» MikroTik RouterOS (часть 3)

rosalin
Убедитесь, что входящий трафик по данным портам не блокируется правилами файрвола самого микротика, а также правилами файрвола, запущенного (при его наличии конечно) в операционке, в которой работает ftp-сервер. ИМХО, лучше явно прописать разрешения на входящий трафик по всем необходимым портам.

korsakoff72RU
а в настройках фтп сервера
Перенаправить PASV IP, указал внешний IP

В роутере добавил правило
18 chain=forward action=accept protocol=tcp dst-port=21
19 chain=forward action=accept protocol=tcp dst-port=50000-50100

rosalin
Подключение "из вне" - реально из вне, или вы просто пытаетесь с локальной машины подключиться к вашему серверу по внешнему "белому" ip? В настройках самого сервера нет ни каких ограничений на то, с каких адресов к нему подключаться можно?

ограничение на сервере нет

* 21

пытаюсь подключиться именно из вне по внешнему "белому" ip, (пропускает только команды)

пробывал из локалки , вообще не видит ftp

в сервре в настройках не понял какой IP указать в Перенаправить PASV IP ????


Почему все это затеял , в перспективе будет несколько FTP , соответственно порты снаружи разные


Добавлено:
Блин

Подключаюсь к ФТП серверу но лист директори пустой .....



Добавлено:
вроде пошло !!!!

Ребята еще вопросец как определить MAC адреса , подключаещегося из вне юзера

rosalin
из Интернета? только роутер, непосредственно подключенный к пользователю, знает его мак. дальше широковещательного сегмента Ethernet мак-адрес никакой роли не играет, а потому и не передаётся

rosalin
откуда у тебя будут маки то, по сети Интернет только ИП адреса ходят?

Chupaka
Спасибо, мозг уже ватный тормознул

Цитата:

откуда у тебя будут маки то, по сети Интернет только ИП адреса ходят?

а чем локальная сеть отличается от сети интернета?
вопрос в другом как уже ответил Chupaka, проходя через маршрутизатор пакет попадает в другой сегмент сети, почитайте - OSI

Проблема с mikrotik 3.30
Делаю правило dnat для публикации сервера в локалке, всё работает, НО пакеты на сервер приходят с локального адреса mikrotik
Т.е. кроме адреса назначения зачем-то меняется еще и адрес источника.
Как бы это побороть?

all4apc

Цитата:

кроме адреса назначения зачем-то меняется еще и адрес источника.
Как бы это побороть?

известно как - найти, какое правило src-nat меняет адрес, и обезвредить его

Вопрос к знающим и работающими уже с MikroTik RouterOS, хотел бы спрсить сможет ли он мне помочь решить следующую задача:

Имею: центральный офис с Windows Server 2008 R2 + ForeFront TMG, на TMG подходят две лини провайдеров Интернета с статическими IP (условно А и Б) и ище имею удаленный офис с тоже двумя линиями провайдеров Интернета и статическими IP (условно Г и Д)

Вопрос: Может ли MikroTik RouterOS (и кокого уровня) поддерживать туннели IPSec следующего вида:
А - Г, Б – Д, А - Д, Б - Г и переключатся между ними при выходе из строй какой нибуть из линий провайдера.

Заранее благодарен за помощь.

Chupaka, а можно сделать что бы страница ошибки выскакивала на несколько секунд. Допустим переходит юзер с одной страницы на другую и у него с первого раза выскакивает страница ошибки, а со второго он переходит куда хотел.

Помогите пожалуйста с настройкой WiFi...
Есть комп, используется в качестве роутера, установлена Mikrotik RouterOS 5.7 (License Level 4), хочется его также использовать в качестве WiFi точки доступа. Подключаю по USB TP-LINK TL-WN-722N (Alteros AR9271).
Делаю настройки свистка в качесте AP Bridge http://karina-kirillovka.com.ua/wireless1.jpg
В IP-Addresses присваиваю IP для этого интерфейса 192.168.2.1 http://karina-kirillovka.com.ua/wireless2.jpg
В DHCP Server прописываю пул адресов для этого интерфейса - http://karina-kirillovka.com.ua/wireless3.jpg

Ситуация такая - на ноутбуке поисокм нахожу эту точку доступа - подключаюсь, получаю IP адрес из пула шлюз 192.168.2.1 и ДНС сервера которые прописал, но сеть не работает, пинг на роутер по адресу 192.168.2.1 не проходит... в чем может быть проблема?

anwyn
т.е. IPsec будет работать через NAT на TMG?.. он вроде не очень хорошо к нату относится...

вопросик один, имею внешний айпи, включил веб прокси, и разрешил одному айпи лазить через него внутри сети, в итоге был доволен что всё работало, а через месяц обнаружил что мой айпи использует весь интернет в качестве прокси, что я не правильно сделал, и как обрезать все остальные запросы?
скрины прилагаются

Smito1
как видно из скриншотов, в цепочке input (т.е. в числе прочего и доступ к прокси) всё всем разрешено (потому что не запрещено), поэтому все и имеют.... доступ

а что прописать нужно? не подскажешь

Chupaka ни чего не подскажешь по моему вопросу?

vlh:

Цитата:

а чем локальная сеть отличается от сети интернета?

Думается, что в сети Интернет не только езернет на канальном уровне используется.

wwwwwww7:

Цитата:

а можно сделать что бы страница ошибки выскакивала на несколько секунд

Это тебе надо в эху вебмастеров, спросить, как сделать страничку с задержкой и автопереходом по ссылке, думается, что-то типа ява-скрипта надо всунуть на твою страничку.
Решение об обновлении или переходе принимает клиентская сторона, сервер же, может только подсунуть нужную программу (наш ява-скрипт) для принятия этого решения заместо пользователя браузера.

Smito1

Цитата:

а что прописать нужно?

/ip fi fi add chain=input protocol=tcp dst-port=PROXY_PORT action=reject
ну и перед этим на этот же порт разрешить всех, кому надо...

wwwwwww7

Цитата:

Допустим переходит юзер с одной страницы на другую и у него с первого раза выскакивает страница ошибки, а со второго он переходит куда хотел.

о какой ошибке речь?.. о странице с рекламой? так при редиректе юзера на проксю его можно добавить в адрес-лист как "отредиректенного" - и больше не редиректить. тогда при обновлении страницы он пойдёт куда надо... теоретически

Цитата:

Думается, что в сети Интернет не только езернет на канальном уровне используется.

а в локальной сети что можно используется только езернет? и все остальное запрещено?

Chupaka

Цитата:

Цитата:кроме адреса назначения зачем-то меняется еще и адрес источника.
Как бы это побороть?

известно как - найти, какое правило src-nat меняет адрес, и обезвредить его

Действительно, спасибо.
А без этого получается аналог PortTunnel, тоже полезно иногда.

vlh

Цитата:

а в локальной сети что можно используется только езернет? и все остальное запрещено?

Сейчас, в основном, езернет. Из-за этого и возникают такие вопросы как выше, про мак адреса в Интернет. Зачем же запрещено, просто остальное дороже, а сейчас все стараются сэкономить, даже там, где совсем не нужно.

Суть проблемы:
Есть роутер(3.30, пробовал на чистом 4.17 - все одинаково), размещенный на сервере Hyper-V и имеющий 4 интерфейса:
1) паблик (89.249.х.10, GW 89.249.х.1, MASK 255.255.255.192)
2) локалка для виртуальных серверов (10.10.22.3/24)
3) выделенный канал в приватную сеть1 (10.38.х.2, GW 10.38.XX.1, MASK 255.255.255.0)
4) выделенный канал в приватную сеть2 (192.141.XX.66, GW 192.141.XX.252, MASK 255.255.255.0)
> interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU
0 R Public_Network ether 1500
1 R Local_Network ether 1500
2 R VK1_Network ether 1500
3 R VK2_Network ether 1500

> ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 89.249.XX.10/32 89.249.XX.1 255.255.255.192 Public_Network
1 10.10.22.3/24 10.10.22.0 10.10.22.255 Local_Network
2 10.38.XX.2/24 10.38.XX.0 10.38.XX.1 VK1_Network
3 192.141.XX.66/32 192.141.XX.252 192.141.XX.255 VK1_Network
Первые 2 интерфейса работают давно и проблем нет
Вторые 2 в процессе подключения
От роутера требуется роутить... потому в маршрутах прописаны соответсвующие задачи
> ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE
0 A S 0.0.0.0/0 reachable Public_Network 100 Public_Network
1 ADC 10.10.22.0/24 10.10.22.3 0 Local_Network
2 ADC 10.38.XX.0/24 10.38.XX.2 0 VK1_Network
3 ADC 89.249.XX.1/32 89.249.XX.10 0 Public_Network
4 ADC 192.141.XX.252/32 192.141.XX.66 0 VK2_Network
5 A S 194.247.133.0/24 reachable VK1_Network 10 VK1_Network
6 A S 195.1.1.0/24 reachable VK2_Network 10 VK2_Network
7 A S 195.1.2.0/24 reachable VK2_Network 10 VK2_Network
8 A S 196.1.2.0/24 reachable VK2_Network 10 VK2_Network
9 A S 196.1.5.0/24 reachable VK2_Network 10 VK2_Network

так же в фаерволе добавлен маскарадинг 1,3 и 4 интерфейсов

все работает нормально, в т.ч. VK1_Network - пинги, трасерты - все проходит, сеть полноценно работает
Затык с сетью VK2_Network... делаю с роутера пинг 195.1.1.5 и получаю ответ
> ping 195.1.1.5
195.1.1.5 ping timeout
195.1.1.5 ping timeout
195.1.1.5 ping timeout
195.1.1.5 ping timeout
195.1.1.5 ping timeout
195.1.1.5 ping timeout
195.1.1.5 ping timeout
8 packets transmitted, 0 packets received, 100% packet loss

трасерт тоже ничего не показывает:
> tool traceroute 195.1.1.5
ADDRESS STATUS
1 192.141.73.66 timeout timeout 990ms host unreachable
2 192.141.73.66 timeout timeout 990ms host unreachable
3 0.0.0.0 timeout timeout timeout
4 192.141.73.66 timeout timeout 990ms host unreachable
5 192.141.73.66 timeout timeout 990ms host unreachable
6 192.141.73.66 timeout timeout 990ms host unreachable
7 192.141.73.66 timeout timeout 990ms host unreachable
8 192.141.73.66 timeout timeout 990ms host unreachable
9 0.0.0.0 timeout timeout timeout
10 192.141.73.66 timeout timeout 990ms host unreachable

Уже всю голову за выходные сломал - ничего не могу понять.
Как я проверял работоспособность сети вообще:
Одной из виртуалок добавлял эту же сеть и назначал этот же адрес - все пинговалось, трассировалось и работало... в чем может быть проблема? Может я адрес интерфейса неправильно настраиваю(хотя пробовал уже по всякому)?

MAVrADMIN
У вторых интерфейсов в обоих случаях маска 24, у тебя в конфиге у 3-его маска 32.

Добавлено:
*** ну и интересно зачем ты свои приватные адреса замаскировал 192.141.ХХ.66 =)

faust72rus
Суть такая:
стоят 2 циски, из которых выходя 2 шнурка... админят циски другие ребята, а мне дают только подсеть адресов и адрес шлюза(этой циски). Маска везде 255.255.255.0, но в первом случае шлюзом является 1 ИП, во втором - 252
Текущая настройка:
http://img204.imageshack.us/img204/7634/vk2network.png

Я уже не знаю как правильно прописать все это дело, но даже если делать аналогично 1 каналу - не хочет пропускать в эту сеть пакеты

Цитата:

BigElectricCat
Сейчас, в основном, езернет.

значит в локальной сети все таки может быть все то же самое что и в глобальной?

vlh

Цитата:

значит в локальной сети все таки может быть все то же самое что и в глобальной?

Не обязательно, хотя можно использовать. Поясню почему не обязательно. К примеру, нужно управлять ЧПУ-станками у которых свой способ обмена данными с сервером заданий (а это будет полноценная локалка), то какой смысл возводить мост между ними и сетью на IP(ATM, Frame relay ext)?

PS: Напоминаю, изначальная тема была: «как определить MAC адреса , подключаещегося из вне юзера.»

Коллеги... продолжаю ждать Вашей помощи...
В ip firewall mangle сделал правило:
chain=prerouting action=mark-routing new-routing-mark=VK2 passthrough=yes dst-address=195.1.1.0/24

На одном из серверов запускаю пинг 195.1.1.5 и не вижу изменений счетчика. Разве правило не должно ловить любые пакеты на данную подсеть, а не только успешно ушедшие?