Ребята , подскажите возможно ли настроить RB750 , выход из локальной сети 192.168.0.0/24 в WAN по мак адресу , есть Адрес лист с IP адресами запрет выход в Интернет
версия 5.6
версия 5.6
» MikroTik RouterOS (часть 3)
rosalin
Цитата:
вбить всё нужное статикой в ARP-таблицу и сделать на LAN-интерфейсе "arp=reply-only"
Цитата:
в фильтр файрвола блокирующее правило и добавить
Цитата:
выход из локальной сети 192.168.0.0/24 в WAN по мак адресу
вбить всё нужное статикой в ARP-таблицу и сделать на LAN-интерфейсе "arp=reply-only"
Цитата:
Адрес лист с IP адресами запрет выход в Интернет
в фильтр файрвола блокирующее правило и добавить
Chupaka
Подскажите откуда , в арп таблице уже есть записи , я их не добавлял , есть и разрешенные записи , но попадаются и нежелательные , подсеть 192.168.0.0/24
Подскажите откуда , в арп таблице уже есть записи , я их не добавлял , есть и разрешенные записи , но попадаются и нежелательные , подсеть 192.168.0.0/24
rosalin
Цитата:
угу, динамические, с буквой D. как только включить ARP=Reply Only, у них дступ к роутеру отвалится. поэтому надо в первую очередь себя статическим сделать =)
Цитата:
в арп таблице уже есть записи
угу, динамические, с буквой D. как только включить ARP=Reply Only, у них дступ к роутеру отвалится. поэтому надо в первую очередь себя статическим сделать =)
Chupaka
аха картинка начинает проясняться понял , а есть ли скрипт который набъет маки ???....
Добавлено:
вот такой поможет ?
:foreach i in [/ip arp find dynamic=yes interface=LAN] do={/ip arp add copy-from=$i}
аха картинка начинает проясняться понял , а есть ли скрипт который набъет маки ???....
Добавлено:
вот такой поможет ?
:foreach i in [/ip arp find dynamic=yes interface=LAN] do={/ip arp add copy-from=$i}
dark2man
Проблема возникает от того, то у тебя явно этот же микротик является и гейтом для сайта, и шлюзом для твоей локалки.
На dst-нат в этом случае лучше забить и включить винпрокси в «обратном режиме». Будет и кеширование (в мозгах самое то) да и ещё можно вести нормальную статистику по хостам.
Проблема возникает от того, то у тебя явно этот же микротик является и гейтом для сайта, и шлюзом для твоей локалки.
На dst-нат в этом случае лучше забить и включить винпрокси в «обратном режиме». Будет и кеширование (в мозгах самое то) да и ещё можно вести нормальную статистику по хостам.
Цитата:
есть ли скрипт который набъет маки ???
можно и тем, но один раз проще в Винбоксе выделить нужное, нажать правую кнопку и выбрать "Make Static" =)
Chupaka
Спасибо ,
Спасибо ,
Chupaka не совсем понял вопрос... не надо в файрволе ничего прописывать - тогда трафик свободно будет ходить в обе стороны =)
a520попробую как нить)
Chupaka точно, нашёл бяку которая блокировала, можно ли прописать какое нить правило чтобы она пускала к себе один айпи?
a520попробую как нить)
Chupaka точно, нашёл бяку которая блокировала, можно ли прописать какое нить правило чтобы она пускала к себе один айпи?
Цитата:
нашёл бяку которая блокировала
и что за бяка?.. на скриншоте ничего не отмечено, вроде
Chupaka
Цитата:
А вот можно как-то использовать и другие маршруты совместно с этим?
Т.е. роутинг на другие сети, которые указаны отдельно, может тем правилам надо какую-то группу создать?
Цитата:
/ip route add routing-mark=gw1 gateway=172.254.254.1
/ip route add routing-mark=gw2 gateway=187.254.254.2
/ip route rule add src-address=192.168.0.1 action=lookup table=gw1
/ip route rule add src-address=192.168.0.20 action=lookup table=gw2
А вот можно как-то использовать и другие маршруты совместно с этим?
Т.е. роутинг на другие сети, которые указаны отдельно, может тем правилам надо какую-то группу создать?
Цитата:
Проблема возникает от того, то у тебя явно этот же микротик является и гейтом для сайта, и шлюзом для твоей локалки.
На dst-нат в этом случае лучше забить и включить винпрокси в «обратном режиме».
Хорошо, а может ли единственный микротик КОРРЕКТНО быть и гейтом для сайта, и шлюзом - но используя два различных адреса на WAN-интерфейсе?
Добавлено:
Вопрос ближайший родственник предыдущего, который я задавал пару страниц назад про впн-серверы в локалке.
AntoshAReal
Цитата:
можно конечно. по обстоятельствам. можно, например, убрать "/ip route rule" и добавить нужные правила в /ip firewall mangle chain=prerouting action=mark-routing new=routing-mark=XXX, сюда дописать нужный src-address из "route rule" - и можно исключить из обработки локальные сети: dst-address=!10.0.0.0/8 или dst-address-list=!local
LevT
Цитата:
ну, если забыть, что гейт и шлюз - это одно и то же, просто на разных языках... то возможно всё (ну, как минимум, многое) =) проблема Hairpin NAT описана в доке, на которую я дал ссылку вверху страницы
Цитата:
А вот можно как-то использовать и другие маршруты совместно с этим?
Т.е. роутинг на другие сети, которые указаны отдельно, может тем правилам надо какую-то группу создать?
можно конечно. по обстоятельствам. можно, например, убрать "/ip route rule" и добавить нужные правила в /ip firewall mangle chain=prerouting action=mark-routing new=routing-mark=XXX, сюда дописать нужный src-address из "route rule" - и можно исключить из обработки локальные сети: dst-address=!10.0.0.0/8 или dst-address-list=!local
LevT
Цитата:
может ли единственный микротик КОРРЕКТНО быть и гейтом для сайта, и шлюзом - но используя два различных адреса на WAN-интерфейсе?
ну, если забыть, что гейт и шлюз - это одно и то же, просто на разных языках... то возможно всё (ну, как минимум, многое) =) проблема Hairpin NAT описана в доке, на которую я дал ссылку вверху страницы
Chupaka
подскажи пожалуйста, это что баг или еще что.
имеется 4 wan интерфейса на которых подняты PPPoE клиенты к провайдерам:
если зайти в wan интерфейсы на вкладку Overall Stats, то только на wan_4 там имеется активность, то есть есть показатели каких и сколько пакетов, а вот на wan_1-3 этого нет, хотя трафик там тоже есть и даже больше чем на wan_4:
у меня просто частенько wan_4 отваливается, то есть в логах пишет что wan_4 link down, а потом опять поднимается.
P.S.
RB1200 RO5.6
подскажи пожалуйста, это что баг или еще что.
имеется 4 wan интерфейса на которых подняты PPPoE клиенты к провайдерам:
если зайти в wan интерфейсы на вкладку Overall Stats, то только на wan_4 там имеется активность, то есть есть показатели каких и сколько пакетов, а вот на wan_1-3 этого нет, хотя трафик там тоже есть и даже больше чем на wan_4:
у меня просто частенько wan_4 отваливается, то есть в логах пишет что wan_4 link down, а потом опять поднимается.
P.S.
RB1200 RO5.6
vlh
а какими портами они были до переименования в ваны?
firmware актуальный?
а какими портами они были до переименования в ваны?
firmware актуальный?
Chupaka
wan_1=6
wan_2=7
wan_3=8
wan_4=9
lan=10
firmware вчера прислали новую, якобы она должна помочь от постоянных ребутов:
Код: [admin@MikroTik] > system routerboard print
routerboard: yes
model: 1200
serial-number: 2CD4011D04B9
current-firmware: 2.36.1
upgrade-firmware: 2.33
wan_1=6
wan_2=7
wan_3=8
wan_4=9
lan=10
firmware вчера прислали новую, якобы она должна помочь от постоянных ребутов:
Код: [admin@MikroTik] > system routerboard print
routerboard: yes
model: 1200
serial-number: 2CD4011D04B9
current-firmware: 2.36.1
upgrade-firmware: 2.33
Нужен совет по решению задачи следующего характера:
Работаем на 1 внешнем айпи адресе....
Возникла необходимость затестировать соединение на другом новом айпишнике того же провайдера из тойже подсети.
Вопрос в том, как правильно зарутить трафик с 1 айпишника на 2(новый) внутри 1-го микротика.
Подробности по требованию предоставлю.
RB750
MikroTik OSv4.14
masquerading по srcnat
Работаем на 1 внешнем айпи адресе....
Возникла необходимость затестировать соединение на другом новом айпишнике того же провайдера из тойже подсети.
Вопрос в том, как правильно зарутить трафик с 1 айпишника на 2(новый) внутри 1-го микротика.
Подробности по требованию предоставлю.
RB750
MikroTik OSv4.14
masquerading по srcnat
Цитата:
Вопрос в том, как правильно зарутить трафик с 1 айпишника на 2(новый) внутри 1-го микротика
вопрос скорее в том, что надо сделать... если непонятное слово "зарутить" заменить на "замаскарадить" - то вопрос обретает для меня смысл. собственно тогда ответ таков: заменить action=masquerade на action=src-nat to-addresses=нужный_адрес
что то ни как не могу зайти на RB1200 по телнету и ssh, то есть после ввода команды телнета или ssh просит пароль ввожу тот через который вхожу через winbox, но в ответ - Permission denied, please try again. а если через телнет просит ввести логин и пароль в ответ - Login failed, incorrect username or password
P.S.
до этого был RB450G на него заходил, может после смены что то изменилось.
P.S.
до этого был RB450G на него заходил, может после смены что то изменилось.
Супер, только вот нужно ли заменить, или же необходимо добавить правило в NAT?(уже прописанный маскарадинг должен скрывать локальную сеть от провайдера...) И ещё для chain=srcnat указывать src-address=адрес1(старый) ?
Добавлено:
vlh
в /ip service всё ок ?
Добавлено:
vlh
в /ip service всё ок ?
Цитата:
уже прописанный маскарадинг должен скрывать локальную сеть от провайдера...
а он скрывает не за адрес1(старый)?.. тогда - добавить. и, видимо, перетащить вверх
Цитата:
для chain=srcnat указывать src-address=адрес1(старый) ?
нет конечно
Цитата:
в ответ - Permission denied, please try again
может, у пользователя нет права входа по telnet и ssh? System -> Users -> Groups
Chupaka
Что-то нутром чувствую, что нарвусь на подводные камни. Кажется необходимо описать некоторые ньюансы:
Как уже говорил, работаем на 1 ip адресе. Есть Н-ное количество устройств, которые обращаются по этому ip и попадают в локальную сеть, а также внутренняя сеть сотрудников.
Одновременно с этим, существует проблема(предположительно на стороне провайдера): без какого либо периода теряется связь с интернетом(со шлюзом провайдера - первый хоп во внешний мир - ping говорит от 4 до 7 Превышен интервал ожидания для запроса. подряд).
Аппарытный фактор исключён: заменялось всё, что можно было заменить, вплоть до перепайки пигтейлов с обоих хвостов волокна.
Пров хочет чтобы ему показали, как мы будем работать на другом 2 ip.
Задача состоит в том, чтобы перевести сеть на ip 2(конечно же задействовав ещё один интерфейс), и в тоже время, чтобы устройства, которые обращались из внешнего мира к нам по ip 1 смогли также обращаться по ip 1 дальше и также попадать во внутреннюю сеть.
Будут дополнения?)
Что-то нутром чувствую, что нарвусь на подводные камни. Кажется необходимо описать некоторые ньюансы:
Как уже говорил, работаем на 1 ip адресе. Есть Н-ное количество устройств, которые обращаются по этому ip и попадают в локальную сеть, а также внутренняя сеть сотрудников.
Одновременно с этим, существует проблема(предположительно на стороне провайдера): без какого либо периода теряется связь с интернетом(со шлюзом провайдера - первый хоп во внешний мир - ping говорит от 4 до 7 Превышен интервал ожидания для запроса. подряд).
Аппарытный фактор исключён: заменялось всё, что можно было заменить, вплоть до перепайки пигтейлов с обоих хвостов волокна.
Пров хочет чтобы ему показали, как мы будем работать на другом 2 ip.
Задача состоит в том, чтобы перевести сеть на ip 2(конечно же задействовав ещё один интерфейс), и в тоже время, чтобы устройства, которые обращались из внешнего мира к нам по ip 1 смогли также обращаться по ip 1 дальше и также попадать во внутреннюю сеть.
Будут дополнения?)
FreeLSD_md
интересные подробности проясняются ))
если подсеть та же - значит, вы к провайдеру в свитч втыкаетесь?..
хотя в принципе особой разницы быть не должно - единственное, возможно придётся вручную указать, на каком интерфейсе шлюз использовать: gateway=ip%iface
интересные подробности проясняются ))
если подсеть та же - значит, вы к провайдеру в свитч втыкаетесь?..
хотя в принципе особой разницы быть не должно - единственное, возможно придётся вручную указать, на каком интерфейсе шлюз использовать: gateway=ip%iface
Цитата:
к провайдеру в свитч
так точно...
И так, предложенное вами ранее - подходит ?
FreeLSD_md
да, должно работать
да, должно работать
Цитата:
FreeLSD_md
в /ip service всё ок ?
эти службы включены:
Код: [admin@MikroTik] > ip service print
Flags: X - disabled, I - invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 80
3 ssh 22
4 X www-ssl 443 none
5 X api 8728
6 winbox 829
Цитата:
кстати как через консоль зайти, нет там Users?
/user group
админ входит в фул, юзер чтение:
Код: [admin@MikroTik] > user group print
0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,
sensitive,api,!ftp,!write,!policy
skin=default
1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web
,
sniff,sensitive,api,!ftp,!policy
skin=default
2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,
password,web,sniff,sensitive,api
Код: [admin@MikroTik] > user group print
0 name="read" policy=local,telnet,ssh,reboot,read,test,winbox,password,web,sniff,
sensitive,api,!ftp,!write,!policy
skin=default
1 name="write" policy=local,telnet,ssh,reboot,read,write,test,winbox,password,web
,
sniff,sensitive,api,!ftp,!policy
skin=default
2 name="full" policy=local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,
password,web,sniff,sensitive,api
Добрйы день!
Подкажите пожалуйста про VRF на микротике. в общем, насколько я понимаю VRF позволяет создать несколько независимых таблиц маршрутизации.
Пример (привожу на рабочем мк, поэтому очень просто)
Имеем
Код:
/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment=\
"Local net interface (to Cisco)" disabled=no full-duplex=yes l2mtu=1526 \
mac-address=00:0C:42:92:ED:27 mtu=1496 name=eth1 speed=100Mbps
/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
comment="for managment" disabled=no forward-delay=15s l2mtu=65535 \
max-message-age=20s mtu=1500 name=lo0 priority=0x8000 protocol-mode=none \
transmit-hold-count=6
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 \
name=lo_vrf priority=0x8000 protocol-mode=none transmit-hold-count=6
/ip address
add address=192.168.10.0/29 disabled=no interface=eth1 network=192.168.10.8
add address=192.168.255.2/32 disabled=no interface=lo0 network=192.168.255.2
add address=192.168.100.1/32 disabled=no interface=lo_vrf network= 192.168.100.1
/ip route vrf
add disabled=no interfaces=lo_vrf routing-mark=lo_vrf
Подкажите пожалуйста про VRF на микротике. в общем, насколько я понимаю VRF позволяет создать несколько независимых таблиц маршрутизации.
Пример (привожу на рабочем мк, поэтому очень просто)
Имеем
Код:
/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment=\
"Local net interface (to Cisco)" disabled=no full-duplex=yes l2mtu=1526 \
mac-address=00:0C:42:92:ED:27 mtu=1496 name=eth1 speed=100Mbps
/interface bridge
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
comment="for managment" disabled=no forward-delay=15s l2mtu=65535 \
max-message-age=20s mtu=1500 name=lo0 priority=0x8000 protocol-mode=none \
transmit-hold-count=6
add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s mtu=1500 \
name=lo_vrf priority=0x8000 protocol-mode=none transmit-hold-count=6
/ip address
add address=192.168.10.0/29 disabled=no interface=eth1 network=192.168.10.8
add address=192.168.255.2/32 disabled=no interface=lo0 network=192.168.255.2
add address=192.168.100.1/32 disabled=no interface=lo_vrf network= 192.168.100.1
/ip route vrf
add disabled=no interfaces=lo_vrf routing-mark=lo_vrf
Chupaka
По моему вопросу, проще взять простой проводной рутер и отдельно его подключить..
Или искать ещё какой вариант, как-то разделить, а то всё в каше получается. Спасбио!
По моему вопросу, проще взять простой проводной рутер и отдельно его подключить..
Или искать ещё какой вариант, как-то разделить, а то всё в каше получается. Спасбио!
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.