» MikroTik RouterOS (часть 3)

Цитата:

всё получится. надо использовать connection-limit без указания protocol=tcp - и всё будет пучком.

то есть, должно выглядеть так:
chain=forward action=drop src-address-list=net connection-limit=40,32
а что это правило будет резать, принцип его срабатывания?

vlh

Цитата:

то есть, должно выглядеть так:

именно так


Цитата:

а что это правило будет резать

эммм... соединения видимо, наборы "SrcIP:SrcPort - DstIP:Dst-Port" - то, что отображается одной строкой на закладке Connections

Chupaka

Цитата:

эммм... соединения видимо, наборы "SrcIP:SrcPort - DstIP:Dst-Port" - то, что отображается одной строкой на закладке Connections

это где то задокументировано, что если не указывать тип протокола то будет по умолчанию UDP? или резать будет общее количество соединений по всем протоколам? если так то наверное это не правильно, потому как например может оказаться что пройдет 40 соединений по TCP а UDP будет полностью заблокирован или на оборот, что еще хуже.

Добавлено:
попробовал как ты советовал, не указывать протокол и получил как я и предполагал общее ограничение по всем протоколам и естественно хаос, указал явно UDP и получил то что хотел именно количество 'соединений' UDP. в версиях 4 и ниже нельзя было указать протокол UDP.

vlh
да, именно так: что указано, то и ограничивается

Прошу помочь решить следующую проблему: необходимо выставить приоритеты трафика.
Есть терминал Windows , к нему из других подсетей через интернет, по туннелям (ipip) подключаются пользователи (rdp). Если кто-то в подсети за роутером P1 качает по http файл большой из интернета, то работа терминальных пользователей из других подсетей тормозится.
Как сделать так чтобы приоритетным трафиком был трафик терминальных пользователей, трафик из подсетей, чтобы проблем со скоростью работы канала у пользователей из других подсетей не было?

Дайте наивысший приоритет порту 3389, должно помочь

Цитата:

Цитата:
нашёл idego он даже бесплатен до 200 пользователей, никто не пробовал?

idego или ideсo?

да прошу прошения ideco, так же нашёл настройки его но по тунелям, а это совершенное другое, мне нужен dhcp

RB1200.
ROS 5.8
Убрал IPSec туннели.
Настроил SSTP.
Uptime 2d 21h.

Ранее в день по нескольку раз перегружался.
5.10 пока не пробовал.

slech
Уже доступна v5.11
но изменений там мало.
У меня тоже роутер на версии 5.8-5.9 сам перезагружается, откатился на 4.17.

Цитата:

What's new in 5.11 (2011-Dec-12 11:05):

*) hotspot - fixed https login (broken in v5.9);
*) eoip: swap tunnel id bytes to be compatible with previous versions;
*) eoip,gre: fix setting config

Народ, прошу помочь, а то не могу сообразить.
Настроил на RouterOS OpenVPN Server, есть необходимость добавить его как обычный порт для роутера (я так понял это бридж).
Создаю бридж, в профиле OpenVPN указываю что соединения добавлять в бридж (без указания локальной сети).
При таком раскладе у меня пропадает связь с WAN портом, т.е. трафик в интернет не уходит.

Если добавить порт LAN в бридж и соединения OpenVPN, то весь трафик идёт как будто от роутера и скорость соединения в интернет падает.


P.S.
Разобрался с этим косяком, не знаю что повлияло, но получилось.
1. Добавил LAN интерфейс в бридж.
2. Назначил бриджу все IP адреса, которые были у LAN интерфейса и MAC адрес.
3. Поменял во всех правилах, где указано было правило в LAN интерфейс на bridge.


P.P.S.
Косяк опять проявился

AntoshAReal
Используете ли вы порты 9-10 и настроен ли у вас IPSec ?

Добавлено:

Цитата:

Уже доступна v5.11

Это я видел, но заметил что после перевода туннелей на SSTP у меня рутер перестал перегружаться. Пока всё времени небыло обновиться не мешая работе.

Код:
What's new in 5.11 (2011-Dec-12 11:05):

*) hotspot - fixed https login (broken in v5.9);
*) eoip: swap tunnel id bytes to be compatible with previous versions;
*) eoip,gre: fix setting config

What's new in 5.10 (2011-Dec-09 11:49):

*) snmp - provide extended interface statistics when availabe;
*) dhcpv6 client - use link-scoped multicast address;
*) dhcp client - renew dhcp lease on ethernet link up event;
*) ipv6 gre tunnel added (/interface gre6) supports ip and ipv6 encapsulation;
*) ip gre tunnel supports ipv6 encapsulation;
*) allow setting bigger trafflow cache;
*) improved RB1200 stability when using ether9,ether10;
*) fixed RB1200 stability issues when using crypto hardware acceleration;

slech
У меня RB450G, у меня нет столько портов
IPSec использую.

Господа, имеются проблема с WebFig на 5.11

С версии 5.8 там был создан урезанный скин для манагеров, в котором отключены многие не нужные меню.
В 5.11 заходя под манагером эти меню остаются видны.
Если заходишь под админом и делаешь редактировать этот скин то видно что меню отключены.

Кто-нибудь сталкивался?

Добавлено:
И ещё вопрос, что-то не нашел в документации ответа на вскидку.

Есть микротик, есть 2 провайдера. Дефолтов нет, есть только статик роуты до 1 адреса на другой стороне.

1 A S dst-address=109.126.хх.26/32 gateway=91.229.хх.33 gateway-status=91.229.хх.33 reachable ether3 check-gateway=ping distance=1 scope=30 target-scope=10

2 S dst-address=109.126.хх.26/32 gateway=82.162.хх.73 gateway-status=82.162.хх.73 reachable ether2 check-gateway=ping distance=2 scope=30 target-scope=10

Как видим статик до адреса =109.126.хх.26 первый активен второй нет.

Через каждого из провов до 109.126.хх.26 построен туннель.
Теоретически, если до адреса назначения есть более 1го маршрута, то маршруты выбирается исходя из dinstance. Следуя этой логике, туннель через прова gateway=82.162.хх.7 не должен работать.
НО оба туннеля подняты.
Как в этой ситуации работает микротик?
Туннели IPIP.

Спасибо.

Комрады, нужна ваша помощь! Первый раз имею дело с Микротиком...


Настроил разные скоростные лимиты для локального и внешнего трафика. По статье из вики

Все отлично работает, но стоить настроить прозрачный прокси:

chain=dstnat action=redirect to-ports=3128 protocol=tcp src-address=192.168.100.0/24 in-interface=lan dst-port=80


Как все ограничения скорости перестают работать.


Подскажите в какую сторону копать.

sumyst

Цитата:

Через каждого из провов до 109.126.хх.26 построен туннель.
Теоретически, если до адреса назначения есть более 1го маршрута, то маршруты выбирается исходя из dinstance. Следуя этой логике, туннель через прова gateway=82.162.хх.7 не должен работать.
НО оба туннеля подняты.
Как в этой ситуации работает микротик?

я так понимаю, оба тоннеля поднимаются через один аплинк - что в этом странного?

Fabluchio

Цитата:

Все отлично работает, но стоить настроить прозрачный прокси:

chain=dstnat action=redirect to-ports=3128 protocol=tcp src-address=192.168.100.0/24 in-interface=lan dst-port=80

Как все ограничения скорости перестают работать.

копать в сторону пометки трафика пользователей не только в forward, но и в input/output, поскольку без прокси трафик проходит сквозь роутер, а с проксей трафик от пользователя идёт до прокси и обратно, а в Интернет прокся уже лезет самостоятельно, независимо от пользователя

ros 5.9.
настроил APR таблицу. IP+mac.
Интересуют настройки ether3:
/ip dhcp-server
add address-pool=dhcp_pool3 authoritative=after-2sec-delay bootp-support=\
static disabled=no interface=ether5 lease-time=3d name=dhcp2
add add-arp=yes address-pool=dhcp_pool5 authoritative=after-2sec-delay \
bootp-support=static disabled=no interface=ether3 lease-time=3d name=\
dhcp1
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server lease
add address=10.10.0.40 disabled=no mac-address=E0:2A:82:58:E4:04 server=dhcp1
Я так понимаю, при включенной таблице APR, DHCP должен автоматически раздавать IP согласно списку в APR???. Динамически присваевает другой адрес, если в правилах lease прописать статику, тогда все норм.
Придется весь список вручную переписывать на статику? Пока их всего 30.


[@MikroTik] /ip dhcp-server lease> print
Flags: X - disabled, R - radius, D - dynamic, B - blocked
# ADDRESS MAC-ADDRESS HO SER.. RA
0 10.10.0.40 E0:2A:82:58:E4:04 dhcp1
1 D 10.10.0.60 00:13:77:BD:90:3E ra dhcp1

ramzes83

Цитата:

DHCP должен автоматически раздавать IP согласно списку в APR???.

нет. максимум - DHCP может добавлять записи в статическую ARP-таблицу при выдаче адреса. DHCP-сервер ориентируется только на Leases

Chupaka
значит я неверно понял значение параметра APR в DHCP.
Еще пара глупых вопросов.
Как открыть доступ к роутеру из вне (winbox/http)?
И ни как не получается настроить DDNS. Пробовал по ссылке и еще 5 разных вариантов. Провайдер Корбина. Дома на Keenetik работает без проблем, а на микротике пока безуспешно...
Там ведь меняется всего 3 параметра? 4 - интерфейс. Верно?
Еще. У меня сеть имеет вид.
провайдер - rb450 - sxt - sxt - lan.
Когда включал прозрачный прокси на rb450, то внутренние IP палились из вне. А если прозрачный прокси повесить на одном из SXT?? Должно все чисто заработать? и блокировка,и один адрес извне?

ramzes83
Приведённый скрипт у меня не работает, так же как и в вики, немного переделал и получил это:


Код:
/system script
add name=dyndns_update policy=\
ftp,reboot,read,write,policy,test,winbox,sniff,sensitive source="# Set nee\
ded variables\r\
\n:local username \"логин\"\r\
\n:local password \"пароль\"\r\
\n:local hostname \"nohostset\"\r\
\n:global systemname [/system identity get name]\r\
\n\r\
\n:if (\$systemname = \"MikroTik\" ) do= {\r\
\n:set hostname \"имя.dyndns.org,имя.homeip.net\"\r\
\n}\r\
\n\r\
\n\r\
\n:global dyndnsForce\r\
\n:global previousIP\r\
\n\r\
\n# print some debug info\r\
\n## :log info (\"UpdateDynDNS: username = \$username\")\r\
\n## :log info (\"UpdateDynDNS: password = \$password\")\r\
\n## :log info (\"UpdateDynDNS: hostname = \$hostname\")\r\
\n## :log info (\"UpdateDynDNS: previousIP = \$previousIP\")\r\
\n\r\
\n# get the current IP address from the internet (in case of double-nat)\r\
\n/tool fetch mode=http address=\"checkip.dyndns.org\" src-path=\"/\" dst-\
path=\"/dyndns.checkip.html\"\r\
\n:local result [/file get dyndns.checkip.html contents]\r\
\n\r\
\n# parse the current IP result\r\
\n:local resultLen [:len \$result]\r\
\n:local startLoc [:find \$result \": \" -1]\r\
\n:set startLoc (\$startLoc + 2)\r\
\n:local endLoc [:find \$result \"</body>\" -1]\r\
\n:local currentIP [:pick \$result \$startLoc \$endLoc]\r\
\n## :log info \"UpdateDynDNS: currentIP = \$currentIP\"\r\
\n\r\
\n# Remove the # on next line to force an update every single time - usefu\
l for debugging,\r\
\n# but you could end up getting blacklisted by DynDNS!\r\
\n\r\
\n#:set dyndnsForce true\r\
\n\r\
\n# Determine if dyndns update is needed\r\
\n# more dyndns updater request details available at http://www.dyndns.com\
/developers/specs/syntax.html\r\
\n:if ((\$currentIP != \$previousIP) || (\$dyndnsForce = true)) do={\r\
\n :set dyndnsForce false\r\
\n :set previousIP \$currentIP\r\
\n /tool fetch user=\$username password=\$password mode=http address=\"\
members.dyndns.org\" src-path=\"/nic/update\?hostname=\$hostname&myip=\$cu\
rrentIP\" dst-path=\"/dyndns.txt\"\r\
\n :local result [/file get dyndns.txt contents]\r\
\n## :log info (\"UpdateDynDNS: Dyndns update needed\")\r\
\n :log info (\"UpdateDynDNS: Dyndns Update Result: \".\$result)\r\
\n :put (\"Dyndns Update Result: \".\$result)\r\
\n} else={\r\
\n## :log info (\"UpdateDynDNS: No dyndns update needed\")\r\
\n}"

AntoshAReal
я конечно дико извиняюсь, но со скриптами столкнулся первый раз. #

ramzes83
Эээ, прошу прощения, думал Вы в теме.
Открывайте терминал и туда весь текст вставляете, ничего не удаляя.
Он сам добавится туда, куда нужно и поставит нужные права на запуск и работу.
После того, как он поместиться в скрипты и шедулер можно править, хотя править можно и до внесения.

AntoshAReal
пробовал так. не катит. ошибки на слеше выдает #

ramzes83


Код:
# Set needed variables
:local username "логин"
:local password "пароль"
:local hostname "nohostset"
:global systemname [/system identity get name]

:if ($systemname = "MikroTik" ) do= {
:set hostname "имя.dyndns.org,имя.homeip.net"
}


:global dyndnsForce
:global previousIP

# print some debug info
## :log info ("UpdateDynDNS: username = $username")
## :log info ("UpdateDynDNS: password = $password")
## :log info ("UpdateDynDNS: hostname = $hostname")
## :log info ("UpdateDynDNS: previousIP = $previousIP")

# get the current IP address from the internet (in case of double-nat)
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:local result [/file get dyndns.checkip.html contents]

# parse the current IP result
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "</body>" -1]
:local currentIP [:pick $result $startLoc $endLoc]
## :log info "UpdateDynDNS: currentIP = $currentIP"

# Remove the # on next line to force an update every single time - useful for debugging,
# but you could end up getting blacklisted by DynDNS!

#:set dyndnsForce true

# Determine if dyndns update is needed
# more dyndns updater request details available at http://www.dyndns.com/developers/specs/syntax.html
:if (($currentIP != $previousIP) || ($dyndnsForce = true)) do={
:set dyndnsForce false
:set previousIP $currentIP
/tool fetch user=$username password=$password mode=http address="members.dyndns.org" src-path="/nic/update?hostname=$hostname&myip=$currentIP" dst-path="/dyndns.txt"
:local result [/file get dyndns.txt contents]
## :log info ("UpdateDynDNS: Dyndns update needed")
:log info ("UpdateDynDNS: Dyndns Update Result: ".$result)
:put ("Dyndns Update Result: ".$result)
} else={
## :log info ("UpdateDynDNS: No dyndns update needed")
}

И хоть мне никто не ответил, может кому будет полезна инфа.
НИРАБОТАЕТ ТОЛКОМ МУЛЬТИЯДЕРНОСТЬ В МИКРОТИКЕ.
отключаю второе ядро - работает стабильно, включаю - пол дня и висяк.
прискорбно.
учтите

и это, вы тут dyndns обсуждаете, а для no-ip такое есть?

Chupaka ну в теории они не могут в принципе подниматься через один аплинк, т.к. при поднятии IPIP туннеля указывается SRC DST.
Тоесть по второму маршруту DST не должно быть доступно с хоста 109.126.хх.26.

Хотя...
Даже не так. Пакеты с SRC резервного провайдера не должны улетать. Т.к. имеются 2 пути до одной точки но резвервный с дистанс =2 и не активен в принципе.
Сдается мне что Микротик как-то по своему понимает distance.

Цитата:

И хоть мне никто не ответил, может кому будет полезна инфа.
НИРАБОТАЕТ ТОЛКОМ МУЛЬТИЯДЕРНОСТЬ В МИКРОТИКЕ.
отключаю второе ядро - работает стабильно, включаю - пол дня и висяк.
прискорбно.

Использую 6ти ядерный процессор, не виснет. При отключении многоядерности не вытягивает и трети нагрузки которую держит при мультиядерности.

Единственная беда то что с версии 5,9 начал грузиться больше процессор на 30%, написал в потдержку, но пока ничего внятного не ответили. Так что пока версию 5,8 использую

Как управлять маршрутизатором (Mikrotik RB750) удалённо через Интернет?

Есть небольшая сеть, с выходом в Интернет через указанный маршрутизатор. Провайдер выдаёт динамический IP, но это не проблема - текущий IP можно узнать просто позвонив одному из пользователей с просьбой зайти на соответствующий сервис в Интернете.

Как получить доступ к маршрутизатору извне по IP-адресу? Чем подключаться: Winbox или Webfig?

A N D R E J
сам только вчера узнал как правильно делать.
IP узнавать у пользователей, или лучше настроить DDNS с помощью скрипта 5 постов выше. Всегда будет прямой доступ.
Для винбокса поставить первым правило
/ip firewall filter
add action=accept chain=input disabled=no dst-port=8291 protocol=tcp
веб лучше не использовать. и не забыть про смену имени пользователя и хороший пароль.

ramzes83
Читал про SSH и SNMP но толком ничего не понял. Эти технологии тоже как-то относятся к удалённому управлению?

Помогите пожалуйста разобраться,как Микротик режет скорость клиентам.
В конторе стоит Микротик 4 на компе.Домен.
Какие-то сайты закрыты,какие-то открыты.VPN. PPTP.
Со всем этим боле-менее разобрался. Но вот чего никак не пойму, как резать определенному компу скорость. Подскажите пожалуйста как это сделать в Winbox.

M1chA, смотри раздел Queue (очереди) - все возможности по управлению скоростями там.