» MikroTik RouterOS (часть 3)

Ребят как закрыть доступ определнным сайтам на всю сеть? через winbox?

vaniuhaha

Цитата:

как закрыть доступ определнным сайтам

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

Отправлено 28-11-2011 18:19
toxy
подключение к провайдеру - IPoE, т.е. напрямую (DHCP)? или vpn (pptp, pppoe)?


Подключение на прямую DHCP

toxy

Цитата:

Подключение на прямую

тогда просто шлюз надо указывать в формате "адрес%интерфейс"

Добрый день! Поставил микротик 3.22 не работает шейпер, а именно simple queue. Ставлю любой активный ай пи-не считает. В полях target upload и target down стоит yes. Что делать? это глюк?

toxy

Цитата:
Подключение на прямую

тогда просто шлюз надо указывать в формате "адрес%интерфейс"


извиняюсь глупый вопрос

будет выглядеть вот так вот например 192.168.0.1@ether1

так??

23q
не бридж ли? ограничения скорости какие-нибудь указаны?

toxy

Цитата:

например 192.168.0.1@ether1

так??

именно так

подскажите: провайдер дает /29 подсеть адресов по pppoe
если сессию поднимает zyxel от провайдера (запаролен) то ему присваивается на LAN интерфейс первый IP из подсети, я могу прописать остальные 5 IP и все работает.
если поднимаю pppoe сессию с микротика то получаю только 1 IP, как получить 5 IP для клиентов в LAN ?
я получаю только 1 IP и он не x.x.x.129 (это шлюз если использовать zyxel ) а 130

это опять только у меня - не могу посмотреть Changelog для 5.9, показывает только для 5.8 или это у них?

не могу добавить такой маршрут ip route add dst-address=888.888.888.888@ether1, 888.888.888.888@ether2

toxy

Цитата:например 192.168.0.1@ether1

так??

именно так

vlh
да, действительно - на сайте только для 5.8...


Цитата:

What's new in 5.9 (2011-Nov-29 14:32):

*) ssh - fix mempry leak when client uses public key authentication;
*) ppp - added support for new RADIUS attribute MT-Delegated-IPv6-Pool (#22);
*) ntp client - faster initial synchronization;
*) ppp - added support for dhcpv6 pd;
*) wireless - nv2 improvements for 11n cards;
*) hotspot - fixed login page to better handle big load;
*) wireless - change default rate-selection to advanced;
*) snmp - fix simple queue table;
*) webfig - fixed problem were users wihtout sensitive permission could download
senstive files (like backups);
*) webfig - fixed problem were table filters did not work allways as expected;
*) metarouter - fixed problem where local routeros instances did not boot;
*) dhcpv6 - client and server moved to respective /ipv6 dhcp- entry;
*) dhcpv6 server - changed how bindings are defined, users should add
missing static binding information after upgrade;
*) sms - send sms now uses channel from config if it's not specified in the command;

toxy

Цитата:

не могу добавить

а почему? телепаты ж в отпуске... например, нельзя после запятой пробел ставить - он считается разделителем параметров. мало ли чего версию тика не мешало бы упомянуть

Цитата:

я так понимаю у Микротик нет девайсов с процессором выше 800MHz,

Использую 1100AH на 1333мгц пока даволен, ребутов небыло.

Цитата:

Bambastick
Использую 1100AH на 1333мгц пока даволен, ребутов небыло.

еще раз для тех кто не читает форум - что вы используете на этом девайсе (QoS, NAT, Firewall)?
при простой маршрутизации скорее всего так оно и есть.

vlh
Я как-то раньше писал про загрузку тлинстайшн с микротика… логически можно было продолжить, что любой удалённый офис нуждается в стенке, нарезке трафика, впн в центральный офис для ип-телефонии и, естественно, в нате (не у всех есть по белому ип на машину), дшцп + ко всему, у меня с него грузится образ тонкого клиента. Тонких клиентов там — 14 шт. Правил в фв — 29, ната — 3 шт и остального по мелочам. фис грузит канал на 20-40 мбит/сутки. Всё это хозяйство обслуживает один 493ж.

касательно перезагрузки роутербордов для не читающих официальный форум: попробуйте отключить watchdog, они там какую-то багу нашли с ним, исправят в 5.10, пока отключение должно помочь

Добавлено:
только что завершилась наша постоянная рубрика "Минутка дезинформации", по обновлённой информации, watchdog ни при чём - причина в использовании 9 и 10 портов RB1200: http://forum.mikrotik.com/viewtopic.php?p=292452#p292452

либо переключить их в другие дырки, либо ждать 5.10, либо просить пре-релиз 5.10 у суппорта

Цитата:

BigElectricCat
Я как-то раньше писал про загрузку тлинстайшн с микротика… логически можно было продолжить, что любой удалённый офис нуждается в стенке, нарезке трафика, впн в центральный офис для ип-телефонии и, естественно, в нате (не у всех есть по белому ип на машину), дшцп + ко всему, у меня с него грузится образ тонкого клиента. Тонких клиентов там — 14 шт. Правил в фв — 29, ната — 3 шт и остального по мелочам. фис грузит канал на 20-40 мбит/сутки. Всё это хозяйство обслуживает один 493ж.

возможно, у нас 4 внешних канала, NAT, QoS с преотизацией и ограничением скорости трафика на каждом канале, в мангле метятся пакеты а не соединения, клиентов скажем так - много , так же много правил для пере направления разного трафика на разные каналы, внешний канал 120Мбит\с. в часы пик под 100.
1200 на частоте 800 в пике проц 100%, но вроде не притормаживает, хотя думаю, что тормоза есть.



Цитата:

Chupaka
касательно перезагрузки роутербордов для не читающих официальный форум: попробуйте отключить watchdog, они там какую-то багу нашли с ним, исправят в 5.10, пока отключение должно помочь

спасибо проверим, на 800 проработал 23 суток, теперь поставил 1000\400 и отключил watchdog.

P.S.

Цитата:

только что завершилась наша постоянная рубрика "Минутка дезинформации", по обновлённой информации, watchdog ни при чём - причина в использовании 9 и 10 портов RB1200: http://forum.mikrotik.com/viewtopic.php?p=292452#p292452

у меня как раз эти порты используются, а что делать с watchdog, он нужен или можно отключить?

Как поменять вот эту схему (два прова и PCC),
http://wiki.mikrotik.com/wiki/Manual:PCC

чтобы через ОБОИХ провайдеров выставить в интернет 3389 порт одной из машин локалки?


Добавлено:

Нашел ещё одну статью http://aacable.wordpress.com/2011/06/04/mikrotik-4-wan-load-balance-pcc-complete-script-by-zaib/

Могу стартовать с неё, если это лучше.
Самостоятельного понимания у меня маловато (

Но обычный dst-nat через одного прова делаю влёт.

Цитата:

у меня как раз эти порты используются, а что делать с watchdog, он нужен или можно отключить?

RB1200-1 - eth10, eth1 - перезагрузки
RB1200-2 - eth10, eth1 - всё впорядке
RB1200-3 - eth1, eth2 - перезагрузки
Сложно сказать нашли ли ребята проблему. Отписал в суппорт, жду 5.10 - попробую потестировать.

Господа, имеем 2 RB
750 и 1200 связанных IPIP туннелем.
Имеем шифрование IPSEC до обоих концов туннелей:

/ip ipsec proposal add name=aes256 auth-algorithms=sha1 enc-algorithms=aes-256 lifetime=30m pfs-group=modp1024

/ip ipsec policy add src-address=172.20.32.105/32 src-port=any dst-address=172.20.32.106/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=no \
sa-src-address=172.20.32.105 sa-dst-address=172.20.32.106 proposal=aes256 priority=0 comment=TEMP1

/ip ipsec peer add address=172.20.32.106/32 port=500 auth-method=pre-shared-key secret=109086613 generate-policy=no exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-256 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1 comment=TEMP1


/ip ipsec policy add src-address=172.20.32.106/32 src-port=any dst-address=172.20.32.105/32 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=ah-esp tunnel=no \
sa-src-address=172.20.32.106 sa-dst-address=172.20.32.105 proposal=aes256 priority=0 comment=TEMP2

/ip ipsec peer add address=172.20.32.105/32 port=500 auth-method=pre-shared-key secret=109086613 generate-policy=no exchange-mode=main send-initial-contact=yes nat-traversal=no my-id-user-fqdn="" proposal-check=obey hash-algorithm=md5 enc-algorithm=aes-256 dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=disable-dpd dpd-maximum-failures=1 comment=TEMP2

При включении политик пинг возрастает с 3-4мс до 100-200


Пробовал
/ip ipsec proposal add name=des auth-algorithms=sha1 enc-algorithms=des lifetime=30m pfs-group=modp1024

Задержки возрастают до 20-40.

С обоих сторон показывает что процессоры и оперативная память не загружены совсем.

Что можно предпринять?

LevT

Цитата:

Но обычный dst-nat через одного прова делаю влёт

теперь надо сделать через второго прова. всё остальное там уже есть

Доброе время суток,

подскажите как разделить трафик на зарубежный и СНГ на RouterOS 5.9

skynet120
http://wiki.mikrotik.com/wiki/How_to_apply_different_limits_for_Local/Overseas_traffic

подскажите, у меня есть сетка из 5-ти внешних адресов и ресурс который пускает людей только по определенному ip, как сделать так что бы весь трафик от человека и к нему ходил по одному из моих внешних ip и только по нему

skynet120
src-nat/dst-nat для этого человека на определённый адрес

Цитата:

src-nat/dst-nat для этого человека на определённый адрес

что то типа:

General
Chain: dstnat
Src. Address: 95.128.36.91
Protocol: tcp

Action:
Action: dst-nat
To Addresses: 192.168.0.115
To Ports: 0-65535


General
Chain: dstnat
Dst. Address: 95.128.36.91
Protocol: tcp

Action:
Action: dst-nat
To Addresses: 192.168.0.115
To Ports: 0-65535

skynet120
что-то типа

Цитата:

что-то типа

как то не работает

и так, проработал на 1000МHz\400 сутки и ушел в ребут и не вернулся, пришлось питание передергивать.
значит откатываемся на 800 и ждем версии 5.10

странно у меня на рб1200 фирмвара 2.33, os - 5.6 - ребутов нет (аппаратов 2)

Ну как 5.9? у меня на одном РБ шедуллер заклинило, перебил старт дату заработало, других проблем пока не видел, но на радио пока не ставил, жду откликов.