» MikroTik RouterOS (часть 3)

Chupaka
если б все было так просто, я б не спрашивал %)

Получается петля, адрес сервера в VPN тунеле совпадает с его локальным адресом. В приведенных выше цитатах одна и та же проблемма, которую даже ты советовал решить через создания ремов адреса в профилях PPP.

Все маршруты прописаны, но при соединении с впн, сервер впн перестает пинговаться.

23q
не помню, чтоб я такое советовал - я вроде всегда советую просто использовать интерфейс вместо адреса в качестве маршрута. в этом случае - тоже


Цитата:

при соединении с впн, сервер впн перестает пинговаться.

поэтому надо прописать маршрут к впн-серверу через локальный шлюз

Chupaka
без тебя ни как
все не доходили руки до ограничить по скорости бесплатные ресурсы
провайдера.
имеем несколько IP провайдера, на которых размещены всякие ресурсы,
добавляем их в адресс лист, далее маркируем пакеты, так как трафик
будет только входящий, значит маркируем пакеты, правда не уверен что
надо делать dst-address-list вместо src-address-list :


Код: add action=mark-packet chain=forward comment="" disabled=no new-packet-mark=ftp-packet passthrough=no dst-address-list=ftp_prov

вроде сам разобрался...
только все равно не понял, вроде правила такие же
как и для шейпера интернета, отличие только в dst-address и src-address,
а скорость они выдают на всю группу, а не каждый IP.

поборол я свою проблему. При подключении pptp автоматом создавался в ADDRESS LIST динамичекий интерфейс, с злополучным шлюзом. Если его удалить, и прописать реальный ай-пи, без шлюза, то все пашет. петли нет.(это действительно только тем, у кого реальный ай-пи). Вопрос, в любом случае при подключении пппт этот дин. интерфейс появляется снова, т.е. при переподключении его нужно удалять ручками...или скриптом.




Если в консоли выполнить
/ip address print
/ip address remove 3


удалиться 3 интерфейс, причем это работает если выполнять последовательно 2 команды в терминале. типа вывести на экран все интерфейсы и 3-й удалить.

Как это прописать в шедулере?
Создал такой скрипт

ut [/ip address print]
/ip address remove 3

не пашет, что я делаю не так?)

23q
просто снять галочку "Add Default Route"

vlh
поскольку трафик входящий - надо src-address-list, т.е. "пакеты, идущие от фтп-сервера"


Цитата:

queue tree и тут сомнения ether4 или внешний PPPoE?

я бы делал global-out, чтобы не путаться... =)


Цитата:

как ограничить на все IP всего 8М?

max-limit=8M

Chupaka
галка снята.
Мне нужно убить динамически интерфейс, а не маршрут! Этот интерфейс создается при подключении PPTP в IP-ADDRESS!

Интерфейс убивается, но PPTP не разрывается. Он убивается с терминала:

/ip address print
/ip address remove 3

Заметь, я убиваю интерфейс, а не маршрут!

Как это представить скриптом?

Цитата:

динамичекий интерфейс, с злополучным шлюзом

в /ip address нет шлюза, поэтому лучше бы с примерами

какие отличительные признаки у нужного адреса?

Chupaka
я наверное уже тебя задолбал)) вот, сфоткал, что б нагляднее было

23q
о, самое время обновиться =)

Chupaka
неа...
Спасибо тебе за внимание!))

Помогла команда

/ip address remove [find network=172.19.1.35] в шедуллер его через каждые 10 сек и все))

возврат к началу
в Route List имеем маршруты, DAC те которые создаются автоматически
и AS которые создаю я.
имею 3 подключения к провайдеру по PPPoE, на всех снята галка Add Default Route.
в Route List созданы AS маршруты которые направляют пользователей и сам сервер
локальной сети на один из трех PPPoE каналов, и есть пара маршрутов для доступа из одной сети в другую.
вопрос: нужно ли создавать еще маршрут для самого тика?
просто у меня создан такого вида маршрут, уже не помню для чего его
создавал и кто подсказал, что его надо создавать:

Код: add check-gateway=ping comment=MikroTik disabled=no distance=1 dst-address=0.0.0.0/0 gateway=pppoe-limit scope=30 target-scope=10

vlh
сам роутер для выхода в инет использует таблицу main. в mangle можно переопределить роутинг, но если первая попытка разрешения маршрута в main окончилась неудачей - насколько помню, роутер в инет не попадёт. поэтому - да, создавать надо

Добавлено:
vlh
хотя зачем на сервере прописывать микротик - не понимаю...

Chupaka

Цитата:

хотя зачем на сервере прописывать микротик - не понимаю...

что DNS? так если на сервере в DNS службе прописать внешний, то их у меня три
и при падении одного, что тогда будем делать?

vlh
а поднять на сервере полноценный рекурсивный DNS, а не простой форвардер - уже не комильфо?

Chupaka
Цитата:

а поднять на сервере полноценный рекурсивный DNS, а не простой форвардер - уже не комильфо?

а смысл?

появилось немного времени попытаться опять решить вопрос по скрипту о переключении
каналов в случае падения одного.
пришла мысль только не знаю возможно ли такое реализовать,
имеется 3 канала, 1.2.3. 1- резервный, 2.3 - основные от одного провайдера,
так как у основного провайдера PPPoE сервер находится в моем доме, а интернет
приходит по радио-каналу, то практически всегда когда у него нет интернета,
может линк отвалился может у выше-стоящего нет, PPPoE сервер доступен и
соответственно у меня PPPoE соединения не разрываются.
можно ли через netwatch как то это организовать? нужно что бы например
каждые 5 минут был пинг на ya.ru через 2 или 3 провайдера, если есть то ни чего не делаем, а если нет
то отключаем PPPoE интерфейсы 2.3 провайдера на 5 минут, после 5 минут
как интерфейсы включатся опять проверяем пинг если есть, то работаем если нет
то опять отключаем на 5 минут и так далее.

Цитата:

а смысл?

смысла два: 1) не зависеть от DNS провайдера; 2) не ставить на пути полноценного DNS преграду в виде DNS мелкотика =)

по второму вопросу - http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting

спасибо, вроде там все просто, но что то я запутался.

это я так понимаю метка группы на определенный канал routing-mark=ISP1
который у меня есть в данный момент?
и если у меня их 15?
что делают эти правила:

Код: /ip route
add dst-address=Host1A gateway=GW1 scope=10
add dst-address=Host1B gateway=GW1 scope=10
add dst-address=Host2A gateway=GW2 scope=10
add dst-address=Host2B gateway=GW2 scope=10

Подскажите, пожалуйста, Mikrotik 4.10 сеть Lan 192.168.1.1/25 и сеть Wi-Fi 192.168.1.129/25. Настройки файервола стандартные, взяты отсюда http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter. У клиентов Wi-Fi и Lan ОС Windows 7, компьютеры пингуются, но невозможно подключить Домашнюю группу (в сети Lan Домашняя группа работает). Какое правило нужно добавить, чтобы исправить это? (IP раздаются DHCP, ARP включено)

может, стоит сразу всё прочитать?..


Цитата:

что делают эти правила

"create routes to those hosts via corresponding gateways"


Цитата:

что такое Host1A и Host1B и т.д

"let's monitor Host1A and Host1B via GW1, and Host2A and Host2B via GW2"


Цитата:

что это за адреса 10.1.1.1 10.2.2.2

"let's create destinations to "virtual" hops to use in further routes. I'm using 10.1.1.1 and 10.2.2.2 as an example"

попробуй мануал вкурить на тему Recursive routing lookup... там вроде более-менее понятно расписано...

Добавлено:
ZaychikM
очередное доказательство того, что сначала надо понять, что правило делает, а потом уже осознанно его добавлять в роутер


Цитата:

add chain=tcp protocol=tcp dst-port=135 action=drop \
    comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop \
    comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop \
    comment="deny cifs"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"

эти правила как раз и блокируют всё, связанное с рабочими группами и расшаренными папками винды

ребята подскажите возможно ли сделать на микротике версии 3.2 такую вичу...
вообщем есть три линии ... две работают 24 часа на скорости 2 мбит... а одна тока ночью со скоростью 20 мбит... можно ли как то сделать чтобы пользователи с 12 ночи сваливались на ту линию которая на 20 мбит а утром перекидывались (раскидывались обратно по линям.... возможно я где то повторюсь просто .. ткните куда как... щас как бы все раскиданы по линиям а вот ночную ввести вот по такой модели возможно?.. спасибо большое сразу

zoooom5
возможно. scheduler либо время в правилах файрвола в помощь

Chupaka

Цитата:

попробуй мануал вкурить на тему Recursive routing lookup... там вроде более-менее понятно расписано

если бы там было по русски написано, то наверное и не спрашивал бы тебя, а то переводчик
так переводит, что голову сломаешь пока поймешь...

продолжаю работу над приоритетом трафика и кажется понял как надо, я думал,
что в дерево приоритетов нужно как то прикручивать и группы с клиентами,
а все оказалось просто, шейпер на приоритет и на ограничение скорости это два
независимых шейпера, и вот что у меня получилось, а вернее нашел в интернете,
но почему то в правила Queue Tree на исходящий трафик ни чего не попадает, где
я ошибся?
правила на маркировку пакетов в Мангле стоят после правил для маркировки групп из
из адресс листа для направления их на нужный интерфейс, и перед правилами маркировки
групп для шейпера на ограничения скорости.

маркировка:

Код: add action=mark-packet chain=prerouting comment=www disabled=no new-packet-mark=www_in passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 new-packet-mark=www_out passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=tcp disabled=no new-packet-mark=tcp passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=udp disabled=no new-packet-mark=udp passthrough=no protocol=udp
add action=mark-packet chain=prerouting comment=other disabled=no new-packet-mark=other passthrough=no
add action=mark-packet chain=prerouting comment=p2p disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no

Доброй ночи, подскажите в чём может быть проблемка.

Настраиваю HotSpot через "Setup Hotspot" никаких специфических настроек.

На Windows XP после подключения вылазят поля ввода логина и пароля, всё как положено, но если заходить с Windows 7 данная страница не отображается.

Я так понял проблема в Windows 7, но что именно не могу найти.

Спасибо.

может всплывающие окна заблокированы.

vlh
а других правил в mangle нет?.. потому как если между global-in и global-out пакетики не перемаркировываются - они должны попадать в оба дерева - там же метки одинаковые...

vlh


Снятие блокировки всплывающих окон не спасло есть ещё идеи?

Привет ALL,

кто нибудь сможет помочь с парой вопросов, как перенести правило в mangle в определенное место в таблице с командной строки, и как перенести группу правил в определенное место в таблице, или как вариант, как создать правило таким образом, что бы его номер можно было указать сразу, при заведении, что бы его не перетаскивать потом.

Chupaka
Цитата:

а других правил в mangle нет?.. потому как если между global-in и global-out пакетики не перемаркировываются - они должны попадать в оба дерева - там же метки одинаковые...

есть правила после в forward, они маркируют пакеты для шейпера PCQ:

Код: 37 X chain=forward action=mark-packet new-packet-mark=01LimitDownDom passthrough=no
dst-address-list=01.Limit in-interface=pppoe-domolink

38 X chain=forward action=mark-packet new-packet-mark=01LimitUpl passthrough=no
src-address-list=01.Limit in-interface=ether4

Цитата:

как перенести правило в mangle в определенное место в таблице с командной строки

/ip fi fi move что куда


Цитата:

как создать правило таким образом, что бы его номер можно было указать сразу, при заведении

/ip fi fi add [...] place-before=...

Добавлено:
vlh
специально добавлял в шапку ссылочку: http://wiki.mikrotik.com/wiki/Packet_Flow

если кратко, процесс идёт так: "mangle prerouting - global-in - mangle forward - mangle postrouting - global-out"