Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Уважаемые, что-то у меня ступор...
    Надо сделать проброс с вешнего адреса 1.2.3.4 и порта 10000 на внутренний 10.10.10.10 и порт 3389
    Сделать надо так ,чтоб запрос на приходил не с внешнего адреса, а от внутреннего интерфейса. Пусть это 10.10.10.1

    Код:
    /ip firewall nat add action=dst-nat chain=dstnat dst-port=10000 protocol=tcp to-addresses=10.10.10.10
    /ip firewall nat add action=masquerade chain=srcnat src-address=1.2.3.4 dst-address=10.10.10.10 protocol=tcp dst-port=3389
    Не работает

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:43 29-05-2019 | Исправлено: Paromshick, 22:44 29-05-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Sashaiv74

    Цитата:
    в предыдущих пошивках обязательно надо было в фаерволе открывать порт rdp

    Скорее в предыдущем кривом наборе правил фаервола.

    Цитата:
    в предыдущей прошивке правила не перемещались

    Тоже какие-то сказки.
     

    Цитата:
    есть практический смысл сегодня делать прозрачный прокси сервер в микротике?

    Если есть какие-то колхозные сайты, которые до сих пор работают через HTTP и их нужно запретить - то да, а так смысла уже лет 10 как нет.
     

    Цитата:
    все ip сети динамические (потом в микротике сделать make static) или пусть постоянные хосты будут со статическими i

    Зависит от задач.
     

    Цитата:
    net flow микротика

    в гугл
     

    Цитата:
    рекомендуют DUDE

    Не на всех архитектурах можно запустить и требует промышленной флешки для базы.
     
     
    Paromshick

    Цитата:
    /ip firewall nat add action=dst-nat chain=dstnat dst-port=10000 protocol=tcp to-addresses=10.10.10.10  

    Откуда, куда - непонятно

    Цитата:
    /ip firewall nat add action=masquerade chain=srcnat src-address=1.2.3.4 dst-address=10.10.10.10 protocol=tcp dst-port=3389  

    Откуда, куда - непонятно, да ещё и указан порт, про который в первом правиле ни слова. Конечно не работает. Да и вообще костыли какие-то, так лучше не делать в любом случае.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 12:45 30-05-2019
    Sashaiv74

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    add action=dst-nat chain=dstnat dst-port=10000 protocol=tcp to-addresses=10.10.10.10 to-ports=3389
    add action=masquerade chain=srcnat dst-address=10.10.10.10 protocol=tcp src-address=10.10.10.1

    Всего записей: 8 | Зарегистр. 19-07-2011 | Отправлено: 12:53 30-05-2019
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp
    Я понимаю, что девайсу не понятно. Для людей написал сопроводиловку. Вроде бы полная?
     
    Всякий запрос, получаемый на внешний адрес и TCP порт 10000 перенаправляется на внутренний адрес и порт 3389.
    Всем понятно, что это проброс RDP.
    Надо его замаскарадить так, чтоб внутренний сервер думал ,что запрос идёт от девйса, а не от внешнего клиента. Иначе он отвечает на свой шлюз по умолчанию, и дружба рукопожатием не происходит.
    Просто я не могу там особо дёргать что-то, надо сразу выстрелить в 10
     
    Добавлено:
    Sashaiv74
    Похоже на правду. Всё у меня перепутано было. Попробую проверить

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 20:43 30-05-2019
    Zlodeyz



    Junior Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Хочу поделиться 2-мя скриптами, автор Андрей Радоманов
    Запрос USSD ( Декодирует UTF-8 кириллицу в транслит.)
    https://forummikrotik.ru/viewtopic.php?p=62665#p62665
     
    Чтение СМС на русском в транслите.
    https://forummikrotik.ru/viewtopic.php?p=60260#p60260

    Всего записей: 189 | Зарегистр. 18-11-2006 | Отправлено: 15:37 05-06-2019
    Traveller

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Используется  L2TP/IpSec с pre shared key. Обнаружил на ipsec пирах грозную надпись: --- Unsafe configuration, suggestion to use sertificates. Сколько ни искал в настройках L2TP возможность использовать сертификат вместо ключа - так и не нашел. В вики Микротика примеры тоже только с pre shared key. Я плохо искал или это действительно невозможно сделать? А если невозможно, то чего он ругается, для порядку?

    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 10:26 07-07-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Traveller

    Цитата:
    Сколько ни искал в настройках L2TP возможность использовать сертификат вместо ключа - так и не нашел.

    Потому что их там нет. Для использования сертификата надо вручную настроить IPSec, готовой опции, которая сама всё сделает, как с pre-shared key, на данный момент нет.

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:23 07-07-2019
    Traveller

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Для использования сертификата надо вручную настроить IPSec, готовой опции, которая сама всё сделает, как с pre-shared key, на данный момент нет.

    Понятно, спасибо. А где-то можно почитать, как прикрутить сертификат к L2TP/IpSec?

    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 17:13 07-07-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Traveller
    В интернете полно описаний, пример для ovpn хотя бы тут, к L2TP/IpSec возможно то же есть, поддерживает это ли сам апарат

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 05:50 08-07-2019 | Исправлено: alexnov66, 06:01 08-07-2019
    Traveller

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    к L2TP/IpSec возможно то же есть, поддерживает это ли сам апарат

    Нет. В винбокс настройках овпн сервера и овпн клиента есть поле для указания сертификата. В настройках л2тп сервера и л2тп клиента есть галка использовать ипсек и поле ипсек секрет. Полей для указания сертификата нет. А как это может не поддерживать аппарат? Это может не поддерживать РОС и все аппараты ее уровня лицензии.

    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 07:34 08-07-2019
    alexnov66



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Traveller
    В разделе /ip ipsec identity можно указать сертификат подключению.

    Всего записей: 1195 | Зарегистр. 29-08-2005 | Отправлено: 08:23 08-07-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Traveller
    > В настройках л2тп сервера и л2тп клиента есть галка использовать ипсек и поле ипсек секрет
     
    Не так давно и этой галки не было, что не мешало настраивать сервер на приём L2TP over IPSec. И сейчас не мешает

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 08:44 08-07-2019
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    http://forum.ru-board.com/topic.cgi?forum=5&topic=50276
     
    Добавление в address-list адреса из буфера обмена:

    Код:
     
    def add_ip():
        routeros_send(
            [
                '/ip/firewall/address-list/add'
                , '=list=my_list'
                , '=address=' + clip_get()
            ]
            , device_ip='192.168.88.1'
            , device_user='admin'
            , device_pwd='PaSsWoRd'
        )
        msgbox('Готово!')
     

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 21:03 08-07-2019
    highlander9

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Всем доброго Дня!
    Есть пользователи, сидят на WiFi mikrotik.
    192.168.88.0/24  
     
    Есть файловый сервер в сети 192.168.126.0/24
     
    Микротик соединяет эти две сети.
    Проблема в том что этот файловый сервер периодически не доступен пользователям WiFi. Проводник нужно постоянно обновлять чтобы увидеть файлы сервера.  
     
    Те кто на проводе в сети 126.0 таких проблем с сервером не имеют.
     
    PS: wifi работает стабильно, не отваливается
    Если кто сталкивался с такой проблемой, подскажите куда копать?

    Всего записей: 260 | Зарегистр. 10-12-2003 | Отправлено: 09:49 10-07-2019 | Исправлено: highlander9, 09:49 10-07-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    highlander9
    Доброго. Т.е. вы заходите в папку на сервере — и она пустая, пока не обновите несколько раз?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 10:43 10-07-2019
    highlander9

    Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    highlander9  
    Доброго. Т.е. вы заходите в папку на сервере — и она пустая, пока не обновите несколько раз?

     
    Первый клик по сетевой папке (по ip без dns) открывается 5 сек. Все остальные подключения к сетевым папкам открываются мгновенно.  
    Потом какое-то время можно работать с файлами, потом проводник выдает сообщение что сетевой ресурс больше не доступен. Не закрывая проводник можно пару раз его обновить, файлы вновь проявляются.
    Такая проблема часто наблюдается только для wifi пользователей и если человек 5 одновременно работают с сервером

    Всего записей: 260 | Зарегистр. 10-12-2003 | Отправлено: 11:09 10-07-2019 | Исправлено: highlander9, 11:11 10-07-2019
    moto831

    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте. Помогите разобраться в проблеме. Некоторое время назад перестал строится vpn с роутером на openwrt, при этом до двух микротиков vpn строится нормально.
     
    по логу микротика видно следующее:
     
    Jul/10/2019 23:05:59 pptp,info TCP connection established from 100.ххх.ххх.ххх
    Jul/10/2019 23:06:00 pptp,debug,packet rcvd Start-Control-Connection-Request from 100.ххх.ххх.ххх
    Jul/10/2019 23:06:00 pptp,debug,packet     protocol-version=0x0100
    Jul/10/2019 23:06:00 pptp,debug,packet     framing-capabilities=3
    Jul/10/2019 23:06:00 pptp,debug,packet     bearer-capabilities=3
    Jul/10/2019 23:06:00 pptp,debug,packet     maximum-channels=65535
    Jul/10/2019 23:06:00 pptp,debug,packet     firmware-revision=1
    Jul/10/2019 23:06:00 pptp,debug,packet     host-name=local
    Jul/10/2019 23:06:00 pptp,debug,packet     vendor-name=cananian
    Jul/10/2019 23:06:00 pptp,debug,packet sent Start-Control-Connection-Reply to 100.ххх.ххх.ххх
    Jul/10/2019 23:06:00 pptp,debug,packet     protocol-version=0x0100
    Jul/10/2019 23:06:00 pptp,debug,packet     result-code=1
    Jul/10/2019 23:06:00 pptp,debug,packet     error-code=0
    Jul/10/2019 23:06:00 pptp,debug,packet     framing-capabilities=2
    Jul/10/2019 23:06:00 pptp,debug,packet     bearer-capabilities=0
    Jul/10/2019 23:06:00 pptp,debug,packet     maximum-channels=0
    Jul/10/2019 23:06:00 pptp,debug,packet     firmware-revision=1
    Jul/10/2019 23:06:00 pptp,debug,packet     host-name=MikroTik
    Jul/10/2019 23:06:00 pptp,debug,packet     vendor-name=MikroTik
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: CCP close
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: BCP close
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: IPCP close
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: IPV6CP close
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: MPLSCP close
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: LCP lowerdown
    Jul/10/2019 23:06:00 pptp,ppp,debug <13979>: LCP down event in initial state
     
    Лог с роутера openwrt посмотреть не могу, как и зайти на него, т.к. он в другом городе. Могу его только удаленно перезагрузить, но это не помогает.

    Всего записей: 7 | Зарегистр. 28-12-2008 | Отправлено: 17:22 10-07-2019 | Исправлено: moto831, 17:22 10-07-2019
    Traveller

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Микротик сам испугался, сам и передумал. В версии 6.44.5 LT изменили взаимодействие L2TP с IPSEC, в ипсек теперь вообще ничего настраивать не нужно, все необходимые пиры создаются динамически и они тут же перестали быть опасными. Микротик передумал и соединение л2тп/ипсек с ключом вновь стало безопасным .

    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 22:12 10-07-2019
    Chupaka



    Silver Member
    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Traveller

    Цитата:
    В версии 6.44.5 LT изменили взаимодействие L2TP с IPSEC, в ипсек теперь вообще ничего настраивать не нужно

    А раньше нужно было? Ключ указал в настройках сервера - и всё... Это ведь не настройка IPSec?

    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 22:17 10-07-2019
    Traveller

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А раньше нужно было? Ключ указал в настройках сервера - и всё... Это ведь не настройка IPSec?

    Уже не знаю . Настройка старая. Может когда-то и нужно было. Зачем-то у меня были настроены статические пиры. Которые успешно перестали работать при переходе на 6.44.

    Всего записей: 128 | Зарегистр. 07-12-2002 | Отправлено: 22:53 10-07-2019 | Исправлено: Traveller, 22:53 10-07-2019
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru