» MikroTik RouterOS (часть 3)

RAZORblade

Цитата:

где выбрать носитель для кэша

видимо, System -> Stores


Цитата:

ли его (кеш) более детально настроить?
в плане кеширования допустим файлов до определенного размера или файлов только определенного формата, сроки жизни кешируевого материала

не, это ж простенький кэш для Small Office хочется большего - добро пожаловать в Squid на отдельной машине...

Коллеги немного не в тему (совсем не в тему). Посоветуйте хороший captive portal опенсорсный, с авторизацией в AD (не обязательно сквозной) и статистикой по всему траффику пользователя (не только http).

ramzes83

Цитата:

сам только вчера узнал как правильно делать.
IP узнавать у пользователей, или лучше настроить DDNS с помощью скрипта 5 постов выше. Всегда будет прямой доступ.
Для винбокса поставить первым правило
/ip firewall filter
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp
веб лучше не использовать. и не забыть про смену имени пользователя и хороший пароль.

У dyndns опять бесплатный hostdns недоступен, только платный pro. Посему вопрос: есть ли скриптик для no-ip.com, к примеру?

Подключаюсь к рабочей сети из дома.
Настроил вот так: http://asp24.ru/obzor/mikrotik-statji/ppp/nastrojka-pptp-server-mikrotik/
Но что-то мне подсказывает, что это не всё. )
Если подключаться по PPTP к Mikrotik из Интернета , какие порты должны быть открыты на Mikrotik?

Sergey Sosnovsky

Цитата:

У dyndns опять бесплатный hostdns недоступен, только платный pro. Посему вопрос: есть ли скриптик для no-ip.com, к примеру?

ChangeIP, к примеру: http://www.changeip.com/MikroTik/


Цитата:

Если подключаться по PPTP к Mikrotik из Интернета , какие порты должны быть открыты на Mikrotik?

1723/TCP и протокол GRE

Chupaka
Спасибо, с кешем все понял, подскажите пожалуйста по:

приход инета по pptp, дальше на микротике пптп-сервер и раздача юзерам тоже по пптп.
у всех юзеров по умолчанию 8 приоритет.
Подскажите пожалуйста правило, которое даст на всех приоритет 1 для 80 порта?
Хочется HTTP ускорить.

Важный для меня вопрос очень.

RAZORblade

Цитата:

esxi-из пушки по мухам

Почему из пушки? Удобно ведь, да железяка позволяет. Тут можно и нормальный сниффер подвесить на соседней виртуальной машинке, а то эти паролеподбиратели задолбят доступные из интернета ресурсы (в впн у меня пока не сильно ломятся, но в фтп/ссш постоянно, а банить подсетями тоже не всегда удобно, кто ж его знает куда нашего работника занесёт). Да и всё остальное хозяйство (почту, файлопомойку) тоже туда же сунуть. Благо сейчас esxi можно назвать безоплатным))), ключ спокойно получаешь на сайте вмвари.

Тут вопрос надо верно ставить: надо малые габариты+wifi — тогда какой-то из 400-й серии, надо скорость шифрования туннелей — 1000-й серия, надо не слишком мощный универсал — поставь i86-ю на виртуалку. К примеру, у меня нат, дхцп, пхе-сервер (и ещё куча всего) в центральном офисе на виртуалке, раз в неделю сливаются на сервер бекапов. Если вдруг чего случилось — развернуть новую виртуалку и залить в неё всё из бекапов дело получаса (правда чтобы «чего не случилось» лучше всё же ха-кластер поднять, но это совсем другие деньги).

Sergey Sosnovsky

Цитата:

У dyndns опять бесплатный hostdns недоступен

я так-то сам еще только вкуриваю в эту тему. У меня на DDNS в бесплатной версии создано 2 хоста. сегодня обнаружил, что один, на микротике не работает.... а на домашнем кинетике отлично отрабатывают оба... сейчас попробую один вырубить... отпишусь.

добавлено
Так и не понял почему, но dyn.com один хост на Keenetic работает отлично, а на микротике ни как. Провайдер один, местами хосты менял, безуспешно.
changeip.com завелось с пол-оборота. Оставил оба скрипта. Сразу два не должны отказать, а так больше вероятность подключиться. (ip динамический) ведь 2 одновременно сервиса d-dns не должны мешать друг другу?..

Доброго всем дня!
Подскажите как сделать так чтоб порт микротика отключался если кто то в сети сделает кольцо(свич например закальцует)
Задача такова, допустим кто то из вредности засадил патчкорд в свич, такой сегмент вычисляется быстро, а вот в каком месте сегмента это надо потрудится. Можно было бы поставить последовательно в сегмент РБ с мостом который держал бы порт отключенным пока не исчезнет кольцо. Можно такое на микротике сделать?

Bambastick
Ну вопервых это функционал свичей. Микротики - роутеры.
Если хочется чтоб небыло лупа - делайте изолированые порты.
(master port - none)

Добавлено:
Господа ещё вопрос.
Кто-нибудь пробовал в качестве шифрования IPSEC использовать blowfish или camellia?
Я указываю в proposal тип шифрования например blowfish, у меня соединение устанавливается, но в installed SAs в графе Encr. Algorithm пишет none.

Хотелось бы узнать как оно по производительности.
Мне надо заставить rb750й кушать ~10 мегабит шифрованого трафика

sumyst
вы уважаемый для начала прочитайте всё до конца, потом отвечайте. Вопрос был один возможно ли сделать автоматическую отключалку во время кольца или лупа как угодно или нет.

Chupaka

Код:
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 local-address=192.168.0.160 name=username password=userpass profile=\
all-profiles remote-address=192.168.0.163 routes="" service=any

Некоторым ноутам прописана статика в DHCP, на остальных машинах IP прописаны локально. хочу дать доступ только тем, кого знаю. остальным - дроп.
при смене IP самостоятельно - дроп
Только если один мудак меняет IP - у других появляется конфликт....
Настроил APR и прописал все IP в группу, на которую в фаерволе дал доступ.
Для работы должна быть связка: ARP - IP+MAC, правило на группу. - так работает
Или достаточно расписать всех в APR, и включить ее в интерфейсе reply-only???
В фаерволе одно правило - дроп всех. В таком случае инета нет...
Как избежать конфликта адресов? Выловить этого зловреда пока не удалось.

RB1200
ROS 5.11
uptime ~ 2 дня.
У всех вылечилось ?

Цитата:

Bambastick

прочитал ещё раз, ответ нисколько не изменился.

Bambastick

Цитата:

как сделать так чтоб порт микротика отключался если кто то в сети сделает кольцо

никак, LBD или его эквивалент в тике отсутствует

slech

Цитата:

это всё было на Windows 7.
В вот на XP Home

ну, я всё ещё сижу на XP )) но за инфу про W7 - спасибо, учтём-с на будущее

ramzes83

Цитата:

Как избежать конфликта адресов?

поставить что-нибудь блокирующее между пользователями. поскольку дело происходит на втором уровне - роутер тут бессилен


Цитата:

Выловить этого зловреда пока не удалось.

почему? мак-адреса зловреда для отлова недостаточно?

Цитата:

Bambastick

Цитата:
как сделать так чтоб порт микротика отключался если кто то в сети сделает кольцо

никак, LBD или его эквивалент в тике отсутствует

Ну тут товарищи не верят, думают микроскопом гвозди заколачивать...
Поясню: LDB это Loop Detection.
STP это Spanning Tree Protocol. для особо умных ещё раз напомню.
Микротик это не свич. Это роутер.

Если говорить о "как угодно" то ответ я дал. Сделать изолированые порты и маршрутизацию. Только так.

Цитата:

Поясню: LDB это Loop Detection

на всякий случай добавлю: LBD - это LoopBack Detection (:


Цитата:

Микротик это не свич. Это роутер.

слышал бы это MikroTik RB250

Цитата:

слышал бы это MikroTik RB250

ну мы говорим про RoS (во всяком случае я так думаю).

Добавлено:
Chupaka
Умный человек, коль уж не спишь, подскажи про blowfish <)

sumyst

Цитата:

коль уж не спишь, подскажи про blowfish <)

вот уж увы, я в айписеке разбираюсь, как свинья в апельсинах %)

Цитата:

Цитата:Bambastick

прочитал ещё раз, ответ нисколько не изменился.

Если бы у нас стояли везде нормальные упровляемые свичи, то и вопрос такой не возникал бы. Есть несколько ёлок из неупровляемых свичей, вот там чудеса и бывают. Тобиш если нет такой возможности отключать порт, напишите плз что нельзя этого сделать, если можно то желательно послать в ту курилку где описано как это сделать, сам найти ответ на это вопрос я не смог.

chupaka
спасибо за ответ, коротко и ясно, нельзя.

Цитата:

вот уж увы, я в айписеке разбираюсь, как свинья в апельсинах %)

Пичаль, тут есть два адекватных специалиста, и оба молчат как рыба в пирожке =(

Добавлено:

Цитата:

Если бы у нас стояли везде нормальные упровляемые свичи, то и вопрос такой не возникал бы. Есть несколько ёлок из неупровляемых свичей, вот там чудеса и бывают. Тобиш если нет такой возможности отключать порт, напишите плз что нельзя этого сделать, если можно то желательно послать в ту курилку где описано как это сделать, сам найти ответ на это вопрос я не смог.

Ну я вроде как так и написал, даже сказал почему нельзя. Точнее предложил вариант как это сделать...

Chupaka

Цитата:

мак-адреса зловреда для отлова недостаточно?

имею ввиду лично не вычислил.
Все таки для разрешения определенных IP в инет нужны правила фаервола, и связка APR ?

Цитата:

имею ввиду лично не вычислил.
Все таки для разрешения определенных IP в инет нужны правила фаервола, и связка APR ?

Можно и в правиле фаирвола указать сорс мак адрес, а остальных кого нет в правиле дропнуть.
надёжней конечно PPoE запустить, но могут порядком достать клиенты не особо продвинутые.

подскажите сделал несколько каналов, все работает, ответы уходят к тому провайдеру от коготого пришли, маршрутов 0.0.0.0 несколько каждый со стоей метрикой, при отпадывании одного интернет раздается через другой, вопрос

как лучше осознать ситуацию что канал переключился и отправить письмо ?
есть ли в mikrotik аналог wget чтобы "дернуть" http ссылку ? (для управления asterisk)

Цитата:

RB1200
ROS 5.11
uptime ~ 2 дня.
У всех вылечилось ?

1200 (5.10) - 1000MHz up=8 сток. далее перевел на 1200MHz up=2 дня.

Dimsoft

Цитата:

есть ли в mikrotik аналог wget чтобы "дернуть" http ссылку ? (для управления asterisk)

http://wiki.mikrotik.com/wiki/Manual:Tools/Fetch

Как поставить микротик на CompactFlash для железки NET4511 с процом 80486 раньше там стояла ОС m0n0wall ?????

GOGA2604

Цитата:

Как поставить микротик

например, так: http://wiki.mikrotik.com/wiki/Manual:CD_Install
или NetInstall'ом загнать файлы на CF на обычном компьютере, переставить CF в будущий роутер, загрузиться с CF

Подскажите по такому вопросу, как создать правило.
есть 2 PPTP клиента, с адрессами 10.0.0.2 и 10.0.0.5 допустим, авторизация по логину-паролю.
Нужно создать правило, чтобы на эти 2 юзера был общий мегабит скорости, не каждому , а именно общий. Как задать в симпл куоритис 2 адреса подрят, какой правельный синтаксис? запятая и точка с запятой не катит? допустим адресса если бы шли подряд то 10.0.0.2-10.0.0.3 можно было указать, а тут не подряд, как их записать?
Спасите-помогите

Цитата:

Как поставить микротик

например, так: http://wiki.mikrotik.com/wiki/Manual:CD_Install
или NetInstall'ом загнать файлы на CF на обычном компьютере, переставить CF в будущий роутер, загрузиться с CF

Что такое NetInstall' ????