Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

evgeniy7676



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
актуальные версии RouterOS:
Stable: 6.44 Long-term: 6.42.11

актуальная версия SwitchOS: 2.9
актуальная версия WinBox: 3.18

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmitrydestroyer
    Извини, отключился от решения твоей проблемы.
    Чтобы ускорить ее решение предлагаю скинуть мне твой конфиг с пояснением как увидеть твою багу.
    Это будет проще и быстрее.
     
    Конфигу можешь мне в личку слить.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 21:12 24-01-2017
    tip22



    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    эх , ну подскажите пожалуйста по моему вопросу  
    ______
    для хотспота ничего нового не придумали , по редиректу на https  
     
    Много клиентов  со смартфонами , там по умолчанию https://google.com
    на страницу авторизации не попадают , подскажите пожалуйста кто как решал .
    ____
     

    Всего записей: 240 | Зарегистр. 12-02-2007 | Отправлено: 00:56 25-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    tip22
    Используй валед-гарден

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 00:59 25-01-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmitrydestroyer
    Скорее всего сам ресурс linkedin.com не поддерживает шифрование
     
    Добавлено:
    Плюс к этому есть проблема в самой системе
    https://support.microsoft.com/ru-ru/help/3151631/rc4-cipher-is-no-longer-supported-in-internet-explorer-11-or-microsoft-edge
     
    Плюс провайдер при не возможности заблокировать по https что то блокирует
    это не проблема микротика.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 03:01 25-01-2017
    Dokimoss33

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Добрый день! Подскажите пожалуйста, каким образом можно настроить фаервол, чтобы на одном из компов, не грузились странички, но работал остальной интернет (почтовый клиент, скайп, клиент БД).

    Всего записей: 2 | Зарегистр. 25-01-2017 | Отправлено: 07:25 25-01-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Dokimoss33
    добавить этот IP компа в список, и дальше при создании правила и в вкладке Advanced в SRC выбрать этот список, и дальше уже делать с ним всё что угодно.
    ну или грамотно задать свой вопрос ...

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 09:17 25-01-2017
    Dokimoss33

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Как добавить комп, я знаю. Мне нужно чтобы человек не мог зайти ни на один сайт, но при этом у него работал Outlook. Куда еще понятнее можно спросить?

    Всего записей: 2 | Зарегистр. 25-01-2017 | Отправлено: 09:54 25-01-2017
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в нат создать правило маскарадинга с src-address не на всю подсетку а на конкретные ip и там указать в качестве dst port нужные порты сервисов, по которым например работает аутлук.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 09:59 25-01-2017
    DrDEVIL666

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fatal500
    Я бы сделал проще,  
     
    ip firewall filter add chain=output out-interface=l2tp-out src-a
    ddress-list=имя компа в списке action=reject reject-with=tcp-reset  

    Всего записей: 273 | Зарегистр. 02-08-2010 | Отправлено: 10:04 25-01-2017
    Fatal500



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Можно и так но тогда отвалится все то что по TCP  работает - например аська, агент. Сервисы проще по порту отфильтровать нужные. Проще тогда в фаерволе dst-port  80 заблочить для конкретных ip адресов из листа.

    Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:07 25-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Странно работает балансировка РСС. Страницы открываются очень долго или не открываются, недогружаются. Чтобы догрузились надо обновлять 2-5 раз. Если оставить живым 1 канал в интернет то все летает. И не важно какой канал - на любом. Попробуем разобраться?

    Код:
     
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP1-MTS new-connection-mark=ISP1_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP2-Rostelecom new-connection-mark=ISP2_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=ISP3-MTS new-connection-mark=ISP3_conn passthrough=yes
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:3/0
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:3/1
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local in-interface=eth5-master new-connection-mark=ISP3_conn passthrough=yes per-connection-classifier=both-addresses:3/2
    add action=mark-routing chain=prerouting connection-mark=ISP1_conn in-interface=eth5-master new-routing-mark=to_ISP1 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP2_conn in-interface=eth5-master new-routing-mark=to_ISP2 passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=ISP3_conn in-interface=eth5-master new-routing-mark=to_ISP3 passthrough=yes
    add action=mark-routing chain=output connection-mark=ISP1_conn dst-address=!192.168.100.0/24 new-routing-mark=to_ISP1 passthrough=no
    add action=mark-routing chain=output connection-mark=ISP2_conn dst-address=!192.168.100.0/24 dst-address-type=!local new-routing-mark=to_ISP2 passthrough=no
    add action=mark-routing chain=output connection-mark=ISP3_conn dst-address=!192.168.100.0/24 dst-address-type=!local new-routing-mark=to_ISP3 passthrough=no
     

     
    Добавлено:
    Маркировку пакетов из балансировки вырезал чтобы не заграмождать код.

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 12:34 25-01-2017
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Как добавить комп, я знаю. Мне нужно чтобы человек не мог зайти ни на один сайт, но при этом у него работал Outlook.

     
    Использовать правила в Firewall с портами  
     
    1. Разрешить IP все кроме — [!]80,443
    2. Запретить IP всё.
     
    Или одно — правило запретить всё, кроме портов почты — [!] 25, 110, 995, 465.
     
    Обратите внимание что если поставить восклицательный знак, то это будет означать — КРОМЕ.
     
       
     
    https://technet.microsoft.com/ru-ru/library/bb331973(v=exchg.150).aspx
     
     
    Добавлено:
    Dokimoss33
     
    6.1. Как ходит трафик в Микротик
     
    Настройка фильтрации трафика на Mikrotik. Часть 1
     
    Проброс портов в Микротике — ликбез для начинающих

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 14:08 25-01-2017
    dmitrydestroyer

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Fatal500
    Так скажите, чего не хватает, в моих интересах же...
     
    Добавлено:
    karavan
    Вечерком скину, спасибо
     
    alexnov66
    Тогда каким образом, если пустить абсолютно весь трафик по впн, то всё работает??

    Всего записей: 89 | Зарегистр. 29-03-2011 | Отправлено: 14:29 25-01-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmitrydestroyer

    Цитата:
    Тогда каким образом, если пустить абсолютно весь трафик по впн, то всё работает??

    Это лишний раз доказывает что провайдер что то блокирует, ресурсы которые не блокируются таких глюков нет.
     
    Добавлено:
    Kryukov Rostislav
    Ни одна железка в мире не обьеденит вам каналы полноценно с сумированием скорости, это делается на уровне провайдера.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 07:22 26-01-2017
    Kryukov Rostislav

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Ни одна железка в мире не обьеденит вам каналы полноценно с сумированием скорости, это делается на уровне провайдера.

    Мне не надо их полноценно суммировать, я не пойму почему при РСС балансировке страницы не прогружаются до конца, а иногда вообще не открываются. Если выключить лишние каналы то все мгновенно открывается и прекрасно работает. Толи в новых версиях ROS что то сломали то ли я не правильно настроил.
     
    Добавлено:
    Подскажите еще, что это за вечно висящее соединение?
    http://prntscr.com/e0iiwf
    У меня 3 канала, 2 из них МТС с серыми IP. Догадываюсь это от них, но мультикаст от них не использую, ТВ у них по коаксиальному кабелю. Зачем тогда мне это соединение и что оно дает?

    Всего записей: 143 | Зарегистр. 30-12-2011 | Отправлено: 09:12 26-01-2017
    dmitrydestroyer

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    alexnov66

    Цитата:
     Это лишний раз доказывает что провайдер что то блокирует, ресурсы которые не блокируются таких глюков нет.  

    естественно, провайдер что-то блокирует, как я сам до этого не догадался....

    Цитата:
    я тут все с провайдером своим потихоньку борюсь, точнее с его блокировкой запрещенных ресурсов  

     
    karavan
    я вам все вчера отправил

    Всего записей: 89 | Зарегистр. 29-03-2011 | Отправлено: 19:12 26-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dmitrydestroyer
    Честно признаюсь, времени на разбор твоей конфиги решил не тратить.
    Проще было свою конфигу сваять.
     
    Конфа в минимальной комплектации для обхода блокировок
     
     
    Добавлено:
    P.S.: Из моей конфы убери строчки:

    Код:
    /interface pptp-server server  
    set enabled=yes  

    Случайно осталось с предыдущих тестов.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 04:25 28-01-2017
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    dmitrydestroyer

    Цитата:
    естественно, провайдер что-то блокирует, как я сам до этого не догадался....  

    Так от нас вы чего хотите, обратитесь к провайдеру почему он по http выдаёт вам заглушку а по https нет.
     
    Добавлено:
    Естественно через тунель будет работать так как там не блокируется ни чего.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 08:08 28-01-2017
    karavan



    Advanced Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    Так от нас вы чего хотит

    Я так понял, что он желает через vpn пропускать только запросы к блокируемым ресурсам, а остальной трафик загонять в обычный дефолт.

    Всего записей: 1962 | Зарегистр. 02-12-2011 | Отправлено: 15:55 28-01-2017
    dmitrydestroyer

    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    karavan
    вы не поверите, но ваш конфиг - копия с моего
    за тем лишь исключением, что у меня есть уточнения в виде  
     
    /interface list
    add name=home
     
    /interface list member
    add interface=vlan22_for_desktops list=home
    add interface=wi-fi list=home
    add interface=ether2_lan_master list=home
    add interface=ether3_lan_slave list=home  
     
    /ip firewall mangle  
     add action=mark-routing chain=prerouting dst-address-list=censored_rkn.gov.ru in-interface-list=home new-routing-mark=OVH passthrough=no  
     
    если убрать in-interface-list=home - оно вообще перестает работать, что мне кажется весьма странным, т.к. это правило уточняющее и при его отсутствии траф 100% туда попадать должен..

    Всего записей: 89 | Зарегистр. 29-03-2011 | Отправлено: 21:16 28-01-2017
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)
    articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru