Архивировано

Эта тема находится в архиве и закрыта для публикации сообщений.

Raxxx

Mikrotik Router OS

Рекомендованные сообщения

Познакомился недавно теоретически с выжеуказанной системой. Мне это показалось гораздо интреснее и дешевле коробочных роутеров.

 

Небольшая цитата для тех кто не в курсе:

 

MikroTik считается одной из лучших программных реализаций маршрутизатора 3-го уровня для PC и используется по всему миру провайдерами и в организациях, имеющих потребности в интеллектуальном управлении потоками.

 

Преимуществами MikroTik является возможность работы с системой, как с помощью функцинального консольного интерфейса (идеология, аналогичная Cisco), так и с помощью графической утилиты для Windows (winbox). Это позволяет очень быстро настроить маршрутизатор из графического интерфейса, а при необходимости изучить документацию и произвести "тонкую" настройку параметров из консоли.

 

В MikroTik реализовано много функций, существующим только в ОС для дорогих маршрутизаоторов 3-го уовня. Оценить полноиу реализованных протоколов можно по спецификации с офф. сайте:

 

Firewall and NAT - stateful packet filtering; Peer-to-Peer protocol filtering; source and destination NAT; classification by source MAC, IP addresses (networks or a list of networks) and address types, port range, IP protocols, protocol options (ICMP type, TCP flags and MSS), interfaces, internal packet and connection marks, ToS (DSCP) byte, content, matching sequence/frequency, packet size, time and more...

 

Routing - Static routing; Equal cost multi-path routing; Policy based routing (classification done in firewall); RIP v1 / v2, OSPF v2, BGP v4

 

Data Rate Management - Hierarchical HTB QoS system with bursts; per IP / protocol / subnet / port / firewall mark; PCQ, RED, SFQ, FIFO queue; CIR, MIR, contention ratios, dynamic client rate equalizing (PCQ), bursts, Peer-to-Peer protocol limitation

 

HotSpot - HotSpot Gateway with RADIUS authentication and accounting; true Plug-and-Play access for network users; data rate limitation; differentiated firewall; traffic quota; real-time status information; walled-garden; customized HTML login pages; iPass support; SSL secure authentication; advertisement support

 

Point-to-Point tunneling protocols - PPTP, PPPoE and L2TP Access Concentrators and clients; PAP, CHAP, MSCHAPv1 and MSCHAPv2 authentication protocols; RADIUS authentication and accounting; MPPE encryption; compression for PPPoE; data rate limitation; differentiated firewall; PPPoE dial on demand

Simple tunnels - IPIP tunnels, EoIP (Ethernet over IP)

 

IPsec - IP security AH and ESP protocols; MODP Diffie-Hellman groups 1,2,5; MD5 and SHA1 hashing algorithms; DES, 3DES, AES-128, AES-192, AES-256 encryption algorithms; Perfect Forwarding Secrecy (PFS) MODP groups 1,2,5

 

Proxy - FTP and HTTP caching proxy server; HTTPS proxy; transparent DNS and HTTP proxying; SOCKS protocol support; DNS static entries; support for caching on a separate drive; access control lists; caching lists; parent proxy support

 

DHCP - DHCP server per interface; DHCP relay; DHCP client; multiple DHCP networks; static and dynamic DHCP leases; RADIUS support

 

VRRP - VRRP protocol for high availability

 

UPnP - Universal Plug-and-Play support

NTP - Network Time Protocol server and client; synchronization with GPS system

Monitoring/Accounting - IP traffic accounting, firewall actions logging, statistics graphs accessible via HTTP

SNMP - read-only access

M3P - MikroTik Packet Packer Protocol for Wireless links and Ethernet

MNDP - MikroTik Neighbor Discovery Protocol; also supports Cisco Discovery Protocol (CDP)

Tools - ping; traceroute; bandwidth test; ping flood; telnet; SSH; packet sniffer; Dynamic DNS update tool

Дополнительную инфу и ссылки на скачку при желании можно без проблем найти в гугле.

 

Вот решил недавно попробовать поставить и настроить ее под корбину. Взял старую помойку на базе Pentium 90, 24 Mgb памяти. Вставил три сетевухи. И приступил к настройке. Айпи адреса двух сетевых интерфесов указал без проблем через встроенный визард. Пакетики забегали, все хорошо вроде. Пинги работают, ДНС прописал, ДНСП включил, АйПи получил. Третий интерфес пока отключил.

Решил попробовать поднять ВПН и тут случился затык. Никак не поднимается. В логах пишет что то типа no route to host. Пробовал забивать маршруты, не помогает. Прошу помочь с настройкой данного сабжа под корбину. Пробовал поднимать и на PPTP и на L2TP. Не хочет. Вообщем если кто может помочь напишите небольшую интструкцию. Был бы очень признателен за любую помощь

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну что? Никто так ничего и не напишет по этому поводу?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надеюсь, не сильный оффтоп.

 

Кто-нить знает, реально ли в Mikrotik RouterOS 2.9 настроить проброс мультикаста во внутреннюю сеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у меня вопрос к тем кто экспериментировал, удалось решить возникшую проблему с пптп/л2тп? и как там с мультикастом?

 

так же интересно, как обстоят дела там если имеетя несколько wan и может кто-нибудь экспериментировал с RIPv1|v2 смотрящий в локальнуюсеть?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этот Микротик - гадость та еще... Пробовал.

Пока не поздно - переориентируйтесь на другую систему/железо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

шлюз нормально укажи. а вообще радиохед прав, выбрасывай инсталяшку в сторону полового члена, стовь любой дистр нормальный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну так что? настроил кто нибудь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
я настроил
дай админку посмотреть, вроде как есть там режим "чтения/просмотра", ну что б точно ничего тебе не сломать :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
я настроил
дай админку посмотреть, вроде как есть там режим "чтения/просмотра", ну что б точно ничего тебе не сломать :-)

 

скрин основных настроек подойдет или обязательно гостевой доступ winbox а может web интерфейс, только в web интерфейсе там далеко не все.

и еще, после пробы на обычном PC (pentium 166) приобрел RouterBoard 450, вот на ней не все так здорово, pptp канал есть, а некоторые сайты не открываются :)

 

это скрин тестовой системы на PC

10ab703524e6t.jpg

 

вообщем выяснил, там есть одна тонкость с маршрутами,маршрут по умолчанию нужно создавать из winbox а не командой чтобы он был статический индекс S в первой колонке как на скрине, и еще он должен быть подсвечен синим цветом, если будет как на скрине все будет работать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Синий - значит в данный момент неактивный. И это не тонкость - это правило настройки vpn-соединений. До установки vpn тик должен знать основной шлюз (default route) досервера, после установки vpn основным шлюзом обязан стать сам vpn-сервак.

 

А вообще ROS - очень удобная и функциональноая системка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пытаюсь настроить MikroTik, но не получается. Проблема в том, что после коннекта к vpn(все-равно pptp или l2tp) перестает пинговаться vpn.corbina.net(tp.corbina.net) думаю, что происходит это из-за того, что MikroTik добавляет маршрут к vpn.corbina.net(tp.corbina.net) через vpn(маршрут 5 ниже).

В данном случае параметры таковы:

85.21.0.177 - vpn.corbina.net

93.80.161.167 - внешний ip

10.1.0.17 - gateway локальной сети

10.1.19.247 - адрес в локальной сети

corbina - wan интерфейс

 

Роутинги:

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#	  DST-ADDRESS		PREF-SRC		GATEWAY-STATE GATEWAY										  DISTANCE INTERFACE								
0  DS  0.0.0.0/0						  reachable	 85.21.0.177									  1		pptp-out1								
1   S  0.0.0.0/0						  reachable	 192.168.20.5									 5		br0									  
2 ADS  0.0.0.0/0						  reachable	 10.1.0.17										0		corbina								  
3 ADC  10.1.0.0/16		10.1.25.136																	0		corbina								  
4 A S  85.21.0.0/24					   reachable	 10.1.0.17									  1		corbina						  
5 ADC  85.21.0.177/32	 93.80.161.167																  0		pptp-out1								
6 ADC  192.168.20.0/24	192.168.20.5

 

Сейчас к качестве роутера используется старенький пентиум-2 на gentoo, на нем пакеты до vpn.corbina.net идут через локальный интерфейс

 

tracepath 85.21.0.142
1:  10.1.19.247 (10.1.19.247)							  0.643ms pmtu 1500
1:  10.1.0.17 (10.1.0.x)								  2.948ms

Картинку apso смотрел не помогло. Второй маршрут 85.21.0.0/24 в результате заменяется более узким 85.21.0.x/32, а 0.0.0.0/0 пробовал создавать вручную из winbox не помогло. Подскажите, кто знает, в чем тут трабл?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

картинка у apso правильная и настроено там все грамотно, а вот у anlorn какая-то чепуха.

Обязательно необходима галочка Add Default Route в настройках pptp-client. Судя по таблице маршрутизации - она не установлена (у 0-ого маршрута должна быть метка ADS).

Маршрут №5 будет добавляться в любом случае.

Маршрут №2 не нужен вообще.

Маршрут №1 совершенно не нужен, хотя он и так не работает.

Теоретически вот так.

 

Vpn не пингуется потому что твои пинги уходят по маршруту №5, который содержит самую короткую маску сети и возможно, что попадают не туда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Надеюсь, не сильный оффтоп. Кто-нить знает, реально ли в Mikrotik RouterOS 2.9 настроить проброс мультикаста во внутреннюю сеть?

 

никак, поддержка мультикаста начинается с 3 версии, у меня 3.22 сделал так:

для IPTV надо включить IGMP-Proxy:

ether2 - смотрит в корбину

ether1 - в локалку

 

routing igmp-proxy interface add interface=ether2 alternative-subnets=172.16.16.0/24 upstream=yes

routing igmp-proxy interface add interface=ether1 upstream=no

 

ну и роуты естессно должны быть:

dst-address=172.16.16.0/24 gateway=твой_GW

dst-address=233.32.210.0/24 interface=ether2

dst-address=233.33.210.0/24 interface=ether2

 

и в фаере надо разрешить UDP 5050:

ip firewall filter add chain=input action=accept protocol=udp src-port=5050

и igmp естессно тоже:

ip firewall filter add chain=input action=accept protocol=igmp

 

 

Пытаюсь настроить MikroTik, но не получается. Проблема в том, что после коннекта к vpn(все-равно pptp или l2tp) перестает пинговаться vpn.corbina.net(tp.corbina.net) думаю, что происходит это из-за того, что MikroTik добавляет маршрут к vpn.corbina.net(tp.corbina.net) через vpn(маршрут 5 ниже).

В данном случае параметры таковы:

85.21.0.177 - vpn.corbina.net

93.80.161.167 - внешний ip

10.1.0.17 - gateway локальной сети

10.1.19.247 - адрес в локальной сети

corbina - wan интерфейс

 

Роутинги:

ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#	  DST-ADDRESS		PREF-SRC		GATEWAY-STATE GATEWAY										  DISTANCE INTERFACE								
0  DS  0.0.0.0/0						  reachable	 85.21.0.177									  1		pptp-out1								
1   S  0.0.0.0/0						  reachable	 192.168.20.5									 5		br0									  
2 ADS  0.0.0.0/0						  reachable	 10.1.0.17										0		corbina								  
3 ADC  10.1.0.0/16		10.1.25.136																	0		corbina								  
4 A S  85.21.0.0/24					   reachable	 10.1.0.17									  1		corbina						  
5 ADC  85.21.0.177/32	 93.80.161.167																  0		pptp-out1								
6 ADC  192.168.20.0/24	192.168.20.5

 

Сейчас к качестве роутера используется старенький пентиум-2 на gentoo, на нем пакеты до vpn.corbina.net идут через локальный интерфейс

 

tracepath 85.21.0.142
1:  10.1.19.247 (10.1.19.247)							  0.643ms pmtu 1500
1:  10.1.0.17 (10.1.0.x)								  2.948ms

Картинку apso смотрел не помогло. Второй маршрут 85.21.0.0/24 в результате заменяется более узким 85.21.0.x/32, а 0.0.0.0/0 пробовал создавать вручную из winbox не помогло. Подскажите, кто знает, в чем тут трабл?

 

при поднятии VPN петля получается. впн пытается сам через себя ходить. чтоб этого небыло, нужно для этого подключения создать отдельный профиль и в remote-address прописать например 192.168.200.1 и он же будет являться шлюзом.

 

ppp profile add name="Corbina" remote-address=192.168.200.1 use-compression=no use-vj-compression=no use-encryption=no only-one=yes change-tcp-mss=yes

 

делаем с роутера

ping vpn.corbina.net

подставляем полученный IP в connect-to= вместо ХХХ.ХХХ.ХХХ.ХХХ

 

interface pptp-client add name="pptp-corbina" max-mtu=1460 max-mru=1500 mrru=disabled connect-to=ХХХ.ХХХ.ХХХ.ХХХ user="твой_логин" password="твой_пароль" profile=Corbina add-default-route=yes allow=chap

 

у меня все прекрасно работает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может кому пригодится.

Небольшая инструкция по настройке: http://minirouter.ru.../documentation/

 

 

1/ Если вы забираете микротиком у провайдера интернет через l2tp и у вас/ваших клиентов не открываются ролики на youtobe или сайты mail.ru, odnoklassniki.ru и т.д. (HTML загружается, но не отображается), попробуйте в профиле вашего подключения (PPP-Profiles) отключить Change TCP MSS и создать следующее правило:

Код: / ip firewall mangle add chain=forward protocol=tcp tcp-flags=syn tcp-mss=1453-65535 action=change-mss new-mss=1360 disabled=no

 

2/ скрипт обновления настроек IP-vpn сервера (tp.internet.beeline.ru tp.corbina.ru) для l2tp клиента

 

#:log info "refresh l2tp"

:local interface "corbina-l2tp"

:local tmpIP [/interface l2tp-client get [/interface l2tp-client find name=$interface] connect-to]

:if ([/interface l2tp-client get $interface running] = false) do={

#/ip dns cache flush

:local vpnIP [:resolve "tp.corbina.ru"]

:if ($vpnIP != $tmpIP) do= {

/interface l2tp-client set [/interface l2tp-client find name=$interface] connect-to=$vpnIP

:log info "refresh $interface server newIP $vpnIP oldIP $tmpIP"

}}

 

3/ скрипт привязки имени к IP через службу dyndns, работает на mikrotik 3.2 и выше

 

#:log info "refresh DDNS"

:global myIP

:local dynuser "ddns-user"

:local dynpass "ddns-pass"

:local dynhost "ddns-hostname"

:if ([/interface l2tp-client get corbina-l2tp running] =true) do={

:local tmpIP [/ip address get [find interface=corbina-l2tp] address]

:set tmpIP [:pick $tmpIP 0 ([:len $tmpIP] - 3)]

:if ($myIP="") do={:set myIP "0.0.0.0"}

:if ($myIP != $tmpIP) do={

:set myIP [:resolve $dynhost]

:if ($myIP != $tmpIP) do={

:local str "/nic/update?hostname=$dynhost&myip=$tmpIP&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"

/tool fetch address=members.dyndns.org src-path=$str mode=http user=$dynuser password=$dynpass dst-path=("/DynDNS.".$dynhost)

:delay 1

:local str [/file find name=DynDNS.$dynhost];

/file remove $str

:log info "DDNS myIP $tmpIP oldIP $myIP"

#:set myIP $tmpIP

}}}

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТС слабоватую машинку взял. Я на 16 Мб поднимал. Всё нормально работало, но стоило чему-то сбойнуть, пересоздаться соединению, начинался жуткий свопинг, минут на 15. В это время сеть почти сдыхала, все ресурсы тратились на борьбу с собственным жёстким диском.

Рекомендуют 128Мб, или больше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

750GL нужно пробросить мультикаст для TV , но вот во вклвдке routing нету igmp proxy куда делась непонятно и где её искать. тоже не понятно. что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

750GL нужно пробросить мультикаст для TV , но вот во вклвдке routing нету igmp proxy куда делась непонятно и где её искать. тоже не понятно. что делать?

я так понимаю через winbox пытаешься настроить..

варианта два:

Версия ROS ниже 3.х ,в заголовке винбокса пишет версию (не помню точно с какой начилась потдержка мультикаста, с 3.20 точно есть).

Не установлен пакет "multicast" или не активирован (смотреть в System -> Packeges).

Да еще может быть недостаточный уровень лицензии.. с 4-го уровня и выше точно работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Надеюсь, не сильный оффтоп. Кто-нить знает, реально ли в Mikrotik RouterOS 2.9 настроить проброс мультикаста во внутреннюю сеть?

 

никак, поддержка мультикаста начинается с 3 версии, у меня 3.22 сделал так:

для IPTV надо включить IGMP-Proxy:

ether2 - смотрит в корбину

ether1 - в локалку

 

routing igmp-proxy interface add interface=ether2 alternative-subnets=172.16.16.0/24 upstream=yes

routing igmp-proxy interface add interface=ether1 upstream=no

 

ну и роуты естессно должны быть:

dst-address=172.16.16.0/24 gateway=твой_GW

dst-address=233.32.210.0/24 interface=ether2

dst-address=233.33.210.0/24 interface=ether2

 

и в фаере надо разрешить UDP 5050:

ip firewall filter add chain=input action=accept protocol=udp src-port=5050

и igmp естессно тоже:

ip firewall filter add chain=input action=accept protocol=igmp

 

 

 

у меня в микротике сделано все по аналогии, но приставка через него показывать не хочет. долго висит заставка билайн на белом фоне после чего вываливает ошибку инициализации клиента... :(

мож щас у пчелайна поменялось чего и еще что-то надо добавить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дэээ IGMP proxy на Пчелайне не работает.

Пробрасывай порты через мост.

Я через VLAN тв смотрю

 

http://homenet.beeline.ru/index.php?showtopic=289449&st=0&p=1065070092&hl=mikrotik%20iptv&fromsearch=1entry1065070092

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Немного полезных скриптов

 

:local interface "corbina-l2tp"

:local tmpIP [/interface l2tp-client get [/interface l2tp-client find name=$interface] connect-to]

:if ([/interface l2tp-client get $interface running] = false) do={

#/ip dns cache flush

:local vpnIP [:resolve "tp.corbina.ru"]

:if ($vpnIP != $tmpIP) do= {

/interface l2tp-client set [/interface l2tp-client find name=$interface] connect-to=$vpnIP

:log info "refresh $interface server newIP $vpnIP oldIP $tmpIP"

}}

#:log info "refresh l2tp"

 

 

:local interface "corbina-l2tp"

:local vpnIP "127.0.0.1"

:local CheckHost 0

:set CheckHost [/ping [:resolve "ya.ru"] count=2]

if ($CheckHost=0) do={

:set CheckHost [/ping [:resolve "www.ru"] count=2]

if ($CheckHost=0) do={

:log info "CheckHost fail"

/ip dns cache flush

/interface l2tp-client set [/interface l2tp-client find name=$interface] connect-to=$vpnIP

}}

#:log info "CheckHost ok"

 

 

:global myIP

:local dynuser "yyyyyyyy"

:local dynpass "xxxxxxxx"

:local dynhost "zzzzzzzz.dlinkddns.com"

:if ([/interface l2tp-client get corbina-l2tp running] =true) do={

:local tmpIP [/ip address get [find interface=corbina-l2tp] address]

:set tmpIP [:pick $tmpIP 0 ([:len $tmpIP] - 3)]

:if ($myIP="") do={:set myIP "0.0.0.0"}

:if ($myIP != $tmpIP) do={

:set myIP [:resolve $dynhost]

:if ($myIP != $tmpIP) do={

:local str "/nic/update?hostname=$dynhost&myip=$tmpIP&wildcard=NOCHG&mx=NOCHG&backmx=NOCHG"

/tool fetch address=members.dyndns.org src-path=$str mode=http user=$dynuser password=$dynpass dst-path=("/DynDNS.".$dynhost)

:delay 1

:local str [/file find name=DynDNS.$dynhost];

/file remove $str

:log info "DDNS myIP $tmpIP oldIP $myIP"

#:set myIP $tmpIP

}}}

#:log info "refresh DDNS"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах