» MikroTik RouterOS (часть 3)

Подскажите плиз кто нибудь работал с MikroTik RB250GS. Есть такой свитч. Прошивку поставил 1.3 с сайта производителя.
Никак не могу настроить следующую схему.
Нужно чтоб 1 порт принял в транке 3 влана (10,20,30).
3 порт вывел акссесом влан 20.
4 порт вывел акссесом влан 30.
а на 10 влане почесить ип хочу чтоб был доступен по управлению.

как это сделать а то ни как не поучается.
то один влан не пашет, то управления нет.
Подскажите ?

Добавлено:
Как я понял по своим мытарствам управление нормального на нем не настроить.... жаль? а как вланы прокинуть кто нибудь знает?

Цитата:

ВПН с удаленной машины подключается, но пингует только ip шлюза

наверное, у компов в локальной сети надо прописать маршрут на 172.16.20.2 через данный роутер

Chupaka
Подскажи, как это реализовать.

Цитата:

как это реализовать

на каждом клиенте
route add -p 172.16.20.2 адрес_роутера_со_стороны_клиента

Chupaka

Цитата:

route add -p 172.16.20.2 адрес_роутера_со_стороны_клиента

А реально это сделать настроив что-либо внутри роутера? Не желательно менять настройки клиентов.


Я подумал, и решил устроить своей сети еще немного анального беспредела... Для клиентов ВПН поднял на виртуальной машине еще один микротик)). Надеюсь это временная мера.

Цитата:

А реально это сделать настроив что-либо внутри роутера?

конечно. надо через DHCP раздать ещё и нужный маршрут

А это реально на микротике сделать?

Ребята установлен Микротик локальная сеть 192.168.0.4/24 , интернет 62.231.27.174

в сети установлен OpenVPN сервер 192.168.0.6,
не могу настроить NAT в Микротике чтобы работал OpenVPN

пользователи из интернет не попадают на 192.168.0.6

помогите с настройкой Firewall

не могу понять стоит базавая станция mikratik 433AH кней по WLAN подключены клиенты всё обединено в бридж и вот в чём вопрос почемуто ни в mangl ни Firewall не видят проходящего трафика подскажите из за чего такое может быть

и второй вопрос есть ли реально работающий способ ограничеть utorrent 2.x

/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
to-addresses=192.168.0.6

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
to-addresses=62.231.24.174

Добавлено:

Цитата:

/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
to-addresses=192.168.0.6

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
to-addresses=62.231.24.174

это фактически дмз получиться

а

Добавлено:

Цитата:

и второй вопрос есть ли реально работающий способ ограничеть utorrent 2.x

настроить Qos

Всем Привет! Есть RB750G + ROS 4.13.

объявлена
:global emladr "aaa@bbb.com"

в скриптах (и с консоли) читается (и пишется-изменяется)
:global emladr
:log info "e-mail address -> $emladr"

в NetWatch (/tool netwatch - up-script / down-script )
НЕ ОПРЕДЕЛЕНА !!! (type - nothing !) (и не читается,не пишется,не изменяется)

ВОПРОС: как в NetWatch передать (глобальную) переменную?

(запускать из NetWatch скрипт не хочется - криво, там всего-то 3 строки кода, и писать мыло
ручками не хочется - при изменении менять ВСЕ NetWatch'и а не одну переменную)

Заранее благодарю!

а можно увидеть правила ато уже весь нет перекопал и именно utorent никак заблокировать не получается кроме запрета udp кроме нужных портов и ограничение tcp сессий клиентам и ограничения all_p2p но блокировка udp это не выход пробовал по сингатуре но под неё не поподает шифровоный трафик

Цитата:

реально работающий способ ограничеть utorrent 2.x

я решил только так:
1. маркировать пакеты штатными средствами
2. маркировать пакеты по сигнатуре Layer7
3. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
4. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)

PS порядок - хрупкая грань между бардаком и концлагерем...
что-бы не допустить бардак, приходится устраивать концлагерь...

Tomogara765


Цитата:

/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
to-addresses=192.168.0.6

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
to-addresses=62.231.24.174

начинаю понимать принцип!!!


Мне бы еще что бы до OpenVPN сервера 192.168.0.6 доходил ip из Интернета

В принципе нормальный способ для начала.

Добавлено:

Цитата:

Цитата:/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
to-addresses=192.168.0.6

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
to-addresses=62.231.24.174



начинаю понимать принцип!!!
, что такое ДМЗ ?

Мне бы еще что бы до OpenVPN сервера 192.168.0.6 доходил ip из Интернета

с такими настройками все будет доходить как ты хочешь.

DMZ - (Demilitarized Zone) - это дополнительная возможность Интернет- маршрутизаторов, предназначенная для предоставления доступа к внутренним (то есть находящимися за маршрутизатором и защищенных NAT-ом) серверам (таким, как почтовый, WWW, FTP) пользователям из Интернет. Но, в отличие от "Virtual Servers", когда отображается только один порт, в данном случае запрос извне на любой порт внешнего (WAN) интерфейса отображается на такой же порт компьютера, указанного в настройках DMZ.

Tomogara765

Цитата:

DMZ - (Demilitarized Zone)

да спасибо , уже нашел описание , то что надо !!!!

Цитата:

я решил только так:
1. маркировать пакеты штатными средствами
2. маркировать пакеты по сигнатуре Layer7
3. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
4. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)

а можно правила увидеть по всем 4 пунктам

Цитата:

А это реально на микротике сделать?

конечно, курить Option 249

Цитата:

а можно правила увидеть по всем 4 пунктам

1. маркировать пакеты штатными средствами
/ip firewall mangle
add action=mark-packet chain=prerouting comment=all-p2p disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no
add action=mark-packet chain=prerouting comment="\B5TP-1" disabled=no layer7-protocol="\B5TP-1" new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment="\B5TP-2" disabled=yes layer7-protocol="\B5TP-2" new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment=DHT disabled=no layer7-protocol=DHT new-packet-mark=p2p passthrough=no
add action=mark-packet chain=prerouting comment=BitTorrent disabled=yes layer7-protocol=bittorrent new-packet-mark=p2p passthrough=no

2. маркировать пакеты по сигнатуре Layer7
/ip firewall layer7-protocol
add comment="" name="\B5TP-1" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
add comment="" name=DHT regexp="^d1:[a|r]d2:id20:.*:y1:[q|r]e"
add comment="" name="\B5TP-2" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
add comment="" name=bittorrent regexp="^(\\x13bittorrent protocol|azver\\x01\$|get /scrape\\\?info_hash=|get /announce\\\?info_hash=|ge\
t\r\
\n/ann\?uk=|get\r\
\n/client/bitcomet/|get /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[RP]"

Порядок секций в файерволе:
/ip firewall filter

3. Разрешить ВСЕ! (и торренты тоже) из листа "full" (себе любимому, корешу и т.д.) !!
add action=accept chain=forward comment=full disabled=no src-address-list=full
add action=accept chain=forward comment=full disabled=no dst-address-list=full

3. Разрешить порт 8080

4. IP с которых ходят эти пакеты добавить в black-list (на 3 дня!)
add action=add-src-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
packet-mark=p2p src-address=192.168.0.0/16
add action=add-dst-to-address-list address-list=torrent address-list-timeout=3d chain=forward comment=p2p-packet disabled=no \
dst-address=192.168.0.0/16 packet-mark=p2p
add action=log chain=forward comment=p2p-packet disabled=yes log-prefix="" packet-mark=p2p
add action=drop chain=input comment=all-p2p disabled=no p2p=all-p2p
add action=drop chain=input comment=p2p-mark disabled=no packet-mark=p2p
add action=drop chain=forward comment=all-p2p disabled=no p2p=all-p2p
add action=drop chain=forward comment=p2p-mark disabled=no packet-mark=p2p

5. black-list'у БАН! (drop порты с 1000 по 65535 кроме 8080)
add action=drop chain=forward comment="!!!_BAN_!!! -> torr" disabled=no dst-address-list=torrent protocol=tcp src-port=1000-65535
add action=drop chain=forward comment="!!!_BAN_!!! -> torr" disabled=no dst-address-list=torrent protocol=udp src-port=1000-65535
add action=drop chain=forward comment="!!!_BAN_!!! torr ->" disabled=no dst-port=1000-65535 protocol=tcp src-address-list=torrent
add action=drop chain=forward comment="!!!_BAN_!!! torr ->" disabled=no dst-port=1000-65535 protocol=udp src-address-list=torrent

есть такая проблема:
microtik rb 750
нужно настроить влан, 4 порта прописываю на бридж, 1 (5 порт) на влан (id 10), влан тоже бриджуется, когда задаешь в адресах адрес влану - ничего не работает, работает если только задать адрес порту на котором находится влан, на просторах интернета не встретил нигде ясного и внятного мануала на простой влан, везде с заморочками, помогите советом?

nitskel
Влан приходит (и надо снять тег) или ты его отдаёшь (и нужно пустить трафик с тегом)?
Если приходит (и при прописавании тега на порт и адреса не тегированный порт) линка нет, значит беда у провайдера и он даёт тебе линк всё таки без тега (потому когда адрес вещаешь прямо на физику всё и работает).

Если всё таки ты сам собираешь свичь с вланом, тогда не понимаю зачем тебе бридж, когда можно прописать порты слейвом и тогда они автоматом будут в одном свиче, а далее на свичь навешать vlan через меню switch - > vlan. (ключевой вопрос = зачем тебе бридж?)

Кто ибудь знает как прокинуть транки на свиче RB250GS ?

Tomogara765
Документация молчит? http://wiki.mikrotik.com/wiki/SwOS

Цитата:

Документация молчит? http://wiki.mikrotik.com/wiki/SwOS

спасибо. через поиск что-то не искалось просто.

ShriEkeR
Может добавить http://wiki.mikrotik.com/wiki/SwOS в шапку?

Было бы не плохо.

Цитата:

/ip firewall nat add chain=dstnat dst-address=62.231.24.174 action=dst-nat \
to-addresses=192.168.0.6

/ip firewall nat add chain=srcnat src-address=192.168.0.6 action=src-nat \
to-addresses=62.231.24.174

Ребята при такой настройке . Без маскардинга не работает выход в инет из локальной сети

Я сделал так

[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; DMZ
chain=dstnat action=dst-nat to-addresses=192.168.0.6 dst-address=62.231.24.174

1 chain=srcnat action=src-nat to-addresses=62.231.24.174 src-address=192.168.0.6

2 chain=srcnat action=masquerade out-interface=!ether2

!ether2 - это локальная сеть

Цитата:

2 chain=srcnat action=masquerade out-interface=!ether2

маскарадинг нужен. только вместо ether2 поставь интерфейс который смотрит на внешку это же аут интерфейс

Цитата:

только вместо ether2 поставь интерфейс который смотрит на внешку это же аут интерфейс

но ведь насколько я понял в правилах
!ether2=не локальный интерфейс

Добавлено:
Может есть здесь спецы по VPN ?
не понимаю почему пользователи перестали видить компы в локальной сети , подключенные из вне ,
раньше получали маршрут
# push "route 192.168.0.0 255.255.254.0"

Цитата:

4 порта прописываю на бридж, 1 (5 порт) на влан (id 10), влан тоже бриджуется, когда задаешь в адресах адрес влану - ничего не работает, работает если только задать адрес порту на котором находится влан

в случае бриджа правильно добавлять адрес на бридж, а не на его порты


Цитата:

Может добавить http://wiki.mikrotik.com/wiki/SwOS в шапку?

ммм... причём в шапку темы "В помощь системному администратору » MikroTik SwOS"? это же совершенно другая история...