» MikroTik RouterOS (часть 4)

Simply_Kot
youtube - https - открывается, видео проигрывается,
mail.ru - https, главная страница открывается, а новости не открываются, но в почтовый ящик на https://e.mail.ru/ - входит.
speedtest.net - http - не открывается..
tut.by - открывается и почта их, на https://mail.yandex.by - открывается.


Цитата:

Про цепочки tcp и udp ни слова.

Да, так и есть - ничего. Так и было в некоем мануальчике. Для проброса портов эти цепочки не нужны?
Т.е. эти два правила для tcp и udp можно удалять? (т.к. с этими протоколами не планируется ничего делать, будет только объединение каналов, балансировка между ними и ограничение скоростей через Queue Tree)

P.S. После выходных обнаружился флуд на 53 порту, добавил 3,4 правила для отсечки флудящих

Код: /ip firewall filter
add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp
add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp src-address-list="dns flood"

Цитата:

SIP протокол через NAT работает вообще криво

Все говорят про SIP, а NAT'ится ли h323 ?

del. дубль.

Eronim
Тогда правила с jump (tcp и udp) нужно удалить. Они не мешают, но процессорное время под себя берут.

Проверьте до неоткрывающихся сайтов MSS.

Simply_Kot

Вот что отловилось wireshark-ок


а вот параметры l2tp соединения

Eronim
В терминале МТ что выдает следующая команда?

ping 178.248.233.33 size=1460 do-not-fragment

Кроме того, в экспорте почему-то отсутствуют action, и в нате не указан интерфейс

Simply_Kot
Результаты команды в терминале:

Код: [tt@MikroTik] > ping 178.248.233.33 size=1460 do-not-fragment
SEQ HOST SIZE TTL TIME STATUS
0 178.248.233.33 1460 56 28ms
1 178.248.233.33 1460 56 28ms
2 178.248.233.33 1460 56 28ms
3 178.248.233.33 1460 56 28ms
4 178.248.233.33 1460 56 28ms
5 178.248.233.33 1460 56 28ms
6 178.248.233.33 1460 56 28ms
sent=7 received=7 packet-loss=0% min-rtt=28ms avg-rtt=28ms max-rtt=28ms

Eronim

Цитата:

add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=udp src-address-list="dns flood"

Также DNS идет по TCP. Тоже надо блокировать:
add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=tcp src-address-list="dns flood"

Правил

Цитата:

add chain=input comment="Allow ICMP" protocol=icmp

Принимает все icmp, поэтому вот эта конструкция:
add action=drop chain=input comment="Block Open Proxy" in-interface=all-ppp protocol=icmp


Цитата:

add action=jump chain=forward jump-target=icmp protocol=icmp
add chain=icmp comment="echo reply" icmp-options=0:0 protocol=icmp
add chain=icmp comment="net unreachable" icmp-options=3:0 protocol=icmp
add chain=icmp comment="host unreachable" icmp-options=3:1 protocol=icmp
add chain=icmp comment="host unreachable fargmentation required" icmp-options=3:4 protocol=icmp
add chain=icmp comment="Allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="Allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="Allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="Deny all other types" icmp-options=12:0 protocol=icmp

становится бесполезной

А вот это очень непонятно.

Цитата:

add action=drop chain=input comment="Drop everything else"

Вы запрещаете все входящие соединения. Отовсюду. Даже из локальной сети.
Укажите in-interface

Simply_Kot
добавил 2 правила на TCP для блокировки DNS-flood

Код: add action=add-src-to-address-list address-list="dns flood" address-list-timeout=1h chain=input dst-port=53 in-interface=\
atlant-l2tp-inet protocol=tcp
add action=drop chain=input dst-port=53 in-interface=atlant-l2tp-inet protocol=tcp src-address-list="dns flood"

Кто нить может подсказать что произошло, не могу отключить openvpn-client интерфейс у себя, в консоли пишет: failure: non rate limit queues are useless on this interface
куда смотреть? в queue стоит ограничения скорости для пары IP адресов, ничего криминального не вижу, через winbox эта же ошибка

причем внутри этого интерфейса еще и скорость режется до 2.1 мбит, хотя канал позволяет больше

куда смотреть?

Eronim
/ip fi m ex

Simply_Kot
Нет пока правил в Mangle, кроме автоматически создаваемых правил change MSS.

Но маркировать соединения планирую.
Буду переделывать вот такие правила:

Код: /ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn

add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2

add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=Local

add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes

add chain=prerouting connection-mark=WAN1_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=Local action=mark-routing new-routing-mark=to_WAN2

Eronim
Перечитал еще раз ваши сообщения. Возник вот какой вопрос.
У вам MTU и MRU разный на атланте. Так и задумано?

Simply_Kot
В закладке Genegal для l2tp-клиента MTU, MRU = 1460, MMRU = 1600, а в Status уже MTU = 1460, MRU = 1464.
Если даже в General изменяю MTU, MRU на 1400, то в Status показывает MTU = 1400,а MRU = 1464.

В обычном роутере TP-Link MTU для этого провайдера = 1460 по умолчанию.

У другого роутера с ROS 5.26 для adsl провайдера с pptp подключением MTU, MRU в Genegal и Status совпадают (1400), но у подключающихся к VPN-серверу на роутере автоматически выставляются MTU = 1400, MRU = 1460.
Для второго adsl провайдера в свойствах pppoe-клиента Genegal и Status совпадают (1480) и пинги с таким размером проходят без фрагментации через него.

P.S. После обновления до 6.35.1 habrahabr, geektimes, megamozg по https загрузились, но не загрузился speedtest.net и не открываются почти все новости на mail.ru (висит в Ожидание....)

[more] Господа!

Есть задача.

Три адреса, везде локальные сети с маской 255.255.255.0
Подключение к Интернету - Ethernet, static IP, внешние адреса белые. Скорость - 10..15 мегабит
Сейчас стоят TP-Link-и, дают интернет всем сеткам, проброс портов для всяких сервисов и связь между офисами (ipsec vpn) точка-точка (центра как такового нет, и у каждого адрес маршрутизатор держит два канала). Из офиса в офис сейчас ходят только по сервисам и файловым ресурсам, но на горизонте маячит телефония. Avaya IPOffice.

Насколько жизнеспособна (и осуществима) идея заменить маршрутизаторы на Микротики RB2011UiAS-RM (например, выбраны по относительно пристойной цене и наличию ушей)?
Причём сделать надо быстро и "незаметно".
То есть сначала собрать три аппарата в кучу, сконфигурировать, как-то минимально проверить, после чего развезти по адресам и включить вместо TP-Link'ов, на местах менять только внешние адреса.

Собственно, сам дела с Микротиками имел - но очень немного. Поэтому интересует мануал по настройке чего-нибудь похожего на то, что нужно - и по перспективам в части Авайи (там понадобится как минимум QoS делать?).
[/more]

Как повторить такую же запись на микротике

т.е. компы NAT'ить а телефонию пропускать мимо

----------------------
EgorD
ежели AVAYA через h323 то присоединяйся, уже давненько пытаюсь поднять, в итоге односторонняя связь
ежели SIP то там намного всё проще , узнавай какие лицензии в AVAYA куплены

- Берёшь 3-х 2011RM или 3011RM в зависимости от трафика гоняющегося
- поднимаешь на каждом DHCP + опции [more]Avaya_text_176
'MCIPADD=192.168.100.139,MCPORT=1719,TFTPSRVR=192.168.100.139,VLANTEST=60'
и
Avaya_text_242
'MCIPADD=192.168.100.139,MCPORT=1719,HTTPSRVR=192.168.100.139,VLANTEST=60'
меняешь есесенно на адрес своей станции, и апостровы не просто так написал [/more]
- поднимаешь в любом VPN сервер , на остальных VPN клиентов
- поднимаешь OSPF ? хотя впринципи 3-ри п/сети можно и ручками прописать
- останутся только порты и шары
- ну и про QOS и очередь не забыть

DrDEVIL666

Может сбриджевать все телефоны и ATC на L2?

DrDEVIL666, Simply_Kot, Авайя не сип - а со своим протоколом, но на обычном VPN без обрезки замечательно работает, главное чтобы маршруты на самой АТС были настроены и телефоны могли до неё добраться. Поскольку везде ожидается единственный маршрутизатор, это не проблема.
И если маршрутизатор не будет резать какие-то порты внутри VPN, конечно.

DrDEVIL666, наверное, я чего-то не понимаю - но нормальный VPN между сетями (в моём понимании!) предполагает свободный проход в обоих направлениях. Без трансляции адресов. Ибо нафига?

Simply_Kot
не прокатит, единственный вариант через ОПУ - это EoIP, но вот от него как раз хочется отказаться

EgorD
AVAYA - это АТС, а вот какие лицензии у тебя куплены для её хождения SIP или h323, вот что важно, т.к. SIP за Микротиком ходит и работает, а вот h323 уже через одно место, и победить мне пока что не получилось ...

про ибо нафиг- теперь я не понял

DrDEVIL666, я имел в виду, что если две сетки объединять - то между ними должно быть хождение по "оригинальным" адресам и без обрезки портов. NAT, проброс портов - лишнее.

Приветствую! )
При нажатии кнопки Connect в Винбокс, открывается браузер со страницей веб входа на Микротик. Как это исправить, чтоб коннектилась утилита?
Пожалуйста, помогите победить.
Спасибо.

DrDEVIL666

Цитата:

не прокатит, единственный вариант через ОПУ - это EoIP, но вот от него как раз хочется отказаться

Почему единственный?
OVPN еще. Работает очень даже стабильно.

DrDEVIL666
http://forummikrotik.ru/viewtopic.php?f=1&t=6720

Simply_Kot, если это имеет отношение и к моему вопросу, то тайте подробностей, пожалуйста. Либо укажите, где это найти. "Для начинающих".

Таки никто сам не настраивал WiFi в домашних или мелкоофисных условиях?

EgorD
А что конкретно интересует?
Если соединение нескольких vlan по VPN L2 - то тут только два протокола есть в настоящий момент - OpenVPN в режиме туннеля и EoIP. Оба протокола достаточно ресурсоемкие, что следует учитывать при проектировании сети.
Нет смысла гнать в этих туннелях все подряд, но специфический трафик, не дружащий с НАТом или плохомаршритизируемый, в них пойдет очень даже хорошо.

Про EoIP: https://habrahabr.ru/post/220685/
Про OpenVPN: http://www.unix.ck.ua/content/probros-fizicheskikh-ethernet-portov-mikrotike

Добавлено:
Drasha

Таки все настраивали.

Вопрос то в чем?

Можно ли в dst-nat как-то помимо указания to-addresses и to-ports указать ещё принудительно в HTTP GET-запросе параметры (например, id клиента)?
Цель: показывать персональную страницу неавторизованным клиентам. Если редиректить действием dst-nat, то можно только указать адрес и порт, куда принудительно направлять пакеты. Выходит, чтобы персонализировать неавторизованные страницы, нужно каждого клиента редиректить на уникальный порт? Больше вариантов нет?

Simply_Kot, спасибо, буду читать.

[more] Всем доброго.
Я опять со своим грузом.
В общем, ситуация следующая:
Два офиса, в одном CCR1016, в другом CCR1009. В каждом офисе по 2 провайдера. В головном - статические IP и шлюзы. В дополнительном - IP статические, а вот шлюзы могут оказаться весьма различными. Один провайдер по DHCP всегда выдаёт один и тот же IP, но периодически меняет шлюз - типа балансирует нагрузку. Второй - то же самое, только подключение по PPPoE и шлюз меняется. Указать AC name чтоб соединяться с каким-нибудь одним сервером из пула не получается.
Требуется.
Настроить в обоих офисах точки, чтоб один провайдер был основным, второй резервным.
Поднять два vpn канала и настроить работу так, чтоб при падении одного - работало по второму.
С головным офисом проблем нет - Указаны разные веса у маршрутов, вот по этой мурзилке настроены ответы через тот интерфейс с которого пришёл запрос, настроен watcdog, который переключает NAT на доступного провайдера.
А вот как добиться подобного в дополнительном офисе, когда в день несколько раз могут поменяться шлюзы - устойчиво не получается.
Второй вопрос - VPN. Я пытаюсь поднять IPIP интерфейсы с шифрованием IPSEC. Соединить основной интерфейс с основным, дополнительный с дополнительным. И озадачить маршрутизацией OSPF.
В общем, поднимается только один IPIP, при попытке поднять второй работать прекращают оба.
Вопросов много:
Чтоб поднимать IPIP нужно прописать маршруты с дистанцией 0 до конечных точек. В случае PPPoE интерфейса можно указывать его в качестве шлюза. А что рисовать, если по DHCP прилетают разные маршруты?
Ну и далее, что там нужно делать и в какой последовательности? [/more]

EgorD
NAT не на VPN а NAT для хомячков в УО