Germanus Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   Предыдущие части темы: часть 1, часть 2, часть 3, часть 4 Официальный сайт: https://mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике   актуальные версии RouterOS: Stable: 7.14.2 Подробнее... Testing: 7.15b9 Stable: 6.49.14 Long-term: 6.49.13 актуальная версия SwitchOS: 2.17 актуальная версия WinBox: 3.40 32/64-bit Подробнее...   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 4420 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 10:54 08-04-2024

CrazYViruS_CrazyNet Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Доброго времени, подскажите пожалуйста путь решения проблемы в достаточно простой операции ...   Поднял Микротик 6.48.1 на hyper-v а на нем пытаюсь организовать сервер ovpn. 1. Создал профиль, юзера, пул. 2. Сертификаты средствами Микротика 3. Настроил фаерволл   Конфиг на Микротике:                      enabled: yes                                 port: 31194                         mode: ip                      netmask: 24                  mac-address: FE:BE:60:09:22:A0                      max-mtu: 1500            keepalive-timeout: 60              default-profile: ppp1profile1                  certificate: ovpn-server   require-client-certificate: yes                         auth: sha1,md5                       cipher: blowfish128,aes128,aes192,aes256 Конфиг на Клиенте: client dev tun proto tcp remote ип 31194 resolv-retry infinite nobind persist-key persist-tun <ca> Сертификат   </ca> <key> Ключ </key> <cert> Сертификат </cert> remote-cert-tls server cipher AES-128-CBC verb 3   Получаю на клиенте: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity) TLS Error: TLS handshake failed Fatal TLS error (check_tls_errors_co), restarting [soft,tls-error] received, process restarting   На Микротике: 17:07:01 ovpn,debug,packet sent P_CONTROL_HARD_RESET_SERVER_V2 kid=0 sid=0c9ea84b3faf215e pid=0 DATA len=0   17:07:01 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=dadad7b7eaf7a8e pid=0 DATA len=0   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [0 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,debug,packet rcvd P_CONTROL_HARD_RESET_CLIENT_V2 kid=0 sid=dadad7b7eaf7a8e [0 sid=0c9ea84b3faf215e] pid=0 DATA len=0   17:07:01 ovpn,debug,error,28172,63592,46149,timer,28172,63640,46311,l2tp,27668,63640,46269,64400 duplicate packet, dropping   17:07:01 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=dadad7b7eaf7a8e pid=1 DATA len=289   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [1 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,debug,packet sent P_CONTROL kid=0 sid=0c9ea84b3faf215e pid=1 DATA len=1400   17:07:01 ovpn,debug,packet sent P_CONTROL kid=0 sid=0c9ea84b3faf215e pid=2 DATA len=1064   17:07:01 ovpn,debug,packet rcvd P_ACK kid=0 sid=dadad7b7eaf7a8e [1 sid=0c9ea84b3faf215e] DATA len=0   17:07:01 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=dadad7b7eaf7a8e [2 sid=0c9ea84b3faf215e] pid=2 DATA len=1170   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [2 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=dadad7b7eaf7a8e pid=3 DATA len=1170   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [3 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=dadad7b7eaf7a8e pid=4 DATA len=22   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [4 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,debug,packet sent P_CONTROL kid=0 sid=0c9ea84b3faf215e pid=3 DATA len=51   17:07:01 ovpn,debug,packet rcvd P_CONTROL kid=0 sid=dadad7b7eaf7a8e [3 sid=0c9ea84b3faf215e] pid=5 DATA len=472   17:07:01 ovpn,debug,packet sent P_ACK kid=0 sid=0c9ea84b3faf215e [5 sid=dadad7b7eaf7a8e] DATA len=0   17:07:01 ovpn,info : using encoding - AES-128-CBC/SHA1   17:07:19 ovpn,debug <192.168.10.223>: disconnected <peer disconnected>     Решено: Так как аутентификация проходит еще и по логину/паролю нужно в конфигурацию клиента добавить: auth-user-pass Всего записей: 342 | Зарегистр. 01-02-2010 | Отправлено: 18:32 05-03-2021 | Исправлено: CrazYViruS_CrazyNet, 23:55 06-03-2021

Falcon99 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: если 3proxy не выполняет специальных функций настроеных особенным образом - его лучше исключить.   схема раздачи интернета станет проще и надежнее.   специальные функции, это например   * авторизация в AD, некоторым пользователям/компьютерам в сети запрещен доступ в интернет. * некоторым компьютерам/пользователям AD  ограничена скорость доступа в интернет. * резалка банеров. * подсчет трафика и отчет кто какие сайты открывал.     Выполняет, просто я не понял что именно вы хотели узнать. Он используется для ограничения доступа (авторизация по ip), отслеживание и учет посещенных пользователями сайтов. Баннеры не режутся, т.к. были проблемы из-за этого проблемы у некоторых пользователей на сайтах.   Добавлено: Цитата: без каких ограничений?    какие ограничения делает 3proxy?   ты пришел просить помощи, так ответь толком на уточняющие вопросы. иначе помощь сделает только хуже.     Я пытаюсь отвечать на вопросы, но если можно уточняйте что именно вы имеете ввиду.   Добавлено: Цитата: Цитата: получается без ограничений, что не совсем хорошо   без каких ограничений?   Я имел ввиду, что сейчас маршрутизация на компьютере с Windows Server 2003 (ip 150) производится для всех компьютеров локальной сети, что как мне кажется неправильно. И хотелось бы чтобы это происходило только для определенных копьютеров. Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 15:33 06-03-2021

Falcon99 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Я имел ввиду, что сейчас маршрутизация на компьютере с Windows Server 2003 (ip 150) производится для всех компьютеров локальной сети, что как мне кажется неправильно   Действительно не правильно получается, т.к. сегодня при такой настройке маршрутизации, плоттер подключенный к сети смог спокойно получить доступ к сайту производителя и провести обновление прошивки.   Поэтому действительно надо разбираться как использовать NAT только для определенных IP.   В связи с тем что вопросы выходят за пределы данной темы, то буду создавать отдельную тему.   Спасибо всем кто пытался помочь. Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 18:02 09-03-2021 | Исправлено: Falcon99, 08:18 10-03-2021

Falcon99 Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: хочешь ли ты оставить 3proxy. Увы, это обязательно, т.к. периодически требуют отчеты по посещаемости пользователями интернета.   А можно в Mikrotik'e ограничения поставить следующего плана. В шлюзе перед роутером включен NAT, а Mikrotik пропускает запросы только с определенного IP? Просто попытка фильтрации NAT'а на шлюзе обрубает тогда вообще все интернет, т.е. получется обрубает даже траффик через программный прокси. Всего записей: 607 | Зарегистр. 12-10-2005 | Отправлено: 16:58 10-03-2021 | Исправлено: Falcon99, 17:03 10-03-2021

PlastUn77 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Demon В глобальном контексте работает, и в локальном должно   Всего записей: 507 | Зарегистр. 16-06-2008 | Отправлено: 12:34 14-03-2021

Demon Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору PlastUn77   Цитата: В глобальном контексте работает, и в локальном должно   У сожалению, не вижу, что на картинке. Работать должно, но не работает   vklp Цитата: https://forum.mikrotik.com/viewtopic.php?t=117750   Я читал эту ветку и решение есть, но другим способом. Но мне хотелось бы выяснить, что я делаю не так в приведенном способе.     Спасибо всем откликнувшимся! Всего записей: 583 | Зарегистр. 03-10-2001 | Отправлено: 17:34 14-03-2021

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Demon Цитата: ничего не дает Расскажите, кто кому не даёт и на какой версии RouterOS. Так-то, вроде, работает ровненько ваш пример:   Код:  > { :local rnd1 [:pick ([/tool fetch url="https://www.rando m.org/strings/\?num=1&len=7&digits=on&unique=on&format=plain&rnd=new" as-value out put=user]->"data") 0 4]; ut $rnd1; } 5463   Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:54 16-03-2021 | Исправлено: Chupaka, 14:54 16-03-2021

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Парни, всем привет. Есть статья про обход блокировок средствами Микротика. Там все запретные сайты Микротик пускает через VPN, а всё остальное напрямую через вашего провайдера. В статье есть скрипт, который собирает пары "имясайта <—> IPадрес" для запретных ресурсов и складывает эти пары в отдельный address-list в IP->Firewall. Так вот, проблема в том, что этот самый address-list (в скрипте он называется block_list) не формируется совсем. Хотя скрипт вроде как правильный. Я вижу, что во внешнем цикле перебираются значения из DNScache. И у меня даже скрипт находит некое значение *29af. Но далее, во вложенном (внутреннем цикле) уже ничего не находит. Далее отладить скрипт я не могу, у меня не хватает знаний. Прошу помощи, найдите там ошибку, плиз. Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 15:55 16-03-2021 | Исправлено: Accessor, 16:00 16-03-2021

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да, но потом, все IP, из списка запретных, надо промаркировать на мангале и запустить этот трафик в VPN. Как это сделать? Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 16:08 16-03-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessor Код:   /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=VPNADDRLIST new-routing-mark=route-vpn passthrough=yes /ip firewall mangle add action=mark-routing chain=output dst-address-list=VPNADDRLIST new-routing-mark=route-vpn passthrough=yes   /ip route add distance=20 gateway=VPN routing-mark=route-vpn scope=40 target-scope=30   Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 16:11 16-03-2021

Accessor Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Спасибо, друзья, я попробую. А как часто обновляется address-list с доменными именами? Всего записей: 2863 | Зарегистр. 31-10-2003 | Отправлено: 16:56 16-03-2021

fly_indiz Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Accessor насколько мне известно - однократно, но это неточно. (например при добавлении такой записи с dns-именем в адреслист, при старте микрота) но можно например накатать скрипт, который например раз в сутки будет рефрешить записи в адреслистах с доменными именами (например путём отключения/включения записей) Всего записей: 2618 | Зарегистр. 28-04-2006 | Отправлено: 17:13 16-03-2021 | Исправлено: fly_indiz, 17:13 16-03-2021

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование