Все со своим вопросом я разобрался - свичи подвисли по трассе. Перезагруз решил мой проблем.
» MikroTik RouterOS
А вот на мой вопрос видно некому ответить 
у меня снова вопрос, относящийся к извечным - сделать минимальные пинги до игровых серверов. чем больше вопросом занимаюсь, тем больше непонятного... как настраивать PCQ очереди для наилучшего пинга?
стоит ли очереди для игрушек разбивать по адресам только, как тут:
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
Или указывать адрес назначения и порт? как они будут разбиваться? кто как сделал для игрушек?
стоит ли очереди для игрушек разбивать по адресам только, как тут:
/queue type add name=pcq-download kind=pcq pcq-classifier=dst-address
/queue type add name=pcq-upload kind=pcq pcq-classifier=src-address
Или указывать адрес назначения и порт? как они будут разбиваться? кто как сделал для игрушек?
Извините за блондинистый вопрос. Но всёже. Задача состоит вот в чём:
Настроил клиентское подключение ВПН к провайдеру. Походу работает. Но вот в чём. Не пингует интернет. Тока нашу внутренюю сеть. (КПИ)
Второй вопрос. Надо создать сервер ВПН. Что бы ко мне люди подключались через впн. Тут вообще косяк. Не могу разобратся(((
И короче всё ето надо связать. помогите.
Сервак имеет ИП 10.112.2.60 статика но раздает его DHCP.
Есть подключение по впн к серваку 10.112.4.5
И надо сделать так что к моему серваку люди могли подключится по ВПН и юзать инет. Привязка МАС ну или ип.
Настроил клиентское подключение ВПН к провайдеру. Походу работает. Но вот в чём. Не пингует интернет. Тока нашу внутренюю сеть. (КПИ)
Второй вопрос. Надо создать сервер ВПН. Что бы ко мне люди подключались через впн. Тут вообще косяк. Не могу разобратся(((
И короче всё ето надо связать. помогите.
Сервак имеет ИП 10.112.2.60 статика но раздает его DHCP.
Есть подключение по впн к серваку 10.112.4.5
И надо сделать так что к моему серваку люди могли подключится по ВПН и юзать инет. Привязка МАС ну или ип.
Цитата:
Не пингует интернет
наверное, /firewall nat add chain=srcnat out-interface=public action=masquerade
Цитата:
Надо создать сервер ВПН
http://www.mikrotik.com/testdocs/ros/3.0/vpn/pptp_content.php#.4
напишите пожайлуста по пунктам....
А то нифига не получаеться с маршрутами да и впн типа пытаеться подключаться, но пишет что имя такое не допустимо(
А то нифига не получаеться с маршрутами да и впн типа пытаеться подключаться, но пишет что имя такое не допустимо(
UP
что с маршрутами? имя недопустимо - где ведётся авторизация пользователей? на микротике, или может через RADIUS?.. что в логах пишет?
Вот в чём задача. Есть провайдер - подключение по ВПН. И надо создать ВПН сервер на микротике, чтобы люди могли к нему подключаться и юзать инет. Микротик к стати 2,9,27.
Проблема в том что я не могу никак разобратся как создать етот пресловутый сервер ВПН. Хотя люди могут попытаться подключится, но не до конца. Не пускает, типа ошибка 691.
И как мне юзеров добавлять, вести за нимим учёт, ограничение трафика там....
Ай нид хелп))
Проблема в том что я не могу никак разобратся как создать етот пресловутый сервер ВПН. Хотя люди могут попытаться подключится, но не до конца. Не пускает, типа ошибка 691.
И как мне юзеров добавлять, вести за нимим учёт, ограничение трафика там....
Ай нид хелп))
Цитата:
Не пускает, типа ошибка 691
хм... а люди под какими именами/паролями подключаются, если ты даже не знаешь, как их добавлять? (O_o)
Цитата:
И как мне юзеров добавлять, вести за нимим учёт, ограничение трафика там....
либо встроенный UserManager, либо отдельный RADIUS, на котором будет установлен биллинг. например, freeradius на линухе, с чем-нить вроде nibs наверху
Цитата:
либо встроенный UserManager, либо отдельный RADIUS, на котором будет установлен биллинг. например, freeradius на линухе, с чем-нить вроде nibs наверху
А вот об етом по подробней))
Спасибо за помощь с предыдущим вопросом 
Но вот у меня возник ещё один
Какое правило надо создать, что бы запретить доступ определённому ИП на все ИП, кроме "из списка" ?
Но вот у меня возник ещё один
Какое правило надо создать, что бы запретить доступ определённому ИП на все ИП, кроме "из списка" ?
up
kacherkpi
www.google.com в помощь. freeradius + freenibs
www.google.com в помощь. freeradius + freenibs
Народ, помогите!
Который день бьюсь не могу настроить VPN (PPTP или L2TP), рвется коннект через 10-20 сек. В сети инфы по этому очень мало, да што там ее вообще нема, а что есть - нежизнеспособна.
Микротик - клиент VPN, сам тунель дает пров, адрес региональной сети - тоже он по DHCP.
Картинка следующая.
1. загрузка ОС, итнерфейсы local, public
2. получаю с public по DHCP свой ип 10.216.10.5, dns, gateway
3. для интерфейса vpn-pptp поднимаю pptp поверх public, получаю внешний ип 89.179.60.10, dns, gateway
(в свойствах DHCP и PPTP стоят галки add def route и add def dns)
4. далее: с public прут пакеты TCP(ACK,FIN,PSH) c порта 1723 (сервер прова)...
и все заканчивается terminating... disconnected
и опять по новой...
Вопрос: как ПРАВИЛЬНО (т.е. не банально разрешить все всем) указать правила в Filter Rules input/outpot что-бы держалось vpn (для pptp и l2tp) ?
В output есть правила (упрощенно):
для pptp:
accept out_if=public out_port=1723 prot=tcp
accept out_if=public out_port=1723 prot=gre
accept out_if=vpn-pptp out_port=1723 prot=tcp
для l2tp:
accept out_if=public out_port=1701 prot=tcp
accept out_if=public out_port=1701 prot=udp
accept out_if=vpn-l2tp out_port=1701 prot=tcp
accept out_if=vpn-l2tp out_port=1701 prot=udp
...
drop all
В input стоят штатные правила:
allow esatblished connections для public/pptp/l2tp
allow related connections для public/pptp/l2tp
...
drop all
В nat:
masquerade srcnat out_if=public
т.е. специальных правил для pptp/l2tp в input нет, т.к. не уверен что правильно указывать правило типа "разрешить tcp c ип прова", т.к. запросто можно нарваться на спуф.
По идее должны срабатывать правила established/related, ан нет.
ОС чистая после установки, timeout в connections по дефолту, arp на public разрешен.
с mtu,mru уже игрался, непомогает.
если поднять PPoE на этой же конфе (с добавлением соотв. правил), то все пашет, правда это уже другой пров, у него vpn нету
помогите, очень прошу
Который день бьюсь не могу настроить VPN (PPTP или L2TP), рвется коннект через 10-20 сек. В сети инфы по этому очень мало, да што там ее вообще нема, а что есть - нежизнеспособна.
Микротик - клиент VPN, сам тунель дает пров, адрес региональной сети - тоже он по DHCP.
Картинка следующая.
1. загрузка ОС, итнерфейсы local, public
2. получаю с public по DHCP свой ип 10.216.10.5, dns, gateway
3. для интерфейса vpn-pptp поднимаю pptp поверх public, получаю внешний ип 89.179.60.10, dns, gateway
(в свойствах DHCP и PPTP стоят галки add def route и add def dns)
4. далее: с public прут пакеты TCP(ACK,FIN,PSH) c порта 1723 (сервер прова)...
и все заканчивается terminating... disconnected
и опять по новой...
Вопрос: как ПРАВИЛЬНО (т.е. не банально разрешить все всем) указать правила в Filter Rules input/outpot что-бы держалось vpn (для pptp и l2tp) ?
В output есть правила (упрощенно):
для pptp:
accept out_if=public out_port=1723 prot=tcp
accept out_if=public out_port=1723 prot=gre
accept out_if=vpn-pptp out_port=1723 prot=tcp
для l2tp:
accept out_if=public out_port=1701 prot=tcp
accept out_if=public out_port=1701 prot=udp
accept out_if=vpn-l2tp out_port=1701 prot=tcp
accept out_if=vpn-l2tp out_port=1701 prot=udp
...
drop all
В input стоят штатные правила:
allow esatblished connections для public/pptp/l2tp
allow related connections для public/pptp/l2tp
...
drop all
В nat:
masquerade srcnat out_if=public
т.е. специальных правил для pptp/l2tp в input нет, т.к. не уверен что правильно указывать правило типа "разрешить tcp c ип прова", т.к. запросто можно нарваться на спуф.
По идее должны срабатывать правила established/related, ан нет.
ОС чистая после установки, timeout в connections по дефолту, arp на public разрешен.
с mtu,mru уже игрался, непомогает.
если поднять PPoE на этой же конфе (с добавлением соотв. правил), то все пашет, правда это уже другой пров, у него vpn нету
помогите, очень прошу
ЗДравия всем, пользователям Микротика. Столкнулся с извечной проблемы "Балансировка нескольких каналов интернет" или "Объединение нескольких каналов в один".
Система: Mikrotik v2.9.27
Каналы: 2 PPPOE через 2 модема в режиме Bridge (одинаковый адрес шлюза провайдера у обоих).
Не могу решить проблему маршрутизации на эти два соединения. Есть конечно вариант использовать модемы как шлюзы и раскидывать маркированный траффик на них статическими маршрутами, но в этом случае придеться поднимать Socks & Proxy, чего бы не хотелось.
Как я понял, проблема состоит с динамическими роутами. Поясню подробнее. Например, после подключения любого из выбранного соединения(в свойствах отмечена опция default route), в route list появляются 2 динамических маршрута.
Destionation Gateway Pref.Source Distance Interface Routing Mark
Система: Mikrotik v2.9.27
Каналы: 2 PPPOE через 2 модема в режиме Bridge (одинаковый адрес шлюза провайдера у обоих).
Не могу решить проблему маршрутизации на эти два соединения. Есть конечно вариант использовать модемы как шлюзы и раскидывать маркированный траффик на них статическими маршрутами, но в этом случае придеться поднимать Socks & Proxy, чего бы не хотелось.
Как я понял, проблема состоит с динамическими роутами. Поясню подробнее. Например, после подключения любого из выбранного соединения(в свойствах отмечена опция default route), в route list появляются 2 динамических маршрута.
Destionation Gateway Pref.Source Distance Interface Routing Mark
spiderfuck
маршрутизация по интерфейсу, а не по IP, появилась в третьей версии Мелкотика. обновляемся если не хотим обновляться - то юзаем две машины с Мелкотиками
маршрутизация по интерфейсу, а не по IP, появилась в третьей версии Мелкотика. обновляемся
если не хотим обновляться - то юзаем две машины с Мелкотикамимой вопрос настолько сложен, что никто не может ответить ?
Stupido
/ip firewall add chain=forward src-ip=блокируемый_адрес dst-address-list=!разрешённый_список action=reject/drop
/ip firewall add chain=forward src-ip=блокируемый_адрес dst-address-list=!разрешённый_список action=reject/drop
Chupaka
примерно так и делал, но что то не заработало. В прочем, и пример тоже не работает, пишет
no such command or directory (chain)
и даже если исправить src-ip на scr-address - всё равно так же ошибка. Помоему что то с action не совсем проходит. Как исправить ?
примерно так и делал, но что то не заработало. В прочем, и пример тоже не работает, пишет
no such command or directory (chain)
и даже если исправить src-ip на scr-address - всё равно так же ошибка. Помоему что то с action не совсем проходит. Как исправить ?
Stupido
/ip firewall filter add chain=forward src-address=блокируемый_адрес dst-address-list=!разрешённый_список action=reject/drop
/ip firewall filter add chain=forward src-address=блокируемый_адрес dst-address-list=!разрешённый_список action=reject/drop
Аналогичный вопрос - как настроить 2 интерфейса, чтобы они находились в одной подсети, но можно было фильтровать траффик с одного интерфейса на другой? rb450, MikroTik 3.10
altshift
ошибка поменялась, но от этого работать всё равно не стало
input does not match any value of action
/ip firewall filter add chain=forward src-address=10.0.1.8 dst-address-list=!Clear_IP action=reject/drop
HELP! SOS!!!
ошибка поменялась, но от этого работать всё равно не стало
input does not match any value of action
/ip firewall filter add chain=forward src-address=10.0.1.8 dst-address-list=!Clear_IP action=reject/drop
HELP! SOS!!!
Stupido
Выбери нужное тебе действие, либо reject, либо drop
Выбери нужное тебе действие, либо reject, либо drop
altshift
drop использовал, знаю. А reject - что даёт ? там ещё выбор появляется, если reject брать.
icmp admin prohibited
tcp reset
и т.д. и т.п.
это варианты ошибок ?
drop использовал, знаю. А reject - что даёт ? там ещё выбор появляется, если reject брать.
icmp admin prohibited
tcp reset
и т.д. и т.п.
это варианты ошибок ?
Stupido
Да.
reject, в отличие от drop, возвращает сообщение с причиной отклонения пакета.
Да.
reject, в отличие от drop, возвращает сообщение с причиной отклонения пакета.
altshift
ясно. Спасибо! Буду экспериментировать
ясно. Спасибо! Буду экспериментировать
Цитата:
как настроить 2 интерфейса, чтобы они находились в одной подсети, но можно было фильтровать траффик с одного интерфейса на другой?
дык бридж создать между двумя интерфейсами... и потом либо фильтром бриджа фильтровать, либо в настройках бриджей выставить галочку "Use IP Firewall" - и фильтровать бридж в /ip firewall
Chupaka
Big Thanks! Работает!
Big Thanks! Работает!
День добрый, знатоки Микротиков.
Появился вопрос, перерыл инет но пока ответ не нашёл.
Дело в том, ЧТО В ДАННЫЙ МОМЕНТ В СЕТИ ведётся статистика на iptables (ULOG) и параллельно через IP accounting.
За одни сутки в среднем трафик составляет 120 Гб(ULOG), причем IP аккаунтинг показыват 116 Гб.
Система снятия snapshot'ов с /ip accounting , какие пакеты она считает, учитывается ли длина заголовков пакетов или нет?
Какие порты считает, какие нет ... в общем интересны внутренности ip accounting.
+/- данной системы учёта трафика.
Появился вопрос, перерыл инет но пока ответ не нашёл.
Дело в том, ЧТО В ДАННЫЙ МОМЕНТ В СЕТИ ведётся статистика на iptables (ULOG) и параллельно через IP accounting.
За одни сутки в среднем трафик составляет 120 Гб(ULOG), причем IP аккаунтинг показыват 116 Гб.
Система снятия snapshot'ов с /ip accounting , какие пакеты она считает, учитывается ли длина заголовков пакетов или нет?
Какие порты считает, какие нет ... в общем интересны внутренности ip accounting.
+/- данной системы учёта трафика.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071
Предыдущая тема: Реестр пользователя domin\user был сохранен в то время,
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.