» MikroTik RouterOS (часть 3)

smileV2008
вот сейчас настроил рррое подключение между микротиком и DIR 300. На компах внутри DIR 300 адреса раздаются автоматически с сервера DIR 300 и днс адрес DIR 300 192.168.25.1. Днс соединения с микротиком, адрес микротика 192.168.88.1

wwwwwww7
поменяй MSS.

wwwwwww7
я плохо все понял) на клиенте запусти nslookup и попробуй поузнавай ip разных ресурсов по имени...
faust72rus - в порядке самообразования - если у человека торренты нормльно качаются, как mss поможет?

smileV2008
Торренты используют UDP, HTTP = TCP. Вряд ли проблемы с ДНС могут так отрицательно сказываться на скорости.

faust72rus
некоторый офтоп, но торрент и по tcp норм работает) и прежде всего именно по нему.... ну и по udp тоже конечно...
Я поэтому и предположил про днс(( Ладно, пусть спрашивающий поиграет mss и пр., выясним, и я немного повышу свои знания по результатам.
PS можно по ftp что-нибудь скачать еще для проверки)

Такая проблема

Хочу поднять DHCP на трех ethernet интерфейсах в одном пуле 192.168.1.2-192.168.1.4

Используя winbox (роутер mikrotik 450g)
прописываю адрес 192.168.1.1 на каждом интерфейсе.
создаю три dhcp сервера на каждый интерфейс, указывая один и тот-же пул.
Dhcp работает, раздает адреса, но при активации более одного ethernet интерфейса интернет начинает глючить и тормозить. В NAT единственная запись (scrant. masquerade, out_int=pppoe_1), роутинг настроен.

Сейчас на каждый интерфейс назначил свою подсеть (192.168.2.1, 192.168.3.1) - все работает как надо, но всё равно хочу реализовать идею с одним диапазоном (потом настроить статический dhcp по mac)


Подскажите что я делаю не так. Сам подозреваю необходимость добавить правила NAT, но в пока в этом ничего толком не понимаю.

Dr0niX


Цитата:

о всё равно хочу реализовать идею с одним диапазоном (потом настроить статический dhcp по mac)

это самоцель или для чего-то? выдавайте сразу по маку, это же несложно

Цитата:

одном пуле 192.168.1.2-192.168.1.4

Вы не ошиблись(? у Вас в пуле 3 адреса только??

Цитата:

выдавайте сразу по маку, это же несложно

подскажите пожалуйста как? я еще не нашел
Да и боюсь проблема останется, ибо все равно понадобится dhcp (конечная цель - забить на настройку интернета на компах, но всегда знать на каком адресе какой комп сидит), будет-же все равно одна подсеть.


Цитата:

Вы не ошиблись(? у Вас в пуле 3 адреса только??

три компа - три адреса. Или dhcp-server должен иметь резерв?

народ зная IP и мак, как человеку порезать коли-во соединений, а то из за него, вешаются свитчи когда он запускает торент

Цитата:

Такая проблема
Хочу поднять DHCP на трех ethernet интерфейсах в одном пуле 192.168.1.2-192.168.1.4
Используя winbox (роутер mikrotik 450g)
прописываю адрес 192.168.1.1 на каждом интерфейсе.
создаю три dhcp сервера на каждый интерфейс, указывая один и тот-же пул.
Dhcp работает, раздает адреса, но при активации более одного ethernet интерфейса интернет начинает глючить и тормозить. В NAT единственная запись (scrant. masquerade, out_int=pppoe_1), роутинг настроен.
Сейчас на каждый интерфейс назначил свою подсеть (192.168.2.1, 192.168.3.1) - все работает как надо, но всё равно хочу реализовать идею с одним диапазоном (потом настроить статический dhcp по mac)
Подскажите что я делаю не так. Сам подозреваю необходимость добавить правила NAT, но в пока в этом ничего толком не понимаю.

да вообщем то все не так, надо курить мат часть прежде чем что то настраивать,
1) если все компы в одной сети накой тогда 3 изернета.
2) один и тот же адрес прописывать на три изернета, это вообще значит в школе информатики не было. А если не было информатики, то лучше доверить настройку у кого она была.

Здравствуйте!
Помогите пожалуйста разрешить одну проблему.
Необходимо организовать VPN канал с головным сервером. На удаленном сервере стоит Kerio Winroute Firewall, авторизация через логин и пароль. И еще я так понял, происходит обмен ssl ключами. Скажите, пожалуйста, технически возможно реализовать VPN канал используя Mikrotik в качестве клиента? Если возможно, то по какому протоколу и если можно ссылочку как это реализовать.

fdboss
изернет = интерфейс. Три интерфеса eth3-5. на каждом адрес роутера (gateway) 192.168.1.1.
Соответственно клиентам по dhcp раздаются адреса с 192.168.1.2-192.168.1.4 (это три разных адреса).
Так что говорит Ваша школьная информатика по этому поводу?

Здравствуйте!
Подскажите пожалуйста как сделать так чтобы конкретные адреса или списки адресов использовали определенные внешние днс.
//Т.е. для адреса 192.168.0.1 днс 8.8.8.8 а для 192.168.0.2 8.8.4.4.//
Спасибо.

Цитата:

eth3-5.

это как расшифровывается ?
и причем здесь то что раздается, dhcp никогда не выдаст один и тот же адрес,

а школьная программа гласит ip адрес в сети должен быть уникален, то есть один.

а все остальное это чистое шаманство, и танцы с бубном

Цитата:

это как расшифровывается ?

интерфейсы с третьего по пятый, то-есть физические порты ethernet_3, ethernet_4, ethernet_5.

Dr0niX
А не объединить ли Вам их (интерфейсы) в бридж? или клиенты должны быть в разных сетях?

Добавлено:
Smito1

chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=Кому_хочешь_порезать connection-limit=60,32

В данном случае по 60 соединений на один адрес
в качестве совета - не увлекайся особо уменьшением этого числа
и чтобы ничего не вешалось сделай шейпер на дереве очередей, разбирайся в общем

Добавлено:
coverman

ну прописать у этих групп соответствующие днс..... а лучше выдать по dhcp... а еще можно посмотреть в сторону файла hosts если windows) какая задача если не секрет у Вас

Цитата:

или клиенты должны быть в разных сетях?

клиенты должны быть в одной сети
192.168.1.2 - первый комп
192.168.1.3 - второй комп
192.168.1.4 - третий комп

проблема в том, что раздав адреса с одной сети отваливается интернет и я не могу понять почему

Dr0niX

Цитата:

Dr0niX
А не объединить ли Вам их (интерфейсы) в бридж? или клиенты должны быть в разных сетях?

Так объедините порты в коммутатор бриджем и сделайте один dhcp-сервер на этот бридж
и выдавайте на здоровье адреса
или поставьте коммутатор доступа, воткните туда клиентов, и соедините комутатор по аплинку с одним из портов микротика.... это если у Вас планируется рост подключений

smileV2008
я правильно понял, что именно так это реализовано в роутерах работающих "из коробки"?

на мой взгляд да, если сеть несекретна и есть внешний айпи и желание, можете дать доступ, в личку
а почему такой вопрос, то не получаетсято??

faust72rus

Можно поподробнее про passthrough ?
не очень разобрался.
У меня в манглах есть, сначала маркер маркирующий соединения(tcp 80/53/443), с включенным passthrough, потом есть маркер который маркирует пакеты в этих соединениях, с выключенным passthrough.
Потом я создаю маркер "другой_трафик" соединения, без указания протоколов/порта, с включенным passthrough.
После чего создаю маркер по пакетам, с отбором соединения "другой_трафик", с выключенным passthrough.

После чего создаю правила в деревьях. Но вот беда, в "другой_трафик" попадает и ХТТП трафик и в вообще весь.

Что делаю не так?

Код:
0 ;;; dns-connection
chain=prerouting action=mark-connection new-connection-mark=dns-connection passthrough=yes protocol=tcp dst-port=53

1 ;;; dns-packet
chain=prerouting action=mark-packet new-packet-mark=dns-packet passthrough=no connection-mark=dns-connection

2 ;;; http-connection
chain=prerouting action=mark-connection new-connection-mark=http-connection passthrough=yes protocol=tcp dst-port=80

3 ;;; http-packet
chain=prerouting action=mark-packet new-packet-mark=http-packet passthrough=no connection-mark=http-connection

4 ;;; https-connection
chain=prerouting action=mark-connection new-connection-mark=https-connection passthrough=yes protocol=tcp dst-port=443

5 ;;; https-packet
chain=prerouting action=mark-packet new-packet-mark=https-packet passthrough=no connection-mark=https-connection

6 ;;; p2p-connection
chain=prerouting action=mark-connection new-connection-mark=p2p-connection passthrough=yes p2p=all-p2p

7 ;;; p2p-packet
chain=prerouting action=mark-packet new-packet-mark=p2p-packet passthrough=no connection-mark=p2p-connection

8 ;;; DnsUDP
chain=prerouting action=mark-connection new-connection-mark=DnsUDP passthrough=yes protocol=udp dst-port=53

9 ;;; DnsUDP
chain=prerouting action=mark-packet new-packet-mark=DnsUDP passthrough=no connection-mark=DnsUDP

10 ;;; all_outher
chain=prerouting action=mark-connection new-connection-mark=all_outher passthrough=no

11 chain=prerouting action=mark-packet new-packet-mark=all_outher_packet passthrough=no connection-mark=all_outher

smileV2008

ругаеться, нее понимает этой команды, я уж перепробовал все

chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=192.168.1.16 connection-limit=60,32

я где то что то пропустил?

me2k
passthrough - означает обрабатывать ли трафик дальнейшими правилами (если yes) или его обработка законченна (если no). Т.е. тебе нужно просто не пропускать отмеченый трафик ниже, всё что останется НЕ отмеенным и попадёт в другой трафик.
(порядок и соджержание правил не проверял)

Цитата:

;;; dns-connection
chain=prerouting action=mark-connection new-connection-mark=dns-connection passthrough=no protocol=tcp dst-port=53

1 ;;; dns-packet
chain=prerouting action=mark-packet new-packet-mark=dns-packet passthrough=no connection-mark=dns-connection

2 ;;; http-connection
chain=prerouting action=mark-connection new-connection-mark=http-connection passthrough=no protocol=tcp dst-port=80

3 ;;; http-packet
chain=prerouting action=mark-packet new-packet-mark=http-packet passthrough=no connection-mark=http-connection

4 ;;; https-connection
chain=prerouting action=mark-connection new-connection-mark=https-connection passthrough=no protocol=tcp dst-port=443

5 ;;; https-packet
chain=prerouting action=mark-packet new-packet-mark=https-packet passthrough=no connection-mark=https-connection

6 ;;; p2p-connection
chain=prerouting action=mark-connection new-connection-mark=p2p-connection passthrough=no p2p=all-p2p

7 ;;; p2p-packet
chain=prerouting action=mark-packet new-packet-mark=p2p-packet passthrough=no connection-mark=p2p-connection

8 ;;; DnsUDP
chain=prerouting action=mark-connection new-connection-mark=DnsUDP passthrough=no protocol=udp dst-port=53

9 ;;; DnsUDP
chain=prerouting action=mark-packet new-packet-mark=DnsUDP passthrough=no connection-mark=DnsUDP

10 ;;; all_outher
chain=prerouting action=mark-connection new-connection-mark=all_outher passthrough=no

11 chain=prerouting action=mark-packet new-packet-mark=all_outher_packet passthrough=no connection-mark=all_outher

smileV2008


Цитата:

ну прописать у этих групп соответствующие днс..... а лучше выдать по dhcp... а еще можно посмотреть в сторону файла hosts если windows) какая задача если не секрет у Вас

Задача прописать для некоторых адресов сервис типа Skydns.
Машины с Windows находятся в домене, адреса получают по dhcp, в качестве днс сервера у них контроллер АД на котором прописан адрес Mikrotik (как днс релей) ну и т. д., также адрес Mikrotik им отдается в качестве шлюза.
Задача выборочно порезать народу некоторые типы сайтов средствами днс

Smito1
не src-address-list а src-address

vlh
не, я имел ввиду именно адрес-лист, ну список адресов, которым надо резать коннекты....
а не работает у него, потому что надо делать /ip firewall filter add и так далее
а выше просто пример написал куда какие значения вбивать)

Добавлено:
coverman
так они сами себе нужный днс пропишут, ии файл hosts поправят..... может быть выдавать адреса днс всем, а на микротике разрешить только нужному адрес-листу? в /ip firewall filter

Добавлено:
Smito1

Цитата:

src-address-list=192.168.1.16

сюда надо не ip вставлять, а имя адрес-листа... а адрес лист с таким именем набить нужными адресами, кому резать коннекты..вот...

smileV2008

Цитата:

так они сами себе нужный днс пропишут, ии файл hosts поправят..... может быть выдавать адреса днс всем, а на микротике разрешить только нужному адрес-листу? в /ip firewall filter

Они себе ничего не могут прописать.

faust72rus

Если я так делаю, то перестают работать маркеры пакетов по соединению.
Соответственно я потом и в Queue Tree отобрать по пакетам не могу.

Т.е. у меня было как:


Код: 2 ;;; http-connection
chain=prerouting action=mark-connection new-connection-mark=http-connection passthrough=yes protocol=tcp dst-port=80

3 ;;; http-packet
chain=prerouting action=mark-packet new-packet-mark=http-packet passthrough=no connection-mark=http-connection

coverman

Цитата:

может быть выдавать адреса днс всем, а на микротике разрешить только нужному адрес-листу? в /ip firewall filter

такой вариант тоже не подходит?
еще пришло в голову: если на коммутаторах есть option82 то можно привязать freeradius и , после анализа откуда и от кого пришел запрос, выдавать разные днс......но "костыль" получается несуразный....

me2k
Протестирую у себя. Отпишусь.