Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    Drasha

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
     

    Цитата:
    т.е. меняете Default Route Distance в DHCP-клиенте - а он не меняется? а если переполучить адрес?  

    Получилось, только когда убрал дефаулт роут и прописал маршрут до PPTP сервера. Так работает!
     

    Цитата:
    а в Терминале команда нормально отрабатывает? а то у меня пароль спрашивает - видимо, его тоже надо в команде указать  

    Точно надо добавить password=

    Цитата:
    :if [ /interface ethernet get ether1 running ] do={ ut "here we go!"; }

    Гениально!
    В шедулере:
    :if [ /interface ethernet get ether5 running ] do={ /system backup load name=auto-before-reset.backup password= }
    Теперь, если поднять 5 порт идёт загрузка моего конфига!!!!!!!!!
     
    Осталось решить одну задачку, с которой казалось просто, а оказалось никак...
    Есть сервер, например, 12.34.56.78. На нём 2222 порт открыт для RDP.
    Надо:
    Настроил RDP на адрес 99.99.99.5, порт 7777. При подключении из локальной сети надо сделать переадресацию на 12.34.56.78:2222. Т.е. как проброс портов, но наоборот, из внутренней сети с левого адрева на правиьный. Т.е. человек, который будет подключаться, не должен узнать IP сервера.

    Всего записей: 39 | Зарегистр. 26-10-2003 | Отправлено: 22:22 10-01-2017 | Исправлено: Drasha, 22:23 10-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Drasha
    человек подключается из той же подсети, что и 12.34.56.78? или роутер установлен между ними?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:18 11-01-2017
    Drasha

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не, ну человер в DHCP зоне роутера сидит. Т.е. один из 192.168.88.0/24. 12.34.56.78 - публичный белый IP на сервере RDP. Просто я не хочу, что бы пользователи его знали.

    Всего записей: 39 | Зарегистр. 26-10-2003 | Отправлено: 12:24 11-01-2017 | Исправлено: Drasha, 12:26 11-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Drasha
    тогда обычный dst-nat:
     

    Код:
    /ip fi nat add chain=dstnat dst-address=99.99.99.5 protocol=tcp dst-port=7777 action=dst-nat to-addresses=12.34.56.78 to-ports=2222

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 15:11 11-01-2017
    Crazy Cooler



    Newbie
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Drasha
    Столкнулся с тем же вопросом... нашел вот такой ответ на вопрос... не совсем для микротика, но суть понятна..:
    iptables -t nat -A PREROUTING -p tcp --dst  x.x.x.x   --dport 3389 -j DNAT --to-destination y.y.y.y:3389
    iptables -t nat -A POSTROUTING -p tcp --dst y.y.y.y  --dport 3389 -j SNAT --to-source x.x.x.x
    Где :
    x.x.x.x  — ip адрес виртуального сервера с iptables
    y.y.y.y — ip адрес терминального сервера заказчика
     
    Но у меня собственно вопрос немного другой, может кто подскажет как реализовать? я так понимаю для этого дела скрипт придется писать....  
    А вопрос собственно такой:  
    ДАНО:  
    внешний пользователь отправляет данные на микротик с ИП 1.1.1.1 порт 55555  
    на маршрутнике 1-е правило dstnat указывает что нужно отправлять все это на сервер 2.2.2.2  порт 55555
    при недоступности ИП 1.1.1.1 нужно отправлять все это на сервер 3.3.3.3  порт 55555 (2-е правило)
    при появлении доступности узла 1.1.1.1 вернуться на правило №1
    Может кто то уже реализовывал такое решение ?

    Всего записей: 21 | Зарегистр. 02-10-2007 | Отправлено: 15:31 11-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Crazy Cooler

    Цитата:
     нашел вот такой ответ на вопрос

    это для более клинического случая, когда перенаправлять надо в подсеть, доступную клиенту в обход роутера. подробно описано здесь: http://wiki.mikrotik.com/wiki/Hairpin_NAT
     

    Цитата:
    при недоступности ИП 1.1.1.1 нужно отправлять все это на сервер 3.3.3.3

    недоступность = отсутствие пинга? тогда Tools -> Netwatch - и в нём по пропаданию/появлению пинга выключать/включать соответствующее правило в файрволе. например, по комментарию:
     

    Код:
    /ip fi nat disable [find comment="megapravilo_dlya_failovera"]
     
    /ip fi nat disable [find comment="megapravilo_dlya_failovera"]

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:21 11-01-2017
    Vfiuchcikicshuusrch



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    народ, подскажите, по-умолчанию широковещательные пакеты разрешены в локальной сети микротика ?

    Всего записей: 173 | Зарегистр. 26-08-2008 | Отправлено: 14:03 16-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Vfiuchcikicshuusrch
    По умолчанию разрешено всё

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:14 16-01-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Chupaka
    Вернее сказать
    разрешено всё, что не запрещено!

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 17:07 16-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    DrDEVIL666

    Цитата:
    Вернее сказать  
    разрешено всё, что не запрещено!  

    Если под умолчанием подразумеваем пустую железку без дефолтного конфига, то ничего не запрещено.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 17:42 16-01-2017
    SibD



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Приветствую.
    Возможно тупой вопрос, но можно ли загрузить в микротик заранее подготовленный набор команд?
    Например так:
    Код:
    /import file=cmd-list.rsc

    но при этом, чтобы в файле cmd-list.rsc был не весь экспорт настроек, а только те, что мне нужно добавить в уже имеющуюся железку.
    С копипастом через winbox подружиться не получается из-за его автозавершения команд

    ----------
    Если человек пошёл налево, то надо его поправить.
    Мтсео вчестри желиетй Тиратаи

    Всего записей: 3679 | Зарегистр. 01-06-2002 | Отправлено: 16:52 17-01-2017 | Исправлено: SibD, 16:53 17-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    SibD
    Именно так и нужно. А автозавершение можно выключить ровно так же, как вы его включили: Ctrl+V
    http://wiki.mikrotik.com/wiki/Manual:Console#HotLock_Mode

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:57 17-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    С копипастом через winbox подружиться не получается

    Еще есть ssh, рекомендую.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 19:50 17-01-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    С копипастом через winbox подружиться не получается из-за его автозавершения команд  

     
    Я тут инструкцию сделал и еще никто не пожаловался на копипаст. Да и я сам проверял на реальной железке, всё работает.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 20:17 17-01-2017 | Исправлено: leshiy_odessa, 20:19 17-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    karavan

    Цитата:
    Еще есть ssh, рекомендую.

    в нём автозавершение включается точно так же

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 01:16 18-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Chupaka
    Я не сразу понял о какой проблеме речь. Сам-то по старинке, как в баше табом

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 02:13 18-01-2017
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Очень неплохо работал всегда через винбокс, никакой проблемы с копипастом не было.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 04:57 18-01-2017
    SibD



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Спасибо. Загнал настройки через import.
    В том-то и дело, что через web не смог в терминалке вставить из буфера ничего с 2-х компов и 4-х браузеров. При этом засада в том, что WinBox не подключается, хотя сервис включен и порт открыт - с этим не разбирался. Нужно смотреть конфиг, что его блокирует.

    ----------
    Если человек пошёл налево, то надо его поправить.
    Мтсео вчестри желиетй Тиратаи

    Всего записей: 3679 | Зарегистр. 01-06-2002 | Отправлено: 08:42 18-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Друзья, добрый день.
    Все таки моя приоритезация, которую мы с вами совместно тут создали работает как то не так. Проявляется так: когда идет активная качка пользователями в сети то очень долго открываются страницы в интернете, бывает так, что даже не открывается вообще с ошибкой "Заданный узел недоступен" и т.д. Обновление странички прогружает ее. Полагаю, что приоритезация ДНС-запросов и http траффик не получают приоритетной обработки. Давайте подумаем. Вот мангл:
     
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP1-MTS new-connection-mark=ISP1_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP2-Rostelecom new-connection-mark=ISP2_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP3-MTS new-connection-mark=ISP3_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:3/0
    add action=mark-packet chain=forward connection-bytes=0-500000 connection-mark=ISP1_conn new-packet-mark=http passthrough=no port=80,443,8080 protocol=tcp - помечаю http траффик в соединении ISP1
    add action=mark-packet chain=forward connection-mark=ISP1_conn new-packet-mark=http passthrough=no port=53 protocol=udp - помечаю http траффик в соединении ISP1
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:3/1
    add action=mark-packet chain=forward connection-bytes=0-500000 connection-mark=ISP2_conn new-packet-mark=http passthrough=no port=80,443,8080 protocol=tcp - помечаю http траффик в соединении ISP2
    add action=mark-packet chain=forward connection-mark=ISP2_conn new-packet-mark=http passthrough=no port=53 protocol=udp - помечаю http траффик в соединении ISP2
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP3_conn passthrough=yes per-connection-classifier=both-addresses:3/2
    add action=mark-packet chain=forward connection-bytes=0-500000 connection-mark=ISP3_conn new-packet-mark=http passthrough=no port=80,443,8080 protocol=tcp - помечаю http траффик в соединении ISP3
    add action=mark-packet chain=forward connection-mark=ISP3_conn new-packet-mark=http passthrough=no port=53 protocol=udp - помечаю http траффик в соединении ISP3
    add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface=eth5-master new-routing-mark=to_ISP1 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP2_conn in-interface=eth5-master new-routing-mark=to_ISP2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP3_conn in-interface=eth5-master new-routing-mark=to_ISP3 passthrough=yes
    add action=mark-routing chain=output connection-mark=ISP1_conn dst-address=!192.168.100.0/24 new-routing-mark=to_ISP1 passthrough=no
    add action=mark-routing chain=output connection-mark=ISP2_conn dst-address=!192.168.100.0/24 dst-address-type=!local new-routing-mark=to_ISP2 passthrough=no
    Очереди:
    /queue tree
    add name=OVERALL parent=eth5-master priority=5 queue=pcq-download-default
    add name=PRIO1 packet-mark=http parent=OVERALL priority=1 queue=pcq-download-default
    add name=queue1 packet-mark=http-exlcude parent=OVERALL queue=pcq-download-default
    add limit-at=1M max-limit=100M name=http packet-mark=http parent=PRIO1 priority=1 queue=pcq-download-default
     
    Чтобы было понятнее - до этого мы договорились метить пакеты ВСЕ без исключения:
    add action=mark-packet chain=forward connection-bytes=0-500000 new-packet-mark=http passthrough=no port=80,443,8080 protocol=tcp
    add action=mark-packet chain=forward new-packet-mark=http passthrough=no port=53 protocol=udp
    add action=mark-packet chain=forward new-packet-mark=http-exlcude packet-mark=no-mark passthrough=no

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 12:23 18-01-2017 | Исправлено: Kryukov Rostislav, 12:32 18-01-2017
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    SibD

    Цитата:
    С копипастом через winbox подружиться не получается из-за его автозавершения команд

    Цитата:
    засада в том, что WinBox не подключается

    Вы бы определились для начала =) А то получается:
    - не могу настроить роутер...
    - в розетку включали?
    - о, точно, теперь получилось!
     
    Kryukov Rostislav
    priority - это способность очереди первой достигнуть своего max-limit. поскольку max-limit указан у вас только в одной очереди, система, видимо, и не работает.
     
    также может помочь указание у OVERALL max-limit в ширину канала минус 5-10%, чтобы не дать пакетам забить ваш канал, когда в работу включится уже шейпер провайдера, самостоятельно решая, чего он там будет резать-приоритизировать

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:38 18-01-2017 | Исправлено: Chupaka, 17:38 18-01-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru