Роутер Mikrotik RB750G

[Пэтро]

ip-firewall ?

[kofr]

Я понимаю,что тема уже устаревшая,но все же.

Объясните, плиз, зачем дубль следующих строк:

ip firewall filter add chain="forward" action="accept" src-address-list="Office" protocol="tcp" dst-port="5900" comment="Allow VNC"
ip firewall filter add chain="forward" action="accept" protocol="tcp" dst-port="25245" comment="Allow Torrent"
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="25245" to-addresses="192.168.0.10" to-ports="25245" comment="DST-NAT for Torrents" 
ip firewall nat add chain="dstnat" action="dst-nat" protocol="tcp" dst-address="109.87.xxx.yyy" dst-port="5900" to-addresses="192.168.0.10" to-ports="5900" comment="DST-NAT for VNC"

 

Ведь, НАТ срабатывает первым и в нем можно указать dst-address-list="Office"

[SlavaD]

Ведь, НАТ срабатывает первым и в нем можно указать dst-address-list="Office"

DNAT сразу на несколько IP ? оригинально'с... ну или я ваш вопрос не понял

[kofr]

DNAT сразу на несколько IP ? оригинально'с... ну или я ваш вопрос не понял

 

Почему же сразу на несколько? Если Вы обратите внимание на последние 2 строчки,то заметите,что можно указать диапазон откуда и куда (на конкретный ИП). Здесь же можно организовать перенаправление портов

[SlavaD]

Если Вы обратите внимание на последние 2 строчки,то заметите,что можно указать диапазон откуда и куда

В двух последних строчках указан исключительно адрес получателя, тобишь "куда" (dst-address="109.87.xxx.yyy"), "откуда" (src) в фильтре там не используется.

 

Здесь же можно организовать перенаправление портов

Оно в них как раз и реализовано, посредством DNAT.

[kofr]

В двух последних строчках указан исключительно адрес получателя, тобишь "куда" (dst-address="109.87.xxx.yyy"), "откуда" (src) в фильтре там не используется.

 

Оно в них как раз и реализовано, посредством DNAT.

 

тю,точно!

[4ekist071]

Здравствуйте,надеюсь хоть тут найду ответ=)

Дано:

microtiK rb750(5 интерфейсов)

2 провайдера:

оба выделяют параметры по dhcp,

первый подключен в ether1-gateway1

второй в ether2-gateway2

ether3 - master-local

ether4,5 - slave local

необходимо: реализовать одновременное использование двух каналов,людям из локальной сети. Т.е. чтобы пакеты ходили одновременно и через ether1 и через ether2. При этом,если один из них вырубается,все начинает ходить через другого.

По факту -работает 1,второй нет,отрубается первый(физически,линк на порту пропадает) - через несколько секунд начинает ходить трафик через второй,как научить микротик,что если,допустим,через 1 интерфейс не пингуется ya.ru/www.ru, то надо переключить все на другой интерфейс?а так же,что б когда пинговаться начало -перекидывало снова на оба интерфейса.

З.Ы.

или,что бы первый работал,второй как резерв,первый не пингуется - трафик начинал ходить через второй,потом возвращаясь на место?буду премного благодарен,уже четвертые сутки голову ломаю....

[kofr]

Здравствуйте,надеюсь хоть тут найду ответ=)

Дано:

microtiK rb750(5 интерфейсов)

2 провайдера:

оба выделяют параметры по dhcp,

первый подключен в ether1-gateway1

второй в ether2-gateway2

ether3 - master-local

ether4,5 - slave local

необходимо: реализовать одновременное использование двух каналов,людям из локальной сети. Т.е. чтобы пакеты ходили одновременно и через ether1 и через ether2. При этом,если один из них вырубается,все начинает ходить через другого.

По факту -работает 1,второй нет,отрубается первый(физически,линк на порту пропадает) - через несколько секунд начинает ходить трафик через второй,как научить микротик,что если,допустим,через 1 интерфейс не пингуется ya.ru/www.ru, то надо переключить все на другой интерфейс?а так же,что б когда пинговаться начало -перекидывало снова на оба интерфейса.

З.Ы.

или,что бы первый работал,второй как резерв,первый не пингуется - трафик начинал ходить через второй,потом возвращаясь на место?буду премного благодарен,уже четвертые сутки голову ломаю....

 

Например, ТЫЦ

 

А вообще, гугл - наш другл

[4ekist071]

Например, ТЫЦ

 

А вообще, гугл - наш другл

спасибо за ответ,но это я видел - и это не то=( бывает,что dns и шлюзы вполне отвечают на пинги -а проблема у провайдера выше происходит.

[Neinsager]

4ekist071

Если обратили внимание — там пингуют корневые DNS-сервера, а не провайдерские.

[kofr]

спасибо за ответ,но это я видел - и это не то=( бывает,что dns и шлюзы вполне отвечают на пинги -а проблема у провайдера выше происходит.

 

ну,а в чем тогда проблема? пингуйте проблемные узлы,а не шлюзы :)

[4ekist071]

4ekist071

Если обратили внимание — там пингуют корневые DNS-сервера, а не провайдерские.

если только четыре восьмерки использовать.но снова -не то,это например с перебросом юзеров с одного на второй канал, а приоритетно,что бы оба работали,причем одновременно.

[4ekist071]

ну,а в чем тогда проблема? пингуйте проблемные узлы,а не шлюзы :)/>

знать бы еще где этот проблемный узел образует. пинговать какой-нибудь айпи из внешки - 100% рабочий,или dns имя?будет он пингвать днс имя из скрипта?

[Neinsager]

а приоритетно,что бы оба работали,причем одновременно

Дык.

 

...routing-mark=peterstar используется для того чтоб часть пользователей по дефолту пускать через бэкап канал (как метить их в mangle тут не привожу, конкретно к делу не относится). Если бэкап канал отвалится, то эти пользователи пойдут через основной. Ну и наоборот, если основной канал отвалится, все пользователи пойдут через бэкап...

Это, как я понимаю, именно ваш вариант — когда оба аплинка рабочие, то часть пользователей ходит через первый шлюз, а другая часть — через второй.

[svip]

Это, конечно, лишь база... По уму надо бы пропускать не все udp-пакеты, а только то, что относится к торрентам и IPTV. Надо бы сделать балансировку нагрузки на полосу, чтобы, к примеру, закачки торрентов не мешали комфортному web-серфингу и просмотру ТВ... Совершенно за кадром остался вопрос резервирования каналов... В общем — есть еще где поработать

 

не могли бы Вы дописать про все это более подробно. Я думаю многим бы пригодилось.

Хотя бы стандартные дефолтные варианты.

 

Вот по пунктам.

 

 

1) iptables

2) шейпер

3) резервирование каналов

 

 

[svip]

настроил все по первой статье, но извне все порты закрыты.

вроде iptables-aми открывали 22 порт.

 

 

nmap 109.87.145.240

Starting Nmap 5.00 ( http://nmap.org ) at 2014-02-03 17:01 EET
All 1000 scanned ports on 240.145.xxx.yyy.triolan.net (240.145.xxx.yyy) are filtered

Nmap done: 1 IP address (1 host up) scanned in 30.26 seconds

 

 

 

 

по статье DROP получается последний.

пробовал и последним и первым - нет результата.

 

Если выключаю DROP INPUT то 22 ссш работает.

 

подскажите как правильно.

Не хочу открывать все но CCШ нужен

[kofr]

настроил все по первой статье, но извне все порты закрыты.

вроде iptables-aми открывали 22 порт.

 

 

nmap 109.87.145.240

Starting Nmap 5.00 ( http://nmap.org ) at 2014-02-03 17:01 EET
All 1000 scanned ports on 240.145.xxx.yyy.triolan.net (240.145.xxx.yyy) are filtered

Nmap done: 1 IP address (1 host up) scanned in 30.26 seconds

 

 

 

 

по статье DROP получается последний.

пробовал и последним и первым - нет результата.

 

Если выключаю DROP INPUT то 22 ссш работает.

 

подскажите как правильно.

Не хочу открывать все но CCШ нужен

дропы надо ставить после всех правил в пределах ЦЕПОЧКИ!Triolan - выход в интернет?а ИП белый?Пинг есть извне?

[WereWolf]

а такой нескромный вопрос назрел-в WiFi надо создать вторую сеть, типа гостевой, чтобы не видела основную, но интернет был в наличествии...

[kofr]

а такой нескромный вопрос назрел-в WiFi надо создать вторую сеть, типа гостевой, чтобы не видела основную, но интернет был в наличествии...

Первое,что нашел

 

а рулить доступом в интернет - файрволом

[WereWolf]

пробовал-адреса раздаёт, а норм доступ в паутину не получается раздать(

[kofr]

пробовал-адреса раздаёт, а норм доступ в паутину не получается раздать(

 

в файрволе создаете 2 правила

 

chain=forward action=accept in-interface="Сеть ВиФИ" out-interface="Интернет"
chain=forward action=accept in-interface="Интернет" out-interface="Сеть ВиФи"

 

Что-то типа этого :)/> А вообще,надо видеть все правила,которые есть

[WereWolf]

правила идут стандартные, автоматом сгенерёные... добавляю вторую сеть-аппаратик начинает колбасить(

[kofr]

правила идут стандартные, автоматом сгенерёные... добавляю вторую сеть-аппаратик начинает колбасить(

 

если начинает колбасить:

1. что-то в правилах

2. возможно,что-то с ИП-шниками на интерфейсах

[svip]

дропы надо ставить после всех правил в пределах ЦЕПОЧКИ!Triolan - выход в интернет?а ИП белый?Пинг есть извне?

 

 

 

починил.

 

забыл что поставил только для пула рабочих айпи а тестил с хостинга.

Все работает. Единственное что смущало дропы в конце.

[Oskar]

С некоторых пор наш провайдер сделал какое-то извращение - интернет абонентам включается только по назначенному DHCP-сервером IP адресу. Если у абонента прописан абсолютно такой же IP, но статический - интернета ему не видать. Но проблема в том, что аплинк у этого провайдера часто ложится, связи с сервером нет, и тогда WAN-порт вообще "болтается в воздухе" - у него нет адреса, соответственно нет и локальной сети (а вот она как раз нужна!). Возможно ли сделать так, чтобы при недоступности шлюза, IP сохранялся (до его появления)?