Цитата:
Chupaka
Es ist die Phantastik. Пароль пустой так и есть))) Мерси!
» MikroTik RouterOS (часть 3)
Цитата:
Es ist die Phantastik. Пароль пустой так и есть))) Мерси!
Chupaka
А как тогда указывать какой адрес куда маскарадить?
А как тогда указывать какой адрес куда маскарадить?
beta_x
Цитата:
маскарадить будет автоматически, в зависимости от канала, через который пакет уходит
Цитата:
как тогда указывать какой адрес куда маскарадить?
маскарадить будет автоматически, в зависимости от канала, через который пакет уходит
Chupaka
Вы меня немного не так поняли. Сейчас у меня в сети два шлюза, каждый с натом и выходом через своего провайдера. Допустим 10.0.0.1 - провайдер А, динамический IP и 10.0.0.2 - провайдер Б, тоже динамический IP. В зависимости от того, какой шлюз прописан на машине - через такого провайдера и выходим в интернет. На микротике же у меня три сетевых интерфейса - LAN, WAN1 (А) и WAN2 (Б). Я хочу присвоить интерфейсу LAN два IP адреса (10.0.0.1 и 10.0.0.2) так, что бы обращения по одному адресу маскарадились на WAN1, а по другому - на WAN2. Что мне пока не ясно - что прописать в mangl'е, что бы он различал на какой IP обратился клиент?
Вы меня немного не так поняли. Сейчас у меня в сети два шлюза, каждый с натом и выходом через своего провайдера. Допустим 10.0.0.1 - провайдер А, динамический IP и 10.0.0.2 - провайдер Б, тоже динамический IP. В зависимости от того, какой шлюз прописан на машине - через такого провайдера и выходим в интернет. На микротике же у меня три сетевых интерфейса - LAN, WAN1 (А) и WAN2 (Б). Я хочу присвоить интерфейсу LAN два IP адреса (10.0.0.1 и 10.0.0.2) так, что бы обращения по одному адресу маскарадились на WAN1, а по другому - на WAN2. Что мне пока не ясно - что прописать в mangl'е, что бы он различал на какой IP обратился клиент?
beta_x
возвращаемся к основам функционирования сетей... комп А хочет отправить пакет компу Б, находящемуся в Интернете. у него есть шлюз Ш. если комп не знает МАК-адреса Ш, он отправляет ARP-запрос: "какой мак у Ш?" - и нужный мак получает в ответе. далее он посылает пакет с src-address=А, dst-address=Б, dst-mac-address=найденный_мак_Ш. на Ш пакет приходит, тот смотрит, что адрес Б принадлежит не ему - и отправляет его дальше по цепочке в Интернет. т.е. адрес Ш нигде не фигурирует, только его мак-адрес
идём дальше. у нас два адреса на одном физическом интерфейсе. оба, соответственно, имеют одинаковый MAC - поэтому пакеты, посланные в Интернет, для маршрутера абсолютно идентичны, вне зависимости от того, какой IP-адрес шлюза использовал комп. вывод: миссия невыполнима
ручками прописывать надо на маршрутере, кого куда пускать. или вообще балансировку настроить - и забыть =)
возвращаемся к основам функционирования сетей... комп А хочет отправить пакет компу Б, находящемуся в Интернете. у него есть шлюз Ш. если комп не знает МАК-адреса Ш, он отправляет ARP-запрос: "какой мак у Ш?" - и нужный мак получает в ответе. далее он посылает пакет с src-address=А, dst-address=Б, dst-mac-address=найденный_мак_Ш. на Ш пакет приходит, тот смотрит, что адрес Б принадлежит не ему - и отправляет его дальше по цепочке в Интернет. т.е. адрес Ш нигде не фигурирует, только его мак-адрес
идём дальше. у нас два адреса на одном физическом интерфейсе. оба, соответственно, имеют одинаковый MAC - поэтому пакеты, посланные в Интернет, для маршрутера абсолютно идентичны, вне зависимости от того, какой IP-адрес шлюза использовал комп. вывод: миссия невыполнима
ручками прописывать надо на маршрутере, кого куда пускать. или вообще балансировку настроить - и забыть =)
Chupaka
Вот про это я не знал, спасибо. А можно ли это как-нибудь разрулить с помощью VLANов?
Над прописывать ручками думал, не вариант. А балансировка вообще не нужна - один канал быстрый, но высоколатентный, второй наоборот.
Вот про это я не знал, спасибо. А можно ли это как-нибудь разрулить с помощью VLANов?
Над прописывать ручками думал, не вариант. А балансировка вообще не нужна - один канал быстрый, но высоколатентный, второй наоборот.
Люди, подскажите плиз, как сделать так чтобы провайдер за микротиком не видел сеть (версия 3.29).
wwwwwww7
Про nat в курсе?
Про nat в курсе?
есть 1 сетевка, микротик, на ней поднято 4 влана
можно ли каждому влану назначить свой мак?
можно ли каждому влану назначить свой мак?
muk_as
1мак на 1 физический интерфейс (сетевку)
каждому влану назначить свой мак не прокатит, могу ошибаться
Добавлено:
Подскажите пожалуйста, можно ли на одной машине настроить несколько сервисов например PPPoE server на 2-ом интерфейсе и Hot Spot на 3-ем (см. схема 1), или надо 2 микротика (см. схема2) ?
Что-то не получается у меня одновременная работа 2-х сервисов
Схема 1 http://forum.ixbt.com/post.cgi?id=attach:14:51525:2316:1
Схема 2 http://forum.ixbt.com/post.cgi?id=attach:14:51525:2316:2
1мак на 1 физический интерфейс (сетевку)
каждому влану назначить свой мак не прокатит, могу ошибаться
Добавлено:
Подскажите пожалуйста, можно ли на одной машине настроить несколько сервисов например PPPoE server на 2-ом интерфейсе и Hot Spot на 3-ем (см. схема 1), или надо 2 микротика (см. схема2) ?
Что-то не получается у меня одновременная работа 2-х сервисов
Схема 1 http://forum.ixbt.com/post.cgi?id=attach:14:51525:2316:1
Схема 2 http://forum.ixbt.com/post.cgi?id=attach:14:51525:2316:2
Здравствуйте, подскажите пожалуйста,возможно ли реализовать на микротике следующее:
Сейчас на микротике работает хотспот поднятый с помощью ip hotspot setup и раздаёт ip адреса из реальной сети,так же в валид гарден добавлено несколько правил.Можно ли сделать так,что бы dhcp сервер на микротике раздавал ip адреса из не реальной сети к примеру 10.10.10.0,
а уже непосредственно после авторизации на странице хотспот отдавал адресс из реальной сети ?
Предпологаю что можно,только не пойму как это сделать.Так как не раз замечал,что после авторизации
микротик отдаёт другой ip отличный от того который я получил по dhcp.
Сейчас на микротике работает хотспот поднятый с помощью ip hotspot setup и раздаёт ip адреса из реальной сети,так же в валид гарден добавлено несколько правил.Можно ли сделать так,что бы dhcp сервер на микротике раздавал ip адреса из не реальной сети к примеру 10.10.10.0,
а уже непосредственно после авторизации на странице хотспот отдавал адресс из реальной сети ?
Предпологаю что можно,только не пойму как это сделать.Так как не раз замечал,что после авторизации
микротик отдаёт другой ip отличный от того который я получил по dhcp.
beta x
Цитата:
можно, если каждая группа пользователей подключена в свой вилан =)
Цитата:
тогда вообще отлично: http(s) и всякие игры зарулить на низколатентный, а всё остальное (торренты, етц) - на быстрый
Цитата:
а как он её видит?
Цитата:
извратно, но можно: http://wiki.mikrotik.com/wiki/Change_MAC_address_of_VLAN_interface
Цитата:
не вижу причин, по которым это не будет работать
Цитата:
значит, попробуйте в HotSpot Address Pool впихнуть внешние адреса, в DHCP Pool - серые
Цитата:
можно ли это как-нибудь разрулить с помощью VLANов?
можно, если каждая группа пользователей подключена в свой вилан =)
Цитата:
один канал быстрый, но высоколатентный, второй наоборот
тогда вообще отлично: http(s) и всякие игры зарулить на низколатентный, а всё остальное (торренты, етц) - на быстрый
Цитата:
как сделать так чтобы провайдер за микротиком не видел сеть
а как он её видит?
Цитата:
можно ли каждому влану назначить свой мак?
извратно, но можно: http://wiki.mikrotik.com/wiki/Change_MAC_address_of_VLAN_interface
Цитата:
на одной машине настроить несколько сервисов
не вижу причин, по которым это не будет работать
Цитата:
после авторизации
микротик отдаёт другой ip отличный от того который я получил по dhcp
значит, попробуйте в HotSpot Address Pool впихнуть внешние адреса, в DHCP Pool - серые
Chupaka
Ты о чем? Как работает arp все знают. L3 немного выше. Если в теории то делаешь один интерфейс 10.0.0.x на этом интерфейсе добавляешь сабинтерфейс (как на микротике это делать не знаю). Саб вида 10.0.1.x Ну дальше правило для ната вида сорцы 10.0.0.x натить на 1 интернет интерфейс, ну а воруя вида 10.0.1.x натить на 2 интернет интерфейс. Как то так
urodliv
Конечно в курсе. Правило в нате прописано. Все равно прв видит сколько компов включено за микротиком.
Конечно в курсе. Правило в нате прописано. Все равно прв видит сколько компов включено за микротиком.
wwwwwww7
Chupaka уже спрашивал:
Цитата:
Вообще в вашем вопросе очень мало инфы. Если пров "видит" компы за натом, то ната-то как такового и нет.
Chupaka уже спрашивал:
Цитата:
а как он её видит?
Вообще в вашем вопросе очень мало инфы. Если пров "видит" компы за натом, то ната-то как такового и нет.
urodliv
Есть подозрение что сеть анонсируется каким либо протоколом маршрутизации (rip, ospf etc). Ну и пров знает вро у тебя l3 железка по уменьшеному ttl на транзитных пакетов. Ttl нужно прибивать статически или инкрементировать транзитные пакеты.
Ну и отключи на аплинке upnp, а то ты всем говоришь что у тебя микротик
Есть подозрение что сеть анонсируется каким либо протоколом маршрутизации (rip, ospf etc). Ну и пров знает вро у тебя l3 железка по уменьшеному ttl на транзитных пакетов. Ttl нужно прибивать статически или инкрементировать транзитные пакеты.
Ну и отключи на аплинке upnp, а то ты всем говоришь что у тебя микротик
veranson
Цитата:
что это? хотя бы на пальцах объясните, что оно из себя представляет, уж больно интересное слово
Цитата:
я вроде ещё на прошлой странице и написал: прописывать ручками. по сути, получается одно и то же, только группы у нас по сетям разделены, а не по адресам изврат? да, работать будет? да. только пользователю надо будет кроме шлюза ещё и адрес менять
Цитата:
NeighbourDiscovery на аплинке гасить надо
Цитата:
добавляешь сабинтерфейс
что это? хотя бы на пальцах объясните, что оно из себя представляет, уж больно интересное слово
Цитата:
правило для ната вида сорцы 10.0.0.x натить на 1 интернет интерфейс, ну а воруя вида 10.0.1.x натить на 2 интернет интерфейс. Как то так
я вроде ещё на прошлой странице и написал: прописывать ручками. по сути, получается одно и то же, только группы у нас по сетям разделены, а не по адресам
изврат? да, работать будет? да. только пользователю надо будет кроме шлюза ещё и адрес менять Цитата:
отключи на аплинке upnp, а то ты всем говоришь что у тебя микротик
NeighbourDiscovery на аплинке гасить надо
Цитата:
на одной машине настроить несколько сервисов
не вижу причин, по которым это не будет работать
я так сказать в начале пути познания Микротика
какой алгоритм настройки должен быть? я представляю так:
1 настроить wan
2 настроить интернет на lan1 и lan2
3 настроить на lan1 PPPoE server, завести PPPoE юзеров
4 настроить на lan2 HotSpot, завести Hot Spot юзеров
5 всё работает, все довольны
Alexsashko
Цитата:
что под этим подразумевается? на интерфейсе с PPPoE-сервером, строго говоря, вообще ничего не надо настраивать (даже адрес добавлять) - поэтому я бы этот пункт убрал вообще а в целом - да, как-то так
Цитата:
настроить интернет на lan1 и lan2
что под этим подразумевается? на интерфейсе с PPPoE-сервером, строго говоря, вообще ничего не надо настраивать (даже адрес добавлять) - поэтому я бы этот пункт убрал вообще
а в целом - да, как-то такЦитата:
Chupaka
NeighbourDiscovery на аплинке гасить надо
то есть отключить VPN интерфейсы поднятые на wan портах?
или и сами wan порты тоже?
Здравствуйте. Недавно начал знакомиться с микротиком. И потребовалось настроить VPN L2TP IPsec. Нашёл здесь простенький пример настройки который подходит как раз к моему случаю - http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=880#10
Настроил вроде по такому примеру. Но Виндовс семерка не хочет подключатся, выдает ошибку 809.
В Фаерволе никаких правил нет.
вот что в логах пишет:
Цитата:
Заранее спасибо
Настроил вроде по такому примеру. Но Виндовс семерка не хочет подключатся, выдает ошибку 809.
В Фаерволе никаких правил нет.
вот что в логах пишет:
Цитата:
Jun/08/2011 15:05:27 ipsec respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jun/08/2011 15:05:27 ipsec begin Identity Protection mode.
Jun/08/2011 15:05:27 ipsec received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
Jun/08/2011 15:05:27 ipsec received Vendor ID: RFC 3947
Jun/08/2011 15:05:27 ipsec received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jun/08/2011 15:05:27 ipsec
Jun/08/2011 15:05:27 ipsec received Vendor ID: FRAGMENTATION
Jun/08/2011 15:05:27 ipsec Selected NAT-T version: RFC 3947
Jun/08/2011 15:05:27 ipsec invalid DH group 20.
Jun/08/2011 15:05:27 ipsec invalid DH group 19.
Jun/08/2011 15:05:28 ipsec Hashing X.X.X.X[500] with algo #2
Jun/08/2011 15:05:28 ipsec NAT-D payload #0 verified
Jun/08/2011 15:05:28 ipsec Hashing Y.Y.Y.Y[500] with algo #2
Jun/08/2011 15:05:28 ipsec NAT-D payload #1 doesn't match
Jun/08/2011 15:05:28 ipsec NAT detected: PEER
Jun/08/2011 15:05:28 ipsec Hashing Y.Y.Y.Y[500] with algo #2
Jun/08/2011 15:05:28 ipsec Hashing X.X.X.X[500] with algo #2
Jun/08/2011 15:05:28 ipsec Adding remote and local NAT-D payloads.
Jun/08/2011 15:05:28 ipsec NAT-T: ports changed to: Y.Y.Y.Y[4500]<->X.X.X.X[4500]
Jun/08/2011 15:05:28 ipsec KA list add: X.X.X.X[4500]->Y.Y.Y.Y[4500]
Jun/08/2011 15:05:28 ipsec ISAKMP-SA established X.X.X.X[4500]-Y.Y.Y.Y[4500] spi:de8e9f4e6ced8129:f7ec1fab5f8e1a2d
Jun/08/2011 15:05:28 ipsec respond new phase 2 negotiation: X.X.X.X[4500]<=>Y.Y.Y.Y[4500]
Jun/08/2011 15:05:28 ipsec Update the generated policy : 10.1.1.254/32[1701] X.X.X.X/32[1701] proto=udp dir=in
Jun/08/2011 15:05:28 ipsec Adjusting my encmode UDP-Transport->Transport
Jun/08/2011 15:05:28 ipsec Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Jun/08/2011 15:05:28 ipsec trns_id mismatched: my:3DES peer:AES
Jun/08/2011 15:05:28 ipsec not matched
Jun/08/2011 15:05:28 ipsec Adjusting peer's encmode UDP-Transport(4)->Transport(2)
Jun/08/2011 15:05:28 ipsec IPsec-SA established: ESP/Transport Y.Y.Y.Y[4500]->X.X.X.X[4500] spi=19494969(0x1297839)
Jun/08/2011 15:05:28 ipsec IPsec-SA established: ESP/Transport X.X.X.X[4500]->Y.Y.Y.Y[4500] spi=188278572(0xb38e72c)
Jun/08/2011 15:06:03 ipsec generated policy, deleting it.
Jun/08/2011 15:06:03 ipsec get a src address from ID payload 10.1.1.254[1701] prefixlen=32 ul_proto=17
Jun/08/2011 15:06:03 ipsec get dst address from ID payload X.X.X.X[1701] prefixlen=32 ul_proto=17
Jun/08/2011 15:06:03 ipsec pfkey spddelete(inbound) sent.
Jun/08/2011 15:06:03 ipsec purged IPsec-SA proto_id=ESP spi=188278572.
Jun/08/2011 15:06:03 ipsec ISAKMP-SA expired X.X.X.X[4500]-Y.Y.Y.Y[4500] spi:de8e9f4e6ced8129:f7ec1fab5f8e1a2d
Jun/08/2011 15:06:03 ipsec pfkey X_SPDDELETE failed: No such file or directory
Jun/08/2011 15:06:03 ipsec pfkey X_SPDDELETE failed: No such file or directory
Jun/08/2011 15:06:04 ipsec ISAKMP-SA deleted X.X.X.X[4500]-Y.Y.Y.Y[4500] spi:de8e9f4e6ced8129:f7ec1fab5f8e1a2d
Jun/08/2011 15:06:04 ipsec KA remove: X.X.X.X[4500]->Y.Y.Y.Y[4500]
Заранее спасибо
Цитата:
NeighbourDiscovery
Цитата:
VPN интерфейсы
найдите 10 отличий...
з.ы. подсказка: в WinBox IP -> Neighbours -> Discovery
я имел ввиду назначить IP wan, lan1 и lan2 , включить для них маскарадинг на wan
далее проверяю с lan1 и lan2 есть ли доступ в интернет, если есть ставлю PPPoE-сервер + DHCP-сервер и затем HotSpot-сервер + DHCP-сервер ....
я так делал и глючно как-то работало, до установки HotSpotа в firewall'e были правила для PPPoE-юзеров (ограничение по портам одним и разрешение другим), разные ограничение скорости юзерам - и всё работало хорошо, меня устраивало.
Ставлю HotSpot через мастера и в firewall'e появляются несколько красных строк относящиеся к HotSpotу, не выдаёт страницу авторизации пользователю...
Исчез доступ в интернет у PPPoE-юзеров и заметил что при этом стал накручиваться счётчик у этого правила:
ip firewall filter add chain=forward action=drop comment="Drop all"
отключаю его и PPPoE-юзер мог получить интернет не задействуя у себя PPPoE соединение...
Может быть в firewallе надо ещё правила прописывать? а пока буду пробывать по новой настроить
далее проверяю с lan1 и lan2 есть ли доступ в интернет, если есть ставлю PPPoE-сервер + DHCP-сервер и затем HotSpot-сервер + DHCP-сервер ....
я так делал и глючно как-то работало, до установки HotSpotа в firewall'e были правила для PPPoE-юзеров (ограничение по портам одним и разрешение другим), разные ограничение скорости юзерам - и всё работало хорошо, меня устраивало.
Ставлю HotSpot через мастера и в firewall'e появляются несколько красных строк относящиеся к HotSpotу, не выдаёт страницу авторизации пользователю...
Исчез доступ в интернет у PPPoE-юзеров и заметил что при этом стал накручиваться счётчик у этого правила:
ip firewall filter add chain=forward action=drop comment="Drop all"
отключаю его и PPPoE-юзер мог получить интернет не задействуя у себя PPPoE соединение...
Может быть в firewallе надо ещё правила прописывать? а пока буду пробывать по новой настроить
Цитата:
Chupaka
найдите 10 отличий...
не нашел
даже почитал - тут
понял что для обнаружение соседних устройств, но на каких
интерфейсах полезно отключить, что то ни как..
отключил на всех кроме lan.
Цитата:
Chupaka
з.ы. подсказка: в WinBox IP -> Neighbours -> Discovery
дык я там и смотрю, VPN отключены, а wan и lan включен.
я так понял ниукого никаких идей нет?
Chupaka
для циски
router(config)#int vlan 1
router(config-if)# ip address 10.1.1.1 255.255.255.0
router(config-if)# ip address 10.1.2.1 255.255.255.0 secondary
как то так
для циски
router(config)#int vlan 1
router(config-if)# ip address 10.1.1.1 255.255.255.0
router(config-if)# ip address 10.1.2.1 255.255.255.0 secondary
как то так
urodliv
В принципе пров не запрещает устанавливать роутер, но за ним должно быть не больше 2 компов. а у меня их 5. Недавно позвонили из конторы и сказали, что у вас включено столько то компов. Вот я и думаю как они определяют сколько компов и можно ли это дело замаскировать?
правило нат:
chain srcnat
Out. Interface pppoe-out1
Action masquerade
Подключение к прову по pppoe
В принципе пров не запрещает устанавливать роутер, но за ним должно быть не больше 2 компов. а у меня их 5. Недавно позвонили из конторы и сказали, что у вас включено столько то компов. Вот я и думаю как они определяют сколько компов и можно ли это дело замаскировать?
правило нат:
chain srcnat
Out. Interface pppoe-out1
Action masquerade
Подключение к прову по pppoe
снифер за полчаса может многое рассказать, хоть обдекременируйся с ttl
Цитата:
gloomymen
снифер за полчаса может многое рассказать
например? обоснуйте.
Цитата:
gloomymen
хоть обдекременируйся с ttl
а это в схеме ТС не причем, так как роутер ему разрешено
ставить и все компьютеры подключены к роутеру, и
поэтому ttl от всех компьютеров будет всего на единицу
меньше, и что?
skryalex
Jun/08/2011 15:05:28 ipsec trns_id mismatched: my:3DES peer:AES
Jun/08/2011 15:05:28 ipsec not matched
строки сами за себя говорят.
2 варианта
1)поставить в профиле aes (сами в конфиге указали 3DES)
2) поставить на клиента 3DES вместо AES
Jun/08/2011 15:05:28 ipsec trns_id mismatched: my:3DES peer:AES
Jun/08/2011 15:05:28 ipsec not matched
строки сами за себя говорят.
2 варианта
1)поставить в профиле aes (сами в конфиге указали 3DES)
2) поставить на клиента 3DES вместо AES
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.