» MikroTik RouterOS (часть 2)

Chupaka

Спасибо за четкий ответ.

Chupaka

Цитата:

и дальше никого никуда заносить не надо

Если пул создан, то dhcp-сервер о нём ведь просто так не узнает, там ещё что-то должно быть. Что-то вроде "новый мак" кричит DHCPDISCOVER - в ответ сервер ему даёёт адрес из пула. Как это сделать, что-то очень простое, не не пойму как.

FreeLSD_md
так в свойствах дхцп-сервера параметр "адрес-пул" =)

Chupaka


Цитата:

C:\Documents and Settings\Admin>tracert ya.ru

Трассировка маршрута к ya.ru [77.88.21.3]
с максимальным числом прыжков 30:

1 10.8.0.10 сообщает: Заданная сеть недоступна.

Трассировка завершена.

Вот что показывает, говорю это первая настройка и пока я не спец в этом.
Сразу оговорюсь что проблема может быть где угодно... :)

Не подскажешь куда копать?

flexman
только что проверил. такого результата (отбивка с первого же хопа) удалось добиться только когда в таблице маршрутов нет подходящего маршрута для данного пакета...

Цитата:

только что проверил. такого результата (отбивка с первого же хопа) удалось добиться только когда в таблице маршрутов нет подходящего маршрута для данного пакета...

Вообще этот девайс РБ-1000 предназначен только для авторизации ВПН клиентов.
НАТ и интернет на сервере (Траффик Инспектора 2.0.0.628). Как все же это реализовать?

flexman
реализовать - запросто. а сейчас мы занимаемся поиском ошибки в реализации, не видя конкретной конфигурации =) правила бы файрвола хотя бы в студию...

Цитата:

реализовать - запросто. а сейчас мы занимаемся поиском ошибки в реализации, не видя конкретной конфигурации =) правила бы файрвола хотя бы в студию...

Я извиняюсь а какой коммандой или скриншота хватит?

flexman
/ip firewall export

Цитата:

/ip firewall export

[admin@MikroTik] > ip firewall export
# jan/07/1970 02:46:18 by RouterOS 4.5
# software id = DEIV-TMHY
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \
tcp-close-wait-timeout=10s tcp-established-timeout=1d \
tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \
tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=yes dst-address=10.8.0.10 \
to-addresses=10.8.0.6
add action=src-nat chain=srcnat comment="" disabled=yes src-address=10.8.0.6 \
to-addresses=192.168.10.0-192.168.10.255
add action=masquerade chain=srcnat comment="" disabled=no out-interface=\
ether1
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no
[admin@MikroTik] >

flexman
/ip route print

Цитата:

/ip route print

Спасибо за помошь! проблему разрешили... с Константином

Проблема вся была в маршрутизации МТ с моим сервером!

есть еще одна задача:

имеется РБ-750 через него ходит голос (сип и аш323) и трафф интернет.
нужно настроить КОСы, голос 1 все другое 2.

Не подскажите как это организовать?

flexman
можно покурить тему http://forum.mikrotik.com/viewtopic.php?f=2&t=42491 - вроде там достаточно грамотно организовано

Цитата:

можно покурить тему http://forum.mikrotik.com/viewtopic.php?f=2&t=42491 - вроде там достаточно грамотно организовано

Почитал, но пока мне что-то это трудно понять какой трафф куда загонять и поделить... не могли бы вы немного объяснить?

flexman
там загоняют игровой. вот правила мангла поменять на маркировку голоса

ок. понял завтра буду пробывать

Здравствуйте ! Поделитесь опытом, как установить Микротик на флешь-карту СФ в картридере включенную в ЮСБ-порт. Микротик при установке не видит ее, хотя в Биосе присутствуют 3 дополнительных Харддиска SD, MS/M2 и CF.

Привет всем !
Присоединяюсь вопросу PavelPch...
А как можно установить прогу на обычную USB флеш?

никак не разберусь с этой штукой:
WMM
хочу попробовать у себя на беспроводных линках...
там мало примеров, может кто подкинет для образца?
и вообще стоит с этим заморачиваться или есть подводные камни?

Нашел тему интересную по переходникам - http://forum.ixbt.com/topic.cgi?id=27:8844

Цитата:

как можно установить прогу на обычную USB флеш?

всегда делал так:
- втыкаем флэшку в комп;
- запускаем NetInstall;
- выбираем воткнутую флэшку, нужные пакеты, жмём Install;
- по окончанию достаём флэшку из компа, втыкаем в маршрутер, грузимся с неё;
- всё остальное она сделает сама.

Здравствуйте всем
есть устройство Co-World ShareDisk Gigabit Pro (NDAS хранилище - использует свой LPX protocol) подключенный к mikrotik 750G(с функцией switch)
и не видится по сети ни в какую - причем интересно - на новом 750G стояла заводская 3.30 - и этот NDAS работал - правда нестабильно, а после апдейта на ветку 4.x вообще перестал
Вроде бы включен режим switch all ports и по идее он просто обязан видится так как работает через свой LPX протокол
В общем гуру подскажите плиз в какую строну копать или может кто уже наступал на эти грабли - поделитесь опытом pls

NeoHunter
что из себя LPX-то представляет?..

Ну это своя реализация которая используется вместо tcp/ip - странно что rb750G с ней что-то вообще делает - она не маршрутизируемая и вообще я вроде включил switch all ports - но похоже что все таки что-то не то
Вот на всякий случай описание работы NDAS вкратце
http://www.3dnews.ru/storage/co_world_sharedisk_gigabit_pro
http://www.3dnews.ru/storage/co_world_sharedisk_gigabit_pro/index2.htm
разработчики технологии - ximeta
http://www.ximeta.com/

Смотрю примеры базовой настройки роутера которые указаны в шапке (Раздел форума PCRouter, посвященный MikroTik RouterOS)
в первой части все правила для ip firewall filter add chain input
во второй части ip firewall filter add chain forward

в моем случае мтик получает инет через пппое и установлен в локальной сети для раздачи инета по впн на несколько человек

[alex@MikroTik] > ip firewall filter add chain input connection-state=invalid action=drop comment="Drop invalid connection packets"
[alex@MikroTik] > ip firewall filter add chain input connection-state=established action=accept comment="Allow established connections"
[alex@MikroTik] > ip firewall filter add chain input connection-state=related action=accept comment="Allow related connections"
[alex@MikroTik] > ip firewall filter add chain input protocol=udp action=accept comment="Allow UDP"
[alex@MikroTik] > ip firewall filter add chain input protocol=icmp action=accept comment="Allow ICMP Ping"
[alex@MikroTik] > ip firewall filter add chain input src-address=172.17.1.50 action=accept comment="Access to router only for admin"
[alex@MikroTik] > ip firewall filter add chain input action=drop comment="All other inputs drop"

все же как правильно правила задавать для защиты маршрутизатора в первую очередь извне ну и внутри лок сети? input?

Что поменяется в примере в данной схеме http://wiki.mikrotik.com/wiki/Manual:PCC

Код:
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2

/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2
add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:2/0 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:2/1 \
action=mark-connection new-connection-mark=wlan2_conn passthrough=yes
add chain=prerouting connection-mark=wlan1_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan1
add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan2 action=masquerade

И у меня попутный вопрос не избыточны ли правила?

/ip firewall filter
add action=drop chain=input comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid disabled=no
add action=accept chain=input comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=forward comment="Allow established connections" connection-state=established disabled=no
add action=accept chain=input comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=forward comment="Allow related connections" connection-state=related disabled=no
add action=accept chain=input comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=forward comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=input comment="Allow ICMP" disabled=no protocol=icmp
add action=accept chain=forward comment="Allow ICMP" disabled=no protocol=icmp
add action=accept chain=input comment="Access to router" disabled=no src-address=172.25.101.0/24
add action=accept chain=forward comment="Access to internet" disabled=no src-address=172.16.0.0/24
add action=drop chain=forward comment="All other DROP" disabled=no
add action=drop chain=input comment="All other inputs drop" disabled=no

Chupaka
День добрый!

Сделал вроде как по той схеме правила да вот не вижу голоса, пакеты не метяться может где ошибка?

[admin@WiFi-Router] > ip firewall mangle
[admin@WiFi-Router] /ip firewall mangle> add action=mark-packet chain=prerouting
comment="Mark incoming phone packets" disabled=no in-interface=ether1-gateway new-packet-mark=Phone-In passthrough=no protocol=udp src-port=5060,1720
[admin@WiFi-Router] /ip firewall mangle> add action=mark-packet chain=prerouting comment="Mark incoming Internet packets" disabled=no in-interface=ether1-gateway new-packet-mark=Internet-In passthrough=no
[admin@WiFi-Router] /ip firewall mangle> add action=mark-packet chain=forward comment="Mark outgoing Internet packets" disabled=no new-packet-mark=Internet-Out out-interface=ether1-gateway passthrough=no
[admin@WiFi-Router] /ip firewall mangle> add action=mark-packet chain=forward comment="Mark outgoing phone packets" disabled=no new-packet-mark=Phone-Out out-interface=ether1-gateway passthrough=no port=5060,1720 protocol=udp

Кто-нибудь пользуется Proxylizer для сбора статистики с WebProxy?
Вроде всё настроено, счётчик посещённых страниц крутится, в логах ошибок нет, но отчёты не генерируются.
Вот такое сообщение уже второй день Report not generated yet, click "Check Status" after few moments.
Вроде говорили подождать, что слишком долго генерирует отчёты, но не настолько же..

Если кто пользуется Web Proxy, чем смотрите логи посещенных страниц?

Возникла такая ситуация.

есть два микротика level4.

на одном приходят 100 вланов. на ether1

ethernet2 и интерфесом 192.168.1.2 смотрит в шлюз. 192.168.1.1 в СЕТЬ L3.

второй микротик с интерфесом 172.16.1.2 и шлюзом 172.16.1.1 смотрит в тоже СЕТЬ L3

т.е. у нас заказано объединение на основе L3.

мне надо пробросить все вланы на второй микротик и чтоб он отдал их дальше в циску.

т.е. я хочу сделать L2 поверх L3 (софтовые маршрутизаторы)

Копал eoip tunnel и bridge, но он все вланы в итоге один и его кидает во второй микротик.
может у кого есть опыт.
надо прокинуть все вланы, не смешивая их.