» MikroTik RouterOS (часть 2)

материнка 82801G(шас вижу только чипсеты, б принципе ето портативний Dell inspiron 6400) И сетэвуха BCM4401-B0..
ну всэ драивера работуют..

Добрый день, господа!
Хотелось бы узнать, сталкивался ли кто с такой проблемой:
Имеем микротик 3.20 на машине 3 сетевыми платами, (PPTP сервер)
1 - Внешний интернет
2 - Интранет, локаль и интернет
3 - локальная сеть

На второй машине имеем биллинговую систему Abills 0.5 на базе Ubuntu 8.04 (freeradius 1.1.7) (не важно, на всех такая проблема)
Так вот, связка эта работает замечательно, но в биллинге постоянно нарастают NAS-порты, т.е. биллинг не использует освобожденные а всегда присваивает новые порты новым клиентам. Чем это грозит - когда порт доходит до 999, то подключение к серверу доступа становится невозможным.

Вторая проблема, шейпер включенный по ссылке http://abills.net.ua/wiki/doku.php/abills:docs:mikrotik:ru
совсем не устанавливается, вернее биллинг не посылает команды на микротик по ssh.

Цитата:

в биллинге постоянно нарастают NAS-порты, т.е. биллинг не использует освобожденные а всегда присваивает новые порты новым клиентам

порт - это, в данном случае, SNMP-номер интерфейса. RouterOS их просто наращивает. если у вашего биллинга проблемы выше 999 - чините биллинг у нас сейчас, например, порты в районе 140000 идут, аптайм сервера - неделя


Цитата:

биллинг не посылает команды на микротик

если биллинг не посылает команды - это опять-таки проблема биллинга, не находите? здесь обсуждаем RouterOS, а не биллинги

Цитата:

порт - это, в данном случае, SNMP-номер интерфейса. RouterOS их просто наращивает. если у вашего биллинга проблемы выше 999 - чините биллинг у нас сейчас, например, порты в районе 140000 идут, аптайм сервера - неделя

Т.е. не надо бороться с суммированием портов, а надо просто биллинг научить работать с большим количеством портов?
По второму вопросу разобрался, а вот по первому решения нет использовать свободные порты?

konart2
да. freeradius отлично понимает большие номера портов, а routeros не использует номера интерфейсов повторно

Добавлено:
konart2
что вообще за число такое - 999? у вас там часом не с определением поля в таблице БД проблемы? удлинните =)

dimacve

Цитата:

И сетэвуха BCM4401-B0

100% проблема в сетевухе. Возможно в ревизии. Я сам так накалывался с DGE530T rev.B2 на ROS ранних версий (причем B1 норм. работала), а так же с 8169. Драйвера ставятся, но не работают.

Chupaka
Странно, Abillis вроде позиционируется как нормально работающий с ROS..

Цитата:

что вообще за число такое - 999? у вас там часом не с определением поля в таблице БД проблемы? удлинните =)

Сам не сталкивался с 999, просто увидел тему, что ктото жалучется - подумал проблема. Завтра сам увижу, просто перезагружался - так и не дошел до 999.


А по поводу установки шейпера по ssh странность одну заметил, на микротике 2.9.29 правила добавляются все как нужно, а на версии 3.20 пару правил прописывается и всё, остальные как будто забываются

Добавлено:
ошибочка, не 2.9.29, а 2.9.27

Настроил DDNS . На веб микротика удаленно захожу без проблем...
Установил себе The Dude 3.5, последнюю версию. Но ней как раз удаленно подключится
не получается... Никто не подскажет какие дополнительные настройки нужно сделать на микротике для удаленого доступа The Dude?

uraso
дык никакие. файрвол не блокирует?

RB600a можно ли использовать 4 карточки R52H?
в том плане. что не будут ли они мешать друг другу...
частота 2.4 каналы естественно не одинаковые....
эфир не засорен (область)...

Цитата:

RB600a можно ли использовать 4 карточки R52H?
в том плане. что не будут ли они мешать друг другу...

RB493 не получилось
брал даже разные диапазоны 5 и 2 Ггц, как включаешь вторую карту на 1 начинаются траблы

раз попробывал и все, саппорт выпучил глаза,
попробуйте если получиться отпишитесь буду искать "гавно" на руках.....

Constantin_A
Я бы экраны из толстой алюминиевой фольги сделал между картами. Экраны подключил к "земле" (нулю питания) сразу возле разъемов, ну и фольгу предварительно закатал бы в полиэтилен утюжком, чтобы не коротнуло потом где что.
А то, два радиоустройства впритык друг к другу... В связной и военной аппаратуре такие узлы всегда изолировали друг от друга.

вроде серьезные железки... зачем тогда столько разъемов на них делать

Цитата:

Я бы экраны из толстой алюминиевой фольги сделал между картами. Экраны подключил к "земле" (нулю питания) сразу возле разъемов, ну и фольгу предварительно закатал бы в полиэтилен утюжком, чтобы не коротнуло потом где что.

Вы не оригинальны )))) это было сделано , экран был сделан из тонкого 2хстороннего фольгированого гетинакса, заземлен, и не помогло, больше экспериментировать было некогда, линк был нужен в работе, на другой поставил отдельную железку.

не подскажете правило которое ограничивает количество соединений в интернет
на один хост в локальной сети?
нашел вот это но почему то под него ни чего не попадает:


Код: chain=forward src-address=10.10.20.0\24 protocol=tcp dst-port=0-65535
tcp-flags=syn connection-limit=30,32 connection-state=new action=drop

chain=forward src-address=10.10.20.0\24 protocol=tcp src-port=0-65535
tcp-flags=syn connection-limit=20,32 action=accept

Всем ку!

Подскажите плиз, вот 2 вопроса:
(сетка, домен 2003, инет раздает микротик-хотспот,
офисов много, в дальнейшем нужно все объеденить будет
и в каждом такую систему, установлено пока в одном, RouterOS 3.3,
атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX)).

1. С сервера 2003 не могу зайти на хотспот логин страничку(не прямо 192.168.2.1,
не через редирект) итп,
говорит нет такой странички, хотя юзеров пускает ессно, и они видят страничку
авторизации, такая штука только на сервере. ПоЧему не пускает?
просто на микротик веб заходит(пропускаю трафик серверный).

2. Устанавливаю сейчас в новом офисе, hotspot+userman.
Скажите други плиз, почему после установки hotspota не пускает
в юзерманагер через веб? Вбил в микровский радиус юзера
(хотспот остановил), все работает все норм, но если хотспот
работает, то не пускает в юзерман, говорит нет такой странички.

lyamoto
есть мнение, что на Хотспоте надо сначала авторизоваться - и только потом можно получить доступ к "нормальному" веб-серверу РоутерОС

--есть мнение, что на Хотспоте надо сначала авторизоваться - и только потом можно получить доступ к "нормальному" веб-серверу РоутерОС--

не помогает...

Error 404: Not Found


Вопрос еще, скажите плиз такой конфигурации хватит на 100 Мбит/с?
(атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX))

Добавлено:
http сервис на порт 8080 переназначил
и после авторизации пустило нормально.

А вот первый вопрос так и висит, хелп плиз, в чОм дело может быть?
Побробнее:
айпишники раздает ДХЦП на м-тике, привязка по макам,
как в дхцп так и в хотспоте.
Подсеть одна(192.168.2.0/24), но если с сервака входишь, чтобы авторизироваться,
то ....ну стандартную веб морду показывает, там винбокс веббокс и тп,
вообщем просто пропускает трафик хотспот по айпишнику-маку сервака,
но инет на нем есть, остается только файрволом чтото типа
дропать все что идет с сервака не в локальную сеть(192.168.0.0/16),
но вопрос все равно остался....пАчИму так? должно все работать.

Подскажите пожалуста как отрубить не шифрованный трафик p2p чере микротик, при том что все клиенты получают нет по pppoe, спасибо огромное за овет!

Добавлено:
Жду ваше помощи!!!!Заранее спасибо!!!

lyamoto

Цитата:

Вопрос еще, скажите плиз такой конфигурации хватит на 100 Мбит/с?
(атлончик 5000, гиг оперативы, сеть: RTL 8139D, DL10028(Dlink DFE 520TX))

Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.

besoff
Блокировка протокола uTP, появившегося в uTorrent 2.0 (блокировать необходимо, ибо крайне нагружает оборудование и приводит, фактически, к DDOS-атакам извне на маршрутизатор).
Блокировка обычных торрентов с 13 дня до 01 ночи.
Ограничение TCP-сессий до 64-х на один IP-адрес клиента.

/ip firewall layer7-protocol
add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
/ip firewall filter
add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"
add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward comment="TCP connection limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn

Остаются пока незаблокированными шифрованный траффик и (возможно) траффик на torrents.ru (в микротике нет сигнатур на него в протоколах p2p, нужно добавлять ещё один Layer7 протокол или блочить IP-адреса)

Iliasla Спасибо вам огромное, буду разбираться!!!

Цитата:

Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.

странно, самый мощный железный тик 20 мбит/с,
но камень на железных маршрутизаторах откровенно слабый(хватает на 20 мбит/с),
по сравнению с 5000 атлоном. По идеи должно хватить проца
с большим запасом, а сетевухи заменим если чо, спасибо

Добавлено:

Цитата:

Проца, пожалуй, хватит (для нескольких клиентов), а вот сетевух - нет. Поменяйте хотя бы на дешёвые гигабитные Realtek8169.

странно, самый мощный железный тик 20 мбит/с,
но камень на железных маршрутизаторах откровенно слабый(хватает на 20 мбит/с),
по сравнению с 5000 атлоном. По идеи должно хватить проца
с большим запасом, а сетевухи заменим если чо, спасибо

lyamoto
Iliasla
Вот мой системник в головном офисе. (аптайм маленький из-за ночного сбоя в питании офиса. )

Через него подключены 8 филиалов по L2tp+IPSec. 200 ПК в головном офисе и 200 в филиаллах. Почтовый трафик 30 гигабайт в день.


На нем 2 гигабитных сетевых карты 3com (только потому что нужны VLAN'ы) и 2 DFE 520TX. Работает на ура. Аптаймы обычно по 60 дней.

Спасибо за информацию. Запас большой судя по скрину
100% запас

Подскажите плиз, КАК В ХОТСПОТЕ НЕ СЧИТАТЬ ЛОКАЛЬНЫЙ ТРАФИК?
когда народ по впн файлы скидывает из одного офиса в другой
трафик локальный, провайдер один.


"DNS_guardian" в микротике никто не поднимал такой вариант блокирвоания контета?
подскажите где копать документацию на это
дело в RouterOS(по категориям блокировать ашттп)

lyamoto
про

Цитата:

"DNS_guardian" в микротике никто не поднимал такой вариант блокирвоания контета?
подскажите где копать документацию на это
дело в RouterOS(по категориям блокировать ашттп)

вообще не понял, это где такое?
У нас блокирование по категориям идёт через SQUID - он стоит в режиме прозрачного прокси, в мангле есть правило, оно маркирует пакеты идущие на внешние адреса на 80 порт (http), в таблице маршрутов есть роут для этих промаркированных пакетов, он заворачивает весь этот трафик (а получается что это только ВЕБ трафик, ничего лишнего) на сквид.

Iliasla


Код: add action=drop chain=forward comment="TCP connection limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn

в ДНС в микротике можно прописывать
автоматический редирект с порно на яндекс.
просто "статически в кеш пишет" для таковато айпи
такой то адрес.
айпишник.порно.цом = www.ya.ru
и тп.
Нужно только базу подгрузить, что блокировать,
подсовывая,например,яндекс вместо того, чего быть не должно.
И все это дело можно по категориям бить,
аля сквидгуард.
Возможность есть, но как организовать блокировку?
Где брать базы? Говорят есть они...спецально для такого метода.

Дело не в прозрачном прокси и тп и не в маркировке пакетов,
все это нето, если требуется закрыть "категорию" сайтов-адресов,
ну например 1000 сайтов в категории порно и тп. 500 в рекламе,
банеры и тп...

Ну и ессно ставить отдельно сквид не вариант,
тик все сам умеет, вопрос где найти документацию
нормальную, а не справочник по командам.

Кстати, если нужна большая пропускная способность,
выше чем у кискО, то vyatta самое то. Коре версия бесплатная.
Функционал пока наращивают в ней...(документация очень хорошая),
а маршрутизаторы(железо) стоят в оО как дешевле кискО

lyamoto, faust72rus
Если 100 Мбит на торрентах, как я понял, то машину надо достаточно мощную.. Почтовый траффик куда меньшую нагрузку даёт.

vlh

Цитата:

это правило делает ограничение на каждый IP проходящий через интерфейс,
или нужно в Src.Address явно указывать на какой IP

На каждый. Там запись 64/32 означает к-во соединений/маску подсети, где маска 32 равна одному IP-адресу.

lyamoto

Цитата:

если требуется закрыть "категорию" сайтов-адресов,
ну например 1000 сайтов в категории порно и тп. 500 в рекламе,
банеры и тп...

Микротик тут не особо помощник, не нужно на роутер вешать несвойственные ему функции блокиратора контента.

Добрый день всем.

Помогите пожалуйста.
Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki


Заранее огромное спасибо!

Добавлено:
Добрый день всем.

Помогите пожалуйста.
Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki


Заранее огромное спасибо!

Цитата:

Как в Mikrotik насстроить блокировку сайтов не по домену и не по IP а по заголовку окна браузера. Ну например odnoklassniki

так а чем по домену плохо?.. *.odniklassniki.ru =)
http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy


Цитата:

если требуется закрыть "категорию" сайтов-адресов,
ну например 1000 сайтов в категории порно и тп. 500 в рекламе,
банеры и тп...

OpenDNS в помощь?.. http://www.opendns.com/