» MikroTik RouterOS (часть 3)

vlh

Цитата:

например? обоснуйте.

вам что-то неочевидно?

Цитата:

gloomymen
вам что-то неочевидно?

очевидно, что?
то что например одновременно идут пакеты на два
игровых сервера и еще работает торент клиент и т.д.?
это же все косвенно, так как почему бы не запустить на одном
ПК два игровых сервера и т.д.

vlh

Цитата:

очевидно, что?
то что например одновременно идут пакеты на два
игровых сервера и еще работает торент клиент и т.д.?
это же все косвенно

это все что вы можете проанализировать?

например возьмем основную составляющую трафика, хидеры исходящих http содержат полезную информацию, такую как "User-Agent" и, возможно, "X-Forwarded-For", при наличии серого вещества этого уже более чем
а еще есть 25, 110, 5190 и пр пр

Цитата:

gloomymen
такую как "User-Agent" и, возможно, "X-Forwarded-For", при наличии серого вещества этого уже более чем

мне не понятно, какого серого вещества?


Цитата:

gloomymen
а еще есть 25, 110, 5190 и пр пр

и что мы там видим? например на 25 и 110 портах,
что имеется несколько учеток на почтовых серверах.
у меня например 15 почтовых ящиков на разных серверах
и что?
на никсах стоит виртуалка в которой виндовс и одновременно
включены две аськи с разными аккаунтами.

что конкретно вы можете предъявить после работы снифира,
кроме как косвенных доказательств, о том что имеется несколько
почтовых ящиков и несколько аккаунтов аськи.
понятно, что в наличие всего этого можно предполагать,
что работает не один компьютер, но это предположение
и как говорится их к делу не пришьешь, а вот доказать
обратное, что на одном компьютере можно все это запустить
можно, а если речь идет о том что бы зарубить клиента,
то тут и доказывать ни чего не надо, расторгнул контракт
и до свидание, но есть же и другие провайдеры которым
это не помеха.
хотя это и опасно, просто так расторгать контракт, смотря
какой попадется клиент, а то и интернет ему потом безвозмездно
отдавать будут, согласно предписания суда.

я например не понимаю, разъясните.

vlh

Цитата:

что конкретно вы можете предъявить после работы снифира

предъявлять никому и ничего не намерен, т.к. не моя головная боль и зона ответственности, разговор был о способах выявления количество станций за nat'ом, это сделать я в состоянии
обсуждение ваших возможностей в мои планы не входит, извините

Alexsashko

Цитата:

назначить IP wan, lan1 и lan2

Цитата:

ставлю PPPoE-сервер + DHCP-сервер и затем HotSpot-сервер + DHCP-сервер

что-то много ДХЦП-серверов... на lan1 вообще адреса не нужны - там будет PPPoE, а он на втором уровне работает


Цитата:

несколько красных строк

это нормально, это для кастомизации. пока своих правил не создано внутри указанных цепочек - они красные (неактивные)


Цитата:

стал накручиваться счётчик у этого правила

а это правило динамическое (от Хотспота) или вами создано?..

veranson

Цитата:

для циски
router(config-if)# ip address 10.1.2.1 255.255.255.0 secondary

а, это у циски ограничение на примари/секондари, у мелкотика можно создавать адреса в неограниченном количестве

Всем привет. Имеется RB/750G. Хочу через OpenVPN организовать связь офиса и удалённой точки. Есть настроенный OpenVPN сервер, авторизация по сертификатам. Настраиваю Микротик через winbox. Через Files забросил сертификаты. Импортировал их. Теперь в PPP - OpenVpn Client могу указать адрес сервера, куда будет идти коннкт, могу уже выбрать сертификаты импортированные, но здесь же есть 2 поля: User и Password. Что это вообще такое? У меня и в помине никаких юзеров и паролей в OpenVpn не используется. Игнорировать эти поля нельзя, интерфейс не создаётся. Подскажите пожалуйста как быть.
Спасибо

dimugric
использовать имя и пароль. без этого Мелкотик работать не умеет

Цитата:

gloomymen
предъявлять никому и ничего не намерен, т.к. не моя головная боль и зона ответственности, разговор был о способах выявления количество станций за nat'ом, это сделать я в состоянии

я не сомневаюсь в ваших возможностях, только свои слова надо подтверждать
не какими то "при наличии серого вещества" тут электронный форум,
а не химический, какое серое вещество?
много где читаю, о том, что без проблем провайдер видит сколько компьютеров
у клиента, какие у них IP и т.д., у ТС например провайдер помимо того, что
видит их количество так еще и их MAC, то есть администраторам не подвластны
законы сети, модели OSI, что за L3 MAC не может быть виден в принципе, так же
иногда попадаются высказывания, что PPPoE работает через L3 и с пеной у рта
это доказывают.
и после всего этого открывая библию о сети и протоколах понимаешь, что
то ли лыжи не те то ли....


Цитата:

gloomymen
обсуждение ваших возможностей в мои планы не входит, извините

я и не призываю вас обсуждать чьи то возможности, вопрос был как
провайдер это делает, вы ответили что можно, вас спросили как, вы
ответили при наличии серого вещества и нескольких почтовых ящиков
и isq, что не запрещено иметь договором с провайдером, или запрещено?
tcp сессии ну у меня браузер при обновлении всех вкладок больше сотни
их делает, а про торрент и говорить не стоит...
ПК это устройство которое в сети должно иметь IP (если не брать во внимание
тупые свичики и хабы и т.д.) и доказательством что пакет пришел именно
от этого ПК является IP.
вы можете привести пример из Wareshark или из другого сканера каким вы
пользуетесь, по которому можно судить, что эти пакеты нельзя технически
отправить с одного компьютера за NAT?

[q][/q]
каким образом логин и пароль то использовать? где их взять?)

vlh
Я конечно не буду утверждать, что они видят MACи, просто мне так сказали "знающие" люди. Но как то же они мне назвали точное количество компов включенных в данный момент. А я был уверен, что за NATом они не видят мою сеть.
К стати как советовал Chupaka отключил в Discovery интерфейс на провайдера. А что это дает?

dimugric

Цитата:

каким образом логин и пароль то использовать? где их взять?)

видимо, на сервере настроить


Цитата:

отключил в Discovery интерфейс на провайдера. А что это дает?

теперь Мелкотики и Циски провайдера не видят сообщения "Я здесь!" от твоего роутера

Нужно объеденить три офиса через BGP (без шифрования и прочего) и вывести их в интернет через гейт в первой подсети

Т.е.

10.215.101.0
10.215.102.0
10.215.103.0

Интернет гейт 10.215.101.100
Кто нибудь подскажет как реализовать? Железяки 2хРБ1200 и один DD-WRT

кроме Chupaka кто нибудь соображает в этих тиках?
а то он что то читать не очень умеет

Цитата:

объеденить три офиса через BGP

объединяются офисы через туннели, а BGP лишь маршруты распространяет по сети
в шапке ссылка на объединение есть

Всемогущий All!!!

Есть 4 сети:
1. 172.16.0.0/20 - центральный офис
2. 172.16.16.0/23 - 1я удаленная площадка
3. 172.16.18.0/23 - 2я удаленная площадка
4. 10.0.0.0/8 - приватная сеть объединяющая все офисы

Есть 3 программных маршрутизатора Микротика с 2 интерфейсами.
На 1м микротике поднят PPTP сервер.

1 микротик:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.16.0.251/20 172.16.0.0 172.16.15.255 ether1
1 10.1.132.120/22 10.1.132.0 10.1.135.255 ether2
2 D 192.168.0.1/32 192.168.0.2 0.0.0.0 <pptp-mi>
3 D 192.168.0.1/32 192.168.0.3 0.0.0.0 <pptp-kopt>

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 X S 0.0.0.0/0 172.16.0.254 1
1 A S 10.0.0.0/8 reachable 10.1.132.118 1 ether2
reachable ether2 ether2
2 ADC 10.1.132.0/22 10.1.132.120 0 ether2
3 ADC 172.16.0.0/20 172.16.0.251 0 ether1
4 A S 172.16.16.0/23 192.168.0.1 reachable 192.168.0.2 1 <pptp-mi>
5 A S 172.16.18.0/23 reachable 192.168.0.3 1 <pptp-kopt>
6 ADC 192.168.0.2/32 192.168.0.1 0 <pptp-mi>
7 ADC 192.168.0.3/32 192.168.0.1 0 <pptp-kopt>

2 микротик:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.16.16.253/23 172.16.16.0 172.16.17.255 ether1
1 10.1.137.253/22 10.1.136.0 10.1.139.255 ether2
2 D 192.168.0.2/32 192.168.0.1 0.0.0.0 \C2\EE\EB\E3\E8\ED\E0

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S 0.0.0.0/0 reachable 172.16.16.254 1 ether1
reachable ether1 ether1
1 A S 10.0.0.0/8 reachable 10.1.136.118 1 ether2
2 ADC 10.1.136.0/22 10.1.137.253 0 ether2
3 A S 172.16.0.0/20 192.168.0.2 reachable 192.168.0.1 1 \C2\EE\EB\E3\E8\ED\E0
4 ADC 172.16.16.0/23 172.16.16.253 0 ether1
5 ADC 192.168.0.1/32 192.168.0.2 0 \C2\EE\EB\E3\E8\ED\E0

3 микротик:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.16.18.253/23 172.16.18.0 172.16.19.255 ether1
1 10.1.141.253/22 10.1.140.0 10.1.143.255 ether2
2 D 192.168.0.3/32 192.168.0.1 0.0.0.0 Volgina
[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S 10.0.0.0/8 reachable 10.1.140.118 1 ether2
1 ADC 10.1.140.0/22 10.1.141.253 0 ether2
2 A S 172.16.0.0/20 reachable 192.168.0.1 1 Volgina
reachable Volgina Volgina
3 A S 172.16.16.0/23 reachable 192.168.0.1 1 Volgina
4 ADC 172.16.18.0/23 172.16.18.253 0 ether1
5 ADC 192.168.0.1/32 192.168.0.3 0 Volgina


Что имеем в результате. Пакеты бегают между:
172.16.0.0/20 <--> 172.16.16.0/23
172.16.0.0/20 <--> 172.16.18.0/23
172.16.16.0/23 <--> 172.16.18.0/23

Маршруты, все прописаны. Клиенты не имеют доступ в приватную сеть, хотя, на каждом маршрутизаторе роуты прописаны. Т.е. Трейсроут идет до маршрутизатора и на этом всё.



Firewall на всех микротиках:

[admin@MikroTik] /ip firewall> export
# jun/09/2011 22:53:14 by RouterOS 3.30
# software id = 9FB6-MG3D
#
/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \
tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
add action=accept chain=forward comment="" disabled=no
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no

Помогите, пожалуйста!! Уже всю голову сломал.

Здравствуйте, и так никак не поборю свою проблему с установкой VPN L2TP на протоколе IPsec.
спасибо за подсказку:

Цитата:

Jun/08/2011 15:05:28 ipsec trns_id mismatched: my:3DES peer:AES
Jun/08/2011 15:05:28 ipsec not matched

строки сами за себя говорят.
2 варианта
1)поставить в профиле aes (сами в конфиге указали 3DES)
2) поставить на клиента 3DES вместо AES

Но теперь другая проблема. Не сходятся настройки на микротике и моем компьютере (подключаюсь стандартными средствами Windows 7)
Вот что говорит микротик:

Цитата:

Jun/10/2011 11:36:31 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 1024-bit MODP group:2048-bit MODP group
Jun/10/2011 11:36:31 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = AES-CBC:3DES-CBC
Jun/10/2011 11:36:31 ipsec rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 1024-bit MODP group:2048-bit MODP group
Jun/10/2011 11:36:31 ipsec rejected enctype: DB(prop#1:trns#1):Peer(prop#1:trns#5) = AES-CBC:3DES-CBC
Jun/10/2011 11:36:31 ipsec no suitable proposal found.
Jun/10/2011 11:36:31 ipsec failed to get valid proposal.

В Винде толком настроек IPSec нет. В микротике 2048-bit MODP group поставить невозможно. Что подскажете делать???

Farch

Цитата:

кроме Chupaka кто нибудь соображает в этих тиках?
а то он что то читать не очень умеет

после такого говнотроллинга вообще отвечать не хотелось, но тем не менее: вы бы прежде писать научились. как объединить офисы? прокладываете между ними оптоволокно - и вуаля, всё объединено. как иногда достаёт школота, которая не может сформулировать задачу, но думает, что ей все обязаны... где офисы? что за офисы? почему не могут напрямую в инет ходить? как друг с другом могут соединиться, если инета нет?

ShadowSnake

Цитата:

Traceroute утыкается на 192.168.0.1, т.е. на центральном микротике и дальше не идёт.

а не может быть такого, что это только Traceroute с самих мелкотиков? на прошлой неделе какому-то иностранцу помогал такое настроить, суть была в том, что трассировка у него не ходила. просто потому, что при трассировке в качестве src-address автоматически выбирается, например, 192.168.0.2 - а третий тик не знает, где такой адрес находится. первый - знает, потому отлично работает. трассировка не ходила, а клиенты при этом работали - но он их не проверил. для проверки - просто указать в трассировке src-address=172.16.16.253, должно заработать


Цитата:

Так же клиенты не имеют доступ в приватную сеть, хотя опять же, на каждом маршрутизаторе роуты прописаны.

а приватная сеть знает, где находится 172.16.16.0/23?

Chupaka
С маршрутизацией удалённых разобрался. Надо было внимательнее маршруты смотреть . На одном микротике забыл прописать. Прописал - сейчас всё ок.

Теперь осталась проблема с приватной сетью.
Сами роутеры (10.1.132.118, 10.1.136.118 и 10.1.140.118), подключённые к микротику знают только о сетях 10.0.0.0/8 и своей же, приватной 172.16.0.0/?

Ситуация такая, что у нас в офисах тоже взяли 172.16.0.0/20, 172.16.16.0/23 и 172.16.18.0/23. Скоро добавятся ещё 2 сети в двух офисах.


Цитата:

а приватная сеть знает, где находится 172.16.16.0/23?

Нет, не знает, а знает о своей, приватной Косяк в этом, да?

Цитата:

Нет, не знает, а знает о своей, приватной

ну вот и смотрите, куда она ответные пакеты отправляет (трассировкой из приватной). как бы не пришлось маскарадить на этих роутерах

К приватной сети нет доступа!
В сети 172.16.0.0/20 стоит роутер на Windows Server 2003, который нормально маршрутизирует пакеты в приватную сеть. Вот трейсроут до маршрутизатора удаленного офиса:

C:\Users\georgys>tracert 10.1.140.118

Трассировка маршрута к 10.1.140.118 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс PRIVATER [172.16.0.253] - маршрутизатор Windows Server 2003 - локальная сеть
2 <1 мс <1 мс <1 мс 10.1.132.118 - маршрутизатор RiverStone центрального офиса - приватная сеть
3 2 ms 1 ms 1 ms 172.16.4.25 - приватная сеть
4 2 ms 1 ms <1 мс 172.16.5.22 - приватная сеть
5 1 ms 5 ms 1 ms 172.16.10.30 - приватная сеть
6 1 ms 4 ms 1 ms 172.16.4.138 - приватная сеть
7 1 ms 4 ms 1 ms 172.16.4.98 - приватная сеть
8 1 ms 5 ms 1 ms 10.1.140.118 - маршрутизатор RiverStone удаленного офиса - приватная сеть

Трассировка завершена.

Всё, разобрался! Поднял NAT на микротике и всё работает

ShadowSnake
а то же самое с мелкотика как выглядит?

Добавлено:
ShadowSnake
я как-то только на 3-м мелкотике вижу маршрут на 10/8, на других - только свои мелкие подсети из 10/3 без дефолтового роута

vlh

Цитата:

свои слова надо подтверждать

это с какого, извините, перепугу я должен подтверждать? потому что вы не хотите думать самостоятельно?
серое вещество это мозг, которым не все пользуются как мыслительным устройством, к сожалению

вот пример, трафик tcp:80 собран за 15 минут:
Цитата:

User-Agent: gnome-vfs/2.20.0 neon/0.25.4
User-Agent: GuardMailRu
User-Agent: Internet Explorer
User-Agent: Jakarta Commons-HttpClient/3.0.1
User-Agent: MailRuSputnik
User-Agent: Mozilla/4.0 (compatible; GoogleToolbar 7.0.1710.2246; Windows XP 5.1; MSIE 8.0.6001.18702)
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MyIE2; MRSPUTNIK 2, 4, 0, 270; MRA 5.8 (build 4133))
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; Community Alerts 1.1.1.0
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; CT2247187_ACTID_CT2247187_6.3.3.3)
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; MRSPUTNIK 2, 4, 0, 270; GTB7.0; MRA 5.7 (build 03796); .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.6)
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MRSPUTNIK 2, 4, 0, 270; GTB7.0; MRA 5.7 (build 03796); .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
User-Agent: MRA 5.7 (build 03796) super_dmitry@mail.ru
User-Agent: MRA 5.8 (build 4133) andrey1980@mail.ru
User-Agent: WordPress/3.1.3; http://192.168.2.95

добавлено: есс-но оставил только уникальные значения, п. адреса изменены

Цитата:

gloomymen
вот пример, трафик tcp:80 собран за 15 минут:

вы не смогли ответить на мой вопрос, а именно
технически подтвердить, что не возможно сделать на
одном ПК.
запустить пару ОС и несколько браузеров и это все?
я понимаю, что вы хотите этим сказать, то что сложно
представить, что один клиент запускает у себя несколько ОС
и несколько браузеров, так же отправляет и принимает
почту с нескольких адресов, НО (!) эти все пакеты отправлены
с одного IP, а договором между провайдером и клиентом не
запрещено например одновременно работать на нескольких
браузерах, или если вы видите в пакетах два браузера, то
это является доказательством, что работают два ПК?

vlh
14:51:13.469711 ... 15:10:00.292190, 22362 исходящих пакета
вы технически сможете за 15 минут отправить такие запросы с одной машины?
"пару ОС и несколько браузеров и это все?" вы в содержимое пытались вникнуть?
это уникальные ID, количество не указано, вы думать умеете?

на закуску, из того же cap-файла:
Цитата:

X-Forwarded-For: 192.168.2.12
X-Forwarded-For: 192.168.2.31
X-Forwarded-For: 192.168.2.35
X-Forwarded-For: 192.168.2.40
X-Forwarded-For: 192.168.2.49
X-Forwarded-For: 192.168.2.58
X-Forwarded-For: 192.168.2.60
X-Forwarded-For: 192.168.2.64
X-Forwarded-For: 192.168.2.67
X-Forwarded-For: 192.168.2.73
X-Forwarded-For: 192.168.2.78
X-Forwarded-For: 192.168.2.85
X-Forwarded-For: 192.168.2.95

специально сразу не стал постить, и не ошибся

уважаемый, пожалуй я оставлю вас наедине с вашими сомнениями

Добрый день!
Очень прошу помочь в настройке микротика (750G).
Пару дней назад перестал работать PPTP коннект от gprs клиентов. есть шанс, что они смогут работать через L2TP, однако ни как не получается настроить подключение из внешней сети (из внутренней подключается).
При попытке подключения на внешний IP на стороне клиента (Windows 7) ошибка 809, на стороне микротика в логах ни чего не отображается

gloomymen

это X-Forwarded-For: я так понимаю относится к прокси?
или мы все таки говорим о NAT?

ткните плз где почитать про
имется 4 сетевки - 2 инет - 2 локальных

необходимо 1 инет пустить ТОЛЬКО в 1 локальный интерфейс
и 2 инет пустить ТОЛЬКО в 2 локальный интерфейс

Цитата:

ткните плз где почитать

например тут

не то, там 2 инета в 1 локалку. надо 1 в 1, а 2 в 2.

muk_as
Читать тут (тема Source NAT), только не забудьте параметр in-interface использовать