» MikroTik RouterOS

quickgen
А вот тебе на замену того самого первого созданного правила другое:

/ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=!91.1-routes action=mark-routing new-routing-mark=vpn-routes passthrough=no comment="vpn-routes" disabled=no
если удалить то правило, то перестаёт инет работать, если не удалять, то вроде роутинг работает, впринципи всё работает.. но что то мне кажеться я сделал не так
ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.1.0.0/24 10.1.0.215 wds
1 ADC 10.10.91.0/24 10.10.91.41 inet
2 ADC 172.16.1.1/32 172.16.91.41 vpn
3 ADC 192.168.1.0/24 192.168.1.20 wds
4 A S 0.0.0.0/0 r 10.10.91.1 inet
5 A S 0.0.0.0/0 r 172.16.1.1 vpn

Fader Сам когда-то пытался отключить нетбиос на клиентах, так и не получилось. Может в VMWare установишь "тройку" и попробуешь? Там в changelog у них есть подозрительные записи о коректировке DHCP опций =))


Добавлено:
Smito должно быть 3 шлюза. 2 с метками и один без метки(это шлюз по умолчанию для Mikrotika). С маскарадингом может не так разрулил?
Трудно сказать. Дай все секций на осмотр.

quickgen
Гы. Смысл ставить тройку, пусть даже виртуалкой если к ней пока нет лекарства?

ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=!set` action=masquerade

1 chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=172.16.91.41
to-ports=0-65535

2 chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat
to-addresses=172.16.91.41 to-ports=0-65535

3 chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat
to-addresses=10.10.91.41 to-ports=0-65535

4 chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat
to-addresses=172.16.91.41 to-ports=0-65535

5 chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat
to-addresses=10.10.91.41 to-ports=0-65535

Fader смысл в том что ты сможешь протестировать если фича точно работает на "неисправленной" версии софта. Если заработает, проверить на "исправленной". Ну тут уже можно будет сделать однозначный вывод =)


Добавлено:
Smito в нате должно быть только 2 правила:

0 chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat
to-addresses=10.10.91.41 to-ports=0-65535

1 chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat
to-addresses=172.16.91.41 to-ports=0-65535

Все остальное удаляй.

В мангле должно быть опять же только 2 правила:

91.1-routes и vpn-routes. Именно в этой последовательности.

В рутах должно быть 3 шлюза. 2 с метками и один без метки(это шлюз по умолчанию для Mikrotika)

Вроде все.
Фаервол на время манипуляций выруби, если все заработает как надо, врубишь обратно.
Делай эти операции локально чтобы не потерять конект случайно.

эм чёт я запутался, оставил два правила в нате, мангле тоже два, всё работает... но в итоге один шлюз 10,10,91,1, висит под неизвестным интерфейсом 172.16.1.1, и то я его тоже отключил... в итоге всеравно работает
ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.1.0.0/24 10.1.0.215 wds
1 ADC 10.10.91.0/24 10.10.91.41 inet
2 ADC 172.16.1.1/32 172.16.91.41 vpn
3 ADC 192.168.1.0/24 192.168.1.20 wds
4 A S 0.0.0.0/0 r 10.10.91.1 inet

Smito работает потому-что пакеты натятся под правильный ипшник и соответственно идут на правильный интерфейс. Если ты изменишь очередность или добавишь другие правила в нат или в мангл, ситуация может круто измениться. Так что лучше жестко привяжи, а то потом будешь долго искать где собака зарылась =)

Цитата:

quickgen

последний вопрос, покапавшись, я примерно нашёл куда вбивать переадресацию, но слишком много мне неизвестных переменых,
как допустим сделать переадресацию 4587 порта на 192,168,1,11 ип?

Smito
/ip firewall nat add chain=dstnat protocol=tcp dst-port=4587 action=dst-nat to-addresses=192.168.1.11 to-ports=4587 comment="" disabled=no

При этом ты можешь dst-port=4587 указать и другой. Конект пойдет на него а потом переадресуется на 192.168.1.11:4587

спасибо огромное за всё!, с меня пиво

Цитата:

При этом ты можешь dst-port=4587 указать и другой.

ну эт понятно

Цитата:

Fader а ты в /dhcp-server network выбрал эту опцию?

SVNa limit-at это гарантированная скорость. Этот параметр надо задать. Вот отрывок из мануала, где ясно сказано что желтым класс станет когда скорость будет !выше! параматра limit-at и равно или меньше чем max-limit.

Это мне полностью понятно, вся загвоздка в том что какой бы я не задал параметр в limit-at
желтым становится только при загрузке 50% от max-limit.
пример:
limit-at 128к max-limit 1024к, класс загружен на на 300к кокой цвет у класса должен быть?
если я правильно понял то желтый, а он зеленый. Но как только класс превысит порог 512 становиться желтый.


лицензия 4, версия 3.6.

Народ случился со мной такой случай. Пропал линк на удаленный модем (соединение через "голубые коробочки"), решил проверить работу бокса, попробовал сменить адрес внешнего интерфейса с ХХХ.ХХХ.1.2 на ХХХ.ХХХ.77.112, чтобы пингануть блюбокс - результата никакого не получил (видимо что-то сделал не так). Вернул прежний адрес внешнему интерфейсу и у меня пропал из таблицы ARP адрес модема ХХХ.ХХХ.1.1 На попытку пинговать его с роутера получаю таймауты в перемешку с "ответ с ХХХ.ХХХ.1.2: host unreachable", что в переводе "заданый узел недоступен". Отсюда вопросы:
1. где я мог накосячить и как это лечить?
2. как сбросить роутер в заводские настройки? (т.к. мне сказали, что девайс завис и его нужно перенастраивать, хотя кроме смены адресов я ничего не делал - reboot не помогает)
3. может ли проблема скрываться в модеме, который тупо вырубился?
4. что можете посоветовать в данной ситуации?

блин, сделал переадресацию tcp и udp порта для дц, и толку ноль... поиск не работает всеравно, хм навскидку в чём может быть причина? впринципи я её сам знаю, не работает проброс tcp порта, но вот почему, хз

По поводу моего вопроса. Разобрался сам.

чёж тут поиска то нету ((, никак не могу втыкнуть как сделать порт мапинг для торента, чёж тут всё так мудрённо то ((..

Цитата:

чёж тут поиска то нету ((, никак не могу втыкнуть как сделать порт мапинг для торента, чёж тут всё так мудрённо то ((..

Идем по ссылке в шапке, а точнее
hxxp://pcrouter.ru/ipb/index.php?showtopic=54

ребята, такой вопрос:
есть adsl модем, настроенный роутером с ip 192.168.1.1 и компик под микротиком с 2-мя интерфейсами:
ether1 - локалка, ip 172.16.5.254/24
ether2 - тоже локалка, но с ip 192.168.1.2/24
default route 192.168.1.1
модем подключен в свич, оба интерфейса на микротике - тудаже. на клиентской машине (под winxp) ip 172.16.5.1/24 шлюз и днс - 172.16.5.254. на модеме фильтруются все пакеты, кроме как от 192.168.1.2
по умолчанию винда сокращает маршрут и сразу пересылает макеты на 192.168.1.1, это лечиться принудительным приписыванием маршрутов на клиентской машине. в случае с 1 компом, эт не проблема, но настраивать так ~2 десятка - охоты нет. можно ли как-то средствами микротика заставить винь посылать пакеты через 172.16.5.254 не сокращая маршрут?

Добавлено:
проще говоря:
как средствами микротика интернет-трафик пропускать через микротик
172.16.5.x---->172.16.5.254--->192.168.1.2--->192.168.1.1---->Internet
а не
172.16.5.x---->192.168.1.1--->Internet
??

m0ps Зачем такие извраты? Если они все в одном свиче, какой толк с разной адресации?

1.Установи 3-й интерфейс на микротике. Дай ему IP 192.168.1.2 Шлюз по умолчанию оставь 192.168.1.1
Воткни напрямую в модем.
2. 172.16.5.0/24 оставь как есть.
3. Добавь еще диапазон на второй интерфейс, например 172.16.10.0/24
4. В нате ставь action=masquerade .
5. Настрой DHCP и администрирование станет намного легче и удобней.

quickgen
дело в том, что модем и роутер физически находятся в разных местах здания, и возможности установить их рядом пока нет. планируется покупка лицензии, и для того, что бы решить стоит или нет - решил пока попробовать в таком виде.
я понимаю, что получается изврат, но по другому без финансовых вложений не получится (а поскольку делаю не дома, а на работе, то денюжки на ветер начальство бросать не хо).
при прямом подключении проблем возникнуть, но в данном случае возникают проблемы с маршрутизацией.

вообщем насколько я знаю - то роутер может рассылать широковещательные пакеты, которые содержат данные о маршрутизации. собственно и интересует как это настроить.

m0ps Попробуй то что я предложил.

quickgen

Цитата:

Воткни напрямую в модем.

этого я сделать не могу, если мржно было подключить на прямую, я бы не заморачивался так.

m0ps Ну тогда не втыкай на прямую. Бросай все через свич. Поставь 3 карточки и с указанными гейтвэями на клиентах все должно работать правильно, без всяких дополнительных рутов.

quickgen
ладно, тогда такой вопрос:
зачем мне 3 карточки? одна 172,16,5,254/24 - эт понятно - локалка, 192,168,1,2/24 - эт для модема, а зачем еще 172,16,10,0/24

m0ps ты ведь написал что у тебя 2 локалки? =) Вот я тебе и посоветовал еще один интерфейс. А если у тебя только 172.16.5.0/24 сеть - то есстественно 3-я карточка тебе не нужна =)

Имею 2 интерфейса в инет и 1 в локаль
скорость инета объединил - все норма
Но вот проблема:
Чато вылетает ICQ , порой прерывается закачка файлов(редко), часто вылетает из онлайн игр - WOW, DOTA - дисконектит через каждые 15-30 мин
Не подскажете как решить данную проблемку?

mukas мало информации. Подробнее. Особенно как делается разруливание каналов и руты.

подключили вот по такой схеме:
* PC+карточка Ubiquti в режиме ap bridge (RouterOS 3.6) - клиент RB133 в режиме station (RouterOS 2.9.5).
* PC включён через ether в свич
* RB133 включён через ether в ноутбук
* на PC и RB133 настроен bridge между интерфейсами eth и wlan

проблема: ноутбук не может получить ip адрес по DHCP со свича (в кот. включен DHCP сервер). DHCP request уходит от ноутбука и доходит до DHCP сервера, но ответ от сервера не доходит до ноутбука.

вопрос: где, что нужно прописать, чтобы ноутбук смог получить адрес?

DHCP с лёгкостью проходит при схеме ap в режиме bridge, а клиент в режиме wds-station. но мне не совсем понятен режим работы. вернее, что такое wds я знаю, но как он реализован в Микротике не понимаю. не пострадает ли от этого общая пропускная способность базовой станции? и в чём отличие двух схем подключения(ap bridge-station и bridge-wds-station)? как будет вести себя клиент в режиме wds-station(будет ли работать с одной базовой или искать лучшую по сигналу)?

и попутный вопрос: при схеме подключения bridge-wds-station у клиента максимальный upload - 10Мбит, download - 22Мбит, одновременный upload/download - 2-3Мбит/15-18Мбит. загрузка проца у клиента при этом 95-100%, у базы - 25-30%. и собственно вопрос: почему такой низкий upload?

Привет! Прошу у вас помощи! Помогите пожалуйста!
У меня микротик 2.9.50 и локалка на 100компов, инет эсть только у 20компов, авторизация идёт по МАС и ІР, только остальные меняют себе мак и айпишку и пользуютса шаровым нетом, пожалуйста подскажите как предовратить ето, может пароли както можно поставить и как ето зделать! Зарание большое спасибо

vanjalupak
Проще всего поднять VPN. Можно еще поднять RADIUS.

vanjalupak PPPoE+привязка по маку(caller-id). Режим карты которая смотрит в Локальную сеть arp=reply-only. И не забыть удалить IP с лан интерфейса.