» MikroTik RouterOS (часть 2)

makstex
Спасибо, разобрался, вроде работает, только когда маскарадинг включаю только для интерфейса провайдера, то ни пропинговать удаленный шлюз ни компы через тот шлюз не могу.

Добавлено:
Ткните пальцем в Load Balancing на Микротик пожалуйста.

Да и еще вопрос, есть ли возможность использовать Address-листы файревола для Роутов, чтобы не вбивать кучу сетей в роуты вручную, тем более если они уже есть в Адресс-листах?

Цитата:

Ткните пальцем в Load Balancing на Микротик пожалуйста

http://wiki.mikrotik.com/wiki/PCC#Application_Example_-_Load_Balancing


Цитата:

есть ли возможность использовать Address-листы файревола для Роутов, чтобы не вбивать кучу сетей в роуты вручную, тем более если они уже есть в Адресс-листах?

ну, у роута, кроме дестинейшена, ещё и гейтвей есть - а у адрес-листа гейтвея нет но если он везде одинаковый - то можно создать дефолтовый маршрут для какого-нить routing-mark - и маркировать этим марком все пакеты, отправленные на адреса этого адрес-листа

но если адресов реально много - то есть подозрение, что оптимальнее всё же будет потратить пару минут на написание скрипта, который по заданному адрес-листу создаст нужные маршруты

Доброго времени всем! Прошу помощи у знатоков схема такая локалка-> свич-> микротик к свичу подключен сервер с билингом который управляет адрес листом микротика
Вопрос такой как тех кого нет в адрес листе зарулить на локальный сайт?

/ip firewall nat chain=dstnat src-address-list=!нужный_список dst-port=80 action=dst-nat to-addresses=ip_сервера disabled=no

Chupaka

Цитата:

http://wiki.mikrotik.com/wiki/PCC#Application_Example_-_Load_Balancing

Как раз эту штуку читал, только вот MT у меня 3.22, а там написано что нужна версия 3.24<и выше.
Эти строки

Код:
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:2/0 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:2/1 \
action=mark-connection new-connection-mark=wlan2_conn passthrough=yes

Chupaka

Цитата:

Vby
TrafficFlow + какой-нить NetFlow-коллектор (например, Ntop) для сбора статистики

Установил NetFlow Analyzer, вроде то, что нужно, все красиво считает и показывает.
Спс.

всем хай!

имеем:
Abills 0.50 + Mikrotik 2.9, несколько внешних каналов PPPoE от одного провайдера (шлю одинаковый), микротик сам поднимает pppoe соединение и раздаёт инет, как всем уже стало понятно суть вопроса в балансировке с одинаковыми шлюзами на балансируемых каналах. гугл не помог.
так как всё таки это сделать то? если ip адрес шлюза на всех pppoe соединениях одинаковый? и если ip адрес самих подключений выдаётся динамически? заранее спасибо ) интересует любая информация по этому поводу.
да и кстате есть ещё веб сервер, за натом и есть некоторые люди которым маркировкой я отдал отдельные каналы.
и сорри если боян ) честно зашиваюсь на работе уже хз че делать...

Neym
http://wiki.mikrotik.com/wiki/Upgrading_RouterOS

mindusa
обновиться до версии 3 или 4 - можно будет указывать pppoe-интерфейс в качестве шлюза

Chupaka
3.2 сойдёт? и в этом всё счастье? tnx man большое

mindusa

Цитата:

What's new in 3.0beta6:

*) added support for interface routes (without nexthop);

Chupaka
если не сложно ткни пальцем где там pppoe-client добавляется в микротике? голова не варит

mindusa
пакет 'ppp' установлен?

http://www.mikrotik.com/testdocs/ros/3.0/vpn/pppoe.php

Chupaka

опа... нет... не установлен не видно в system/packages mikrotik level5 лицензия, а где можно достать пак ppp? может стукнешь в асю 347417118 проще будет ) или агент jajajaja@mail.ru

mindusa
http://www.mikrotik.com/download.html

з.ы. вверху каждого сообщения есть ссылка "ICQ" - не?..

Chupaka

Цитата:

Neym
http://wiki.mikrotik.com/wiki/Upgrading_RouterOS

Дело в том что по понятным причинам обновиться не могу , лицензия слетит

тогда в Вики поискать старые схемы балансировки, вроде схемы через Nth. к сожалению, больше не подскажу, я свою первую делал сам, без примеров =)

Chupaka
Ок, пасиб буду искать..

Уважаемый Chupaka!
Недавно я спрашивал о том как попасть на сайт через роутер и совместными усилиями ми пришли к таким двум правилам:

add action=dst-nat chain=dstnat comment=Mapping disabled=no dst-address=10.10.10.53 dst-port=80,81,21 protocol=tcp to-addresses=172.168.0.2
add action=masquerade chain=srcnat comment="" disabled=no dst-address=172.168.0.2 dst-port=80,81,21 out-interface=ether1 protocol=tcp

В результате их реализации все работает. Обращаюсь по ХТТП адресу на ИП 10.10.10.53 я попадаю на сайт за роутером с ИП 172.168.0.2. Однако теперь у меня все юзеры с локальной сети 10.10.10.0/24 попадают на сайте с одним ИП - 172.168.0.2. Это плохо. Можно ли как-то наколдовать чтоб юзеры попадали на сайт с своими родными адресами?
Имею полный доступ и на роутер и на ХТТП сервер.

ValeriyZ
Соурс нат зачем? Без него должно всё работать и будет нормальные ип адреса отдавать. Главное, чтобы шттп сервер имел основным шлюзом этот микротик и микротик ему позволял выходить наружу. Соурс нат нужен шттп серверу на выход, а не на вход.

Народ, а подскажите, плз, как в МикроТике порезать доступ ч-з прокси к паре тысяч сайтов, согласно списка? Потому как вручную создавать правило для каждого урла - несколько геморно. И как это отразится на производительности RB-450?

Добрый деньвсем!
Досталась мне железка...RB433ha+r52+блок питания с PoE и антенна 120гр +ADSL
Помогите настроить подключить ну короче все что нужно... чтоб запустить это все...и раздать инет... почитал в инете коечто но туманно все...могу дать на пиво не жалко за хорошую учебу...все в личку на serg3262@mail.ru

bazzzilio
может у них есть что то похожее? ну типа "porno" ?
а список уже есть? может просто перевести в ipы и потом воспользоваться адреслистом

gamespb

Цитата:

может у них есть что то похожее? ну типа "porno" ?

Там, где есть похожее, уже разобрался. Имеется желание забанить напарсеные урлы по запросам в гугле на прокси, анонимайзер etc.

bazzzilio

так остается получить ипы из списока url и занести в адрес лист затем запретить ходить на те адреса.
перевести без какого нибудь скрипта не знаю как(сам микротик не сможет) а может их добавить у прокси в дени если прокси используется

Добавлено:
bazzzilio
вопрос до меня дошел, проблема не то куда его воткнуть(список) а как создать.. ну да - хороший вопрос

ValeriyZ
в добавление к посту makstex: обе подсети знают друг о друге? хотя бы дефолтовым маршрутом в сторону этого роутера...

С ХТТП сервера с адресом 172.168.0.2 пингую сетевуху МТ - 172.158.0.1.
С МТ пингую и как ХТТП сервер, так и локалку с адресами 10.10.10.0/24

На ХТТП сервер с адресом 172.168.0.2 вписал шлюз МТ – 172.168.0.1 но тут муть получается так как этот ХТТП севрер на 2003 винде выпоняет определенные функции в сети и у него есть шлюз по умолчанию. Добавил метрику 10 тоже не порадовало. В итоге убил шлюз в сетевухе и в RRASе в Статик Роут добавил маршрут на 10.10.10.0 – 255.255.255.0 через 172.168.0.1. Результата нет.
Сейчас все снес и вернулся к старим двум правилам, что я приводил выше.
Не поможет ли мне action=netmap ? Типа вот так:

chain=dstnat action=netmap to-addresses=172.168.0.2 to-ports=80,81 protocol=tcp src-address=10.10.10.0/24 dst-address=10.10.10.53 in-interface=outside dst-port=80,81

Яб попробовал перед тем как спросить но железо все рабочее и время для экспериментов есть только рано утром когда мало юзеров. А так в этой Винде что-то ковырнул (с особенно с маршрутами), она задумалсь и т.д.


Добавлено:
Chupaka

Цитата:

обе подсети знают друг о друге?

Что нужно чтобы обе подсети узнали друг о друге?

Цитата:

Что нужно чтобы обе подсети узнали друг о друге?

нужно, чтобы пинг с сервера в сторону 10.10.10/24 шёл на 172.168.0.1 - это уже есть при помощи статического маршрута; и отключить правило сорс-ната. после этого всё должно работать

Цитата:

Chupaka

Цитата:

нужно, чтобы пинг с сервера в сторону 10.10.10/24 шёл на 172.168.0.1 - это уже есть при помощи статического маршрута; и отключить правило сорс-ната. после этого всё должно работать

Идет на 172.168.0.2 (ХТТП сервер). Делаю пинг с компа 10.10.10.ХХ на 10.10.10.53 ответ идет от 172.168.0.2. Тоесть:

>ping 10.10.10.53
Обмен пакетами с 10.10.10.53 по 32 байт:

Ответ от 172.168.0.2: число байт=32 время<1мс TTL=128
Ответ от 172.168.0.2: число байт=32 время<1мс TTL=128

Правильно?

самое интересное, что в вышеприведённом правиле NAT для пинга отсутствует:


Цитата:

add action=dst-nat chain=dstnat comment=Mapping disabled=no dst-address=10.10.10.53 dst-port=80,81,21 protocol=tcp to-addresses=172.168.0.2

как же оно работает? )))

но в целом - оно работает, как видно

Люди добры подскажите ответ на такой вопрос собираем два nstream'a в bonding расскажите что за зверь такой и можно ли так вообще что нить сотворить и будет ли работать канал просто можности одного канала nstream не хватает вот еще один и соорудили. Подскажите принцип работы и настройки за ссылочки буду очень благодарен