evgeniy7676 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору   MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2), MikroTik RouterOS (часть 3), MikroTik RouterOS (часть 4) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     актуальные версии RouterOS: Stable: 6.44 Long-term: 6.42.11 актуальная версия SwitchOS: 2.9 актуальная версия WinBox: 3.18   Mikrotik — Плюсы и минусы Подробнее... Видео-экскурсия по заводу Mikrotik Ltd FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти Официальная документация: Англоязычный ОФИЦИАЛЬНЫЙ мануал Алфавитный указатель Официальные статьи пользователей RouterOS для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере) Совместимое оборудование Описание изменений в новых версиях RouterOS(+rc) RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS) Система управления пользователями встроенная в RouterOS (RADIUS server) l7-protos.rsc (примеры L7-filter) Официальные ресурсы: Форум Демо-сайт с веб-интерфейсом системы №1        Подробнее... Демо-сайт с веб-интерфейсом системы №2        Подробнее... MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее... "Хардварные решения" MikroTik News MikroTik related video service DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik. Twitter Mikrotik MikroTik Training (Хочешь на тренинг? Получить сертификат?) Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее... Mikrotik Wireless Link Calculator Неофициальная русскоязычная документация    Перейти Обсуждение ROS(форумы)    Перейти Обзоры продуктов RouterBOARD    Перейти Русскоязычные блоги интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:     Mikrotik Ukraine   lanmart.ru   Блог podarok66   technotrade.com.ua     forum.mikrotik.by   slagovskiy.blogspot.com   sibirskiy.blogspot.com   mstream.com.ua     pvsm.ru   ...   axiom-pro.ru   arxont.blogspot.com   habrahabr.ru     ixnfo.com   wel.org.ua   aboutmikrotik.info   papa-admin.ru     netair.by   notme.org.ua   forummikrotik.ru   asp24.com.ua Смежные ресурсы    Перейти   VPN + OSPF в картинках. MikroTik Config Parser mikrotik.vetriks.ru // текущий бэкап шапки.. Всего записей: 124 | Зарегистр. 19-03-2009 | Отправлено: 16:55 30-03-2016 | Исправлено: anton04, 15:34 28-02-2019

Alex_PC Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день!   Гуру помогите разобраться   RouterOS v6.40.5 Проблема заключается в том в ARP виден компьютер, DHCP выдает адрес, но запинговать его невозможно Такая проблема 3-4 компьютера с другими все нормально.   Что пробовал   Менял динамику и статику, а также мастер порт и Bridge, менял айпи адрес не помогает Отключал все правила фаервола   Причем на компютере нормально работает интернет и сеть.   Зайти удалённо на хост не дает, а на другие хосты  заходит   mac ping и ping тайм timeout Подключил хост напрямую в порт патчкордом ((( тоже самое       Всего записей: 125 | Зарегистр. 24-09-2004 | Отправлено: 21:17 11-11-2017 | Исправлено: Alex_PC, 21:26 11-11-2017

468320 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору vertex4 Как-то вы тяжело изъясняетесь. Для меня вланы в новинку, нигде не нашел практичных статей, везде какие-то примеры не из жизни. Во всех статьях написано в этот порт подключаем этих пользователей, в этот порт этих и т.д. Вот нет у меня ничего такого. Есть только микротик и сотня хостов скинутая в одну кучу с принтерами и другим барахлом, кто куда подключен неизвестно. Хочу просто разбить пользователей на вланы ничего не меняя в коммутации. Это возможно? 1. Надо ли убивать DHCP сервер на контроллере домена и делать DHCP на микротике чтобы реализовать нормальную раздачу адресов из разных вланов? 2. Если на микротике в DHCP leases указать мак-адреса всех пользовательских ПК и присвоить им ip-адреса из тех вланов в которых я хочу чтобы они были, разве не заработает так? Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 00:11 12-11-2017 | Исправлено: 468320, 01:42 12-11-2017

Fatal500 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если вы не знаете что такое вланы и зачем, тогда для чего вообще пошли этим путем? Если задача стоит просто сгруппировать пользователей по подсетям для удобства (например бухгалтерия - сеть 192.168.5.0\24; Продажники - 192.168.6.0\24; Экономисты - 192.168.7.0\24) никакие вланы не нужны. На контроллере расширяете в DHCP адресное пространство до размера  \21  или даже \20 и в leases  просто по макам заносите хосты в резервирование.   Чтобы работать именно с вланами и множеством пользователей, выделяя нужным адреса из нужных вланов, наличие управляемого свитча ОБЯЗАТЕЛЬНО. Это главным образом делается для того чтобы трафик полностью разделить, чтобы бухи к примеру не смогли по сети никак зайти на компьютеры продажников, условно говоря. Еще вланами отделяют трафик требующий приоритета перед всем остальным. Например ТВ потоки и voIP потоки. Просто разбиение по группам можно и без вланов запилить.   Добавлено: Цитата: Добрый день!   Гуру помогите разобраться   Не понятна суть задачи. Если эти же айпишники назначить другим компам все работает? Если да то проблема в операционке этих компов. Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 08:10 12-11-2017

468320 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Fatal500 В том-то и дело что не просто разделить. Нужно как раз некоторых изолировать. Плюс есть видеонаблюдение с несколькими десятками видеокамер. Ожидается появление ip-телефонии. А что даст управляемый коммутатор в моей ситуации, если сам роутер микротик умеет эти же вланы? У меня собственно главный вопрос как запихивать устройства в определенный влан. Вот те же принтеры и МФУ, кабели от их розеток не приходят в серверную чтобы можно было выделить их в группу. Ничего нигде не подписано, просто есть работающие устройства и всё.   Приведу пример. На роутере микротик ether1 - интернет, ether3 - локальная сеть (192.168.88.0/24), подключена цепочка обычных свитчей. Если на микротике создать vlan100 (10.10.100.0/24) на локальном бридже и в dhcp leases микротика прописать по макам все принтеры и мфу в подсеть  10.10.100.0/24 так работать не будет? Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 09:42 12-11-2017 | Исправлено: 468320, 09:59 12-11-2017

Fatal500 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: А что даст управляемый коммутатор в моей ситуации, если сам роутер микротик умеет эти же вланы? Ваша задача реализуема только с помощью управляемого коммутатора\нескольких коммутаторов. Без них нечего и думать, чтобы с одним только микротом строить сеть с вланами. Вланы устройства получают или самостоятельно (если их сетевой интерфейс позволяет) или с заведомо известных розеток, о которых вы знаете, что там именно нужный влан. Так что схема "нигде ничего не подписано" не прокатит. Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 10:14 12-11-2017

leshiy_odessa Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 468320 Цитата: В том-то и дело что не просто разделить. Нужно как раз некоторых изолировать.   Можно сделать не на VLAN, а как выше написал Fatal500, а подсети разграничить Firewall.   Коряво, но можно по DHCP выдавать нужный маршрут и шлюз и пользователи будут попадать в пустоту. Еще можно придумать пару десятков костылей.   Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 13:38 12-11-2017

468320 Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Попал в руки управляемый коммутатор CRS326-24G-2S+, в описании написано:   Функция «двойной загрузки» позволяет выбрать, какую операционную систему вы предпочитаете использовать, RouterOS или SwOS. Вы можете выбрать желаемую операционную систему из RouterOS, из SwOS или из настроек загрузчика RouterBOOT.   Облазил все меню в винбоксе, как загрузиться в SwOS?   Добавлено: Отвечу сам себе https://stevedischer.com/mikrotik-dual-boot-lets-choose-swos-routeros/ Всего записей: 73 | Зарегистр. 13-12-2006 | Отправлено: 18:14 12-11-2017 | Исправлено: 468320, 19:00 12-11-2017

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору 468320 Цитата: А что даст управляемый коммутатор в моей ситуации, если сам роутер микротик умеет эти же вланы? У меня собственно главный вопрос как запихивать устройства в определенный влан. VLAN - это, по сути, дополнительный тег на пакете, 2 байта. Первоначально его навешивает управляемый коммутатор, получающий пакеты без тега на портах доступа и навешивающий необходимый тег в соответствии с настройками. Далее пакеты с тегами уходят, например, на транк-порт, к которому подключен роутер. В зависимости от VLAN-тега (802.1q) пакет "приходит" на один из нужных VLAN-интерфейсов роутера. Обратный пакет проходит подобную цепочку, только тег не навешивается, а снимается, и пакет улетает клиенту. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 08:40 13-11-2017

Fatal500 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору До пояснения структуры вланов далеко, чел хочет по вланам раскидать свои рабочие станции, в инфраструктуре которых сейчас наблюдается ПОЛНЫЙ ХАОС. Так вот пока не будет расписано какой патчкорд и куда-откуда идет и не будет поставлен управляемый коммутатот где все порты опять же сопоставлены с конечной рабочей станцией, о разделении сети на вланы можно забыть. Причем сеть с одним коммутатором 12-48 портов это наиболее простой случай. Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 08:56 13-11-2017

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Есть два вмваре-датацентра в филиалах одной большой и несуразной конторы. Наборы виланов в филиалах разные, филиалы связаны через сеть главка (администрируемую врагами) В каждом филиале по виртуальному микротику воткнуто транком в местное ядро.   В одном из филиалов "вражеский" интернет чище, чем в другом. Задача - выпустить избранных из другого филиала через первый филиал в менее поуродованный интернет.   Что работает? ipip туннелль между микротиками.   Избранные ходят в правильный интернет через местный микротик (указыая его дефолтным шлюзом вместо местного ядра).     Что не работает?   eoip туннель то и дело моргает (up/down) Точнее моргать он начинает после попыток сбриджевать его с одним из виланов "правильного филиала" и выдать айпишник из того вилана микротику в "неправильном" филиале.   Помогите пошУтить траблу. Всего записей: 17149 | Зарегистр. 14-10-2001 | Отправлено: 09:16 13-11-2017 | Исправлено: LevT, 09:18 13-11-2017

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT Цитата: eoip туннель то и дело моргает (up/down)   В логе что-нибудь есть при этом? Цитата: после попыток сбриджевать его А бриджевать зачем? Почему маршрутизацию не сделать? Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 09:59 13-11-2017

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: В логе что-нибудь есть при этом?     Ап и даун моргают ежесекундно, точнее чаще В списке топиков для дебага я не нашёл eoip       Цитата: А бриджевать зачем? Почему маршрутизацию не сделать?   По непонятной пока причине маршрутизация не проходит дальше первого микротика (дефолтного шлюза) Пришлось включить там маскарадинг, в дополнение к маскарадингу на выходном микротике. Хочу избавиться от двойного маскарадинга Всего записей: 17149 | Зарегистр. 14-10-2001 | Отправлено: 11:39 13-11-2017

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору LevT "Моргают" - в логе? Keepalive включен? Адресов никаких на тоннеле нет?   Цитата: По непонятной пока причине маршрутизация не проходит дальше первого микротика (дефолтного шлюза)   Пришлось включить там маскарадинг Именно эту часть и надо траблшутить, а не костыль с бриджом Проверять, что на выходном тике есть маршрут к подсети клиентов первого мелкотика через тоннель. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 12:01 13-11-2017

Fatal500 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если между офисами канал надежный и качественный то во втором офисе ничего не надо. Создать туннель по pptp и навести мост eOip и создать одно на всех адресное пространство. И спокойно получать в удаленном офисе адреса от контроллера домена и загонять компы в домен. Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 17:45 15-11-2017

Fatal500 Full Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: в основном офисе уже почти весь пул адресов занят Ничто не мешает его расширить.   Цитата: Или как то можно развести его по своим роутерам? Смотря о чем идет речь. Если про интернет, то ничто не мешает машинам удаленного офиса назначить по DHCP свой местный шлюз в интернет. Чтобы не заворачивать через удаленный. 15 мбит - ни о чем, откровенно говоря. Домену и его машинам лучше всего живется в пределах одной локалки стомегабитной. Так что тут зависит от того, для чего вообще загонять в домен удаленные машины, что это даст полезного? Всего записей: 411 | Зарегистр. 14-03-2016 | Отправлено: 05:06 16-11-2017

bsd9 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток. Никак не соображу как написать regexp для L7. С простейшими промерами вроде разобрался, для блокировки соц. сетей использую ^.+(vk.com|ok.ru).*$ Сложности возникают когда надо заблокировать страницу внутри доменного имени. Каким образом надо написать regexp, чтобы заблокировать например яндекс картинки yandex.ru/images или yandex.ru/video ?     Заранее спасибо! Всего записей: 29 | Зарегистр. 06-08-2014 | Отправлено: 08:31 16-11-2017

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: Каким образом надо написать regexp, чтобы заблокировать например яндекс картинки yandex.ru/images или yandex.ru/video ? Вы забыли указать самый важный момент: перед "yandex.ru" стоит "https://". Т.е. если SNI вас ещё спасает, и обращение к домену можно заблокировать, то URI вы не увидите, пока не научитесь взламывать TLS или пока не настроите прокси. Во втором случае правила блокировки будут писаться в прокси, а не в IP Firewall. Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 09:23 16-11-2017

bsd9 Newbie Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата:   Вы забыли указать самый важный момент: перед "yandex.ru" стоит "https://". Т.е. если SNI вас ещё спасает, и обращение к домену можно заблокировать, то URI вы не увидите, пока не научитесь взламывать TLS или пока не настроите прокси. Во втором случае правила блокировки будут писаться в прокси, а не в IP Firewall.   Если коротко, то я понял, что это невозможно. Я слышал, что web-proxy работает только с HTTP ? Извините за глупые вопросы, я только разбираюсь. Всего записей: 29 | Зарегистр. 06-08-2014 | Отправлено: 09:39 16-11-2017

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 4)

articlebot (11-03-2019 21:34): продолжение в MikroTik RouterOS (часть 5)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование