Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11
актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd

FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти

Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти

    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


    		  

    		 

    		 
       


    		  

    		 
    		     
     
    		 
    		     
     
    		 
    		     
     
    		 
    		 


    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru
    // текущий бэкап шапки..
    • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    55550000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
     
    RBcAPGi-5acD2nD

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...
    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 05:52 16-02-2019
    Dominikus



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    создайте правило разрешающее на форвард трафика поднимите его на самый верх и проверте, без указания интерфейсов и адресов, не увидел правила разрешающего.

    в моей выложенной конфигурации оно первое!

    Код:
    /ip firewall filter
    add action=accept chain=forward comment=\
    "defconf: Allow forward established and related" connection-state=\
    established,related
    add action=drop chain=forward comment="defconf: DROP Invalid connections" \
    connection-state=invalid
    add action=accept chain=input comment=\
    "defconf: ACCEPT input established and related" connection-state=\
    established,related
    add action=drop chain=input comment="defconf: DROP Invalid connections" \
    connection-state=invalid  

     
    Добавлено:

    Цитата:
    Dominikus
    Адрес зукселя в сети vpn какой ?
    смущает этот маршрут
     
    Код:
    /ip route
    add distance=1 dst-address=172.16.1.3/32 gateway=pptp_home  

     
    Решение найдено оно было так близко:
    на роутере с адресом 192.168.2.1 (алрес в тунеле 172.16.1.2) надо было прописать
     
    /ip route
    add distance=1 dst-address=172.16.1.3/32 gateway=pptp_home
     
    ---
    на роутере с адресом 192.168.3.1 (алрес в тунеле 172.16.1.3) надо было прописать
     
    /ip route
    add distance=1 dst-address=172.16.1.2/32 gateway=pptp_home
     
    все работает во всех направлениях
     
    Спасибо всем откликнувшимся!
    Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 20:12 16-02-2019 | Исправлено: Dominikus, 21:13 16-02-2019
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Dominikus
    в маршруте надо указывать адрес удалённого устройства а не своего.
    в маршруте указывается противоположная сеть за удалённым устройством к которой нужен доступ, этот ваш маршрут можно исключить и добавить маршрут для остального трафика через интернет данного устройства.

    Код:
    /ip route
    add distance=1 dst-address=0.0.0.0/0 gateway=lte1  
    add distance=1 dst-address=192.168.1.0/24 gateway=172.16.1.2
    add distance=1 dst-address=192.168.3.0/24 gateway=172.16.1.2

     
    где 172.16.1.2 адрес удалённого устройства в vpn тунеле, в вашем случае зукселя.
    Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 07:19 17-02-2019 | Исправлено: alexnov66, 07:47 17-02-2019
    Dominikus



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    /ip route
    add distance=1 dst-address=0.0.0.0/0 gateway=lte1  
    add distance=1 dst-address=192.168.1.0/24 gateway=172.16.1.2
    add distance=1 dst-address=192.168.3.0/24 gateway=172.16.1.2  

     
    нет, так не работает, unreachable!
     
    Всего записей: 101 | Зарегистр. 08-07-2006 | Отправлено: 11:39 17-02-2019
    Monsterik1

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день!
     
    Экспериментирую с микротик - пытаюсь настроить рекурсивную маршрутизацию.
    Обнаружил такую проблему, которую не могу понять или найти в интернете объяснение:
    Запускаю с ноута (Windows 7) "ping -t ya.ru" (тут без разницы, т.к. c mail.ru и другими то же самое).
    Делаю "tracert ya.ru" - вижу, что идёт через первого провайдера
    При отключение внешнего интерфейса на первого провайдера во вкладке interfaces наблюдаю пропадание 1-2 пингов, и по "tracert ya.ru" вижу переключение на второго провайдера и пинги идут ровно.
     
    Включаю интерфейс первого провайдера - и пинги на ya.ru пропадают. Если запустить пинги на что-то ещё то они есть, а вот именно на этот IP нет ответа.  
    Запущенный пинг в терминале микротика не падает - т.е. на нём всё отлично.
    Да и вообще интернет на ноутбуке работает, но вот пинг не восстанавливается.
     
    Пинг восстанавливается только если уронить второго провайдера или остановить его и подождать.
     
     
    Ниже конфигурация (т.к. всё в локалке, то фаервол отключен):
    Подробнее...
     
     
    По сути добавлена только рекурсивная маршрутизация:

    Код:
    /ip route add check-gateway=ping distance=1 gateway=8.8.8.8
    /ip route add check-gateway=ping distance=2 gateway=8.8.4.4
     
    /ip route add distance=1 dst-address=8.8.8.8/32 gateway=172.16.0.1 scope=10
    /ip route add distance=1 dst-address=8.8.4.4/32 gateway=192.168.137.1 scope=10

     
    Заранее благодарю!
    Всего записей: 75 | Зарегистр. 17-04-2007 | Отправлено: 18:08 19-02-2019 | Исправлено: Monsterik1, 10:28 20-02-2019
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Monsterik1
    Портянку спрячте под тег [_more][/_more]
    По какому мануалу делали ?
    Разве там указано так что шлюз надо указывать сервера google
    Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 21:00 19-02-2019 | Исправлено: alexnov66, 21:03 19-02-2019
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. Имеется четыре канала в мир по 90Мбит/с, балансировка PCC, ограничение скорости через Queue Tree. В queue tree два дерева на global in и global out, в которых имеются листья, в которых Max Limit=320 (4х80) а Limit At= разный, но сумма их не превышает Max Limit. Как бы все работает и правильно. Но балансировка PCC распределяет по каналам соединения а не скорость, то есть одно соединение кидает на один канал другое на другой и т.д. Но трафик проходящий через каждое соединение может быть разным, то есть одно соединение это какой то ПК открывает странички, а другое на другом канале какой то ПК качает в один поток на максимальной скорости. А для того что бы очереди собирались у нас а не у провайдера нам нужно ограничить максимальную ширину канала. В queue tree мы не можем ограничить каждый канал мы ограничиваем общую пропускную способность в 4х80=320. Периодически при максимальных нагрузках получается, что каналы начинают работать не по 80Мбит/с а по максимальной возможной 90Мбит/с, соответственно в такие моменты очереди у нас не образуются, а скорее всего пакеты отбрасываются и у части ПК соединения которых попали на такие каналы будут проблемы. Есть ли решение этой проблемы или это не проблема и я что то не так понимаю?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 08:49 20-02-2019
    Monsterik1

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66, приветствую!
     
    1. Тут Ссылка описывается dst nat при использовании 2-х и более провайдеров.
    Только я не делал маркировку - как я понимаю она мне не нужна, хоть я и планирую использовать OVPN (здесь он ещё не настроен - чтобы не загромождать конфиг для разбора вопроса).
     
    2. Тут Ссылка как я понимаю это же и описывается
     
    3. Тут Ссылка про это же
     
    4. Ещё вот тут мануал Ссылка. Но тут использует scope=30 и target-scope=30
     
    Фактически я и планирую использовать 4-й вариант, т.к. у меня офис и 2 провайдера и филиал с одним провайдером и vpn между ними. Только VPN я думаю поднять OVPN на одного провайдера и SSTP на второго. С VPN у меня уже более-менее всё получилось и работает и даже с фаерволом всё получилось.
     
    Признаюсь честно - я ещё не окончательно понял как работают scope и target-scope.
     
    И ещё вопрос - я в четвёртом варианте не понимаю как работает заглушка "Не забываем установить заглушку, на тот случай, если один из каналов отвалится, и трафик не пошел через второй."

    Код:
    /ip route add distance=2 routing-mark=isp1only type=unreachable
    /ip route add distance=2 routing-mark=isp2only type=unreachable
    Всего записей: 75 | Зарегистр. 17-04-2007 | Отправлено: 10:47 20-02-2019 | Исправлено: Monsterik1, 11:00 20-02-2019
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Monsterik1
    Делается дополнительно если нужен доступ к хостам с разных провайдеров, маршруты по умолчанию должны быть, их ни кто не отменял.
    Первый провайдер с метрикой 1
    Второй с метрикой 2
     

    Код:
    /ip route
    add dst-address=0.0.0.0/0 gateway=100.XXX.XXX.1 distance=1
    add dst-address=0.0.0.0/0 gateway=150.XXX.XXX.1 distance=2
     
    Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 11:24 20-02-2019
    Monsterik1

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    alexnov66
     
    Премного благодарен - признаю я тупил - не видел очевидного.
    Всего записей: 75 | Зарегистр. 17-04-2007 | Отправлено: 12:03 20-02-2019
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Monsterik1

    Цитата:
    Пинг восстанавливается только если уронить второго провайдера или остановить его и подождать.

    В целом, так происходит потому, что даже под ICMP Echo (ping) в Connection Tracking создаётся запись с определённым таймаутом, и несколько пакетов пинга идут все в рамках одной записи (пока по таймауту, например, не отвалится). Одна запись - один NAT. Т.е. происходит ситуация, при которой "соединение" (запись в ConnTrack) снатировано на одного провайдера, а потом пакеты начинают идти на второго, но с src-address'ом первого. Остановили пинг, запись через некоторое время пропала, запустили пинг - новая запись, новый НАТ, всё опять работает.
     
    Почему при переключении с первого провайдера на второго соединение пересоздаётся - это уже второй вопрос. Возможно, один из провайдеров просто дропает "чужие" пакеты, а второй - шлёт ICMP Reject-сообщения... Надо изучать, если интересно
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 13:39 20-02-2019
    vertex4

    Moderator    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    из разряда - почему асинхронная маршрутизация влияет только на TCP, а udp/icmp/etc проходит нормально


    ----------
    В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают
    Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 13:45 20-02-2019
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vertex4

    Цитата:
    асинхронная маршрутизация

    O_o
    Несимметричная, что ли?..
     

    Цитата:
    а udp/icmp/etc проходит нормально

    Так выше видим, что icmp тоже с проблемой
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:00 20-02-2019
    55550000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Коллеги, помогите, пожалуйста, с не которыми вопросами по сабжу:
     
    1) Mikrotik 3011 прошивка 6.42.12 Все время сбиваются часы - последнее время за 15 минут убегают вперед на 6 секунд, соответственно sntp постоянно откатывает время назад. Что делать?
     
    2) Пытаюсь разобраться с VPN. Хочу настроить SSTP для удаленной работы сотрудников (не офис)
    Поднял SSTP, сгенерировал сертификаты ca,server,client1 ... clientn. При подключении, если выбрать Verify client certificzte - не работает вообще ни в каком виде, зачем тогда эта галка?
    Для подключения с Win 10 пришлось импортировать ca сертификат, а сертификат client1 - не подходит, зачем тогда их создавать?
     
    3) Как все таки обеспечить безопасность SSTP и site-to-site и client версию?
     
    4) Что из туннелей в итоге предпочтительней для site-to-site и для client версии?
     
     
    Буду очень признателен за ответы
     


    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...
    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 21:44 20-02-2019 | Исправлено: 55550000, 21:45 20-02-2019
    Monsterik1

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Господа, я рано радовался.
     
    По-прежнему наблюдаю эту ситуацию.  
    Причём если не использовать рекурсивную маршрутизацию, то всё быстро и чудесно работает:

    Код:
    /ip route add gateway=172.16.0.1 distance=1 check-gateway=ping
    /ip route add gateway=192.168.137.1 distance=2 check-gateway=ping

     
    А тут всё как раньше - ping зависает:

    Код:
    #-------------рекурсивная маршрутизация --------------
     
    /ip route add dst-address=0.0.0.0/0 gateway=172.16.0.1 distance=1
    /ip route add dst-address=0.0.0.0/0 gateway=192.168.137.1 distance=1
     
    /ip route add dst-address=8.8.8.8 gateway=172.16.0.1 distance=1 scope=10
    /ip route add dst-address=8.8.4.4 gateway=192.168.137.1 distance=1 scope=10
    /ip route add dst-address=0.0.0.0/0 gateway=8.8.8.8 distance=1 check-gateway=ping
    /ip route add dst-address=0.0.0.0/0 gateway=8.8.4.4 distance=2 check-gateway=ping
     

     
    Как мне кажется, пакеты продолжают идти не тому провайдеру.
     
    Добавлено позднее:
     
    В теме где всё через скрипты нашёл вот это:

    Цитата:
    Составим первый скрипт, который будет активировать резервный канал и назовем его "change-to-reserv" и содержать в себе код:

    Код:
    /ip route set gateway=1.1.1.1 [find dst-address=0.0.0.0/0];

    (Примечание: IP-адрес 1.1.1.1 выбран как пример и символизирует резервный канал)
    То есть, при обнаружении отсутствия пинга на сервер (об этом чуть позже) мы будем выключать маршрут с шлюзом, указывающим на "pppoe-main".
    P.S.: После комментария erazel данная схема была улучшена, а именно раннее скрипт переключался между двумя маршрутами, которые давали сбой, а именно, если запустить с компа, например, команду ping google.ru -t, то при изменении маршрута пинг будет уходить на старый интерфейс, так как трансляция не обновилась. В предложенном же методе изменения только шлюза очистка трансляции не требуется.

     
    И сам комментарий  

    Цитата:
    Это всё хорошо, но при переключении роутов не мешало бы конекштрекинг ресетить, что бы старые конекты пошли по новому каналу.  
    Есть еще вариант не отключать роуты а переписывать шлюз в маршруте. При таком подходе не надо ресетить контрекинг, так как роут останется прежним, а гетвей будет уже «акутуальным»

     
    Но и этот вариант через set gateway не переключает пинг на новый канал вообще, хоть и переключает интернет.
    Всего записей: 75 | Зарегистр. 17-04-2007 | Отправлено: 23:04 20-02-2019 | Исправлено: Monsterik1, 02:31 21-02-2019
    leshiy_odessa



    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    55550000

    Цитата:
    Mikrotik 3011 прошивка 6.42.12 Все время сбиваются часы

    Сначала обновляете RouterOS и Firmware и только потом пишете что у вас проблема.
     
    55550000

    Цитата:
    Что из туннелей в итоге предпочтительней для site-to-site и для client версии?  

    Многие выбирают L2TP + IPSec. Но есть одно неудобство про которое я не знал и поэтом напишу для кого то очевидную вещь. Второго клиента за тем же NAT уже не поднять. У клиентов Windows одинаковые порты+IP и сервер разрывает соединения и подключает последнего, но не одновременно обоих.
    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 23:06 20-02-2019 | Исправлено: leshiy_odessa, 23:07 20-02-2019
    michael

    Любитель пива    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa

    Цитата:
    Второго клиента за тем же NAT уже не поднять. У клиентов Windows одинаковые порты+IP и сервер разрывает соединения и подключает последнего, но не одновременно обоих.
     


    Код:
    /interface l2tp-server server
    set one-session-per-host=no

    Всего записей: 729 | Зарегистр. 19-07-2001 | Отправлено: 03:02 21-02-2019
    55550000



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    leshiy_odessa
     
    RouterOS обновил до 6.42.12 (long term), вроде как для рабочего маршрутизатора ставить long term это best practice.. До этого стояла 6.41.3 - на ней отставание было на пол секунды каждые 15 минут

    ----------
    Челябинск - родина сладкой стекловаты... Челябинские мужчины настолько суровы, что...
    Всего записей: 1852 | Зарегистр. 16-11-2004 | Отправлено: 04:59 21-02-2019
    alexnov66



    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    55550000
    поставте ntp пакет и не мучайтесь.
    Всего записей: 1234 | Зарегистр. 29-08-2005 | Отправлено: 07:02 21-02-2019
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Monsterik1

    Цитата:
    А тут всё как раньше - ping зависает:  

    Так у вас там не рекурсивная, у вас в начале ваши маршруты стоят - не они ли работают?
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:42 21-02-2019
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru