» MikroTik RouterOS (часть 2)

Всем привет
Куда копать что бы сделать сервер l2tp как например у корбины, а именно после конекта выдается автоматом клиенту:
1) ip
2) шлюз
3) dns
4) возможно можно выдать что то еще типа WINS?
Пока что я смог установить соединение и выдавать ip через ip > pool но шлюзом там не пахнет
Моя тестовая конфигурация сервер и клиент на микронике 4.3 + MS Virtual PC
Я тестирую сервер с 1 Ethernet интерфейсом, так как хочу понять можно ли сделать на нем роутер назначив два ip адреса на 1 интерфейс, железо хочу такое http://www.mikc.ru/product.php?id_catalog=8&id_position=146

Цитата:

после конекта выдается автоматом клиенту

в PPP -> Profiles не заглядывали? а зря. там указываеются IP локальный ("шлюз") и удалённый (клиент), DNS, WINS и кое-что ещё


Цитата:

хочу понять можно ли сделать на нем роутер назначив два ip адреса на 1 интерфейс

конечно можно. особенно если клиенты VPN'ом подключаются там же получается далеко не один интерфейс...

Гопода, а кто знает как сделать авторизацию по логин-паролю на Web-proxy ?
Странно, основан на squid а авторизацию убрали.. нехорошо

Цитата:

основан на squid

нет


Цитата:

авторизацию по логин-паролю

HotSpot

Цитата:

HotSpot

С внешнего интерфейса HotSpot не работает

А в версии 2.9.27 Есть сквид и с этим не поспоришь. Хотя одновременно в этой версии повился прокси собственной разработки МикроТика

Цитата:

С внешнего интерфейса

можно узнать, что такое внешний интерфейс? для хотспота нет особо никакой разницы, на каком интерфейсе работать


Цитата:

А в версии 2.9.27

давайте ещё средние века вспомним. когда WinBox был написан на Java, например...

Цитата:

в PPP -> Profiles не заглядывали? а зря. там указываеются IP локальный ("шлюз") и удалённый (клиент), DNS, WINS и кое-что ещё

Спасибо за ответ, понятно значит все гораздо сложнее.
сервер 2ltp имеет два ip на одной сетевухе, 10.0.0.1 и 192.168.0.5
я подключаюсь из сети 192.168.0/24 к 192.168.0.5, получаю айпи 10.0.0.8 и могу видеть ip 10.0.0.1
но проблема в том, что для теста я создал еще один клиент на Mikrotik 10.0.0.2 который видит только сервер, но я при подключении его не вижу.
[admin@MikroTik] > /ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 ADC 10.0.0.0/24 10.0.0.1 ether1 0
2 ADC 192.168.1.0/24 192.168.1.5 ether1 0
а в виндусе
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 On-link 10.0.0.8 21
10.0.0.8 255.255.255.255 On-link 10.0.0.8 276
а в Profiles нет гетвея, локальный ("шлюз") я по совету сделал 10.0.0.1, но таблица роутинга в виндусе не поменялась.
Еще в закладке Secret есть тоже самое, но там есть графа Routes, там я вписал 10.0.0.0/24 10.0.0.1 1 но тоже ничего

Добавлено:
правда и прописывание маршрута на виндусе клиенте
route add 10.0.0.0 mask 255.0.0.0 10.0.0.1
route print
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
10.0.0.0 255.0.0.0 10.0.0.1 10.0.0.8 21
не помогает, может надо как то еще? хотя было бы не плохо если бы маршруты добавлялись автоматом как например у всех провайдеров

Цитата:

можно узнать, что такое внешний интерфейс? для хотспота нет особо никакой разницы, на каком интерфейсе работать

давайте ещё средние века вспомним. когда WinBox был написан на Java, например..

Внешний интерфейс у меня - это интерфейс провайдера.

Я правильно вообще понимаю, что неавторизованного пользователя на прокси надо заворачиввать на авторизацию?

Включаю хотспот - пинг с микротика вообще пропадает

ура у меня получилось, теперь я подключаюсь 10.0.0.2 к 10.0.0.1 и выдаю сеть 192.168.0.0/24, все остальное не трогал.
Мне просто повезло найти проблему, проблема в том, что если я оставляю на сервере маршрут которые позволяет серверу заходить в интернет через шлюз
0.0.0.0/0 192.168.1.1
то после его активации пропадает инет на клиенте, а на сервере он появляется,
ситуация бредовая, инет есть или на клиенте или на сервере, как клиент находит маршрут до инета непонятно.
Вот так инет работает на клиенте, при том что на сервере не указан шлюз 192.168.1.1, на клиенте тоже шлюз 192.168.0.1 но это просто Local ip прописанный в Profiles как и 192.168.0.6 прописанный как Remoute ip.
Server
[admin@MikroTik] > ip route print
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 10.0.0.0/24 10.0.0.1 ether1 0
1 ADC 192.168.0.6/32 192.168.0.1 <l2tp-newuser> 0
2 ADC 192.168.1.0/24 192.168.1.5 ether1 0
Client
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.0.1 1
1 ADC 10.0.0.0/24 10.0.0.2 ether1 0
2 ADC 192.168.0.1/32 192.168.0.6 filial_connection 0
в общем все похоже на то что клиент после подключения l2tp сам нашол шлюз
еще 1 глюк, если я на машине где запущены 2 микротика меняю айпи с 192.168.1.2 на 10.0.0.4 у меня перестает работать DNS на обоих микротиках, пинговать я их могу но определять имена доменов типа ya.ru они перестают.
Эксперимент получается не чистым

Цитата:

Включаю хотспот - пинг с микротика вообще пропадает

если хотспот повешен на интерфейс провайдера - то всё логично, например, пытаетесь пинговать ya.ru - а пинг не пойдёт, пока ya.ru не авторизуется на Хотспоте а что за такая хитрая схема?..

VoRoN007
на сервере не вижу шлюза по умолчанию - так надо? как же он в инет собрался?..

по поводу шлюзов ppp-подключений в целом - в Виндамсе есть такая галоска - "Использовать шлюз по умолчанию в удалённой сети". т.е. стандартными средствами Винды можно только либо добавить гейтвей со шлюзом=удалённый адрес ппп-подключения, либо всё руками прописывать. сам протокол не имеет возможностей выдавать маршруты

Цитата:

если хотспот повешен на интерфейс провайдера - то всё логично, например, пытаетесь пинговать ya.ru - а пинг не пойдёт, пока ya.ru не авторизуется на Хотспоте а что за такая хитрая схема?..

Да да, как раз вешаю на интерфейс провайдера, потому как получается 2 провайдерских сети, только одно локальна по городу, однако тоже служит поставщком интернет. Вот поэтому и требуется как то авторизовать из-вне, прокси то работает из-вне, но он пропускает всех подряд без авторизации.

Добавлено:
Плохо, что прокси такой малофункциональный, вот если бы его можно было настроить на HTTP Авторизацию - цены бы вообще микротику не было. А так только из-за прокси его использовать может не получится

Добавлено:
Пакеты Микротика никак нельзя разобрать или после установки уже залазить в конфиг?

Цитата:

после установки уже залазить в конфиг

загрузиться с Linux LiveCD - и лазить где угодно, файловую систему они не шифруют

так если Интернет подаётся через тот же интерфейс, что и локальная сеть - значит, пользователи могут напрямую туда ходить, в обход этого маршрутизатора?..

Цитата:

так если Интернет подаётся через тот же интерфейс, что и локальная сеть - значит, пользователи могут напрямую туда ходить, в обход этого маршрутизатора?..

Вкратце: городской интернет, у всех есть доступ к этому интернету. А также есть Внешний интернет, этот доступен далеко не всем и собсно его раздавать хочется через городской интерфейс. но городской интерфейс в тоже время выступает провадйдером и городские сайты и порталы грузятся именно через него.

Т.е. Через Городской интерфейс хочется дать доступ на внешний интернет
прокси в микротике пропускает всех, а если включить хотспот, то городской интерфейс перестает функцонировать как провайдерская сеть, а это неоходимо.

Выход только один, грузиться с лив СД и ковырять сквид, который был ещё в версии 2.9.27 Как думаете поможет?

Добавлено:
Но опять же, если чтото и получится, не перезагружаться же постоянно, чтобы редактировать конфиг

konart2
доспуп во внешку ограничивается по IP и идёт через тот же шлюз, что и локалка?..


Цитата:

грузиться с лив СД и ковырять сквид, который был ещё в версии 2.9.27 Как думаете поможет?

думаю, нет. там хоть и сквид, но зарезанный именно до того состояния, которое видно "официально"

Вообще-то Mikrotik позволяет фильтровать трафик по разным условиям.
Если ты пользуешься прокси-сервером, то тут всё совсем просто.
Открываешь в WinBOX конфигуривароние своим сервером.
Заходишь в web-proxy
И создаёшь там правило (кнопка +) в котором указываешь
Src. Address: Адрес источник - тот кто качает (можно указывать под-сети разной длины, например, 192.168.0.0/24 - означает сеть 192.168.0.Х с маской 255.255.255.0, чтобы указать всех, нужно ввести 0.0.0.0/0, стандартные маски - 255.255.255.255 - 32 (один узел), 255.255.0.0 - 24 или 16, 255.0.0.0 - 8)
Dst. Address - Адрес направления - откуда качает (т.к. мы будем ограничивать по доменному имени, то тут обязательно оставлять 0.0.0.0/0)
URL - доменное имя узла направления (можно указывать с различными условиями)
Method - Оставляем Any
Action - Allow - Разрешить. Deny - Запретить.

Предположим, что у нас сеть имеет адрес 192.168.1.0/24
Наш провайдер имеет доменную зону myprovider.com.ua
Нам нужно разрешить всем доступ к провайдеру
Нам нужно разрешить доступ к интернету , по протоколу http:// пользователям 192.168.1.1, 192.168.1.2, 192.168.1.3
Нам нужно запретить доступ в интернет все оставшимся пользователям
Для этого создаём следующие правила:
1:
Src. Address: 192.168.1.0/24
Dst. Address: 0.0.0.0/0
URL:http://*myprovider.com.ua/*
Method: Any
Action: Allow
2:
Src. Address: 192.168.1.1/32
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Allow
3:
Src. Address: 192.168.1.2/32
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Allow
4:
Src. Address: 192.168.1.3/32
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Allow
5:
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Deny

Правила должны быть расположены в таком же порядке как я их привёл в примере, потому как сквид считает приоритет начиная сверху своей конфигурации, другими словами, если установить пятое правило первым, то интернета не будет ни у кого, потому как сквид с наивысшим приоритетом обработает запрещающее правило, которое подавит действие всех остальных. Для того чтобы поменять приоритет в уже созданных правилах их достаточно просто перетащить указателем мыши на позицию (или позиции) выше.

Цитата:

доспуп во внешку ограничивается по IP и идёт через тот же шлюз, что и локалка?..

Да, ограничивается по IP из локалки и входящие PPTP.

Prophion, по айпишникам думал делать доступ, но это надо у каждого его узнавать, если эта городская сеть очень большая и не каждый юзер знает свой айпишник.
Куда проще запрос логин-пароля, но мне не понятно, зачем сквида лишили этих возможностей ?!?!


Добавлено:
Среди программных маршрутизаторов больше всего устраивает микротик, не очень хочется искать замену. А если самому делать сборку на фре, то целеров 800мгц слабоватым будет

konart2
так если входящие - PPTP, то он же и будет спрашивать пароль %)

Цитата:

так если входящие - PPTP, то он же и будет спрашивать пароль %)

так не только РРТР , некоторым прокси хочется, тут я не в силах уговорить на РРТР.

Есть ещё достойниые анлоги, схожие по функционалу ?

те, кому хочется прокси, уж точно должны знать свой IP-адрес )))

Все наладил, пришлось вспомнить про нат, все таки это не обычный коробочный роутер аля D-Link за 1200р
эта строка помогла против всех проблем
ip firewall nat add chain=srcnat src-address=192.168.0.0/24 action=masquerade
---
Но у меня еще вопрос, для включения шифрования надо опять делать тунель IpSec?
Вот тут видео,
http://gregsowell.com/?p=787
там правильно все делают? Зачем туда вписывают айпи 1.1.1.1 2.2.2.2 не принадлежащие тунелю 192.168.1.0/24 192.168.2.0/24?

Можно по паролю, только не используя возможности сквида, а прибегнув к серверу PPTP.
Схем реализации, я вижу две:
Таже что и сверху, только теперь всё ограничивается на PPPTP-адреса.
Или: Все, кто не подсоединён к PPTP идут на прокси, а те кто подсоединился ходят прямо в нет. без прокси-сервера.
Второй вариант мне кажется лучше, потому его и опишу
Значится так. У нас есть (это всё НАПРИМЕР) сеть 192.168.1.0/24, внешний провайдер с доменом myprovider.com.ua (где-то мы уже это видели).
Нужно разрешить все доступ к домену провайдера
Нужно разрешить парольный доступ отдельным личностям в интернет по логину с паролем.
Ну начём.
Всё так же открываем WinBOX (имели мы ввиду эту консоль )
Заходим в IP->Web-proxy
Жмём Settings и ставим:
- Src. address: IP локального интерфейса (в нашем случаи это 192.168.1.1)
- Port: Ну какой-нибудь, пускай будет стандартный, нам не жалко - 3128
- Host name: Давай те введём что-нибудь, ну пускай это будет, mikrotik.mydomain.ua
- Transparent proxy: Прозрачный прокси, ставим галку, нам это нужно
- Cache administrator: Введи своё мыло, чтобы обиженным было куда писать, например, v@sosny.ru
- Maximum object size: Максимальный кешируемый, при включённом кеше, объект. Обычно ставят 1-1,5 МБ (1024-1536)
- Maximum cache size: Тут надо быть поаккуратнее, вся проблема в том, что Сквид, нифига не умеет корректно работать со своим кешем, при достижении какого-то там объёма файлов внутри него. Поэтому большое значение лучше не ставить, давайте поставим 500МБ - 512000
- Maximum RAM cache size: Это объём содержащегося кеша в ОЗУ. Поставьте метров 8 (8192), ему хватит на всю жизнь.
Жмём кнопку Enable и закрываем окошко.
Теперь создаём два правила прокси:
№1:
Src. Address: 192.168.1.0/24
Dst. Address: 0.0.0.0/0
URL:http://*myprovider.com.ua/*
Method: Any
Action: Allow
№2:
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Deny

Переходим на вкладку Cache
Создаём два правила кеша:
№1:
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
URL:*/cgi-bin/*
Method: Any
Action: Deny
№2:
Src. Address: 0.0.0.0/0
Dst. Address: 0.0.0.0/0
URL:http://*
Method: Any
Action: Allow

Усё. Прокси готов. Чего мы добились. У нас все пользователи могу ходить на сайты домена myprovider.com.ua и прриэтому информация с него кешируется...
Теперь остался интернет.
Заходим в PPP. Жмём кнопку PPTP. Вводим параметры телеметрии ...
- Enable Ставим галку
- Max MTU: 1460 (Что это???)
- Max MRU: 1460 (Что это???)
- Keepalive Timeout - Время простоя после которого происходит разрыв. Можно не указывать, в смысле галку снимаем
- Defaul Profile: Выбираем профиль шифрования, т.к. мы шифрование настраивать не будем (его за нас настроили), выбираем default-encryption
- Authntication: Авторизация. Ставим все галки.
Жмём ОК.

Переходим на вкладку Profiles. Дважды клацаем на default-encryption
Меняем Local Address: Адрес нашего сервера. Ну например 192.168.203.1
Меняем DNS Server: Ну какие у вас там DNSы
Переходим на вкладку Limits. Ставим точку Only One - No
Жмё OK

Переходим на вкладку Secrets (а вот они - Пользователи)
Жмём кнопку +
Получаем окошко, в котором заполняем:
- Name: Оно же логин. оно же название правила
- Password: Пароль! Галку ставим, поле заполняем
- Service: В куда этот пользователи ходит, выбираем pptp
- Profile: default-encryption
- Local Address: Адрес нашего сервера. Оставляем не заполненным (возьмётся из профиля)
- Remote Address: Ну например 192.168.203.2
Жмём ОК.

Почти-почти всё готово...
Заходим IP->Firewall. Переходим на вкладку Address list
Жмём кнопку +. Запоняем поля:
- Name: Название группы адресов. Ну пожалуй PPTP
- Address: Адрес или маска адресов в сети. Ну пускай у нас на каждго пользера будет свой адрес и в случаии чего мы сможем его отлучать от интернета нажатием одной кнопки. Поэтому вводим адрес пользователя 192.168.203.2
Жмё ОК
Запись появляется, но она не активная, выделяем её и жмём галочку! (Если хотим запретить, то жмём крестик)

Переходим на вкладку NAT.
Создаём два правила:
№1:
- Chain: srcnat
- Out. Interface: Internat (интерфейс направления)
- Src. Address List (Вкладка Advanced): PPTP (новосозданная группа IP-адресов)
- Action (Вкладка Action): src-nat (если знаем (не динамический) IP внешнего интерфейса) или masquerade (если не знаем)
- To Addresses: IP внешнего интерфейса
To Ports: 0-65535
№2:
- Chain: dstnat
- Src. Address: 192.168.1.0/24
- Dst. Address: Адрес сервера - 192.168.1.1. Установить восклецательный знак (квадратик рядом)
- Protocol: 6 (tcp)
- Dst. Port: 80
- Action (Вкладка Action): Redirect
To Ports: 3128

Переходим на вкладку Filter Rules
Создаём правила фильтрации трафика:
№1: (Разрешаем ответы на запросы прокси)
- Chain: Forward
- In. Interface: внешний интерфейс
- Action (Вкладка Action): Accept
№2: (запрещаем входящие "не правельные" запросы на сервер)
- Chain: Input
- Connection state: invalid
- Action (Вкладка Action): Drop
№3: (разрешаем все установленные соединения)
- Chain: Forward
- Connection state: established
- Action (Вкладка Action): Accept
№4: (разрешаем все запрошенные соединения)
- Chain: Forward
- Connection state: related
- Action (Вкладка Action): Accept
№5: (разрешаем UDP трафик к серверу)
- Chain: Input
- Protocol: 17 (udp)
- Action (Вкладка Action): Accept
№6: (разрешаем UDP трафик в интернет)
- Chain: Forward
- Protocol: 17 (udp)
- Action (Вкладка Action): Accept
№7: (разрешаем ICMP (пинги) трафик к серверу)
- Chain: Input
- Protocol: 1 (icmp)
- Action (Вкладка Action): Accept
№8: (разрешаем ICMP (пинги) трафик в интернет)
- Chain: Forward
- Protocol: 1 (icmp)
- Action (Вкладка Action): Accept
№9: (разрешаем интернет нашим PPTP пользователям)
- Chain: Forward
- Out Interface: Внешний интерфейс
- Src. Address List (Вкладка Advanced): PPTP
- Action (Вкладка Action): Accept
№10: (рапрещаем всё остальное)
- Chain: Forward
- Action (Вкладка Action): Drop
№11: (на всякий случаем запрещаем не верные запросы внутрь сети)
- Chain: Forward
- Connection State: invalid
- Action (Вкладка Action): Drop

Собственно всё... Должно работать ))
Для добавления пользователя нужно добавить его в конфигурации PPTP и в адрес лист PPTP.
И помните в конфигурациях правила должны располагаться в том же порядке в котором они приведены здесь, в смысле, сохраняйте приоритеты ))

Жесть =)

Уважаемые форумчане помогите с проблемой .
Mikrotik 3.22 + Биллинг (t-soft)
Wan 87.251.142.xx
Lan 192.168.200.xx

это связка вроде работает но инета нету у клиента
что необходима выложить на форуме что бы получить подсказку?

для начала стоит выложить объяснение фразы "вроде работает, но не работает"...

Подскажите, пожалуйста!

Есть ли в Mikrotik возможность запрета сайтов (то есть не по ip, а по имени)?

У кого была проблема при инсталляции Mikrotik 3.22 на IDE винчестер, после того как нажимаешь Contunie и начинается установка системы и выбранных пакетов, ничего не происходит, а мигает Caps
Lock + Scroll Lock, как будто кернел паник, но ничего больше не пишет и винт не форматируется.
Машина Athlon XP 1700 Mz, чип nForce2.
На этой машине смог только на флешку его поставить, ставится замечательно, а вот казалось бы с IDE проблем быть не должно, но нет все на оборот
Влешку вынимал, перемычки у hdd по разному ставил, пробовал другой винт

Нужна помощь:

Микротик стоит в качестве pppoe сервера.
при подключении получает по радиусу ширину канала для конкретной сессии и создает соответствующее правило.
IP, выдаваемый клиенту может быть как серым
172.16.0.0/16
так и белым
Х.Y.Z.0/24
траффик между клиентам не НАТится, чтоб они могли видеть друг друга по IP.


ТАк вот. надо создать статичные правила, чтоб скорость между клиентам не резалась для ВСЕГО траффика.
172.16.0.0/16 to 172.16.0.0/16
172.16.0.0/16 to X.Y.Z.0/24
X.Y.Z.0/24 to 172.16.0.0/16

и таким образом получить высокую скорость внутри сети.
делал это на версии 2.9 - все работало.
пересел на 3 ветку. скопировал правила - перестало.

Diza думаю пакеты можно пометить через файрвол, а потом применить к ним
packet-marks (name; по умолчанию: "") - цепочка пакетов, промаркированных в /ip firewall mangle;
http://www.mikrotik.com.ua/next.html?support&02
Раздел Simple Queues
я так маркировал UTP пакеты, хотя у меня не получилось еще проверить, нужно создать условия для теста, что бы видеть все изменения.

Chupaka
Спасибо