» MikroTik RouterOS (часть 4)

Accessor
Цитата:

Все остальные хосты - нет.

А должны? В винде, например, входящий пинг закрыт по умолчанию.
Потом всякие кашпировские, симантеки...
Своя локальная сетка, надеюсь, не 192.168.1.0?
Ну и route print с клиента после подключения хотелось бы увидеть.

evgeniy7676, не помогло

vlary

Цитата:

А должны? В винде, например, входящий пинг закрыт по умолчанию.

Да, должны, т.к. с микротика пингуется исправно.
Цитата:

Своя локальная сетка, надеюсь, не 192.168.1.0?

Имеется в виду со стороны клиента? Да, там подсеть совершенно другая.

[more=route print]IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.254 10
46.98.xxx.xxx 255.255.255.255 192.168.88.1 192.168.88.254 11
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.219 11
192.168.1.219 255.255.255.255 On-link 192.168.1.219 266
192.168.88.0 255.255.255.0 On-link 192.168.88.254 266
192.168.88.254 255.255.255.255 On-link 192.168.88.254 266
192.168.88.255 255.255.255.255 On-link 192.168.88.254 266
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.88.254 266
224.0.0.0 240.0.0.0 On-link 192.168.1.219 266
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.88.254 266
255.255.255.255 255.255.255.255 On-link 192.168.1.219 266
===========================================================================
Постоянные маршруты:
Отсутствует[/more]

Accessor
Тогда смотреть на микротике как ходят пакеты от клиента и где затыкаются
http://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer

Accessor
если на клиенте у тебя сеть 192.168.88.0/24 ,а при поднятии впн ты получил адрес 192.168.1.119
то тогда нужно прописать постоянный маршрут типа route add -p 192.168.1.0 mask 255.255.255.0 192.168.1.119

evgeniy7676
Ну зачем ерунду писать? После коннекта у него маршрут
появляется автоматически, см. выложенный route print
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.219 11

Цитата:

evgeniy7676
Ну зачем ерунду писать? После коннекта у него маршрут
появляется автоматически, см. выложенный route print
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.219 11

Если он снял галочку использовать постоянный маршрут на впн соединении

Цитата:

vlary
С первым все понял. Получилось. Спасибо.

Добавлено:

Цитата:

Accessor
Цитата:
1. трафик от клиента в Интернет стал ходить не напрямую, а через VPN-сервер
Это во всех ЧаВо по VPN уже написано заглавными буквами красного цвета:
в свойствах клиентского подключения снять галку "использовать шлюз в удаленной сети".

Коллеги, флажок "использовать удаленный шлюз" отключён. Но маршрут при этом прописывается нормально. По той простой причине, что на клиенте есть PPP-адаптер, который исправно получает IP-адрес (например 192.168.1.218) соответственно в таблице маршрутизации появляется нужная запись. Дальше, включение proxy-arp на бридже не помогает. Есть еще какие-то догадки?

Accessor
Цитата:

Есть еще какие-то догадки?

Догадки не помогут, нужны пляски с бубном.
Пингани с клиента какой-нибудь хост в сети, а потом посмотри на нем арп таблицу.
Должно появиться 192.168.1.218 с МАКом микротика.
Если этого нет, то арп прокси не работает.
Либо микротик не роутит пакеты. Я не спец по микротику,
но это тот же линукс, а в линуксе роутинг по умолчанию отключен.
Ну про посмотреть пакеты я уже писал.

Всем привет!
Подскажите, тоже имею проблему с маршрутами. четвёртый день пошёл, моих страданий. Дано:
Микротик 2011UiAS-2HnD, прошивка FW3.30, RouterOS 6.34.4. LTE модем Мегафон, несколько компов. Интернет работает, всё здорово. Поступила команда - на google.com и mail.ru ходить анонимно. Взят hideme.ru, проделана инструкция http://www.decker.su/2015/10/vpn-mikrotik-pbr-setup.html (которая как раз подходит под мою задачу), а именно:


Код: /ip firewall nat add action=masquerade chain=srcnat out-interface=hideme-vpn
/ip route add dst-address=0.0.0.0/0 gateway="hideme-vpn" routing-mark=through_vpn
/ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=through_vpn new-routing-mark=through_vpn passthrough=no

vlary

Цитата:

Пингани с клиента какой-нибудь хост в сети, а потом посмотри на нем арп таблицу.

Очистил arp-таблицу на клиенте, сделал пинг в удаленную сеть. Вот что появилось в таблице:
Код: Интерфейс: 192.168.1.218 --- 0x1f
адрес в Интернете Физический адрес Тип
192.168.1.1 статический
224.0.0.22 статический

Drasha
Цитата:

Добавляю в список адреса speedtest.net, захожу на сайт и... Вижу свой местный IP и название провайдера!

speedtest.net использует кучу серверов в разных сетях, на них правил не напасешься.
Потому единственно правильное решение - поднял VPN со шлюзом в удаленной сети,
отработал критический ресурс - отключился.
А вариант "здесь играем, здесь не играем, здесь селедка была завернута" чреват.
Accessor
Собственно, подозревал. что дело в правилах фаервола. Тем не менее поздравляю.

С серверами google та же беда?

Drasha
speedtest явно адрес определяет не на основном домене (а, например, на каком-нибудь c.speedtest.net) - его добавлять тоже надо

также не очень понятно, что имеется в виду под "подсетями гугла и спидтеста" и где они были взяты

Добрый вечер.
Тыкните носом как через Routing->PIM IPTV от Укртелекома сделать.
Через IGMP Proxy настроил работает.

Но в целях образования хочу ещё и через PIM добиться результата.
p.s. При настройке PIM прокси отключал

RuS_UA
На сколько помню, пим нужен на промежуточных роутерах. А у вас уже клиентский
linkmeup.ru/blog/129.html

Добрый день!

Подскажите, что может быть?

Имеется роутер Микротик РБ2011. На 5 портах отдельная подсеть с DHCP. Адреса сетей на портах 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24, 192.168.40.0/24, 192.168.50.0/24. Порт SFP соединен с сетью 192.168.0.0/24. Адреса интерфейсов микротика соответственно 192.168.х.253 ДХЦП клиентам подсетей раздает шлюзом 192.168.х.253

Настраивалось с чистой конфигурации. Из настроек: присвоил адреса интерфейсам, поднаял на интерфейсах ДХЦП, маршрутизация динамическая, один статический маршрут 0.0.0.0 через интернет шлюз 192.168.0.1 Больше ничего не настраивал.

Проблема:
Нет доступа из одной подсети в другую. Адрес 192.168.10.10 не пингует адрес 192.168.20.5
При этом интерфейсы микротика в 10-й и 20-й сети пингуются. Динамические маршруты на эти сети в микротике есть.

При этом вообще непонятная вещь присутствует. Некоторые адреса пингуются. Например, в 10-й сети активны клиенты с 10-го по 20-й адрес. Дак вот, с 192.168.20.5 пингуется штуки 3, а остальные нет. С микротика пингуются все.

Может кто сталкивался с подобным? Спасибо.

nutsmc
Или чудеса, или где-то ошибка.

Покажите фаервол
/ip firewall export
и
активную таблице маршрутизации
/ip route print

Simply_Kot

[admin@MikroTik] > ip firewall export
# jun/01/2016 11:35:33 by RouterOS 6.35
# software id = QC7K-JM34
#
/ip firewall filter
add chain=input
add chain=forward in-interface=all-ethernet out-interface=all-ethernet
/ip firewall mangle
add chain=forward in-interface=all-ethernet out-interface=all-ethernet
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1_UpLink


[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.1 0
1 ADC 192.168.0.0/21 192.168.5.233 sfp1_UpLink 0
2 S 192.168.0.0/21 192.168.0.1 1
3 ADC 192.168.10.0/24 192.168.10.253 eth1_Video 0
4 ADC 192.168.20.0/24 192.168.20.253 eth2_LAN 0
5 ADC 192.168.30.0/24 192.168.30.253 eth3_WiFi 0
6 ADC 192.168.40.0/24 192.168.40.253 eth4_IPTV 0
7 DC 192.168.50.0/24 192.168.50.253 eth5_Locks 255
8 ADC 192.168.60.0/24 192.168.60.1 eth6_PBX 0
9 DC 192.168.100.0/24 192.168.100.100 eth10_UpLink 255

nutsmc
А вот это вам зачем?
/ip firewall mangle
add chain=forward in-interface=all-ethernet out-interface=all-ethernet

Так сказать для "уже все перепробовал и ничего не помогает" ....
Если убрать все цепочки, в том числе нат, то все равно не работает.
Без нат и маскарад в 192.168.0.0 выхода нет.

nutsmc

Тогда именно вам ни к чему
/ip firewall mangle

Еще покажите
/interface ethernet print

melboyscout

Цитата:

На сколько помню, пим нужен на промежуточных роутерах. А у вас уже клиентский
linkmeup.ru/blog/129.html

Получается кроме IGMP прокси другого варианта нет?

Simply_Kot

[admin@MikroTik] > interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 R eth1_Video 1500 E4:8D:8C:34:21:96 enabled none switch1
1 R eth2_LAN 1500 E4:8D:8C:34:21:97 enabled none switch1
2 R eth3_WiFi 1500 E4:8D:8C:34:21:98 enabled none switch1
3 R eth4_IPTV 1500 E4:8D:8C:34:21:99 enabled none switch1
4 eth5_Locks 1500 E4:8D:8C:34:21:9A enabled none switch1
5 R eth6_PBX 1500 E4:8D:8C:34:21:9B enabled none switch2
6 eth10_UpLink 1500 E4:8D:8C:34:21:9F enabled none switch2
7 ether7 1500 E4:8D:8C:34:21:9C enabled none switch2
8 ether8 1500 E4:8D:8C:34:21:9D enabled none switch2
9 ether9 1500 E4:8D:8C:34:21:9E enabled none switch2
10 R sfp1_UpLink 1500 E4:8D:8C:34:21:95 enabled none switch1

nutsmc
Тоже без криминала...
Если только неправильно адреса на интерфейсах настроены?

Если можно полный /export

Всем доброго.

Как раскидать по таблицам маршрутизации соединения, которые устанавливает сам роутер?

Есть офис с двумя провайдерами, адреса ISP1 и ISP2. И удалённый офис с одним провайдером ISP3

В головном офисе в маршрутах без метки прописан шлюз ISP1 с метрикой 1, шлюз ISP2 с метрикой 2.
Настроены правила в mangle чтоб вешал метки via_isp1 и via_isp2 на транзитный трафик и нормально так разбрасывает его через провайдеров.
Также поднят IPSEC-GRE тунель ISP1-ISP3 до второго офиса.

Надо: Поднять IPSEC-GRE тунель ISP2-ISP3 и настроить балансировку/фэйловер.
Если я в маршрутах выставляю одинаковую метрику для шлюзов обоих провайдеров начинается форменный бардак.
При текущих настройках GRE не поднимается, потому что пакеты ходят через шлюз ISP1
Как сформулировать правило в мэнгл, чтоб "трафик с source-ip=ISP2" шёл через шлюз ISP2?
Метки то-ли не вешаются, то-ли игнорируются, то-ли этот трафик вообще в prerouting не попадает...
Для watctdog прописываются маршруты до пингуемых адресов... а тут адрес назначения у туннелей одинаковый.
Как побороть?

Привет .
Ещё вопросик как назвать сеть.
В общем чтоб после идентификации в Windows вместо Сеть 6. Написало то что я хочу.

RuS_UA
Насколько я понимаю, что это можно сделать либо руками в реестре, либо должно быть доменное сетевое подключение. Микротик тебе этого не сделает.

Цитата:

5. IP->Firewall маскарад SRC первой п/сети и DST второй подсети с знаком "!"

Настроил следующим образом:
На 1 WAN интернет
на остальных портах - отдельные подсети
https://cloud.mail.ru/public/D3C1/U9xGYSjh3
Для каждой сети свой dhcp сервер
https://cloud.mail.ru/public/KHKo/de6b3hdXZ
https://cloud.mail.ru/public/BiCp/SKJWx8Hw3

Как теперь правильно прописать правила в фаерволе, что бы все сети ходили в интернет и не было доступа из одной сети в другую?
Заранее спасибо.

One13
/ip firewall filter add chain=forward in-interface=ether2 out-interface=!ether1 action=drop
/ip firewall filter add chain=forward in-interface=ether3 out-interface=!ether1 action=drop
/ip firewall filter add chain=forward in-interface=ether4 out-interface=!ether1 action=drop
/ip firewall filter add chain=forward in-interface=ether5 out-interface=!ether1 action=drop

Проблемка у меня, тут нарисовалась
Прошу подсказать.
Ситуация следующая:
в офиссе используется микротик RB493 для выход а интернет. Работате через ADSL модем (Acorp W422G), настроенный бриджем. Долгое время на роутете IP назначался от провайдера динамически через pppoe.
В связи с участившимися назначениями непубличных адресов, принято решение перейти на статический белый IP. Пров выдал соответствующие реквизиты (IP из 30 подсети С, шлюз, ДНС). Отключил pppoe клиент на микротике, в IP-Адреса забил соответствующий IP с прдсетью, в маршрутах вписал шлюз. Все примитивно, вроде.
Однако, с роутера шлюз провайдера не пингуется, как и он не пингует клиентский WAN на микротике. При этом, ARP таблица строится, т.е. аппараты друг друга видят по MAC.
В модеме прописал, соответственно на LAN интерфейс IP из выданной провом подсети.
Роутер, также не пингует модем. С интерфейса модема шлюз провайдера на пинг отвечает.

Сломал голову себе, и техподдержку замучил. Не понимаю, насколько ситуация часта? Кто-нибудь сталкивался с подобным поведением? Уж, и модем подменил на другого производителя, проблема повторилась.

PS: Извиняюсь, что без print-логов, если понадобится, то завтра доберусь до работы и распишу более предметно.