» MikroTik RouterOS (часть 3)

2 korsakoff72RU

Цитата:

Кто-нибудь поднимал l2tp-ipsec между Микротиком и штатным VPN-клиентом Windows Mobile?

а не проще установить на вин мобайл клиент опенвпн? Я делал - работало.

На тему файл-шаринга винды,
Если подсети разные на каждой из сторон, то broadcast пакеты будут сыпаться только в том сегменте сети который прописан в настройках сети!
Выход:
Прописать статично маршруты тех сетей которые нужны через ВПНовские IP адреса с обоих сторон, поставить WINS сервер на который будут посылаться аннонсы IP адресов и NETBIOS имен, ну и соответственно винду настроить на ваш WINS сервер!

aleksvolgin

Цитата:

а не проще

Мне нет, не проще. Эксперимент проводился ради эксперимента. Лишний софт не нужен, были интересны возможности именно встроенного клиента, PPTP на нём, кстати, нормально поднимается.
В принципе, ситуация с встроенным ipsec клиентом WinMo прояснилась: если он находится за NAT, то ipsec поднять невозможно ни на 4-й версии ROS ни на последней на текущий момент 5rc11 - связано, вроде как, с некоторой особенностью работы WinMo ipsec-клиента при наличии NAT, которая идёт вразрез с RFC 2409, а раз стандарт нарушен, ROS считает своим долгом разорвать соединение.

линк точка точка WDS, нет NATа роутинга,
на точке запускаю Torch на LAN смотрящий в сторону
сервера раздающего интернет, пакет ipv6 выключен:



понимаю что это что то связанное с ipv6, но что это, у кого на компьютере
настроен этот протокол, или еще что?

korsakoff72RU
может, http://forum.mikrotik.com/viewtopic.php?p=253344#p253344 заинтересует

vlh
ff02::1:2 - это dhcpv6-серверы, просто кто-то пытается получить себе адрес

Chupaka

Цитата:

может, http://forum.mikrotik.com/viewtopic.php?p=253344#p253344 заинтересует

В моём случае прописывание статической политики помимо автоматически генерируемой, ИМХО, не прокатит, т.к. если, допустим, мой публичный динамический IP, который присваивается внешнему интерфейсу впередистоящего перед Микротиком роутера (Микротик-то у меня прямого контакта с И-нетом не имеет, на него всего-лишь проброшены ipsec/l2tp-сервисы), получать и загонять в правило можно попробовать скриптом, используя периодический резольв DDNS-имени, то как получать IP удалённого шлюза, через который NAT-ится коммуникатор и который, как я заметил, меняется при каждой новой попытке подключения, я не представляю пока.
Лучше бы микротиковцы предусмотрели обход проблемы отправки FQDN вместо IP в качестве идентификатора. Вроде, для Линукса патч какой-то есть на эту тему.

Нужна помощь с настройкой VPN

MIKROTIK 3.22
две сетевые карты одна смотрит в нет другая в лан

одна подсеть 192.168.101.0/24
включен DHCP

VPN
1) Включил ВПН сервер PPTP
2) Прописал в ФаерВоле доступ по порту 1723
3) Создал пользователя, (указал какой IP (192.168.101.107) получает юзер при подключении)

Подключение происходит без проблем, юзер получает IP (192.168.101.107) который надо
пользуется интернетом без проблем

Теперь о проблемах

юзер пингует только сам микротик (192.168.101.1)
микротик пингует юзера
юзер пингует сам себя
пингуется также сетевой принтер 192.168.101.220

БОЛЬШЕ НИЧЕГО НЕ ПИНГУЕТСЯ


вот скрин
http://img25.imageshack.us/i/vpnl.jpg/


ВОПРОС СНЯТ
Решение

[admin@RemoteOffice] /interface ethernet> set Office arp=proxy-arp
[admin@RemoteOffice] /interface ethernet> print
Flags: X - disabled, R - running
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:30:4F:0B:7B:C1 enabled
1 R ether2 1500 00:30:4F:06:62:12 proxy-arp
[admin@RemoteOffice] interface ethernet>

http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

подскажите пожалуйста такую вещь...

есть канал 5мбит , раздается по разному (256кбит, 512кбит. итп) 8-10 людям
можно ли как то сделать так что-бы например сайт youtube.com у всех открывался на максимальной скорости (5мбит) вне зависимости от конкретного ограничения скорости пользователя .

выставляю порт сервера нод 32 наружу для обновления клиентов антивируса, но обновления не идет , хотя это правило работает по аналогии с другими портами вот :
/ip firewall nat add chain=dstnat dst-address=82.207.ххх.yyy protocol=tcp dst-port=2221 action=dst-nat to-addresses=192.168.3.1 to-ports=2221
, где 82.207.ххх.yyy внешний статический ip адрес....

Люди подскажите пожалуйста, если провайдер имеет два сервера, иногда один падает и они переходят на второй. Мне что бы автоматически переходить на второй, в роутер листе прописать второй маршрут?

wwwwwww7
Цитата:

если провайдер имеет два сервера, иногда один падает

Что за серверы? ДНС?

vlary те что прописаны в route в destination

в свойствах соединения поставить галку создавать маршрут.
или создать два маршрута и второму поставить метрику 2.

ПОМОГИТЕ!
Вопрос остался открытым:
выставляю порт сервера нод 32 наружу для обновления клиентов антивируса, но обновления не идет , хотя это правило работает по аналогии с другими портами вот :
/ip firewall nat add chain=dstnat dst-address=82.207.ххх.yyy protocol=tcp dst-port=2221 action=dst-nat to-addresses=192.168.3.1 to-ports=2221
, где 82.207.ххх.yyy внешний статический ip адрес....
а правило для удаленного управления работает успешно по аналогии:
/ip firewall nat add chain=dstnat dst-address=82.207.ххх.yyy protocol=tcp dst-port=2222 action=dst-nat to-addresses=192.168.3.1 to-ports=2222

vlh
Дело в том, что у меня подключение к двум провайдерам и часть юзеров сидит на одном, а часть на другом. У второго провайдера иногда происходят переключения с одного сервака на другой, а маршрут прописан статический один. Мне сделать второй маршрут статический на второй сервак, а будет переход у меня автоматом при переходе у провайдера.
А метрику поставить в distance. Я уже там поставил 2 потому что подумал что это второй провайдер и надо ставить 2.

да, пропишите два статических маршрута ко второму провайдеру,
только на втором маршруте поставьте distance=2, и поставите проверку
пингом, на обоих.
переключение будет происходить если маршрут действительно упал и не пингуется. Если он пингуется но просто через него не работает интернет,
то маршруты переключатся не будут, нужно использовать другой алгоритм,
есть в Wiki.

vlh А если в маршруте на этого провайдера в Gateway прписать два IP провайдера(там IP отличаются на единицу, например один сервер 145.111.112.21, а второй 145.111.112.22), то будет автоматически переходить с одного на другой. А если будут работать два сервера? Где в Wiki, ткните плиз.

Всем привет!
Установил mikrotik 2.9.27. Настроил по инструкции. У юзера, подключенного к серверу-микротик нет инета. С помощью winbox пингую локальный сервер (192.168.2.253): пингуется, ip провайдера и его шлюз: пингуется. Инета все равно нету. Когда пингую ip например яндекса, то пишет следущее:
87.250.251.3 timeout
87.250.251.3 timeout
87.250.251.3 timeout
192.168.2.253 host unreachable
87.250.251.3 timeout

192.168.2.253 - это как раз сервер микротик. Где собака зарыта?

Кстати в Interface List и в Firewall колонки Packets - по нулям, т.е. трафика нету по ether2 (Wan).

всем привет, выручайте, стоит микротик, 2 сетевухи, одна в лан, другая в ван, авторизация в ван по PPPoE, юзеры должны подключаться через поднятый PPTP сервер по лан, юзера создаю, он подключается норм, инет льется, НО тут нашел один косяк, если в настройках сетевухи указать шлюз и днс микротика у юзера, то инет льется без подключения, подключается скайп и торрент! Как перекрыть полностью инет??

stepanhome
Убрать в NAT маскардинг для локальных адресов

а можно поподробнее? у меня там нет локальных адресов

stepanhome
/ip firewall export в студию

Terminal vt102 detected, using multiline input mode
[admin@MikroTik] > /ip firewall export
# mar/14/2011 12:08:07 by RouterOS 2.9.27
# software id = 64QU-GNT
#
/ ip firewall mangle
/ ip firewall nat
add chain=srcnat out-interface=internet action=masquerade comment="" \
disabled=no
/ ip firewall connection tracking
set enabled=yes tcp-syn-sent-timeout=5s tcp-syn-received-timeout=5s \
tcp-established-timeout=1d tcp-fin-wait-timeout=10s \
tcp-close-wait-timeout=10s tcp-last-ack-timeout=10s \
tcp-time-wait-timeout=10s tcp-close-timeout=10s udp-timeout=10s \
udp-stream-timeout=3m icmp-timeout=10s generic-timeout=10m \
tcp-syncookie=no
/ ip firewall filter
add chain=input connection-state=established action=accept comment=" \
" disabled=no
add chain=input connection-state=related action=accept comment="" disabled=no
/ ip firewall service-port
set ftp ports=21 disabled=no
set tftp ports=69 disabled=no
set irc ports=6667 disabled=no
set h323 disabled=yes
set quake3 disabled=no
set gre disabled=yes
set pptp disabled=yes

stepanhome

Цитата:

add chain=srcnat out-interface=internet action=masquerade comment="" \
disabled=no

укажи в данном правиле Src address, ту подсеть, которая выдается клиентам по pppoe

Усе заработало ))) Спасибо огромное ))

даж инет стал лучше работать, пинг сменился со 160 до 12 ))) и скорость лучше

Установил mikrotik 2.9.27. Настроил по инструкции. У юзера, подключенного к серверу-микротик нет инета. С помощью winbox пингую локальный сервер (192.168.2.253): пингуется, ip провайдера и его шлюз: пингуется. Инета все равно нету. Когда пингую ip например яндекса, то пишет следущее:
87.250.251.3 timeout
87.250.251.3 timeout
87.250.251.3 timeout
192.168.2.253 host unreachable
87.250.251.3 timeout

192.168.2.253 - это как раз сервер микротик. Где собака зарыта?

Кстати в Interface List и в Firewall колонки Packets - по нулям, т.е. трафика нету по ether2 (Wan).

Вот подробности фаервола:
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=forward in-interface=!ether2 dst-address=192.168.2.253 protocol=tcp
dst-port=20000 action=accept

1 chain=input connection-state=established action=accept

2 ;;; Access to internet from all
chain=forward src-address=192.168.2.0/24 action=accept

3 X chain=input connection-state=invalid action=drop

4 X ;;; Drop invalid connection packets
chain=forward connection-state=invalid action=drop

5 X chain=forward action=drop

Вот подробности nat:

0 chain=srcnat out-interface=ether2 src-address-list=Allow_users
dst-address-list="" action=masquerade

Создал отдельную тему, чего, судя по всему, делать не нужно было. Поэтому продублирую сюда.

Здравствуйте, я совсем чайник и сам не могу сообразить. Есть 2 маршрутизатора Mikrotik RouterBoard 750, находятся в одной сети. Адреса роутеров 192.168.88.1 и 192.168.88.2. Нужно соединить их посредством VPN.

Цитата:

Нужно соединить их посредством VPN.

в чем проблема? поднимите например PPPoE сервер
на интерфейсе на котором у вас прописан 192.168.88.1,
и поднять PPPoE клиента на интерфейсе где у вас прописан
192.168.88.2

Цитата:

Есть 2 маршрутизатора Mikrotik RouterBoard 750, находятся в одной сети. Адреса роутеров 192.168.88.1 и 192.168.88.2. Нужно соединить их посредством VPN.

Задача немного поменялась. Нужно обеспечить видимость роутеров друг другу через EoIP.
Что я сделал:

На первом роутере
Interface -> eoip-tunnel1
Remote Address 192.168.100.2

IP -> Addresses
Address 192.168.100.1/24
Network 192.168.100.0
Broadcast 192.168.100.255

--------------
На втором роутере
Interface -> eoip-tunnel1
Remote Address 192.168.100.1

Address 192.168.100.2/24
Network 192.168.100.0
Broadcast 192.168.100.255

Что я делаю не так?

Народ, у меня внутренний адрес сервера микротик пингуется, внешний провайдерский адрес пингуется и шлюз его тоже, а ни один наружний ip в инете не пингуется, где что еще можно глянуть???