» MikroTik RouterOS (часть 2)

Цитата:

Цитата:попасть на веб-интерфейс модема, если известен его MAC?


никак. должен быть известен его IP. http работает на третьем, а не на втором уровне

IP тоже известен: 192.168.1.1 (назначен производителем). Но попасть не могу
Еще: system --> shutdown выключает роутер или подготовливает его к этому (нажимаю, через пару сек появляется окошко, что связь с машинкой утрачена, но при этом светодиоды, горят)?

Chupaka
2.9.27

nkbss
а на роутере настроена маршрутизация этой подсети? или он понятия не имеет о том, где находится 192.168.1.1?

shutdown вроде выключать должен... как минимум v4 на x86 =) на RB проверить не могу, стол занят

cambit
пришло время обновления разговоры про питекантропов - это, конечно, интересно, но неактуально

Chupaka

Цитата:

а на роутере настроена маршрутизация этой подсети? или он понятия не имеет о том, где находится 192.168.1.1?

он понятия не имеет, где находится 192.168.1.1., маршрутизация не настроена. Сейчас буду разбираться.
Спасибо.

чё тут разбираться - добавить на интерфейс, смотрящий в мопед, адрес типа 192.168.1.10/24 - и создать правило NAT для маскарада трафика с dst-address=192.168.1.1

Цитата:

чё тут разбираться - добавить на интерфейс, смотрящий в мопед, адрес типа 192.168.1.10/24 - и создать правило NAT для маскарада трафика с dst-address=192.168.1.1

Мне надо разбираться даже в таких (для вас) элементарных вопросах, чтобы не просто скопировал вставил, а при этом понял. Только что открыл пункт Routing:
Куда заходить и как сделать. Или дайте ссылку на статью на вики.микротик, где можно посмотреть/почитать. Спасибо

Типа такого нужно написать (не моё):

[admin@Mikrotik] > /ip firewall mangle add chain=prerouting src-address=192.168.0.0/16 dst-address=10.253.0.0/16
action=mark-packet new-packet-mark=253 passthrough=no
[admin@Mikrotik] > /ip firewall mangle add chain=prerouting src-address=192.168.0.0/16 dst-address=10.254.0.0/16
action=mark-packet new-packet-mark=254 passthrough=no

[admin@Mikrotik] > /ip firewall nat add chain=dstnat dst-address=10.253.0.0/16 packet-mark=253 action=netmap
to-addresses=192.168.0.0-192.168.255.255 to-ports=0-65535
[admin@Mikrotik] > /ip firewall nat add chain=dstnat dst-address=10.254.0.0/16 packet-mark=254 action=netmap
to-addresses=192.168.0.0-192.168.255.255 to-ports=0-65535

???

Или так: http://forum.ixbt.com/topic.cgi?id=14:47351 (последнее сообщение)

Здравствуйте есть микротик 4.6 на нем настроены вланы и через него клиенты ходят на фтп. Не все пользователи имеют возможность работать в сети, кто не имеет возможности рублю правилами
/ip firewall filter remove [find src-mac-address="00:1A:4D:FD:B1:0E"]

при включении порядка 500 правил, трафик через интерфейс падает вдвое с 400 на 200 мб. При отключении правил трафик вновь увеличивается. Подскажите в чем проблемма

nkbss
/ip ad ad ad=192.168.1.10/24 interface=чё-то-нужное
/ip fi nat add chain=srcnat dst-address=192.168.1.1 action=masquerade

romychk
какая аппаратная платформа? какая загрузка CPU? но всё равно, 500 правил - это больно... зачем?

Цитата:

/ip ad ad ad=192.168.1.10/24 interface=чё-то-нужное
/ip fi nat add chain=srcnat dst-address=192.168.1.1 action=masquerade

Точно?
Или

/ip address add address=192.168.1.10/24 interface=WAN
/ip firewall nat add chain=srcnat dst-address=192.168.1.1 action=masquerade

так? Или я не все сокращения верно понял?

nkbss


Цитата:

/ip address add address=192.168.1.10/24 interface=WAN
/ip firewall nat add chain=srcnat dst-address=192.168.1.1 action=masquerade

так? Или я не все сокращения верно понял?

В принципе так.....

Модем 192.168.1.1 ......

А какой у вас адрес локальной сети?

данный микротик рубит маки которые не должны работать в сети, загрузка процессора меньнше 25%, а скорость через интерфес с 400 падает до 150-200

а можна чем то другим резать ненужные маки, чтобы они не имели доступ к сети
в сети адреса 172.16.*.*

Цитата:

а можна чем то другим резать ненужные маки

Фильтрацией маков на свиче. Если свич не совсем тупой и это позволяет.

Код: /ip firewall filter remove [find src-mac-address="00:1A:4D:FD:B1:0E"]

Цитата:

так? Или я не все сокращения верно понял?

роутерос меня точно поймёт =) именно так

romychk
лучше использовать статическую ARP-таблицу

Доброго времени суток всем,
понимаю что не совсем в тему вопрос...только начал смотреть в сторону микротикОС

в данный момент у меня есть вин2003 + траффик инспектор на котором поднимается 2-5 pppoe соединений с провайдером через 1 из которых поднимается еще одно vpn соединение с удаленным офисом.
(итого 5pppoe, 1vpn, 1lan).
пользователи (10-15 чел.) из локальной сети подключаются к серверу по VPN и в зависимости от созданной группы в ТИ получают только нужное им (интернет через выбранное pppoe соединение, связь с удаленным офисом).


скачал микротик 3.30 образ для vmware7, подключил на нем pppoe соединения, не получается поднять vpn соединение с удаленным офисом......конечно буду мануалы читать

Но подскажите можно ли такое (альтернатива глючному ТИ+Win2003) реализовать на микротик роутер ос?

если я буду использовать статистическую арп таблицу человек с определенным маком не сможет поставить вручную !Р другую?

romychk Нет. Если у него нет на сервере админских прав.

Зато сможет поставить другой MAC - для этого прав на сервере не нужно.

а какое правило меньше ест нагрузку:
1 когда только мак прописать
2 когда только прописать мак, интерфейс, !Р?

Chupaka Доброго времени суток, если помнишь я все добиваю скрипт по блокировки MAC + IP(где эти данные он берет из ARP листа). В общем вот что у меня получилось:

Цитата:

/ip arp
:foreach i in=[find dynamic]
    do={
        : local mac [get $i mac-address]; ## получение MAC адреса
        : local ip [get $i address];     ## получение IP адреса
        : local eth [get $i interface]; ## получение интерфейса в который включен данный IP клиент
        : local p [ :len [/ip firewall filter find src-address=$ip]]; ## нахождение совпадающий IP адресов
        : if ($p != 1) ## условие найденого IP адреса - разветление скрипта
            do ={
            /ip firewall filter add chain=forward in-interface=$eth src-mac-address=$mac src-address=$ip action=accept
            };
        }

Но я все никак не могу успокоиться и придумал сам себе новую задачу, как найти полученный IP адрес в адрес-листе и в случае его нахождение перевести в состояние disable, если же такой IP не найден в адрес листе то правило не создавать.

p.s. найти IP в адрес листе это не сложно /ip firewall address-list find address=$ip, но как перевести этот IP-ник в адрес-листе в состояние disable (как узнать его id?)??
P.S.S. - Все спасибо - сам нашел для себя решение)) если кому интересно могу выложить.

Vedmich
видимо, /ip firewall address-list disable [ find address=$ip ] ? =)

Вот а еще такой вопрос - можно ли нормально писать скрипты а потом нормально их редактировать прямо в Mikrotike? А то я все в одну строку - так не удобно получается( А когда якобы создал скрипт при его редактировании просит ввести value-name - я ввожу его имя а в ответ выдается ошибка. Никак не могу добиться нормального исполнения скрипта.

Vedmich
/system script edit <script_name> source

На работе нет возможности опробовать - домой приду сделаю.

Извиняюсь, если немного не в тему, но все же...
Я только начал разбираться с Mikrotik, поэтому возникли немного глупые вопросы. Одним словом, необходимо организовать для небольшого предприятия шлюз, который будет поднимать PPPoE соединение или работать в режиме бриджа, для отправки трафика на adsl модем, будет собирать статистику по http/https (опционально ftp), собирать полную статистику по трафику в разрезе протоколов, NAT, ну и защищать сеть. Возможно ли такое все реализовать на Mikrotik OS и на железке RB433AH
http://www.routerboard.com/index.php?showProduct=37
Хватит ли ей ресурсов ?

TeX
для статистик нужна отдельная машина. а в остальном - должно хватать

Помогите с такой проблемой: раз в день в любое время пропадает интернет у клиентов. При этом к VPN подключаеться без проблем. Смотрю в логи, вижу красным написано ddns таймаут. Перезагружаю сервер все номально. На следующий день такая же фигня. Есть у кого какие нибудь предположения???

Код: chain=input src-address=172.17.1.50 action=accept

ghost298
какая версия?

vlh
йоптиль... =)


Код: chain=input protocol=tcp dst-port=8291 action=drop

Chupaka

Цитата:

для статистик нужна отдельная машина. а в остальном - должно хватать

Машин за шлюзом будет от 3 до 20. Если установить в эту мать SD карту Гб на 8, тоже не потянет ? Просто не нужны большие навороты, я могу такой функционал реализовать на Free BSD, только не хочется ставить для этого отдельный компьютер. По опыту работы со сквидом у меня не выходили логи более 4 Гб, организация небольшая и активность пользователей невысокая.