» MikroTik RouterOS (часть 3)

Я купил его не чего не настраивал, подключил и все? настроил толь то что написал.
"Как откуда знает", если я соединился по VPN и я в учетной записи прописал 192.168.88.2
я его и получаю, я вижу на ПК XP 192.168.88.2 но пинг на ПК 192.168.88.254 там же включен MikroTik 450G

Цитата:

это же роутер, а не биллинговая система, вот получить от него статистику по протоколу NetFlow это да.

А может можно настроить роутер микротик, чтобы он статистику в реалтайме скидывал на какойн-нибудь пк по заданному ИП? А на этом ПК уже смотреть статистику по сайтам. Такое возможно с помощью данного роутера?

Доброе время суток,

наткнулся на следующую странность:
при подключении к mikrotik пк - пк ходит нормально
при подключении к mikrotik к роутеру - неработает DNS, настройки идентичны ПК

не могу понять такую картину...

nikolai354
переключите ARP в Proxy-ARP на интерфейсе, который смотрит на 192.168.88.254

Qazwsx000
статистика по сайтам доступна только для прокси, поэтому её хоть где-нибудь, но надо установить

Добавлено:
skynet120
ничего не понятно... особенно

Цитата:

при подключении к mikrotik к роутеру

Цитата:

Qazwsx000
А может можно настроить роутер микротик, чтобы он статистику в реалтайме скидывал на какойн-нибудь пк по заданному ИП? А на этом ПК уже смотреть статистику по сайтам. Такое возможно с помощью данного роутера?

тут но там будут одни IP, а если нужны имена например www.yandex.ru то вам ответил Chupaka хотя вроде что то видел в программе по поводу преобразования адресов, но не уверен работает оно или нет.

при подключении mikrotik к роутеру - неработает DNS, настройки идентичны ПК

Есть локальная сеть развернутая по всему предприятию, инет раздается посредством pptp через MK 3.3, к которому прикручен свой биллинг. Появилась необходимость поставить несколько точек wifi. Для уменьшения затрат была придумана следующая схема:
1. ставим wifi точки (пока не знаю какие) в режиме моста, подключаем к существующей локалке
2. на существующем микротике подымаем хотспот на том же интерфейсе, что смотрит в локалку, но со своей адресацией и радуемся жизни.

но нет.....
не уживается локальная сеть и хотспот на одном интерфейсе.
Пробовал разнести интерфейсы. Поставили еще одну карточку, подключили ее к свичу в той же локалке, дали другую подсеть и поцепили на нее хотспот. При этом в хотспоте в hosts сразу появляются записи с address - адреса компов в локалке, to adddress адреса выданные из пула хотспота, инет из локалки работать перестает. Клиенты wifi при этом через хотспот работают.

Как правильно поступить в данной ситуации. Точек нужно поставить несколько, они достаточно сильно разнесены территориально и хотелось бы использовать существующую локалку.

skynet120
понятнее не стало. опишите, как проверяете. пинги, трассировки...

Demon
в первую очередь - удалить из настроек хотспота address-pool (это отключит "перехват" всех подряд), адреса выдавать, например, по DHCP

Chupaka

Цитата:

в первую очередь - удалить из настроек хотспота address-pool (это отключит "перехват" всех подряд), адреса выдавать, например, по DHCP

В таком случае, действительно перехвата нет, но и страницы авторизации у wi-fi абонентов то же нет

Demon

Цитата:

но и страницы авторизации у wi-fi абонентов то же нет

а что есть? телепатов-то точно нет...

Цитата:

Chupaka

Цитата:

большое Вам спасибо, наконец то страж дующие люди как я приобретут счастье

переключите ARP в Proxy-ARP на интерфейсе, который смотрит на 192.168.88.254

Как все просто, а ответ искал целый день.

Chupaka

Цитата:

но и страницы авторизации у wi-fi абонентов то же нет

а что есть? телепатов-то точно нет...

без указания пула адресов перехода на страницу авторизации нет, просто браузер отваливается по таймауту. Редиректа нет вообще, т.е. адресная строка в браузере не меняется на адрес страницы авторизации. Впечатление такое, что хотспота на данном интерфейсе нет вообще.

Demon
шлюз у клиентов правильно указан?..

да, клиент получил адрес по dhcp, шлюз, тот адрес который привязан к интерфейсу, на котором поднят хотспот. Со стороны клиента шлюз пингуется.

Здравствуйте.
Необходимо помочь настроить MikroTik RouterBOARD RB433AH за умеренную плату для "домашнего" использования.
На борту две карты WiFi. Надо грамотный авто баланс по двум каналам интернета, ограничение скорости для пользователя и групп пользователей (максимальная на группу делится на кол-во активных участников), DHCP.
Подробнее по почте clgsru (dog) gmail (dot) com или Skype clgsru

Цитата:

Chupaka

Цитата:

переключите ARP в Proxy-ARP на интерфейсе, который смотрит на 192.168.88.254

говорят что не надо переключать и что "Если используете одну сеть для локали и впн, то адрес тика для впн юзверов, не должен совпадать с адресом тика в реале на любом интерфейсе. "
подтеска 192.168.88.1
я делаю так
0 name="test" service=pptp caller-id="" password="123" profile=default
local-address=192.168.3.1 remote-address=192.168.3.253 routes=""
limit-bytes-in=0 limit-bytes-out=0

не вижу подсетке ПК 192.168.88.9

а если так
0 name="test" service=pptp caller-id="" password="123" profile=default
local-address=192.168.88.1 remote-address=192.168.88.253 routes=""
limit-bytes-in=0 limit-bytes-out=0

и на второй порт ставлю ARP в Proxy-ARP
все нормально работает

nikolai354
если подсети разные - то просто должна быть правильно настроена маршрутизация. ну и файрволы не должны мешать (даже Windows Firewall). проверять для начала трассировкой

Всем привет! Надеюсь на Вашу помощь.

Столкнулся с странным (либо не понятном мне) поведением RB750.

Допустим потребовалось на какое-то время отключить мне интерфейс ether1. Остальные интерфейсы должны остаться активными. Т.е. делаю

Код: /interface disable ether1

b3figa
версия RouterOS/Firmware самая распоследняя?

Chupaka

Да все обновлено до последних версий
RouterOS/Firmware - 5.7 / 2.37

b3figa
Не собран ли у тебя на портах свич?

Добавлено:
*имеется ввиду опция мастер порт в свойствах портов

Цитата:

Chupaka

Купил совсем не давно Routerboard 450G .
Как можно решить эту проблему загрузка процессора идет на 100%.
system resource monitor
cpu-used: 100
cpu-used-per-cpu: 100%
free-memory: 239632
-- [Q quit|D dump|C-z pause]
RouterOS 4.17
В порт не чего не включено. только в первый интернет.
Заливал прошивку 4 и 5 не чего не меняется.
Может у кого то есть такой посмотрите пожалуйста может так и должно.
сделайте команду system resource monitor

faust72rus

Цитата:

Не собран ли у тебя на портах свич?  

Нет не собран, в конфигурации у интерфейсов master-port=none. К тому же RB750 собран на Atheros7240, в котором свитч можно собрать только из ether2 - ether5.
Первый интерфейс можно добавить в свитч, на сколько мне известно, только в роутерах с Atheros8316 (RB750G к примеру).

Уже пробовал откатиться на дефолтные настройки, но и в этом случае эта проблема остается.

nikolai354
В пятой прошивке есть в утилитах профилер, позволяющий увидеть процесс потребляющий ресурсы.
b3figa
идей нет (
М.б. есть возможность перейти на другой порт, отказавшись от использования бракованного? Логи дебага что от говорят? Может ошибка в кернеле там сыпется или etc
И кстати, а часто нужно именно физически гасить интерфейс? М.б. достаточно отключать ip адреса с порта?

У меня такой вопрос, есть контора, приходит оптика-> свитч от этого свитча идёт два провода, один в микротик и раздаёт на производство, второй на бухгалтерию на роутер, оба имеют разные внешники... задача такая, в производстве компьютер админа, в нём стоит сервер касперского, надо убрать из бухгалтерии роутер, и воткнуть в микротик, НО чтобы сети были разные, и друг друга не видели, т.е. ставиться Vlan и проблем нет, НО..нужно чтобы в бухгалтерии был виден компьютер админа в другом vlan`е, это возможно вообще сделать? если да, каким образом...не могу понять

Тут в родственной теме которая в Варезнике человек задал вопрос про взаимодействие микротика с UPS'ом.
Если он зайдет сюда то ответ тут:
http://tandem.ck.ua/prg/scripts.txt

ДОбрый день.

Задумался на тему использования построения распределенной сети, mikrotik в центре (пока RB750G, по мере роста нагрузки, что либо постарше или переход на x86), + несколько удаленных объектов, openvpn

Вообщем то никаких проблем с тестовым стендом и двумя удаленными сетками не возникло.
Ключи делаю с помощью easy-rsa
Единственное, что не понятно, как отзывать сертификаты клиентов в случае каких либо проблем?

В случае "классического" варианта создается строка в конфиге crl-verify /etc/openvpn/keys/crl.pem и отозванные сертификаты перестают работать.

Как быть в случае с микротиком который выступает ovpn сервером?
Куда помещать crl.pem? Просто импротировать и обновлять по мере надобности?

zubastiy
насколько помню, сервер OpenVPN в RouterOS не поддерживает списки отзыва

есть интернет канал нужно написать шейпер
за основу беру http://wiki.mikrotik.com/images/8/84/QoS_Megis_%28Russian_translate_by_white_crow%29.pdf
нашёл замечание по поводу статьи

Цитата:

Мегис допустил грубую ошибку: он использует Source NAT/Masquerade и при этом посадил шейпер исходящего траффика (в Queue Tree) на физический(!) исходящий интерфейс, т.е. после(!) преобразования SNAT. Поскольку при SNAT/masquerade адрес клиента подменяется внешним адресом роутера, а шейпер у него оперирует адресами клиентов, работать данная конструкция правильно не будет. Нужно сажать шейпер исходящего траффика на Global-OUT - эта стадия исполняется ДО преобразования Source NAT.

и ещё у Megis не написано как расставить приоритеты

основные задачи которые нужно решить
1) обеспечить хороший пинг на игровые сервера независимо от тарифа распознать или по портам или по серверам которые будут в адрес листе
2) обеспечить комфортный Веб-серфинг
3) обеспечить работу Skype
4) распознать и зарезать скачку по http и ftp
5) распознать torrent трафик и запустить его по остаточному принципу
задача дать например клиенту Client_1000k внешнюю скорость 1000к на внутренние ресурсы провайдера 2000k

например наброска приоритетов
1 ping dns
2 games RDP SSH
3 http 200k VoIP skype
4 http>500k
5 online video
6 и весь остальной не маркированый
7 закачки FTP mail
8 P2P
может кто подскажет правильно ли я делаю и поможет написать приоритеты
создаю списки клиентов
заполняю адрес листы это будет максимальная не гарантированная скорость
гарантированная нужна 64к на скачку
address-list
Business_class_client
Client_300k
Client_500k
Client_1000k
Client_2000k
Client_4000k
Client_6000k
метим трафик клиентов
за пример берём

пока метим 2 типа клиентов 300 и 1000
Mangle

Код: /ip firewall mangle add chain=forward src-address-list=Client_300k action=mark-connection new-connection-mark=client_300k_conn passthrough=yes comment="mark client_300k traffic" disabled=no
/ip firewall mangle add chain=forward connection-mark=client_300k_conn action=mark-packet new-packet-mark=client_300k_traffic passthrough=no comment="" disabled=no
/ip firewall mangle add chain=forward src-address-list=Client_1000k action=mark-connection new-connection-mark=client_1000k_conn passthrough=yes comment="mark client_1000k traffic" disabled=no
/ip firewall mangle add chain=forward connection-mark=client_1000k_conn action=mark-packet new-packet-mark=client_1000k_traffic passthrough=no comment="" disabled=no\
/ip firewall mangle add chain=forward action=log log-prefix="" comment=" Check for unmarked traffic" disabled=no

Цитата:

zubastiy
насколько помню, сервер OpenVPN в RouterOS не поддерживает списки отзыва

Спасибо, поставлю в центр что либо другое.