» MikroTik RouterOS

1. Есть работающая схема организации выхода лок.сети в И-нет:

pfSense CISCO
------------ ---------
¦ FireWall ¦ ¦ Router ¦
¦ NAT ¦ ¦ ¦
192..1 ¦ Squid ¦ 195..2 195..1 ¦ PPP ¦ 195..9
Local ----------+ PPTP +------------------- ---------------+ +------ Internet_1
¦ ¦ шлюз 195..1 шлюз 195..9 ¦ ¦
¦ ¦ ¦ ¦
------------ ----------


2. Появился второй канал и желание сделать его резервным, и заменить CISCO МикроТик'ом.
Но как изменить настройки схемы, где лучше разместить NAT и PPTP, как автоматически менять шлюзы и интерфейс для NAT?


pfSense MikroTik
------------ ------------
¦ FireWall ¦ ¦ Router ¦ 195..9
¦ NAT ??? ¦ 195..2 195..1 ¦ +------ Internet_1
192..1 ¦ Squid ¦ шлюз 195..1 шлюз 195..9 ¦ PPP ¦
Local ----------+ +------------------- ---------------+ ¦
¦ ¦ ¦ PPTP ??? ¦ 82..2
¦ ¦ ??? ??? ¦ +------ Internet_2
------------ ------------

народ помогите, не хочет подниматься впн, пишет соединяеться и всё, почему даже не представляю... сеть работает при этом
interface pptp-client> print
Flags: X - disabled, R - running
0 X name="pptp-out1" max-mtu=1460 max-mru=1460 connect-to=87.255.0.ххх
user="ххххх" password="хххххх" profile=(unknown)
add-default-route=yes allow=pap,chap,mschap1,mschap2
error - contact MikroTik support and send a supout file (2)
версия 2.9.27

3x3r У тебя портаченый бут сектор скорей всего, очисть таблицу партиций каким-нибудь Партишин Менеджером типа Partition Magic.

sergmax на Микротик ставишь все Какой смысл в pfSense?
Fail-over можно устроить скриптом _http://wiki.mikrotik.com/wiki/Improved_Netwatch_II

Smito посмотри Log на наличие ошибок. Профиль выбери чтобы исправить эту непонятку profile=(unknown)

Цитата:

У тебя портаченый бут сектор скорей всего, очисть таблицу партиций каким-нибудь Партишин Менеджером типа Partition Magic.

Попробую, но дело в том что до этого на винте стояла Винда ХР, и работала на ура.

quickgen

Цитата:

sergmax на Микротик ставишь все Какой смысл в pfSense?

Я обеими руками за! Но! Встанет ли на Микротик (машина без диска, на флэшке!):
- Squid?
- Snort?
- Cacti?
- IMSpector?
На pfSense всё это и многое другое встает замечательно. Да и хотелось бы Файрвол/Прокси держать отдельно от маршрутизатора.

Цитата:

Smito посмотри Log на наличие ошибок. Профиль выбери чтобы исправить эту непонятку profile=(unknown)

в логе пишет идёт конект, и всё и так по сто раз, почему не сообшаеться
а вот насчёт профилей, я так и не догнал как его добавить, не подскажите?

sergmax Это уже другой разговор. Естественно флэшка не самый лучший вариант для кэшуриещего прокси =)
В твоем случае можешь оставить pfSense для всех этих фич. Целесообразно pfSense поставить перед Микротиком и использовать Микротик для файловера с настроенным фаерволом(тебе ведь от мира надо отгородиться), натом и PPTP. Решения о направлении клиента на тот или иной канал будут приниматься скриптами на Микротике поэтому нат должен быть там.
Все остальное настраивай как угодно на pfSense(там-же можешь настроить дополнительный фаервол, что я тебе настоятельно советую).

Smito такое ощущение что у тебя для этого прав нету! Кнопочки плюс, минус и коментарий должны быть активны. Проверь свои права в Users и выстави полный набор. Попробуй через консоль командами добавить этот профиль хотя-бы по умолчанию. Вообще по умолчанию(чистая установка пакета PPP) там всегда 2 профиля - default и default-encryption.

3x3r это не показатель. Для начала попробуй почистить таблицу. Если не поможет - пробуй обнулить MBR. Это можно сделать например с загрузочного диска с XP, из recovery console.

права точно есть, всё фул...
попробую переставить микротик

Цитата:

Попробуй через консоль командами добавить этот профиль хотя-бы по умолчанию

пробовал, что то не получилось, можешь написать какими командами?

Smito переставь только PPP пакет(System Packages Uninstall далее System Reboot). Потом просто закинь его на микротик и сделай ребут.

Добавь такой командой:
/ppp profile add default name="default" use-compression=default use-vj-compression=default use-encryption=default only-one=default change-tcp-mss=yes comment=""

Цитата:

quickgen

во спасибо, какой то прогрес.. переставил микротик, теперь конектиться к впн, но инет не пашет, галку дефаулт роуте поставил, и он не может понять к какому интерефейсу приютиться
какие рекомендации можете дать?

Smito
2 default gateway'я быть не может.

2All:

Наконец-то дошли руки и поднял DCHP server на МТ. Возникли вопросы...

Т.к. интересует только статическая аренда адресов то возникает вопрос: есть ли способ в "/ip dhcp-server lease" заюзать лист связок IP-MAC из "/ip arp"

+ так и не понял значение след. опций:





У кого какие мысли?

Цитата:

Smito
2 default gateway'я быть не может.

чё это? один шлюз сети, другой инета...

Smito убери галочку с дефаулт роуте! Тут уже не все так просто становится.
Тебе надо маркировать в /ip firewall mangle chain=prerouting пакеты от твоих клиентов и потом направлять на этот маршрут.
Т.е. в твоем случае /ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=mark-routing new-routing-mark=vpn-clients passthrough=no comment="VPN Inet" disabled=no
Далее это правило используешь в /ip route вот таким макаром:
/ip route add dst-address=0.0.0.0/0 gateway=172.16.1.1 routing-mark=vpn-clients comment="" disabled=no

Более того, тебе надо будет или создать правила маршрутизации чтобы 192.168.1.0/24 видели 172.16.1.1 или тупо замаскарадить 192.168.1.0/24 подсеть под IP 172.16.91.41, т.е. так: /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=172.16.91.41 disabled=no

Конечно правильней маршрутизацию настроить на обеих сторонах, но это уже твоя домашняя работа.

Fader Хорошая штука - Add arp for leases. Принцип применения прост - ставишь интерфейс в режим reply-only, соответственно если нету в арпе на микротике записи о какой-то станции то она микротик просто не увидит, обратное тоже верно(В режиме ARP=reply-only будут работать только статические привязки, микротик не будет прописывать у себя все привязки подряд). Теперь ставишь эту галочку в DHCP и только те станции которые у тебя в Leases прописаны, динамически будут прописываться в арпе у микротика при получении ипшника по DHCP. Естественно от подмены Мас+IP не защитишься таким образом.
Насчет второй опции мануал ничего внятного не говорит, а я с ним опыта работы не имею.

Цитата:

quickgen

ой как выручил, а мне говорили наоборот дефоулд роут поставить, попробую отпишусь, с меня пиво )

Цитата:

Конечно правильней маршрутизацию настроить на обеих сторонах, но это уже твоя домашняя работа.

))позвонить провайдеру и сказать сделайте что я скажу )))

Прошу хелпу по шейперу очередной раз Имею такую ситуёвину: в Mangle маркирую соединение и пакеты коннекта к собсно тачке с Микротиком ч-з Винбокс (Срс - я, дст - шлюз, порт 8291). В Simple Queues создаю правило - для этих пакетов трафик всегда unlimited. Ниже правило для меня - ограничение скорости. И, что самое интересное, ЭТО работало. Т.е., если от меня не было другого трафика, то верхнее правило отображало трафик Winbox-а, а нижнее стояло по нулям. Позавчера был в командировке, со вчерашнего дня картинка такая - пару кб/с на правиле Winbox-a и килобит 40 - на нижнем правиле. Через Torch вижу, что весь трафик на шлюз порт 8291. Где грабли искать? Абсолютно не хочется, чтобы служебный трафик обрезал полосу в Инет...

quickgen
Чесно говоря, смысл от этой опции мне так и не ясен. Как и применение в моем случае
Но все равно спасибо

Я так понял, что заюзать готовый лист из /ip arp мне не удастся.

Опишу ситуацию: век жили на статике. После поднятия DHCP хотелось чтобы народ продолжал юзать именно те же айпишники которые у них были прописаны. Можно сказать что DHCP у нас не панацея, а как приятное дополнение. Так-скать защита от чайников.

скажите плз а умеет ли микротик делать лоад балансинг с несколькими внешними каналами?

Smito заработало? =)

Fader Если бы у тебя Lan был в режиме Reply-only и не стояла галочка на Add arp for leases - то в ARP-е у микротика было пусто!

Ну так а что тебе мешает? =) У тебя интерфейс Lan в каком режиме Enabled или Reply-only? Не пойму одного... ты нынешних статических клиентов переводишь на автоматическое получение ip?

А заюзать /ip arp легко. Берешь делаешь экспорт /ip arp в файл. Копируешь из него данные в эксель, там делаешь из этой каши скрипт для /dhcp-server leases, сохраняешь это все в файл скрипта и импортируешь в микротик. Все =)

bazzzilio У тебя скорей всего в правиле passthrough=yes, а надо passthrough=no

Вообще юзай вот такой метод, цепочку меняй на усмотрение свое.

Маркируешь сначала конекты(должно быть passthrough=yes)
/ ip firewall mangle
add chain=forward src-address=x.MYLAN-IPS.x/x action=mark-connection new-connection-mark=all-cons-up passthrough=yes comment="" disabled=no
add chain=forward dst-address=x.MYLAN-IPS.x/x action=mark-connection new-connection-mark=all-cons-down passthrough=yes comment="" disabled=no

А вот теперь маркируешь пакеты.

/ ip firewall mangle
add chain=forward src-address=ТВОЙ IP dst-address=IP Mikrotika dst-port=8291 connection-mark=all-cons-up action=mark-packet new-packet-mark=MY-MIKROTIK-Connect passthrough=no comment="" disabled=no



duh_S да, умеет. Например вот так _http://www.mikrotik.com/testdocs/ros/2.9/ip/route.php или _http://wiki.mikrotik.com/wiki/Load_Balancing

quickgen да спасибо, ток не втыкаю почему сеть не пашет, весь роутинг прописал... и стати пинг с сервака не пашет, с клиента всё ок...
впринципи осталось сделать переадресацию для дц, для торента и усё )

Smito пинг с микротика пахать и не будет, потому что дефаулт роут для него
10.10.91.1! Зато трафик клиентов идет на шлюз 172.16.1.1 поэтому и пинг есть.

Прими к сведению одну аксиому - чем меньше правил в цепочке, тем меньше нагрузка на процессор и тем больше пропускная способность.

Чтобы не городить такие "маштабные" таблицы рутинга, можешь сделать все через address-list фаервола:

Например создаешь адрес-лист с названием 91.1-routes и помещаешь туда все твои ипшники. Создаешь еще один адрес-лист и называешь его например client-ips, помещаешь туда клиентский диапазон(192.168.1.0/24).

Далее по типу ранее созданных правил делаешь следующее:

/ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=91.1-routes action=mark-routing new-routing-mark=91.1-routes passthrough=no comment="91.1-routes" disabled=no

Поместить это правило надо обязательно выше чем уже созданное.

А вот тебе на замену того самого первого созданного правила другое:

/ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=!91.1-routes action=mark-routing new-routing-mark=vpn-routes passthrough=no comment="vpn-routes" disabled=no

Заметь обязательно знак инверсии тут - dst-address-list=!91.1-routes
Фактически это правило означает следующее - Все клиентские соединения которые НЕ НАХОДЯТСЯ в списке 91.1-routes идут по такому-то(в /ip routes уже указываешь) маршруту.

Ну и замаскарадить тоже надо это дело:

/ip firewall nat add chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat to-addresses=172.16.91.41 disabled=no
/ip firewall nat add chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat to-addresses=10.10.91.41 disabled=no

Далее в /ip routes у тебя будут всего-лишь три правила(один дефолтовый для маршрутизатора, 2 клиентских с метками), вместо твоих 20 =)

Пробуй =)

спасибо попробую, впринципи можна на клиентах вбить сам роутинг если что...

Приветствую форумчан! Люди у меня такая проблема! Есть сеть, в которой часть клиентов на кабеле, часть на WI-FI. На микротике поднят ВПН. Клиенты сидящие на кабеле, подключаются по ВПН без проблем, а вот тем, кто на радио-канале сидит пишется ошибка 800 "не возможно соединиться с сервером..." и тд. Может у кого подобная проблема возникала? Как решить?

ZloiLexa
Исчерпывающая информация

2All:

Столкнулся с вопросом - как раздать статические маршруты в DHCP Options. В мануале ничего. Из спецификации я мало что понял, нашел тока более менее вменяемое описалово но для циски.

Надоумте как это сделать в МТ?

В моем случае нужно раздать по одному маршруту для каждой сети:

route 192.168.32.0/24 192.168.34.220
route 192.168.34.0/24 192.168.32.220

Fader
я действовал по такому описанию
http://www.opennet.ru/openforum/vsluhforumID6/8569.html
вот такой код
[admin@MT] /ip dhcp-server option> p
# NAME CODE VALUE
0 option1 249 0x15ACAC00A8A8A8A8

+ разрешил в нетворк применение этой опции
у юзера ХР - появился маршрут
172.172.0.0 255.255.248.0 168.168.168.168

преобразование в шестнадцатиричную систему
http://chxo.com/scripts/hex2string.php

З.Ы. У меня стоит версия 3.3

to: Fader
Вы мне скажите какую информацию нужно дать. Юзаю микротик всего неделю, так что я полный чайник в этом вопросе. Уж извините.

Привет всем, нужна помощь с Queues, вожусь с им уже месяц, делаю по мануалу http://www.x-drivers.ru/content/view/541/53/ всё нормально работает кроме параметра limit-at.
А вчасности не загорается желтым при привышении этого порога, загорается желтым только когда скорость составляет больше 50% от парога max-limit.
Помогите разобраться пожалуйста!

ZloiLexa
Те кто на радиоканале - действительно роутер видят? Пингуют его?

Dmitry_Kerby
на выходе получилось так:

Но не заработало, к сожалению. ver. 2.9.27

Fader
Конечно видят. Они ходят в инет напрямую без ВПН.
Немного проясню ситуацию.
Изначально в сетке стоял сервак, через который народ гулял в инет. Неделю назад поставил роутер и запустил народ через него. После этого занялся пере подключением клиентов на ВПН, но столкнулся с проблемой описанной выше.

Fader а ты в /dhcp-server network выбрал эту опцию?

SVNa limit-at это гарантированная скорость. Этот параметр надо задать. Вот отрывок из мануала, где ясно сказано что желтым класс станет когда скорость будет !выше! параматра limit-at и равно или меньше чем max-limit.


_http://www.mikrotik.com/testdocs/ros/3.0/qos/queue.php

Each HTB class can be in one of 3 states, depending on data rate that it consumes:
green - a class the actual rate of which is equal or less than limit-at. At this state, the class is attached to self slot at the corresponding priority at its level, and is allowed to satisfy its CIR limitation regardless of what limitations its parents have. For example, if we have a leaf class with limit-at=512000 and its parent has max-limit=limit-at=128000, the class will still get its 512kbps! All CIRs of a particular level are satisfied before all MIRs of the same level and any limitations of higher levels.
yellow - a class the actual rate of which is greater than limit-at and equal or less than max-limit (or burst-limit if burst is active). At this state, the class is attached to the inner slot of the corresponding priority of its parent's inner feed, which, in turn, may be attached to either its parent's inner slot of the same priority (in case the parent is also yellow), or to its own level self slot of the same priority (in case the parent is green). Upon the transition to this state, the class 'disconnects' from self feed of its level, and 'connects' to its parent's inner feed.
red - a class the actual rate of which exceeds max-limit (or burst-limit if burst is active). This class cannot borrow rate from its parent class.

quickgen

Цитата:

Fader а ты в /dhcp-server network выбрал эту опцию?

Разумеется