» MikroTik RouterOS (часть 3)

KUM3
Начну из далека...


Цитата:

interface enable 0

это для чего?


Нарисуй плиз всю схему твоей сети... Потому как пока непонятно зачем ты что делаешь и откуда берётся твоя адресация. Особенно вызывает сомнения момент:

Цитата:

Потом настраиваю сетевую плату (физическую)

Цитата:

выбираю "Bridged

faust72rus, я настраивал по этому мануалу:
http://depositfiles.com/files/458ixyb2k

KUM3
http://wiki.mikrotik.com/wiki/Category:Manual
Настраивать нужно по правильным мануалам.

faust72rus
Я там был, только ничего не пойму, где копать?

Копать в сторону формулировки задачи и описания текущей сети.

faust72rus
Если не трудно, объясните где ошибка. Может еще сетевую поставить?

KUM3
Я же вроде по-русски пишу.

Вот что нужно:

Цитата:

формулировка задачи и описания текущей сети

faust72rus
Моя задача состоит в том, что я хочу протестировать RouterOS (перед покупкой RouterBOARD 750) на одном компьютере (под Виндой), с одной сетевой платой. Просто хочу запустить RouterOS через виртуальную машину, но у меня ничего не выходит.
Моя сеть:
ADSL модем, адрес: 192.168.1.1 (ip и DNS раздает автомат.)
К модему подключены 2 свича и мой ПК, к свичам подключены еще 5 ПК.
Тестировать RouterOS хотелось бы только на 1 машине, чтоб другим не мешать.
Возможно ли такое?
После покупки RouterBOARD, сценарий хотелось бы такой:
DualWan (ADSL+lan по Wi-Fi), с настройкой шейпера, чтоб торренты не грузили, но это пока рано.

У себя тоже пробовалзапускать RouterOS на виртуальном компе.
Настравивал в грубовм представлении примерно так - vmware -> edit -> virtual network editor выставлено для виртаульной сетевой карты vmnet1 - host only; vmnet8 - NAT, DHCP - enabled. В панель управления - локальные подключения -> сетевая карта "VMware Network Adapter VMnet1" прописан IP вручную - 192.168.88.141, шлюз 192.168.88.1; для "VMware Network Adapter VMnet8" - автоматически; для "Подключение по локальное сети" - отключил протокол ipv4 и все прилегающее. В настройках виртуальной машины RouterOS вкладка Hardware -> network adapter стоит галочка bridged (сетевая карта "Подключение по локальное сети"); nerwork adapter 2 - custom - VMnet1 (сетевая карта "VMware Network Adapter VMnet1")

Уже в самом микротике -
/ip address
add address=192.168.88.1/24 broadcast=192.168.88.255 comment="" disabled=no interface=lan_01 network=192.168.88.0
add address=172.21.109.15/24 broadcast=172.21.109.255 comment="" disabled=no interface=gateway network=172.21.109.0
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.88.0/24

В итоге получается выход в сеть провайдера через виртуальный компьютер.

Некто faust72rus ранее писал про ошибку в Packet Flow, так вот он ошибся потому как не заметил в цепочке Output секцию Routng Ajustmen, которая вероятно и меняет маршруты исходящих пакетов.

Кто знает точно подтвердите подозрения.

Добавлено:
KUM3
Вероятный вариант насройки:

Вуртуальнй машине добавляешь второй интерфейс.

Первый интерфейс переводишь в бридж. И поднимаешь на нём DHCP клиент. В firewall nat создаёшь правило:
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=ether1

Второй интерфейс переводишь в режим хост онли. Задаёшь на нём любой адрес. Поднимаешь на нём DHCP сервер.

В физической машине получаешь на хост онли интерфейсе айпишник от dhcp сервера в микротие (предварительно нужно отключить все dhcp в vmware).

Цитата:

После Local Proccess OUT пакет попадает вначале в Output, а лишь за тем в Routing Decision

нет, сначала - Routing Decision. а в Output есть такой махонький ромбик, с подписью Routing Adjustment - вот он и позволяет метить роутинг исходящих пакетов. подтверждается это достаточно легко: из таблицы main убираем все дефолтовые маршруты, метим пинг каким-нибудь роутинг-марком, у которого дефолтовый маршрут есть, и - ... не пингуем: no route to host. потому что Routing Decision смотрим в main, не находит там маршрута, и до Output уже дело не доходит


Цитата:

После выхода с настроек, Windows пишет, что конфликт IP, хотя в моей сети такие адреса не присутствуют

смотреть в журнале винды, с каким маком конфликт произошёл



Добавлено:
faust72rus
ага, всё же сам нашёл =)

Chupaka
Вот и подтверждение моих слов. Спасибо =)

Хотел спросить пользователи находясь в локальной сети не могут ? поднять L2Tp тунель ?

Извне поднимают . , а из локальной не получаеться

Добавлено:
Запрещающие филтр отключал

rosalin
Появилось предположение...

А на какой адрес они подключаются? Проверь для начала на внутренний.

[more=log]
[admin@MikroTik] /log> print
17:22:12 l2tp,debug,packet (M) Assigned-Tunnel-ID=1
17:22:12 l2tp,debug,packet (M) Receive-Window-Size=8
17:22:12 l2tp,debug,packet sent control message (ack) to 192.168.0.205:1701
17:22:12 l2tp,debug,packet tunnel-id=1, session-id=0, ns=1, nr=1
17:22:14 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:14 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:14 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:14 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:14 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:14 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:14 l2tp,debug,packet Firmware-Revision=0x1
17:22:14 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:14 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:14 l2tp,debug,packet (M) Assigned-Tunnel-ID=58
17:22:14 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:22 l2tp,debug tunnel 58 received no replies, disconnecting
17:22:22 l2tp,debug tunnel 58 entering state: dead
17:22:22 l2tp,debug,packet rcvd control message from 192.168.0.205:1701
17:22:22 l2tp,debug,packet tunnel-id=0, session-id=0, ns=0, nr=0
17:22:22 l2tp,debug,packet (M) Message-Type=SCCRQ
17:22:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:22 l2tp,debug,packet Firmware-Revision=0x601
17:22:22 l2tp,debug,packet (M) Host-Name="cl9"
17:22:22 l2tp,debug,packet Vendor-Name="Microsoft"
17:22:22 l2tp,debug,packet (M) Assigned-Tunnel-ID=1
17:22:22 l2tp,debug,packet (M) Receive-Window-Size=8
17:22:22 l2tp,debug tunnel 59 entering state: wait-ctl-conn
17:22:22 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:22 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:22 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:22 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:22 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:22 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:22 l2tp,debug,packet Firmware-Revision=0x1
17:22:22 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:22 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:22 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:22 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:24 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:24 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:24 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:24 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:24 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:24 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:24 l2tp,debug,packet Firmware-Revision=0x1
17:22:24 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:24 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:24 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:24 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:25 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:25 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:25 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:25 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:25 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:25 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:25 l2tp,debug,packet Firmware-Revision=0x1
17:22:25 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:25 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:25 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:25 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:27 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:27 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:27 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:27 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:27 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:27 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:27 l2tp,debug,packet Firmware-Revision=0x1
17:22:27 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:27 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:27 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:27 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:31 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:31 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:31 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:31 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:31 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:31 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:31 l2tp,debug,packet Firmware-Revision=0x1
17:22:31 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:31 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:31 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:31 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:39 l2tp,debug,packet sent control message to 192.168.0.205:1701
17:22:39 l2tp,debug,packet tunnel-id=1, session-id=0, ns=0, nr=1
17:22:39 l2tp,debug,packet (M) Message-Type=SCCRP
17:22:39 l2tp,debug,packet (M) Protocol-Version=0x01:00
17:22:39 l2tp,debug,packet (M) Framing-Capabilities=0x1
17:22:39 l2tp,debug,packet (M) Bearer-Capabilities=0x0
17:22:39 l2tp,debug,packet Firmware-Revision=0x1
17:22:39 l2tp,debug,packet (M) Host-Name="MikroTik"
17:22:39 l2tp,debug,packet Vendor-Name="MikroTik"
17:22:39 l2tp,debug,packet (M) Assigned-Tunnel-ID=59
17:22:39 l2tp,debug,packet (M) Receive-Window-Size=4
17:22:47 l2tp,debug tunnel 59 received no replies, disconnecting
17:22:47 l2tp,debug tunnel 59 entering state: dead
[/more]

Добавлено:
faust72rus
в том то и дело , что на внутренний идет

Цитата:

faust72rus
А кто мешает теперь? Веб морда никуда не делась.

там можно выбрать один внешний интерфейс, если выбираешь другой то
правила переписываются для него, а как сделать для всех сразу?

вот что входит в стандартный firewall:

Код: add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
icmp
add action=accept chain=input comment="Added by webbox" connection-state=\
established disabled=no in-interface=PABLIC_1_d
add action=accept chain=input comment="Added by webbox" connection-state=\
related disabled=no in-interface=PABLIC_1_d
add action=drop chain=input comment="Added by webbox" disabled=no \
in-interface=PABLIC_1_d
add action=jump chain=forward comment="Added by webbox" disabled=no \
in-interface=PABLIC_1_d jump-target=customer
add action=accept chain=customer comment="Added by webbox" connection-state=\
established disabled=no
add action=accept chain=customer comment="Added by webbox" connection-state=\
related disabled=no
add action=drop chain=customer comment="Added by webbox" disabled=no

Здравствуйте. Первый раз сталкиваюсь с такой ситуцией, микротик,1 wan и 1 lan, все работает замечательно, появился второй канал интернета, ровайдер выдал белый ip по оптике, первый провайдер тоже белый ip оптика. вопрос, при добавлении второго провайдера настроил на микротике порт прописал ip адрес, втыкаю провод от провайдера, пингую шлюз провайдера все нормально пинг идет, пробую пропинговать что то другое - ответа нет так же этот адрес немогу пропинговать из вне, в правилах firewal все разрешено хотя статистика показывает, что что - то на этот порт идет.

faust72rus
у меня модем настроен роутером, мешать не будет?


Добавлено:
Isorkin
Не желает идти в инет, хоть тресни

KUM3
Распиши как настроено сейчас. У тебя должно быть 3 сетевых подключения на компе - один реальный и 2 от VMWare. В настройках виртуалной машины RouterOS должно быть 2 сетевых адаптера. В самой виртуальной машине будут интерфесы ether0 и ether1 (были случаи когда было сразу 2 интерфеса, обозванныз как ether0). Интерфейс ether0 в RouterOS может соответстовать как VMnet1 так или VMnet8, определяется методом тыка. Аналогчно ether1.

mpopponm

Цитата:

пробую пропинговать что то другое - ответа нет

вот это странно - хотя бы через первый канал должно нормально идти


Цитата:

так же этот адрес немогу пропинговать из вне

а это не странно, необходимо в mangle добавить маркировку входящих соединений, и потом пакеты отправлять обратно именно тем аплинком, с которого они пришли, типа как:


Код: / ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn
add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2

Да, через первый канал все идет нормально. Просто у меня еще 2 микротика с такой конфигурацией где добавление второго канала не было такой проблемой.
Если настроить интерфейс на микротике, разрешить на него входящие в файрволе он должен пинговаться из вне и с него можно пинговать внешние ресурсы, или нет????

подскажите как будет правильно если я хочу заблокировать локальные
сети со стороны провайдера, нужно указывать только dst-address:

Код: chain=forward action=drop dst-address-list=bloc_local in-interface=wan-1

Кто подскажет как это http://wiki.mikrotik.com/wiki/Manual:NTH_in_RouterOS_3.x работает?

Подскажите как настроить работу IPTV. Имеется адсл-модем в режиме бридж, включен в ether1 роутера RB750. Ether2 - в локальную сеть 192.168.88.1/24. Интернет настроен и нормально работает.
Провайдер дает возможность подключить IPTV и рекомендует в модеме добавить еще один профиль WAN для этого (другие значения VPI/VCI).
Потом закинуть в VLC Player .m3u список каналов.
Всё сделал. Не работает.
Потом я установил пакет multicast. IGMP Proxy добавил два нтерфейса: Internet (ПППОЕ на ether1) upstream включен alternative subnets 0.0.0.0/0, и Ether 2 (локалка) upstream галка не стоит.
В файрволе разрешил 17(udp) для порта 3000 и 2(igmp). Что не так? Файрвол на компе и на тике пробовал отключать вообще.

Кстати в плейлисте написаны такие адреса:
#EXTINF:0,4 НТН    
udp://@232.0.1.4:3000
#EXTINF:0,5 ПСИХОЛОГИЯ 21
udp://@232.0.1.5:3000
#EXTINF:0,6 Первый канал. Всемирная сеть.
udp://@232.0.1.6:3000
#EXTINF:0,7 К1
udp://@232.0.1.7:3000
#EXTINF:0,8 К2
udp://@232.0.1.8:3000

Может, это на что-то влиять должно?

Пробовал напрямую комп к модему (раздача интернета ПППОЕ модем в режиме роутера, бридж на ИПТВ), всё работает.

Короче, наверное, мне нужно как-то пробросить мультикаст через микротик. Другим пользователям локалки ИПтелевидение раздаватьс не будет.. Помогите

Только что посмотрел статисику по 3000 порту в файрволе на тике удп. Идет трафик ровно 3 Мбит/с если один канал, если переключаю, то сразу 6 Мьит/с, потом мразу падает на 3. То есть трафик ИПТВ идет на роутер, а к компу не доходит. В Interface list видно, что по ethernet1 входящий трафик 5-7 Мб/с, а по Internet PPPOE на этом интерфейсе 1-3, а на локалке 1-3 тоже, то есть только интернет.

faust72rus
Работает, действительно чуть отличается от предыдущих версий, я применял для балансировки нагрузки между тремя каналами...
а вообще, имхо, баловство все это( надо иметь один основной канал)...хотя наши желания не всегда совпадают с возможностями(

smileV2008
Т.е. эта хреновина делит трафик (на два три потока, в зависимости от настроек и маркирует его)? мне по-подробнее принцип работы бы узнать.

faust72rus
Я вроде нашел настройку моего сценария, но у меня при входе в закладку firewall / New Nat Rule, отсутствует вкладка srcnat в Chain, а также masquerade в Acion.

Помогите плз. запустить, ззадолбался уже.

Добавлено:
Вот видео: http://www.youtube.com/watch?v=QYYjani4ZlY
Это моя ситуация?

Решил проблему с IPTV: добавил в Alternative subnets два диапазона 232.0.1.0/24 (из этого диапазона все каналы) (давно так делал, но не работало) и !!!!!!! 0.0.0.0/0 !!!!!!! (если оставить только 0.0.0.0/0, то ни х не работает). Может, ув. Чупака объяснит

Цитата:

отсутствует вкладка srcnat в Chain, а также masquerade в Acion

а что присуцтвует? телепатов нет!


Цитата:

мне по-подробнее принцип работы бы узнать.

каждое новое соединение попадает на следующий канал

nkbss
т.е. если что-нибудь одно убрать, то ничего не работает? занятно =) я бы разработчикам отписался - явно же баг, диапазоны-то перекрываются...

настраиваю отправку бекапа на мыло, и сталкнулся с такой проблемой...
сам роутер работает через тот же канал что и пользователи, но у на этом
канале провайдер блокирует 25 порт smtp, есть еще один резервный канал
на котором это не блокируют, создал правило и теперь почту клиенты отправляют
через резервный канал, все как бы хорошо....
проблема в том, что если я сам роутер переведу и выполню команду:

Код: tool e-mail send file=MikroTik-19112010-0134.backup server=94.100.177.1:25 to=login@mail.ru user=login@mail.ru password=пароль from=login@mail.ru