» MikroTik RouterOS (часть 2)

xxSorrel, роутер не будет
Цитата:

пересылать пакеты через интерфейсы если они находятся в одной сети

, пока не поиграешься с маршрутизацией. Лучше, сделай отдельный пул с другим адресным пространством и, если надо что-бы у твоих впн клиентов были адреса внутренней сети — подними нат, быстрее и проще, и не нужно городить навороченную таблицу маршрутизации.

таблица маршрутизации сама должна городиться. а вот что написано про Proxy ARP:
Цитата:

This behaviour can be usefull, for example, if you want to assign dial-in (ppp, pppoe, pptp) clients IP addresses from the same address space as used on the connected LAN.

пул это громко сказано, pptp я использую только сам. Суть понял, с айпи из любой другой подсети все работает. Спасибо.

Всем привет!
Народ, продвинутые в Mikrotik, нужно минимум следующее:

Взаимодействие с NetUP UTM5 (5.2.1-005) на CentOS 5.2
авторизация по IP+MAC
статический шейпер, гарантированную минимальную скорость и всё что выше равномерно делить между юзерами.
проброс "белых" ИПов
подключение по VPN из интернета(для админа, бухгалтера, руководителя)
DHCP
KVM

Какую версию выбрать, какой камешек, сколько мозгов, какие сетёвки.(на оффсайте всё по английски)
пока ставлю на 2-х литровую целку с 3-мя планками по 256, сколько народу я смогу посадить на неё?

Нагрузка пока небольшая, первый месяц не более 30-50 человек, на ближайшие пол года добавление по 20-30 человек в месяц.


Заранее благодарен!
P.S. да, и вот ещё такой вопрос, кто-нибудь связывал микротик с NetUP UTM5? Имею UTM 5.2.1-005

двухлитровую? О_о на оффсайте всё по-английски, а в этом посте - вообще на непонятном наречии %)

з.ы. роутер - это тот случай, когда сажают не людей, а трафик =) но в целом, думаю, хватит. про пункт kvm, видимо, забыть - вряд ли Селерон виртуализацию аппаратную поддерживает... не?..

Chupaka

Цитата:

но в целом, думаю, хватит.

Т.е. если я правильно понял, то данная сборка вытянет до 1000 юзеров при учёте установки гарантированной минимальной скорости и динамического шейпирования свободного канала, при чём по разным подсетям разную?
ну суть такая:
10.0.1.0 - min-128 из расчёта 10 юзеров на мбит. соответственно всем гарантированно 128 а остальное делится между всеми кто в сети в данной подсети
10.0.2.0 - min-512 из расчёта 2-3 юзера на Мбит соответственно всем гарантированно 512 а остальное делится между всеми кто в сети в данной подсети
10.0.3.0 - min 1024 из расчёта 1,25 узера на Мбит ....................
10.0.4.0 - min 4072......
Ну примерно так.

И это должно работать на данном железе.

_________________________________________________________

И вторая проблема. Ставил 3.30 с нулевой лицензией, ну которая на 24 часа.
установил IP-адреса для обеих сетевых.
По идеи пакеты не должны проходить.
Поставил машина(192.168.1.2) - локальная сетевая шлюза(192.168.1.1) внешняя сетевая(10.0.0.1) - ещё одна машина(10.0.0.3)
По какому-то ману(не помню по какому) написано, что пакеты не должны ходить, а они ходят, пинг проходит на все перечисленный ИПы.
Может там надо прописать правила статичной маршрутизации, провда я не знаю как и манов на эту тему не нашёл на русском языке.
С пропатченным ключом у меня есть только 2.9.27

Цитата:

По идеи пакеты не должны проходить.

почему же? как раз наоборот - если в файрволе нет запрещающих правил, то всё по умолчанию маршрутизируется

Подскажите такой вопрос, скоро буду пробовать настраивать RB433AH.
Схема сети такая Клиент (Wi-Fi) -> RB433AH (к ней еще через LAN подключена сеть) -> АР (Wi-Fi).
Что нужно и как это сделать:
1.Клиент должен иметь связь только с АР.
2.LAN должна иметь связь только с AP.
Связать Клиента с АР я так понимаю нужно Wi-Fi карточки RB433AH добавить в бридж,
а вот как LAN разрешить доступ к АР?
если добавить в бридж, то тогда я так понимаю она будет видеть и Клиента Wi-Fi, если да
то как это заблокировать...

Chupaka

Цитата:

то всё по умолчанию маршрутизируется

значит там по умолчанию всё разрешено?
Надо писать правила, всё запрещать а потом разрешать только то, что надо?
отлично. спс.
Подскажите плиззз где почитать, как писать правила для фаервола, как настраивать шейпер и QoS, но только на русском.
Заранее благодарен.

А нет возможности с помощью Mikrotika соорудить UDP-to-HTTP прокси для IPTV ?
Про igmp я знаю. Но хочется HTTP.

ValeriyZ
это уже не прокси, а ретранслятор получается - у udp и http слегка разная специфика работы... нет, такого в роутере точно нет

Всем Добрый день! кто использовал карточку D-Link DFE-580TX 4-портовую с микротиками?
На вики микротика говорят что сервер вешает в версии 3.0 beta 5. а как она работает с более новыми версиями никто не знает конкретно с 4.3?

Добрый день.

Подскажите пожалуйста как будет выглядеть строчка в скрипте для отключения(включения) правила фаервола.

/ip firewall mangle номер 5 или по каментарию "balans"

Добрый день. Подскажите что и где нужно настроить чтобы избавиться от соединений "close" У меня в списке соединений после использования таких программ как torrent, остаются соединения, но они переходят в состояние "close" и так висят от 24 часов. Как удалять такие соединения автоматически не дожидаясь окончания 24 часов?

Цитата:

или по каментарию "balans"

/ip firewall mangle enable [find comment="balans"]

maxem34
24 часа Close? O_o а таймауты какие указаны в ConnTrack?

Цитата:

maxem34
24 часа Close? O_o а таймауты какие указаны в ConnTrack?

извините меня, но я только знакомлюсь с микротиком. Я в winboxe смотрю firewall вкладка: connections.
src. address: xxx.xxx.xxx.xxx:80 (80 порт http!)
dst. address: xxx.xxx.xxx.xxx:50000 (это порт torrent)
Protocol: tcp
Connection type: пусто
Connection mark: пусто
2P2: пусто
Timeout: 23.43.10 и падает
TCP State: close
если dst. address: xxx.xxx.xxx.xxx:80 (порт http), то timeout 00:00:20 и падает. Остальные порты начинает с 23:59:59. в ConnTrack tcp close 00:00:10.

Добавлено:
В ConnTrack только TCP Established 1d 00:00:00 и все, остальные значения от 00:10:00 до 00:00:05 (по умолчанию)

450G
Resources -> Bad Blocks:5
что это?
при покупки было 4, неделя работы уже 5..
это что флеш диск сыпется - или это нормально?

maxem34
Firewall -> Connections -> там кнопка Tracking - там смотрели? занятно... какая версия роутерос?

vlh
разработчики говорят, до 100 бэдов - это нормально, техпроцесс такой )) потом можно уже начинать паниковать

Chupaka
спасибо...
а после 100 - я так понимаю железку на помойку, и в магазин за новой?
тогда у кого есть опыт работы с этими железками, сколько они примерно работают по
времени год, два, месяц, неделя?

vlh
после - в саппорт... я так понимаю, надо их форматировать заново, при этом могут быть нюансы с лицензией

по своему небольшому опыту могу сказать, что они работают гораздо больше месяца )))

Chupaka

спасибо.

а как узнать активно правило или нет?

Цитата:

как узнать активно правило или нет?

/ip fi fi get [find comment="something"] disabled

Цитата:

maxem34
Firewall -> Connections -> там кнопка Tracking - там смотрели? занятно... какая версия роутерос?

Вот мои настройки connection tracking!
[admin@MikroTik] /ip firewall connection tracking> print
enabled: yes
tcp-syn-sent-timeout: 5s
tcp-syn-received-timeout: 5s
tcp-established-timeout: 1d
tcp-fin-wait-timeout: 10s
tcp-close-wait-timeout: 10s
tcp-last-ack-timeout: 10s
tcp-time-wait-timeout: 10s
tcp-close-timeout: 10s
udp-timeout: 10s
udp-stream-timeout: 3m
icmp-timeout: 10s
generic-timeout: 10m
tcp-syncookie: no
max-entries: 200704
total-entries: 2356

mikrotik 3.20 скачаный с этого форума.
Вот кусок моих соединений
Flags: S - seen reply, A - assured
# PR.. SRC-ADDRESS DST-ADDRESS TCP-STATE TIMEOUT
0 tcp 10.10.0.24:50000 94.178.88.108:27309 close 9h41m3s
1 S tcp 10.10.0.24:50000 71.187.9.45:1554 close 11h40m19s
2 S tcp 94.51.16.142:2692 94.178.29.115:50000 close 18h24m46s
3 tcp 10.10.0.24:50000 87.110.42.31:56068 close 12h51m55s
4 tcp 10.10.0.24:50000 89.232.105.8:51867 close 12h16m42s
5 tcp 10.10.0.24:50000 93.185.179.219:64686 close 10h51m1s
6 tcp 10.10.0.24:50000 188.19.149.224:20595 close 17h8m22s
7 tcp 10.10.0.24:50000 91.77.213.230:3020 close 17h17m4s
8 tcp 10.10.0.24:50000 79.140.5.2:2064 close 16h36m23s
9 SA udp 10.10.0.24:50000 77.127.178.123:61403 3m44s
10 tcp 10.10.0.24:50000 213.109.48.127:52066 close 14h41m30s
11 tcp 10.10.0.24:50000 84.245.217.23:59019 close 14h30m56s
12 S tcp 87.251.152.126:1546 94.178.29.115:50000 close 15h58m1s
13 S tcp 95.69.197.172:56799 94.178.29.115:59965 close 18h50m57s
14 S tcp 95.135.18.185:51000 94.178.29.115:60761 close 19h5m27s
15 SA udp 10.10.0.24:50000 188.19.149.224:56606 3m6s
16 S tcp 10.10.0.24:50000 91.188.34.89:54254 close 17h25m58s
17 SA udp 10.10.0.24:50000 81.23.153.144:35691 3m13s
18 S tcp 212.33.255.77:53046 94.178.29.115:50000 close 13h22m3s
19 tcp 10.10.0.24:50000 84.245.217.23:57132 close 9h41m32s
20 S tcp 10.10.0.24:56319 95.54.185.153:27107 close 17h37m25s
-- [Q quit|D dump|down]


Добавлено:
на данный момент у меня 2079 соединений из 2342 (из них в состоянии close 1823). И это 1 комп подключен к микротику, а мне нужно подключить еще 10. а потом в будущем еще и туннель со 2 офисом создать. И сядет мой микротик.

maxem34
прикольно... советую обновиться до последней версии и проверить - может, просто глюк 3.20...

Народ, помогите
есть ip провайдера инета (напр. 80.80.80.80)
от провайдера идет мост на двух Bullet2HP AP(у провайдера) Station(у клиента)
у них IP 192.168.0.50 и 192.168.0.51
Ко второму Bullet2HP( Station) подключен Микротик, порту ethe0 присваиваю 80.80.80.80

Но блин подключится через инете удаленно по этойму IP 80.80.80.80 я к микротику не могу ((( что посоветуете?

Еще есть такой момент, если подключиться сразу к провайдеру и дать компу ip 80.80.80.80, то я его могу пинговать, если комп подключить к Bullet2HP AP и дать ip 80.80.80.81 он пингует 80.80.80.80 и спокойно конектится с микротиком winboxом.
Втыкаю кабель провайдера в РОЕ от Bullet2HP AP тишина((
Думал кабель фиговый, а нет. Даю Bullet2HP AP ip 80.80.80.80, спокойно пингую и захожу в систему управления.

Че делать, куда смотреть?

Господа подскажите есть RouterBoard 433 на нем изначально стояла 3 версия RouterOS (Level 4), вот на днях проапдейтил фирмваре и апгрейднул микротик ос, после потребовало обновить в обьязательном порядке ключ из-за смены чего-то там. Обновил и теперь вижу на закладке License - Upgradable To v.5.x хотя на офф.сайте написано что 3 апргрейдится до 5 только на лицензиях Level 5 и 6.
Отсюда вопрос это глюк Микротика и шары не будет, или Микротики решили сделать подарок пользователям?

Salik
читал, что на 4 версии ОС ограничение сняли по уровню

vlh
у меня за больше чем год работы, там значится цифра 2. Аптайм до апдейта был 260 дней... хорошие железки

Добавлено:
gamespb
с чего бы это?!

Ребят а подскажите можно как-нибудь микротику указать какой Encoding использовать для PPTP соединения. А то MPPE128 нагружает процессор на 90% уже при 20 мбитах, а отключать шифрование совсем не хочется.
При 50-60 мбитах без шифрования проц нагружен на 80-85%.

Подскажите пожалуйста как ограничить количество одновременно открытых сессий на определенный IP адрес (версия микротика 2.9.27)?

Сегодня посмотрел логи микротика и нашел там красную строчку типа:
system error critical login failure for user root from 115.166.131.204 via ssh
Я так понимаю какая то @лять хочет подключиться к моему микротику. Как от такого защититься, подскажите правило. Мне в принципе удаленно не надо управлять микротиком, так что лучше все концы обрубить...