ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Благодарю )   Цитата: а зачем, если не секрет? да без особой цели, просто для симметрии с LAN бриджем.     Плюс на этом WAN бридже динамически видно присуствие в провайдерской оптике  хрЕновой кучи соседских маков: это мне помогло на неделе напрячь провайдера и выбить из него отдельный влан с подсетью.     Правда, маки там продолжают болтаться, сотня их набирается за несколько минут после перезапуска роутера - и ни я сам, ни админы провайдера причину не понимаем.       Цитата: а вообще за многие годы работы в этой области я очень хорошо понял, насколько позитивным является DNS: можно менять IP-адресацию, не меняя настроек пользователей =)     С этим-то я согласен, также на личном опыте. Пытаюсь вот теперь одолеть следующий этап с помощью микротика: настроить единые ссылки на экстранет  ресурсы. Если я не ошибаюсь, называется это ReverseNAT   Успех так себе переменный: что-то работает, а что-то нет,  уверенно изменять настройки пока не могу. Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 07:20 30-07-2011 | Исправлено: LevT, 07:22 30-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: выключить обнаружение cisco и mikrotik IP -> Neighbours -> Discovery Interfaces   Цитата: это мне помогло на неделе напрячь провайдера и выбить из него отдельный влан с подсетью завидую... в Беларуси беспредел с этим, мы у аплинка сначала вообще исторически в АДСЛ-ный влан попали, там куча всего, а потом по моей просьбе почистить нас от мусора нас пересадили в вилан с другим провайдером %)   Цитата: настроить единые ссылки на экстранет  ресурсы. Если я не ошибаюсь, называется это ReverseNAT   не совсем понятно... это не о том ли речь, чтобы одинаковые имена разрешались в разные айпищники снаружи и изнутри?.. тогда это называется Split DNS... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:03 30-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: ... это не о том ли речь, чтобы одинаковые имена разрешались в разные айпищники снаружи и изнутри?.. тогда это называется Split DNS...   нет ))  сплит днс это-то для меня просто и ясно (правда не с помощью роутера, а с помощью своего днс сервера).   А надо мне вот что:     есть вебсервис (сервер отнюдь не апач, а вшитый в виндовую .NET прогу) на порту 8461 Он доступен из локалки через http://mailstore:8461   После манипуляций с DynDNS "WebHop redirect" и микротиковским натом к нему можно обращаться снаружи так http://mailstore.domain.org  (И таких вебсервисов ещё есть в локалке на других компах, заход на них по другим портам. Забавно, что другой вебсервис на апаче работает нормально в аналогичной ситуации.)   Дефолтная страница открывается, в адресной строке написано: http://site.domain.org:10080     А вот аутентификация не проходит и дальнейшие страницы не работают, КМК потому что вебсервер смотрит на запрос, который с точки зрения сервера mailstore.domain.local разрешается не на его айпишник,  а на публичный адрес шлюза site.domain.org.   Проблему теоретически сплит днс может поправить, но КМК только для единственного внутреннего вебсервиса (а у меня их несколько на разных компах).       Добавлено:   Мне удавалось добиться от микротика, чтобы mailstore заработал при взгляде снаружи - но победа была негодной, т.к.он переставал работать изнутри сети. Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 18:15 30-07-2011 | Исправлено: LevT, 08:04 31-07-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Все настроил заново. http работает, https не совсем, например скайп скачать не удалось. icq пытается подключиться, даже добивается до сервера (выбивает запущенную на другом компе, но на этом и все) SIPnet так же не удалось запустить(((..  Хотя торент вроде как уже ни чего и не качает..  Скайп попробовать пока не могу, он на виртулбоксе не запускается. Но судя по форумам он должен заработать даже на 443 порту...  /Подскажите плиз, как исправить? необходимо разбираться в маркировке трафа? Но с VoIP это врятле поможет...   Подробнее... Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 01:11 31-07-2011 | Исправлено: ramzes83, 01:11 31-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: КМК потому что вебсервер смотрит на запрос, который с точки зрения сервера mailstore.domain.local разрешается не на его айпишник о, и тут вступает в дело SplitDNS (да, на отдельном серваке), который и разрешает имя именно на его айпишник Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:55 31-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   Не масштабируется: вебсервис не один (разные серваки изнутри локалки должны торчать наружу одновременно и по возможности умещаться на одном IP).   Или Днс этот внутренний какой-то очень продвинутый должен быть - и отдавать раличным клиентам собственную вьюшку? Не умею таких, научите )) Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 18:53 31-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT чё-то не совсем понятно... тут два подхода: "а-ля Webhop Redirect", когда отдельный сайт перенаправляет клиента на нужный адрес с указанием порта, бла-бла-бла; и прокси - сервак, слушающий клиента на одном порту и самостоятельно делающий обращения к другим сервакам, возвращая результат клиенту абсолютно прозрачно.   это что касается "умещаться на одном IP". а про "отдавать раличным клиентам собственную вьюшку" ещё не вкурил... Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 19:04 31-07-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору мда. спасибо товарищи... давненько на форуме, и такой помощи так же давненько не встречал. Спасибо за помощь. Хоть бы один ответил.... Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 22:07 31-07-2011 | Исправлено: ramzes83, 22:08 31-07-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: и прокси - сервак, слушающий клиента на одном порту и самостоятельно делающий обращения к другим сервакам, возвращая результат клиенту абсолютно прозрачно.     Дело в том, что микротик у меня уже настроен dst-натить разные порты на разные серваки. Худо-бедно справляется (соседний вебсервис на апаче в этой конфигурации работает как дОлжно), но я хотел бы бОльшей степени контроля. Т.е. чтобы было типа двинул рычажок - получил предсказуемый результат. Пока что результат непредсказуем (см. выше о mailstore)       Цитата:  "отдавать раличным клиентам собственную вьюшку" ещё не вкурил...     Ну чтобы внутренний dns всем вебсервисам врал, что site.domain.org это сам запрашивающий клиент.     Не умею таких днс-ов, но знаю, что они должны быть.         Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 22:38 31-07-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору ramzes83 лучше сразу писать: "все кто ниже и выше и отвечают не мне - пидоры нехорошие люди"   я, например, не отвечал просто потому, что не люблю чужие вереницы правил - они уж больно скучно в консоли выглядят. начните с нуля и перед добавлением любого правила файрвола сначала поймите, что оно делает   например так (работаем исключительно с цепочкой forward - прокси же не используется?): 1) добавляем правило с in-interface=LAN action=drop - теперь у нас ничего из LAN не ходит вообще (входящим трафиком не заморачиваемся, хотя можно и сразу с ним работать - входящие подключения нужны или нет?) 2) нужен http(s)? добавляем выше дропа правило с in-interface=LAN protocol=tcp dst-port=80(,443) action=accept 3) повторяем 2) для всех нужных сервисов 4) чтобы гарантированно заблочить скайпоторренты по 80 порту, без прокси не обойдёшься: включить его и добавить одно правило ната из мануала про Transparent WebProxy Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:36 01-08-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka   возвращаясь к разведению VPN серверов...   Возможно ли помимо сервера PPTP/L2TP/OVPN на микротике на одном из провайдерских адресов завести ещё один такой же сервер внутри локалки (на винде например)?   Сейчас меня интересуют не особенности впн протоколов, а пределы возможностей микротика.     Добавлено: К вопросу "зачем". Например, могут быть нужны:   1) разные политики безопасности.   2) сосуществование stable и testing версий VPN-сервисов, с разными фичами.     Например сейчас я разобрался только с proxy-arp и срочно запустил в этом виде в силу производственной необходимости, но маршрутизируемый впн на микротике тоже хочу еще потестить.  Виндовый впн я бы настроил в три щелчка без перенумерации локалки, а с микротиковским пока не умею. Радиус тоже хочу, и буду выбирать, какой именно. Хочу выпустить в продакшен простенький - не заблокировав возможность играться с продвинутым.   Понятно, что можно поставить столько девайсов на периметре, сколько есть айпишников... Но хочется управиться одним микротиком. Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 09:17 01-08-2011 | Исправлено: LevT, 09:18 01-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT так в каком виде сейчас работает - маршрутизация или НАТ? если первое - то вообще всё просто, смаршрутизировать свободный внешний адрес на другую железяку, а она пусть уже разбирается, кем ей быть. в принципе, с НАТом то же самое, только нагрузка на роутер, говорят (!), будет чуточку выше, в связи с НАТированием Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:58 01-08-2011

LevT Запрет на пост Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Как второе. А можно как-то сочетать NAT с маршрутизацией свободных адресов? Всего записей: 17174 | Зарегистр. 14-10-2001 | Отправлено: 11:52 01-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT конечно. если пакет доходит до роутера - то вместо правила НАТ достаточно прописать маршрут на этот адрес через другой роутер/компьютер, навесить на то устройство ещё и этот адрес - и радоваться Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:35 01-08-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: например так (работаем исключительно с цепочкой forward - прокси же не используется?):   1) добавляем правило с in-interface=LAN action=drop - теперь у нас ничего из LAN не ходит вообще (входящим трафиком не заморачиваемся, хотя можно и сразу с ним работать - входящие подключения нужны или нет?)   2) нужен http(s)? добавляем выше дропа правило с in-interface=LAN protocol=tcp dst-port=80(,443) action=accept  в том то и дело... кроме http тарфика ничего не ходит, после открытия 443, 5190 и прочих портов для icq, sip и https.... Понимаю, что что-то делаю не так... Но не могу понять что... Правило http копирую - заменяю порты и назначаю ему имя https - не работает((.. Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 17:56 01-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Правило http копирую - заменяю порты и назначаю ему имя https - не работает((.. лучше просто в список портов добавить ещё один, через запятую. прокси не используется? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:18 01-08-2011

ramzes83 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka пока ни каких прокси. Хоу разобраться в "физике процесса". чтоб хотя бы эта схема заработала. потом уже прокси...   Или лучше сразу с настройки прокси начинать? чтоб не тратить зря время?   хм... вот так номер... 2 вечера пытался настроить.. аська и sip не работал хоть убей. а сейчас все заработало. настройки прежние... ниченепонимаю.. Всего записей: 532 | Зарегистр. 30-01-2008 | Отправлено: 18:33 01-08-2011

wsadneg Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:   Chupaka   IP -> Neighbours -> Discovery Interfaces     Спасибо! Действительно на некоторых интерфейсах был включён. Всего записей: 212 | Зарегистр. 20-05-2011 | Отправлено: 18:39 01-08-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: а сейчас все заработало. настройки прежние ну, бывает. очепятки - вещь ещё та... =) Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 18:51 01-08-2011

slech Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору день добрый. настроил Web Proxy. Но есть небольшое но. Без прокси - http://cmyip.com/ = Mikrotik External IP C прокси - http://cmyip.com/ = PC LAN IP Почему так происходит ? Всего записей: 4893 | Зарегистр. 10-11-2004 | Отправлено: 20:32 01-08-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование