» MikroTik RouterOS (часть 3)

Chupaka
Пробовал.
Всякие даже немыслимые варианты пробовал...

подскажите как на микротике 5.8 выдавать IP через dhcp только нескольким MAC адресам, а остальным вообще не отвечать ?

sumyst
[more=вот:]

Код:
# nov/10/2011 17:57:19 by RouterOS 5.8
#
/interface l2tp-server
add disabled=no name=VPN-1 user=VPN-1
add disabled=no name=VPN-2 user=VPN-2
/interface ethernet
set 0 arp=enabled auto-negotiation=yes cable-settings=default comment=\
"LAN interface" disable-running-check=yes disabled=no full-duplex=yes \
mac-address=00:0C:29:AA:C2:00 mtu=1500 name=ether1 speed=100Mbps
set 1 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:0A mtu=1500 name=ether2 speed=100Mbps
set 2 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:14 mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:1E mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:28 mtu=1500 name=ether5 speed=100Mbps
set 5 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:32 mtu=1500 name=ether6 speed=100Mbps
set 6 arp=enabled auto-negotiation=yes cable-settings=default \
disable-running-check=yes disabled=no full-duplex=yes mac-address=\
00:0C:29:AA:C2:3C mtu=1500 name=ether7 speed=100Mbps
set 7 arp=enabled auto-negotiation=yes cable-settings=default comment=\
"LAN 2 Proxy" disable-running-check=yes disabled=no full-duplex=yes \
mac-address=00:0C:29:AA:C2:46 mtu=1500 name=ether8 speed=100Mbps
set 8 arp=enabled auto-negotiation=yes cable-settings=default comment=\
"Proxy 2 WAN" disable-running-check=yes disabled=no full-duplex=yes \
mac-address=00:0C:29:AA:C2:50 mtu=1500 name=ether9 speed=100Mbps
set 9 arp=enabled auto-negotiation=yes cable-settings=default comment=\
"Public interface (WAN)" disable-running-check=yes disabled=no \
full-duplex=yes mac-address=00:0C:29:AA:C2:5A mtu=1500 name=ether10 \
speed=100Mbps
/ip pool
add name=remote-cli ranges=192.168.168.2-192.168.168.254
/ppp profile
set default change-tcp-mss=yes name=default only-one=default use-compression=\
default use-encryption=default use-mpls=default use-vj-compression=\
default
set default-encryption change-tcp-mss=yes dns-server=192.168.168.1 \
local-address=192.168.168.1 name=default-encryption only-one=default \
remote-address=remote-cli use-compression=default use-encryption=default \
use-mpls=default use-vj-compression=default
/interface l2tp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=\
default-encryption enabled=yes max-mru=1460 max-mtu=1460 mrru=disabled
/ip address
add address=8.8.8.11/8 disabled=no interface=ether10 network=8.0.0.0
add address=10.1.1.1/30 disabled=no interface=ether8 network=10.1.1.0
add address=172.24.2.1/30 disabled=no interface=ether9 network=172.24.2.0
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
max-udp-packet-size=512 servers=192.168.93.1
/ip firewall address-list
add address=192.168.0.0/16 disabled=no list=gray-adress
add address=10.0.0.0/8 disabled=no list=gray-adress
add address=172.16.0.0/12 disabled=no list=gray-adress
add address=169.254.0.0/16 disabled=yes list=gray-adress
add address=127.0.0.0/8 disabled=no list=gray-adress
add address=224.0.0.0/3 disabled=no list=gray-adress
add address=223.0.0.0/8 disabled=no list=gray-adress
add address=198.18.0.0/15 disabled=yes list=gray-adress
add address=192.0.2.0/24 disabled=yes list=gray-adress
add address=185.0.0.0/8 disabled=yes list=gray-adress
add address=180.0.0.0/6 disabled=yes list=gray-adress
add address=179.0.0.0/8 disabled=yes list=gray-adress
add address=176.0.0.0/7 disabled=yes list=gray-adress
add address=175.0.0.0/8 disabled=yes list=gray-adress
add address=104.0.0.0/6 disabled=yes list=gray-adress
add address=100.0.0.0/6 disabled=yes list=gray-adress
add address=49.0.0.0/8 disabled=yes list=gray-adress
add address=46.0.0.0/8 disabled=yes list=gray-adress
add address=42.0.0.0/8 disabled=yes list=gray-adress
add address=39.0.0.0/8 disabled=yes list=gray-adress
add address=36.0.0.0/7 disabled=yes list=gray-adress
add address=31.0.0.0/8 disabled=yes list=gray-adress
add address=27.0.0.0/8 disabled=yes list=gray-adress
add address=23.0.0.0/8 disabled=yes list=gray-adress
add address=14.0.0.0/8 disabled=yes list=gray-adress
add address=5.0.0.0/8 disabled=yes list=gray-adress
add address=2.0.0.0/8 disabled=yes list=gray-adress
add address=0.0.0.0/7 disabled=yes list=gray-adress
add address=128.0.0.0/16 disabled=yes list=gray-adress
/ip firewall filter
add action=accept chain=forward comment="from VPN-1 to Proxy" disabled=no \
in-interface=VPN-1 out-interface=ether8
add action=accept chain=forward comment="From Proxy to VPN-1" disabled=no \
in-interface=ether8 out-interface=VPN-1
add action=accept chain=forward disabled=no in-interface=VPN-2 out-interface=\
ether8
add action=accept chain=forward disabled=no in-interface=ether8 \
out-interface=VPN-2
add action=accept chain=forward comment="from Inernet 2 Proxy" disabled=no \
in-interface=ether10 out-interface=ether9
add action=accept chain=forward comment="From Proxy 2 Internet" disabled=no \
in-interface=ether9 out-interface=ether10
add action=drop chain=forward disabled=no
/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-list=\
!gray-adress in-interface=VPN-1 new-routing-mark=LAN-2-Web passthrough=no
add action=mark-routing chain=prerouting disabled=no dst-address-list=\
!gray-adress in-interface=VPN-2 new-routing-mark=LAN-2-Web passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether10
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.24.2.2 \
routing-mark=LAN-2-Web scope=30 target-scope=10
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=8.8.8.9 scope=30 \
target-scope=10
add disabled=no distance=1 dst-address=10.100.103.0/24 gateway=VPN-1 scope=30 \
target-scope=10
/ppp secret
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=VPN-1 \
password=secret-1 profile=default-encryption routes="" service=l2tp
add caller-id="" disabled=no limit-bytes-in=0 limit-bytes-out=0 name=VPN-2 \
password=secret-2 profile=default-encryption routes="" service=l2tp
/system identity
set name=virtual4sumyst

хм .. без претензий к кураторам ветки конечно..
но что делает в шапке ссылка hxxp://www.x-drivers.ru/content/view/62/53/ - Краткий FAQ по настройке (первоисточник).
как минимум, так лучше http://goo.gl/phA0b

ЗЫЖ только 8.8.8.9 и 8.8.8.10 на 10-м интерфейсе высмотри.

Dimsoft
Рубить запросы/ответы дхцп фильтрами фаирвола по макадресам.

BigElectricCat не-а
Модифицировал правила несколько под себя (ВПН пока оставим в покое роутерБ подключен напрямую в порт6 микротика)
Посему переделал следующим образом:

/ip firewall filter
add action=accept chain=forward "from Ether 2 Proxy" disabled=no in-interface=ether6 out-interface=ether8
add action=accept chain=forward "from Proxy 2 Ether " disabled=no in-interface=ether8 out-interface=ether6
add action=accept chain=forward comment="from Inernet 2 Proxy" disabled=no in-interface=ether10 out-interface=ether9
add action=accept chain=forward comment="From Proxy 2 Internet" disabled=no in-interface=ether9 out-interface=ether10
add action=drop chain=forward disabled=no

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=no dst-address-list=!local in-interface=ether6 new-routing-mark=route_to_proxy passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat disabled=no out-interface=ether10
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.24.2.2 routing-mark=route_to_proxy scope=30 target-scope=10

Вроде правильно и должно работать.
Но трассировка останавливается на IP адресе интерфейса ether6

Смотрю счетчики правил фаервола:
[admin@M1] /ip firewall filter> print stats
Flags: X - disabled, I - invalid, D - dynamic
# CHAIN ACTION BYTES PACKETS
0 forward accept 900 15
1 forward accept 0 0
2 ;;; from Inernet 2 Proxy
forward accept 0 0
3 ;;; From Proxy 2 Internet
forward accept 900 15
4 forward drop 7 148 15

Тоесть все пакеты попадают под правило дроп.
Отключая трассировку с роутераБ и снова получаю петлю.

Делал по сценарию предложенному Вами.







Добавлено:
Кстати, вот какой ответ мне пришел из микротика:


1st - mark routing that goes from client interfaces and route it to captive portal, that you are already doing, but your captive protal is not doing NAT, so as result, packets are sent back to captive portal till TLL=0. To avoid that, set up packet marks so that they are marking packets using destination address and incoming interface and send all these packets to your captive portal. Now packets from your captive portal router with same source address as before and are sent back. Addition of in-interface will avoid that. And then just NAT on external interface.

2nd - use bridge, so packets from users use captive portal as gateway.


"so as result, packets are sent back to captive portal till TLL=0." - вот эта фраза особенно не понятна. С какого бы перепуга пакет послывался обратно?
Мне удалось получить доступ к GW который находится за ether10 (читай гейт провайдера)
И я вижу что пакеты из локальных сетей уходят не пройдя нат, тоесть с оригинальным src.

Цитата:

1st

Ну да, логично, у тебя на прокси ведь нет ната, следовательно надо пометки на пакеты поставить, чтобы отделить «мух от котлет», в смысле, отделить пакеты которые прошли через проксик и которые ещё только собираются.


Цитата:

И я вижу что пакеты из локальных сетей уходят не пройдя нат, тоесть с оригинальным src.

Интересно, как это может быть? А где правило «рубить на WAN-интерфейсе все пакеты с ”серым” назначением/источником»?

В принципе то, что ты хочешь собрать, делается на свиччипе в полпинка, естественно нужно добавить и «copy-to-cpu», для анализа пакетов по L7 и создания соответствующих реакций, хотя реакции эти будут запаздывать, всё же свиччип куда быстрее прокидывает пакеты, чем проц может их просмотреть, но можно просто вводить правила для последующих пакетов с этого IP.

"Ну да, логично, у тебя на прокси ведь нет ната, следовательно надо пометки на пакеты поставить, чтобы отделить «мух от котлет», в смысле, отделить пакеты которые прошли через проксик и которые ещё только собираются. "
Тоесть маркировать 2 раза?
1) для форварда на проксю
2) с прокси в интернет

"Интересно, как это может быть? А где правило «рубить на WAN-интерфейсе все пакеты с ”серым” назначением/источником»?"

Мне вот тоже интересно. Никогда не думал что столкнусь с такой проблемой.
Взял микротик - почитал документацию, вроде все понятно и прозрачно.
Но не работает.

Про свиччип почитаю, спасибо.

периодически сталкиваюсь с проблемкой - кеширование работы правил на файерволе.

настраиваю правило для блокирования - оно всё блочит.
теперь я хоу его отключить и делаю disable, но нужно какое-то время что изменения вступили в силу.
можно ли ускорить это дело ручками ?

спасибо.

Странно, у меня почти мнгновенно 1-2 секунды.
Может другое правило "блочит"?

Здравствуйте, есть такая проблема после обновления прошивки на RB493AH до версии 5,8 через некоторое время (от 2 до 4 часов) не возможно зайти на роутербоард через winbox. через WEB пускает без проблем. помогает только перезагрузка и опять на несколько часов. Сбрасывал в заводские установки и настраивал по новой - эффект ноль. Буду благодарен за любой совет.

хмм, я тут озадачился, как сделать логирование события файрвола?
видно, что пакет был дроп, за день 40ГБ надропало. Интересно, что это и куда так усилинно ломится.

Цитата:

периодически сталкиваюсь с проблемкой  - кеширование работы правил на файерволе.
 
настраиваю правило для блокирования - оно всё блочит.
теперь я хоу его отключить и делаю disable, но нужно какое-то время что изменения вступили в силу.
можно ли ускорить это дело ручками ?
 
спасибо.

Бывает такое. Оно не блочи уже установленные соединения. Вариант или ребут, или выключение-включение интерфейса на котором применено правило.

me2k
на SysLog ?

у меня проблемка появилась с RB1200.
Стоит и работает себе TP-Link.
Внутри за NAT есть Linux с OpenVPN:

Цитата:

OpenVPN -- TP-Link <--> Home User

И всё работало пока не появился RB1200.
После его установки в место TP-Link появились проблемы:
1. VPN сустанавливается и пинги идут на все машинки в сети.
2. Вроде на все Linux сервера и ресурсы доступ получить можно.
3. Windows машинки работают криво - некторые порты работают, а некоторые нет. Т.е. Web сайт может открыть, но при этом по RDP доступ не получить. А на некоторые и RDP и всё остальное. OS 2k8 + w7.

Варианты набрались такие:
а) MTU - пробовал изменять параметры клиента OpenVPN(1200.1300.1400), но безрезультатно.
б) какая-то история с портами на RB1200
у меня сейчас eth10=lan | eth1=wan
eth1-eth5 в каком-то там свитче находятся по конфигурации RB1200(это по дефолту и вроде не изменяется).

Может кто сталкивался ?
Спасибо.


OpenVPN and RDP to Server 2003 problem?

Присоединяюсь к вопросу.
Точнее несколько расширю его:
В 1й порт воткнут лан. В 10й ван.
Почему если я смотрю торчем пакеты на первом порту, я вижу широковещалку из ВАН сети?

RB1200. Мастер порт не назначен. Все порты изолированы.

ни увеличение ни уменьшение MTU на eth0 и eth10 положительного эфекта не дали.

изменение mtu на OpenVPN клиенте и сервере к положительному эфекту не привело.
RDP работает лишь на 1 сервере и на него оно прекращается после изменения MTU на VPN клиенте и сервере в строну 1400.
Похоже что засада действительно в MTU, только идей как её побороть нет.

Добавлено:
хотя вот что обнаружил

Цитата:

ping 192.168.0.10 -f -l 1472

выше уже не проходит.

RB751u-2hnd
ether1 - интернет, статика.
ether2 - lan 192192.168.0.1
ether3-5 - lan master-port=port2
wlan1 - wireless 192.168.0.2
src-nat

DHCP повесил на ether2 и wlan1 с одинаковым пулом локальных адресов.
wireless ap bridge - на беспроводной интерфейс дал адрес из диапазона используемых в локальной сети. При включении wlan1 - беспроводного интерфейса вся внутренняя сеть отваливается.
Подскажите плиз, что должно происходить с маршрутами? Хотя маршруты стандартные 192,168,0,0 ходит через 192,168,1,1, интуиция подсказывает, что чего-то тут не хватает...

В общих чертах задача сводится к организации работы сети через 2 локальных интерфейса, один из которых - беспроводной. Адреса тнтерфейсов из одной подсети.
Подробности предоставляю по востребованности. Спасибо!

FreeLSD_md
Создай бридж, добавь в него два интерфейса (ether2,wlan1). На бридж интерфейс назначь нужный тебе адрес и DHCP сервер.
Маскарадинг назначай на бридж.

Ладно, сейчас намеренно упростил схему до минимума.

LAN1 (192.168.2.0/24) ----РоутерБ (дефолт смотрит в сторону РоутерА ) ether1 ---- ether6 РоутерА (дефолт смотрит в сторону гейта провайдера за ether10)

Ether8 - LAN прокси
Ether9- WAN прокси

адресация
Б:

Код: ether1 192.168.1.2/30 | dst-address=0.0.0.0/0 gateway=192.168.1.1 gateway-status=192.168.1.1 reachable ether1 distance=0

настроил OpenVPN на ROS через TCP.
всё заработало, так же пропускаются пакеты максимальной длины 1472.
Такие же размеры в обход RB1200.
Т.е. как бы RB1200 не влияет на размер передаваемых пакетов. Но OpenVPN по UDP так и не захотел работать есле проходит через RB1200.
Есть ещё MSS. Может там что следует поменять.

Здравствуйте всем.

Подскажите в чем проблема с RB450G, интернет я на нем настроил он работает,
проблема возникает при включении просмотра iptv в это время плеер работает и видео идет а все остальное падает.
Восстановить работу помогает только отключения плеера и wan порта после чего интернет поднимается.

Вопрос по какой причине ДХЦП такое может делать?)


15:13:48 dhcp,info dhcp1 deassigned 10.68.0.124 from 00:0C:F1:6C:8E:27
15:13:48 dhcp,info dhcp1 assigned 10.68.0.124 to 00:0C:F1:6C:8E:27
15:13:55 dhcp,info dhcp1 deassigned 10.68.0.124 from 00:0C:F1:6C:8E:27
15:13:55 dhcp,info dhcp1 assigned 10.68.0.124 to 00:0C:F1:6C:8E:27


Добавлено:
хммм. ещё если я правильно всё понимаю, то после окончания срока лиза, ДХЦП не продляет время лиза, а делает deassign а потом сразу assign, на некоторых клиентах из-за удалённости, таймаут между этими действиями достигает 5-8 секунд, как следствие разрыв всех активных соединений.
Кто--то стыкался с таким?

me2k
Это точно не хипер-в сервер балуется? В общем, у нас крутились настройки хипер-в, чтобы в микротике спокойно жил дшцп.))

Добавлено:
sumyst

Цитата:

Я склоняюсь к версии что это ошибка в ROS.

Будет время — подниму на виртуалке твою схему, погляжу как оно.

BigElectricCat, спасибо огромное.
Если нужны уточнения, или доступ к железу, моя аська 410279.

Собственно в наличии проблемы я уже убедился, мне нужно подтверждение со стороны не заинтересованого лица что это не мой глобальный затуп.
А то ругаться с суппортом микротика человеку не являющемуся официальным реселлером, очень и очень сложно.

BigElectricCat

Да нету у нас хипер-в... у нас вмвар стоит. ESXi/Vcenter 5.
Микротик там-же в ХА кластере крутится.
Может быть проблема в этом?... будет посмотреть - на днях по идее должен приехать РБ493Г буду с виртуалки на него все переносить.

Dimsoft

Цитата:

как на микротике 5.8 выдавать IP через dhcp только нескольким MAC адресам, а остальным вообще не отвечать ?

убрать Address-Pool из настроек DHCP Server

Добавлено:
sumyst
так как теперь правило НАТа выглядит?..

Chupaka
А правило нат простое:

chain=srcnat action=masquerade src-address-list=local dst-address-list=!local out-interface=ether10

На самом деле чего я только не пробовал.
Даже натить по метке (хотя это и не рекомендовано производителем):

chain=prerouting action=mark-routing new-routing-mark=To_NAT src-address-list=local dst-address-list=!local passthrough=yes in-interface=ether9

chain=srcnat action=masquerade routing-mark=To_NAT src-address-list=local dst-address-list=!local out-interface=ether10

Всегда я получаю один и тот же результат.
Пакеты в src прокси натятся без проблема.
Остальное нет.

me2k

Цитата:

Да нету у нас хипер-в... у нас вмвар стоит. ESXi/Vcenter 5.

Дык, посмотри чей это мак, и сразу всё будет понятно.

BigElectricCat

это мак клиентского компа.

Вообще судя по всему, некоторым клиентам ДХПЦ не продляет время лиза, а делает deassigned а потом assigned.

Что интересно, с клиентской стороны видно вот такое:


Код:
Event Type:    Error
Event Source:    Dhcp
Event Category:    None
Event ID:    1002
Date:        15.11.2011
Time:        11:32:07
User:        N/A
Computer:    OSMEREKA
Description:
The IP address lease 10.68.0.152 for the Network Card with network address E0CB4EBAEDC5 has been denied by the DHCP server 10.68.2.253 (The DHCP Server sent a DHCPNACK message).

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.