» MikroTik RouterOS (часть 4)

Есть пара вопросов, уровня FAQ. Но что то я туплю с незнакомой железкой, готового howto в FAQ не нашел, смиренно прошу помощи.

Вопрос первый.

микротик 1100.
несколько провайдеров.

первый (дешевый безлимитный) провайдер дает несколько IP.
10.111.0.208/29
(gateway 10.111.0.209, my IP 10.111.0.210 ... 214, netmask 255.255.255.248) ethernet01

второй (дорогой, с оплатой трафика) провайдер дает один IP адрес. 10.222.0.32/30
(gateway 10.222.0.32, my ip 10.222.0.33, netmask 255.255.255.252) ethernet02

в офисной сети DHCP сервер на микротике. DNS на домен контроллере.

Задача: обеспечить резервирование. Если первый провайдер падает, прозрачно, без участия человека, автоматически переключать канал. При восстановлении связи первого, возвращать обратно.

Как это сделать?

Доп условие. в офисе три группы.
1) ограниченные пользователи. им можно яндекс карты. остальное нужно запретить.
2) обычные пользователи. им можно соцсети и фсё такое. но запретить
3) сервера. им можно всё.

Как это сделать?

Вопрос второй.

Нужно на некоторые сервера рабочих групп пробросить порты. (ДМЗ?)
Тут я туплю с тем, что пробрасываю с первого провайдера dst nat.
например dst nat на 10.111.0.211 на внутренний 192.168.1.23
входящие пакеты приходят, но ответ уходит с "основного" 10.111.0.210. некоторый софт от этого "клинит". хотелось бы ответы уходили тоже от 10.111.0.211.

Как это сделать?

я в микротике начинающий, прошу больно не бить, страшными словами не ругать помощи.

StanislawK

http://mum.mikrotik.com/presentations/RU16I/presentation_3282_1458573248.pdf

http://forummikrotik.ru/viewtopic.php?f=15&t=3280

http://mum.mikrotik.com/presentations/RU16V/presentation_3301_1458634675.pdf

evgeniy7676
Спасибо.

p.s. а в нормальном виде, не презентации, нету?

Итак, попробовал я варианты с бриджем. Не получилось ничего. При добавлении физического порта в бридж, провайдер сразу же отрубает порт. Первый бан - час. Второй и дальше - сутки... Я так подозреваю, ему не нравится наличие включенного STP. Но из-за банов особо не поэкспериментируешь...

NetBurst
А кто мешает поднять свою виртуальную среду для экспериментов?

urodliv
Да никто не мешает. Я уже начал читать про GNS3 и CHR. Но это нужно немало времени чтобы еще и с ними разобраться. А потом еще и примерно повторить архитектуру провайдера.

NetBurst
"Лучше день потерять, потом за пять минут долететь"
Решать задачу на "боевых" железках - очень накладно.

StanislawK
http://papa-admin.ru/mikrotik/88-mikrotik-i-dva-kanala-part1.html
http://papa-admin.ru/mikrotik/89-mikrotik-i-dva-kanala-part2.html
http://papa-admin.ru/mikrotik/90-mikrotik-i-dva-kanala-part3.html
http://mikrotik-ukraine.blogspot.com/2016/01/failover.html

StanislawK


Моя коллекция. НО без оформления ибо некогда.

!!!! Объединяем два канала
[[http://unixteam.ru/content/mikrotik-i-dva-provaydera | Mikrotik и два провайдера]] — только {+объединение+}, толково и проверенно.
[[http://lanmarket.ua/stats/mikrotik-routeros-dva-provajdera-balansirovka-marshrutizaciya-firewall-%28bez%20skriptov%29 | Mikrotik RouterOS; два провайдера - балансировка, маршрутизация, firewall (без скриптов)]]
[[http://lanmarket.ua/stats/ravnomernoe-raspredelenie-kanalov-dvux-provajderov-i-dostup-k-ix-lokalnym-resursam-na-routere-mikrotik | Равномерное распределение каналов двух провайдеров и доступ к их локальным ресурсам на роутере Mikrotik]]

[[https://habrahabr.ru/post/279567/ | Универсальный скрипт переключения 2-х каналов интернета Mikrotik]]
Резервынй канал + Два провайдера — [[http://habrahabr.ru/post/244385/ | Mikrotik. Failover. Load Balancing.]] (Очень понятно, рассмотрены все варианты).
[[https://geektimes.ru/post/186284/ | Mikrotik, 3 провайдера, переключение и разделение трафика]]
[[http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting | Организация резервного канала связи без скриптов.]]
[[http://wiki.mikrotik.com/wiki/Failover_Scripting | Отказоустойчивый сценарий]]
[[http://habrahabr.ru/post/266527/ | Два офиса по два резервных канала, круговое резервирвоание.]] — отсюда, там есть по тексту [[http://habrahabr.ru/post/271747/ | обновленный скрипт]]

так, получилось у меня авторизовать Mikrotik у провайдера через PPPoE через Zyxel VMG1312, который работает в мосте, но вот не задача - микротик не получает адреса. Куда смотреть?
сейчас стоит, что ISP интерфейс настроен как DHCP-Client. Добавить PPPoE как DHCP-Client не могу.

Здравствуйте, есть такая проблема после обновлении Router OS на routerboard rb411 пропал пункт Wireless, стоит карточка r52 в чем может быть проблема?

Muslihiddin
проверьте
/system package print

[admin@MikroTik] /system package> print
Flags: X - disabled
# NAME VERSION SCHEDULED
0 advanced-tools 6.34.6
1 dhcp 6.34.6
2 hotspot 6.34.6
3 ntp 6.34.6
4 ppp 6.34.6
5 security 6.34.6
6 user-manager 6.34.6

Muslihiddin
пакет Wireless не установлен - вот пункта меню и нет
скачайте его для нужной платформы, закиньте на роутер и перезагрузитесь

Спасибо все заработал)))

Добавлено:
Кто нибудь может мне помочь с настройками буду очень благодарен skype: muslihiddin_90

Muslihiddin
многие могут. но большинство из них - только тем, кто способен сформулировать задачу

[more] День добрый!
Извините за нубский возможно вопрос, первый Микротик в моей жизни. был плохой прием wifi в дальних частях квартиры с рутерами типа Tplink. Купил домой hAP lite. Всё радует неимоверно.
Всё в принципе отлично работает, но один момент немного напрягает.
https://dl.dropboxusercontent.com/u/23379761/MK/hap.JPG
Несколько дней назад заметил что в простое нагрузка на cpu прыгает в районе 20% при простое, раньше было 2-3%.
Начал углубляться, заметил одну непонятную вещь.
На WAN постоянный трафик в районе 1Mb/s.
В правиле файервола
chain=input action=drop in-interface=WAN ether1-gateway
какой то не понятный флуд, за 4 с небольшим часа больше 2Гб! трафика.
https://dl.dropboxusercontent.com/u/23379761/MK/firewall.JPG
запустил Torch, как понимаю идут постоянные запросы с 0.0.0.0 на 255.255.255.255.
https://dl.dropboxusercontent.com/u/23379761/MK/dhcp.JPG
попытался погуглить, понял что это каким-то образом связано с dhcp, но на большее моих познаний не хватило.
Что это может быть, связано ли это с повысившейся нагрузкой на процессор, и надо ли с этим что-то делать?
Если что-то необходимо предоставить еще - постараюсь выполнить.
Заранее спасибо!
[/more]

RooTC777

Для начала - /ip fi fi export

[more]
Цитата:

Для начала - /ip fi fi export

[***@***] > ip fi fi export
# aug/01/2016 21:18:06 by RouterOS 6.36
# software id = 655X-MNP6
#
/ip firewall filter
add action=drop chain=input comment="Ping routera" icmp-options=8:0-255 log-prefix="" protocol=icmp
add action=drop chain=input comment="DNS Flud" dst-port=53 in-interface="WAN ether1-gateway" log-prefix="" protocol=udp
add action=drop chain=input dst-port=53 in-interface="WAN ether1-gateway" protocol=tcp
add action=accept chain=input comment="default configuration" connection-state=established,related log-prefix=""
add action=drop chain=input comment="drop invalid connections" connection-state=invalid log-prefix=""
add action=drop chain=input comment="default configuration" in-interface="WAN ether1-gateway" log-prefix=""
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related log-prefix=""
add action=accept chain=forward comment="default configuration" connection-state=established,related log-prefix=""
add action=drop chain=forward comment="default configuration" connection-state=invalid log-prefix=""
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface="WAN ether1-gateway" log-prefix=\
""


По ссылке - про исходящий трафик, у меня же как я понял со входящим проблема.
И забыл уточнить. Подключение к интернету обычное, dhcp, белый ip. [/more]

RooTC777

От вас тут мало что зависит. Это UDP траффик - который просто валится вам на порт.
Вы его не запрашивали - просто он есть.
Попробуйте обратиться к провайдеру за разъяснением, какого лешего к вам приходит это.
У нормальных провайдеров порты изолированы, а тут - похоже что нет.

Если просто вопрос в том как снизить загрузку при такого рода флуде - то скорее всего надо добавить в таблицу raw правило с блокировкой этого траффика.

Цитата:

Chupaka

как соединить Nanostation m2 с mikrotik rb411? чтобы nanostation брал и раздал интернет?

Muslihiddin
настроить Nano мостом

Simply_Kot
Спасибо! Значит получается провайдер косячит. Вряд ли конечно я смогу объяснить ему что я хочу, и тем более вряд ли он меня будет слушать. Этот вариант оставлю на крайний случай. Плюс раньше такого не было, вдруг это временные неполадки.
А вот про возможное снижение нагрузки можно поподробнее? Я могу это сделать у себя или опять таки только через провайдера? И если могу настроить у себя-было бы очень здорово если бы Вы рассказали куда копать.

RooTC777

Не секрет, что на МТ фаервол вещь софтовая. Он занимается тем, что анализирует входящие, исходящие и проходящие через него пакеты, чтобы принять решение - пропустить пакет или нет.
То что фаервол софтовый - это с одной стороны хорошо, так как его модернизация не требует замены железа, так и не очень, так как все по производительности все софтовые решения уступают аппаратным в разы.

Но что есть то есть.
Если в момент пика сетевой активности запустить tool\profile, то можно узнать какой процесс на сколько грузит процессор.

При UDP флуде, будь то атака или неверно настроенный PXE приходится анализировать каждый пакет.
При вашей конфигурации UDP пакет будет прибит только 6-м правилом! То есть все шесть правил отработают полноценно разбирая зачем же пришел этот пакет.

Однако именно в версии 6.36 добавили таблицу с фильтрами, которые выполняются самыми первыми и практически не лезут в пакет с анализом. Это таблица raw.

В вашем случае просто достаточно написать следующее правило:
/ip fi raw add chain=prerouting src-address=0.0.0.0 dst-address=255.255.255.255 in-interface=WAN ether1-gateway action=drop

Simply_Kot

Цитата:

То что фаервол софтовый - это с одной стороны хорошо, так как его модернизация не  требует замены железа, так и не очень, так как все по производительности все софтовые решения уступают  аппаратным в разы.

неплохо бы в сравнение добавить к производительности ещё функциональность и цену а то как-то однобоко получилось...

RooTC777
Прежде чем что то делать выведите хотя бы в лог и посмотрите что куда и по каким портам ломится.
Отключите обнаружение на внешнем интерфейсе.

Код: /ip neighbor discovery
set ether1-gateway discover=no

хех, что то случилось. Т.к уезжал на сутки, и интернет не был нужен, решил сделать disable ван-порт, что бы не выключать рутер полностью, но убрать нагрузку. Сегодня с утра хотел зайти через вебморду и включить, и случилось странное. Сначала написало что неверный пароль, и после этого рутер умер. Погасли все лампочки кроме power. 3 кабеля подключены были, от провайдера и 2 пк. Периодически все линки загораются и тут же гаснут. Вайфай тоже не работает. Отключил все провода, выключил питание, включил - загорается все, через секунду диоды линков гаснут, через секунд 5 гаснет диод usr, power продолжает гореть. Периодически загораются 1 и 3 линк, потом все, потом гаснут. С момента уезда ничего не делал с рутером кроме отключения wan. Видимо буду пытаться отнести по гарантии.
Simply_Kot
Спасибо! Пока проверять негде, но в копилку знаний Ваш ответ скопировал.
alexnov66
Где то месяц настройки вообще не трогал. Раньше все работало. На счет имен принял, спасибо.

RooTC777
А роутер запаролен был?

Simply_Kot
Обязательно. Плюс админ отключен, создана своя учетка, плюс поменян порт с 80 на другой.Тоже первая мысль была что взломали...
Хм, при подлючении к пк порт включается, ( загорается диод)комп пытается получить ip, и снова "сетевой кабель не подключен" . Через нное время снова включается, попытка получить ip и тд. Прописывание ip вручную на компе картины не меняет.

RooTC777
Тогда меняйте. Надеюсь по гарантии успеете?

У нас один из четырех свежекупленных 951Ui-2HnD вообще задымился при первом запуске. Дымился, но работал

Поменяли без проблем.