Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS часть 1
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
 
последняя стабильная версия: v4.11
последняя бета-версия 5.x: 5.0beta6

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 14:26 15-09-2009 | Исправлено: Chupaka, 16:09 16-08-2010
    Iliasla

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    mindusa
    Сделайте обычный проброс VPN. Пусть банк-клиент сам поднимает VPN и коннектится к своему серверу, а Микротик будет просто роутером (брандмауэром).
     
    ps. Client по-английски
     
    vlh
    Торренты много качают и по UDP, тоже блокировать надо. Страницей-двумя ранее я приводил работающие настройки против нового протокола uTP.
    Это всё хорошо, пока юзеры шифрование траффика включать не начнут. Попробуйте применить такой способ:
    В общем понадобилось наглухо запретить торрент трафик на микротике. После применения стандартного правила P2P в файрволе перестали работать анонс запросы и стал блокироваться нешифрованный трафик. Однако по DHT utorrent прекрасно находил пиров и обменивался шифрованным трафиком. Поиски в инете по блокировке DHT не дали результатов, поэтому я написал своё регулярное выражение.  Итак, в Layer7 Protocols создаем запись с именем DHT c регуляркой  
    код  
    --------------------------------------------------------------------------------
    ^d1:[a|r]d2:id20:.*:y1:[q|r]e
    --------------------------------------------------------------------------------
    Потом в файрволе фильтруем UDP протокол по совпадению с этим паттерном.
    ЗЫ. Стандартное P2P правило блокирует запросы вроде announce?info_hash=, однако например rutracker.org сейчас выдаёт анонсы вида ann?info_hash=, поэтому для него анонсы не блокируются. По уму надо бы написать свой паттерн и для этого, но было лениво разбираться, поэтому тупо заблокировал диапазон bt.rutracker.org - bt5.rutracker.org.
    Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 21:45 28-03-2010 | Исправлено: Iliasla, 21:49 28-03-2010
    Lutvun



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Через МТ по WiFi раздаётса инет. Нужно доставить ещё одну WiFI карту. Как сделать так чтоб ей не пришлось присваивать IP, а подключённые к этой сети клиенты получали доступ через ip первой карты?
    Всего записей: 286 | Зарегистр. 22-11-2005 | Отправлено: 23:13 28-03-2010
    Iliasla

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lutvun
    IP не назначайте, а просто соедините их в бридж =)
    Всего записей: 125 | Зарегистр. 08-07-2005 | Отправлено: 23:23 28-03-2010
    Lutvun



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Iliasla
    как это делаться? Искал, но не смог найти.
    Всего записей: 286 | Зарегистр. 22-11-2005 | Отправлено: 23:26 28-03-2010
    gooel



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Lutvun
     
    Добавляешь бридж
    /interface bridge
    add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes \
        comment="" disabled=no forward-delay=15s l2mtu=65535 max-message-age=20s \
        mtu=1500 name=bridge1 priority=0x8000 protocol-mode=none \
        transmit-hold-count=6
     
    Далее добавляешь каждый интерфейс в бридж:
    /interface bridge port
    add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto \
        horizon=none interface=ether4 path-cost=10 point-to-point=auto priority=\
        0x80
    add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto \
        horizon=none interface=ether3 path-cost=10 point-to-point=auto priority=\
        0x80
     
    После чего в адресах на нужном IP адресе меняешь интерфес карты на интерфейс бриджа и готово. Делай по примеру. Успехов.
    Всего записей: 70 | Зарегистр. 08-04-2009 | Отправлено: 01:13 29-03-2010
    Lutvun



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Iliasla  
    gooel
    Разобрался! Спасибо!
    Всего записей: 286 | Зарегистр. 22-11-2005 | Отправлено: 07:48 29-03-2010
    mindusa



    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Iliasla
    он и так сам поднимает)...  
    там схема работает
    192.168.0.11 (клиентский комп с ВПН соединением до банка) -- 192.168.0.1 (модем на котором поднимается VPN до микротика) -- микротик (4 канала PCC) -- 212.154.132.100 (VPN сервер банка).  
     
    клиенту уже сказал пусть модем покупает... но блин уже просто любопытно разобраться))
    Всего записей: 118 | Зарегистр. 26-02-2009 | Отправлено: 12:16 29-03-2010
    faust72rus



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    mindusa
    трабла в чём? вроде всё тривиально.
     
    Добавлено:
    в банк не звонил? может они тебя по маку\адресу отплёвывают?
    Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 12:29 29-03-2010
    Shpili4

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. Прошу помощи по настройке PCQ при имеющемся маскарадинге.
     
    Адреса:

    Код:
    #   ADDRESS            NETWORK         BROADCAST       INTERFACE            
     0   10.2.1.57/16       10.2.0.0        10.2.255.255    modem                
     1   192.168.1.203/24   192.168.1.0     192.168.1.255   ether4              
     2   192.168.0.2/24     192.168.0.0     192.168.0.255   host  

     
    Firewall NAT

    Код:
    21   chain=srcnat action=masquerade out-interface=modem

     
    Настройка маркировки пакетов и соединений проводилась несколькими способами по форумам и статьям (например, этой и частично этой). Последний вариант:
     
    Firewall Mangle

    Код:
     2   chain=postrouting action=accept dst-address=10.2.1.57  
         out-interface=host  
     4   chain=prerouting action=mark-packet new-packet-mark=uppack512  
         passthrough=no src-address-list=Unlim512 in-interface=host  
     5   chain=forward action=mark-connection new-connection-mark=down_512  
         passthrough=yes src-address-list=Unlim512  
     6   chain=forward action=mark-packet new-packet-mark=downpack512  
         passthrough=no in-interface=modem connection-mark=down_512  

     
    Queue type

    Код:
     6 name="pcq-download512" kind=pcq pcq-rate=512000 pcq-limit=50  
       pcq-classifier=dst-address pcq-total-limit=20000  
     7 name="pcq-upload512" kind=pcq pcq-rate=256000 pcq-limit=50 pcq-classifier=src-address  
       pcq-total-limit=20000  

     
    Queue tree

    Код:
     0   name="test_Download" parent=host packet-mark=no-mark limit-at=0  
         queue=pcq-download512 priority=8 max-limit=0 burst-limit=0 burst-threshold=0  
         burst-time=0s  
     1   name="test_Upload" parent=modem packet-mark=no-mark limit-at=0 queue=pcq-upload512  
         priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s  

     
    Проблема: нужно "привязать" очереди к адрес-листу Unlim512. Для этого маркируем пакеты и коннекшены. Но при указании в настройке дерева  packet-mark=downpack512/uppack512 и upload parent=global-in/out скорость не режется. Если же указать packet-mark=no-mark, как во фрагменте, скорость обрезается верно. Как добиться правильной работы с промаркированными пакетами? Заранее спасибо за советы.
    Всего записей: 3 | Зарегистр. 29-03-2010 | Отправлено: 17:01 29-03-2010 | Исправлено: Shpili4, 17:13 29-03-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    маркируем пакеты и коннекшены

    а вам вообще коннекшены надо маркировать? не проще сразу пакеты в forward'е в обе стороны? а то какая-то запутанная схема получается...
     

    Цитата:
    скорость не режется

    а пакеты в очереди бегают? вешайте на global-out - не ошибётесь, если пакеты маркируются - они попадут в очередь
     
    no-mark - это пакеты, которые не имеют метки вообще. т.е. те, которые не попали под ваши правила мангла
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:54 29-03-2010
    Shpili4

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka, спасибо за ответ. Схема запутанная потому, что уже вроде по-всякому было перепробовано Упрощено по вашему совету, исправлена пара очень глупых ошибок, теперь вроде бы все работает. Большое спасибо.
    Всего записей: 3 | Зарегистр. 29-03-2010 | Отправлено: 11:44 30-03-2010 | Исправлено: Shpili4, 11:44 30-03-2010
    dreamer2

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    как правильно зафильтровать пакеты на одном из интерфейсов не попавшие в правило нат
    по аналогии с pf'ным  
    block out on $if2 from !($if2) to any
    Всего записей: 45 | Зарегистр. 27-06-2003 | Отправлено: 14:25 30-03-2010
    faust72rus



    Full Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dreamer2

    Код:
     ip firewall filter add chain=forward out-interface=WAN  in-interface=!WAN action=drop  

    как то так не пробовал?
    Всего записей: 536 | Зарегистр. 28-10-2007 | Отправлено: 15:40 30-03-2010
    dreamer2

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
     ip firewall filter add chain=forward out-interface=WAN  in-interface=!WAN action=drop  
     
    как то так не пробовал?  

    пока нет, но так же убьется все улетающее через интерфейс и пришедшее с других?
    или в цепочке форвард пакеты после nat'а сюда не заматчатся?
     
    Всего записей: 45 | Зарегистр. 27-06-2003 | Отправлено: 15:51 30-03-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    о каком NAT'е речь?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:59 30-03-2010
    dreamer2

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    обычный, в srcnat, но натит по условию src адреса
    остальное хочется убить на выходе
     
     
    т.е. как в моем примере выше, все что выходит через интерфейс не от нашего адреса дропнуть
    Всего записей: 45 | Зарегистр. 27-06-2003 | Отправлено: 16:07 30-03-2010 | Исправлено: dreamer2, 16:08 30-03-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    полезная ссылка из шапки: http://wiki.mikrotik.com/wiki/Packet_Flow
     
    как видим, Src-NAT расположен уже после всех фильтров, поэтому зафильтровать его не получится. надо просто не допускать до него трафик, который не будет натироваться
     
    Добавлено:
    зафильтровать - в смысле, в Filter Forward скопировать условия, по которым работает Src-NAT, сделать этим пакетам accept, а остальным - drop
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:14 30-03-2010
    dreamer2

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    зафильтровать - в смысле, в Filter Forward скопировать условия, по которым работает Src-NAT, сделать этим пакетам accept, а остальным - drop

    но тогда по идее должно хватать одного правила drop !natsrcaddr в форварде
     
    сделал так, проверю, спасибо
    Всего записей: 45 | Зарегистр. 27-06-2003 | Отправлено: 16:28 30-03-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    тогда по идее должно хватать одного правила drop !natsrcaddr в форварде  

    именно так. я писал про общий случай для сложного сетапа
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:10 30-03-2010
    nonstops

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Что-то подзатихли посты по поводу IPTV.

     
    Уважаемые форумчане, пожалуйста помогите в решении следующей проблемы. Пытаюсь настроить IGMP forwarding для IPTV на микротиковском роутере, но ничего не выходит.
     
    Собственно имеется:
    [admin@MikroTik] > ip address print  
     #   ADDRESS            NETWORK         BROADCAST       INTERFACE        
     0   172.22.28.19/24    172.22.28.0     172.22.28.255       ether1              -     WAN      
     1   192.168.0.31/24    192.168.0.0     192.168.0.255       ether2              -     LAN
     
    IGMP proxy настроен:
    [admin@MikroTik] > routing igmp-proxy interface print  
    Flags: X - disabled, I - inactive, D - dynamic, U - upstream  
     #    INTERFACE                                                      THRESHOLD  
     0  U ether1                                                              1                          -    WAN
     1     ether2                                                              1                          -    LAN
     
    В IP Firewall одно активное правило:
    [admin@MikroTik] > ip firewall nat print              
     0   chain=srcnat action=masquerade out-interface=ether1
     
    После запуска IP-TV player'a с компьютера находящегося в локальной сети, иными словами после отправки запроса на присоединение к требуемой мультикаст группе, вижу следующую картину. На ether1(WAN) из внешней сети идет большой поток udp пакетов, который НЕ ФОРВАРДИТСЯ на ether2(LAN). Более того
    [admin@MikroTik] > routing igmp-proxy mfc print  
     # GROUP           SOURCE          INCOMING-INTERFACE    OUTGOING-INTERFACES                
     0 233.99.64.1     172.25.0.66    
     
    Но ни INCOMING-INTERFACE, ни OUTGOING-INTERFACES не указаны. Особенно странно, что INCOMING-INTERFACE не определился как ether1.
     
     
    Предположил, что проблемы с TTL  приходящих UDP пакетов. Но как показал Wireshark при прямом подключении (без роутера) ttl=22.
     
    Может у кого есть какие-нибудь идеи, советы, предложения?
    Всего записей: 2 | Зарегистр. 25-03-2010 | Отправлено: 01:37 31-03-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 2)
    ShriEkeR (23-08-2010 21:26): MikroTik RouterOS (часть 3)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru