Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» MikroTik RouterOS

Автор: quickgen
Дата сообщения: 15.02.2008 14:13
bazzzilio http://wiki.mikrotik.com/wiki/Bandwidth_Managment_and_Queues

1976arman http://ru.gentoo-wiki.com/Abills

Автор: Salik
Дата сообщения: 18.02.2008 18:22
Имеется тазик с 3 сет.платами и версия 2.9.27 (в случае успеха будет куплена лицензия)
Подскажите пжлст можно ли реализовать следующее:
1. Настроить Лоад Балансин так что бы в случае пропадания инета от первого ИСП, Микротик автоматом поднимал инет через второго ИСП (Первый ИСП дешевый по езернет технологии, но регулярно падает, второй дорогой по адсл но работает более стабильно), ну и соответственно когда инет через первого ИСП возможен роутер пускал все через него. (т.е. в моем понимании нужно чето пингать и в случае потери н-го количества пакетов менять на шлюза 2-го ИСП, в случае если пинг успешный то снова менять на шлюз 1-го ИСП, вот только как это сделать?)

2. Нужно постоянно поддерживать ВПН соединение, что бы оно автоматом поднималось через рабочий в данный момент инет.

Спасибо большое за вашу помощь, буду благодарен за инфу или ссылки которые помогут решить сию задачу.
Автор: quickgen
Дата сообщения: 18.02.2008 21:28
Salik LoadBalancing это совсем другое нежели то что тебе надо. LoadBalancing распределяет интернет для пользователей равномерно по разным шлюзам (провайдерам).

Тебе нужен скрипт по подобию этого:

http://wiki.mikrotik.com/wiki/Improved_Netwatch

По существу тебе надо 2 скрипта:

Первый будет пинговать ближайший хоп(или произвольный) после твоего гейтвея на первом провайдере и в случае его падения или недосягаемости выключит default route на первого провайдера и включит default route второго провайдера.
Второй будет делать обратное.

Эти самые хопы(рутеры твоего провайдера) не должны пинговаться из сети второго провайдера.
Для достижения этого я делал просто: В фаерволе микротика запрещал пинг с самого микротика через интерфейс второго профайдера на пигуемый рутер первого провайдера. Соответственно пинги на рутер первого провайдера могли идти только через интерфейс первого провайдера и скрипт работал.


2. На микротике vpn сам подымется, используя dеfault route прописаный на микротике.
На винде надо выставить количество повторных подключений равно 10000 например и убрать галочку с "Запрашивать имя пользователя, сертификат..."
Автор: Salik
Дата сообщения: 19.02.2008 01:18
quickgen
Этот кусок кода:
Код: :local i 0; {:do {:set i ($i + 1)} while &#65533;i < 5) && ([/ping 72.14.207.104 interval=3 count=1]=0)};
:if ($i=5 && [/ip route get [find comment="Default Route"] disabled]=false) do={:log info "Main Gateway down";
/ip route set [find comment="Default Route"] disabled=yes}
Автор: bazzzilio
Дата сообщения: 19.02.2008 22:26
quickgen
Спасибо, вроде что-то понял, даже заработало. Еще вопрос - везде описывается, что в Микротике есть FTP-proxy, я или не нашел, или нигде не вижу, как настроить, потому опять же -
Или как иначе можно настроить доступ конкретному клиенту только к одному фтп-ресурсу, если есть куча зеркал, и ДНС все время возвращает разные IP (фтп.симантек.ком)? Я уже в файерволе правил 10 описал, бац - новый айпишник... Садить клиента на один определенный не хочется, не даром же их куча...
Автор: VitRom
Дата сообщения: 20.02.2008 14:17
Уважаемые, помогите "стартовать"!

2.9.27, три интерфейса (local, local-2, public), на всех приваты класса C, разные сети, на public 192.168.1.234/24 и модем 192.168.1.1. Система совсем свежая, только проставлена: в маршрутах 3 auto dynamic, и больше ничего. Файрвол и НАТ пустые, всё "девственное".

Нужно добираться с local до модема (конфигурить), а в Нет выходить по PPPoE через public. Причём между local и local-2 ничего не нужно, т.е. обе сети "самостоятельно" выходят по общему PPPoEи всё.

Маны, которые видел, говорят, что, мол, по дефолту форвад между сетями включен, и его мол, нужно явно запрещать. Однако модем от меня недоступен (но пингуется из Микротика). Где грабли-то?
Автор: Fader
Дата сообщения: 20.02.2008 23:45
VitRom
Ты и модем в разных сетях? Распиши по порядку все: схему сети, адреса, что-куда... а то сразу отправить хочется.
Автор: quickgen
Дата сообщения: 21.02.2008 01:09
Salik Ты правильно все понял. Кустомайзинг правил сам уже разбирай.

1. Любой рутер должен иметь Default Route - т.е. шлюз по умолчанию, иначе пакеты через рутер форвадяться(проходить) не будут. По сути Default Route - это путь по умолчанию по которому пойдут ВСЕ пакеты и он может быть только один в системе.
2. Рутеру не надо задумываться по этому поводу. Он шлет все по шлюзу по умолчанию (default route), а вот куда послать те или иные пакеты это уже твоя задача. Делается в микротике с помощью ip firewall mangle, при создании правил типа mark-routing и дальнейшим указанием этих меток в ip route.
3. Да, так как VPN работает по IP Layer OSI.

Скрипт может выполняться хоть раз в секунду - это можно указать в /system scheduler. Нагрузку на процесор даст только в случае работы с большим количеством правил(порядка сотен и тысяч)

rb133 загнется очень быстро. Где-то на сайте микротика видел последние тесты производительности новых RB. Интересная и очень полезная информация к ознакомлению.

Лучше делать с помощью обычного PC на базе Intel с большими частотами и c качественными сетевухами типа Intel (они существенно разгрузят процесор, нежели используя Realtek 8139 =) )
Вместо винта ставится CF флэшка например с переходником на IDE. Ставится качественный кулер с низкими шумовыми характеристиками. Тоже самое относится и к БП.
Те же деньги, может даже дешевле - но мощности в десятки раз больше.

Насчет выбора WiFi карточки не знаю. Много экспериментов с ними не проводил.

bazzzilio пожалуйста. Какова будет функция FTP Proxy? Первый раз слышу, если есть - то раньше не использовал.

Блокируешь юзера в фаерволе:
1. Делаешь address-list c нужными ip - например: /ip firewall address-list add list=symantec address=10.0.10.1 disabled=no
2. Делаешь правило в фаерволе - например: /ip firewall filter add chain=forward src-address=x.x.x.x dst-address-list=!symantec action=drop disabled=no

Это правило заблокирует все запросы кроме тех что направляются на ип-шники из symantec. x.x.x.x это адрес клиента, с которого делается запрос.

На форуме микротика кто-то выложил скрипт который проверял по DNS все зеркала и запихивал их в адрес-лист. По-моему тема связанная с "How to block Rapidshare.com p2p traffic". Там человек посчитал, не знаю с чего, что сайт rapidshare.com это p2p траффик =)

Завтра порыскаю если не найдешь.
Автор: Salik
Дата сообщения: 21.02.2008 11:28
quickgen

Цитата:
2. Рутеру не надо задумываться по этому поводу. Он шлет все по шлюзу по умолчанию (default route), а вот куда послать те или иные пакеты это уже твоя задача. Делается в микротике с помощью ip firewall mangle, при создании правил типа mark-routing и дальнейшим указанием этих меток в ip route.

Ну это я понимаю что по-умолчанию все будет идти по дефолтному шлюзу. Но как мне узнать что поднялся первый ИСП, используя шлюз второго? Это получается нужно написать в таблице маршрутизации правило что сайт такой-то пингуется всегда через такой-то шлюз?

Да и ещё где можно почитать ман по написанию скриптов для Микротик ОС?
Автор: VitRom
Дата сообщения: 21.02.2008 13:40
Fader, спасибо В общем-то, мне показалось, что я всё изложил, даже упомянул, что система только проставленная, только ифейсы поименованы и адреса назначены... Ну, раз "показалось", то расписываю:

Я и модем в разных сетях.

Всего 3 ифейса (физ.), на каждом своя сеть.

Код: [admin@gate] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.234/24 192.168.1.0 192.168.1.255 modem
1 192.168.11.234/24 192.168.11.0 192.168.11.255 local
2 192.168.12.234/24 192.168.12.0 192.168.12.255 local-2

[admin@gate] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DIS INTERFACE
0 ADC 192.168.1.0/24 192.168.1.234 modem
1 ADC 192.168.11.0/24 192.168.11.234 local
2 ADC 192.168.12.0/24 192.168.12.234 local-2
Автор: quickgen
Дата сообщения: 21.02.2008 14:06
Salik - ты должен сделать mark-routing метку и отправить ее на нужный шлюз(нужного провайдера).

bazzzilio Вот - _http://forum.mikrotik.com/viewtopic.php?f=2&t=17687

Автор: Fader
Дата сообщения: 21.02.2008 16:08
VitRom

На своем компе (с которого модемом рулить хочешь) добавь маршрут вида: ходить в сеть 192.168.1.0/24 через шлюз 192.168.11.234

И модему своему маршрут пропиши аналогичный: ходить в сеть 192.168.11.0/24 через шлюз 192.168.1.234.

Тоже самое проделать с подсетью 192.168.12.0/24 по аналогии.
Автор: quickgen
Дата сообщения: 21.02.2008 16:14
VitRom Честно говоря из твоего описания мало что понял. Изложи по пунктам и целям, т.е.
1. Надо дать интернет в сетку такую. Wan Interface - такой, Lan Interface - такие-то.
и так далее.

Чтобы был интернет надо:
или добавить правило для ната: /ip firewall nat add action=masquerade
или указать в /ip route какие сети и через какие маршрутизаторы будут видны.
И не забудь про /ip dns

Модем работает в режиме бриджа или рутера?
А вообще мало информации. Подробности в студию.
Автор: JohnnyBravo
Дата сообщения: 21.02.2008 17:35
Просьба к уважаемым гуру!

Помогите с proxy-arp! ЛАН порт микротика подключен к свичу на котором висят две разных подсети, одна подсеть роутится микротиком, другая не имеет с ним отношений, разделить физически подсети не могу, при активации proxy-arp на ЛАН интерфейсе (чтоб через ВПН видеть первую подсеть) микротие начинает проксить обе подсети в результате вторая подсеть становится недоступной!
До микротика стояла циска с такими же настройками - все было ок, а тут такая Ж

Плиз хелп!
Автор: quickgen
Дата сообщения: 21.02.2008 23:44
JohnnyBravo я врубал на Wan интерфейсе и у меня все работало как надо при моей конфигурации.
Сделай бэкап системы, сбрось конфигурацию(если возможно) и попробуй настроить все по новой только с небходимым минимумом.
Автор: SolarW
Дата сообщения: 22.02.2008 00:14
Небольшой вопрос уважаемому сообществу пользователей микротика.

Экспериментирую на стенде, строя связку NetUP + Микротик по известному руководству (очередное спасибо автору за его замечательные статьи)
В принципе все получилось, единственно немного изменил логику работы - айпишник юзера которому надо закрыть доступ в инет не удаляю из списка разрешающего ходить в инет а наоборот добавляю в список являющийся аргументом для запрещающего правила.
Все работает, но хотелось бы еще одного - чтобы юзера не только в инет рубило а и при попытке пойти в веб пересылало на страничку с сообщением что доступ к инету у него закрыт.
Если кто-нить такое делал и в этом нет ничего сложного - поделитесь плс.
Ну или ссылочку на руководство...
Видится мне модель реализации такая:
- правилом файрвола заворачиваем весь трафик на 80-й порт на определенный hostname
- на этом хостнейме висит веб-сервер у которого index и 404 это один и тот же документ с нужным нам сообщением
Само собой это правило стоит в списке выше запрещающего полный доступ и аргументом source служит тот же address list что и для запрещающего правила...
Я в правильном направлении фантазирую? Или умные люди это проще как-то делают?

P.S. подозреваю что еще в реализации хотспота можно поковыряться - там вроде как сделан автоматический редирект на страницу авторизации пока не введешь имя/пароль...


Добавлено:
Немного подумав...
А фиг наверное получится редирект на хостнейм сделать...
Наверное только на айпишник можно...
Автор: VitRom
Дата сообщения: 22.02.2008 12:14
Fader, quickgen, может, я наоборот слишком подробно всё расписал?

Пожалуйста, не ищите подводных камней и каких-то заморочек! Всё проще, чем вы думаете:

Сами же микротик ставили неоднократно (не так ли?), вот и представьте свежепроставленный микротик, с тремя шнурками в трёх картах. После установки подняты и переименованы ифейсы и им розданы адреса, каждый из отдельной сети. Всё!

В маршрутах автоматом появились три автомаршрута, каждый в свою сеть по своему ифейсу. В файрволе и нате (ведь свежепроставленный микротик) -- чисто.

Согласно описухам, которые я упоминал выше (или моему неправильному их пониманию?), три сети уже должны быть доступны друг для друга(?). А сейчас я могу пропинговать все ифейсы микротика (в т.ч. в другие сети, в т.ч. 192.168.1.234), а вот девайс в той сети (192.168.1.1) -- нет.
Цитата:
Модем работает в режиме бриджа или рутера?
Модем работает в режиме http-server-а. Стоит после очередного сброса в дефолтном режиме и ждёт, когда я на него браузером зайду и отконфигурю -- он вообще сейчас к ДСЛ не подключен.
Цитата:
Чтобы был интернет надо
Это всё потом будет (pppoe, дефолтный маршрут и т.п.). Сейчас это не надо. Сейчас надо просто из одной сети добраться до девайса в другой. Маршруты, как мне кажется, для этого уже есть (три автомата). Но где-то грабли...
Цитата:
Wan Interface - такой
нет такого. Только три Lan. Wan будет потом ч-з pppoe.

Цитата:
На своем компе... добавь маршрут
Есть такое, даже в двух вариантах:

Код: 0.0.0.0/0 192.168.11.234 metric 2 (а реально используемый внешний -- metric 3)
192.168.1.0/24 192.168.11.234 metric 1
И даже
Основной шлюз: 192.168.11.234
Автор: Fader
Дата сообщения: 22.02.2008 13:05

Цитата:
Оп-па! По-моему, в нём вообще статика не прописывается... И даже если прописывается, то задача чуть уточняется: нужно, чтобы модем был доступен (для конфига) даже в случае полного сброса (как сейчас).


Что за модем-то? Работал с различными Zyxcel'ями - там без проблем - пиши хоть несколько маршрутов. Разве что через web-морду нет доступа к этим настройкам. telnet юзать нужно.

Что значит полный сброс? Если сбрасывать к заводским настройкам то не сохранится конечно. При перезагрузке все сохраняется.
Автор: VitRom
Дата сообщения: 22.02.2008 14:33
Linksys AM200 -- самый примитивный с эзернетом.
Именно "сбрасывать к заводским настройкам"! Там есть команда "фулл резет", и при обнове прошивки тоже всё чистится. Для этого и сеть была выделена 192.168.1.0, в которой момед "с завода" прописан.
Но вообще можно забить на модем, пусть это будет вообще абстрактный девайс, который можно пинговать и можно заходить на него по хттп. И вся проблема в том, что не зайти. Ифейс микротика даже на стороне девайса пингуется (т.е. имеющиеся маршруты работают, пакеты через микротик проходят, верно?), а дальше -- ничего.
Автор: quickgen
Дата сообщения: 22.02.2008 14:44
VitRom стёр предыдущий свой пост, это было не по той теме. Проверил конфигурацию специально для тебя.
В микротике должны быть назначены ip адреса и ВСЕ.
На клиентской машине должен быть указан ip, mask и gateway.
Все прекрасно работает. Сети друг друга видят.

Добавлено:
SolarW ты правильно фантазируешь =)
Автор: JohnnyBravo
Дата сообщения: 22.02.2008 17:10
quickgen

как я понял, прокси-арп нужно ставить только на ЛАН интерфейсе, чтобы я через ВПН видел подсеть ЛАН, но блин микротик проксит арп всех подсетей, подсоединенных к ЛАН порту, как сделать чтоб он проксил тока подсеть ЛАН?
Автор: Salik
Дата сообщения: 23.02.2008 14:55
помогите плз) задолбался уже... ни в какую не хочет работать adsl интернет. Сначала dialing потом terminating и так по кругу. Пробовал уже разные значения MTU, пароль и логин правильные 100%, между модемом и роутером связь есть потому что я без проблем захожу в настройки модема. Он стоит в режиме бриджа, по статистике видно что когда я пытаюсь законнектится то в сторону провайдера пакеты идут (траблы наверняка не у прова, потому как pppoe клиент модема коннектится без проблем). Вот что смущает что в настройках соединения модема есть PVC Settings в компе то я их не введу... что делать, может быть что-то нужно в правил фаерволла прописать разрешающее?
Автор: quickgen
Дата сообщения: 23.02.2008 15:57
Salik отключи все правила в фаерволе. Ты про PPPoE говоришь или VPN?
Модем сам работает в режиме рутера, конектится к провайдеру? Если да, то явно проблема в рутере.


JohnnyBravo По идее, тебе надо сделать бридж между Ван и Лан.

Далее в /interface bridge filter добавить правила

1. add chain=input mac-protocol=arp arp-src-address=x.x.x.x/x action=accept
где x.x.x.x/x та подсеть которую тебе надо проксить.

2. add chain=input mac-protocol=ip action=accept
3. chain=input action=drop


Бридж ставишь в режим "proxy-arp".

Фаервол выключи. Поиграйся с правилами, может тебе подойдет arp-dst-address=x.x.x.x/x
Автор: Salik
Дата сообщения: 23.02.2008 21:00
Да я понял) Там во всем была виноваты PVC Settings...и через задницу настраиваемый модем dynamix) За сегодняшнюю ночь все настроил..почти. Не въехал только как выбирать уровень шифрования в впн?! И ещё при пропадании связи впн почему-то не рвьется, т.е. рекконект через другой шлюз не делает. Да и ещё получается нужно при смене ИСП в скрипт добавлять смену днс серверов+как-то странно работает дхсп клиент: включай интерфейс, по дхсп получаю ип на 1 час, рву коннект, потом включаю...а дхсп клиент тупит и только минут через 15 дает ип.

П.С. проблема была с PPPoE
Автор: JohnnyBravo
Дата сообщения: 23.02.2008 22:48
quickgen
Привет. спасибо за помощь!!!
Раньше пробовал этот конфиг не получалось, щас заработало! что сделал: создал бридж, добавил в него порт ЛАН (ВАН порт добавлять не надо, там бридж не нужен, а добавить ППТП соединение низя), потом твои правила, только в первом рулзе еще условие - входящий интерфейс - ЛАН и все заработало!

Хотя странно, на циске просто врубал опцию прокси-арп и все работало
Автор: quickgen
Дата сообщения: 24.02.2008 00:50
Offtopic:
Мужики всех с праздником! Кому помог - да не за что =)
Автор: Salik
Дата сообщения: 24.02.2008 15:53
quickgen
И вас с тем же)

Снова нужна помощь, так как я с правилами написаний правил для фаерволла Микротика ещё не разобрался, то прошу помощи у вас.
Имеем Вин 2008 на нем поднят сервер удалённого доступа, к нему Микротик подключается по ВПН. IP-сервера 192.168.0.10, IP Микротика 192.168.1.10 (прописан статический маршрут)
В Винде в роутах видим след:
192.168.0.10 255.255.255.255 On-link 192.168.0.10 291
192.168.1.0 255.255.255.0 192.168.1.10 192.168.0.10 35
192.168.1.10 255.255.255.255 192.168.1.10 192.168.0.10 36
В Микротике видим следующее
2 ADC 192.168.0.10/32 192.168.1.10 OurVPN
3 ADC 192.168.1.0/24 192.168.1.199 ether1
В вине фаерволл выключен, все фильтры пакетов также выключены.

Проблема в следующем есть с сервера ничего кроме 192.168.1.10 не пингуется, со стороны Микротика все клиенты ВинСервер успешно пингуют. Мне кажется что проблема со стороны Микротика потому что когда пускаю трассировку то вижу полную пустоту, если была бы со стороны Вина то писало бы что "ай пи адресс маршрутизатора: узел не найден. А также ответ дает моментально значит к ДНС серву не обращается, а использует правила из таблицы маршрутов. Хелп люди...надо что бы завтра все работало)
Автор: quickgen
Дата сообщения: 24.02.2008 18:21
Salik Поставь ether1 в режим proxy-arp:
/interface ethernet set ether1 arp=proxy-arp

А почему кленты сами не конектятся на Win2008? Зачем рутер по середине?
Я как понимаю(судя по маршрутам) ты даже за пределы своего LAN не вышел.
Автор: Salik
Дата сообщения: 24.02.2008 19:36
quickgen
Ну причин на то много, во-первых есть тонкие клиенты, потом настраивать нужно больше, если бы компов было несколько то наверно каждый бы по отдельности подключался. А роутер в любом случае нужен для раздачи инета и переключения между провайдерами.
Да нет я выходил)
Почему это я за пределы лан не вышел?

Добавлено:
Я без проблем пингую сервер когда сижу за роутером, и все клиенты аналогично его видят и к нему подключаются. А в обратную сторону траффик не идет, со стороны сервера.

Роутер находится в подсети 192.168.1.0 (его ип 192.168.1.199, и как клиента при подключении к серверу 192.168.1.10).
У сервера подсеть 192.168.0.0 его ип 192.168.0.10 и вот с него я кроме роутера ничего пинговать не могу. При пинге пишет: Нет ресурсов
Автор: quickgen
Дата сообщения: 24.02.2008 20:24
Salik Не обратил внимание на то что правила в /ip route у тебя начинаются с цифры 2. У тебя там дефолтового шлюза нету и поэтому я все не так понял.
Больше кусками конфиг не давай, если ты только сам не уверен что у тебя все правильно настроено.
И ты меня запутал своей начальной фразой про фаервол. Причем тут фаерволл вообще если у тебя проблема с видимостью сетей?

1. Делаешь бэкап системы уже настроеной.
2. Вырубаешь все правила фаерволла, мангла и т.д. - оставляешь только необходимый функционал а ля ip на интерфейсах. Это же касается и Win2008.
3. Переводишь карту(Wan? Lan?) в прокси-арп.

4. Если не работает, значит конфиги полные в студию.

Трэйсы с клиентов на Win2008 и с Win2008 на клиентов покажи.


Ты в прокси-арп перевел карту?

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071

Предыдущая тема: Реестр пользователя domin\user был сохранен в то время,


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.