» MikroTik RouterOS

Vornicescu
Можешь для начала оставить только МТ и вин2003 в свиче, если глюк пропадет значит что-то связанное со станциями, если нет значит надо ковырять сервера.

В логах обоих машин что-то есть(ошибки, подозрительные записи)? Включены ли такие-же сервисы на вин2003 что и на МТ, например DHCP?
Когда пропадает пинг на МТ, в арп таблице на вин2003 какие записи(arp -a)?
При очистке арп таблицы на вин2003 (arp -d) пинг не возобновляется?

Мало информации в общем чтобы сделать хотя-бы какие-то выводы. Приведи подробную схему сети.

Mikrotik 2.9

6 pppoe подключений, один провайдер, _один_ основной шлюз у всех подключений.

Поделитесь ссылками на доки, как сделать балансировку через _один_ шлюз.
Или расскажите свои идеи.

corsa1r что в твоем случае будет балансировкой?

Балансировка нагрузки означает равномерное распределение сетевого трафика по нескольким каналам связи. В данном случае должно быть несколько шлюзов для выхода в интернет или несколько провайдеров.

http://www.mikrotik.com/testdocs/ros/3.0/ip/route_content.php#.4
http://wiki.mikrotik.com/wiki/Load_Balancing
http://wiki.mikrotik.com/wiki/Per-Traffic_Load_Balancing

Может ты имел ввиду динамическое распределение канала между несколькими пользователями? Если так то смотри в сторону PCQ. Есть статья на русском на drivermania.ru

quickgen
Со станциями всё в порядке, проверял. В логах ничего нет, DHCP работает только на микротике. Arp не смотрел, не сильно смыслю в этом. Но есть интересный эффект, при запросе нового ip на станции (т.е. по сути переинициализации интерфейса) пинг проходит однократно (1 пакет т.е.) и снова тишина. Есть предположение что 2003-й портит ARP таблицы станций?
Если так, то как с этим бороться, как сказать 2003-у чтобы помалкивал?

Vornicescu
вообще проверь если у тебя интерфейс на микротике работает когда пропадает пинг. Это просто - запускаешь Windox и напротив IP нажимаешь на три точки. Должен появится MAC твоей сетевухи на микротике, жмешь на нее и заходишь как обычно. Если MAC-a там нету, то проблема в МТ.

Я тебе уже дал команды для того чтобы проверить arp таблицы.
arp -a показывает записи в таблице, arp -d удаляет все записи из таблицы. Запускается из командной строки. Пуск -> Выполнить -> cmd ->[Enter]

Поставь пинг IP микротика из win2003. Когда пропадает пинг, делаешь arp -a и смотришь MAC который соответствует IP микротика.
Если он у тебя не совпадает с MAC-ом сетевухи на микротике значит кто-то или что-то подменяет эту связку(атака ARP Spoofing, вирусы?).
Запускаешь arp -d и делаешь опять пинг.
Если есть Пинг, то оставляешь этот пинг постоянный на микротик с win2003(ping 192.168.0.1 -t). Ждешь пока не пропадет пинг и опять проверяешь арп таблицу arp -a
Смотришь МАС.
Если все ок и запись с Маком Микротика совпадает, значит ставишь каспера и проверяешь все тачки на вирусы и прочую лабуду.

Такую-же проверку делай со станций когда пропадает пинг.

Надеюсь, мой вопрос не будет оффтопиком.
У кого-нибудь есть опыт работы с MikroTik на RouterBoard 133(С)?
По опыту использования, какие +/-, по сравнению с использованием MT на обычном PC? В первую очередь, интересует параметр - надежность, во-вторую - удобство управления. Опять-таки, некоторые вопросы остаются неясными, например:
- имеется ли возможность перепрошивки на плате, на более свежую верисю MT? Может существует к-л аппаратный апгрейд (как вариант, со скидками) со стороны производителя?
- Имеется ли проверенный вариант подбора по размеру платы корпуса из известных ширпотребных компьютерных баербондов и прочая? Тот же вопрос по блокам питания.
- какой максимальный потребляемый ток (нагрузка) при питании от внеш. блока? В опубликованных pdf внятного ответа не нашел. Обозначен только вольтаж, причем с нехилым размахом допуска.
- достаточно ли предусмотренных (иногда и, не предусмотренных ) элементов охлаждения на этих платах?
- правильно ли я понял, что через RS232 управление осуществляется исключительно командной строкой через терминальную консоль?

никто не знает как можно прикрутить к микротику sarg или нечто подобное для учёта кто когда куда ходил??

SealXTX

Цитата:

У кого-нибудь есть опыт работы с MikroTik на RouterBoard 133(С)?

Да. 12 рутеров на них стоит.

Цитата:

По опыту использования, какие +/-, по сравнению с использованием MT на обычном PC? В первую очередь, интересует параметр - надежность, во-вторую - удобство управления.

Из минусов малая производительность. по надежности пока хз, пол-года стоят и хоть бы им чего удобство управления - винбокс через отдельный служебный влан очень удобно и секурно.

Цитата:

- имеется ли возможность перепрошивки на плате, на более свежую верисю MT? Может существует к-л аппаратный апгрейд (как вариант, со скидками) со стороны производителя?

обновление сделать можно, по фтп заливаешь файло с новой версией МТ и потом устанавливаешь. аппаратный апгрейд только кол-вом плат вайфай или портов эзернет.

Цитата:

Имеется ли проверенный вариант подбора по размеру платы корпуса из известных ширпотребных компьютерных баербондов и прочая? Тот же вопрос по блокам питания

рутерборды очень маленькие, боюсь с ними может потягаться что-нибудь из серии VIA Epia кажется.

Цитата:

какой максимальный потребляемый ток (нагрузка) при питании от внеш. блока? В опубликованных pdf внятного ответа не нашел. Обозначен только вольтаж, причем с нехилым размахом допуска.

потребляемый ток не скажу, не проверял. а размах вольтажа вещь хорошая, у меня они стоят на атс-ках городских и питаются от станционных 48 вольт а при желании можно подключить к аккумуляторам на 24 вольта, выбор большой

Цитата:

достаточно ли предусмотренных (иногда и, не предусмотренных ) элементов охлаждения на этих платах?

лето отработали на ура, в среднем температура в помещениях была от +50 до +56 т.к. живу в Таджикистане. доп.охлаждения не требовалось.

Цитата:

правильно ли я понял, что через RS232 управление осуществляется исключительно командной строкой через терминальную консоль?

первоначальная настройка только через консоль, до тех пор пока не пропишешь адрес чтоб можно было винбоксом подключиться, я делал скрипт с начальными настройками, и на каждом тупо его выполнял, после этого через винбокс допиливал.

Подскажите как роутербоард переключить в режим бриджа?.... т.е. надо чтобы точка доступа работала в режиме АП, но интерфейс был один (как для wlan, так и для lan)... типа свича... с одни ip для wlan и lan... бондинг не подойдёт?

bridge я сделал, чтоб пакеты между интерфейсами бегали.
/interface bridge port add interface=ether1 bridge=Bridgelanwan
/interface bridge port add interface=wlan1 bridge=Bridgelanwan
как мне два интерфейса в один загнать, или сделать сквозными? прошу тыкнуть носом в строчку конфигурации.

ice_m
Два варианта:
http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks
http://wiki.mikrotik.com/wiki/Transparently_Bridge_two_Networks_without_using_WDS_%28EoIP%29

то ли я плохо объясняю, то ли меня не понимают
повторюсь... мне нужен один интерфейс, да бы не плодить кучу ip-адресов... чтобы был один ip-адрес (как для wlan, так и для lan)... как это сделать? мне не нужен роутер, мне нужна просто "сквозная" АП.

Добавлено:
гы... перед всеми сорри... тупил и вас в заблуждение вводил
удалил в ip->addresses присвоение ip интерфейсу ether1 и всё...

Добавлено:
появился ещё один вопрос: почему клиентская АП пингуется с потерями, на столе?
АП -> Рапира (MikrotikOS 2.9.45)
Клиент -> Edimax 7206APG
Reply Size = 1000 (4 % loss).
К клиентской АП по эзеру ничего не подключено, траффика (кроме пингов) нет... Лежат напротив друг друга. Режим 2.4Ghz-only G. Шифрования нет.

Raredemon
Спасибо за столь развернутый ответ
Еще одна просьба, если не затруднит.
Просто, в качестве визуального примера, можешь выложить свой скрипт (естесственно, с затертыми конфиденциальными данными). Запрашиваю не столько для практического клише, сколько оценить масштаб и экономию на сложности подобной работы, прежде чем решиться покупать устройство.

SealXTX

Цитата:

Просто, в качестве визуального примера, можешь выложить свой скрипт

пожалста, только комменты убери, я их сейчас для наглядности вставил

Код:
# присваиваем имена интерфейсам
/int ethernet
set 0 name=external
set 1 name=dslam
# отключаем ненужные интерфейсы
dis 2
dis 3
dis 4

# поднимаем служебный влан для управления
/int vlan
add name=management vlan-id=10 interface=external
enable 0

# присваиваем адреса на интерфейсы
/ip address
add address=10.2.1.31/24 interface=external
add address=10.1.10.31/24 interface=management
add address=10.2.31.1/24 interface=dslam

# минимальный роутинг
/ip route
add dst-address=0.0.0.0/0 gateway=10.2.1.4

# называем рутер
/system identity
set name=rt-31.мой.домен

# заводим юзера с админ.правами и отключаем дефолтового админа
/user
add name=raredemon password=пароль group=full
disable 0

# настраиваем профиль для пппое подключений
/ppp profile
add name="PPPoE_static" local-address=10.2.31.1 use-compression=default use-vj-compression=default use-encryption=default only-one=yes change-tcp-mss=yes dns-server=хх.хх.хх.2,хх.хх.хх.7

# типовые настройки фаера и фильтрации пакетов
/ip firewall filter
add chain=input action=accept connection-state=invalid comment="Drop invalid connection"
add chain=input action=accept dst-port=22 protocol=tcp src-address-list=Trusted comment="Разрешает ssh от Trusted"
add chain=input action=accept dst-port=8291 protocol=tcp src-address-list=Trusted comment="Разрешает winbox от Trusted"
add chain=input action=accept connection-state=established comment="Разрешает established connections"
add chain=input action=accept connection-state=related comment="Разрешает related connections"
add chain=input action=accept protocol=icmp comment="Разрешает ICMP"
add chain=input src-address=xx.xx.xx.194 protocol=tcp dst-port=179 action=accept comment="Разрешает BGP"
add chain=input action=drop comment="Дропает все остальное направленное на этот хост"
add chain=forward action=drop connection-state=invalid comment="Дропает invalid соединения в форварде"
add chain=forward action=reject reject-with=icmp-port-unreachable p2p=all-p2p src-address-list=!Allow-p2p comment="Дропает весь p2p"
add chain=forward action=reject reject-with=tcp-reset in-interface=dslam out-interface=external dst-port=25 protocol=tcp src-address-list=!Allowed-SMTP dst-address-list=!My-SMTP comment="Запрещаем SMTP направленные мимо наших серверов"
add chain=forward action=reject reject-with=icmp-network-unreachable in-interface=dslam src-address-list=!"My networks" comment="Дропать все кроме My networks"
add chain=forward action=reject reject-with=icmp-net-prohibited in-interface=dslam out-interface=management comment="Дропать все от клиентов в management интерфейс"

про Edimax ответа не дождался... поставил вместо клиента WRT-312... пигуется без проблем...
подскажите, где в winbox включается access list? надо сделать так, чтобы к базовой коннектились только прописанные в аксес листе АПэшки

ice_m

ip > firewall > address-list

Fader

Цитата:

ip > firewall > address-list

это просто список адресов присвоеных рутеру.
ice_m

Цитата:

подскажите, где в winbox включается access list?

в микротике, в отличие от циски, нет такого понятия как access-list, в нем надо грамотно настраивать файрвол - /ip firewall filter
примеры правил можешь поглядеть в моем предыдущем посте.

Raredemon

Цитата:

это просто список адресов присвоеных рутеру.

Я конечно извиняюсь но это все-таки не список адресов присвоенных файрволу.
А как раз список адресов которыми можно оперировать в правилах файрвола.
Появилась эта штука в 2.9.х и я ей был несказанно рад

Цитата:

Я конечно извиняюсь но это все-таки не список адресов присвоенных файрволу.
А как раз список адресов которыми можно оперировать в правилах файрвола.

Совершенно верно: Firewall Filter - [tab] Advanced.
Чем вам не циска?

поставил сегодня вместо Zcom 3120 -> Рапиру с Микротиком 2.9... Честно: ожидал большего... Пинги плавают: 23-75 мс с прыжками до 1,5 сек. Уровни от клиентов ухудшились, но ненамного. И это без траффика на АП и минимальной загрузкой проца... Жесть. Вернули всё обратно на Zcom. При небольшом траффике пинги на клиентские АП - 5-6 мс... Где подвох?
Ясно, что микротик я не совсем умею "готовить", но чтоб такой результат был...

SolarW

Цитата:

Я конечно извиняюсь но это все-таки не список адресов присвоенных файрволу.
А как раз список адресов которыми можно оперировать в правилах файрвола.

перепутал почему-то прочитал ip > address-list
Fader

Цитата:

Чем вам не циска?

тем что данные листы адресов нельзя например повесить на интерфейс или на подключение по snmp, telnet, ssh

Цитата:

тем что данные листы адресов нельзя например повесить на интерфейс или на подключение по snmp, telnet, ssh

Я конечно не пробовал, но что мешает в New Firewall Rule указать как интерфейс так и заранее помеченное в Mangle подключение для нужного ip > firewall > address-list ?

Fader

Цитата:

но что мешает в New Firewall Rule указать как интерфейс так и заранее помеченное в Mangle подключение для нужного ip > firewall > address-list ?

ничто не мешает... но в любом случае, правила фаера больше похожи, а по сути и являются iptables, а не цисковские аксесы. если с цисковской безопасностью знаком, заметишь разницу...

задача такая: надо сделать сайт который находится на 10.10.0.1 доступным из вне

создал вот такое правило
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat protocol=tcp dst-port=80 action=dst-nat
to-addresses=10.10.0.1 to-ports=80

проверить пока нет возможности, поэтому прошу сказать правильно ли я всё делаю или нет..
заранее спасибо

GawkV правильно.

Здраствуйте! Ответь те пожалуйста эсть winbox на Pocket PC на windows mobile 6??? Спасибо зарание.

VANJALUPAK1 насколько я знаю портированной утилиты winbox нету. Но есть ssh клиент Putty тут http://www.pocketputty.net/
Работает замечательно на HP iPAQ.

quickgen
Спасибо большое. а я могу управлять роутером из КПК? и как ето зделать если можна?

Можно. Достаточно чтобы был открыт порт 22(любой другой) для сервиса ssh на Микротике. Качаешь на КПК putty для PocketPC и по IP адресу заходишь на роутер.

извините пажалуста как настроыит радиус
дапустим клиент делал логин церез Hotspot kak
mojna prirvat praces dabavit trafik ili nabarod spomoshu radius

Народ, прошу хелпу. Третий день курю маны, вкурить не получается
Нужно разделить полосу (входящую) 1М на 20 пользователей, причем для 5-ти гарантировать полосу 128к, максимально - до полного канала, остальных посадить на 20к, максимально - до 128к (не критично). Каким образом это проще всего организовать? Статьи из шапки только запутали мое больное воображение. Буду предельно благодарен за примеры решений аналогичных задач. Да, все касается http-трафика, едущего ч-з встроенный Web-proxy, хотя в идеале - всего трафика...