» MikroTik RouterOS (часть 2)

С пингом разобрались -- дефолтный роутинг помог.
Но возникла новая проблема. Указал в настройках сети в качестве шлюза микротик и так получилось, что половина интернета не работает, хотя всё пингуется. работает yandex(весь), youtube(не показывает ролики) и ещё несколько сайтов на y. Как это можно объяснить и почему могут не работать сайты, хотя они пингуется. В правилах фаирвола стоит форвард, инпут, аутпут, что бы наверняка всё пропускал...

DobroFenix
http://www.mikrotik.by/index.php?showtopic=56

хелп ми, немогу разобраться в queue simple.

есть такая маркировка.
/ ip firewall mangle
add chain=prerouting protocol=tcp dst-port=80 action=mark-connection new-connection-mark=http_conn passthrough=yes
add chain=prerouting connection-mark=http_conn action=mark-packet new-packet-mark=http passthrough=no
add chain=prerouting p2p=all-p2p action=mark-connection new-connection-mark=p2p_conn passthrough=yes
add chain=prerouting connection-mark=p2p_conn action=mark-packet new-packet-mark=p2p passthrough=no
add chain=prerouting action=mark-connection new-connection-mark=other_conn passthrough=yes
add chain=prerouting connection-mark=other_conn action=mark-packet new-packet-mark=other passthrough=no



Потом есть ограничение на каждого пользователя в скорости:
/ queue simple
add name="user1" target-addresses=10.10.0.1/32 max-limit=256k
add name="user2" target-addresses=10.10.0.2/32 max-limit=128k
add name="user3" target-addresses=10.10.0.3/32 max-limit=512k

И хочу что бы согласно маркировке выдавался приоритет пакетам:
add name="http" parent=??? packet-marks=http priority=1
add name="p2p" parent=??? packet-marks=p2p priority=8
add name="other" parent=??? packet-marks=other priority=5

Если я не указываю парента (parent=None), то всё это не работает и даже ограничение скорости указанное выше! А если указать конкретного юзера (parent=user1) - то всё вроде пашет.

А как сделать что бы приоритет выдавался для ВСЕХ пользователей ?? или надо писать кучу правил для каждого пользователя??

Oput
именно так - либо кучу правил на каждого, либо чуть менее детерминированная схема с двойным шейпированием, как в презентации: http://mum.mikrotik.com/presentations/CZ09/QoS_Megis.pdf

имеется 3 интерфейса:
ether1, который смотрит в локальную сеть (компьютеры в сети имеют адреса 192.168.0.100, 192.168.0.102, .... )
ether2, который подымает pppoe-out1 сессию от провайдера. От провайдера получается статический ip.
ether3, который подымает pppoe-out1 сессию от провайдера. От провайдера получается статический ip.
Маршрутизатор имеет ip 192.168.0.110 и работает с сетью 192.168.0.0/24.
Сеть должна получать полный доступ в интернет через pppoe-out1, а через pppoe-out2 должен работать только 1 компьютер c ip 192.168.0.102
Должен осуществляться port forwarding на компьютеры, которые работают на ether1 из интерфейсов pppoe-out1 и pppoe-out1
На ip 192.168.0.100 c интерфейса pppoe-out1 должен быть виден 80 порт.
На ip 192.168.0.102 c интерфейса pppoe-out2 должен быть виден 25 порт.

Может кто-нибудь помочь?

DobroFenix

Цитата:

Может кто-нибудь помочь?

RouterOS может помочь =)

если подробнее - то:


Цитата:

Сеть должна получать полный доступ в интернет через pppoe-out1, а через pppoe-out2 должен работать только 1 компьютер c ip 192.168.0.102

http://wiki.mikrotik.com/wiki/Manual:IP/Route


Цитата:

Должен осуществляться port forwarding

http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP

А если по деньгам, то во сколько подобная настройка выйдет?

Создал 2 pppoe соединения.
Прописал для них вот такие правила:
[dobrofenix@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=accept in-interface=pppoe-out1

1 chain=forward action=accept in-interface=pppoe-out2

Пробовал играться с аццептами, переправляя их на разные интерфейсы, игрался dstnat и srcnat, указывая в ин локальный интерфейс, а в оут внешний, но так ничего и не получилось.

Как сделать так, что бы мой рабочий компьютер с ip 192.168.0.104 мог выходить с интерфейса pppoe-out1, а не pppoe-out2

Все роуты дефолтны и получены от провайдера.
[dobrofenix@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADC 85.113.63.105/32 85.113.39.168 pppoe-out2 0
1 ADC 85.113.63.106/32 85.113.58.199 pppoe-out1 0
2 ADC 192.168.0.0/24 192.168.0.110 ether1 0

Как так сделать, что бы 80 порт шел в nat по pppoe-out1, а 81 порт шел в nat через pppoe-out2 ?

DobroFenix
моя аська - под ссылкой "ICQ" возле каждого поста...

Всем доброго времени суток! Подскажите пожалуйста. Столкнулся со следующей проблемой,никак не получается заставить слушать HotSpot на Mikrotik`е в нескольких виланах,можно ли вообще это реализовать ?
Допустим имеются 4 вилана, vlan1,vlan2,vlan3,vlan4 и т.д и один IP пул pool1, как заставить HotSpot на Mikrotik`е раздавать адреса из pool1 во все вланы ?

Vlasglass
поскольку пул один, то и интерфейс логично один сделать. поэтому создаём бридж, добавляем в него виланы, вешаем хотспот на бридж

Здравствуйте.

прошу посмотреть правильно ли я настроил шейпер
по тестам вроде как работает хотя может что-нибудь и не так
может что-нибудь надо изменить

RG750G
ROS 3.31
соединение PPPOE

в 1порт wan
2-мой комп
3-в свитч на котором юзеры (5чел.)

nat masquerade

юзерам скорость от 1 ДО 3,5Мбит
мне ДО 7Мбит

Код: [dan@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; change MSS out
chain=forward action=change-mss new-mss=1360 tcp-flags=syn protocol=tcp in-interface=WS-pppoe-out1 tcp-mss=1361-65535

1 ;;; change MSS in
chain=forward action=change-mss new-mss=1360 tcp-flags=syn protocol=tcp out-interface=WS-pppoe-out1 tcp-mss=1361-65535

2 ;;; Dan down con
chain=forward action=mark-connection new-connection-mark=dan_con_down passthrough=yes dst-address-list=dan_comp

3 ;;; icmp_dns_down
chain=forward action=mark-packet new-packet-mark=icmp_dns_down passthrough=no protocol=icmp connection-mark=dan_con_down

4 ;;; icmp_dns_down
chain=forward action=mark-packet new-packet-mark=icmp_dns_down passthrough=no protocol=udp dst-port=53 connection-mark=dan_con_down

5 X ;;; dan_tcp_browse_down
chain=forward action=mark-packet new-packet-mark=dan_tcp_browse_down passthrough=no protocol=tcp src-port=80 connection-mark=dan_con_down
connection-bytes=0-300000

6 ;;; dan_tcp_all_down
chain=forward action=mark-packet new-packet-mark=dan_tcp_all_down passthrough=no protocol=tcp src-port=80 connection-mark=dan_con_down

7 ;;; dan_all_down
chain=forward action=mark-packet new-packet-mark=dan_all_down passthrough=no connection-mark=dan_con_down

8 ;;; Users down con
chain=forward action=mark-connection new-connection-mark=users_con_down passthrough=yes dst-address-list=44_comp

9 ;;; icmp_dns_down
chain=forward action=mark-packet new-packet-mark=icmp_dns_down passthrough=no protocol=icmp connection-mark=users_con_down

10 ;;; icmp_dns_down
chain=forward action=mark-packet new-packet-mark=icmp_dns_down passthrough=no protocol=udp dst-port=53 connection-mark=users_con_down

11 ;;; users_tcp_all_down
chain=forward action=mark-packet new-packet-mark=users_tcp_all_down passthrough=no protocol=tcp src-port=80 connection-mark=users_con_down

12 ;;; users_all_down
chain=forward action=mark-packet new-packet-mark=users_all_down passthrough=no connection-mark=users_con_down

13 ;;; low_other_down
chain=forward action=mark-packet new-packet-mark=low_other_down passthrough=no in-interface=WS-pppoe-out1

14 ;;; Dan up con
chain=forward action=mark-connection new-connection-mark=dan_con_up passthrough=yes src-address-list=dan_comp

15 ;;; icmp_dns_up
chain=forward action=mark-packet new-packet-mark=icmp_dns_up passthrough=no protocol=icmp connection-mark=dan_con_up

16 ;;; icmp_dns_up
chain=forward action=mark-packet new-packet-mark=icmp_dns_up passthrough=no protocol=udp src-port=53 connection-mark=dan_con_up

17 X ;;; dan_tcp_browse_up
chain=forward action=mark-packet new-packet-mark=dan_tcp_browse_up passthrough=no protocol=tcp dst-port=80 connection-mark=dan_con_up
connection-bytes=0-300000

18 ;;; dan_tcp_all_up
chain=forward action=mark-packet new-packet-mark=dan_tcp_all_up passthrough=no protocol=tcp dst-port=80 connection-mark=dan_con_up

19 ;;; dan_all_up
chain=forward action=mark-packet new-packet-mark=dan_all_up passthrough=no connection-mark=dan_con_up

20 ;;; Users up con
chain=forward action=mark-connection new-connection-mark=users_con_up passthrough=yes src-address-list=44_comp

21 ;;; icmp_dns_up
chain=forward action=mark-packet new-packet-mark=icmp_dns_up passthrough=no protocol=icmp connection-mark=users_con_up

22 ;;; icmp_dns_up
chain=forward action=mark-packet new-packet-mark=icmp_dns_up passthrough=no protocol=udp src-port=53 connection-mark=users_con_up

23 ;;; users_tcp_all_up
chain=forward action=mark-packet new-packet-mark=users_tcp_all_up passthrough=no protocol=tcp dst-port=80 connection-mark=users_con_up

24 ;;; users_all_up
chain=forward action=mark-packet new-packet-mark=users_all_up passthrough=no connection-mark=users_con_up

25 ;;; low_other_up
chain=forward action=mark-packet new-packet-mark=low_other_up passthrough=no out-interface=WS-pppoe-out1

26 chain=forward action=log log-prefix="NO_MANGLE"

Chupaka спасибо за ответ ! Сделал следующее,но почему то Hotspot так и не хочет ничего раздавать с такой конфигурацией,если вешать Hotspot в каком либо из виланов в отдельности,то работает,а так нет.
Подскажите пожалуйста,что сделал не так ?


[admin@MikroTik] > /interface bridge add
[admin@MikroTik] > /interface bridge port add bridge=bridge1 interface=ether3
[admin@MikroTik] > /interface vlan add name=vlan22 vlan-id=22 interface=bridge1 disabled=no
[admin@MikroTik] > /interface vlan add name=vlan23 vlan-id=23 interface=bridge1 disabled=no
[admin@MikroTik] > /interface vlan add name=vlan24 vlan-id=24 interface=bridge1 disabled=no
[admin@MikroTik] > /interface vlan add name=vlan25 vlan-id=25 interface=bridge1 disabled=no
[admin@MikroTik] > /ip hotspot setup
Select interface to run HotSpot on

hotspot interface: bridge1
Set HotSpot address for interface

local address of network: 10.5.50.1/24
masquerade network: yes
Set pool for HotSpot addresses

address pool of network: 10.5.50.2-10.5.50.254
Select hotspot SSL certificate

select certificate: root
Select SMTP server

ip address of smtp server: 0.0.0.0
Setup DNS configuration

dns servers: 67.220.1.2,8.8.8.8
DNS name of local hotspot server

dns name: hs.some.com

Vlasglass
не надо добавлять виланы на бридж. надо добавлять виланы портами бриджа

Chupaka
Сделал следующее,но Hotspot так ничего и не отдаёт,не пойму в чём дело


Код:
[admin@MikroTik] > /interface vlan add name=vlan22 vlan-id=22 disabled=no interface=ether3
[admin@MikroTik] > /interface vlan add name=vlan23 vlan-id=23 disabled=no interface=ether3
[admin@MikroTik] > /interface vlan add name=vlan24 vlan-id=24 disabled=no interface=ether3
[admin@MikroTik] > /interface bridge add
[admin@MikroTik] > interface bridge port add bridge=bridge1 interface=vlan22 disabled=no
[admin@MikroTik] > interface bridge port add bridge=bridge1 interface=vlan23 disabled=no
[admin@MikroTik] > interface bridge port add bridge=bridge1 interface=vlan24 disabled=no
[admin@MikroTik] > /ip hotspot setup
Select interface to run HotSpot on

hotspot interface: bridge1
Set HotSpot address for interface

local address of network: 10.5.50.1/24
masquerade network: yes
Set pool for HotSpot addresses

address pool of network: 10.5.50.2-10.5.50.254
Select hotspot SSL certificate

select certificate: root
Select SMTP server

ip address of smtp server: 0.0.0.0
Setup DNS configuration

dns servers: 67.220.1.2,8.8.8.8
DNS name of local hotspot server

dns name: root
[admin@MikroTik] >

Chupaka
Вопрос к тебе:
1. Вот нужно на офис раздать инет с ОГО 8 Мб/с входящий , 1 Мб исходящий
Есть 2 статьи :
1. http://habrahabr.ru/blogs/ubuntu/87421/ - без тика
2. http://silverghost.org.ua/2008/10/13/ustanovka-billinga-abills-na-ubuntu-804-lts-server-mikrotik-router-os-v-kachestve-servera-dostupa/ - с тиком

П.С. Старого железа хватает это не проблема 1 или 2 пк надо для системы.

Предвопрос:
Может ли Абиллс шейпить канал для юзеров в неравных скоростях:
256 исх / 64 вх
Если нет вопрос с Абиллс отпадает, пожалуйста предложи другой вариант как раздать инет.

ПО 1 поводу:

[spoiler]Настройка VPN (pptp) клиента для доступа сервера в интернет.
При наличии DVD диска или подключения к интернету можно просто дать команду

apt-get install pptp-linux

если нет возможности автоматической установки, то необходимо скачать пакет в папку и запустить установку вручную.

dpkg -i pptp-linux_1.7.0-2ubuntu2_i386.deb

Теперь приступим к настройке VPN, для этого идем в папку /etc/ppp/peers и создаем там файл к примеру aist

vim /etc/ppp/peers/aist

а в нем уже пишем

mtu 1400

mru 1500

persist

maxfail 0

lcp-echo-interval 60

lcp-echo-failure 4

pty "pptp адрес впн сервера провайдера --nolaunchpppd"

name логин

password пароль

remotename PPTP

require-mppe-128

defaultroute

replacedefaultroute

Теперь перед тем как поднять VPN необходимо прописать маршрутизацию для внутренней сети провайдера, т.к. через VPN к ней доступа нет.
Редактируем файл /etc/network/interfaces чтобы получилось примерно следующее содержание

auto lo eth1 eth0

iface lo inet loopback



iface eth1 inet static

address 192.168.110.1

netmask 255.255.255.0



iface eth0 inet dhcp

up route add -net 172.16.0.0 netmask 255.240.0.0 dev eth0

up route add -net 10.0.0.0 netmask 255.0.0.0 dev eth0

up route add -net 192.168.0.0 netmask 255.255.255.0 dev eth0

up pon aist

pre-down poff aist

Для проверки можно воспользоваться командой

/etc/init.d/networking restart

после этого все интерфейсы будут перезапущены. VPN подключится автоматически.
Если все прошло удачно, то можно проверить командой ifconfig появился ли интерфейс ppp0
!!! Внимание, в этот момент у вас на сервере на настроен NAT и поднять инет, т.е. все юзеры из локалки имеют неограниченый доступ в инет.!!![/spoiler]

ПО анологии думаю ррое подымется ?
Зачем прописывать роуты? если мне нужно только для лок сети? Если у меня ПК (в моём случае) все 192.168.1.1-254 , серв на 192,168,1,1 вешать буду.

В случае с Микротиком:

В конце настройка роутера:

/interface pppoe-server server add interface=ether1 service-name=pppoe-in authentication=chap
/interface pptp-server server set enabled=yes authentication=chap

Зачем ррое и pptp сервера 2 ?

И можно ли составить на досуге для непродвинутых людей пару мануалов с нормальными обьяснениями для таких тем (не по этой теме но думаю туча людей токотые хотят сэкономить деньги будут тебе ьлагодарны, а то в инете рою уже 2 неделю) :
1. VPN server на базе Ubuntu x.x + *биллинг(кототый выполняет моё предусловие, ибо буду раздавать ОГО)*
2. Microtik + Abills(или другой бесплатный биллинг) для малого офиса или мелкого провайдера.

Главная задача даже непомегабайтные тарифы, а безлим тарифы с обрезкой по скорости + желательно ещё бы соц сети порезать для конторы, на тике даже без биллинга можно группы адресов запретить(поправь если ошибаюсь).
+ желательно бы наблюдать куда и когда ходили пользователи с сети.

Прошу под вин решение не предлагать ибо чтоб раздать инет на 20 ПК через всякие вин фуфло нужно как минимум 2 головый пень с 2 Га на борту.

P.S. Если честно в Линухе я не СисАдмин и не Гуру, но платить деньги за настройку не не хочю, просто не могу уж больно зарплата кусающаяся.

Если знаешь куда можно обратится за мануалами скажи.
Кстати проблема как по мне большая, так как для мелких офисов щас без инета не как.
+ В лок. сетях можно деньги сэкономить ибо тариф. план: 20Мб/10Мб - 30$ (приблизительно), а 2 Мб / 1 Мб - 8 $,
И ещё 1 казус на ОГО(Ppoe) то понятно, если забить канал торентами то пинги будут расти,
но для локала это нетак уж ванно, но триоритеты для траффика можно б было раставить.
Написал кучу всего, ен серчайте а помогите кто чем может.

И уже сильно обнаглею можете поругать , видео с настройкой пошаговой было бы самое то.

Перестал работать SSL. В настройках ничего не изменялось. В фаерволле запрещающих правил только два: дропать invalid и дропать все не вошедшее в разрешилово. По портам и протоколам ограничений нет. Выход в инет через PPPOE, клиенты выходят в инет через PPTP. HTTP работает, не пускает только на HTTPS.

Удалите - провтыкал редирект

--

Добавлено:
Vlasglass
а адреса с виланов на бридж перевешены?

RuS_UA
с абиллсом никада не работал


Цитата:

Зачем ррое и pptp сервера 2 ?

чтобы юзеры подключались к тому впн, который им удобнее, видимо %)


Цитата:

если забить канал торентами то пинги будут расти

поэтому не надо забивать канал под плешку

Настроил, но вот беда:
Если делать по инструкции, {
[alex@MikroTik] > ip firewall filter add chain forward src-address=172.17.1.50 action=accept comment="Access to internet from admin"
[alex@MikroTik] > ip firewall filter add chain forward action=drop comment="All other forwards drop" }

только я вбиваю, вместо 172.17.1.50 10.10.0.0/24 - все адреса ВПН клиентов, но не пашет =(, если даже по 1, от 10.10.0.1 до 10.10.0.25 тоже не пашет =(.

Помогло только так:


Разрешил гулять кому попало, а потом запретил гулять через сеть =)

Инет нужно только чтоб через pptp-сервак раздавался.

Что означает "!" перед интерфейсом или адресом? В мануалах не нашёл.

Можно пример правила:
1. Сеть 1 - локалка
2. PPoE -подымаю инет им
3. PPTP-сервак + PPTP-клиенты должны гулять в PPoE , а всё остальное запретить.

А не так как у меня, что все гуляют куда попало, а локалка не может.


И больше доставать не буду.

Цитата:

посмотри статью и скажи ГДЕ там подымается соединения с роутера в инет?

там этот вопрос не рассматривается


Цитата:

в Микротике можно поставить, если можно дай скрин как в Бохе делается

что поставить?


Цитата:

Дай хоть ссылки на нормальные статейки

я только http://forum.mikrotik.com и http://wiki.mikrotik.com юзаю...

Шейпер в Микротике есть, чтоб каждому пользователю канал урезать.

Уважаемые спецы - помогите - есть задача: поднять на микротике (3.30) openvpn сервер поднять на вин хр клиента подключаться, работать.

что сделано: поднят клиент на вин хр, правильность его конфига проверена подключением к серверу на вин хр (клиет и сервер в данном случае разные компьютеры с одинаковой ОС), используется подключение с применением сертификатов и ключей настроенное по http://forum.ixbt.com/topic.cgi?id=14:40906#1 (генерация ключей, сертификатов, настройка сервера)

Сервер на микротике настроен по вики http://wiki.mikrotik.com/wiki/OpenVPN оттуда же позаимствована конфигурация клиента.

Проблема: сетевое соединение сбрасывается, вот лог клиента
-----------------------------
Wed Jul 14 20:47:24 2010 OpenVPN 2.0.9 Win32-MinGW [SSL] [LZO] built on Oct 1 2006
Wed Jul 14 20:47:33 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jul 14 20:47:33 2010 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Jul 14 20:47:33 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 14 20:47:33 2010 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Jul 14 20:47:33 2010 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Wed Jul 14 20:47:33 2010 Local Options hash (VER=V4): 'db02a8f8'
Wed Jul 14 20:47:33 2010 Expected Remote Options hash (VER=V4): '7e068940'
Wed Jul 14 20:47:34 2010 Attempting to establish TCP connection with 192.168.10.1:1201
Wed Jul 14 20:47:34 2010 TCP connection established with 192.168.10.1:1201
Wed Jul 14 20:47:34 2010 TCPv4_CLIENT link local: [undef]
Wed Jul 14 20:47:34 2010 TCPv4_CLIENT link remote: 192.168.10.1:1201
Wed Jul 14 20:47:34 2010 Connection reset, restarting [0]
Wed Jul 14 20:47:34 2010 TCP/UDP: Closing socket
Wed Jul 14 20:47:34 2010 SIGUSR1[soft,connection-reset] received, process restarting
Wed Jul 14 20:47:34 2010 Restart pause, 5 second(s)
Wed Jul 14 20:47:39 2010 IMPORTANT: OpenVPN's default port number is now 1194, based on an official port number assignment by IANA. OpenVPN 2.0-beta16 and earlier used 5000 as the default port.
Wed Jul 14 20:47:39 2010 WARNING: --ping should normally be used with --ping-restart or --ping-exit
Wed Jul 14 20:47:39 2010 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Wed Jul 14 20:47:39 2010 Re-using SSL/TLS context
Wed Jul 14 20:47:39 2010 Control Channel MTU parms [ L:1543 D:140 EF:40 EB:0 ET:0 EL:0 ]
Wed Jul 14 20:47:39 2010 Data Channel MTU parms [ L:1543 D:1450 EF:43 EB:4 ET:0 EL:0 ]
Wed Jul 14 20:47:39 2010 Local Options hash (VER=V4): 'db02a8f8'
Wed Jul 14 20:47:39 2010 Expected Remote Options hash (VER=V4): '7e068940'
Wed Jul 14 20:47:39 2010 Attempting to establish TCP connection with 192.168.10.1:1201
Wed Jul 14 20:47:39 2010 TCP connection established with 192.168.10.1:1201
Wed Jul 14 20:47:39 2010 TCPv4_CLIENT link local: [undef]
Wed Jul 14 20:47:39 2010 TCPv4_CLIENT link remote: 192.168.10.1:1201
Wed Jul 14 20:47:39 2010 Connection reset, restarting [0]
Wed Jul 14 20:47:39 2010 TCP/UDP: Closing socket
Wed Jul 14 20:47:39 2010 SIGUSR1[soft,connection-reset] received, process restarting
Wed Jul 14 20:47:39 2010 Restart pause, 5 second(s)

и так далее по кругу
---------------------------------
в логах микротика ничего подозрительного нет, разрешающее правило в фаэрволл добавлено.

Замечание: подключение к микротику устанавливаю из внутренней сети.

Буду рад услышать содержательные мысли и советы.

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat out-interface=UkrTel action=masquerade

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Access to internet from admin
chain=forward out-interface=!Lan action=accept

Вот мои рулы:
Помогите разобраться:
1. Назначаю masquerade, то есть всем подключениям разрешаю выход в Инет?
2. Разрешаю траффик меджу всеми интерфейсами кроме Лана.

Вот только не пойму прикол, когда вырубаю 1 правило, через браузер в инет не заходит, но торренты льются прекрасно.

Можно поподробнее... а то руководств туча , а конкретно почитать нечего...

И вот случай, можно правила, разберусь =)

Есть Лан1(как у меня, для ДСЛ-модема) - 192.168.1.0/24
Есть Лан2 - локалка - 172.16.6.0/24
Есть UkrTel - ППоЕ соединения.
VPN-клиенты

Как заставить чтоб инет ишёл с UkrTel на VPN-клиентов которые находятся в лан1,
и что бы Лан1 и Лан2 между собой гуляли ???
(при необходимости чтоб ещё правила были раздельными чтоб если я их отрубил было так : Лан1 гуляет в Лан2 , а Лан2 неможет в Лан1 и наоборот)

Осталось решить эту проблему проблему и можно серв ставить.

Chupaka
извини что надоедаю, но как говорится безопасность превыше всего. Да и разобраться охота.

подскажите как настроить определенный разрешенный диопозон адресов а всех остальных блокировать

Добавлено:
и как для целого диопозона ип ограничить скорость интернета. и можно ли привязать микротик к актив директори

Цитата:

как настроить определенный разрешенный диопозон адресов а всех остальных блокировать

создать адрес-лист с нужными диапазонами, в фаерволе ему всё разрешить, остальное - дропать


Цитата:

как для целого диопозона ип ограничить скорость интернета

суммарную, или на каждый адрес?


Цитата:

можно ли привязать микротик к актив директори

через какой-нибудь FreeRADIUS - наверное, можно

Добавлено:

Цитата:

Назначаю masquerade, то есть всем подключениям разрешаю выход в Инет?

то есть всех натирую в инет - даю возможность туда попасть


Цитата:

Разрешаю траффик меджу всеми интерфейсами кроме Лана

всё, что не запрещено - разрешено. поэтому только разрешающие правила никак не влияют на работу


Цитата:

Лан1 гуляет в Лан2 , а Лан2 неможет в Лан1 и наоборот

для этого надо отслеживать состояние соединений. в файрволе connection-state=new, и для этого либо accept, либо drop

bigsmoke88
Как знаток имеющий только общие понятие о микротике могу предположить, что:

Цитата:

подскажите как настроить определенный разрешенный диопозон адресов а всех остальных блокировать

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter


Цитата:

и как для целого диопозона ип ограничить скорость интернета

http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ_Examples


Цитата:

и можно ли привязать микротик к актив директори

использовать RADIUS
http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client

ЗЫ: пока писал мастер микротика Chupaka уже ответил )

Цитата:

суммарную, или на каждый адрес?

суммарную для всех.


Добавлено:

Цитата:

создать адрес-лист с нужными диапазонами, в фаерволе ему всё разрешить, остальное - дропать

можно поподробнее расписать своими словами без ссылок =) так понятнее

Цитата:

суммарную для всех

обычная очередь (типа Simple Queue) спасёт. лучше даже в дереве: маркируем нужные пакеты (/ip fi man add chain=forward src-address-list=limited action=mark-packet new-packet-mark=limited-upload; /ip fi man add chain=forward dst-address-list=limited action=mark-packet new-packet-mark=limited-download), потом создаём нужные очереди в queue tree, с parent=global-out, соответствующей меткой пакета и нужным ограничением в max-limit


Цитата:

создать адрес-лист с нужными диапазонами, в фаерволе ему всё разрешить, остальное - дропать

Код:
/ip fi ad ad ad=192.168.0.1 list=allow
/ip fi ad ad ad=192.168.0.12 list=allow
/ip fi fi ad chain=forward src-address-list=allow action=accept
/ip fi fi ad chain=forward dst-address-list=allow action=accept
/ip fi fi ad chain=forward action=reject

Chupaka СПАСИБО ОГРОМНОЕ!!! Заработало дело было в самой раздающей WiFi-железке.