» MikroTik RouterOS (часть 3)

есть мтик 3.30
на нем поднимается пппое соединение с инетом
пользователи подключаются через впн
локальная сеть eth1
дсл модем eth2

когда подключаются впн пользователи то на локальные ресурсы они пытаются ломиться через интернет подключение...
каким правилом сделать чтобы пользователя при попытке попасть на ресурс 192.168.0.0/16 переадресовывало на локальный интерфейс (eth1) а не на подключенное пппое соединение?

alex757
В ветке про керио уже вопрос рассматривался. Микротик к керио не подключается, потому как у керио свой протокол впн соединений.

Light_AS
я туплю сегодня, голова устала, но может им маршрут прописать 192.168.0.0/16 IP_eth1
не?

попутно еще один
как с мтика 3.30 подключиться по l2tp ipsec соединению с необходимостью ввода первичного ключа для проверки подлинности? куда его вводить тут

Гуру помогите подцепиться к микротику RB750G, версия ОС 4.10.
Выключил ARP на 2 интерфейсе, после этого DHCP адреса выдает, но подцепиться к железке не могу, хоть тресни. через винбокс пробовал и по MAC-адресу.

Light_AS
Там все не так просто((
вот на затравку...
http://forum.ru-board.com/topic.cgi?forum=8&active=3&topic=38493&start=880
http://wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
то-есть тебуется некоторое шаманство(

Stormicon
пока гуру спят, попробую... если arp-записи статической о Вас нет в таблице, а arp Вы выключили, попробуйте через другой интерфейс подключится... если там не назначен ip, в винбоксе через mac-адрес
если совсем не получается и времени нет, а конфиг не жалко или он есть, то reset-кнопка в помощь..только держать ее надо подольше...как-то так....

smileV2008

Цитата:

Так объедините порты в коммутатор бриджем и сделайте один dhcp-сервер на этот бридж
и выдавайте на здоровье адреса

Ну вы нагородили.
А не проще порты ether3-ether5 объединить в одну группу коммутации, задав, допустим, для портов ether3 и ether4 в качестве master-port ether5, а затем на интерфейс ether5 уже подцепить, например, подсеть 192.168.1.0/24, присвоить интерфейсу IP и разместить на нём DHCP-сервер? Ваш вариант ресурсозатратен, т.к. в случае организации бриджа весь локальный трафик пойдёт через CPU.

korsakoff72RU
) угу) согласен) у меня просто почти все микротики pc-based... там вроде нету групп коммутации мастер-портов( поэтому я так обычно делаю если надо() А если коробка, то Вы, наверное, правы, спасибо, что поправили меня)

smileV2008

Цитата:

у меня просто почти все микротики pc-based...

Ну тогда ясно. На роутербордах свитч-чипы распаяны - при малом количестве проводных клиентов можно и без внешнего коммутатора обходиться, сконфигурировав порты нужным образом.

Добавлено:
me2k

Цитата:

После чего создаю правила в деревьях. Но вот беда, в "другой_трафик" попадает и ХТТП трафик и в вообще весь.

Каким образом вы это определили?

Цитата:

Т.е. у меня было как:


Код: 2 ;;; http-connection
chain=prerouting action=mark-connection new-connection-mark=http-connection passthrough=yes protocol=tcp dst-port=80

3 ;;; http-packet
chain=prerouting action=mark-packet new-packet-mark=http-packet passthrough=no connection-mark=http-connection

А потом уже в Queue Tree


Код: 2 name="HTTP/HTTPS" parent=global-total packet-mark=http-packet,https-packet limit-at=0 queue=default priority=3
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

С подключением к микротику разобрался, спасибо. Достаточно было winbox запустить из под XP, а не из под 7, чтобы по MAC-адресу зацепиться и вернуть как было
Вопрос, а точнее просьба посоветовать по поводу настройки конфигурации:
железка rb750G, ОС 4.10, пока стандартный конфиг (почти), надо:
1 интерфейс - провайдер № 1 10.200.*.*, допустим мой ИП 10.200.40.5/24 шлюз 10.200.40.1 - доступ в локальную сеть прова
к нему привязан интерфейс pppoe - доступ в инет
2 интерфейс - моя локальная машина с 7 на борту
3 интерфес - провайдер № 2 10.400.*.* допустим мой ИП 10.400.170.167/27 шлюз 10.400.170.161 - доступ в локальную сеть прова
Поднят pptp-сервер для 4 юзверей, настроен, проверен по доступу к Микротику, все нормально.
Дальше мне надо раздавать инет с интерфейса pppoe и любой трафик с адресов прова№1 и № 2 клиентам pptp-сервера и мне на локальную машину.


Сейчас я ни с Мтика, ни с клиента от 2 интерфейса (со своей машины) не пингую адреса из локалки прова№2, кроме адресов шлюза и соседних по моей подсети /27. Соответственно из самой подсети - со шлюза Мтик пингуется, а с адресов 10.400.*.* не входящих в мою /27 подсеть - нет.
Для проверки цеплялся напрямую проводом от этого прова к своей машине - все идет, все нормально, без доп. маршрутов и т.п.

Stormicon
Необходимо написать маршруты в локальную сеть провайдера №2 с указанием шлюза этого провайдера. (ну и вероятно добавить второй маскарадинг в НАТ, если его изначально нет)

мтик 3.30
Подскажите как выставить приоритеты трафика по ип адресам впн пользователей подключающихся к мтику

Здравствуйте , скажите пожалуйста , есть IP адреса сайтов, на них нужно увеличить скорость интернета, если к примеру стандарт идёт 512 , именно на эти сайты нужно открыть 2мбита

Light_AS
Подробнее.
utcadmin
Подключить второго провайдера у которого будет канал 2 Mbps. (иначе из воздуха скорость не появится)

**или например закешировать все сайты =)

ALL
Первые впечатления от RB1100.
У меня в сети более 600 устройств. 5 провайдеров у двух из них безлимитка 100 мегабит. ДМЗ зона. 8 IPSec туннелей до соседних узлов поверх GRE (ради этого пришлось использовать 5rc8), все они используют мой интернет, через эти туннели. BGP.

Сегодня весь день один RB1100 тянет всю эту нагрузку и не чихает. Загрузка проца 60 процентов в пике.
Проц работает на 1066 Mhz, памяти поставил 1 Gb.

Доброго времени суток, не подскажите как в фаерволе микротика зарубить ппое фрэймы, левого ппое сервера?

besoff
Могу наврать, но если PPOE в твоей сети = маршрутизатор ни при чём (работай с коммутаторами), если сервер за пределами сети = то к нему не подключится.

Хочу подцепить к Zabbix несколько микротиков по SNMP.
Кто-нибудь это делал? Или может кто-то встречал теплейт для Zabbix?

может кто нибудь доступным языком рассказать как срабатывают эти
правила?

Код: chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.2.6-192.168.2.200 address-list=dst_list address-list-timeout=0s
chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s
chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

Подскажите пожалуйста как называется такой wan load balancing или failover при котором ВСЕ кнопкодавы идут (лесом) через первого провайдера, а если он отваливается, то через второго, а когда первый восстанавливается, то ВСЕ снова идут через первого, типа первый приоритетный, а второй так себе на всякий случай?

Road Runner J
failover.

Добавлено:
vlh
Как у тебя с английским?


Код: dst-limit (integer,time,integer,dst-address | dst-port | src-address, time; Default: )     Matches packets if given pps limit is exceeded. As opposed to the limit matcher, every destination IP address / destination port has it's own limit. Parameters are written in following format: count,time,burst,mode,expire.

* count - maximum average packet rate measured in packets per time interval
* time - specifies the time interval in which the packet rate is measured
* burst - number of packets which are not counted by packet rate
* mode - the classifier for packet rate limiting
* expire - specifies interval after which recored ip address /port will be deleted

faust72rus
с английским напряженно, переводчик, а он как известно переводит так что
трудно понять по смыслу...
а теперь еще раз на нормальном, человеческом языке
время за которое измеряется количество пакетов как оно влияет, его
наверное можно поставить определенное например 60сек, а регулировать
уже количеством пакетов?
то есть если я поставлю 60 и 60 то будет тоже самое что и в приведенных правилах, то есть пакет в секунду?
и про reject - это отклоняется с таким то кодом, а по подробнее?

Подскажите пожалуйста вариант перенаправления портов из одной сети в другую с натированием.
Микротик служит шлюзом для сети1, доступ к компам в сети2 не имеет, только выход в инет через шлюз/прокси расположенный в сети2, т.е. сеть2 выполняет транзитную роль для трафика, идущего в инет (www,mail,ftp...).
Сети на разных портах.

Очень прошу не отсылать на другие страницы, нужен просто пример как это сделать.

vlh
60 пакетов за 60 секунд не одно и тоже, чем 250 пакетов за 250 секунд (хотя и очень рядом).


Код: REJECT
Эта операция задает отбрасывание пакета с возвратом отправителю сообщения об ошибке (причине отказа). Как и в случае DROP дальнейшая обработка пакета прекращается. Эту операцию можно использовать только во встроенных цепочках INPUT, FORWARD или OUTPUT и пользовательских цепочках, которые вызываются только из трех перечисленных встроенных цепочек.
В качестве значения параметра тип сообщения ICMP можно использовать:

icmp-net-unreachable – сеть недоступна;

icmp-host-unreachable – хост недоступен;

icmp-port-unreachable – порт недоступен;

icmp-proto-unreachable – протокол недоступен;

icmp-net-prohibited – доступ в сеть закрыт;

icmp-host-prohibited – доступ к хосту закрыт;

icmp-admin-prohibited – доступ закрыт администратором14.

Отметим, что в соответствии с требованиями RFC 1122 сообщения ICMP не передаются в следующих случаях:
отброшенный пакет был сообщением ICMP об ошибке или пакетом ICMP неизвестного типа;
отброшенный пакет был не первым фрагментом;
за последнее время по этому адресу было передано слишком много сообщений ICMP об ошибках

Цитата:

60 пакетов за 60 секунд не одно и тоже, чем 250 пакетов за 250 секунд (хотя и очень рядом).

вот с этого места поподробнее можно?

vlh

Цитата:

Проиллюстрировать работу этого условия проще всего на примере школьных задач о наполнении бассейна с двумя трубами (в бассейн заданного объема вода втекает через одну трубу с переменной скоростью и вытекает с постоянной скоростью через другую трубу). Параметр limit-burst задает объем бассейна (количество помещающихся в него пакетов), а параметр limit определяет скорость вытекания через выходную трубу. Пока в бассейне есть место, правило выполняется, а как только бассейн наполнится до краев, пакеты перестанут соответствовать правилу (польется через край). Очевидно, что в пустой бассейн может сразу поместиться limit-burst пакетов, а за счет вытекания через трубу число пакетов в бассейне уменьшается на limit в единицу времени. Следовательно за это время в бассейн можно поместить до limit новых пакетов. Если пакеты не приходят, бассейн постепенно опустошается и может принять в себя больший объем.

Что-то я до сих пор не догнал

Как сделать так, чтобы на трех интерфейсах был один gateway-IP, один DHCP, и всё это роутилось в один WAN.

Короче как сделать из микротика стандартные асусовские, длинковские и тд роутеры.

Dr0niX

Цитата:

как сделать из микротика стандартные асусовские, длинковские и тд роутеры

Объединить нужные порты в свитч (при условии, что у вас на руках аппаратная роутербоард):
http://wiki.mikrotik.com/wiki/Руководства:Возможности_чипа_коммутации

Dr0niX
..а ещё есть бридж. (если на руках всё таки не роутебоард)

(Создал бридж, добавил нужные ЛАН порты в него, натравил айпишник\дхцп сервер\файрвол на интерфейс бриджа, теперь он у тебя локальный)

faust72rus

Цитата:

..а ещё есть бридж. (если на руках всё таки не роутебоард)

У него RB450G, так что бридж идёт лесом.

vlh

Цитата:

да не вопрос, простая задача а решить не можете...
вам для общего развития:
задача 200 клиентов и каждому по 128к.
в мангле два правила, в queue types два правила, в queue tree два правила...
если нужно еще добавить 50 клиентов, то ни чего не меняется....
при чем эта схема будет работать даже если вы хотите нарезать скорость
не на всю подсеть а выборочным IP
удачи....

для будущих поколений, которые ненароком зайдут в архив, распишу поставленную fdboss'ом задачу: есть блок адресов /24, например. есть 16 клиентов, у каждого по блоку /28. надо каждому клиенту нарезать по мегабиту. суммарно на каждую подсеть - мегабит, а не на каждый адрес

fdboss

Цитата:

да вы батенька совсем не так понимаете, каждый подводит ситуацию исходя из того что сам имеет, у меня на клиентов не по 1 адресу, а по 8, 16 и т.д, поэтому варианты ваши, типа PCQ-Rate тут не работают.

хехе, в 5.0 - работают =) там в PCQ появилось округление адресов по маске