Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Вам накидали кучу решений и все они имеют место работать.

     
    А не затруднит кого-нибудь пояснить, почему все эти правила, в которых указано protocol=tcp, должны сработать, когда браузер подключится к Ютупу не по HTTPS, а по более современному протоколу QUIC?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:36 12-03-2023 | Исправлено: Chupaka, 17:41 12-03-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Пока что браузеры по умолчанию не поддерживают и будут ли поддерживать по воде вилами писано.
    Создать дополнительно правило по UDP протоколу потом можна.
    На сегоднешний день блокировка срабатывает отлично.
    Решать проблемы по мере их поступления.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 20:07 12-03-2023 | Исправлено: alexnov66, 20:21 12-03-2023
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka

    Цитата:
    А не затруднит кого-нибудь пояснить, почему все эти правила, в которых указано protocol=tcp, должны сработать, когда браузер подключится к Ютупу не по HTTPS

    Первое правило сисадмина - работает, не трожь. Тем не менее, правила работают. Даже телек Samsung уходит в ребут (комп пока нет )), когда запускаю Ютуб.
    alexnov66
    Цитата:
    Пока что браузеры по умолчанию не поддерживают и будут ли поддерживать по воде вилами писано.
     

    Всецело поддерживаю.

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 10:18 13-03-2023
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Пока что браузеры по умолчанию не поддерживают и будут ли поддерживать по воде вилами писано.

    Ну, я сначала открыл Ютуп в браузере, потом в Torch увидел много интерактивных трафиков по протоколу UDP на порт 443 - и лишь после этого задал вопрос. А ещё в Интернетиках по состоянию на прошлый год говорили, что "QUIC is currently enabled by default in the Chromium-based internet browsers", а их, говорят, немало у пользователей...

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:21 13-03-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    У меня нет браузера Chromium и устанавливать нет желания, проверить с него не могу, думаю правило дополнительно на UDP протокол решит проблему.
     
    Добавлено:
    HERSOFT

    Цитата:
    Даже телек Samsung уходит в ребут (комп пока нет ))

    Попробуйте запретить протокол UDP к портам сайта 80,443, у меня работает блокировка.

    Код:
    /ip firewall filter
    add action=reject chain=forward comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \F1\E0\E9\F2 youtube.com" dst-port=443 protocol=tcp reject-with=icmp-network-unreachable src-address=192.168.0.2 tls-host=*.youtube.com
    add action=reject chain=forward comment="\C1\EB\EE\EA\E8\F0\F3\E5\EC \F1\E0\E9\F2 youtube.com" dst-port=80,443 protocol=udp reject-with=icmp-network-unreachable src-address=192.168.0.2

    если по протоколу TCP не будет блокировать то правило второе сработает, нечего шастать по другим протоколам.
    Лучше наверное прописать конкретно в tls-host а не с звёздочкой, однокласники с звёздочкой не срабатывает а только конкретно прописано ok.ru
    Единственный минус один сайт одно правило, думаю разработчики поработают над этим что бы можно было через запятую добавлять в одно правило.
     

    Код:
    /ip firewall filter
    add action=reject chain=forward comment="" dst-port=443 protocol=tcp reject-with=icmp-network-unreachable src-address=192.168.0.2 tls-host=www.youtube.com
    add action=reject chain=forward comment="" dst-port=443 protocol=tcp reject-with=icmp-network-unreachable src-address=192.168.0.2 tls-host=ok.ru
    add action=reject chain=forward comment="" dst-port=443 protocol=tcp reject-with=icmp-network-unreachable src-address=192.168.0.2 tls-host=vk.com
    add action=reject chain=forward comment="" dst-port=80,443 protocol=udp reject-with=icmp-network-unreachable src-address=192.168.0.2

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 14:47 13-03-2023 | Исправлено: alexnov66, 17:31 13-03-2023
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
    Попробуйте запретить протокол UDP к портам сайта 80,443, у меня работает блокировка.

    Мне не надо запрещать. У меня всё пашет как часики. Это я испытывал Ваши и свои правила на блокировку по просьбе о помощи для kisssumy.
    Chupaka

    Цитата:
    что "QUIC is currently enabled by default in the Chromium-based internet browsers", а их, говорят, немало у пользователей...

    У меня он стоит ради прикола с поддержкой ГОСТа (иногда надо по работе по всяким госсайтам шарохаться с ЭЦП. В нём тоже всё прекрасно блокировалось любым из правил. Даже видео выкладывал.

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 20:10 13-03-2023 | Исправлено: HERSOFT, 20:11 13-03-2023
    Maxlinus



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    всем привет,  
    дайте конфиг с примером заворачивания нужного трафика в VPN на прошивке routerboard 7

    Всего записей: 251 | Зарегистр. 06-12-2011 | Отправлено: 04:46 22-03-2023 | Исправлено: Maxlinus, 04:51 22-03-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Здравствуйте! Имеется 25 сетевыъ правил, хочу их перенести, https://prnt.sc/vuVX2VgxRMyE пример.
    Подскажите как такое упростить?  
    Имеется физический сервер подключенный 1 кабелем к микротику, и внутри 3 виртуалки.  
    Разобрался) #
     
    notepad++ рулит  

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 13:02 28-04-2023 | Исправлено: b7music, 14:01 28-04-2023
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    b7music

    Цитата:
    Разобрался)

    Если вам не нужна статистика по каждому порту и порт не меняется - то можно указывать в одном правиле много всего, например: "dst-port=80,443,10232-10246", и убрать to-port

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:10 02-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
    Можно заменить одним правилом, в правиле есть ограничение в 15 портов, больше 15 портов в правиле указать не получится.
    Также с UDP портами, это уменьшит нагрузку на микротике

    Код:
     
    /ip firewall nat add chain=dstnat dst-port=5060,10232-10258 in-interface=Dom.ru action=dst-nat protocol=tcp to-address=192.168.2.5
    /ip firewall nat add chain=dstnat dst-port=5060,10232-10258 in-interface=Dom.ru action=dst-nat protocol=udp to-address=192.168.2.5
     

    Если используются только tcp протокол то не стоит пробрасывать еще и udp
    Лучше после микротика прокси на nginx а он уже будет перекидывать по именам на определённый сервер.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 05:34 02-05-2023 | Исправлено: alexnov66, 06:20 02-05-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Всем привет. Столкнулся с такой проблемой.  
    Есть микротик с поднятым l2tp.
     
    Есть зуксель(192.168.1.1), который в качестве клиента подключается к микротику (192.168.2.1) и получает от него адрес 192.168.2.250
    По итогу, сидя за заукселем я вижу устройства в сети микротика, а наоборот нет. Не пингует мое устройство(192.168.1.45).
     
    tracert с микротика на зуксель
     

    Код:
     
    Трассировка маршрута к 192.168.1.45 с максимальным числом прыжков 30
     
      1    <1 мс    <1 мс     1 ms  192.168.2.1
      2    81 ms    81 ms    81 ms  192.168.2.250
      3     *        *        *     Превышен интервал ожидания для запроса.
      4     *        *        *     Превышен интервал ожидания для запроса.
     

    и с зуксель на микротик
     

    Код:
     
    Трассировка маршрута к TERMINAL [192.168.2.5]
    с максимальным числом прыжков 30:
     
      1    <1 мс    <1 мс    <1 мс  192.168.1.1
      2    82 ms    82 ms    83 ms  192.168.2.1
      3    83 ms    82 ms    82 ms  TERMINAL [192.168.2.5]
     

    Здесь ip 192.168.2.250 это vpn адрес зукселя, который он получил от микротика по dhcp.
     
     
    В то же время пинг с микротика на сам зуксель, а не на устройство в его сети

    Код:
     
    C:\Users\Администратор.DC>ping 192.168.1.1
     
    Обмен пакетами с 192.168.1.1 по с 32 байтами данных:
    Ответ от 192.168.1.1: число байт=32 время=81мс TTL=63
    Ответ от 192.168.1.1: число байт=32 время=81мс TTL=63
    Ответ от 192.168.1.1: число байт=32 время=81мс TTL=63
    Ответ от 192.168.1.1: число байт=32 время=81мс TTL=63
     

    Подскажите в какую сторону смотреть?
     
     
     

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 10:35 06-05-2023 | Исправлено: b7music, 10:37 06-05-2023
    Demon

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
     
    Устройство 192.168.1.45 ничего не знает о сети 192.168.2.0/24 и шлет пакеты на шлюз по умолчанию, который у Вас не 192.168.1.1. Либо меняйте шлюз, либо прописывайте дополнительные маршруты.

    Всего записей: 583 | Зарегистр. 03-10-2001 | Отправлено: 11:17 06-05-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Как раз у устройства 192.168.1.45 шлюз по умолчанию 192.168.1.1
     
    Я из этой сети вижу сеть и устройства которые в 192.168.2.0/24 а вот наоборот нет.
     
    В зукселе маршрут до сети 192.168.2.0 построен. Видимо, нужно как-то ему указать, что входящие пакеты слать на мой основной текущий шлюз?  
    В микротике я указал ip который он сам ему и выдал по vpn 192.168.2.250
    но не работает( Зухель не принимает пакеты с адреса по vpn 192.168.2.250 который получил? Каким образом прописать такой маршрут?
    далее за зухелем дело или за микротом?
     
    На скрине адрес 247 но это не влияет ни на что)  
    https://prnt.sc/v7mcAmVyGkGI

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 11:27 06-05-2023 | Исправлено: b7music, 12:01 06-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
    Плохая практика выдавать ip адрес маршрутизатору из той же сети, выдаётся клиентам, компьютерам, телефонам, маршрутизаторы соеденять подсетью отличной от сетей за обееми роутерами, маршруты должны быть прописаны к противоположной сети на обоих роутерах, так же в фаере должен быть разрешон трафик к сетям.
    На интерфейсе внутренней сети микротика должен быть параметр прокси арп

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 16:46 06-05-2023 | Исправлено: alexnov66, 16:48 06-05-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66
    в этой сети всего 1 устройство, к которому и нужен доступ. Не вижу смысла делать отдельный диапазон. Маршрут от зукселя к микротику прописан, доступ есть. От микротика к зукселю тоже, но не работает, почему-то...

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 07:10 07-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music

    Цитата:
    Не вижу смысла делать отдельный диапазон.

    Смысл есть во всём и в маршрутизации в частности.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 11:57 07-05-2023
    b7music



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    какого маршрута у меня в данном случае не хватает и на чьей стороне, можете подсказать?

    Всего записей: 672 | Зарегистр. 04-03-2010 | Отправлено: 11:53 09-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music
    прежде чем задавать вопросы следовало привести конфиг настройки, телепаты к сожалению в отпуске.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 19:18 10-05-2023
    HERSOFT



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    b7music

    Цитата:
    какого маршрута у меня в данном случае не хватает и на чьей стороне, можете подсказать?

    Похоже, что на стороне Keenetik нет маршрутов. 1 и 2

    Всего записей: 291 | Зарегистр. 12-07-2008 | Отправлено: 23:46 10-05-2023
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Скорее всего фаер блочит, телепаты в отпуске, конфигов нет, настройки и обсуждение по зукселю не в эту тему.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 02:45 11-05-2023 | Исправлено: alexnov66, 20:17 11-05-2023
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru