нарисуйте или подробно опишите схему и приведите полный конфиг
export file=file
export file=file
» MikroTik RouterOS (часть 4)
[more] [more] Конфиг
# jun/30/2016 12:26:41 by RouterOS 6.35rc3
#
/interface ovpn-client
add auth=md5 certificate=odessa.crt_0 connect-to= disabled=yes \
mac-address= name=VPN-REIKARTZ port= user=username
/interface bridge
add arp=proxy-arp name=bridge_local
/interface ethernet
set [ find default-name=ether7 ] comment=TRUNK name=TRUNK-ether3
set [ find default-name=ether5 ] comment=DATAGROUP name=WAN-Datagroup_eth1
set [ find default-name=ether6 ] comment=TENET mac-address= \
name="WAN-TENET(eth2)"
set [ find default-name=ether8 ] name=ether4
set [ find default-name=ether1 ] name=ether5
set [ find default-name=ether2 ] name=ether6
set [ find default-name=ether3 ] name=ether7
set [ find default-name=ether4 ] arp=proxy-arp name=ether8
/interface pppoe-client
add disabled=no interface="WAN-TENET(eth2)" max-mru=1480 max-mtu=1480 mrru=\
1600 name=PPPOE-TENET password=smudecul user=foodmarket
/interface l2tp-client
add connect-to= dial-on-demand=yes disabled=no ipsec-secret="" mrru=1600 name=l2tp_TO_REIKARTZ password=\
use-ipsec=yes user=odessa
/ip neighbor discovery
set TRUNK-ether3 comment=TRUNK
set WAN-Datagroup_eth1 comment=DATAGROUP
set "WAN-TENET(eth2)" comment=TENET
/interface vlan
add interface=TRUNK-ether3 name=Vlan100 vlan-id=100
add interface=TRUNK-ether3 name=Vlan_Local vlan-id=25
add interface=TRUNK-ether3 name=Vlan_WiFi vlan-id=26
/ip neighbor discovery
set Vlan_Local discover=no
set Vlan_WiFi discover=no
/ip pool
add name=Pool_Local ranges=192.168.0.2-192.168.0.254
add name=Pool_WiFi ranges=10.10.10.2-10.10.11.254
add name=Router_pool ranges=192.168.88.150-192.168.88.160
add name=VPN_POOL ranges=10.48.0.2-10.48.0.10
/ip dhcp-server
add add-arp=yes address-pool=Pool_Local authoritative=yes disabled=no \
interface=Vlan_Local lease-time=2h name=Server_Local
add add-arp=yes address-pool=Pool_WiFi authoritative=yes disabled=no \
interface=Vlan_WiFi lease-time=2h name=Server_WiFi
add add-arp=yes address-pool=Router_pool authoritative=yes disabled=no \
interface=ether8 lease-time=2h name=Router_DHCP_IP
/ppp profile
add dns-server=192.168.3.1 name=OpenVPN use-encryption=required
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 interface=ether8 network=192.168.88.0
add address=10.10.10.1/23 interface=Vlan_WiFi network=10.10.10.0
add address=192.168.0.1/24 interface=Vlan_Local network=192.168.0.0
add address=192.168.90.1/24 interface=ether7 network=192.168.90.0
add address=IP/30 interface=WAN-Datagroup_eth1 network=\
IP
add address=10.90.90.1/26 interface=Vlan100 network=10.90.90.0
/ip dhcp-server lease
add address=10.10.10.119 client-id=1:24:a4:3c:98:26:8d mac-address=\
24:A4:3C:98:26:8D server=Server_WiFi
add address=10.10.10.126 client-id=1:24:a4:3c:32:ea:68 mac-address=\
24:A4:3C:32:EA:68 server=Server_WiFi
add address=10.10.10.116 client-id=1:24:a4:3c:98:27:64 mac-address=\
24:A4:3C:98:27:64 server=Server_WiFi
add address=10.10.10.130 client-id=1:24:a4:3c:32:ea:3d mac-address=\
24:A4:3C:32:EA:3D server=Server_WiFi
add address=10.10.10.133 client-id=1:24:a4:3c:34:2:a5 mac-address=\
24:A4:3C:34:02:A5 server=Server_WiFi
add address=10.10.10.127 client-id=1:24:a4:3c:98:28:f1 mac-address=\
24:A4:3C:98:28:F1 server=Server_WiFi
add address=10.10.10.117 client-id=1:24:a4:3c:98:29:59 mac-address=\
24:A4:3C:98:29:59 server=Server_WiFi
add address=10.10.10.131 client-id=1:24:a4:3c:98:26:92 mac-address=\
24:A4:3C:98:26:92 server=Server_WiFi
add address=10.10.10.132 client-id=1:24:a4:3c:98:25:9e mac-address=\
24:A4:3C:98:25:9E server=Server_WiFi
add address=10.10.10.115 client-id=1:24:a4:3c:32:ec:12 mac-address=\
24:A4:3C:32:EC:12 server=Server_WiFi
add address=10.10.10.120 client-id=1:24:a4:3c:98:29:55 mac-address=\
24:A4:3C:98:29:55 server=Server_WiFi
add address=10.10.10.114 client-id=1:24:a4:3c:98:26:d8 mac-address=\
24:A4:3C:98:26:D8 server=Server_WiFi
add address=10.10.10.99 client-id=1:24:a4:3c:98:24:5e mac-address=\
24:A4:3C:98:24:5E server=Server_WiFi
add address=10.10.10.128 client-id=1:24:a4:3c:32:ea:aa mac-address=\
24:A4:3C:32:EA:AA server=Server_WiFi
add address=10.10.10.118 client-id=1:24:a4:3c:98:2a:c7 mac-address=\
24:A4:3C:98:2A:C7 server=Server_WiFi
add address=192.168.88.155 client-id=1:14:da:e9:91:3f:f5 comment="BASIC PC" \
mac-address=14:DA:E9:91:3F:F5 server=Router_DHCP_IP
add address=10.10.10.155 always-broadcast=yes comment="BASIC Phone" \
mac-address=A8:A6:68:18:90:96 server=Server_WiFi
add address=10.10.10.160 client-id=1:14:da:e9:91:3f:f5 comment=\
"BASIC PC(wifi)" mac-address=14:DA:E9:91:3F:F5 server=Server_WiFi
add address=192.168.0.115 client-id=1:f8:32:e4:3e:e3:a4 mac-address=\
F8:32:E4:3E:E3:A4 server=Server_Local
add address=192.168.0.169 client-id=1:64:70:2:80:3:f1 mac-address=\
64:70:02:80:03:F1 server=Server_Local
add address=192.168.0.150 client-id=1:14:da:e9:91:3f:f5 mac-address=\
14:DA:E9:91:3F:F5 server=Server_Local
/ip dhcp-server network
add address=10.10.10.0/23 dns-server=10.10.10.1 gateway=10.10.10.1 netmask=23
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 \
netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip dns static
add address=127.0.0.1 disabled=yes name="*\\.vk\\.com"
/ip firewall filter
add action=drop chain=forward content=vk.com disabled=yes protocol=tcp \
src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes dst-address=IP \
protocol=tcp src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes src-address=10.10.10.86
add action=drop chain=input comment="53 PORT SPAM" dst-port=53 in-interface=\
PPPOE-TENET protocol=tcp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface="WAN-TENET(eth2)" \
protocol=udp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface=WAN-Datagroup_eth1 \
protocol=udp src-address-list=DNS_Flood
add action=add-src-to-address-list address-list=DNS_Flood \
address-list-timeout=1h chain=input dst-port=53 in-interface=PPPOE-TENET \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=PPPOE-TENET protocol=udp \
src-address-list=DNS_Flood
/ip firewall mangle
add action=mark-routing chain=prerouting comment="MY NET" disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.88.0/24
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
WAN_DATAGROUP passthrough=no src-address=192.168.90.0/24
add action=mark-routing chain=prerouting comment=Local disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment=WIFI new-routing-mark=\
WAN_TENET passthrough=no src-address=10.10.10.0/23
/ip firewall nat
add action=masquerade chain=srcnat comment=LOCAL_TO_INTERNET out-interface=\
PPPOE-TENET src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.90.0/24
add action=masquerade chain=srcnat comment=WIFI_TO_INTERNET out-interface=\
PPPOE-TENET src-address=10.10.10.0/23
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=10.10.10.0/23
add action=masquerade chain=srcnat comment=REIKARTZ_SITE dst-address=\
192.168.1.6 out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.6 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="TO CISCO" disabled=yes \
dst-address=10.90.90.21 out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=10.90.90.22 \
out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment=SERVIO dst-address=192.168.26.100 \
out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.26.100 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="LOCAL_TO DATAGROUP" \
out-interface=PPPOE-TENET src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.0.0/24
/ip proxy
set parent-proxy=0.0.0.0 port=3128 src-address=10.10.10.160
/ip route
add comment="TO CISCO" disabled=yes distance=1 dst-address=10.90.90.21/32 \
gateway=Vlan100 pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add disabled=yes distance=1 dst-address=10.90.90.22/32 gateway=Vlan100 \
pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add check-gateway=ping comment=TENET distance=3 gateway=PPPOE-TENET \
routing-mark=WAN_TENET
add check-gateway=ping comment=DATAGROUP distance=2 gateway=77.222.147.89
add distance=1 dst-address=192.168.1.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.1.6/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.3.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.26.100/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.166.0/24 gateway=l2tp_TO_REIKARTZ
/ip route rule
add action=unreachable disabled=yes dst-address=192.168.0.0/24 src-address=\
192.168.88.0/24
add action=unreachable disabled=yes dst-address=192.168.88.0/24 src-address=\
192.168.0.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.88.0/24
add action=unreachable dst-address=192.168.88.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/23 src-address=10.90.90.0/26
add action=unreachable dst-address=10.90.90.0/26 src-address=10.10.10.0/23
add action=unreachable dst-address=10.90.90.0/26 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.90.90.0/26
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.88.0/24,192.168.90.0/24
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.90.0/24
set api-ssl disabled=yes
/lcd
set backlight-timeout=5m color-scheme=dark
/lcd pin
set hide-pin-number=yes pin-number=3062
/system clock
set time-zone-name=Europe/Kiev
/system ntp client
set enabled=yes primary-ntp=91.198.10.4 secondary-ntp=193.34.155.4
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=\
disabled
[/more]
http://imageshack.com/a/img922/9244/vCxuQR.jpg [/more]
# jun/30/2016 12:26:41 by RouterOS 6.35rc3
#
/interface ovpn-client
add auth=md5 certificate=odessa.crt_0 connect-to= disabled=yes \
mac-address= name=VPN-REIKARTZ port= user=username
/interface bridge
add arp=proxy-arp name=bridge_local
/interface ethernet
set [ find default-name=ether7 ] comment=TRUNK name=TRUNK-ether3
set [ find default-name=ether5 ] comment=DATAGROUP name=WAN-Datagroup_eth1
set [ find default-name=ether6 ] comment=TENET mac-address= \
name="WAN-TENET(eth2)"
set [ find default-name=ether8 ] name=ether4
set [ find default-name=ether1 ] name=ether5
set [ find default-name=ether2 ] name=ether6
set [ find default-name=ether3 ] name=ether7
set [ find default-name=ether4 ] arp=proxy-arp name=ether8
/interface pppoe-client
add disabled=no interface="WAN-TENET(eth2)" max-mru=1480 max-mtu=1480 mrru=\
1600 name=PPPOE-TENET password=smudecul user=foodmarket
/interface l2tp-client
add connect-to= dial-on-demand=yes disabled=no ipsec-secret="" mrru=1600 name=l2tp_TO_REIKARTZ password=\
use-ipsec=yes user=odessa
/ip neighbor discovery
set TRUNK-ether3 comment=TRUNK
set WAN-Datagroup_eth1 comment=DATAGROUP
set "WAN-TENET(eth2)" comment=TENET
/interface vlan
add interface=TRUNK-ether3 name=Vlan100 vlan-id=100
add interface=TRUNK-ether3 name=Vlan_Local vlan-id=25
add interface=TRUNK-ether3 name=Vlan_WiFi vlan-id=26
/ip neighbor discovery
set Vlan_Local discover=no
set Vlan_WiFi discover=no
/ip pool
add name=Pool_Local ranges=192.168.0.2-192.168.0.254
add name=Pool_WiFi ranges=10.10.10.2-10.10.11.254
add name=Router_pool ranges=192.168.88.150-192.168.88.160
add name=VPN_POOL ranges=10.48.0.2-10.48.0.10
/ip dhcp-server
add add-arp=yes address-pool=Pool_Local authoritative=yes disabled=no \
interface=Vlan_Local lease-time=2h name=Server_Local
add add-arp=yes address-pool=Pool_WiFi authoritative=yes disabled=no \
interface=Vlan_WiFi lease-time=2h name=Server_WiFi
add add-arp=yes address-pool=Router_pool authoritative=yes disabled=no \
interface=ether8 lease-time=2h name=Router_DHCP_IP
/ppp profile
add dns-server=192.168.3.1 name=OpenVPN use-encryption=required
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 enabled=yes
/ip address
add address=192.168.88.1/24 interface=ether8 network=192.168.88.0
add address=10.10.10.1/23 interface=Vlan_WiFi network=10.10.10.0
add address=192.168.0.1/24 interface=Vlan_Local network=192.168.0.0
add address=192.168.90.1/24 interface=ether7 network=192.168.90.0
add address=IP/30 interface=WAN-Datagroup_eth1 network=\
IP
add address=10.90.90.1/26 interface=Vlan100 network=10.90.90.0
/ip dhcp-server lease
add address=10.10.10.119 client-id=1:24:a4:3c:98:26:8d mac-address=\
24:A4:3C:98:26:8D server=Server_WiFi
add address=10.10.10.126 client-id=1:24:a4:3c:32:ea:68 mac-address=\
24:A4:3C:32:EA:68 server=Server_WiFi
add address=10.10.10.116 client-id=1:24:a4:3c:98:27:64 mac-address=\
24:A4:3C:98:27:64 server=Server_WiFi
add address=10.10.10.130 client-id=1:24:a4:3c:32:ea:3d mac-address=\
24:A4:3C:32:EA:3D server=Server_WiFi
add address=10.10.10.133 client-id=1:24:a4:3c:34:2:a5 mac-address=\
24:A4:3C:34:02:A5 server=Server_WiFi
add address=10.10.10.127 client-id=1:24:a4:3c:98:28:f1 mac-address=\
24:A4:3C:98:28:F1 server=Server_WiFi
add address=10.10.10.117 client-id=1:24:a4:3c:98:29:59 mac-address=\
24:A4:3C:98:29:59 server=Server_WiFi
add address=10.10.10.131 client-id=1:24:a4:3c:98:26:92 mac-address=\
24:A4:3C:98:26:92 server=Server_WiFi
add address=10.10.10.132 client-id=1:24:a4:3c:98:25:9e mac-address=\
24:A4:3C:98:25:9E server=Server_WiFi
add address=10.10.10.115 client-id=1:24:a4:3c:32:ec:12 mac-address=\
24:A4:3C:32:EC:12 server=Server_WiFi
add address=10.10.10.120 client-id=1:24:a4:3c:98:29:55 mac-address=\
24:A4:3C:98:29:55 server=Server_WiFi
add address=10.10.10.114 client-id=1:24:a4:3c:98:26:d8 mac-address=\
24:A4:3C:98:26:D8 server=Server_WiFi
add address=10.10.10.99 client-id=1:24:a4:3c:98:24:5e mac-address=\
24:A4:3C:98:24:5E server=Server_WiFi
add address=10.10.10.128 client-id=1:24:a4:3c:32:ea:aa mac-address=\
24:A4:3C:32:EA:AA server=Server_WiFi
add address=10.10.10.118 client-id=1:24:a4:3c:98:2a:c7 mac-address=\
24:A4:3C:98:2A:C7 server=Server_WiFi
add address=192.168.88.155 client-id=1:14:da:e9:91:3f:f5 comment="BASIC PC" \
mac-address=14:DA:E9:91:3F:F5 server=Router_DHCP_IP
add address=10.10.10.155 always-broadcast=yes comment="BASIC Phone" \
mac-address=A8:A6:68:18:90:96 server=Server_WiFi
add address=10.10.10.160 client-id=1:14:da:e9:91:3f:f5 comment=\
"BASIC PC(wifi)" mac-address=14:DA:E9:91:3F:F5 server=Server_WiFi
add address=192.168.0.115 client-id=1:f8:32:e4:3e:e3:a4 mac-address=\
F8:32:E4:3E:E3:A4 server=Server_Local
add address=192.168.0.169 client-id=1:64:70:2:80:3:f1 mac-address=\
64:70:02:80:03:F1 server=Server_Local
add address=192.168.0.150 client-id=1:14:da:e9:91:3f:f5 mac-address=\
14:DA:E9:91:3F:F5 server=Server_Local
/ip dhcp-server network
add address=10.10.10.0/23 dns-server=10.10.10.1 gateway=10.10.10.1 netmask=23
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1 \
netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,77.88.8.8
/ip dns static
add address=127.0.0.1 disabled=yes name="*\\.vk\\.com"
/ip firewall filter
add action=drop chain=forward content=vk.com disabled=yes protocol=tcp \
src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes dst-address=IP \
protocol=tcp src-address=10.10.10.0/23
add action=drop chain=forward disabled=yes src-address=10.10.10.86
add action=drop chain=input comment="53 PORT SPAM" dst-port=53 in-interface=\
PPPOE-TENET protocol=tcp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface="WAN-TENET(eth2)" \
protocol=udp src-address-list=DNS_Flood
add action=drop chain=input dst-port=53 in-interface=WAN-Datagroup_eth1 \
protocol=udp src-address-list=DNS_Flood
add action=add-src-to-address-list address-list=DNS_Flood \
address-list-timeout=1h chain=input dst-port=53 in-interface=PPPOE-TENET \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=PPPOE-TENET protocol=udp \
src-address-list=DNS_Flood
/ip firewall mangle
add action=mark-routing chain=prerouting comment="MY NET" disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.88.0/24
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=\
WAN_DATAGROUP passthrough=no src-address=192.168.90.0/24
add action=mark-routing chain=prerouting comment=Local disabled=yes \
new-routing-mark=WAN_DATAGROUP passthrough=no src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment=WIFI new-routing-mark=\
WAN_TENET passthrough=no src-address=10.10.10.0/23
/ip firewall nat
add action=masquerade chain=srcnat comment=LOCAL_TO_INTERNET out-interface=\
PPPOE-TENET src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.88.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.90.0/24
add action=masquerade chain=srcnat comment=WIFI_TO_INTERNET out-interface=\
PPPOE-TENET src-address=10.10.10.0/23
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=10.10.10.0/23
add action=masquerade chain=srcnat comment=REIKARTZ_SITE dst-address=\
192.168.1.6 out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.1.6 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="TO CISCO" disabled=yes \
dst-address=10.90.90.21 out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat disabled=yes dst-address=10.90.90.22 \
out-interface=Vlan100 src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment=SERVIO dst-address=192.168.26.100 \
out-interface=l2tp_TO_REIKARTZ src-address=192.168.88.0/24
add action=masquerade chain=srcnat dst-address=192.168.26.100 out-interface=\
l2tp_TO_REIKARTZ src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment="LOCAL_TO DATAGROUP" \
out-interface=PPPOE-TENET src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=WAN-Datagroup_eth1 \
src-address=192.168.0.0/24
/ip proxy
set parent-proxy=0.0.0.0 port=3128 src-address=10.10.10.160
/ip route
add comment="TO CISCO" disabled=yes distance=1 dst-address=10.90.90.21/32 \
gateway=Vlan100 pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add disabled=yes distance=1 dst-address=10.90.90.22/32 gateway=Vlan100 \
pref-src=10.90.90.1 routing-mark=WAN_DATAGROUP scope=10
add check-gateway=ping comment=TENET distance=3 gateway=PPPOE-TENET \
routing-mark=WAN_TENET
add check-gateway=ping comment=DATAGROUP distance=2 gateway=77.222.147.89
add distance=1 dst-address=192.168.1.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.1.6/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.3.0/24 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.26.100/32 gateway=l2tp_TO_REIKARTZ
add distance=1 dst-address=192.168.166.0/24 gateway=l2tp_TO_REIKARTZ
/ip route rule
add action=unreachable disabled=yes dst-address=192.168.0.0/24 src-address=\
192.168.88.0/24
add action=unreachable disabled=yes dst-address=192.168.88.0/24 src-address=\
192.168.0.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.88.0/24
add action=unreachable dst-address=192.168.88.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/24 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.10.10.0/24
add action=unreachable dst-address=10.10.10.0/23 src-address=10.90.90.0/26
add action=unreachable dst-address=10.90.90.0/26 src-address=10.10.10.0/23
add action=unreachable dst-address=10.90.90.0/26 src-address=192.168.0.0/24
add action=unreachable dst-address=192.168.0.0/24 src-address=10.90.90.0/26
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=192.168.88.0/24,192.168.90.0/24
set api disabled=yes
set winbox address=192.168.88.0/24,192.168.90.0/24
set api-ssl disabled=yes
/lcd
set backlight-timeout=5m color-scheme=dark
/lcd pin
set hide-pin-number=yes pin-number=3062
/system clock
set time-zone-name=Europe/Kiev
/system ntp client
set enabled=yes primary-ntp=91.198.10.4 secondary-ntp=193.34.155.4
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR protected-routerboot=\
disabled
[/more]
http://imageshack.com/a/img922/9244/vCxuQR.jpg [/more]
Спецы, почему не работает банальное правило #1 по блокировке сайта? Что ему может мешать, уже всю голову сломал.
468320
у меня так:
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content=\
!Host:vk.com disabled=yes in-interface=BridgeLAN protocol=tcp src-address=\
192.168.100.0/24
add action=reject chain=forward comment=\
"\C1\FB\F1\F2\F0\E0\FF \E1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content="Host: vk.com" \
disabled=yes protocol=tcp reject-with=tcp-reset src-address=192.168.100.0/24
у меня так:
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content=\
!Host:vk.com disabled=yes in-interface=BridgeLAN protocol=tcp src-address=\
192.168.100.0/24
add action=reject chain=forward comment=\
"\C1\FB\F1\F2\F0\E0\FF \E1\EB\EE\EA\E8\F0\EE\E2\EA\E0 vk.com" content="Host: vk.com" \
disabled=yes protocol=tcp reject-with=tcp-reset src-address=192.168.100.0/24
468320
вы бы показали, что там в правиле-то. просто написать "Block Gazeta.ru" в комментарии, как правило, недостаточно
вы бы показали, что там в правиле-то. просто написать "Block Gazeta.ru" в комментарии, как правило, недостаточно
melboyscout
У вас первое правило запрещает всё кроме vk.com?
Добавлено:
Chupaka
Да стандартное правило, в поле Content указано gazeta.ru, в Action reject, в Reject With tcp reset.
У вас первое правило запрещает всё кроме vk.com?
Добавлено:
Chupaka
Да стандартное правило, в поле Content указано gazeta.ru, в Action reject, в Reject With tcp reset.
468320
Цитата:
да.
Цитата:
У вас первое правило запрещает всё кроме vk.com?
да.
melboyscout
оно не должно работать не только потому, что выключено, но и потому, что первые пакеты tcp-соединения не содержат данных (в частности, искомой строки Contents), поэтому будут дропаться
оно не должно работать не только потому, что выключено, но и потому, что первые пакеты tcp-соединения не содержат данных (в частности, искомой строки Contents), поэтому будут дропаться
Мне никто не может помочь?
Chupaka
Цитата:
Правило блокировки сайта заработали после следующей манипуляции:
заходим в IP - Settings, снимаем флажок с Allow Fast Path.
Кто-нибудь может объяснить почему так происходит?
Цитата:
вы бы показали, что там в правиле-то. просто написать "Block Gazeta.ru" в комментарии, как правило, недостаточно
Правило блокировки сайта заработали после следующей манипуляции:
заходим в IP - Settings, снимаем флажок с Allow Fast Path.
Кто-нибудь может объяснить почему так происходит?
Всем доброе время суток
возникла задача сделать гостевой wi-fi
В конфренс зале установлен микротик уже с работающем wi-fi но для сотрудников с обзором внутренних ресурсов и тп
решил настроить virtual sid только чтобы он был в другой подсети с внутреним dhcp, второй wi-fi настроил но он в тойже подсети как разделить их чегото не могу понять
Если кто настраивал подскажите
если есть ссылка подельтесь
возникла задача сделать гостевой wi-fi
В конфренс зале установлен микротик уже с работающем wi-fi но для сотрудников с обзором внутренних ресурсов и тп
решил настроить virtual sid только чтобы он был в другой подсети с внутреним dhcp, второй wi-fi настроил но он в тойже подсети как разделить их чегото не могу понять
Если кто настраивал подскажите
если есть ссылка подельтесь
Решил настроить QoS и вот уже несколько мануалов перечитал и попробовал, а очереди так и не получилось настроить. Подскажите не может на это дело влиять новый функционал Fasttrack? Как настраивать очереди в таком случае? Буду рад любому совету по этому вопросу.
у меня WebFig v6.34.2 (stable) и RB750r2
я настроил на нем PPTP-client вот по этому мануалу
https://www.youtube.com/watch?v=SW6AZ33go5U
сижу играю в игры через впн для обхода региональных ограничений
PPTP работает только для одного единственного IP (моего компа) - 192.168.0.92
остальные компы (коих несколько штук за этим же микротиком) ходят по дефолтным маршрутам
Если происходит дисконнект PPTP то трафик начинает идти по дефолтным маршрутам и светится мой реальный айпишник и меня банят.
как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
т.е. если произошел разрыва PPTP чтобы я не засветился.
и чтобы это правило работало только для моего компа а не для всех, остальные без впна и он им вообще не нужен
я настроил на нем PPTP-client вот по этому мануалу
https://www.youtube.com/watch?v=SW6AZ33go5U
сижу играю в игры через впн для обхода региональных ограничений
PPTP работает только для одного единственного IP (моего компа) - 192.168.0.92
остальные компы (коих несколько штук за этим же микротиком) ходят по дефолтным маршрутам
Если происходит дисконнект PPTP то трафик начинает идти по дефолтным маршрутам и светится мой реальный айпишник и меня банят.
как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
т.е. если произошел разрыва PPTP чтобы я не засветился.
и чтобы это правило работало только для моего компа а не для всех, остальные без впна и он им вообще не нужен
Lik_MigTel
Цитата:
видимо, прописать маршруты...
Цитата:
остальные компы (коих несколько штук за этим же микротиком) ходят по дефолтным маршрутам ...как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
видимо, прописать маршруты...
468320
deflope
Есть замечательная официальная окументация: http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
В ней черным по белому написано:
Description
IPv4 FastTrack handler is automatically used for marked connections. Use firewall action "fasttrack-connection" to mark connections for fasttrack. Currently only TCP and UDP connections can be actually fasttracked (even though any connection can be marked for fasttrack). IPv4 FastTrack handler supports NAT (SNAT, DNAT or both).
Note that not all packets in a connection can be fasttracked, so it is likely to see some packets going through slow path even though connection is marked for fasttrack. This is the reason why fasttrack-connection is usually followed be identical action=accept rule. Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration;
deflope
Есть замечательная официальная окументация: http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack
В ней черным по белому написано:
Description
IPv4 FastTrack handler is automatically used for marked connections. Use firewall action "fasttrack-connection" to mark connections for fasttrack. Currently only TCP and UDP connections can be actually fasttracked (even though any connection can be marked for fasttrack). IPv4 FastTrack handler supports NAT (SNAT, DNAT or both).
Note that not all packets in a connection can be fasttracked, so it is likely to see some packets going through slow path even though connection is marked for fasttrack. This is the reason why fasttrack-connection is usually followed be identical action=accept rule. Fasttracked packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), ip accounting, ipsec, hotspot universal client, vrf assignment, so it is up to administrator to make sure fasttrack does not interfere with other configuration;
melboyscout
я чудом еле еле по мануалу настроил PPTP и понятия не имею как в микротике что делать
и поэтому прошу помочь мне на этом форуме иначе я бы просто сюда не зашел
хотябы пример дайте какой нибудь или ссылку на видео, если так тяжело написать комнаду для консоли
вот мои интерфейсы
-E X PPTP-germany PPTP Client 0 bps 0 bps 0 0 0 bps 0 bps 0 0
D R ether1 Ethernet
D R ether2-master Ethernet (я сижу тут)
D RS ether3 Ethernet
D S ether4 Ethernet
D RS ether5 Ethernet
мой айпи 192.168.0.92
я чудом еле еле по мануалу настроил PPTP и понятия не имею как в микротике что делать
и поэтому прошу помочь мне на этом форуме иначе я бы просто сюда не зашел
хотябы пример дайте какой нибудь или ссылку на видео, если так тяжело написать комнаду для консоли
вот мои интерфейсы
-E X PPTP-germany PPTP Client 0 bps 0 bps 0 0 0 bps 0 bps 0 0
D R ether1 Ethernet
D R ether2-master Ethernet (я сижу тут)
D RS ether3 Ethernet
D S ether4 Ethernet
D RS ether5 Ethernet
мой айпи 192.168.0.92
Lik_MigTel
в ip - routes или командой:
/ip route add distance=1 dst-address=10.0.0.0/24 gateway=10.10.10.2
где 10.0.0.0/24 - подсеть с серверами игрушки
10.10.10.2 - ip адрес pptp клиента. можно попробовать подставить имя pptp интерфейса
в ip - routes или командой:
/ip route add distance=1 dst-address=10.0.0.0/24 gateway=10.10.10.2
где 10.0.0.0/24 - подсеть с серверами игрушки
10.10.10.2 - ip адрес pptp клиента. можно попробовать подставить имя pptp интерфейса
надо не совсем то,
надо
/IP route add PORT_ETHER2 gateway=10.10.10.2
т.е. весь трафик который по моему порту надо на впн завернуть
либо
/IP route add 192.168.0.92 gateway=10.10.10.2
весь трафик с айпи 198.168.0.92 только через этот шлюз
/ip route add distance=1 src-address=192.168.0.92 gateway=5.255.15.144
вот так пробовал не помогает
надо
/IP route add PORT_ETHER2 gateway=10.10.10.2
т.е. весь трафик который по моему порту надо на впн завернуть
либо
/IP route add 192.168.0.92 gateway=10.10.10.2
весь трафик с айпи 198.168.0.92 только через этот шлюз
/ip route add distance=1 src-address=192.168.0.92 gateway=5.255.15.144
вот так пробовал не помогает
есть какой-то способ конкретно определить причину ребута?
в логе укзан ребут по watchdog timer
в логе укзан ребут по watchdog timer
Lik_MigTel
Вы меня пытаетесь убедить, как вам нужно? Это ваши хотелки, и под тему роутинг они не попадают, ИМХО.
Если уж хочется весь трафик с порта, то используйте фаервол/нат для этого
Вы меня пытаетесь убедить, как вам нужно? Это ваши хотелки, и под тему роутинг они не попадают, ИМХО.
Если уж хочется весь трафик с порта, то используйте фаервол/нат для этого
melboyscout
КАК?
я понятия не имею как это сделать
я по моему еще в самом начале изложил вопрос
Цитата:
КАК?
я понятия не имею как это сделать
я по моему еще в самом начале изложил вопрос
Цитата:
как запретить трафику с моего айпишника ходить куда-то кроме моего VPN (PPTP) ?
basic8333
Цитата:
А конфиг выложенный кто настраивал ?
Что то в конфиге я не увидел маршрута к требуемой сети
Вы метите трафик к сети 88.0 WAN_DATAGROUP а маршрута нет к этой сети.
Да и не следует метить трафик всех сетей одной меткой WAN_DATAGROUP
Теоритически сети находящиеся на одном микротике должны и так видеть друг друга, если не сделано запрещающее правило для них.
Цитата:
Я не силен в настройках
А конфиг выложенный кто настраивал ?
Что то в конфиге я не увидел маршрута к требуемой сети
Вы метите трафик к сети 88.0 WAN_DATAGROUP а маршрута нет к этой сети.
Да и не следует метить трафик всех сетей одной меткой WAN_DATAGROUP
Теоритически сети находящиеся на одном микротике должны и так видеть друг друга, если не сделано запрещающее правило для них.
Спецы, подскажите почему не срабатывает исключение для ip-адреса 192.168.1.10? Правило все равно блокирует всех.
Цитата:
Цитата:
/ip firewall filter
add action=reject chain=forward comment="block video" layer7-protocol=video \
protocol=tcp reject-with=tcp-reset src-address=!192.168.1.10
468320
Видимо, потому, что оно срабатывает на пакет с dst-address=192.168.0.10
Попробуйте добавить ещё и "dst-address=!192.168.0.10"
Добавлено:
Lik_MigTel
/ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject
Видимо, потому, что оно срабатывает на пакет с dst-address=192.168.0.10
Попробуйте добавить ещё и "dst-address=!192.168.0.10" Добавлено:
Lik_MigTel
/ip firewall filter add chain=forward src-address=мой_айпишник out-interface=!pptp-out1 action=reject
Chupaka
Цитата:
Спасибо, сработало! Только "dst-address=!192.168.1.10"
Цитата:
Видимо, потому, что оно срабатывает на пакет с dst-address=192.168.0.10 Попробуйте добавить ещё и "dst-address=!192.168.0.10"
Спасибо, сработало! Только "dst-address=!192.168.1.10"
468320
Ну, да, с телефона жутко неудобно отвечать
Ну, да, с телефона жутко неудобно отвечать
Lik_MigTel
по типу этого
по типу этого
Всем привет, настраиваю Netwatch , но что то он не хочет мне переключать.
В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.
Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no
DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no
сам NetWatch статус меняет при падение канала, как мне правильно сделать??
В общем есть 2 провайдера IP1 и IP2 при отвале 1 поднимается 2, поднят OVPN сервер тут все норм работает.
Вопрос в следующем на клиенте поднял два OVPN-Client и засунул их Netwatch чтобы при недоступности IP1 он переключал на IP2 но что то не выходит
UP
/interface ovpn-client set VPN1 disabled=yes
/interface ovpn-client set VPN2 disabled=no
DOWN
/interface ovpn client set VPN2 disabled=yes
/interface ovpn client set VPN1 disabled=no
сам NetWatch статус меняет при падение канала, как мне правильно сделать??
IvanovEv
Цитата:
Цитата:
чтобы при недоступности IP1 он переключал на IP2А ты уверен, что IP1 не остается доступен через 2-го провайдера?
Уверен, проверил на сервере нормально переключаются каналы. В Netwatch у меня все правильно прописано? , переключение писал только в netwatch скрипты отдельно не делал.
Страницы: 1234567891011121314151617181920212223
Предыдущая тема: Запрет на загрузку, при установке сервера терминалов.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.