Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» MikroTik RouterOS (часть 4)

Автор: melboyscout
Дата сообщения: 30.06.2016 12:18
нарисуйте или подробно опишите схему и приведите полный конфиг
export file=file
Автор: basic8333
Дата сообщения: 30.06.2016 12:55
[more] [more] Конфиг

# jun/30/2016 12:26:41 by RouterOS 6.35rc3
#
/interface ovpn-client
add auth=md5 certificate=odessa.crt_0 connect-to= disabled=yes \
mac-address= name=VPN-REIKARTZ port= user=username
/interface bridge
add arp=proxy-arp name=bridge_local
/interface ethernet
set [ find default-name=ether7 ] comment=TRUNK name=TRUNK-ether3
set [ find default-name=ether5 ] comment=DATAGROUP name=WAN-Datagroup_eth1
set [ find default-name=ether6 ] comment=TENET mac-address= \
name="WAN-TENET(eth2)"
set [ find default-name=ether8 ] name=ether4
set [ find default-name=ether1 ] name=ether5
set [ find default-name=ether2 ] name=ether6
set [ find default-name=ether3 ] name=ether7
set [ find default-name=ether4 ] arp=proxy-arp name=ether8
/interface pppoe-client
add disabled=no interface="WAN-TENET(eth2)" max-mru=1480 max-mtu=1480 mrru=\
1600 name=PPPOE-TENET password=smudecul user=foodmarket
/interface l2tp-client
add connect-to= dial-on-demand=yes disabled=no ipsec-secret="" mrru=1600 name=l2tp_TO_REIKARTZ password=\
use-ipsec=yes user=odessa
/ip neighbor discovery
set TRUNK-ether3 comment=TRUNK
set WAN-Datagroup_eth1 comment=DATAGROUP
set "WAN-TENET(eth2)" comment=TENET
/interface vlan
add interface=TRUNK-ether3 name=Vlan100 vlan-id=100
add interface=TRUNK-ether3 name=Vlan_Local vlan-id=25
add interface=TRUNK-ether3 name=Vlan_WiFi vlan-id=26
/ip neighbor discovery
set Vlan_Local discover=no
set Vlan_WiFi discover=no
/ip pool
add name=Pool_Local ranges=192.168.0.2-192.168.0.254
add name=Pool_WiFi ranges=10.10.10.2-10.10.11.254
add name=Router_pool ranges=192.168.88.150-192.168.88.160
add name=VPN_POOL ranges=10.48.0.2-10.48.0.10
/ip dhcp-server
add add-arp=yes address-pool=Pool_Local authoritative=yes disabled=no \
interface=Vlan_Local lease-time=2h name=Server_Local
add add-arp=yes address-pool=Pool_WiFi authoritative=yes disabled=no \
interface=Vlan_WiFi lease-time=2h name=Server_WiFi
add add-arp=yes address-pool=Router_pool authoritative=yes disabled=no \
interface=ether8 lease-time=2h name=Router_DHCP_IP
/ppp profile
add dns-server=192.168.3.1 name=OpenVPN use-encryption=required
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 interface=ether8 network=192.168.88.0
add address=10.10.10.1/23 interface=Vlan_WiFi network=10.10.10.0
add address=192.168.0.1/24 interface=Vlan_Local network=192.168.0.0
add address=192.168.90.1/24 interface=ether7 network=192.168.90.0
add address=IP/30 interface=WAN-Datagroup_eth1 network=\
IP
add address=10.90.90.1/26 interface=Vlan100 network=10.90.90.0
/ip dhcp-server lease
add address=10.10.10.119 client-id=1:24:a4:3c:98:26:8d mac-address=\
24:A4:3C:98:26:8D server=Server_WiFi
add address=10.10.10.126 client-id=1:24:a4:3c:32:ea:68 mac-address=\
24:A4:3C:32:EA:68 server=Server_WiFi
add address=10.10.10.116 client-id=1:24:a4:3c:98:27:64 mac-address=\
24:A4:3C:98:27:64 server=Server_WiFi
add address=10.10.10.130 client-id=1:24:a4:3c:32:ea:3d mac-address=\
24:A4:3C:32:EA:3D server=Server_WiFi
add address=10.10.10.133 client-id=1:24:a4:3c:34:2:a5 mac-address=\
24:A4:3C:34:02:A5 server=Server_WiFi
add address=10.10.10.127 client-id=1:24:a4:3c:98:28:f1 mac-address=\
24:A4:3C:98:28:F1 server=Server_WiFi
add address=10.10.10.117 client-id=1:24:a4:3c:98:29:59 mac-address=\
24:A4:3C:98:29:59 server=Server_WiFi
add address=10.10.10.131 client-id=1:24:a4:3c:98:26:92 mac-address=\
24:A4:3C:98:26:92 server=Server_WiFi
add address=10.10.10.132 client-id=1:24:a4:3c:98:25:9e mac-address=\
24:A4:3C:98:25:9E server=Server_WiFi
add address=10.10.10.115 client-id=1:24:a4:3c:32:ec:12 mac-address=\
24:A4:3C:32:EC:12 server=Server_WiFi
add address=10.10.10.120 client-id=1:24:a4:3c:98:29:55 mac-address=\
24:A4:3C:98:29:55 server=Server_WiFi
add address=10.10.10.114 client-id=1:24:a4:3c:98:26:d8 mac-address=\
24:A4:3C:98:26:D8 server=Server_WiFi
add address=10.10.10.99 client-id=1:24:a4:3c:98:24:5e mac-address=\
24:A4:3C:98:24:5E server=Server_WiFi
add address=10.10.10.128 client-id=1:24:a4:3c:32:ea:aa mac-address=\
24:A4:3C:32:EA:AA server=Server_WiFi
add address=10.10.10.118 client-id=1:24:a4:3c:98:2a:c7 mac-address=\
24:A4:3C:98:2A:C7 server=Server_WiFi
add address=192.168.88.155 client-id=1:14:da:e9:91:3f:f5 comment="BASIC PC" \
mac-address=14:DA:E9:91:3F:F5 server=Router_DHCP_IP
add address=10.10.10.155 always-broadcast=yes comment="BASIC Phone" \
mac-address=A8:A6:68:18:90:96 server=Server_WiFi
add address=10.10.10.160 client-id=1:14:da:e9:91:3f:f5 comment=\
"BASIC PC(wifi)" mac-address=14:DA:E9:91:3F:F5 server=Server_WiFi
add address=192.168.0.115 client-id=1:f8:32:e4:3e:e3:a4 mac-address=\
F8:32:E4:3E:E3:A4 server=Server_Local
add address=192.168.0.169 client-id=1:64:70:2:80:3:f1 mac-address=\
64:70:02:80:03:F1 server=Server_Local
add address=192.168.0.150 client-id=1:14:da:e9:91:3f:f5 mac-address=\
14:DA:E9:91:3F:F5 server=Server_Local
/ip dhcp-server network
add address=10.10.10.0/23 dns-server=10.10.10.1 gateway=10.10.10.1 netmask=23
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 \
netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip dns static
add address=127.0.0.1 disabled=yes name="*\\.vk\\.com"
/ip firewall filter
add action=drop chain=forward content=vk.com disabled=yes protocol=tcp \
src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes dst-address=IP \
protocol=tcp src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes src-address=10.10.10.86
add action=drop chain=input comment="53 PORT SPAM" dst-port=53 in-interface=\
PPPOE-TENET protocol=tcp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface="WAN-TENET(eth2)" \
protocol=udp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface=WAN-Datagroup_eth1 \
protocol=udp src-address-list=DNS_Flood
add action=add-src-to-address-list address-list=DNS_Flood \
address-list-timeout=1h chain=input dst-port=53 in-interface=PPPOE-TENET \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=PPPOE-TENET protocol=udp \
src-address-list=DNS_Flood
/ip firewall mangle
add action=mark-routing chain=prerouting comment="MY NET" disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.88.0/24
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
WAN_DATAGROUP passthrough=no src-address=192.168.90.0/24
add action=mark-routing chain=prerouting comment=Local disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment=WIFI new-routing-mark=\
WAN_TENET passthrough=no src-address=10.10.10.0/23
/ip firewall nat
add action=masquerade chain=srcnat comment=LOCAL_TO_INTERNET out-interface=\
PPPOE-TENET src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.90.0/24
add action=masquerade chain=srcnat comment=WIFI_TO_INTERNET out-interface=\
PPPOE-TENET src-address=10.10.10.0/23
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=10.10.10.0/23
add action=masquerade chain=srcnat comment=REIKARTZ_SITE dst-address=\
192.168.1.6 out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.6 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="TO CISCO" disabled=yes \
dst-address=10.90.90.21 out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=10.90.90.22 \
out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment=SERVIO dst-address=192.168.26.100 \
out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.26.100 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="LOCAL_TO DATAGROUP" \
out-interface=PPPOE-TENET src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.0.0/24
/ip proxy
set parent-proxy=0.0.0.0 port=3128 src-address=10.10.10.160
/ip route
add comment="TO CISCO" disabled=yes distance=1 dst-address=10.90.90.21/32 \
gateway=Vlan100 pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add disabled=yes distance=1 dst-address=10.90.90.22/32 gateway=Vlan100 \
pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add check-gateway=ping comment=TENET distance=3 gateway=PPPOE-TENET \
routing-mark=WAN_TENET
add check-gateway=ping comment=DATAGROUP distance=2 gateway=77.222.147.89
add distance=1 dst-address=192.168.1.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.1.6/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.3.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.26.100/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.166.0/24 gateway=l2tp_TO_REIKARTZ
/ip route rule
add action=unreachable disabled=yes dst-address=192.168.0.0/24 src-address=\
192.168.88.0/24
add action=unreachable disabled=yes dst-address=192.168.88.0/24 src-address=\
192.168.0.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.88.0/24
add action=unreachable dst-address=192.168.88.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/23 src-address=10.90.90.0/26
add action=unreachable dst-address=10.90.90.0/26 src-address=10.10.10.0/23
add action=unreachable dst-address=10.90.90.0/26 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.90.90.0/26
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.88.0/24,192.168.90.0/24
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.90.0/24
set api-ssl disabled=yes
/lcd
set backlight-timeout=5m color-scheme=dark
/lcd pin
set hide-pin-number=yes pin-number=3062
/system clock
set time-zone-name=Europe/Kiev
/system ntp client
set enabled=yes primary-ntp=91.198.10.4 secondary-ntp=193.34.155.4
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=\
disabled
[/more]

http://imageshack.com/a/img922/9244/vCxuQR.jpg [/more]
Автор: 468320
Дата сообщения: 01.07.2016 16:53
Спецы, почему не работает банальное правило #1 по блокировке сайта? Что ему может мешать, уже всю голову сломал.
Автор: melboyscout
Дата сообщения: 01.07.2016 17:19
468320
у меня так:

add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content=\
!Host:vk.com disabled=yes in-interface=BridgeLAN protocol=tcp src-address=\
192.168.100.0/24
add action=reject chain=forward comment=\
"\C1\FB\F1\F2\F0\E0\FF \E1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content="Host: vk.com" \
disabled=yes protocol=tcp reject-with=tcp-reset src-address=192.168.100.0/24
Автор: Chupaka
Дата сообщения: 01.07.2016 17:23
468320
вы бы показали, что там в правиле-то. просто написать "Block Gazeta.ru" в комментарии, как правило, недостаточно
Автор: 468320
Дата сообщения: 01.07.2016 17:30
melboyscout
У вас первое правило запрещает всё кроме vk.com?

Добавлено:
Chupaka
Да стандартное правило, в поле Content указано gazeta.ru, в Action reject, в Reject With tcp reset.
Автор: melboyscout
Дата сообщения: 01.07.2016 17:42
468320

Цитата:
У вас первое правило запрещает всё кроме vk.com?

да.
Автор: Chupaka
Дата сообщения: 01.07.2016 18:42
melboyscout
оно не должно работать не только потому, что выключено, но и потому, что первые пакеты tcp-соединения не содержат данных (в частности, искомой строки Contents), поэтому будут дропаться
Автор: basic8333
Дата сообщения: 01.07.2016 19:02
Мне никто не может помочь?
Автор: 468320
Дата сообщения: 01.07.2016 20:54
Chupaka

Цитата:
вы бы показали, что там в правиле-то. просто написать "Block Gazeta.ru" в комментарии, как правило, недостаточно

Правило блокировки сайта заработали после следующей манипуляции:
заходим в IP - Settings, снимаем флажок с Allow Fast Path.

Кто-нибудь может объяснить почему так происходит?
Автор: jey_str
Дата сообщения: 01.07.2016 21:27
Всем доброе время суток
возникла задача сделать гостевой wi-fi
В конфренс зале установлен микротик уже с работающем wi-fi но для сотрудников с обзором внутренних ресурсов и тп
решил настроить virtual sid только чтобы он был в другой подсети с внутреним dhcp, второй wi-fi настроил но он в тойже подсети как разделить их чегото не могу понять

Если кто настраивал подскажите
если есть ссылка подельтесь
Автор: deflope
Дата сообщения: 02.07.2016 00:22
Решил настроить QoS и вот уже несколько мануалов перечитал и попробовал, а очереди так и не получилось настроить. Подскажите не может на это дело влиять новый функционал Fasttrack? Как настраивать очереди в таком случае? Буду рад любому совету по этому вопросу.
Автор: Lik_MigTel
Дата сообщения: 02.07.2016 13:16
у меня WebFig v6.34.2 (stable) и RB750r2
я настроил на нем PPTP-client вот по этому мануалу
https://www.youtube.com/watch?v=SW6AZ33go5U

сижу играю в игры через впн для обхода региональных ограничений
PPTP работает только для одного единственного IP (моего компа) - 192.168.0.92
остальные компы (коих несколько штук за этим же микротиком) ходят по дефолтным маршрутам

Если происходит дисконнект PPTP то трафик начинает идти по дефолтным маршрутам и светится мой реальный айпишник и меня банят.

как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
т.е. если произошел разрыва PPTP чтобы я не засветился.
и чтобы это правило работало только для моего компа а не для всех, остальные без впна и он им вообще не нужен
Автор: melboyscout
Дата сообщения: 02.07.2016 15:28
Lik_MigTel

Цитата:
остальные компы (коих несколько штук за этим же микротиком) ходят по дефолтным маршрутам ...как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?

видимо, прописать маршруты...
Автор: Simply_Kot
Дата сообщения: 02.07.2016 18:00
468320
deflope

Есть замечательная официальная окументация: http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
В ней черным по белому написано:

Description

IPv4 FastTrack handler is automatically used for marked connections. Use firewall action "fasttrack-connection" to mark connections for fasttrack. Currently only TCP and UDP connections can be actually fasttracked (even though any connection can be marked for fasttrack). IPv4 FastTrack handler supports NAT (SNAT, DNAT or both).

Note that not all packets in a connection can be fasttracked, so it is likely to see some packets going through slow path even though connection is marked for fasttrack. This is the reason why fasttrack-connection is usually followed be identical action=accept rule. Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration;
Автор: Lik_MigTel
Дата сообщения: 03.07.2016 05:52
melboyscout
я чудом еле еле по мануалу настроил PPTP и понятия не имею как в микротике что делать
и поэтому прошу помочь мне на этом форуме иначе я бы просто сюда не зашел

хотябы пример дайте какой нибудь или ссылку на видео, если так тяжело написать комнаду для консоли

вот мои интерфейсы
-E    X    PPTP-germany PPTP Client        0 bps    0 bps    0    0    0 bps    0 bps    0    0    
D    R    ether1    Ethernet        
D    R    ether2-master    Ethernet    (я сижу тут)
D    RS    ether3    Ethernet    
D    S    ether4    Ethernet        
D    RS    ether5    Ethernet    

мой айпи 192.168.0.92
Автор: melboyscout
Дата сообщения: 03.07.2016 09:18
Lik_MigTel
в ip - routes или командой:
/ip route add distance=1 dst-address=10.0.0.0/24 gateway=10.10.10.2
где 10.0.0.0/24 - подсеть с серверами игрушки
10.10.10.2 - ip адрес pptp клиента. можно попробовать подставить имя pptp интерфейса
Автор: Lik_MigTel
Дата сообщения: 03.07.2016 12:39
надо не совсем то,
надо

/IP route add PORT_ETHER2 gateway=10.10.10.2

т.е. весь трафик который по моему порту надо на впн завернуть
либо

/IP route add 192.168.0.92 gateway=10.10.10.2
весь трафик с айпи 198.168.0.92 только через этот шлюз



/ip route add distance=1 src-address=192.168.0.92 gateway=5.255.15.144
вот так пробовал не помогает
Автор: zBear
Дата сообщения: 03.07.2016 14:02
есть какой-то способ конкретно определить причину ребута?
в логе укзан ребут по watchdog timer
Автор: melboyscout
Дата сообщения: 03.07.2016 14:06
Lik_MigTel
Вы меня пытаетесь убедить, как вам нужно? Это ваши хотелки, и под тему роутинг они не попадают, ИМХО.

Если уж хочется весь трафик с порта, то используйте фаервол/нат для этого

Автор: Lik_MigTel
Дата сообщения: 03.07.2016 14:31
melboyscout


КАК?
я понятия не имею как это сделать

я по моему еще в самом начале изложил вопрос




Цитата:
как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
Автор: alexnov66
Дата сообщения: 03.07.2016 16:24
basic8333


Цитата:
Я не силен в настройках

А конфиг выложенный кто настраивал ?

Что то в конфиге я не увидел маршрута к требуемой сети
Вы метите трафик к сети 88.0 WAN_DATAGROUP а маршрута нет к этой сети.
Да и не следует метить трафик всех сетей одной меткой WAN_DATAGROUP
Теоритически сети находящиеся на одном микротике должны и так видеть друг друга, если не сделано запрещающее правило для них.
Автор: 468320
Дата сообщения: 03.07.2016 20:40
Спецы, подскажите почему не срабатывает исключение для ip-адреса 192.168.1.10? Правило все равно блокирует всех.

Цитата:

/ip firewall filter
add action=reject chain=forward comment="block video" layer7-protocol=video \
protocol=tcp reject-with=tcp-reset src-address=!192.168.1.10
Автор: Chupaka
Дата сообщения: 03.07.2016 22:49
468320
Видимо, потому, что оно срабатывает на пакет с dst-address=192.168.0.10 Попробуйте добавить ещё и "dst-address=!192.168.0.10"

Добавлено:
Lik_MigTel
/ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject
Автор: 468320
Дата сообщения: 03.07.2016 23:20
Chupaka

Цитата:
Видимо, потому, что оно срабатывает на пакет с dst-address=192.168.0.10 Попробуйте добавить ещё и "dst-address=!192.168.0.10"

Спасибо, сработало! Только "dst-address=!192.168.1.10"
Автор: Chupaka
Дата сообщения: 04.07.2016 00:33
468320
Ну, да, с телефона жутко неудобно отвечать
Автор: melboyscout
Дата сообщения: 04.07.2016 08:10
Lik_MigTel
по типу этого
Автор: IvanovEv
Дата сообщения: 04.07.2016 10:52
Всем привет, настраиваю Netwatch , но что то он не хочет мне переключать.

В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.

Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no

DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no

сам NetWatch статус меняет при падение канала, как мне правильно сделать??
Автор: vlary
Дата сообщения: 04.07.2016 12:43
IvanovEv
Цитата:
чтобы при недоступности IP1 он переключал на IP2
А ты уверен, что IP1 не остается доступен через 2-го провайдера?
Автор: IvanovEv
Дата сообщения: 04.07.2016 15:32
Уверен, проверил на сервере нормально переключаются каналы. В Netwatch у меня все правильно прописано? , переключение писал только в netwatch скрипты отдельно не делал.

Страницы: 1234567891011121314151617181920212223

Предыдущая тема: Запрет на загрузку, при установке сервера терминалов.


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.