» MikroTik RouterOS (часть 3)

Добрый день, предупреждаю за ранее в работе с МикротиКом я новичок.
Поставил настроил - Работает.
Проблемма : Как перекрыть P2P Сеть?? не могу найти
Помогите плз
Если можно то через WinBox
Апарат: 750PI

Цитата:

По ее пример я сделал другие правила, но они похоже затрагивают работу локальной сети, а не выхода в инет.

у меня есть провайдер: 95.159.7.68/28
и локальная сеть: 192.168.0.0/24

Пакеты из локальной сети, попадают на маршрутизатор, если хотят в другие сети.
Наверное вам стоит покурить в сторону -- IP адрессация и маршрутизация, а потом настраивать маршрутизатор.

Цитата:

skynet120
я хочу что бы были закрыты все коме тех которые я захочу открыть

первыми в списке пишите правила которыми вы хотите разрешить трафик на определенные порты, последним на форвард - дроп.
только не забудьте в начало списка добавить правило на разрешения для себя любимого.

Вопрос по файрволу. Может ли Микротиковский файрвол заглядывать внутрь пакетов и на этом основании принимать решение о маркировке или другом действии? Поясню что нужно:

Есть пакет 001a4d45a614000c42b01b640800450005 и так далее. Нужно чтобы файрвол проверял каждый пакет на наличие последовательности ну скажем a4d45a и на этом основании решал что делать дальше.

Гуглинг не помог. Вроде как есть фича packet content, но проверка последовательностей ни к чему не приводила. Подскажите, может ли так Микротик?

Цитата:

Может ли Микротиковский файрвол заглядывать внутрь пакетов и на этом основании принимать решение о маркировке или другом действии?

Layer7.

А можно пример паттерна который глядит вглубь пакета и чекает указанную последовательность?

Придумал я тут себе, хочу организовать отказоустойчивость/балансировку загрузки шлюза/ДХЦП сервера.
Два шлюза ВРПП между ними.
На обоих микротиках поднято по интерфейсу для ДХЦП (с разными ип к примеру 192,168,1,1(мастер) и 192,168,1,2(слейв)) для ДХЦП.
На первом микротике(Мастер) включен интерфейс(192,168,1,1) и ДХЦП
На втором(слейв) ДХЦП и интерфейс задизейблены.
На втором(Слейв) средствами нетвоча делаем пинг интерфейса(мастера) и если ответа нету, включаем интрефейс(192,168,1,2) и ДХЦП у себя. Если ответ есть – ничего не делаем.
На первом делаем пинг( 192,168,1,2) и если ответ есть – выключаем у себя интерфейс(192,168,1,1) и шлём мыло об аварии. Если ответа нету – включаем у себя интерфейс 192,168,1,1.
Синхронизация данных DHCP между серверами(при наличии одинаковых пулов) по идее может быть организована путём
На мастере делаем
[Sadmin@MikroTik] /ip dhcp-server lease> export file=lease
Переносим получившийся файл на слейв
И делаем /import lease.src

Вопрос в том, как можно автоматизировать процесс переноса файла с мастера – на слейв?)
Всё остальное(еспорт/ипорт) в целом скриптами и джобами сделать можно. А вот перенос?
Можно как-то на микротике средствами скрипта копировать файлы на другой микротик?)
Либо возможно микротик может как-то принимать почту? К примеру с первого тогда можно делать отправку результата экспорта – на почту. На втором принимать письмо и делать импорт.
Как-то так.
Есть у кого-то дельные мысли по всей это схеме?


Добавлено:
Хехе.
Tools/Fetch
МОжет по ФТП выкладывать/забирать данные. На обоих микротиках подняты ФТП сервера по дефолоту.
Будут что-то пробовать делать
Результаты потом отпишу.

разобрался

Досталась в наследство RB750 или RB750GL, точнее увижу завтра. Логина/пароля для администрирования нет. Физический доступ к ней есть. Как получить полный доступ для администрирования?

Нажмите кнопку Reset и удерживайте ее длительное время при загрузке. После того как LED индикаторы погаснут, отпустите кнопку - RB/750 начнет искать Netinstall сервер.

Ребята, подскажите, как обойти одно неудобство \

Доступ к внешнему адресу роутера , из вне все нормально , из локальной сети нет,

Тоесть настроен, какой нибудь редирект порта из вне в локальную сеть ,
из вне все работает, приезжает пользователь в офис, подключения не работают...

rosalin
http://wiki.mikrotik.com/wiki/Hairpin_NAT

Chupaka
спасибо, вроде разобрался

Цитата:

Пакеты из локальной сети, попадают на маршрутизатор, если хотят в другие сети.
Наверное вам стоит покурить в сторону -- IP адрессация и маршрутизация, а потом настраивать маршрутизатор.

весь трафик проходит через Mikrotik, других устройств нет


Цитата:

первыми в списке пишите правила которыми вы хотите разрешить трафик на определенные порты, последним на форвард - дроп.
только не забудьте в начало списка добавить правило на разрешения для себя любимого.

можете показать пример закрывающий весь внешний трафик

skynet120

Цитата:

весь трафик проходит через Mikrotik, других устройств нет

Ещё раз -- трафик компьютеров локальной сети друг другу через маршрутизатор НЕ ПРОХОДИТ!

Добавлено:

Цитата:

можете показать пример закрывающий весь внешний трафик

/ip firewall filter
add action=drop chain=input in-interface=wan

Sergey Sosnovsky

Цитата:

add action=drop chain=input

input - это трафик К роутеру, а не ЧЕРЕЗ роутер к пользователю. надо forward, видимо

Цитата:

Ещё раз -- трафик компьютеров локальной сети друг другу через маршрутизатор НЕ ПРОХОДИТ!

нет сейчас трафик ходит нормально, но реализована система "счастье для всех, даром" открыто все и всем. это нужно изменить.

мне нужно сделать так что бы трафик в LAN ходил беспрепятственно, а в WAN строго по открытым портам

У кого есть RB1200, подскажите как у вас дела с ним ?
Restart RB1200 every day, aleatory.
У меня ~ раз в недельку перегружается рутер.

сейчас с 5.8 17 день пошел без перезагрузки, но на 800MHz на 1000 раз в день ребут, на 1200 еще больше, когда его брали с прошивкой 5.2(уже не помню) то и на 800 дня проработать не мог да еще и ребутился с зависанием, приходилось восстанавливать систему каждый раз, вообщем полная жопа с этим девайсом. я так понимаю у Микротик нет девайсов с процессором выше 800MHz, а описания о том что это 1000 и даже 1200 ни что иное как рекламный ход, все эти частоты служат для разгона и могут работать а могут и нет, как например с 450G 680 стандарт а 800 разгон, кто то пишет у него работает на 800 у меня запустился и через минуту ребут, возможно разгон и будет работать если с роутера убрать QoS? NAT, Firewall, но тогда зачем его покупать под такие задачи за такие деньги.

у меня 450G на 800MHz перезагружается только тогда когда свет выключают это где то раз в месяц

Всем привет!

Есть задача которую не могу решить. Подскажите

Есть 3 канала в интернет от одного провайдера, ну и соответственно у них один шлюз. Как сделать балансировку нагрузки в такой ситуации.

Клиенты подключаются через VPN.

toxy
подключение к провайдеру - IPoE, т.е. напрямую (DHCP)? или vpn (pptp, pppoe)?

Цитата:

skynet120
у меня 450G на 800MHz перезагружается только тогда когда свет выключают это где то раз в месяц

у вас что поднято на девайсе?

Цитата:

я так понимаю у Микротик нет девайсов с процессором выше 800MHz, а описания о том что это 1000 и даже 1200 ни что иное как рекламный ход

Немного не так, есть штатные частоты, есть разгон.
К примеру у меня на 493ж штатно 680
/system routerboard settings> print
…
cpu-frequency: 680MHz
…
А можно разогнать до 800 (или уменьшить до 150, 200, 300, 400, 600).

А на 1100АН штатная:
/system routerboard settings> print
…
cpu-frequency: 1066MHz
memory-data-rate: 533DDR
…
А разогнать можно до 1333 МГц (или выставить по меньше: 533, 800)

Впрочем пока я не ставил повышенную частоту, потому как считаю, что лучше купить железку по серьёзнее, чем раскладывать вокруг себя грабли.

Цитата:

Немного не так, есть штатные частоты

на 1200 штатно как бы заявлена производителем 1000MHz, но у нас не работает на этой частоте.

Мдя, видать я не один такой с RB1200.
Глянул частоту своео устройства и сильно удивился:

Код: cpu-frequency: 666MHz<333DDR>

vlh, ну сколько будет, до ребута, стоять у меня 1100АН не скажу… надо много чего в этой серверной перелопатить… так что скорее всего через пару дней всё отключу снова, так что эксперимент не будет чистым, но на сейчас работает 1д 18 часов без перезагрузки, хотя он не нагружен сейчас. Пока проверялась работа 2-го свиччипа (порты 1—5-й, перегонялось по &#8776; 60ТБ через каждый порт). Завтра поставлю перегонять данные на первом свиччипе (порты 6—10-й), а через пару дней будем проверять маршрутизацию через 2-х и 4-х проводный транк. Думаю так же погонять на мелких пакетах с максимальной нагрузкой, нужно понимать возможный резерв по производительности.

А что до вашего 1200 — может просто брак производства? Другой 1200 пробовали ставить?

Добавлено:
PS: Может можно мозги ему более производительные поставить? Сейчас то, содиммки очень дешево стоят.

дык, просто перегонять трафик как бы нет проблем, хотя у себя и не пробовал, много читал на форумах, что в таком режиме работает без проблем, а вот с полным QoS, NAT, Firewall он как раз и ребутится, при чем не от нагрузки а просто сам по себе, то есть в час пик может держать трафик под 100Мбит\с а ночью при 4Мбит\с ребутнутся.
судя по тому как обновляются прошивки проблема скорее всего в программном обеспечении а не в аппаратном, попробовать другой нет возможности, взяли один на пробу, теперь как бы жалеем, надо было собирать на базе ПК, хотелось что то компактное и производительное и не менее 7 портов.

Поставить логировать всё в сислог, а потом отлавливать проблему конечно заковыристо. А про прошивки… 5.6 я не юзал, но 5.8 у меня работает очень стабильно (как и 5.5 до неё).

Цитата:

что то компактное и производительное и не менее 7 портов

Хм. 493ж вполне 100 Мбит у меня пропускает (если конечно не перестараться с впн-ками и шифрованием).

Цитата:

Хм. 493ж вполне 100 Мбит у меня пропускает (если конечно не перестараться с впн-ками и шифрованием).

с преотизацией трафика, нарезкой скорости, роутинг на несколько внешних каналов, NAT, Firewall?