» MikroTik RouterOS (часть 3)

Ребята помогите с правилами
не работает
hotmail.com

если drop input

[more=правила]#
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; Drop invalid connection packets
chain=input action=drop connection-state=invalid

1 ;;; Allow established connections
chain=input action=accept connection-state=established

2 ;;; Allow UDP
chain=input action=accept protocol=udp

3 ;;; Allow ICMP Ping
chain=input action=accept protocol=icmp

4 ;;; Web proxy
chain=input action=accept protocol=tcp src-address=192.168.0.0/24
in-interface=LAN dst-port=8080

5 chain=input action=accept protocol=tcp src-address=192.168.3.0/24
in-interface=LAN dst-port=8080

6 ;;; Access to router only for admin
chain=input action=accept src-address=192.168.0.6

7 X ;;; VPN
chain=input action=accept protocol=tcp dst-port=1194

8 chain=input action=drop protocol=tcp in-interface=WAN dst-port=8080

9 X ;;; All other inputs drop
chain=input action=drop

10 X ;;; Drop invalid connection packets
chain=forward action=drop connection-state=invalid

11 ;;; Allow established connections
chain=forward action=accept connection-state=established

12 ;;; Allow related connections
chain=forward action=accept connection-state=related

13 ;;; Allow UDP
chain=forward action=accept protocol=udp

14 ;;; RDP
chain=forward action=accept protocol=tcp dst-port=3389

15 ;;; Voyadger
chain=forward action=accept protocol=tcp dst-port=3055

16 chain=forward action=accept protocol=tcp dst-port=3053

17 ;;; Allow ICMP Ping
chain=forward action=accept protocol=icmp

18 ;;; Access to internet from admin
chain=forward action=accept src-address=192.168.0.6

19 ;;; Access to internet from all
chain=forward action=accept src-address=192.168.0.0/24

20 chain=forward action=accept src-address=192.168.3.0/24

21 ;;; µTorrent
chain=forward action=accept protocol=tcp dst-address=192.168.0.6
in-interface=!LAN dst-port=36445

22 ;;; L2TP
chain=forward action=accept src-address=192.0.0.0/24 out-interface=LAN

23 ;;; All other forwards drop
chain=forward action=drop [/more]

rosalin
а маскарадинг у тя хде ? чет не вижу.

insmac
6 ;;; masquerade
chain=srcnat action=masquerade src-address-list=!NoInternet
out-interface=WAN

insmac
А где берешь правила для блокирования вирусов?
Если все сам поддерживаешь в актуальном состоянии, то респект тебе и уважуха

Вопрос к гуру обьясните плиз доходчиво что есть
scope, target scope - как применяется (реальные повседневные примеры)
а то что-то никак не пойму как это работает.
Если уже есть где-то хорошо разжеванное ткните плиз носом.
ps
на http://wiki.mikrotik.com/wiki/Manual:Using_scope_and_target-scope_attributes
глядел - все равно до конца не понял.


Добавлено:
yahan2

Цитата:

Вместо RB750G теперь делают RB750GL
Памяти в 2 раза больше, процессор медленней, дешевле на $10

Так же добавили датчики температуры и напряжения

Сам не щупал, жду RB751 - вроде должен быть в 3 квартале
а пока даже спеков полных нет кроме вот этого
New Product - RB751U & 751G
- SOHO 2GHz 802.11n AP
- 1W output power
- MIMO (2Tx 2Rx) Antennas built-in
- High power radio
- External MMCX
- Slightly larger than RB751-2n
- USB 2.0 port
- PoE in
надеюсь что ему памяти тоже добавят.
в 750g имхо это самое слабое место.
ну и датчики температуры и напряжения не помешали бы.

вот как он по идее будет выглядеть
http://mikrotik-pc.pp.ua/mikrotik/novye-zhelezki-ot-mikrotik.html/attachment/rb751u-rb751g

Подскажите а winbox можно как-то сохранить настройки колонок?
А то настроил удобный вид. Вышел/Зашел и все по новой

Цитата:

winbox можно как-то сохранить настройки колонок?

Столкнулся с таким же неудобством

Добавлено:
Ребята можно ли както пакетно загрузить в Web Proxy список хостов для блокировки ,
версия микротик 5.2

Цитата:

Подскажите а winbox можно как-то сохранить настройки колонок?
А то настроил удобный вид. Вышел/Зашел и все по новой

выходите крестиком в окне или кнопкой Exit слева?


Цитата:

можно ли както пакетно загрузить в Web Proxy список хостов для блокировки

Excel в помощь =)

Chupaka

Цитата:

Excel в помощь =)

ясно спасибо , уже сообразил , думал есть какойто микротиковский инструмент по импорту

Добрые люди помогите весь топик облазил и так и не нашол ответы на свой вопрос!
1) Как можно выдать реальный IP с помощью PPPoE прописав внешку в атребуте Remove 188.36.57.36
Но прописав у него внешку, в инет не пускает!
Сейчас внешки выдаю вот таким образом,
1 188.36.57.40/32 188.36.57.40 188.36.57.40 WAN
0 chain=dstnat action=dst-nat to-addresses=192.168.0.100 dst-address=188.36.57.40
1 chain=srcnat action=src-nat to-addresses=188.36.57.40 src-address=192.168.0.100

но это не удобно!
Как можно прописав внешний в атребуте Remove Address внешний ip, то у него былбы белый ip с инетом?

pjilya
должно со старта работать. 188.36.57.40 нигде не добавляется на внешнем интерфейсе отдельно?

Проблема что не хочет он так работать! Может что то ещё нужно зделать?

pjilya

Цитата:

Может что то ещё нужно зделать?

угу, неплохо было бы отвечать на наводящие вопросы =)

Адрес лист
# ADDRESS NETWORK BROADCAST INTERFACE
14 X 188.36.57.1/24 188.36.57.0 188.36.57.255 WAN

Создаю клиента
# NAME SERVICE CALLER-ID PASSWORD PROFILE REMOTE-ADDRESS
0 7777 any 7777 test 188.36.57.40

Создаю профиль
14 name="test" use-ipv6=default use-mpls=yes use-compression=defaul
use-vj-compression=default use-encryption=yes only-one=default
change-tcp-mss=yes rate-limit=50000000/50000000 address-list=all
dns-server=8.8.8.8

В адрес листе динамически ip не создаётся! и не пингуется внешка!
Если ip создать вручную в адрес листе то он пингуется и все ровно инета нет!
Да подскажите пожалуйста как зделать внешний ip на pppoe соединенийе?
а то 4 дня убил на это! И в инете не где не нашол мануала под это решение!
Кто как выдаёт внешку клиентам по PPPoE?

pjilya
ваша внешка на вас маршрутизируется провайдером или бриджуется? пингуется откуда? из инета?


Цитата:

В адрес листе динамически ip не создаётся!

ошибок в логе нет? какая версия?

На предыдущем сервере микротике крутится BGP и он работает только с внешними адресами!
И к нему подключен вот этот микротик на нём поднето PPPoE
когда я прописоваю внешку вот так для клиента всё работает!
1 188.36.57.40/32 188.36.57.40 188.36.57.40 WAN
0 chain=dstnat action=dst-nat to-addresses=192.168.0.100 dst-address=188.36.57.40
1 chain=srcnat action=src-nat to-addresses=188.36.57.40 src-address=192.168.0.100
И всё нормально!

В логах не каких ошибок нет!
Версия микротика 5.0
Я пробовал пинговать адрес с BGP сервера 188.36.57.40 не пингуется ! Он пингуется ели только его вручную прописать! Но инета все ровно нет!

pjilya
на BGP-роутере надо прописать маршрут к 188.36.57.40/32 (или к подсети с выдаваемыми по PPPoE адресами) через PPPoE-роутер, и просто выдавать внешние адреса. на BGP-роутере, в идеале, адреса из внешней подсетки могут отсутствовать

Возможности выдавать внешку на BGP нет возможностей!



/----> Микротик с pppoe ---->/ ---->/Клиент
Internet -------> Микротик с bgp -----> свичь /----> Микротик с pppoe ---->/свичь ---->/Клиент2
/----> Микротик с pppoe ---->/ ---->/Клиент3
Проблема в том что когда я прописываю внешку на всех трёх микротиках то Появляется конфликт со внешкой!
Или что то нужно прописать на BGP ролтере что бы можно было выдавать внешку на следующих серверах?
Иле подскажите как можно убрать НАТ с микротиков там где PPPoE и поднять его на Микротик с BGP ?
Смысл в том что я настроил на микротике там где bgp. поднял нат!
Он работает правильно! Если я прописал в секретс прописал клиенту внутренний ip то он попадает под правело нат!
Если я прописываю внешний ip то он идёт в инет по выделенной внешке!
Так как добиться что бы Можно было выдавать внешку прописав на серверах микротик с pppoe ?
Если такой командой выдаётся внешка
1 188.36.57.40/32 188.36.57.40 188.36.57.40 WAN
0 chain=dstnat action=dst-nat to-addresses=192.168.0.100 dst-address=188.36.57.40
1 chain=srcnat action=src-nat to-addresses=188.36.57.40 src-address=192.168.0.100
то как я понимаю что микротик с BGP настроен правельно!

pjilya
топологию сети покажите. адреса, в частности. всё ещё до конца не могу понять, как на бгп-роутере настроены внешние адреса

Если есть возможность помочь с этой проблемой давайте по аське свяжемся!
вот что прописоно в bgp
0 name="default" as=64987 router-id=188.36.56.1 redistribute-connected=yes
redistribute-static=yes redistribute-rip=no redistribute-ospf=no
redistribute-other-bgp=no out-filter=announce_from_AS64987
client-to-client-reflection=yes ignore-as-path-len=no

pjilya
аргх!.. адреса, а не бгп-пир!.. покажите на карте сети, на каких интерфейсах у вас какие IP-адреса прописаны, для начала...

C BGP на выходи

Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
1 188.36.56.1/22 188.36.56.0 188.36.59.255 LAN

D Микротике с PPPoE
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN
1 188.36.56.100/22 188.36.56.0 188.36.59.255 WAN
Что то типа того!

Может сможешь посматреть в чём косяк. А с меня пивко)
А то уже кучу время убил и не могу с места сдвинутся

Добавлено:
Или подскажите как можно что бы при конекте клиента по PPPoE временно создовался в Адрессе лист создавался адрес в вот таком виде
19 188.36.57.40 188.36.57.40 188.36.57.40 WAN
А то создаётся только вот так!
20 D 188.36.57.40/32 30.1.255.255 0.0.0.0 <pptp-7777>

pjilya
вот, всё стало на свои места. бриджевание - это изврат, правильно так: между маршрутерами создать маааленькую подсетку (/28, например: 10.0.0.0/28 или 188.36.56.0/28), а всё остальное отмаршрутизировать на пппое-роутер; для этого на бгп-роутере пишем /ip route add dst-address=188.36.56.0/22 gateway=адрес_второго_роутера (ессесно, IP-адреса с маской /22 с обоих роутеров удаляем)

после этого прямая выдача адресов пппое-юзерам заработает

з.ы. на втором не забыть создать blackhole или unreachable маршрут для 188.36.56.0/22, чтобы не создавать петлю при наличии трафика на оффлайн-пользователей

Цитата:

Всем привет!

Нужна помощь...

Есть инет, получаемый по оптике, на порту Микротика eth2 стоит внешний айпишник (178.хх.хх.хх), всё работает, все довольны.
Появилась нужда прописать PTR запись для почтового сервака в организации на этот айпи, но к сожаления пров по каким то причинам не может сделать этого. Предлагает создать только pptp туннель по этому каналу с его внутренним впн сервером (10.хх.хх.хх) для получения ип на который есть возможность прописать ptr. Сказано, сделано. PPTP туннель (TEST_VPN) поднят, получен ip (92.xx.xx.xx) но.. интернета через этот туннель нет.. и уже третий день не могу разобраться в чём проблема.
Для теста был сделан маршрут типа: для 94.100.191.203 (он же mail.ru) gw TEST_VPN, пингов на 94.100.191.203 не с роутера не с внутренней сетки нету, если создаешь этот впн туннель на любом компе в локальной сетке, всё работает без проблем. Так же если вместо впн сервера прова, настроить на любой другой впн... то всё работает, и с роутера и с локалки. мистика...

Буду очень признателен за ваши ответы.

Всем спасибо! Вопрос закрыт... блин.... запара оказалась в PPP Profile -> Change TCP MSS (стояла галка YES), убрал и всё заработало

Добрый вечер всем! Пользуюсь микротиком около года (настраивал не сам), стоит версия 2.9.27, подключение к инету через пппое, инет около 25 мб/с, юзеры подключаются через пптп(их около 10 человек)! Сеть построена на оптоволокне и l2 коммутаторах! Сеть использую местного провайдера, он не в курсе и узнать не должен, но пока все норм! Под микротик стоит P4 комп с 128 RAM, хочу поменять на родную железку Mikrotik RouterBoard 750! Потянет ли эта железка такой объем и подходит ли она вообще для этого??

stepanhome

Цитата:

Mikrotik RouterBoard 750

25-35Мбит\с это почти его предел, если используете NAT, QoS, Firewall.
тогда уж 750G...

точные данные инет 16 мб/с и локалка, NAT, QoS, Firewall все это используется

16Мбит\с прокачает, а вот если вы еще локальные ресурсы
от провайдера будете гонять по PPPoE, то тут уж и 750G будет на
пределе... потому как для него не важно интернет это или локалка
все равно все идет по PPPoE и NAT...

и потом не понятно, что значит локалка? если кто то раз в час что то с нее закачает,
то это не проблема.... у нас 450G с гораздо большим числом пользователей и
интернет трафика, так же есть локальные ресурсы, пока работает но на пределе.
думаем о 1100

локальных ресов нет, по пппое только инет, раздача будет по пптп, а вот тут уже будет локалка меж компами(хотя локалку можно запустить и через хаб)

тогда потянет... только локалку не гоняйте через его порты...