» MikroTik RouterOS (часть 3)

Подскажите пожалуйста, можно ли на микротике такое решить ?
Статический IP в необслуживаемом помещении

Спасибо.

slech

Конечно можно. Скрипт в пять строк.

Привет всем!
Недавно начал работать с Mikrotik-ами. Есть пару вопросов. Возможно, на них уже есть ответы. Если это так, то прошу не пинать, а просто сказать об этом. Или указать, если не трудно.
Использую RB750 (v.5.8)
1. Роутер стоит за dsl-модемом. Можно ли как-то узнать внешний IP? Настроил, чтобы высылал письмо при смене IP-шника. Осталось только найти способ вычислить внешний IP-шник.
2. Как открыть доступ пользователям только к гугловским ресурсам? С ip-шниками все понятно. Только у гугла их много и разных. Диапазоны не нашел в инете.
Спасибо!

Цитата:

Роутер стоит за dsl-модемом. Можно ли как-то узнать внешний IP?

если модем в режиме бриджа (что правильно), то адрес будет на интерфейсе тика


Цитата:

С ip-шниками все понятно. Только у гугла их много и разных. Диапазоны не нашел в инете.

так вот же они: http://www.robtex.com/as/as15169.html?tab=bgp

VitOs2

Цитата:

1. Роутер стоит за dsl-модемом. Можно ли как-то узнать внешний IP? Настроил, чтобы высылал письмо при смене IP-шника. Осталось только найти способ вычислить внешний IP-шник.

Узнать внешний IP можно например с помощью ресурса http://2ip.ru/, только это IP провайдера, а ты скорее всего за его НАТом.

Большое спасибо за ответ!
1. Сейчас он настроен, как раз, не в режиме бриджа. Хотя, нужно будет попробовать... Но вопрос остается в силе (так же рассматривается вариант провайдера с нечестным IP-шником).

Demon

Цитата:

Конечно можно. Скрипт в пять строк.

Если не сложно, можно в 2-ух словах или с примером, что бы знать к какую сторону идти.
Скриптами пока не занимался.
Спасибо.

А если просто статический адрес прописать?

VitOs2
Я так понял что с этим проблема у Velton.
Коллеги сообщили что тк поработает лишь пару дней и затем отвалится.
И вот про висюк с отвалом связи и возобновлением лишь после ребута RB они говорили.
Они не пробовали реперолучить IP ручками.

2 VitOs2

Цитата:

1. Роутер стоит за dsl-модемом. Можно ли как-то узнать внешний IP? Настроил, чтобы высылал письмо при смене IP-шника. Осталось только найти способ вычислить внешний IP-шник.

а dyndns использовать не судьба? Модем в бридж и пусть тик сам поднимает соединение, а с вами могу скриптом тиковским поделиться для dyndns, у меня он работает уже пару лет без проблем.
----
По LCD ответьте плиз!

Цитата:

а dyndns использовать не судьба?

Видимо у вас провайдеры выдают настоящий адрес.
Ведь для работы с dyndns, нужно иметь адрес доступный из интернета? Так?

А если, как у нашего ByFly провайдера, адрес на PPPoE один(который из Интернета не пингуется), 2ip.ru сообщает адрес другой (провайдера).

Как в таком случае увидеть свою сеть из Интернета?

slech

:local PingCount 2;

:local CheckIp 8.8.8.8;

:local isp1 [/ping $CheckIp count=$PingCount];

:log warning $isp1;

:if ($isp1=0) do={
:log warning "упал";
/ip dhcp-client disable 0;
/ip dhcp-client enable 0;
}

:if ($isp1=2) do={
:log warning "dhcp OK";
}

Demon
спасибо за готовое решение, буду пробовать.

Добавлено:
aleksvolgin,

буду благодарен за скрипт.

Цитата:

А если, как у нашего ByFly провайдера, адрес на PPPoE один(который из Интернета не пингуется), 2ip.ru сообщает адрес другой (провайдера).

Как в таком случае увидеть свою сеть из Интернета?

NAT? тогда нужен проброс портов со стороны провайдера. вряд ли БТК будет этим заниматься %)

Цитата:

NAT?

Поэтому и выхожу из положения teamviewer -ом.
Или покупать статический. Только в подрабатываемой конторе фиг объяснишь зачем им платить за статический адрес.

Добавлено:

Цитата:

БТК

Ооо, вы знакомы с нашим самым главным провайдером!
Chupaka
А сами в каком провайдере интернет раздаёте?
Может к вам подключится?

Цитата:

Ведь для работы с dyndns, нужно иметь адрес доступный из интернета? Так?

разумеется, капитан очевидность.

Цитата:

А если, как у нашего ByFly провайдера, адрес на PPPoE один(который из Интернета не пингуется), 2ip.ru сообщает адрес другой (провайдера). Как в таком случае увидеть свою сеть из Интернета?

1. поменять провайдера на того кто предоставляет белый ip

2. купить у прова постоянный ip, в этом случае, обычно проблема исчезает (но не факт) (кстати у мегафона (3G интернет) в нашем регионе ip купить нельзя, а в московском - можно)

3. использование сервисов vpn тунелирования, если они предоставляют белый ip. Я по старой памяти пользуюсь слонаксом, для доступа к одной тачке по резервному каналу через 3G мегафона. Очень выручает.


Цитата:

буду благодарен за скрипт.

да за ради бога. Только сразу предупреждаю - мопед не мой, но у меня работает.

Код: # Set needed variables
:local username "логин на dyndns"
:local password "пароль на dyndns"
:local hostname "DNS имя вашего хоста"
:global systemname [/system identity get name]

:if ($systemname = "Site1" ) do= {
:set hostname "yourdomain1.dyndns.org"
}
:if ($systemname = "Site2" ) do= {
:set hostname "yourdomain2.dyndns.org"
}
:if ($systemname = "Site3" ) do= {
:set hostname "yourdomain3.dyndns.org"
}

:global dyndnsForce
:global previousIP

# print some debug info
#:log info ("UpdateDynDNS: username = $username") - закомментировано, чтобы не попадало в вывод sysloga
#:log info ("UpdateDynDNS: password = $password") - закомментировано, чтобы не попадало в вывод sysloga
:log info ("UpdateDynDNS: hostname = $hostname")
:log info ("UpdateDynDNS: previousIP = $previousIP")

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:local result [/file get dyndns.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [:pick $result $startLoc $endLoc]
:log info "UpdateDynDNS: currentIP = $currentIP"

# Remove the # on next line to force an update every single time - useful for debugging,
# but you could end up getting blacklisted by DynDNS!

#:set dyndnsForce true

# Determine if dyndns update is needed
# more dyndns updater request details available at http://www.dyndns.com/developers/specs/syntax.html
:if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={
:set dyndnsForce false
:set previousIP $currentIP
/tool fetch user=$username password=$password mode=http address="members.dyndns.org" \
src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/dyndns.txt"
:local result [/file get dyndns.txt contents]
:log info ("UpdateDynDNS: Dyndns update needed")
:log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
:put ("Dyndns Update Result: ".$result)
} else={
:log info ("UpdateDynDNS: No dyndns update needed")
}

Sergey Sosnovsky

Цитата:

Может к вам подключится?

вряд ли. "Домашняя сеть", Минск, только Ангарская или Шабаны

Появилась необходимость настроить роутер для компании, и тут настройка "счастье для всех, даром" не подходит.

Как я понимаю у Mikrotik все что не запрещено - разрешено.
Для этого я создаю правила для tcp и udp (разница в протоколе):

Ganeral
Chain: forward
Src. Address: 192.168.0.0/24
Protocol: tcp

Action
Action: drop

после чего меня посетила мысля о том что эти правила повлияют на локалку.

Вопрос прост: Как сделать так что бы в локалке все гуляли по любым портам, а в нет только по открытым

P.S. Пока писал это сообщение придумал еще несколько вопросов на которые не смог дать ответ:
1) можно ли сделать так что бы какой нибудь ip сети в рабочее время мог только icq и почтой пользоваться, а в обед и после работы + выходные по полной
2) Начал открывать порты для хождения в Инет:

WEB
http: 80 | 8080
https: 443 | 443(udp)

FTP
20
21

MAIL
POP3: 110 | 995
SMTP: 25 | 465

RDP
3389

подскажите какие еще стоит открыть порты для стандартных служб (клиент-банк в расчет не брать)

Chain: forward
Src. Address: 192.168.0.0/24
Dst. Address: 192.168.0.0/24
Ставим самым первым правилом. Тем самым разрешаем весь локальный трафик.

подскажите сделал 2 wan

ip firewall mangle add chain=forward in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_c passthrough=yes
ip firewall mangle add chain=forward in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_c passthrough=yes
ip firewall mangle add chain=prerouting src-address=192.168.11.0/24 connection-mark=WAN1_c action=mark-routing new-routing-mark=WAN1_r passthrough=yes
ip firewall mangle add chain=prerouting src-address=192.168.11.0/24 connection-mark=WAN2_c action=mark-routing new-routing-mark=WAN2_r passthrough=yes



ip route add routing-mark=WAN1_r gateway=WAN1
ip route add routing-mark=WAN2_r gateway=WAN2




ip firewall address-list add address=212.33.225.212 list=to_WAN2 comment="route via WAN2"
ip firewall address-list add address=212.120.160.130 list=to_WAN1 comment="route via WAN1"


ip firewall mangle add chain=prerouting connection-state=new dst-address-list=to_WAN2 action=mark-routing new-routing-mark=WAN2_r
ip firewall mangle add chain=prerouting connection-state=new dst-address-list=to_WAN1 action=mark-routing new-routing-mark=WAN1_r


прописывая в routes могу разруливать по адресу назначения, а как сделать по порту ?

чтобы все шло по WAN1 а http по WAN2 - при падении все шло по живому каналу

Господа, а ко как с треккерами -скайпами борится?
На тике так и нельзя досих пор как на керио количество udp одновлеменно разрешеных поставить?

RAZORblade

Цитата:

Господа, а ко как с треккерами -скайпами борится?

с супернодами, в смысле?.. а с ними ещё и бороться можно?


Цитата:

На тике так и нельзя досих пор как на керио количество udp одновлеменно разрешеных поставить?

можно, вроде с 5.7 сделали conn-limit не привязанным к протоколу

Цитата:

Ставим самым первым правилом. Тем самым разрешаем весь локальный трафик.

а как тогда будут работать те правила что я приводил выше для блокировки выхода в мир?
а если я переделаю правило на:

Ganeral
Chain: forward
Dts. Address: 95.159.7.68/28
Protocol: tcp

Action
Action: drop

skynet120
Локальные сети у тебя маршрутизируется Микротиком? Если нет, то не заморачивайся. Компьютеры в локалке себя найдут без Микротика.

Цитата:

Локальные сети у тебя маршрутизируется Микротиком? Если нет, то не заморачивайся. Компьютеры в локалке себя найдут без Микротика.

микротиком
он выступает в роле офисной прокси, мне нужно позакрывать левые порты наружу и из вне что бы спам не ходи вирус особо не докучали

Тогда какие, я одну вижу:

Цитата:

Src. Address: 192.168.0.0/24

Цитата:

Тогда какие, я одну вижу:

я нашел инструкцию которая закрывала udp порты для того что бы нельзя было использовать uTorren.
По ее пример я сделал другие правила, но они похоже затрагивают работу локальной сети, а не выхода в инет.

у меня есть провайдер: 95.159.7.68/28
и локальная сеть: 192.168.0.0/24
мне нужно ее обезопасить от вирусов и спам ботов всяких, для єтого я хочу закрыть внешние порты оставив открытыми только некоторые как на вход так и на выход, а внутри сети пусть все гуляет без ограничений

Цитата:

мне нужно ее обезопасить от вирусов и спам ботов всяких, для єтого я хочу закрыть внешние порты оставив открытыми только некоторые как на вход так и на выход

вы определитесь, какие порты вам нужно закрыть и закрывайте их.

Цитата:

вы определитесь, какие порты вам нужно закрыть и закрывайте их.

я хочу что бы были закрыты все коме тех которые я захочу открыть