» MikroTik RouterOS (часть 3)

Нужно настроить роутинг между ними

grrrrrrr1
Ты конфигурацию представь. Т.е. то, что тебе даст такая команда: new terminal — export Настроек у тебя нет, сам же так говоришь, так что должно быть немного. За одно результаты tracert-в и route print с того компа, который не ходит за микротик.
… кофе остыл и закончился (

Цитата:

Ты конфигурацию представь. Т.е. то, что тебе даст такая команда: new terminal — export Настроек у тебя нет, сам же так говоришь, так что должно быть немного. За одно результаты tracert-в и route print с того компа, который не ходит за микротик.
… кофе остыл и закончился (

с этой проблемай разобрался - не той сетевой адрес назначил назначил)) теперь проблема тока с роутингом, киньте гайд кто знает как роутинг между 2-мя сетевухами настроить чтоб иметь связь между подсетями

Цитата:

Я так понимаю к правилам доступа веб-прокси списки адресов никак не прикрутить?
Если у меня в сети 50+ компов и из них 4 нужно дать доступ к соцсетям - то на каждое блокирующее правило, надо еще по 4 разрешающих с указанием Src.Address?

можно по списку из файрвола делать редиректы на разные порты прокси, а в правилах использовать порт прокси как признак


Цитата:

BigElectricCat
Спасибо огромное!!!
Не думал, что одновременно с tcp ему еще и udp нужен )))

у меня ощущение дежавю: http://www.mikrotik.by/index.php?s=&showtopic=269&view=findpost&p=1576
вот же называется, пока носом не тыкнешь...


Цитата:

кто знает как роутинг между 2-мя сетевухами настроить чтоб иметь связь между подсетями

не надо его настраивать. его можно только запретить правилами фильтра файрвола
смотреть трассировку с обеих сторон навстречу - каждая ли машина идёт в соседнюю подсеть именно через этот маршрутизатор?

Chupaka
Дак со всеми бывает. Я вот тут всем говорю что для пптп нужен gre, а сам вот, вчера забыл .

grrrrrrr1
Смысл вопрошать пока не закинуто это в эху:

Цитата:

результаты tracert-в и route print с того компа, который не ходит за микротик.

Цитата:

можно по списку из файрвола делать редиректы на разные порты прокси, а в правилах использовать порт прокси как признак

Я пока пробы ради отключил соц. сети для всех - результат не обрадовал. У меня RB433AH. Как только включаю прокси - интернет заметно медленнее работает. Попытка включить кеширование на micro-sd вообще приводит к зависаниям и отвалу интернета. Даже лог прокси пришлось на другую машину с syslog перенаправить.

Код:
[admin@MikroTikPort] > ip route print
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 X S 0.0.0.0/0 wan 1
1 ADS 0.0.0.0/0 reachable 10.112.193.226 1 wan
2 ADC 10.1.0.198/32 10.1.0.3 0 pptp-in1
3 ADC 10.112.193.226/32 178.154.44.157 0 wan
4 A S 12.1.11.0/24 reachable 12.1.12.12 1 ether1
reachable ether1 ether1
5 ADC 12.1.12.0/24 12.1.12.253 0 ether1

address print
0 12.1.12.253/24 12.1.12.0 12.1.12.255 ether1
1 D 178.154.44.157/32 10.112.193.226 0.0.0.0 wan
2 D 10.1.0.3/32 10.1.0.198 0.0.0.0 pptp-in1

Цитата:

только включаю прокси - интернет заметно медленнее работает. Попытка включить кеширование на micro-sd вообще приводит к зависаниям и отвалу интернета. Даже лог прокси пришлось на другую машину с syslog перенаправить.

а сикока юзеров? а лог на диск RB писать - это не комильфо...


Цитата:

Я прописал маршрут № 4, но у него дистанция больше чем wan (я так думаю) поэтому все пакеты идут в wan.

хуже, там указано два гейтвея: 12.1.12.12 и ether1. второй надо удалить

Цитата:

Chupaka в прероутинге мы не перенаправляем, а ставим метку роутинга. от которой ничего уже не зависит, поскольку пакет ловится проксёй. дальше прокся устанавливает соединение с сайтом, создавая новые запросы от своего имени. соответственно, метки пакетов девственно чисты - поэтому, если мы в output роутинг не пометим, будет использоваться таблица main. соответственно, если там нет ECMP-роутов, то будет использоваться только один канал

ну вот тихонько начнем, прокси включил, работает..
как и предполагалось, все запросы идут по каналу по которому ходит сам
микротик...
делаю правило в мангле после правил прероутинга:

Код: add action=mark-routing chain=output comment="" disabled=no new-routing-mark=route_proxy_unlimit Dst.Address List=Unlimit_1 passthrough=no

vlh
Возможно под это правило попадает gre протокол VPN соединения и перенаправляется на шлюз "PABLIC-3", соответственно интернет падает. под это правило также попадают и соединения винбокса к роутеру.

Цитата:

Isorkin
Возможно под это правило попадает gre протокол VPN соединения и перенаправляется на шлюз "PABLIC-3", соответственно интернет падает. под это правило также попадают и соединения винбокса к роутеру.

ну тогда как же пометить пакеты от самого прокси и направить их на нужный
внешний канал?

vlh
Почему нельзя маркировать так:

Код:
add action=mark-routing chain=output comment="" disabled=no new-routing-mark=route_proxy_unlimit Dst.Address List=Unlimit_1 passthrough=no protocol=tcp dst-port=80

Цитата:

Цитата:Я прописал маршрут № 4, но у него дистанция больше чем wan (я так думаю) поэтому все пакеты идут в wan.


хуже, там указано два гейтвея: 12.1.12.12 и ether1. второй надо удалить

Удалил.
И так не работает.
A S 12.1.11.0/24 reachable 12.1.12.12 1 ether1

С самого микротика, всё правильно разруливается. А приходящее по PPPTP отправляется в интернет, а не в 12.1.12.12
Может эти пакеты метить routemark ?

Цитата:

зашел проверить на 2ip.ru, показывает что работаю через прокси
и мой серый ip за прокси %) вроде как прокси должен скрывать, что за ней находится

отнюдь. не путаем прокси в целом и анонимайзеры как частный случай. WebProxy - ни разу не анонимайзер


Цитата:

ну тогда как же пометить пакеты от самого прокси и направить их на нужный
внешний канал?

надо помечать не все пакеты, а только те, которые отправляются в Интернет. например, если LAN имеет адреса 192.168.0.0/16 - то так и пишем: dst-address=!192.168.0.0/16


Цитата:

С самого микротика, всё правильно разруливается. А приходящее по PPPTP отправляется в интернет, а не в 12.1.12.12

значит, эти пакеты метятся и отправляются в инет. добавить вверху прероутинга правило accept с dst-address=12.1.11.0/24

Цитата:

Sergey Sosnovsky
Как на микротике разрулить что сеть 12.1.11.0 должна идти на 12.1.12.12 шлюз.
Я прописал маршрут № 4, но у него дистанция больше чем wan (я так думаю) поэтому все пакеты идут в wan. Подскажите как правильно прописать маршрут № 4

Ты б DISTANCE поставил бы верными по величине, а?

Вот как в этом примере (ссылка тут).
Только у тебя заместо маршрута во все сети (0.0.0.0/0) будет маршрут в сеть 12.1.11.0/24.

BigElectricCat
дистанс играет роль только для маршрутов с одинаковой маской

Цитата:

Chupaka
надо помечать не все пакеты, а только те, которые отправляются в Интернет. например, если LAN имеет адреса 192.168.0.0/16 - то так и пишем: dst-address=!192.168.0.0/16

из этого следует что прокси по любому будет работать только через один интерфейс на который мы его направим?

Цитата:

Sergey Sosnovsky
Как на микротике разрулить что сеть 12.1.11.0 должна идти на 12.1.12.12 шлюз.
Я прописал маршрут № 4, но у него дистанция больше чем wan (я так думаю) поэтому все пакеты идут в wan. Подскажите как правильно прописать маршрут № 4


Ты б DISTANCE поставил бы верными по величине, а?

Всё ещё хуже.
Посмотрел torch. Прояснилось. Пинг уходит, но не приходит обратно.
Адрес-то обратный PPPTP, циска не знает куда его отправить.

Может для клиентов выделять адреса из этой же подсети? а не левые

Цитата:

а сикока юзеров? а лог на диск RB писать - это не комильфо...

Юзеров около 50-ти, лог писался на micro-sd

Кто нибудб знает мож ли на RB 750 настроить два деволта в два разнух тунеля.
те для трафика приходящего допустим с 3 порта (или одной сети /24)был дефолт в один тунель
а для трафика приходящего 4 порта(другой сети /24) в другой тунель.

Цитата:

из этого следует что прокси по любому будет работать только через один интерфейс на который мы его направим?

из этого следует только то, что прокси работать будет. а направлять его надо либо ECMP-маршрутом, либо маркировкой роутинга


Цитата:

Адрес-то обратный PPPTP, циска не знает куда его отправить

именно для таких случаев придумали NAT. в частности - masquerade


Цитата:

Кто нибудб знает мож ли на RB 750 настроить два деволта в два разнух тунеля.
те для трафика приходящего допустим с 3 порта (или одной сети /24)был дефолт в один тунель
а для трафика приходящего 4 порта(другой сети /24) в другой тунель.

http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

Цитата:

http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

Спасибо.

Подскажите как и где прописать ниже приведенные настройки сети в RB750:
IP адрес    10.10.71.45
маска    255.255.255.0
шлюз    10.10.71.254
DNS        10.10.1.1

route -p add 10.0.0.0 mask 255.0.0.0 10.10.71.254

С IP и шлюзом более мене разобрался, а вот остальное не получается.

Цитата:

а вот остальное не получается.

IP -> Routes


Цитата:

Chupaka
из этого следует только то, что прокси работать будет. а направлять его надо либо ECMP-маршрутом, либо маркировкой роутинга

спасибо... мне уже помогли разобраться, но мне не подойдет прокси....

Подскажите как мне заблокировать группу ИП к примеру. 222.244.223.*
Если можно чтобы это правило сработало даже на проброшенные порты...

chert90
Фильтр где сор или дест = 222.244.223.0/24 и акшин ДРОП, кто мешает использовать?

это понятно.но если я все вход на мой ип на 25 порт прокидываю на внтреннний ип..это правило будет работать. просто проверить щас не могу.?

chert90
ничего не понял. Просто делай это правило на ветку input\output и на ветку forward, не ошибёшься.

(итого четыре правила (или не четыре?), совсем совсем перекроют любой трафик на\с этих адресов)

ок. так и сделал.

У меня есть проблема с pptp сервером. Нужно чтобы удаленный компьютер получал доступ к сети. Делал как здесь, http://wiki.mikrotik.com/wiki/PPTPServer, появились проблемы с компами в локальной сети (некоторые отказывались получать адрес по дхцп).

Решил пойти по другому пути, создал в секретах

Код: name="korobeinik" service=pptp caller-id="" password="331636" profile=default local-address=172.16.20.1 remote-address=172.16.20.2 routes="" limit-bytes-in=0 limit-bytes-out=0