» MikroTik RouterOS

ValeriyZ Именно через редирект порта работает "Transparent Proxy" на микротике и я это проделывал стандартно не один раз. Почитай сам http://www.mikrotik.com/testdocs/ros/2.9/ip/webproxy_content.php#7.53.7
И кстати я сейчас говорю о PPTP сервере на Микротике.

А клиент опции изменения порта не имеет.

Можно попробовать промаркировать в цепочке output пакеты с микротика на порт 1723 и направить с помощью dst-nat на нужный сервер и нужный порт.

Цитата:

И кстати я сейчас говорю о PPTP сервере на Микротике.

Да тут Вы правы. Создаю ВПН сервер на МИкротике, делаю на него коннект по ВПН от юзера где ВПН работает на 1015 и все работает. Тоесть то что Вы написали это работает для ВПН сервера (кода микротик сервером), а мне нужно чтоб микротик был ВПН клиентом.

Я вчера все эксперименты проводил как на клиенте.

Подскажите пожалуйста как прописать.

Цитата:

а мне нужно чтоб микротик был ВПН клиентом.

Я вчера все эксперименты проводил как на клиенте.

Подскажите пожалуйста как прописать.

пока никак. настроек у него таких нет, а dst-nat в output chain не работает. но можно, например, поставить второй мелкотик (даже виртуальный - начиная с версии 3.11), который будет заниматься редиректом подключения первого мелкотика. или написать в саппорт с просьбой сделать возможность выбирать порт - чем чёрт не шутит, я вот за несколько дней выбил из них персылку DHCP Option82 на RADIUS =)

ребят облазился уже везде, никак немогу найти команду для смены мака для сетевухи, был бы оч. благодарен

Smito есть такая тема недокументированная =)

/interface ethernet set ИмяСетевухи mac-address=XX:XX:XX:XX:XX:XX

quickgen
дада в какой раз уже выручаешь, именно она, спс, но уже методым тыка сам разобрался

здравствуйте!
есть микротик 2.9.27
интерфейс внутренний и внешний
поднят ip proxy
правила:
chain=sanity-check protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no
chain=sanity-check protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no
для ограничения количества сессий.
НО - как только начинает правило работать начинаются жуткие тормоза загрузки страниц и отвалы по таймаутам. канал огромный. При отключении правила - все грузится влет, но коннектов одновременных - много. Мое предположение - долго висят коннекты. Может в этом дело? как победить?

Цитата:

как победить?

для начала попробовать на более новой версии - 2.9.27 кривовата в некоторых аспектах. для начала на троечке бы протестить

А что, троечка решает эту проблему, может сетевые поменять на более производительные типа 3COM?

сетевые intel pro 1000mt server. Конечно, можно поменять на 3com, но, думаю, это проблему не решит.

terset скорее всего у тебя проблема в правилах. Приведи полность правила из:

/ip firewall filter
/ip firewall mangle
/ip firewall nat
/ip firewall address-list

Троечку оставьте в покое - она недоделанная и работает хуже 2-ки, при тех же конфигурациях. У меня тройка 6-го левела.

"работает хуже" - в чём? так сказать может любой

если хотите померяться пиписьками - то у меня тройка шестого уровня и 14 штук четвёртого... с двойкой сравнить трудно - некоторых фишек в ней просто нет. чего стоит гейтвей по интерфейсу, а не по IP... а доработка DHCP-сервера под мои нужды? в 2.9.27 такого никогда не будет

Vornicescu, а по поводу тройки в варезнике - тут вам не варезник, поэтому претензии необоснованные

terset, коннектов одновременных много - от каждого юзера? что творится в DoS_black_list, со счётчиками правил?

Chupaka пиписьками меряются дети в детском саду. Я ясно сказал что при тех же конфигурациях. PPPoE сервер - основная задача которая закладывалась при покупке 3-ки. 2-ка не справлялась с нагрузкой. Что 2-ка, что 3-ка имели одинаковый конфиг и работали на абсолютно одинаковом железе. 2-ка была стабильна месяцами до очередного отключения электричества на N-ое количество часов. А тройка перезагружалась каждый день. На ней висели 500 клиентов. Думаешь весело?

А суппорт проблему так и не решил. Думаешь я стал бы рисковать 500-ми клиентами?

Вот и дождались SMP и равномерного распределения нагрузки на процессоры.

Поэтому поставили две двойки и разделили по разным Вланам нагрузку. Работает бесперебойно вот уже который месяц.

А тройка работает DHCP сервером и Радиусом. Вот за это и отдали ХХХ баксов. Единственное что она делает правильно в отличии от 2-ки - это раздача маршрутов опцией 249 на виндоус клиенты. А установка Caller-ID для радиус клиентов из WEB-интерфейса до сих пор не реализована.

И каждый нароет парочку таких нюансов.

Пища для размышления.

тройка какой версии была? что-то не помню, чтобы на PPPoE на форуме жаловались в свете перезагрузки. там часом не использовался кэширующий прокси?

по поводу веб-интерфейса - а в двойке эта установка работает? и вообще саппорт отписывался, что они делают новую версию веб-интерфейса, ибо текущая - крайне урезана по возможностям

а вот DHCP - да. радиус у нас работает на отдельной машине, и в последней версии они-таки по нашей просьбе добавили пересылку с DHCP-сервера в радиус-запросе параметров Option 82, без чего нормально нельзя было сделать привязку пользователя к порту. вроде маленький нюанс, но для стратегии работы - весьма значительный

Chupaka я не буду проводит пару часов читая снова форум в поисках ответа, но навскидку пару тем:

http://forum.mikrotik.com/viewtopic.php?f=2&t=25567
http://forum.mikrotik.com/viewtopic.php?f=2&t=26079
http://forum.mikrotik.com/viewtopic.php?f=2&t=22640

и так далее...

Прокси не использовался. Версия микротика апгрейдилась безрезультатно начиная с 3.3 по 3.8 пока успешна не была снята с "производства".

В двойке для радиуса нету методов аутентификации chap, mschap, mschap2 - вроде как только PAP. Это автоматом снижает надобность в нем как таковом. Проще поднять фрирадиус с вебинтерфейсом или нетамс.

quickgen
правила стоят первыми, до них ничего не обрабатывается.
манглы смысла приводить нет, поскольку они только отображают протоколы у меня.
/ip firewall filter print
0 X ;;;
chain=forward protocol=tcp connection-limit=20,32 src-address-list=DoS_black_list action=tarpit comment="suppress DoS attack" disabled=no
1 X ;;;
chain=forward protocol=tcp connection-limit=30,32 action= add-src-to-address-list address-list=DoS_black_list address-list-timeout=1d comment="detect DoS attack" disabled=no


/ip firewall nat print
chain=srcnat action=masquerade out-interface=wan01

/ip firewall address-list print
D DoS_black_list мой ip

вариант с action=drop - результаты те же
вариант с версией 3.13- результат тот же

Как в домене роздавать по имени домена\пользователя интернет через прокси
Подскажите как это сделать*?

quickgen
в первой же теме:
http://forum.mikrotik.com/viewtopic.php?p=126300#p126300

terset
ммм... а где правило, которое, собственно, перекидывает в цепочку sanity-check?.. может, в нём всё дело?

Добавлено:
NewClass
привязаться к ActiveDirectory? не, Мелкотик такого не умеет - ставьте Kerio WinRoute какой-нить

Chupaka
исправил пост, сорри, скопировал не оттуда

если в правила добавить out-interface=public - результат тот же?

Цитата:

пока никак. настроек у него таких нет, а dst-nat в output chain не работает. но можно, например, поставить второй мелкотик (даже виртуальный - начиная с версии 3.11), который будет заниматься редиректом подключения первого мелкотика. или написать в саппорт с просьбой сделать возможность выбирать порт - чем чёрт не шутит, я вот за несколько дней выбил из них персылку DHCP Option82 на RADIUS =)

Написал. Сразу же ответили, что если хочешь менять порт для виртуальной сети то юзай OpenVPN, он поддерживается начиная с v3.

Нашел мануал настройки OpenVPN под Микротик http://wiki.mikrotik.com/wiki/OpenVPN
Но что-то не могу создать сертификат. В Винде ты получаешь реальные файлы, которые потом прописываешь в конфиге. А здесь как-то непонятно.

Некто не встречал приличный мануал дня настройки OpenVPN под Микротик можно просто создание сертификатов под Микротик. Желательно на Русском языке.

Chupaka
мне даже больше важно local интерфейс, поскольку ПО арендаторов/клиентов я не отслеживаю) И получается, что важны все интерфейсы.
На других форумах посоветовали следующее, что и проделал:
add chain=forward protocol=tcp connection-limit=30,32 src-address-list=lan dst-port=0-65535 tcp-flags=syn action=drop comment="DROP DoS attack" disabled=no
add chain=forward protocol=tcp connection-limit=20,32 src-address-list=lan src-port=0-65535 tcp-flags=syn action=accept comment="DROP DoS attack" disabled=no
все открывается нормально. Если ставить малые значения - 2,32, то ситуация аналогичная - страницы не догружаются.
вот что получил из службы поддержки по поводу tarpit:
Ответы на Ваши вопросы:

1) Net action=tarpit, ne stavit soedinenija v oceredj. Tarpit soobscajet
hostu, kotorij posilajet cto on otkril dlja nego soedinenie, hotja na samom
dele eti paketi "tiho" otbrasivajutsa.

в таком варианте второе правило даже излишнее. то, что при 2,32 не работает нормально - это нормально, браузер при открытии страницы может открывать несколько подключений к сайту

а что, собственно, пытаемся ограничить? это вопрос в свете
Цитата:

мне даже больше важно local интерфейс

Chupaka
да все просто, клиенты, арендаторы, которые пользуются p2p, torrent, закачки и т.д.

есть вопрос, раньше помню при режиме турбо г на wifi, можна было изменять частоты, шас при турбо г доступна лишь одна частота, почему?

terset
если они пользуются внешним интернет-каналом, то и блокировать их надо на out-interface=public

Smito
не забываем писать, какой версией пользуемся. в частности, "раньше" и "сейчас"

Chupaka
пардон, 2.9.27 левел 6, как поставил год назад микротик, так его и не трогал, но точно помню когда настраивал, при турбо была возможность менять каналы, чесно признаюсь версия крякнутая, подумываю купить лицензию, но всётки пока что это не вариант

Привет любителям Микротика! Народ у меня последнее время стала появляться такая трабла:
при конекте с винбокса на роутер открывается основное окно, но совершенно пустое, т.е. в фаерволе отсутствуют правила. Через некоторое время они начинают появляться и тут же появляется махонькое окошечко с надписью, что конект был прерван. Далее пробую прицепиться опять - другое окно с красным крестом, говорящее о таймауте. Дальнейшие попытки прицепиться к роутеру приводят только к окошку "router has been disconnect". Попробовал почистить хэш и прицепиться заново. Начались совсем интересные вещи - сменился порт конекта и в итоге я получил окошко с сообщением, что мой ник или пароль не правильны. Перезагрузил комп, но ситуация не изменилась. Пошел дальше. Подоткнул свич и поставил нотик (у него есть винбокс и разрешение на доступ к роутеру). Попробовал прицепиться к микротику с тем же именем и паролем - получилось, но увидел прежнюю картину, которую описал выше. Отсюда вопрос, как мне с этим бороться? Может кто посоветует чего?

какая версия? MAC WinBox ведёт себя так же? Telnet/MAC Telnet что говорит? интересует загрузка проца при этом...

Здравствуйте.
Подскажите пожалуйста какие настройки (routers + firewall) нужно указывать для нормальной работы в сети, где есть локальный трафик (достаточно получить адрес по DHCP) и интернет (VPN по L2TP или PPTP).
Не получается настроить, чтобы локальный трафик (10.*.*.*) шел в обход L2TP, а все остальное - через VPN). Как вообще правильно поднимать L2TP в этой ситуации?
В ступор вводит ище и тот факт, что до поднятия L2TP я получаю от DHCP одну пару DNS (DNS1 и DNS2), а после поднятия L2TP - другую (DNS3 и DNS4). Пров сказал, что так сделано в целях разгрузки. Можно ли в этом случае и DNS-ы разделить между локальным и интернет-пространством (т.е. что-бы не терять возможность обращаться и к DNS1-2 в случае падения L2TP)?

MikroTic 2.9.50 (NAT)
LAN: 192.168.0.0/16
WAN(DHCP): 10.0.0.0/8, DNS1,2
INTERNET(L2TP/PPTP): 89.*.*.* DNS3,4