Я только на 5.7 с подобной бодягой впервые столкнулся, но у меня платформа другая.
» MikroTik RouterOS (часть 3)
Bambastick
Цитата:
сгенерировать supout.rif, отправить в support@mikrotik.com, PROFIT
Цитата:
со всеми 5тыми такое
сгенерировать supout.rif, отправить в support@mikrotik.com, PROFIT
вопрос решен всем спасибо
Помогите разобраться с бриджом. Необходимо объединить 2 порта, порт ether2 работает как надо, а вот порту ether3 все глухо, даже сам роутер не пингуется, после перезагрузки начинает работать порт ether3 а порт ether2 молчит захожу по маку через порт ether2 отключаю ether3 и порт ether2 опять работает.... так и не могу понять где ступил..
Mikrotik 5.2
Код:
1 R name="bridge1" mtu=1500 l2mtu=65535 arp=enabled
mac-address=00:0C:29:42:C9:64 protocol-mode=none priority=0x8000
auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s
forward-delay=15s trans
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2 bridge1 0x80 10 none
1 ether3 bridge1 0x80 10 none
>interface bridge port monitor 0
status: in-bridge
port-number: 1
role: designated-port
edge-port: no
edge-port-discovery: yes
point-to-point-port: no
external-fdb: no
sending-rstp: no
learning: yes
forwarding: yes
>interface bridge port monitor 1
status: in-bridge
port-number: 2
role: designated-port
edge-port: no
edge-port-discovery: yes
point-to-point-port: no
external-fdb: no
sending-rstp: no
learning: yes
forwarding: yes
Помогите разобраться с бриджом. Необходимо объединить 2 порта, порт ether2 работает как надо, а вот порту ether3 все глухо, даже сам роутер не пингуется, после перезагрузки начинает работать порт ether3 а порт ether2 молчит захожу по маку через порт ether2 отключаю ether3 и порт ether2 опять работает.... так и не могу понять где ступил..
Mikrotik 5.2
Код:
1 R name="bridge1" mtu=1500 l2mtu=65535 arp=enabled
mac-address=00:0C:29:42:C9:64 protocol-mode=none priority=0x8000
auto-mac=yes admin-mac=00:00:00:00:00:00 max-message-age=20s
forward-delay=15s trans
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 ether2 bridge1 0x80 10 none
1 ether3 bridge1 0x80 10 none
>interface bridge port monitor 0
status: in-bridge
port-number: 1
role: designated-port
edge-port: no
edge-port-discovery: yes
point-to-point-port: no
external-fdb: no
sending-rstp: no
learning: yes
forwarding: yes
>interface bridge port monitor 1
status: in-bridge
port-number: 2
role: designated-port
edge-port: no
edge-port-discovery: yes
point-to-point-port: no
external-fdb: no
sending-rstp: no
learning: yes
forwarding: yes
Подскажите, веб-морда работает на версии 5.7? Раньше точно помню входил, вроде ничего не крутил, а сейчас обновил и кирдык. ftp, ssh, winbox по IP работают, а браузер на заходит.
Посмотрел снифером: микротик сбрасывает соединения, получаю rst-пакет.
Посмотрел снифером: микротик сбрасывает соединения, получаю rst-пакет.
У меня работает. У вас может запрет образовался на инпут по 80 порту.
Добавлено:
PICASS0
а что у вас в /ip address
Добавлено:
PICASS0
а что у вас в /ip address
Chupaka в чем может быть дело, на локальном интерфейсе наблюдаю большую исходящую хотя по интерфейсу подключенному к провайдеру намного меньше и в это же время возрастает загрузка проца где то на 30 %. Вычислил одного юзера по времени когда он включается происходит такая "байда". Хотя у него стоят ограничения по исходящей скорости по всем интерфейсам в 256кб/с и на его графике не видно превышения (обрезает ровно 256 кб/с). Но происходит это все именно когда включается этот юзер.
вирусы, торрент особенно TCP сессии в большом количестве - не оно?
wwwwwww7
Tools -> Torch знает ответ лучше меня
а вот как будет известно, что это за трафик - добро пожаловать за разъяснениями...
Tools -> Torch знает ответ лучше меня
а вот как будет известно, что это за трафик - добро пожаловать за разъяснениями...
Цитата:
У меня работает. У вас может запрет образовался на инпут по 80 порту.
Добавлено:
PICASS0
а что у вас в /ip address
вопрос решился, почти сам собой
я грешил на MikroTik, а оказалось был виновником ESX подсети которого я собстна и объединял в бридж Ребята подскажите как снять статистику посещения сайтов . настроен webproxy
железо RB750 soft 5.7
железо RB750 soft 5.7
rosalin
настроить логи "webproxy,accounting", отправить на удалённый сервак, где и собирать статистику. вроде Proxylizer такое умеет
настроить логи "webproxy,accounting", отправить на удалённый сервак, где и собирать статистику. вроде Proxylizer такое умеет
Подскажите, пожалуйста где что исправлять, ибо я уже задолбался.
Допустим есть интерфейсы:
ether1 с адресом 99.99.99.40/24
ether2 с адресом 99.99.99.80/24
Шлюз провайдера имеет адрес 99.99.99.1/24 и доступен как из первого интерфейса, так и из второго.
Если я добавляю два маршрута:
/ip route add dst-address=0.0.0.0/0 gateway=99.99.99.1 routing-mark=goto1
/ip route add dst-address=0.0.0.0/0 gateway=99.99.99.1 routing-mark=goto2
То трафик по обеим маршрутам отправляется через интерфейс ether1.
/ip route print detail выдает:
4 A S dst-address=0.0.0.0/0 gateway=99.99.99.1 gateway-status=99.99.99.1 reachable ether1 routing-mark=goto1
5 A S dst-address=0.0.0.0/0 gateway=99.99.99.1 gateway-status=99.99.99.1 reachable ether1 routing-mark=goto2
Нужно сделать так, чтобы
трафик для шлюза 99.99.99.1 с маркировкой routing-mark=goto1 отправлялся на ether1,
трафик для шлюза 99.99.99.1 с маркировкой routing-mark=goto2 отправлялся на ether2
Если просто написать
/ip route add dst-address=0.0.0.0/0 gateway=ether1 routing-mark=goto1
/ip route add dst-address=0.0.0.0/0 gateway=ether2 routing-mark=goto2
то таблица ARP засирается кучей записей (до 12 тысяч строчек), без которых можно обойтись, если удастся реализовать правильный выбор исходящего интерфейса.
Как сделать выбор интерфейса по routing-mark?
UPD: забыл, версия RouterOS 5.7
Допустим есть интерфейсы:
ether1 с адресом 99.99.99.40/24
ether2 с адресом 99.99.99.80/24
Шлюз провайдера имеет адрес 99.99.99.1/24 и доступен как из первого интерфейса, так и из второго.
Если я добавляю два маршрута:
/ip route add dst-address=0.0.0.0/0 gateway=99.99.99.1 routing-mark=goto1
/ip route add dst-address=0.0.0.0/0 gateway=99.99.99.1 routing-mark=goto2
То трафик по обеим маршрутам отправляется через интерфейс ether1.
/ip route print detail выдает:
4 A S dst-address=0.0.0.0/0 gateway=99.99.99.1 gateway-status=99.99.99.1 reachable ether1 routing-mark=goto1
5 A S dst-address=0.0.0.0/0 gateway=99.99.99.1 gateway-status=99.99.99.1 reachable ether1 routing-mark=goto2
Нужно сделать так, чтобы
трафик для шлюза 99.99.99.1 с маркировкой routing-mark=goto1 отправлялся на ether1,
трафик для шлюза 99.99.99.1 с маркировкой routing-mark=goto2 отправлялся на ether2
Если просто написать
/ip route add dst-address=0.0.0.0/0 gateway=ether1 routing-mark=goto1
/ip route add dst-address=0.0.0.0/0 gateway=ether2 routing-mark=goto2
то таблица ARP засирается кучей записей (до 12 тысяч строчек), без которых можно обойтись, если удастся реализовать правильный выбор исходящего интерфейса.
Как сделать выбор интерфейса по routing-mark?
UPD: забыл, версия RouterOS 5.7
dmitryxj
А где непосредственная пометка трафика в мангле?
Что-то типа:
/ip firewall mangle>
chain=prerouting action=mark-routing new-routing-mark=goto1 passthrough=no src-address=10.0.0.1 src-address-list=Reserved_adress_list dst-address-list=!Reserved_adress_list in-interface=LAN
Возможно у меня есть излишества в виде Reserved_adress_lis (тут серые сетки перечислены), но мне не мешает
PS: Забыл указать где глянуть мангл.
А где непосредственная пометка трафика в мангле?
Что-то типа:
/ip firewall mangle>
chain=prerouting action=mark-routing new-routing-mark=goto1 passthrough=no src-address=10.0.0.1 src-address-list=Reserved_adress_list dst-address-list=!Reserved_adress_list in-interface=LAN
Возможно у меня есть излишества в виде Reserved_adress_lis (тут серые сетки перечислены), но мне не мешает
PS: Забыл указать где глянуть мангл.
Пометки в мангле есть:
/ip firewall mangle add chain=prerouting src-address-list=group_goto1 dst-address-list=!"all local subnets" action=mark-routing new-routing-mark=goto1
/ip firewall mangle add chain=prerouting src-address-list=group_goto2 dst-address-list=!"all local subnets" action=mark-routing new-routing-mark=goto2
Но ведь дело не в этом.
В версии 3.20 при добавлении маршрута можно было задать IP шлюза и имя интерфейса одновременно.
В версии 5.7 можно задать одно из двух: либо интерфейс, либо IP шлюза
Возможно этот функционал реализован другим образом. Если да, то интересно как.
Если задаю интерфейс, то ROS начинает резолвить по ARP каждый внешний IP, что является избыточным.
/ip firewall mangle add chain=prerouting src-address-list=group_goto1 dst-address-list=!"all local subnets" action=mark-routing new-routing-mark=goto1
/ip firewall mangle add chain=prerouting src-address-list=group_goto2 dst-address-list=!"all local subnets" action=mark-routing new-routing-mark=goto2
Но ведь дело не в этом.
В версии 3.20 при добавлении маршрута можно было задать IP шлюза и имя интерфейса одновременно.
В версии 5.7 можно задать одно из двух: либо интерфейс, либо IP шлюза
Возможно этот функционал реализован другим образом. Если да, то интересно как.
Если задаю интерфейс, то ROS начинает резолвить по ARP каждый внешний IP, что является избыточным.
dmitryxj
/ip route add gateway=99.99.99.1%ether1
Цитата:
наверное, вы немного путаете: при этом создавалось два гейтвея, адрес и интерфейс
/ip route add gateway=99.99.99.1%ether1
Цитата:
В версии 3.20 при добавлении маршрута можно было задать IP шлюза и имя интерфейса одновременно
наверное, вы немного путаете: при этом создавалось два гейтвея, адрес и интерфейс
Цитата:
/ip route add gateway=99.99.99.1%ether1
Вот оно как оказывается! Большое спасибо.
Видимо недостаточно внимательно прочитал документацию. Уже нашел где это упоминается:
Цитата:
gateway (IP | interface | IP%interface | IP@table[, IP | string, [..]]; Default: "")
Ребята я тут с одним вопросом мучаюсь никак не соображу как сделать ...
есть некий список ИП адресов который я бы хотел исключить из шейпера ..
Если можно помочь с вопросом в ПМ , что-бы тему не засорять ...
RB750 OS 5.7
[more=queue simple][admin@MikroTik] > /queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;;
name="User1" target-addresses=10.180.1.12/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512k/2M burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
1 ;;;
name="User2" target-addresses=10.180.1.10/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
2 ;;;
name="User3" target-addresses=10.180.1.6/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
3 ;;;
name="User4" target-addresses=10.180.1.9/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
4 ;;;
name="User5" target-addresses=10.180.1.8/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
5 ;;;
name="User6" target-addresses=10.180.1.7/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512k/1M burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
6 ;;;
name="User7" target-addresses=10.180.1.5/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat [/more]
есть некий список ИП адресов который я бы хотел исключить из шейпера ..
Если можно помочь с вопросом в ПМ , что-бы тему не засорять ...
RB750 OS 5.7
[more=queue simple][admin@MikroTik] > /queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;;
name="User1" target-addresses=10.180.1.12/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512k/2M burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
1 ;;;
name="User2" target-addresses=10.180.1.10/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
2 ;;;
name="User3" target-addresses=10.180.1.6/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
3 ;;;
name="User4" target-addresses=10.180.1.9/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
4 ;;;
name="User5" target-addresses=10.180.1.8/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
5 ;;;
name="User6" target-addresses=10.180.1.7/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=512k/1M burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat
6 ;;;
name="User7" target-addresses=10.180.1.5/32 interface=all parent=none direction=both priority=8
queue=default-small/default-small limit-at=0/0 max-limit=256k/512k burst-limit=0/0 burst-threshold=0/0
burst-time=5s/5s total-queue=default-small time=0s-1d,sun,mon,tue,wed,thu,fri,sat [/more]
Народ, как пробросить порты в Mikrotik'е? Пробовал варианты, но пока ни один не получился. Может кто подскажет действенный способ.
Цитата:
Ребята я тут с одним вопросом мучаюсь никак не соображу как сделать ...
есть некий список ИП адресов который я бы хотел исключить из шейпера ..
Дык, форум на то и есть, чтобы решать подобные вопросы.
Судя по тому что ты поклал в сообщение—то юзаешь простой шейпер, не понятно откуда ты хочешь исключить адреса.
ЗЫ: лучше сделай в мангле пометку пакетов через группы адресов из нужного тебе списка а потом поправь свой шейпер с учётом помеченных пакетов, алгоритм как-то так:
а) забить в адресный лист нужные сервера
б) пометить манглом пакеты в адванседе на не этот адресный лист (! dstlist «список»)
в) в шейпере поставить в адванседе «помеченные пакеты»
Добавлено:
namzy
Цитата:
Пробовал варианты, но пока ни один не получился.
это тонкий юмор?
BigElectricCat
Цитата:
б) chain=input action=mark-packet new-packet-mark=AM passthrough=no dst-address-list=!AM (правильно ли?)
в) если ставлю в щейпере Packet Marks AM [шейпер вообще перестает что-либо шейпить]
Цитата:
а) забить в адресный лист нужные сервера
б) пометить манглом пакеты в адванседе на не этот адресный лист (! dstlist «список»)
в) в шейпере поставить в адванседе «помеченные пакеты»
б) chain=input action=mark-packet new-packet-mark=AM passthrough=no dst-address-list=!AM (правильно ли?)
в) если ставлю в щейпере Packet Marks AM [шейпер вообще перестает что-либо шейпить]
Цитата:
chain=input
Почему инпут? Ты же пересылаешь пакеты через роутер на машинки в сетке (если же ты хочешь отрезать скорость роутеру, тогда инпут), надобно брать цепочку форвард.
Цитата:
dst-address-list=!AM (правильно ли?)
именно так, ты же исключить хотел эти адреса.
Цитата:
[шейпер вообще перестает что-либо шейпить]
Что вполне естественно, смотри выше почему.
Что-то глюкануло и пару раз отправилось)
Ребята подскажите как пробросить доступ из вне к ftp внутри сети
только что бы извне порт был например 8021 и попадал на сервер внутри сети на 21 порт
только что бы извне порт был например 8021 и попадал на сервер внутри сети на 21 порт
rosalin, в дст нат поставь порты какие нравятся.
Цитата:
в дст нат поставь порты какие нравятся.
так и сделал , пользователь из вне попадает к FTP но ни чего не получает
rosalin
Поднимай логи фтп, смотри что не получается у сервера сделать, мож где порезал ему лишнего;)
Вспомни процесс установления соединения фтп, там задействовано два порта — управляющий (21) и порт передачи данных (обычно 20-й если мне память не изменяет) + нюансы для ната (типа пассивный режим фтп), впрочем вот сам погляди: вторая ссылка в гугле
Поднимай логи фтп, смотри что не получается у сервера сделать, мож где порезал ему лишнего;)
Вспомни процесс установления соединения фтп, там задействовано два порта — управляющий (21) и порт передачи данных (обычно 20-й если мне память не изменяет) + нюансы для ната (типа пассивный режим фтп), впрочем вот сам погляди: вторая ссылка в гугле
rosalin
Если соединение происходит в пассивном режиме (обычно, когда подключающийся клиент находится за NAT) нужно ещё пробросить диапазон портов, указанных в настройках ftp-сервера для работы его в пассивном режиме.
Если соединение происходит в пассивном режиме (обычно, когда подключающийся клиент находится за NAT) нужно ещё пробросить диапазон портов, указанных в настройках ftp-сервера для работы его в пассивном режиме.
korsakoff72RU
пробросил только 21 порт ,
7 chain=dstnat action=dst-nat to-addresses=(IP FTP сервреа в сети) to-ports=21
protocol=tcp dst-address=(внешний IP) dst-port=8021
пробросил только 21 порт ,
7 chain=dstnat action=dst-nat to-addresses=(IP FTP сервреа в сети) to-ports=21
protocol=tcp dst-address=(внешний IP) dst-port=8021
rosalin
"пользователь из вне" находится за NAT? Если да, то смотрите настройки своего ftp-сервера, касающиеся работы пассивного режима, и в дополнение к 21-му пробрасывайте порты, указанные в этих настройках (если работа ftp-сервера в пассивном режиме ещё не настроена, то настройте).
"пользователь из вне" находится за NAT? Если да, то смотрите настройки своего ftp-сервера, касающиеся работы пассивного режима, и в дополнение к 21-му пробрасывайте порты, указанные в этих настройках (если работа ftp-сервера в пассивном режиме ещё не настроена, то настройте).
Цитата:
"пользователь из вне" находится за NAT? Если да, то смотрите настройки своего ftp-сервера, касающиеся работы пассивного режима, и в дополнение к 21-му пробрасывайте порты, указанные в этих настройках (если работа ftp-сервера в пассивном режиме ещё не настроена, то настройте).
настроил ftp сервер для работы в пасивном режиме
в роутер добавил правило
8 chain=dstnat action=dst-nat to-addresses=локальный IP to-ports=50000-50100
protocol=tcp dst-address=внешний IP dst-port=50000-50100
пока фтп сервер получает только команды
rosalin
мне кажется что этот мануал тебе больше расскажет: http://jakshi.org.ua/dokuwiki/настройка_анонимного_ftp_сервера_proftpd_за_nat
Цитата:
Впрочем юдп явно тут лишнее.
Да и в вики тоже написано нормально:
Цитата:
мне кажется что этот мануал тебе больше расскажет: http://jakshi.org.ua/dokuwiki/настройка_анонимного_ftp_сервера_proftpd_за_nat
Цитата:
Настраиваем NAT
Пользуясь средствами того NAT который используем, пробрасываем udp и tcp порты 20,21 и порты от и до тех что указали в PassivePorts в конфигурационном файле ProFTPd.
Кроме того, открываем доступ по этим портам в firewall.
Впрочем юдп явно тут лишнее.
Да и в вики тоже написано нормально:
Цитата:
PASSIVE MODE
Изначально протокол предполагал встречное TCP-соединение от сервера к клиенту для передачи файла или содержимого каталога. Это делало невозможным общение с сервером, если клиент находится за IP NAT, кроме того, часто запрос соединения к клиенту блокируется файерволом. Чтобы этого избежать, было разработано расширение протокола FTP passive mode, когда соединение для передачи данных тоже происходит от клиента к серверу. Важным моментом является то, что клиент устанавливает соединение с адресом и портом, указанным сервером. Порт сервер выбирает случайным образом из определённого диапазона (49152-65534). Поэтому при нахождении ftp-сервера за NAT, следует явно указать в настройках сервера его адрес
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.