Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

Открыть новую тему     Написать ответ в эту тему

Germanus



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
Предыдущие части темы: часть 1, часть 2, часть 3, часть 4
Официальный сайт: https://mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
актуальные версии RouterOS:
Stable: 7.14.2 Подробнее... Testing: 7.15b8
Stable: 6.49.13 Long-term: 6.49.10

актуальная версия SwitchOS: 2.17
актуальная версия WinBox: 3.40 32/64-bit Подробнее...

 
Mikrotik — Плюсы и минусы Подробнее...
Видео-экскурсия по заводу Mikrotik Ltd


FAQ по особенностям и тонкостям MikroTik RouterOS  Перейти



Официальная документация:
  • Англоязычный ОФИЦИАЛЬНЫЙ мануал
  • Алфавитный указатель
  • Официальные статьи пользователей RouterOS
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
  • Совместимое оборудование
  • Описание изменений в новых версиях RouterOS(+rc)
  • RouterBOOT changelog (изменения в boot-версиях загрузчика RouterOS)
  • Система управления пользователями встроенная в RouterOS (RADIUS server)
  • l7-protos.rsc (примеры L7-filter)


    Официальные ресурсы:
    Форум
    Демо-сайт с веб-интерфейсом системы №1        Подробнее...
    Демо-сайт с веб-интерфейсом системы №2        Подробнее...
    MikroTik User Meeting(Конференции пользователей Mikrotik)        Подробнее...
    "Хардварные решения"
    MikroTik News
    MikroTik related video service
    DESIGNS.MIKROTIK.COM - сервис для брендирования продукции Mikrotik.
    Twitter Mikrotik
    MikroTik Training (Хочешь на тренинг? Получить сертификат?)
    Предыдущие версии RouterOS Подробнее...    История релизов  Подробнее...
    Mikrotik Wireless Link Calculator


    Неофициальная русскоязычная документация    Перейти
    Обсуждение ROS(форумы)    Перейти
    Обзоры продуктов RouterBOARD    Перейти


    Русскоязычные ресурсы интернет-магазинов и блоггеров по настройке и тонкостям Mikrotik:  
     


     

     

     
       


     

     
         
     
     
         
     
     
         
     
     
     



    Смежные ресурсы    Перейти
     
    VPN + OSPF в картинках.
    MikroTik Config Parser
    mikrotik.vetriks.ru

    // текущий бэкап шапки..

  • Всего записей: 4418 | Зарегистр. 08-06-2003 | Отправлено: 11:02 07-03-2019 | Исправлено: anton04, 12:30 28-03-2024
    FiLDiX



    Newbie
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    To all people
    Снимок экрана
    Где-то читал, что откатиться можно не ниже Factory Firmware, указанной в System > Routerboard.
    Но тут дилемма заключается в том, что в System > Resources указана версия ниже и называется как Factory Software.
    От чего отталкиваться и что это значит?
     
    fakintosh
    Пока что не одолел настройки скидывания лога на ПК.
    Будьте любезны расписать пошагово на примере вашей программы.

    Всего записей: 18 | Зарегистр. 07-04-2020 | Отправлено: 13:11 10-04-2020 | Исправлено: FiLDiX, 13:15 10-04-2020
    Kanev75



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подскажите, пожалуйста, где можно прочесть о настройке такой конфигурации.
     
    Частный дом из двух частей, интернет приход в первую часть, там Mikrotik RB951G-2HnD (wifi, TV по кабелю).
    Нужно подключить вторую часть дома (соседи), там D-Link, подключенный кабелем к  Mikrotik из первой части дома (свой диапазон адресов, wifi, TV по кабелю)
    Заранее спасибо

    Всего записей: 654 | Зарегистр. 30-05-2003 | Отправлено: 15:17 10-04-2020 | Исправлено: Kanev75, 15:19 10-04-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kanev75
    ну так вы вроде уже все сами и расписали:
    wan-порт длинка из 2-ой части подключен в lan-порт микротика и получает от микрота по dhcp серый адрес.
    Всё.

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 15:37 10-04-2020
    Kanev75



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    ну так вы вроде уже все сами и расписали:
    wan-порт длинка из 2-ой части подключен в lan-порт микротика и получает от микрота по dhcp серый адрес.
    Всё.

    И никаких дополнительных настроек не нужно?
    как зафиксировать IP , который будет назначаться D-Link?
    что бы он своим клиентам назначал адреса с своего диапазона

    Всего записей: 654 | Зарегистр. 30-05-2003 | Отправлено: 16:34 10-04-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Kanev75

    Цитата:
    как зафиксировать IP , который будет назначаться D-Link?

    зафиксировать адрес клиента (неважно комп это или длинк во второй части) на микротике несложно:
    IP -> DHCP Server -> Leases
    выбираешь динамически выданый клиенту ип, правой мышой по нему и "Make Statik" что превратит динамически выданый адрес в статически выдаваемый клиенту адрес.
     

    Цитата:
    что бы он своим клиентам назначал адреса с своего диапазона

    а это уже настройки длинка, какие адреса он выдает в "своей локалке". А то что описал выше - это адрес длинка на порту WAN и не имеет отношения к локалке длинка.
     
    П.с. но в такой схеме кстати есть косяк. т.к. локалка длинка будет иметь доступ к компам локалки микрота. По хорошему порт микротика к которому подключается длинк - надо вывести в отдельную подсеть микротика без доступа к остальной локалки микрота

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 20:25 10-04-2020 | Исправлено: fly_indiz, 21:14 10-04-2020
    YuraseK

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Не могу понять в чём дело: используется несколько MikroTik для подключения к центральному офису через L2TP + IPSec. На одной из удалённых точек используется MikroTik с LTE модемом Huawei E3372h в режиме HiLink. В этом случае максимальный размер буфера отправки между удалёнными машинами с использованием ping составляет 1360 байт. Для всех остальных подключений это значение составляет 1422 байта (подключения к интернет по PPPoE и Ethernet). Значения MTU на всех удалённых MikroTik одинаковые.
    Как могла возникнуть такая разница в 62 байта?
    P.S. Только в одном направлении наблюдается эта проблема: с удалённой точки доходит 1422 байта, а с центрального офиса только 1360, но с центрального офиса в других направлениях ограничение не наблюдается. Из нюансов отмечу, что проблемный клиент за NAT.
    Проблему удалось решить, прописав Max MRU = 1388 (1360 + 20 + 8) для клиента. Вот только странно то, что теперь MSS изменяется в двух направлениях.

    Всего записей: 527 | Зарегистр. 12-12-2003 | Отправлено: 00:16 11-04-2020 | Исправлено: YuraseK, 21:04 12-04-2020
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Port Knocking для MikroTik через ссылку:
    https://github.com/vikilpet/Web-Knocking
    Теоретически должно запускаться и на Linux.
    Теоретически можно сделать не только для MikroTik.
     
     

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 19:06 13-04-2020 | Исправлено: vklp, 19:07 13-04-2020
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Вопрос по простым очередям. Как выделить диапазон адресов, не подпадающий под действия очередей и не имеющий ограничений?
    Сейчас

    Код:
    ### Packets marking
    /ip firewall mangle add chain=forward src-address-list=1M action=mark-packet new-packet-mark=1M comment="Upload 1M"
    /ip firewall mangle add chain=forward dst-address-list=1M action=mark-packet new-packet-mark=1M comment="Download 1M"
     
    # и так, через интервалы до 100
     
    /ip firewall mangle add chain=forward src-address-list=100M action=mark-packet new-packet-mark=100M comment="Upload 100M"
    /ip firewall mangle add chain=forward dst-address-list=100M action=mark-packet new-packet-mark=100M comment="Download 100M"
    ### Queqe Types
    /queue type add name="PCQ_download_1M" kind=pcq pcq-rate=1M pcq-classifier=dst-address pcq-burst-rate=10M pcq-burst-threshold=1001K pcq-burst-time=10s
    /queue type add name="PCQ_upload_1M" kind=pcq pcq-rate=1M pcq-classifier=src-address
     
    # то же самое, что и с маркированием - продолжается до 100
     
    ### LAN rules
    /queue simple add name=LAN-100M target=10.110.0.0/16 packet-marks=100M queue=PCQ_upload_100M/PCQ_download_100M
     
    # В обратном порядке - снижение от 100 к 5-ти
     
    /queue simple add name=LAN-Default-5M target=10.110.0.0/16 queue=PCQ_download_5M/PCQ_download_5M burst-limit=10M/10M burst-threshold=9M/9M burst-time=15s/15s
     

    Рулежка скоростями происходит через адрес листы, а все не включенные ни в один - 5 метров.
    Вопрос. Как мне из этого диапазона выделить подсетку, не имеющую ограничений. Сделал так
    Код:
    name="Translation (no limit)" target=10.110.43.16/28 parent=none packet-marks="" priority=8/8 queue=default/default limit-at=0/0 max-limit=0/0 burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1
    но не уверен. "default" это всё же очередь, что-то она значит. No limit - такого нет А надо.
    Как?
     
    Добавлено:
    Замеры показывают скорость около 50-ти, при этом ширина канала больше.


    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 12:03 14-04-2020 | Исправлено: Paromshick, 12:04 14-04-2020
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Paromshick
    Подсетка без ограничени т.е. это не клиенты, а ресурсы для клиентов?
    Почему бы не добавить в mangle в начале маркировку пакетов до этой подсетки с меткой "Upload 100" и без passthrough, выше сотки-то всё равно может быть, как я понял.
    И, кстати, если канал от провайдера 100, то максимальное ограничение где-то 90 должно быть.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 14:27 14-04-2020
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp
    Речь скорее о том, как в общем диапазоне /16 в котором по любому присутствует то или иное ограничение скорости (механизм описан выше), выделить узкий диапазон /28, к которому бы никакие ограничения не применялись
    Последнюю строчку не ясно выложил. Я добавил строчку на самый верх

    Цитата:
    queue simple name="Translation (no limit)" target=10.110.43.16/28 queue=default/default
    По сути - я не уверен за default. Что это значит?
     
    Просто я не могу понять. То ли к клиенту всё же применяются какие-то ограничения (скорость не полная), то ли провисание в другом месте, не на микроте.
    Канал больше 100

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 16:58 14-04-2020
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    По сути - я не уверен за default. Что это значит?  

    То и значит - тип очереди (/queue type).

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 17:16 14-04-2020
    Paromshick



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ага. А default-small означает тоже самое, только маленькое. А wireless-default
    Вот спасибо. Вопрос снят.

    ----------
    Скучно

    Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 17:19 14-04-2020
    YuraseK

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Может кто сталкивался с такой проблемой?
    Для связи офисов используется MikroTik и L2TP + IPSec, иногда соединение прерывается и все последующие попытки установить соединение становятся безуспешными, при этом связь есть и пакеты проходят в обе стороны. В этот момент, если включить отладочный режим, то из подозрительного можно увидеть следующие сообщения:

    Цитата:
    NAT-D payload #0 doesn't match
    IP клиента Hashing IP клиента[54583] with algo #2  
    NAT-D payload #1 doesn't match
    NAT detected: ME PEER
    the packet is retransmitted by IP клиента[54528]

    Клиент за NAT.

    Всего записей: 527 | Зарегистр. 12-12-2003 | Отправлено: 12:43 17-04-2020
    leshiy_odessa



    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    YuraseK

    Цитата:
     MikroTik и L2TP + IPSec, иногда соединение прерывается

     
    Мне от реконектов сильно помогло :
     
    /system package update set channel=long-term
    /interface l2tp-server server set keepalive-timeout=60
     
    P.S. Я понимаю, что это не устранит вашу проблему.

    Всего записей: 546 | Зарегистр. 23-09-2001 | Отправлено: 13:04 17-04-2020 | Исправлено: leshiy_odessa, 13:05 17-04-2020
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    в декабре сменил 2011 на 4011 и примерно в это же время пропала возможность заходить на rutor.info и все его официальные зеркала
    учитывая карантин и свободное время, решил попробовать разобраться в вопросе
     
    - провайдер точно не блокирует, с других его ip захожу без проблем
    - мои устройства тоже не блокируют, цепляюсь к соседскому wifi и всё работает
    - администрация rutor говорит, что блокировку пользователей по ip они не осуществляют
    - я (вроде бы) ничего на роутере не блокировал
     
    я бы мог предположить, что это моя вина и локальная проблема, но только если бы не открывался основной сайт или одно зеркало, но не всё сразу и одновременно
     
    подскажите, где в роутере может быть настроена блокировка?
     
    вариант "сбросить роутер и проверить" пока оставляю на последок

    Всего записей: 1635 | Зарегистр. 20-02-2007 | Отправлено: 12:10 18-04-2020
    fly_indiz



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
    неплохо выкладывать свой конфиг с hide-sensitive для анализа. гадать на кофейной гуще - мало результата даст....
     
    Добавлено:
    leshiy_odessa

    Цитата:
    /system package update set channel=long-term

    ну это советовать не очень правильно. Каждый сам разберется ОС какой версии ему иметь. Например меня полностью устраивает stable-версия. А у кого-то могут быть фишки очень зависимые от версии, и случайная смена канала может при последующем обновлении чтонибудь  поломать

    Всего записей: 2611 | Зарегистр. 28-04-2006 | Отправлено: 15:13 18-04-2020
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
    Напишите, что именно пишет браузер при попытке входа.
    Провайдер по закону обязан блокировать список РКН, возможно в других местах у вас либо левый DNS, либо какие-то ещё способы обхода.

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 15:25 18-04-2020
    zBear



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vklp

    Цитата:
    что именно пишет браузер

    The connection has timed out
     

    Цитата:
    Провайдер по закону обязан блокировать список РКН

    я не из РФ
    так же я проверял этот сайт и зеркала у других пользователей этого провайдера, всё работает
    DNSы 8.8.8.8 и 9.9.9.9, менял и на другие, результата нет

    Всего записей: 1635 | Зарегистр. 20-02-2007 | Отправлено: 17:37 18-04-2020 | Исправлено: zBear, 15:25 20-04-2020
    vklp

    Junior Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    zBear
    tracert, ping до рутора.
    Антивирус отключать пробовали?

    Всего записей: 132 | Зарегистр. 21-02-2019 | Отправлено: 22:13 18-04-2020
    YuraseK

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Да, всё-таки, когда на офисе, где на MikroTik CHR 6.46.1 поднят L2TP + IPSec сервер, происходит разрыв соединения, то все клиенты, что не за NAT, успешно переподключаются, а вот с клиентом за NAT, который работает через MikroTik hAP ac2 (RouterOS 6.46.5) и Huawei E3372h в режиме HiLink, возникает проблема.
    leshiy_odessa
    Нашёл Ваши комментарии к статье Обзор IPSec в Mikrotik. Может в моём случае такая ситуация, что не удаётся установить повторно соединение со стороны клиента, т.к. у него используется тот же IP адрес и порт, которые были до разрыва соединения?
    P.S. Помогает, если в Kerio Control, который пробрасывает IPSec до MikroTik CHR, разорвать соединение, тогда соединение от клиента происходит с новым портом.

    Всего записей: 527 | Зарегистр. 12-12-2003 | Отправлено: 00:29 19-04-2020 | Исправлено: YuraseK, 01:09 19-04-2020
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 5)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru