Троль какой-та.
» MikroTik RouterOS (часть 3)
RAZORblade
goblin )))
goblin )))
RAZORblade
Цитата:
если мы про терминал, то "target-addresses=1.2.3.6,1.2.3.7" - через запятую
если в винбоксе, то надо просто справа, где стрелочки "вверх-вниз", нажать стрелку "вниз" - откроется поле для второго адреса
небольшая традиционная страничка "говорим правильно": "queues" читается как "кьюз"
Цитата:
запятая - катит. точка с запятой - не катит
GOGA2604
Цитата:
ставшая уже традиционной страничка "обратимся к мануалу" "тыкните лицом в мануал тех, кто ленится открыть его сам": http://wiki.mikrotik.com/wiki/Manual:Netinstall
Цитата:
Как задать в симпл куоритис 2 адреса подрят, какой правельный синтаксис?
если мы про терминал, то "target-addresses=1.2.3.6,1.2.3.7" - через запятую
если в винбоксе, то надо просто справа, где стрелочки "вверх-вниз", нажать стрелку "вниз" - откроется поле для второго адреса
небольшая традиционная страничка "говорим правильно": "queues" читается как "кьюз"
Цитата:
запятая и точка с запятой не катит?
запятая - катит. точка с запятой - не катит
GOGA2604
Цитата:
Что такое NetInstall' ????
ставшая уже традиционной страничка "обратимся к мануалу" "тыкните лицом в мануал тех, кто ленится открыть его сам": http://wiki.mikrotik.com/wiki/Manual:Netinstall
Мой вопрос про arpwatch остался незамеченным 
Тогда расширенный вопрос:
Есть dhcp сервер с прописанными соответствиями mac->ip. Как банить тех у кого ip не совпадает с mac?
Тогда расширенный вопрос:
Есть dhcp сервер с прописанными соответствиями mac->ip. Как банить тех у кого ip не совпадает с mac?
jfx еще не закончил сбор всех своих клиентов, но похоже это: всех в APR, и в интерфейсе включить APR в reply-only
Chupaka
все понял, большое спасибо!
все понял, большое спасибо!
ramzes83
идея правильная, но...
ARP, ARP, ARP!.. Address Resolution Protocol
идея правильная, но...
ARP, ARP, ARP!.. Address Resolution Protocol
народ кто знает подскажите плиз.
есть железка с микротиком.
в наличии имею провайдера с авторизацией по 802.1х (md5 который). после авторизации получаю айпи и все прочее.
Как уговорить микротик авторизоваться? версия 3.30 и 5.11.
Заранее спасибо.
есть железка с микротиком.
в наличии имею провайдера с авторизацией по 802.1х (md5 который). после авторизации получаю айпи и все прочее.
Как уговорить микротик авторизоваться? версия 3.30 и 5.11.
Заранее спасибо.
Цитата:
Цитата:
Что такое NetInstall' ????
ставшая уже традиционной страничка "обратимся к мануалу" "тыкните лицом в мануал тех, кто ленится открыть его сам": http://wiki.mikrotik.com/wiki/Manual:Netinstall
разобрался, поставил но зависает при запуске ((( до надписи Mikrotik не доходит, при установке по сети виснет через 15 сек ((( кто нить ставил микротик на NET4511 ???
Всем привет.
Подскажите пожалуйста L2TP+IpSec.
Настроил все один в один как http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=880
Открыл в filter rule - input порт udp 500, ipsec-esp, ipsec-ah.
Не хочет подключаться, в логах одно и тоже пишит: first l2tp udp packet received from
Подскажите пожалуйста L2TP+IpSec.
Настроил все один в один как http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=880
Открыл в filter rule - input порт udp 500, ipsec-esp, ipsec-ah.
Не хочет подключаться, в логах одно и тоже пишит: first l2tp udp packet received from
Цитата:
народ кто знает подскажите плиз.
есть железка с микротиком.
в наличии имею провайдера с авторизацией по 802.1х (md5 который). после авторизации получаю айпи и все прочее.
Как уговорить микротик авторизоваться? версия 3.30 и 5.11.
Заранее спасибо.
НЕужели ни у кого идей нет как это реализовать ? ПЛИЗ ОЧЕНЬ НАДО
Ребят, а как в группу несолько ip адрессов добавить?
Цитата:
Ребят, а как в группу несолько ip адрессов добавить?
Создать несколько групп с одинаковым названием но разными адресами.
Люди подскажите пожалуйста почему когда подключаю гигабитную сетевую карту (Intel) микротика к порту гигабитного свича (свич неуправляемый гигабитный Ruby Tech) в микротике на этом интерфейсе показывает 100 мб и на сетевой карте горит зеленый светодиод (100 мб)? Кабель на гигабит(все пары задействованы).
Chupaka, а подскажи если знаешь, какой самый правильный способ ограничения пропускной способности IPIP туннеля?
Добавлено:
Chupaka и ещё очень важный вопрос по OSPF
Что-то прочтя документацию я не понял как правильно сделать межобластное суммирование.
Схема такая
RouterA ---- RouterB
У каждого своя Area через которую к каждому подключена вязанка роутеров.
A c B обмениваются через 0
Нужно что бы А с B обменивались суммарными маршрутами.
На А сделал следующее
[admin@1200_GW01_1] > routing ospf area range print detail
Flags: X - disabled
0 X area=backbone range=10.0.0.0/19 cost=calculated advertise=yes
1 X area=VL range=10.4.224.0/19 cost=calculated advertise=yes
[admin@VL_1200_GW01_1] > routing ospf instance print detail
Flags: X - disabled
0 name="default" router-id=255.255.255.1 distribute-default=never
redistribute-connected=no redistribute-static=no
redistribute-rip=no redistribute-bgp=no
redistribute-other-ospf=no metric-default=1
metric-connected=20 metric-static=20 metric-rip=20
metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in
out-filter=ospf-out
1 name="VL" router-id=200.0.1.1 distribute-default=always-as-type-1
redistribute-connected=as-type-1 redistribute-static=as-type-1
redistribute-rip=no redistribute-bgp=no
redistribute-other-ospf=no metric-default=1 metric-connected=20
metric-static=20 metric-rip=20 metric-bgp=auto
metric-other-ospf=auto in-filter=ospf-in out-filter=ospf-out
На B зеркально.
Маршруты друг-друга роутеры не видят.
Как только меняю в дефолтном инстансе
redistribute-other-ospf=no на redistribute-other-ospf=at-type-1
Роутер B начинает видеть Все сети за A но не суммированные.
Подскажите куда копать?
Добавлено:
Chupaka и ещё очень важный вопрос по OSPF
Что-то прочтя документацию я не понял как правильно сделать межобластное суммирование.
Схема такая
RouterA ---- RouterB
У каждого своя Area через которую к каждому подключена вязанка роутеров.
A c B обмениваются через 0
Нужно что бы А с B обменивались суммарными маршрутами.
На А сделал следующее
[admin@1200_GW01_1] > routing ospf area range print detail
Flags: X - disabled
0 X area=backbone range=10.0.0.0/19 cost=calculated advertise=yes
1 X area=VL range=10.4.224.0/19 cost=calculated advertise=yes
[admin@VL_1200_GW01_1] > routing ospf instance print detail
Flags: X - disabled
0 name="default" router-id=255.255.255.1 distribute-default=never
redistribute-connected=no redistribute-static=no
redistribute-rip=no redistribute-bgp=no
redistribute-other-ospf=no metric-default=1
metric-connected=20 metric-static=20 metric-rip=20
metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in
out-filter=ospf-out
1 name="VL" router-id=200.0.1.1 distribute-default=always-as-type-1
redistribute-connected=as-type-1 redistribute-static=as-type-1
redistribute-rip=no redistribute-bgp=no
redistribute-other-ospf=no metric-default=1 metric-connected=20
metric-static=20 metric-rip=20 metric-bgp=auto
metric-other-ospf=auto in-filter=ospf-in out-filter=ospf-out
На B зеркально.
Маршруты друг-друга роутеры не видят.
Как только меняю в дефолтном инстансе
redistribute-other-ospf=no на redistribute-other-ospf=at-type-1
Роутер B начинает видеть Все сети за A но не суммированные.
Подскажите куда копать?
wwwwwww7
Зайди в свойства нужного интерфейса и выставь speed 1Gb.
Зайди в свойства нужного интерфейса и выставь speed 1Gb.
sumyst
спасибо, просто как-то не логично
спасибо, просто как-то не логично
jfx
Цитата:
Надо наоборот - пускать только тех, у кого пара IP-MAC совпадает. В firewall`е создаешь правила типа forward с нужными параметрами Src. Address и Src. MAC Address. Сколько пользователей столько и правил будет.
Цитата:
Есть dhcp сервер с прописанными соответствиями mac->ip. Как банить тех у кого ip не совпадает с mac?
Надо наоборот - пускать только тех, у кого пара IP-MAC совпадает. В firewall`е создаешь правила типа forward с нужными параметрами Src. Address и Src. MAC Address. Сколько пользователей столько и правил будет.
A N D R E J
А не проще на группу создать правило? 1 правило на всю группу. хоть на 100 компов.
src-address-list=USER
dst-address-list=USER
А не проще на группу создать правило? 1 правило на всю группу. хоть на 100 компов.
src-address-list=USER
dst-address-list=USER
ramzes83
Цитата:
Спасибо, то что нужно.
Цитата:
всех в APR, и в интерфейсе включить APR в reply-only
Спасибо, то что нужно.
ramzes83, как с помощью групп "привязать" IP-адрес выданный каждому конкретному пользователю к его MAC-адресу?
sumyst
я так понимаю, суммирование делается ручками и через фильтры
Ссылка
Цитата:
а суммированные появляются на роутере? они должны автоматом добавляться в таблицу маршрутов как unreachable
я так понимаю, суммирование делается ручками и через фильтры
Ссылка
Цитата:
Роутер B начинает видеть Все сети за A но не суммированные.
а суммированные появляются на роутере? они должны автоматом добавляться в таблицу маршрутов как unreachable
Ты немного недопонял.
обясняю подробнее:
Сеть 10.0.2.0/23 - РоутерА1 -- OSPF (AreaA) -РоутерА ---OSPF(backbone)-- РоутерБ -- OSPF(AreaB)--РоутерБ1
на роутере Б и Б1 должны знать только о /24х битном куске
Тоесть как видно из хемы, Роутер А уже знает об этой сети по ОСПФ
если я добавлю какой то статик, да ещё и с гейтом, то пакеты будут уходить явно не туда.
обясняю подробнее:
Сеть 10.0.2.0/23 - РоутерА1 -- OSPF (AreaA) -РоутерА ---OSPF(backbone)-- РоутерБ -- OSPF(AreaB)--РоутерБ1
на роутере Б и Б1 должны знать только о /24х битном куске
Тоесть как видно из хемы, Роутер А уже знает об этой сети по ОСПФ
если я добавлю какой то статик, да ещё и с гейтом, то пакеты будут уходить явно не туда.
Цитата:
пытаюсь сделать так:
area=backbone range=10.0.3.0/24 cost=calculated advertise=yes
на роутере Б этой сети не появляется.
так и не должно - появится только тогда, когда в этой area будет ospf-роут из данной подсети...
Цитата:
Созадю роут
dst-address=10.0.3.0/24 type=blackhole distance=254
видимо, вместо "type=blackhole" надо "gateway=A" - другого пути я сильно не вижу...
Блин вместо добавить сообщение нажал "отредактировать"
Сообщение выше.
Сообщение выше.
о какой именно сети знает РоутерА? если /24 - то только её и анонсировать, а /23 зафильтровать. если мельче - то добавить /24 type=unreachable, её анонсировать, остальное зафильтровать. если крупнее - то /24 надо добавить с правильным гейтвеем, и далее по накатанной
Цитата:
о какой именно сети знает РоутерА? если /24 - то только её и анонсировать, а /23 зафильтровать. если мельче - то добавить /24 type=unreachable, её анонсировать, остальное зафильтровать. если крупнее - то /24 надо добавить с правильным гейтвеем, и далее по накатанной
Роутер А знает о сети 10.0.2.0/23
А вот роутер Б должен знать только о сети 10.0.3.0/24.
Добавить статиком с правильным гейтом мне кажется выход несколько неправельный. Т.К от роутера сети 10.0.2.0 до роутера А может быть несколько разных динамических маршрутов.
Там почти полносвязная на уровне l3 сеть и маршрутизация распространяется динамически в зависимости от...
Так что на мой взгляд самым верным было бы фильтровать исходящие именно с роутера А. Ну или каким то образом заставить роутер А суммировать в отрицательную сторону и анонсировать сеть меньшей чем она есть на самом деле.
Цитата:
Роутер А знает о сети 10.0.2.0/23
точно только о ней? ничего мельче нет?
Цитата:
Так что на мой взгляд самым верным было бы фильтровать исходящие именно с роутера А
угу, только надо где-то "родить" сетку /24. я вообще слабо представляю, в какой структуре сети может появиться необходимость таких шаманских анонсов, поэтому не могу комментировать, где именно это лучше сделать...
з.ы. а если добавить BGP с единственным этим маршрутов - и сделать Redistribute BGP Routes? xD
A N D R E J
IP привязывается к MAC в ARP таблице.затем
Цитата:
а разрешающее правило для выхода ip в инет создавать не на каждый отдельный адрес, а на группу, в которую предварительно будут помещены твои ip (ip-firewall-Address List)
Chupaka
У меня небольшая проблема. Рулить торрент клиентом через инет.
µTorrent. для него получается следующее http://127.0.0.1:50/gui/
add action=dst-nat chain=dstnat comment="" disabled=no \
dst-port=50 protocol=tcp to-addresses=10.10.0.80
но без ввода /gui/ даже в локалке не подключается.. Как это организовать?
подключаюсь http://ip.mikrotik:50/
Скорее всего что-то не так делаю, так как аналогично не могу открыть доступ к вебкамере...
add action=dst-nat chain=dstnat disabled=no dst-port=81 protocol=tcp \ to-addresses=10.10.0.81 to-ports=80
подключаюсь http://ip.mikrotik:81/
В фаерволе никаких запрещающих правил нет (только эти)
IP привязывается к MAC в ARP таблице.затем
Цитата:
в интерфейсе включить APR в reply-only
а разрешающее правило для выхода ip в инет создавать не на каждый отдельный адрес, а на группу, в которую предварительно будут помещены твои ip (ip-firewall-Address List)
Chupaka
У меня небольшая проблема. Рулить торрент клиентом через инет.
µTorrent. для него получается следующее http://127.0.0.1:50/gui/
add action=dst-nat chain=dstnat comment="" disabled=no \
dst-port=50 protocol=tcp to-addresses=10.10.0.80
но без ввода /gui/ даже в локалке не подключается.. Как это организовать?
подключаюсь http://ip.mikrotik:50/
Скорее всего что-то не так делаю, так как аналогично не могу открыть доступ к вебкамере...
add action=dst-nat chain=dstnat disabled=no dst-port=81 protocol=tcp \ to-addresses=10.10.0.81 to-ports=80
подключаюсь http://ip.mikrotik:81/
В фаерволе никаких запрещающих правил нет (только эти)
Demon
выставлял, делал ребут, но в status пишет 100мб и светодиод зеленый на 100мб.
выставлял, делал ребут, но в status пишет 100мб и светодиод зеленый на 100мб.
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.