» MikroTik RouterOS (часть 3)

Цитата:

BigElectricCat
Не обязательно, хотя можно использовать

ну наконец то мы выяснили, что глобальная сеть может не отличаться от локальной и наоборот и на основании этого, выражение, что МАСи не проходят из-за того что это глобальная сеть - не верно.


Цитата:

MAVrADMIN
На одном из серверов запускаю пинг 195.1.1.5 и не вижу изменений счетчика. Разве правило не должно ловить любые пакеты на данную подсеть, а не только успешно ушедшие?

надеюсь это правило стоит в самом верху? пинг до этого сервера проходит? passthrough=yes это зачем?
и вы от куда пингуете эту сеть?

vlh

Цитата:

надеюсь это правило стоит в самом верху?

Нет, поднимал в самый верх - не помогло

Цитата:

пинг до этого сервера проходит?

теоретически - да, с роутера и подключенных к роутеру серверов - нет

Цитата:

passthrough=yes это зачем?

предположительно мною - для блокироки дальнейших манглов для этого трафика

Цитата:

и вы от куда пингуете эту сеть?

сеть пингую как с самого роутера, так и подключенных к нему серверов

vlh

Цитата:

глобальная сеть может не отличаться от локальной и наоборот

Тогда может объяснишь, зачем слова то разные использовать?


Цитата:

на основании этого, выражение, что МАСи не проходят из-за того что это глобальная сеть - не верно.

Мак то приходит (при условии, если Интернет подключён по езернет), только мак, скорее всего, будет только один—маршрутизатора прова (если провайдер адекватный, ес-но). Но если я подключён к Интернет через АТМ|x25, тогда где искать езернет маки будем то?

#


Добавлено:
MAVrADMIN

Цитата:

> ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
2 10.38.XX.2/24 10.38.XX.0 10.38.XX.1 VK1_Network

А почему у тебя бродкаст такой странный:10.38.XX.1 при /24 должен быть .255?
Да и с этим не понятно:

Цитата:

3 192.141.XX.66/32 192.141.XX.252 192.141.XX.255 VK1_Network

Интерфейс то, такой же как и предыдущий, это верно?
Да и если /32, то это адрес точки, у неё не будет ни сети, ни бродкаста (точнее и сеть, и бродкаст будут иметь адрес 192.141.XX.66).

Подскажите, что надо, чтобы открыть UDP-порт?
Создаю правило в nat:

Код:
5 ;;; TS-server
chain=dstnat action=dst-nat to-addresses=192.168.2.2 to-ports=9987 protocol=udp
in-interface=inet dst-port=9987

vlh

Цитата:

выражение, что МАСи не проходят из-за того что это глобальная сеть - не верно.

а кто так говорил? настаиваю на своей формулировке: "..., потому что между отправителем и получателем есть роутеры" =) ну или потому, что отправитель и получатель не находятся в одном широковещательном домене...


Цитата:

поднимал в самый верх - не помогло

что значит "не помогло"? народ, не выражайтесь, пожалуйста, так туманно. правило всё равно пакеты считать не начало, или начало, но это не помогло устранить неработоспособность в целом?


Цитата:

сеть пингую как с самого роутера, так и подключенных к нему серверов

с роутера надо не в prerouting, а в output маркировать

wsadneg

Цитата:

Запускаю портчекер, на сервер из инета приходит пакет, но портчекер пишет, что порт закрыт

а портчекеру кто-нибудь отвечает? где вы вообще портчекер для UDP взяли?

Цитата:

что значит "не помогло"? народ, не выражайтесь, пожалуйста, так туманно. правило всё равно пакеты считать не начало, или начало, но это не помогло устранить неработоспособность в целом?

Прошу прощения... пакеты не считает, сеть также не работает.

Цитата:

с роутера надо не в prerouting, а в output маркировать

Спасибо! смена чайна заставила работать счетчик. Суть создания этого правила: решил попробовать реализовать роутинг в эту подсеть на основе ip route rule - думал может таким образом получится.... но не помогло, возвращаюсь к классике.


Есть какие-нибудь идеи почему роутер не хочет с этой сетью работать?

Цитата:

Есть какие-нибудь идеи почему роутер не хочет с этой сетью работать?

У тебя неправильно записан широковещательный адрес сети (BROADCAST—10.38.XX.1), попробуй зайти винбоксом в адреса и удалить адрес сети и бродкаста (стрелочки-треугольнички вверх понажимай, навпротив Network и Broadcast), чтобы штык тебе их автоматом проставил, основываясь на маске сети (/24).

BigElectricCat
к сожалению, данная сеть работает безупречно несмотря даже на неточность задания IP, замеченную тобой... проблема именно с маршрутизацией в сеть 195.1.1.0/24 через 192.141.73.252

самое время смотреть трассировку...

MAVrADMIN
Ты ещё раз погляди на свой список ИП адресов (который на предыдущей странице), что-то я там не заметил адресов на интерфейсе VK2_Network. Да и, задавать маски /32 и думать, что с этого адреса куда-то что-то пойдёт, тоже, как-то бессмысленно.

Цитата:

самое время смотреть трассировку...

трастерт уже публиковал тут: http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=2240#9
но сделаю его повторно(с учетом напутствий BigElectricCat)
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
2 10.38.58.2/24 10.38.58.0 10.38.58.1 VK1_Network
3 192.141.73.66/24 192.141.73.0 192.141.73.255 VK2_Network

трассировка с сервера, подключенного к роутеру:
узел из сети VK1_Network
>tracert 194.247.133.1
Трассировка маршрута к 194.247.73.1 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.10.22.3
2 * * * Превышен интервал ожидания для запроса.
3 2 ms 2 ms 2 ms 10.38.0.57
4 3 ms 2 ms 2 ms 192.168.33.13
5 3 ms 4 ms 3 ms 172.17.1.12
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 2 ms 3 ms 3 ms 194.247.133.1
Трассировка завершена.

узел из сети VK2_Network
>tracert 195.1.1.5
Трассировка маршрута к 195.1.1.5 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 10.10.22.3
2 192.141.73.66 сообщает: Заданный узел недоступен.
Трассировка завершена.

трассировка с роутера:
узел из сети VK1_Network(тут я был ооочень удивлен, что трасерт не доработал)
> tool traceroute 194.247.133.1
ADDRESS STATUS
1 0.0.0.0 timeout timeout timeout
2 10.38.0.57 8ms 5ms 8ms
3 192.168.33.13 11ms 8ms 3ms
4 172.17.1.12 9ms 4ms 3ms
5 0.0.0.0 timeout timeout timeout
6 0.0.0.0 timeout timeout timeout
(повтор таймаута)
29 0.0.0.0 timeout timeout timeout
30 0.0.0.0 timeout timeout timeout
max-hops reached

узел из сети VK2_Network
> tool traceroute 195.1.1.5
ADDRESS STATUS
1 192.141.73.66 timeout timeout 989ms host unreachable
2 192.141.73.66 timeout timeout 989ms host unreachable
3 192.141.73.66 timeout timeout 990ms host unreachable
4 192.141.73.66 timeout timeout 991ms host unreachable
5 192.141.73.66 timeout timeout 990ms host unreachable
6 192.141.73.66 timeout timeout 991ms host unreachable
7 192.141.73.66 timeout timeout 990ms host unreachable
8 0.0.0.0 timeout timeout timeout
9 192.141.73.66 timeout timeout 990ms host unreachable
10 192.141.73.66 timeout timeout 990ms host unreachable
11 192.141.73.66 timeout timeout 990ms host unreachable
12 0.0.0.0 timeout timeout timeout
13 192.141.73.66 timeout timeout 990ms host unreachable
14 0.0.0.0 timeout timeout timeout
15 192.141.73.66 timeout timeout 990ms host unreachable
(повтор таймаута)
30 192.141.73.66 timeout timeout 990ms host unreachable

Вот как-то так... почему с роутера не проходит трасерт на VK1_Network - не понятно(хотя видно что уходит правильно на втором хопе в 10.38.0.57)... но при этом на серваках все работает

У тебя пинги (или icmp, как класс) точно не рубятся правилами?


Цитата:

узел из сети VK1_Network
>tracert 194.247.133.1

Говорит о том, что пинг на 10.38.58.2 где-то потерялся.
И почему у тебя первый хоп на 10.10.22.3, а не на 10.38.58.2 (или какой там у тебя первый маршрутизатор между сервером и микротиком тогда)?
А:

Цитата:

узел из сети VK2_Network
>tracert 195.1.1.5

меня озадачил.

Если у тебя сеть 192.141.73.0/24 то что это: «10.10.22.3» и что такой же адрес в «узел из сети VK1_Network >tracert 194.247.133.1» делает?

пинги рубятся только с паблика
> ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
30 ;;; Enable external ICMP
chain=output action=accept protocol=icmp
31 ;;; Disable external ICMP
chain=input action=log protocol=icmp src-address-list=!GW in-interface=Public_Network log-prefix="PING"
32 ;;; Disable external ICMP
chain=input action=accept protocol=icmp src-address-list=GW in-interface=Public_Network

ребята... понимаю что в чужом дерьме никто не любит ковыряться... но вы второй раз мне задаете вопрос, ответ на который описан в самом первом посте... может реально что-то не так описал - скажите, попробую более подробно разжевать

Цитата:

Суть проблемы:
Есть роутер(3.30, пробовал на чистом 4.17 - все одинаково), размещенный на сервере Hyper-V и имеющий 4 интерфейса:
1) паблик (89.249.х.10, GW 89.249.х.1, MASK 255.255.255.192)
2) локалка для виртуальных серверов (10.10.22.3/24)
3) выделенный канал в приватную сеть1 (10.38.х.2, GW 10.38.XX.1, MASK 255.255.255.0)
4) выделенный канал в приватную сеть2 (192.141.XX.66, GW 192.141.XX.252, MASK 255.255.255.0)
> interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU
0 R Public_Network ether 1500
1 R Local_Network ether 1500
2 R VK1_Network ether 1500
3 R VK2_Network ether 1500

Цитата:

меня озадачил.

кажется начинаю понимать...

Цитата:

(1)трассировка с сервера, подключенного к роутеру:
(1)узел из сети VK1_Network
(1)узел из сети VK2_Network
(2)трассировка с роутера:
(2)узел из сети VK1_Network(тут я был ооочень удивлен, что трасерт не доработал)
(2)узел из сети VK2_Network

данные тесты погазывают трасерты удаленных сетей с (1)роутера и с подключенного к этому роутеру (2)сервера
адреса роутре и сервера - 10.10.22.Х
задача - заставить сервер в сети 10.10.22.Х видеть(пинговать/трасеровать/обращаться к ресурсам) удаленные сети(которые находятся за интерфейсами VK1_Network и VK2_Network). С интерфейсом VK1_Network - все нормально работает, а вот с VK2_Network - не получается контактировать. VK1_Network и VK2_Network - абсолютно разные и не пересекаются

del

Цитата:

а портчекеру кто-нибудь отвечает? где вы вообще портчекер для UDP взяли?

А что, должен? Я посмотрел на другом компе, там пакеты приходят, а ответные пакеты не идут, и чекер пишет, что порт открыт. Такое ощущение, что я что-то не заметил.

Портчекер с UDP здесь

wsadneg
ну, я вообще слабо понимаю, как этот чекер по UDP работает... он на нашем DNS'е говорит, что 53 порт закрыт

MAVrADMIN
Так почему у тебя все запросы в «выделенный канал в приватную сеть1» и «выделенный канал в приватную сеть2» идут через «локалка для виртуальных серверов»? Понимаешь, если ты написал «канал выделен»—то и запросы должны в тот сегмент сети идти только через него.

Цитата:

задача - заставить сервер в сети 10.10.22.Х видеть(пинговать/трасеровать/обращаться к ресурсам) удаленные сети

Ну давай смотреть, ты говоришь что у тебя вот такая схема:

А трацерт твой, с микротика, говорит о такой:

BigElectricCat
Спасибо за схемы... решил тоже нарисовать свою - может так понятнее будет
http://img560.imageshack.us/img560/6115/54469892.png

Все виртуальные сервера идут сначала на 10.10.22.3, а затем дальше... даже сам сервер-хост дефаулт-шлюзом имеет 10.10.22.3

В постах выше я приводил 2 группы пинга и трасерта... 1 группа выполнялась с самого микротика(10.10.22.3), а вторая группа тестов выполнялась с одной из виртуальных машин(например 10.10.22.31)

Касательно схемы map2 - она не правильная... я осуществляю трассировку с сети виртуальных серверов 10.10.22.Х/24 в сеть 195.1.1.5 которая находится за выделенным каналом 192.141.XX.66. Т.к. все сервера подключены только к 1 сети, то логично что запросы сначало должны попадать на 10.10.22.3, затем через 192.141.XX.66 маршрутизироваться на 192.141.XX.252 и отправляться дальше.... но на деле происходит затык на 192.141.XX.66


Цитата:

Так почему у тебя все запросы в «выделенный канал в приватную сеть1» и «выделенный канал в приватную сеть2» идут через «локалка для виртуальных серверов»? Понимаешь, если ты написал «канал выделен»—то и запросы должны в тот сегмент сети идти только через него.

Прошу при рассмотрении моей ситуации не зацикливаться на слове "выделенный"... он выделен для меня... давайте его считать еще одним доступом в интернет... просто запросы к определенным сетям должны идти через эти каналы. Может так будет проще разобраться с проблемой.

MAVrADMIN
Гипер-в пока не поднимал, всё работает пока так по старинке, на mips-ах да ppc-ишках. Но твоя схема похожа на мою.

Если предположить что гипер-в сервер работает, как группа свичей (каждая твоя сеть—отдельный свич) то:
1) трацерт с микротика на сервер VM1(10.10.22.31)—там не должен появляться адрес 10.10.22.3, а должен быть сразу найден адрес сервера (10.10.22.31).
2) трацерт с сервера VM1 на адрес микротика (10.10.22.3)—должен быть сразу найден микротик.
3) трацерт с микротика на адреса сети VK1 (10.38.xx.0/24)—должны быть разрешимы сразу, т.е. один хоп.
4) трацерт с микротика на адреса сети VK2 (например на шлюз той сети 192.141.xx.252)—должны быть разрешимы сразу, т.е. один хоп.
Перед трейсингом отключи лишние наты и пометку маршрутов, если есть, чтобы ещё и тут не отлавливать грабли.

Если все работает, как я написал, то продолжим далее. Если не работает—значит надо крутить гипер-в.

BigElectricCat
Огромное спасибо!
Ты прав... неправильно заданы маршруты... переделал маршруты для обоих каналов(для первого тоже - ибо все должно работать правильно, а не каким-то чудесным образом) - и все запинговалось, трассировалось и т.д.

Еще раз большое спасибо всем, особенно BigElectricCat

Chupaka

Цитата:

ну, я вообще слабо понимаю, как этот чекер по UDP работает... он на нашем DNS'е говорит, что 53 порт закрыт

Ну это как раз понятно, DNS прова может быть за файрволом и не со всех адресов пускать. Но работает действительно странно, заклинивает слегка иногда.
Ну порт открыл я в общем: на правиле для входящих в файрволе убрал номер порта, то есть теперь открыт для всех портов. Этот момент непонятен пока.

wsadneg

Цитата:

Ну это как раз понятно, DNS прова может быть за файрволом и не со всех адресов пускать

DNS, который обслуживает наш домен, не может пускать не со всех сторон
поэтому не смотрите вы на этот чекер, смотрите по факту: работает - хорошо, нет - проверяйте файрвол...

Подскажите, а можно ли настроить микротик на подсчет трафика и ведение статистики по посещенным сайтам?

Цитата:

Qazwsx000
Подскажите, а можно ли настроить микротик на подсчет трафика и ведение статистики по посещенным сайтам?

это же роутер, а не биллинговая система, вот получить от него статистику по протоколу NetFlow это да.

тоже задался вопросом подсчёта трафика, существует ли бесплатный биллинг для подсчета трафика?

Smito1
Поищи по ключевым словам «utm микротик», пару лет назад была неплохая статья на тему биллинга в сети.

Цитата:

Smito1
существует ли бесплатный биллинг  для подсчета трафика

если только подсчет, то можете использовать протокол NetFlow, он совершенно бес платен.

благодарю

Прочитал весь форум, подобные вопросы есть а ответов нет, понял что это типовая проблема.
Подключил MikroTik 450G через не го ПК IP динамически получил 192.168.88.254.
Интернет есть все работает.
Задача стандартная подключатся по VPN Windows XP к микротику и видеть подсетку в которую включен 450G.
1. Создаю правилами Firewall, разрешаю доступ порта 1723 для VPN PPTP
2. Включаю PPTP сервер далее secrets создаю учетную запись->Имя, пароль, service-pptp
->local 192.168.88.1 ->Remote ->192.168.88.2.
С удаленного ПК Windows XP подключаюсь по VPN все нормально вижу на 450G во вкладке активность, ест подключение.
Подсетки не вижу пинг с Windows XP на 192.168.88.254 не идет.
Помогите разобраться только не посылайте куда подальше, хочется что бы на этом форуме был ответ.

nikolai354
Так вопросы лучше не задавать, бо телепатически прочитать настройки твоего 450ж и остальной части сети дюже сложно.
Вопрос на вскидку, откуда твоя сеть (та которую ты пингуешь) знает где 192.168.88.2 находится?