» MikroTik RouterOS (часть 3)

LevT
конечно. если пакет доходит до роутера - то вместо правила НАТ достаточно прописать маршрут на этот адрес через другой роутер/компьютер, навесить на то устройство ещё и этот адрес - и радоваться

Chupaka

Цитата:

например так (работаем исключительно с цепочкой forward - прокси же не используется?):
1) добавляем правило с in-interface=LAN action=drop - теперь у нас ничего из LAN не ходит вообще (входящим трафиком не заморачиваемся, хотя можно и сразу с ним работать - входящие подключения нужны или нет?)
2) нужен http(s)? добавляем выше дропа правило с in-interface=LAN protocol=tcp dst-port=80(,443) action=accept

в том то и дело... кроме http тарфика ничего не ходит, после открытия 443, 5190 и прочих портов для icq, sip и https.... Понимаю, что что-то делаю не так... Но не могу понять что...
Правило http копирую - заменяю порты и назначаю ему имя https - не работает((..

Цитата:

Правило http копирую - заменяю порты и назначаю ему имя https - не работает((..

лучше просто в список портов добавить ещё один, через запятую. прокси не используется?

Chupaka
пока ни каких прокси. Хоу разобраться в "физике процесса". чтоб хотя бы эта схема заработала. потом уже прокси...
Или лучше сразу с настройки прокси начинать? чтоб не тратить зря время?

хм... вот так номер... 2 вечера пытался настроить.. аська и sip не работал хоть убей. а сейчас все заработало. настройки прежние... ниченепонимаю..

Цитата:

Chupaka

IP -> Neighbours -> Discovery Interfaces

Спасибо!
Действительно на некоторых интерфейсах был включён.

Цитата:

а сейчас все заработало. настройки прежние

ну, бывает. очепятки - вещь ещё та... =)

день добрый.
настроил Web Proxy.
Но есть небольшое но.
Без прокси - http://cmyip.com/ = Mikrotik External IP
C прокси - http://cmyip.com/ = PC LAN IP
Почему так происходит ?

Chupaka

Цитата:

конечно. если пакет доходит до роутера - то вместо правила НАТ достаточно прописать маршрут на этот адрес через другой роутер/компьютер, навесить на то устройство ещё и этот адрес - и радоваться

Спасибо за идею ))
Воспользуюсь в крайнем случае: всё же нехорошо пускать внешний трафик в LAN.

"ReverseNAT" с для нескольких компов остаётся под вопросом.

slech
потому что прокси указывает в заголовке, для кого проксирует запрос. http://myip.ru показывает адрес соединения, http://cmyip.ru по возможности ещё и вытягивает инфу из прокси


Цитата:

Воспользуюсь в крайнем случае: всё же нехорошо пускать внешний трафик в LAN.

не вижу ничего в этом плохого. ведь я же не говорил, что при этом трафик не надо файрволить уже на входе


Цитата:

"ReverseNAT" с для нескольких компов остаётся под вопросом.

для меня данная тема покрыта мраком: как-то не слышал никогда о таком, поэтому не могу комментировать...

Chupakaдружище, не раз уже помогал, выручи ещё раз...дело такое, я с девушкой моей в одной сети, в одном сегменте, т.к. у меня постоянно включенный сервак на микротике, и есть постоянно ин-нет, а ей надо раз в год попользоваться, ну или порой не оплачен а надо, пришла мысль, пустить ей через прокси или впн тунель если возомжно ин-нет, раньше такое пробовали с другом, когда были лишь два компьютера подключенные напрямую, он поднимал веб прокси, а я вбивал его ип и порт, как бы мне сейчас организовать? у неё напрямую без роутеров подключено, я пробовал настраивать но у меня не получилось ничего

Smito1
"ничего" можно понимать как угодно. можно просто прокси включить, ей его вбить, а фильтром файрвола в инпуте заблочить доступ извне, кроме как от неё

Chupaka

Цитата:

потому что прокси указывает в заголовке, для кого проксирует запрос. http://myip.ru показывает адрес соединения, http://cmyip.ru по возможности ещё и вытягивает инфу из прокси

у 3 прокси был такой ключик - a он как раз и прятал эту инфу можно ли тут победить это ?

И ещё вот меня что беспокоит:
у меня есть IP на тике - 89.xx.xx.40, так же мне Starnet выдал ещё 7 IP - 89.xx.xx.70-76
Мне нужно сделать сайт доступным из мира по 80 порту:

Цитата:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.72 protocol=tcp dst-address-list=ext-ip-starnet-3 dst-port=80

так вот насколько я припоминаю оно не хотело работать пока я этот внешний IP не добавил на этот внешний интерфейс и тогда оно заработало.
Потом я удалил этот IP оттуда, но всё продолжало работать. Я перегружал тик пару раз и всё работало.
Сегодня утром мне пожаловались что сайт не работает. И заработал он только после добавления мною IP на интерфейс. Почему такое могло произойти ?
Щас снова удалил этот IP с интерфейса, перегрузил тик и всё работает.

Ещё у меня вопрос по Графикам. Не смог найти где они должны храниться, посчитал что оперативной памяти. Перегрузился - графики есть, значит на flash самой железки.
Сегодня утром после перезагрузки(после установки CF) вижу что графиков нету - куда они подевались ? Они что обнулятся раз в сутки ? И где они хранятся.

Спасибо.

Цитата:

у 3 прокси был такой ключик - a он как раз и прятал эту инфу

не нахожу в настройках ничего подобного...


Цитата:

насколько я припоминаю оно не хотело работать пока я этот внешний IP не добавил на этот внешний интерфейс и тогда оно заработало

правильно. провайдер вам не смаршрутизировал тот блок, а настроил бриджем - худший вариант из двух возможных. теперь оборудование провайдера спрашивает АРП'ом: у кого айпищнег такой-то? если этот адрес никому не навешен и Proxy-ARP выключен - то никто и не ответит. если навесить - то тик отрапортуется своим маком и девайс провайдера его запомнит на некоторое время. теперь можно перезагружать всё, что угодно. главное, чтобы по истечении времени жизни ARP-записи было опять кому на запрос ответить

советую попросить провайдера смаршрутизировать эту подсеть на ваш 89.xx.xx.40, дабы избавиться от ненужного геморроя


Цитата:

Ещё у меня вопрос по Графикам. Не смог найти где они должны храниться, посчитал что оперативной памяти. Перегрузился - графики есть, значит на flash самой железки.

угу, на флэше. графики пропадать могут при изменении системного времени в очередной момент их отрисовки. перезагрузка производилась по питанию или корректным шатдауном?

Цитата:

перезагрузка производилась по питанию или корректным шатдауном?

и вот и незнал что есть такая команда shutdown
может в 5-ой версии появилась.
System --> Reboot --> выключение питания --> установка флешки -->ключение обратно.

Добавлено:
Chupaka
спасибо за подробные ответы.

Chupaka легко), поэтому прошу помощи, может мануал подскажешь, или поэтапно если не сложно
у меня допустим айпи вида 10,10,92,45 у неё 10,10,92,56, статический айпи без впн и прочего, не пойму что надо в фаерволе прописать чтобы пускать трафик в обратную сторону

Цитата:

и вот и незнал что есть такая команда shutdown
может в 5-ой версии появилась.

всегда она там была. ну, раз графики пропали - могу только на изменение времени сослаться...


Цитата:

у меня допустим айпи вида 10,10,92,45 у неё 10,10,92,56, статический айпи без впн и прочего, не пойму что надо в фаерволе прописать чтобы пускать трафик в обратную сторону

не совсем понял вопрос... не надо в файрволе ничего прописывать - тогда трафик свободно будет ходить в обе стороны =)

[spamdetected] - В рамках Ubuntu Linux разработана виртуальная учебная лаборатория по компьютерным сетям на основе виртуальных машин Qemu в оболочке GNS3 с использованием операционной системы RouterOS фирмы Mikrotik.

Приветствую Вас, уважаемые!
Прошу показать пример разлычных маршрутов для разные адресов.
Например, есть внутрисетевой адреса 192.168.0.1 для него надо направить весь основной трафик на 172.254.254.1 ,
а для адреса 192.168.0.20 надо использовать 187.254.254.2 .

Надеюсь что понятно изложил свою мысль.

AntoshAReal
как-то так:

Код: /ip route add routing-mark=gw1 gateway=172.254.254.1
/ip route add routing-mark=gw2 gateway=187.254.254.2
/ip route rule add src-address=192.168.0.1 action=lookup table=gw1
/ip route rule add src-address=192.168.0.20 action=lookup table=gw2

Smito1
у себя на микротике включи pptp сервер, а у нее подключай ВПН средствами ОС на твой статический адрес и оставь включенной галку использовать как шлюз по умолчанию в свойствах соединения. Весь ее трафик пойдет к тебе в туннель.

Итак приобрёл РБ750.
вопрос номер раз - пробрасываю 21 порт через нат (предварительно вырубив его в службах микротика ) приконектится с инета немогу, ответ от сервака не доходит (ип от провайдера динамика, пробовал игратся в нате ставя и реальный и 0,0,0,0)
вопрос номер два - возможно ли на РБ750 ограничить скорость юзверей в интернет?
Заранее СПАСИБО ЗА ПОМОЩ!

Chupaka
Огромное спасибо, работает.

elemenrad
Попробуй нечто похожее:

Код:
/ip firewall nat
add action=dst-nat chain=dstnat comment="FTP Port 990 for SS" disabled=no \
dst-port=21 in-interface=SS protocol=tcp to-addresses=192.168.254.6 \
to-ports=990
add action=dst-nat chain=dstnat comment="FTP Port 991 for NTK" disabled=no \
dst-port=21 in-interface=NTK protocol=tcp to-addresses=192.168.254.6 \
to-ports=991

Подскажите люди добрые. Весь мозг уже сломал.
Есть устройство Mikrotik 750G. Белый IP хх.хх.хх.хх на внешнем интерфейсе и 192.168.1.254 на внутреннем. Есть некое доменное имя example.com привязанное к адресу хх.хх.хх.хх Пробрасываю 80 порт. Из инета народ заходит все отлично. А я из локалки по адресу example.com зайти не могу. В чем может быть косяк?

Микротик пользую совсем недавно, на обычных роутерах типа длинк, пробрасывал порт и все работало, как из мира так и из локалки. А тут не хотит.

Порт прокидывал так:
/ip firewall nat add chain=dstnat dst-address=хх.хх.хх.хх dst-port=80 action=dst-nat protocol=tcp to-address=192.168.1.5 to-port=80

Цитата:

А я из локалки по адресу example.com зайти не могу. В чем может быть косяк?
 

В том, что нужен в общем случае ReverseNAT - о котором не знает даже Chupaka. ))

Если же вебсервис единственный - то нужно настроить сплит днс внутри локалки, чтобы example.com разрешалось не во внешний айпишник шлюза, а в локальный адрес сервера.

Цитата:

нужен в общем случае ReverseNAT - о котором не знает даже Chupaka

теперь Чупака прокачался (на страничке http://networkingtrix.com/wiki/Reverse_NAT ):

Цитата:

Reverse NAT is a method used by a NetScaler to translate network addresses by replacing the source IP addresses of packets generated by the servers and replacing them with NAT IP addresses. The NAT IP Addresses is a public IP Address. It is called Reverse NAT, because it is referred to as outbound NAT, for connections going out of the NetScaler, as opposed to incoming NAT which is the norm.

так что это и есть то, что Тик называет Masquerading, или Src-NAT

LevT


Цитата:

В том, что нужен в общем случае ReverseNAT - о котором не знает даже Chupaka. ))

Нужен NAT Loopback. Как он на микротике настраивается - ХЗ.

dark2man

Цитата:

Here is the rules that made it possible to browse a web server behind nat using the Public IP address (frequently asked by many people in this forum). This feature has many names, for example: Nat Loopback, Nat Reflection, or Nat Bouncing.


Код: / ip firewall nat
add chain=dstnat dst-address=<Public_IP_address> protocol=tcp dst-port=80 action=dst-nat to-addresses=<Web_Server_IP_address> \
to-ports=0-65535 comment="" disabled=no

Код: / ip firewall nat
add chain=srcnat dst-address=<Web_Server_IP_address> protocol=tcp dst-port=80 action=src-nat to-addresses=<Router_Internal_IP_address> \
to-ports=0-65535 comment="" disabled=no

господа, тут определённо нужен NAT Zadrot. или MegaNAT как минимум... вы когда изрыгаете из себя вендорозависимые термины - вы, пожалуйста, хотя бы ссылками объясняйте, какова природа названного явления, или что должно случиться с пакетами...

Добавлено:
korsakoff72RU
о, добавлю ещё одно название этой хрени, которую активно используют на официальном форуме: Hairpin NAT

Добавлено:
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Посоветуйте программу для биллинга. Есть офис с сетью 192.168.1.0
Клиенты 192.168.1.1.-192.168.1.220 . IP настроены на пк. Надо знать кто куда ходит и ограничивать скорости.

Всем огромное спасибо за ответы. Завтра буду крутить железку. Надеюсь все получится.