» MikroTik RouterOS

Возникла проблема на пустом месте. Нужно на МТ поднять pptp на провайдера, казалось бы чего проще, но нет... Локальный адрес прописанный на интерфейсе на провайдера 10.106.229.x/21. Добавляю шлюз по умолчанию 0.0.0.0/0 10.106.224.1 Vpn сервер провайдера 79.171.1.1 Проверяю, vpn пингуется. При поднятии ppptp провайдер выдает мне адрес клиента 10.115.65.x и соответствующий адрес сервера опять же 79.171.1.1. При этом в таблице роутинга появляется динамическая запись вида ADS 79.171.1.1 10.115.65.x distance 0. При этом пинги на vpn прекращаются и pptp отваливается по таймауту. Проверял как это работает на винде. При поднятии vpn шлюзом становится 10,115,65,x, но в таблице роутинга появляются куча строк с различными метриками, но как мне это прикрутить к мт?

Пробовал добавлять в таблицу роутинга такую строку add comment="" disabled=no distance=1 dst-address=79.171.1.1/32 gateway=10.106.224.1 scope=\
30 target-scope=10
но при поднятии pptp с нее снимается флаг активности. Пинги на шлюз 10.106.224.1 сохраняются всегда.
Вот такая беда

Demon это называется петля. для того чтоб от нее избавиться, используй профили подключения. т.е. укажи в remote address свой айпи (виртуальный шлюз) на который потом сошлешся в правиле ната и форвардинга. Удачи!

Sandorik
Крайне признателен за внимание. Если есть возможность, чуть подробнее по моей проблеме. С натом потом разберемся, пропадает пинг на vpn и соединение рвется.

Demon создай профиль для подключения в профилях РРР и укажи для него remote address например 10.0.0.1. В самом подключении укажи этот профиль. А дальше используй этот адрес как шлюз в маршрутах. Т.е. 10.0.0.1 заменит 79.171.1.1 как бы виртуально. Удачи!

так никто ничего незнает по поводу IPTV, как его пропустить на сервак?
и ешё такой вопрос., можно но ли как нить организовать такую фичу
смысл тот чтобы людям которые лезут в инет, по определённым ИП, вместо того чтобы открывалась привычная страница допустим mail.ru
открывалась Что то вроде "Инет вырублен до тех пор пока не заплатишь"

и до тех пор пока я сам не выключи их из списка исключений

надеюсь понятлево разьяснил

Smito
Web-Proxy, action=deny, redirect=http://server/why-deny.html

Chupaka
спасибо думаю разберусь, а можно страницу как нить в кэшь микротика загнать? если инета нету, всеравно бы открывалась?

Smito
можно на локальном сервере выложить =) на ROS - вряд ли...

Chupaka понятно, всётки я не понял куда толком вбивать ип которым должна быть сделанна переадресация на этот сайт и запрет ин-нета, кроме этой страницы, что то мне кажеться тут для этого надо много что сделать
по wiki лазил читал, там такого вроде бы нету

http://www.mikrotik.com/testdocs/ros/3.0/pnp/proxy_content.php#.4 (раздел "Access List")

с незнанием английского меня хватило только чтобы прописать в фаерволе правило на переадресацию порта, и вбить сайт.. таким образом при открытии станицы делаеться переадресация на сайт который я добавил, но не заходит на него...
а случайно нету чтонить на русском как это сделать?

Цитата:

правило на переадресацию порта, и вбить сайт..

куда вбить сайт?.. О_о

я имел ввиду
Web-Proxy, action=deny, redirect=http://server/why-deny.html

Цитата:

я имел ввиду
Web-Proxy, action=deny, redirect=http://server/why-deny.html

уже выяснили, что это не фйрвол, а правила прокси
а что значит "делается переадресация, но не заходит"? если на указанный сервер надо заходить через роутер (когда прокси опять перехватывает запрос), то надо выше добавить правило, разрешающее обращение к этому сайту

Sandorik
Cоздал новый прошиль, в remote address проаисал 10.0.0.1, в свойствах pptp указал данный профиль. Все, вроде, стало на место, пинг на vpn не теряется, соединение не рвется, но пакеты через vpn не бегут. Добаление строки add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.0.0.1 scope=30 \ target-scope=10. никчему результативному не приводит

Demon icmp протокол разреши в ФИЛЬТРЕ? для хождения пакетов? косяк теперь гдето в правилах!

Кто в курсе, как работает МикроТик с этой карточкой (и работает ли вообще?):

http://www.tp-link.com/products/product_des.asp?id=160
чип: RTL8185L

Sandorik
временно все фильтры выключены. Все равно не бежит по pptp

Chupaka
смотри
включаю

делаю правило в нате

получаю это если ест-во включить правило в нате

при нажатие на ссылку ничего не происходит

а IE вообше глухо, ибо он автоматом пытаеться перейти на ссылку а сайт не доступен

Добавлено:
и ешё я немного не втыкаю, сделал переадресацию tcp для торента, всё ок
сделал tcp и udp для apexdc, udp работает, tcp нет, ставлю порт торента для дс всё ок, ставлю любой другой порт не работает что в дс что в торенте, сделав ест-во настройки в фаерволе... не понимаю такое ошушение что микротик может воспринять одну переадресацию tcp порта на определённый ип, раньше такого на старой версии небыло, всё работало отлично

larin58
В списке совместимого оборудования её нету, единственное упоминание, что она всё-таки работает с микротиком здесь.

Цитата:

В списке совместимого оборудования её нету, единственное упоминание, что она всё-таки работает с микротиком здесь.

В первой ссылке вообще нет поддерживаемых безпроводных карточек на чипах от Realtek, хотя на форумах проскакивают сообщения о их использовании.
В последней ссылке указан иной чип (Realtek RTL8225), тем не менее ответа я так и не нашел нигде про RTL8185L. Надежду дает строка в файле "nova\bin\sys2" (system пакета): "RTL-8185 IEEE 802.11a/b/g Wireless LAN Controller"... К чему бы это?!

есть ли на офсайте или еще где архив iso образов RouterOS для x86? конкретно инетересует диапазон 3.16-3.19

нашел сам: hччp://www.mikrotik.cz/mirror/
вдруг кому пригодится

Подскажите как правильно сделать ограничение скорости на определённый диапазон IP ? И как настроить чтобы на нужные сайты это ограничение не распространялось ?

Smito
ну, как я и сказал - надо добавить разрешающее правило для домена *****.narod.ru. потому что после перенаправления браузер ломится на *****.narod.ru, а ему прокси это запрещает с перенаправлением на *****.narod.ru =) замкнутый круг

Chupaka
ну об этом я догадывался, ток незнал какой командой разрешить проходить трафику для народа, не подскажешь её случаем? и какое ешё нужно правило чтобы всех перенаправляло на народ, кроме одного, двух айпи

Smito
add dst-host=*****.narod.ru action=allow //разрешаем нашу страничку
add src-address=1.1.1.1 action=allow // разрешаем первому всё
add src-address=2.2.2.2 action=allow // разрешаем второму всё
add action=deny redirect-to=http://*****.narod.ru // всем остальным - редирект на нашу страничку

Chupaka
извини за тупость но команда add dst-host=*****.narod.ru action=allow //разрешаем нашу страничку
что то не срабатывает...
можешь у себя проверить на правельность и полную её команду не скажешь? ip ......

Smito1
проверил

Цитата:

/ip proxy access
add dst-host=infolan.by action=allow disabled=no
add action=deny disabled=no

разрешает доступ к infolan.by и запрещает ко всем остальным сайтам

ничего не понимаю, сделал вроде всё как сказал
и как только вбиваю правило для разрешения сайта, тишина сразу, не переадресации ничего

а что счётчики говорят? сам сайт открывается?