Mikrotik. Вопросы и ответы, помощь в настройке Опции

[dvs]

приветствую всех ....
подскажите как разроутить сеть на 3 сегмента...

192.168.0.1-192.168.1.254<--->192.168.3.1-254<--->192.168.10.1-254
маска у всех 255,255,0,0

требуется для уменьшения нагрузки сети....

[tigran_astranet]

Здравствуйте!

Помогите, пожалуйста, у меня на микротике 532А поднят pptp сервер и реализована связь с внешним радиусом…..Схема следующая: клиент попадает на микротик с запросом на авторизацию – микротик отсылает авторизационный пакет радиусу – радиус проверяет все данные и при удачном результате возвращает пакет для начала сессии и регистрирует сессию и на Микротике и во внешнем Биллинге..

Так вот проблема в том, что микротик после передачи первого пакета авторизации для клиента, сразу отсылает второй для этого же клиента и радиус принимает второй пакет на авторизацию и соответственно убивает сессию….Таким образом, получается, что сессия клиента в Биллинге закрыта, а он реально пользуется Интернетом и Биллинг его трафик не подсчитывает.

В параметре «Only One» в profiles выбрано значение «Yes».

[Zhelezaka]

Да нет вроде

[tigran_astranet]

Приветствую всех!!!!

У меня вопрос, как ограничить количество TCP сессий (не более 3-х).
Вот конфиг правила, но, к сожалению, при его активации, трафик у клиентов перестает ходить, и я не вижу, чтобы какие-то пакеты попадали под это правило:

/ ip firewall filter

add chain=forward protocol=tcp dst-port=80 tcp-flags=syn connection-limit=3,32 \ connection-state=new action=drop comment="" disabled=yes


Может кто-нибудь сталкивался с такой задачей....Прошу помочь....

[Zhelezaka]

гм... возможно стоит указать список адресов клиентов...
попробую у себя покапаться, может чего получится , тогда отпишу...

[Zhelezaka]

Вот

chain=forward src-address=10.10.20.101 protocol=tcp dst-port=0-65535
tcp-flags=syn connection-limit=3,32 connection-state=new action=drop

chain=forward src-address=10.10.20.101 protocol=tcp src-port=0-65535
tcp-flags=syn connection-limit=2,32 action=accept
вроде работает, правда жесть.... если чего качаешь и забил три сессии, все глуха ничего не откроешь )))

[Sanekk]

Всем привет!
Столкнулся с такой багой: при проброске портов ниже 4000 микротик почему-то "умирает". Не отвечает ни по фтп, ни веб. телнет, даже не пингуется.К примеру бросал 514 поррт и 2121. А с портами 4661-4679 всё нормально. В чем причина?

[Zhelezaka]

гм... 70, 80, 587, 995 все оки..
514 конечно не пробывал.... ну прочему-то кажется нормально и с этим портом будет

Может ты просто вообще прекрываешь себе доступ?
я так было заблочил случано доступ к серваку, так потом только с консоли все вернул...
Дай конфиг правила...

[Sanekk]

гм...  70, 80, 587, 995 все  оки..
514 конечно не пробывал.... ну прочему-то кажется нормально и с этим портом будет

Может ты просто вообще прекрываешь себе доступ?
я так было заблочил случано доступ к серваку, так потом только с консоли все вернул...
Дай конфиг правила...

chain=dstnat in-interface=publik protocol=tcp dst-port=2121 \
action=dst-nat to-addresses=172.16.0.3 to-ports=2121 comment="Mapping \
webkamera"

[SoulBrat]

Всем добрый день. Столкнулся с проблемой и никак не могу понять где тут подводный камень. Ситуация следующая: Есть антена и апешка для связи с провайдером. В Микротике (2.9.6) две сетевые карты, одна напрямую смотрит на апешку (ether1), вторая на внутреннюю сеть (ether2). Создаю PPPoE-out Clienta и цепляю его на ether1, ставлю шифрование-логин-пароль и ... ничего. В логах пишет что пытается подсоединится и сразу дисконектед. Пробывал создавать PPP-Clienta результат тотже. В чем трабл никак не могу понять. На винде поднимается все красиво и быстро стандартным мастером настроет по протоколу pppoe, а Микротик не хочет. Может кто-нить знает где тут грабли? Поскажите плиз...

[stels88]

Вообщем.. есть такая... ситуация...
проведен кабель... с сети! к которой есть и интернет и сама сеть... исходя.. из.. экономических соображений нужно поднять впн сервер.
Что именно нужно.

Тоесть... я зарегистрировал 2 компа в сети!
на один беру интернет(микротик) другой комп собираюсь через етот пропускать..по впн.. но не один а и с другими пользователями сети...
Что именно нужно сделать...

Нужно его настроить на интернет.. \ поднять впн сервер \ создать пользователей впн \
Затем..
я беру скорость у оператора - мне нужно дать каждому гарантированную скорость ... тоесть чтоб меньше небыло.. полностью на весь канал расписать...
когдато кто то выключает комп отключается чтоб скорость уже с большим каналом делилась на всех... поровну.. и не получалось так что кто то забирает больше а кто то меньше...

Параметры для интернета...
свои ип на который дается интернет - 192.168.10.100
шлюз - 192.168.10.1
днс - 192.168.10.1

предоставить инет
192.168.10.10 102.4kbps гарантированная (минимальная)
192.168.10.11 102.4kbps гарантированная (минимальная)
192.168.10.12 102.4kbps гарантированная (минимальная)
192.168.10.13 102.4kpbs гарантированная (минимальная)
192.168.10.17 102.4kbps гарантированная (минимальная)
Как только кто то уходит нужно подымать скорость и равномерно делить ее на всех... потом как кто то появился сново перераспределять на всех равномерно.. чтоб никто больше положенного взять несмог.
подскажите такое возможно? клиенты находятся в томже сегменте где и сервер и шлюз для интернета...
такое реально?
если да то подскажите как ето сделать...

канал 512 kbps

[Zhelezaka]

Вот все, что тебе необходимо....
http://xdrv.ru/content/view/62/53/
http://xdrv.ru/content/view/541/53/

дерзай.. и очень много найдешь на нашем форуме полезным, так сказать вкуривай...

[mgz]

Добрый вечер.
У меня возник вопрос... никак не могу понять: микротик (2.9.27) глючит или мои настройки ?
Ситуация:
Микротик имеет 2 сетевухи: 10.10.64.43 (Public) и 192.168.0.254 (Local).
Мой рабочий компьютер имеет адрес 192.168.0.1
Public по VPN имеет выход в Инет - Internet (pptp-out).

Код

chain=srcnat out-interface=Internet action=masquerade
chain=srcnat out-interface=Public src-address=192.168.0.1 action=masquerade

Возникла необходимость расшарить моим VPN (pptp-in) клиентам порты для uTorrent.
Когда создал правило для себя:

Код

chain=dstnat in-interface=Internet action=dst-nat to-addresses=172.16.0.1 to-ports=21601

всё прекрасно работало. Но стоило мне добавить клиента:

Код

chain=dstnat in-interface=Internet action=dst-nat to-addresses=172.16.0.3 to-ports=21603

как всё испортилось. А именно работает только первое правило (если менять местами работает всегда первое). Когда я сел ковырять что и как... и у меня всё заработало (код написан выше). Тогда я добавил ещё клиентов. Но стоило мне переустановить систему (все настройки я экспортом перенёс на винт с Windows и позже импортом установил на чистый микротик).... и снова всё испортилось.

Что я сделал не правильно ? Помогите пожалуйста, уже голова кругом идёт.

[Zhelezaka]

;;; Allow icq guman
chain=forward src-address=10.10.20.103 protocol=tcp dst-port=5190
action=accept

chain=forward src-address=10.10.20.103 protocol=tcp action=drop

ну вот правило на разрешение ICQ, меняешь только порты (на форуме уже указывались какие именно) и все, а вместо src-address одного указываешь src-address List, если для нескольких клиентов...

[mgz]

;;; Allow icq guman
chain=forward src-address=10.10.20.103 protocol=tcp dst-port=5190 action=accept
chain=forward src-address=10.10.20.103 protocol=tcp action=drop

Спасибо за ответ. Но у меня вопрос: почему это делается в Firewall, а не в NAT ?

chain=forward src-address=10.10.20.103 protocol=tcp dst-port=5190 action=accept

Не помогло, не мой реальный внутренний адрес, не мой VPN адрес.
192.168.0.1 - внутренний
172.16.0.1 - VPN
21601 - необходимый порт

Для остальных клиентов есть VPN адреса и у каждого свой порт (172.16.0.3:21603).

[Zhelezaka]

гм... странно чего это не помогло.. я вообще то писал на ICQ, а у торента другие порты. Проверю еще раз конечно дома...

На вопрос : почему это делается в Firewall, а не в NAT ?

Скоре потому в фаерфоле - "разрешено все, что не запрещено". А NAT занимается трансляцией портов при этом используется всегда.

[mgz]

гм... странно чего это не помогло.. я вообще то писал на ICQ, а у торента другие порты. Проверю еще раз конечно дома...

Буду признателен в вашей помощи
Для торрента порт можно задавать самому. Вот я и задал порты 21601, 21602, ... , 21630. Т.е. Для каждого клиента свой порт. Возможно я сделал не правильно и можно задать всем один и тотже порт... подскажите как лучше

[ГЕПart]

Что-то я совсем запарился...

Есть городская сеть в ней дхцп с привязкой к маку, моя подсеть 172.16.128.0/21, айпишнег микротика 172.16.129.95 Внутри квартиры сеть, айпишники в которой раздает укроповский ADSL модем(в настоящее время вида 172.16.80.0/24-можно поменять на любой другой), с авторизацией в модеме, с него же беру инет.Кроме того внутри городской сети есть впн сервер обеспечивающих соединение всех подсетей города, их ип вида 172.16.хх.хх

Нужно обеспечить возможность шарить ресурсы городской сети из квартирной сети с возможностью расшаривания моих внутриквартирных ресурсов, если такое возможно, конечно. Кроме того постоянное соединение с межгородским серваком. Из городской сети должна быть возможность 2-3 людям(из квартирной аналогично) подключиться через впн к моему серваку с целью юзать мой инет и "межсеть" городского сервака.
Микротик имеет 3 сетевухи 1-смотрить в город, 2-смотрит в модем(берет айпи), 3-смотрит в квартирную сеть, дхцп

у меня не получаться настроить роутинг, впн соединения настроены, но не разрулены...

[Zhelezaka]

mgz Вот что получилось...

chain=forward src-address=10.10.20.101 protocol=tcp dst-port=0-65535 p2p=bit-torrent action=accept

chain=forward src-address=10.10.20.101 action=drop

Вот этим настроил себе доступ только для Azureus. Все работает и показывает, что через эти правила проходит, т.е. через 1-е - сколько слил через Bit-torrent. Хотя так и не понял, через какой порт именно оно работает.

[Sanekk]

Всем привет!

Цель: нужно уменьшить время отклика с определенных адресов инета.

Решение: создал правила в фаерволе по мануалу
чтобы не писать для каждого адреса отдельное правило создал список адресов

Код

/ ip firewall address-list
add list=sip address=212.53.35.16 comment="" disabled=no
add list=sip address=212.53.35.219 comment="" disabled=no
add list=sip address=212.53.35.244 comment="" disabled=no

далее правила из мануала (переделанные под мои нужды)

Код

/ ip firewall mangle
add chain=prerouting dst-address-list=sip action=mark-connection \
   new-connection-mark=sip-con-up passthrough=yes comment="" disabled=no
add chain=forward connection-mark=sip-con-up action=mark-packet \
   new-packet-mark=sip-pac-up passthrough=yes comment="" disabled=no
add chain=prerouting src-address-list=sip action=mark-connection \
   new-connection-mark=sip-con-from passthrough=yes comment="" disabled=no
add chain=forward connection-mark=sip-con-from action=mark-packet \
   new-packet-mark=sip-pac-from passthrough=yes comment="" disabled=no

/ queue tree
 add name="sip_out" parent=global-out packet-mark=sip-pac-up limit-at=0 \
   queue=default priority=1 max-limit=128000 burst-limit=0 burst-threshold=0 \
   burst-time=0s disabled=no
add name="sip_in" parent=global-in packet-mark=sip-pac-from limit-at=0 \
   queue=default priority=1 max-limit=128000 burst-limit=0 burst-threshold=0 \
   burst-time=0s disabled=no

Проблема: в фаерволе пакеты метятся, а в очередях всё по нулям (ускорения нет)

Ответьте, плиз, в чем загвоздка