» MikroTik RouterOS

Подскажите
Внутренняя сеть «lan» 192.168.0.0/24
Внешняя сеть «inet» ip назначается динамически, выход в Интернет через vpn подключение «vpn». Как писать правила firewal (к примеру маскарад ?) на интерфес «inet» или «vpn». Что хочу получить: из Интернета (по входу) все заблокировано, из локальной сети все и всем разрешено.

Как настроить APC SU220RMXLi3U под микротик? Подсоединяю кабель от этого упса к com-порту Микротика, захожу через winbox в system-ups, а там не появляется ни модель упса, ни статус не обновляется.

Pavel1122334455

Цитата:

Как настроить APC SU220RMXLi3U под микротик? Подсоединяю кабель от этого упса к com-порту Микротика, захожу через winbox в system-ups, а там не появляется ни модель упса, ни статус не обновляется.

в микротике скорость порта настрой, по дефолту там 115200

При попытке изменить со 115200 на любую другую, пишет, что Couldnt change Port <serial0> - can not change port settings.

Друзья!
Проблема

Провайдер Corbina
PPTP VPN до прова рвется через 52с судя по статистике.

У прова отключено шифорование на VPN.
default-encrypting убрал

Значения MTU/MRU покрути.

PPTP manual

Эээ, никто не ставил "без жертв" МТ через ВМВарю на винт с существующей осью?
Пугает опыт прошлых лет с нечаянным форматом всего харда, ибо плювал он на виртуальную н**бку - куска винта в виде полноценного носителя виртуальной машиной.

redjard
Я неоднократно устанавливал микротик'а на виртуальную машину. В свою очередь VMware всегда работает в существующей ОСи. Проблем не было.

redjard

Цитата:

Эээ, никто не ставил "без жертв" МТ через ВМВарю на винт с существующей осью?

я ставил. Только я ставил не на кусок винта, а на IDEFLASH. Ставится без проблем - из нюансво - если флешку использовать без вмвари - сразу загрузить, то изменится лицензионный ключ.

Совсем недавно поставил VMWare Server 1.0.4. На него MT 2.9.27. Все без проблем. Вот только в никсах я слабо шарю. Может кто подскажет как проинсталить vmware tools на MT routerOS?

Добавлено:
Хочу убавить пылу p2p-трафику, т.е. выставить всему p2p трафику минимальный приоритет.
Понимаю, что для этого необходимо выполнить два действия:

- отмаркировать соединения/пакеты в IP - Firewall - Mangle.
- выставить скорость/приоритет в queues - queues tree.

Здесь в примере описывается как это сделать. Но зделав как написано, ожидаемый результат не был получен.

Может кто распишет команды/действия подробно? Полагаю что вопрос актуален для многих.

И вообще большинство вопросов у людей по работе QoS/traffic shaper. Неплохо было бы написать с помошью гуру мини-FAQ'и по часто встречающимя задачам, которые не охвачены в статьях dolphinik'a (моего земляка, автора большинства статей по MT).

Fader
А ежели в винбоксе открыть список очередей - видно там идет ли трафик через созданную очередь для р2р?

SolarW
Нет, активности трафика в queue tree не было. Видно было только как он идет в mangle после маркировки (mark-connection, mark-packet).

Fader
Ну раз mangle срабатывает давай посмотрим поподробнее что не так может быть в очереди.
Попробуем разобраться на моем примере - у меня не приоритет трафика р2р понижался, а ограничение в рабочее время до 128кбит скорости доступа к медиа-серверам провайдера.
Настраивал все через винбокс, уж простите. После настройки черех винбокс сможешь сделать export конфигурации и глянуть какими это командами делается...
Заодно может и мой вариант покритикуют, подскажут как пооптимальней сделать.

1) IP -> Firewall -> Address lists - перечислил IP-адреса медиа-серверов, дав списку имя Media
2) IP -> Firewall -> Mangle - создал правило
chain - forward
Src. Address List - Media
Action - Mark packet
New Packet mark - ISPMedia
Passthrough - x (checked)

До этого пункта мы вроде как с тобой совпадаем, в правиле mangle трафик виден

3) Queues -> Simple Queues - создаем очередь со следующими параметрами
General:
Name - ISPMedia
Max limit - 128k для upload и download
Time - c 09:00:00 до 19:00:00 в рабочие дни
Advanced:
Packet Mark - ISPMedia
Priority - 8

Ну типа вот так.
Можно добавить что наверное надо создать еще одну очередь для всего трафика, давать ему приоритет 1 и расположить НИЖЕ по списку очереди для р2р...


Добавлено:
Упс...
Только вот счас увидел что ты деревьями очередей оперируешь...
А я с ними не разобрался пока... тож хотелось бы посмотреть на примере работу с деревьями очередей...

В mikrotik'е (2,8) три сетевых, одна смотрит в локалку (ip адрес 192.168.0.1), вторая на гейт (ip 192.168.1.2), третья на adsl модем (ip 192.168.3.2), а ткаже два простых dialup модема настроенных на прием входящих (для входящих звонков ip 192.168.0.202 и 192.168.0.203). В локалке стоит почтовый сервант (ip 192.168.0.222). На него идет почта из инета через гейт по второй сетевухе (192.168.1.1 -> 192.168.1.2), при этом на микротике весь траф из локалки/в локалку маскарадиться, т.е. почтарь (192.168.0.222) принимает входящие от микротика (192.168.0.1). По тем двум модемам к микротику подключаются удаленные офисы, где также стоят почтовики, настроенные на прием/отправку почты через основной сервант (192.168.0.222). Чтоб спамеры не юзали почтарь (CommunigatePro) как опенрелэй, убираю из списка ip адресов клиентов на почтовике ip микротика (192.168.0.1) - при этом перестает ходить почта с удаленных офисов (в логах основного почтаря смотрю - от них подключение идет как от микротика, т.е. от ip 192.168.0.1). Пользователи в локалке определяются нормально, т.е. по своим айпишникам, т.к. сидят в одной подсети с почтарем. В свзяис этим вопрос такой: как сделать на микротике, чтоб модемные айпишники не заменялись на айпишник микротика. Пробовал на микротике выставлять различные src-nat правила для этих адресов (192.168.0.202 и 192.168.0.203), чей-то не получается у меня нифика...

SolarW
Вот-вот. Именно деревья интересуют.

А пока у меня еще одна проблема но уже с DDNS, т.к. с этим сервисом не сталкивался никогда раньше...

Собственно проблема:

Создал акк на dyndns.com. Там поднял hostname service: привязал текущий динамический айпи к определенному имени. Проверил nslookup'ом, попинговал по имени - все работает. Далее необходимо апдейтить на микротике IP для созданного мной на dyndns.com имени.

Как было приведено в мануале в качестве примера:

[admin@MikroTik] tool> dns-update dns-server=23.34.45.56 name=mydomain \
\... zone=myzone.com address=68.42.14.4 key-name=dns-update-key key=update

попытался изменить пример под себя и выполнить команду - ничего не вышло.


Как делал:

dns-server= IP сервиса dyndns.com (?)
name= придуманное мной имя на сервисе (?)
zone= - здесь вообще не догоняю что должно быть...
address= текущий динамический IP, выданный мне провайдером при соединении.
key-name= логин на сервисе dyndns.com
key=пароль


Поправте где я не прав.

Ребята виртуально он ни хатит ставитсо..
Мож ктонить чёто знает по сути виртуализации..

zbobanis
Это кто тебе такое сказал? На VMware живёт прекрасно. Иногда, если нет лишней машинки, ставлю его в Варевский плейер и только в путь... Может тебе сначала надо с виртуалками разобраться?

zbobanis

Цитата:

Ребята виртуально он ни хатит ставитсо

На какую виртуальную машину? Я устанавливал микротик на VMware.

эта штука мне паможет .. ?
надо сделать такое...
с внешнева ip (стат) №1 одного прова роутить все исходящие пакеты на внешн(стат) ip №2 роутера(этой оси) другова прова
а он в свою очидерь роутит ответ от начальнава вызова
на вход внешнева ip №3 (стат) третьего прова ???
все 3 ip маи ... доступ к машинкам есть...
или немарочица.. найти железку отдельную ???

TRIALIUS
Конкретизируй, что надо? Если объединение сетей по Ehternet с пропусканием широковещательных пакетов - да.

канкретна...
допустим... с машины 1 через прова №1 идет исх вызов допустим на сервер аськи по 443 порту tcp
этот запрос .. без труда той же машиной направляем .. на допустим машину 2 прова №2
с микротик ... она перенаправляет вызов по назначению... а вот ответ ...должна послать
на нашину 1 прова №3
то есть отправка через одного прова а прием сторого через другова ...
используя 3-го прова и машинку 2 с микротек
соотсснно на машине 1.... 2 сетевых интерфейса от разных провов
а машина 2 (предпологаемый микротик) имеет 1 интерфейс и находица в инете
внутрь локалки не заходит и недолжен
это вазможно... ? и если да то по всем ли протоколам и портам ?
вся работа происходит в инете ... то што внутри .. это я сам разберусь....
Добавлено:

Хитро заверчено Такого не делал.

всем здрасть!
можно глупый вопрос: а где нибудь список поддерживаемых сетевых карт к сабжу имеется? или как ему можно подсунуть дрова?
ато есть машинка с микротиком, интерфейсы подняты и разрешены... а толку 0.

andrejvb
вот и я парюсь никде толком ничиво найти немагу па этой теме ((((
мне здаеца это только с впн можна сделать по схеме NAT
с использованием вари...
т.е. поднимаем тунель с 1 маш на маш 2 далее детально ... как я себе это представляю... получаем виртуальный интерфейс IP на машинке 2как бы внутри за натом ... кабута я внутри локалки... оно вызывает через нат адресат в инете и принимает внутрь... только дальше.. напрвление на прием нада указать на машинку 1 с 3-им ip ....
кароче схема работы на роутерной машине... если проще ...

TRIALIUS
То ли мне лень соображать, то ли ты хреново обьясняешь, но попробу спросить здесь.

Fader
да чиво непанятнава ... схема работы точ в точ как у асинхронава сат инета...
единственное незнаю как сие завеца по научному

TRIALIUS
Если машина 1 и машина 2 Mikrotik, то используя механизм маркированных пакетов - можно. Подразумевается, что за машиной №2 - локалка, запросы которой и надо так хитромудро прогонять через сети провайдеров №1 и №2.
P.S. IMHO, "падонкавский" язык при обсуждении чисто технических вопросов неуместен. См. п.2.11 Правила форума

andrejvb
не вапрос ... и на PC1 можно поставить микротик... но вот с PC2 пока засада 1 сетевой интерфейс соединеный с провом...
и еще как нибудь решился вапрос с DynDNS скриптом , чтобы сам опрашивал... ?

TRIALIUS
Что-то я тебя не понял... Мне показалось, что ты хочешь, грубо говоря, из 2х проводки сделать 4х. Т.е. сделать как бы "мостик" от локалки к Инету через 2х провайдеров. В этом случае на каждой машине должно быть по 3 сетевых интерфейса (не обязательно физических, VPN или PPoE это тоже интерфейс). Или я тебя не так понял? С DynDNS скриптами мне так и не удалось добиться желаемого. Обошёл установкой DirektUpdate на сервер.

andrejvb
все верно.. количество интерфейсов... на машинках не имеет значение... т.е. не проблема
проблема в том ... что я незнаю ни механизма ни как обзываеца все это дело...
мне всиво лиш надо штобы весь траф работал всегда в одну сторону... отсылался через одного прова а принмался только на другом... посредством еще одной независимой машинки в инете... благо такая вазможность есть... но сам механизм работы на этой машине я незнаю... вот пытаюсь узнать... никде немагу найти что то подобное
а про dyndns здесь не смарел ? dyndns.com/support/