=wan2
либо
/ip firewall mangle add chain=prerouting dst-address=8.8.8.0/24 action=mark-routing new-routing-mark=wan2
skynet120
Цитата:
кто как определяет? а правило пакетики считает? а оно находится выше общего правила в списке?
Цитата:
перемаркировывать легитимный трафик (типа хттп/хттпс), смысл понял но как сделать не знаю
например,
protocol=tcp dst-port=80 action=mark-packet new-packet-mark=http
protocol=tcp src-port=80 action=mark-packet new-packet-mark=http
dialup4eg
/ip route add gateway=pppoe-out2 routing-mark=wan2
затем либо
/ip route rule add dst-address=8.8.8.0/24 action=lookup table=wan2
либо
/ip firewall mangle add chain=prerouting dst-address=8.8.8.0/24 action=mark-routing new-routing-mark=wan2
skynet120
Цитата:
определяет что человек выходит в мир с общим ip а не с тем что я ему прописал
кто как определяет? а правило пакетики считает? а оно находится выше общего правила в списке?
Chupaka
Цитата:
да, так и получилось.
downgrade выполнил вручную.
с 5.10 supout.rif неуспел сделать. там 3-5 ребутов подряд, я всё спешил откатиться.
буду ждать офф. 5.10 - может тогда попробую.
Цитата:
не проапгрейдится. апгрейд производится перед ребутом
supout.rif'ы делали, в суппорт слали?
да, так и получилось.
downgrade выполнил вручную.
с 5.10 supout.rif неуспел сделать. там 3-5 ребутов подряд, я всё спешил откатиться.
буду ждать офф. 5.10 - может тогда попробую.
Цитата:
а оно находится выше общего правила в списке?
тут то и ошибка похоже, поменял, позже проверю
P.S. а можно указать не для одного пользователя, а для группы пользователей
Chupaka
Цитата:
скрыть от провайдера абсолютно всех пользователей внутренней сети, чтобы он видел только одну машину, пусть и с большим трафиком.
Проксю отключил, на сайте теперь виден только мой внешний адрес. Не знал, что прокся палит адрес. Так этого правила "masquerade" достаточно чтобы скрыть локалку? Или нужно еще что-то предпринять? Если можно, то ссылкой, где подробнее описание есть, поскольку многие моменты для меня еще темный лес...
Проксю хотел использовать для некоторой блокировки ресурсов, но впринципе не критично, главная беда торренты....
Цитата:
пока знаю только как reply-only работает.
Цитата:
что понимается под "полностью"?
скрыть от провайдера абсолютно всех пользователей внутренней сети, чтобы он видел только одну машину, пусть и с большим трафиком.
Проксю отключил, на сайте теперь виден только мой внешний адрес. Не знал, что прокся палит адрес. Так этого правила "masquerade" достаточно чтобы скрыть локалку? Или нужно еще что-то предпринять? Если можно, то ссылкой, где подробнее описание есть, поскольку многие моменты для меня еще темный лес...
Проксю хотел использовать для некоторой блокировки ресурсов, но впринципе не критично, главная беда торренты....
Цитата:
какая привязка? reply-only или статические записи?
пока знаю только как reply-only работает.
Цитата:
Так этого правила "masquerade" достаточно чтобы скрыть локалку? Или нужно еще что-то предпринять?
если интересует базовое скрытие, то отсутствие того самого "скрытия" просто сделает неработоспособным все "нескрытые" компьютеры, поскольку провайдер не будет обслуживать ваши компьютеры с непонятными адресами
а reply-only действует на всю таблицу, поэтому DHCP в помощь - он будет добавлять динамические записи на время аренды адреса
проблема подключения к внешнему впн серверу (pptp)
исходные данные
микротик, на нём поднято ppoe на провайдера
2 интерфейса: 1 смотрит в локалку, второй на модем в режиме моста
в фаерволе только поднят нат
chain=srcnat action=masquerade out-interface=atlant.telecom
при подключении впн застывает на пару мин на проверке пользователя\пароля и выдаётся ошибка 608
я так понимаю проблема с gre протоколом
в фаерволе сделал правила что форвард гре эксепт, но не помогает(
--------------
если подключать интернет на модеме в режиме роутера то проблем с впн нет
пптп с самого микротика подключается без проблем
исходные данные
микротик, на нём поднято ppoe на провайдера
2 интерфейса: 1 смотрит в локалку, второй на модем в режиме моста
в фаерволе только поднят нат
chain=srcnat action=masquerade out-interface=atlant.telecom
при подключении впн застывает на пару мин на проверке пользователя\пароля и выдаётся ошибка 608
я так понимаю проблема с gre протоколом
в фаерволе сделал правила что форвард гре эксепт, но не помогает(
--------------
если подключать интернет на модеме в режиме роутера то проблем с впн нет
пптп с самого микротика подключается без проблем
Подскажите сервер для пинга?
Стоит Mikrotik RB750 (RouterOS 5.8) в качестве шлюза для небольшой сети (12 хостов). Компьютеры сети имеют локальные IP-адреса и "скрыты" от внешнего мира с помощью NAT. Провайдер Киевстар, использует автоматическое назначение IP-адреса, шлюза, DNS-серверов. Всё работает отлично, но раз в несколько дней Интернет пропадает. Перезагрузка маршрутизатора сразу решает проблему.
Нашел такую службу, как Watchdog. Для периодического пинга (с интервалом 5 мин.) прописал внешний IP-адрес: 87.250.250.3 он же ya.ru
Как думаете это поможет и маршрутизатор будет перезагружаться в случае потери соединения? Может надо было указать какой-то другой IP или увеличить интервал?
Стоит Mikrotik RB750 (RouterOS 5.8) в качестве шлюза для небольшой сети (12 хостов). Компьютеры сети имеют локальные IP-адреса и "скрыты" от внешнего мира с помощью NAT. Провайдер Киевстар, использует автоматическое назначение IP-адреса, шлюза, DNS-серверов. Всё работает отлично, но раз в несколько дней Интернет пропадает. Перезагрузка маршрутизатора сразу решает проблему.
Нашел такую службу, как Watchdog. Для периодического пинга (с интервалом 5 мин.) прописал внешний IP-адрес: 87.250.250.3 он же ya.ru
Как думаете это поможет и маршрутизатор будет перезагружаться в случае потери соединения? Может надо было указать какой-то другой IP или увеличить интервал?
Цитата:
Как думаете это поможет и маршрутизатор будет перезагружаться в случае потери соединения?
а зачем перегружать маршрутизатор??
Chupaka
Цитата:
ну без masquerade интернета не будет вообще, верно?
А есть варианты боле продвинутые, чем базовое?
Чтобы провайдер не спалил количество компов внутри сети...
Цитата:
тут не полностью вопрос озвучил. С включенной APR пускать в инет например только пару IP адресов (приходящие) с разными MAC.
Цитата:
если интересует базовое скрытие
ну без masquerade интернета не будет вообще, верно?
А есть варианты боле продвинутые, чем базовое?
Чтобы провайдер не спалил количество компов внутри сети...
Цитата:
reply-only действует на всю таблицу
тут не полностью вопрос озвучил. С включенной APR пускать в инет например только пару IP адресов (приходящие) с разными MAC.
Добрый день.
Есть микротик routerboard 411U + wifi модуль, микротик скоммутирован с циской 1811
Как реализовать следующий вариант?
Две сетки wifi - 2 virtual ap
Один ssid для пользователей компании - обычная ap, доступ к локальным ресурсам.
Один ssid для гостевого доступа в интернет, только инет, шейпинг скорости.
У меня пока смутные мысли для такой реализации.
Ставить метки vlan и разруливать на циске - гостевой вилан натить в инет, пользовательский - свичинг.
...
Сделать это силами микротика - сетка для пользователей компании, обычная точка доступа. Гостевая сетка, нат, + фаерволл запрещающий обращения к локальным ресурсам ...
Как сделать лучше-правильнее,
Есть микротик routerboard 411U + wifi модуль, микротик скоммутирован с циской 1811
Как реализовать следующий вариант?
Две сетки wifi - 2 virtual ap
Один ssid для пользователей компании - обычная ap, доступ к локальным ресурсам.
Один ssid для гостевого доступа в интернет, только инет, шейпинг скорости.
У меня пока смутные мысли для такой реализации.
Ставить метки vlan и разруливать на циске - гостевой вилан натить в инет, пользовательский - свичинг.
...
Сделать это силами микротика - сетка для пользователей компании, обычная точка доступа. Гостевая сетка, нат, + фаерволл запрещающий обращения к локальным ресурсам ...
Как сделать лучше-правильнее,
Добрый день , неожиданно проявилась проблемка
Компы подсети 192.168.0.0/24 перестали видеть подсеть 192.168.3.0/24
эта посеть находиться за шлюзом 192.168.0.88
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
4 ADC 192.168.0.0/24 192.168.0.4 LAN 0
5 A S 192.168.3.0/24 192.168.0.88 1
Добавлено:
пинг проходит , по имени тоже попадаю , а вот по ip не получается уже весь мозг сломал
Компы подсети 192.168.0.0/24 перестали видеть подсеть 192.168.3.0/24
эта посеть находиться за шлюзом 192.168.0.88
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
4 ADC 192.168.0.0/24 192.168.0.4 LAN 0
5 A S 192.168.3.0/24 192.168.0.88 1
Добавлено:
пинг проходит , по имени тоже попадаю , а вот по ip не получается уже весь мозг сломал
ramzes83
Цитата:
прокси-сервер =)
Цитата:
добро пожаловать в фильтр файрвола
rosalin
Цитата:
значит, роутер тут вообще ни при чём. операционка-то какая? если виндамс - переустановить Клиент сетей Мелкософт для начала
Цитата:
А есть варианты боле продвинутые, чем базовое?
Чтобы провайдер не спалил количество компов внутри сети...
прокси-сервер =)
Цитата:
С включенной APR пускать в инет например только пару IP адресов (приходящие) с разными MAC.
добро пожаловать в фильтр файрвола
rosalin
Цитата:
пинг проходит , по имени тоже попадаю , а вот по ip не получается уже весь мозг сломал
значит, роутер тут вообще ни при чём. операционка-то какая? если виндамс - переустановить Клиент сетей Мелкософт для начала
Люди, подскажите пожалуйста, можно на микротике организовать такую схему:
провайдер1--микротик1 --локальная сеть--микротик2-- провайдер2. Надо что бы локальная сеть была одна, на обоих микротиках раздача IP адресов DHCP и чтобы каждый из микротиков не раздавал одинаковых IP адресов.
провайдер1--микротик1 --локальная сеть--микротик2-- провайдер2. Надо что бы локальная сеть была одна, на обоих микротиках раздача IP адресов DHCP и чтобы каждый из микротиков не раздавал одинаковых IP адресов.
Chupaka
Цитата:
Вот шайтан
)) помогло!!!
Цитата:
если виндамс - переустановить Клиент сетей Мелкософт для начала
Вот шайтан
)) помогло!!!Chupaka I need help
Проблема в PPTP
на одном роутере нормально через нат проходит
на втором ну никак
настройки идентичные
правил кроме ната нет
в Service Ports pptp enable
В чём может быть засада?
Проблема в PPTP
на одном роутере нормально через нат проходит
на втором ну никак
настройки идентичные
правил кроме ната нет
в Service Ports pptp enable
В чём может быть засада?
Доброе время суток,
Поставил настроил MikroTik, вроде все работает но возникли пару вопросов которые пока мешают жизнь:
1) Как сделать так что бы скорость закачки больших для каждого подключения не была выше 100kbs
2) Как ограничить доступ к некоторым сайтам (vkontakte и т д)
3) Как сделать полное логирование действий администратора через ВЕБ или ВИНБОКС велось полностью, не просто что были изменения правил, а что бы четко показало какие
Поставил настроил MikroTik, вроде все работает но возникли пару вопросов которые пока мешают жизнь:
1) Как сделать так что бы скорость закачки больших для каждого подключения не была выше 100kbs
2) Как ограничить доступ к некоторым сайтам (vkontakte и т д)
3) Как сделать полное логирование действий администратора через ВЕБ или ВИНБОКС велось полностью, не просто что были изменения правил, а что бы четко показало какие
Цитата:
Надо что бы локальная сеть была одна, на обоих микротиках раздача IP адресов DHCP и чтобы каждый из микротиков не раздавал одинаковых IP адресов.
поставить обоим static-only, раздать разные адреса в Leases на нужные маки
GawkV
Цитата:
на одном роутере нормально через нат проходит
на втором ну никак
настройки идентичные
так и хочется взять /export и пройтись по нему diff'ом
skynet120
Цитата:
1) Как сделать так что бы скорость закачки больших для каждого подключения не была выше 100kbs
метить по connection-bytes пакетики, направлять в медленную очередь
Цитата:
2) Как ограничить доступ к некоторым сайтам (vkontakte и т д)
http://www.google.com/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&ved=0CCcQFjAA&url=http%3A%2F%2Fwiki.mikrotik.com%2Fwiki%2FHow_to_Block_Websites_%2526_Stop_Downloading_Using_Proxy&ei=7e_hTrLHDJCf-wbt58jnBQ&usg=AFQjCNE7qIhwro7vmC_VPY_tocMx5_Ge2Q&sig2=C2-wVrtob4x1SsIbFOLNfQ
Цитата:
не просто что были изменения правил, а что бы четко показало какие
нельзя такого
Цитата:
так и хочется взять /export и пройтись по нему diff'ом
различия только в мак адресах, ip и PPoE клиенте.
сделано из 1 виртуалки простым копированием.
Цитата:
Цитата:
1) Как сделать так что бы скорость закачки больших для каждого подключения не была выше 100kbs
метить по connection-bytes пакетики, направлять в медленную очередь
можете описать подробнее
skynet120
пока не могу. что именно непонятно?
пока не могу. что именно непонятно?
Цитата:
пока не могу. что именно непонятно?
я только начал заниматься вопросами сети и понятия маркировать трафик и куда то его направлять для меня не понятна, а бросили сразу в бой
Chupaka
Как сделать так, что бы юзер при сканирование локальной сети не видел айпишники и маки других компов находящихся в сети?
Как сделать так, что бы юзер при сканирование локальной сети не видел айпишники и маки других компов находящихся в сети?
skynet120
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle
http://wiki.mikrotik.com/wiki/Manual:Queue
wwwwwww7
если сканирование происходит через маршрутизатор - то маки не видны, а если в пределах свитча - то на поодаль стоящем маршрутизаторе это и не заблокируешь - пакеты до него не доходят
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle
http://wiki.mikrotik.com/wiki/Manual:Queue
wwwwwww7
если сканирование происходит через маршрутизатор - то маки не видны, а если в пределах свитча - то на поодаль стоящем маршрутизаторе это и не заблокируешь - пакеты до него не доходят
Ребят, раз в день валится 5.9, нагрузка на него МИНИМАЛЬНАЯ, 2 десятка пптп клиентов, торренты зарезаны.
Желзео заведомо рабочее, нагрузка проца не более 10 процентов.
Может это быть изза того, что в настройках включенна поддержка многоядерности?
Щяс оставил одно ядро - посмотрю как себя вести будет, в логах тишина, прогсто тиха отваливается до ребута.
Желзео заведомо рабочее, нагрузка проца не более 10 процентов.
Может это быть изза того, что в настройках включенна поддержка многоядерности?
Щяс оставил одно ядро - посмотрю как себя вести будет, в логах тишина, прогсто тиха отваливается до ребута.
начал делать разделение трафика, использую инструкции:
1) http://asp24.com.ua/index.php?target=pages&page_inner_id=1017&selected_section=discussion
2) http://asp24.com.ua/obzor/mikrotik-statji/system/scripts/yak-rozdilyty-ta-napravyty-trafik-dlya-ua-ix-cherez-odyn-kanal/
застрял на этапе загрузки файла на mikrotik. насколько я понял, у mikrotik ограничение на файл 4Мб, по этому делают разбиение на куски, но у меня файл с данными 40Кб и делать разбиение нет смысла. файл загружаю из
http://62.149.2.1/ua/prefixes.txt
и в правиле пишу:
/tool fetch address="62.149.2.1" mode="http" src-path="/ua/prefixes.txt" dst-path="/prefixes.txt"
но загрузки файла не происходит, не могу понять почему
1) http://asp24.com.ua/index.php?target=pages&page_inner_id=1017&selected_section=discussion
2) http://asp24.com.ua/obzor/mikrotik-statji/system/scripts/yak-rozdilyty-ta-napravyty-trafik-dlya-ua-ix-cherez-odyn-kanal/
застрял на этапе загрузки файла на mikrotik. насколько я понял, у mikrotik ограничение на файл 4Мб, по этому делают разбиение на куски, но у меня файл с данными 40Кб и делать разбиение нет смысла. файл загружаю из
http://62.149.2.1/ua/prefixes.txt
и в правиле пишу:
/tool fetch address="62.149.2.1" mode="http" src-path="/ua/prefixes.txt" dst-path="/prefixes.txt"
но загрузки файла не происходит, не могу понять почему
RAZORblade, железо?
skynet120:
Цитата:
У меня файлы больше 4095 байт не скачивает.
skynet120:
Цитата:
у mikrotik ограничение на файл 4Мб,
У меня файлы больше 4095 байт не скачивает.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.