sherwood Опубликовано 17 ноября, 2009 · Жалоба Здравствуйте! Я новичок.... Помогите решить мою проблему, а именно: Нужно подключить сеть к интернету через PPPoE соединение. Что было сделано: 1. Настроил интерфейс: ip address add address 192.168.0.254/24 interface ether1 это интерфейс локальной сети. 2. Настроил второй интерфейс который смотрит в сторону провайдера: ip address add address 10.10.15.26/24 interface ether2 ip посмотрел в DIR-100 который на данный момент поднимает PPPoE. 3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера. 4. Добавил маршрут по умолчанию: ip route add gateway=10.10.0.200 который тоже посмотрел в DIR-100 5. Настроил DNS: ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes 6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254 7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT. И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8 Что было проверено: На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема. Где у меня ошибка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
boo Опубликовано 18 ноября, 2009 · Жалоба а что мешает убрать dir-100 совсем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 18 ноября, 2009 · Жалоба Здравствуйте!Я новичок.... Помогите решить мою проблему, а именно: Нужно подключить сеть к интернету через PPPoE соединение. Что было сделано: 1. Настроил интерфейс: ip address add address 192.168.0.254/24 interface ether1 это интерфейс локальной сети. 2. Настроил второй интерфейс который смотрит в сторону провайдера: ip address add address 10.10.15.26/24 interface ether2 ip посмотрел в DIR-100 который на данный момент поднимает PPPoE. 3. На ether2 добавил PPPoE Client в котором вписал логин и пароль от провайдера. 4. Добавил маршрут по умолчанию: ip route add gateway=10.10.0.200 который тоже посмотрел в DIR-100 5. Настроил DNS: ip dns set primary-dns=88.86.82.33 secondary-dns=195.68.135.5 allow-remote-requests=yes 6. На компьютере локальной сети IP - 192.168.0.2 MASK 255.255.255.0 GW 192.168.0.254 DNS 192.168.0.254 7. Настроил NAT, в WEB интерфейсе на ether2 поставил галочку NAT. И после этого на локальном компьютере нет интернета - ping не проходит как ya.ru так и 77.88.21.8 Что было проверено: На роуторе пинг на 77.88.21.8 интерфейса pppoe проходит (PPPoE поднято), пинг на локальную машину 192.168.0.2 проходит только с помощью ARP (скорее всего на компьютере что то блокирует но думаю это не важно), с локальной машины пинг не проходит на интерфейс ether2(10.10.15.26) - думаю в этом вся проблема. Где у меня ошибка? Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 18 ноября, 2009 · Жалоба а что мешает убрать dir-100 совсем? наверное не правильно объяснил, или Вы не правильно поняли.. я и хочу убрать DIR-100... Видимо у вас NAT не настроен. Настройте через винбокс или телнет\консоль. http://wiki.mikrotik.com/wiki/NAT_Tutorial думаю в этом проблема. спасибо за ссылку, буду пробовать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 18 ноября, 2009 · Жалоба вот конфиг для микротика под ваши задачи /interface pppoe-client add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME /ip address add address=192.168.0.254/24 disabled=no interface=LOCAL_IF add address=10.10.15.26/24 disabled=no interface=PROVIDER_IF /ip dhcp-server network add address=192.168.0.0/24 dns-server=88.86.82.33,195.68.135.5 gateway=192.168.0.254 /ip dns set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB max-udp-packet-size=512 primary-dns=88.86.82.33 secondary-dns=195.68.135.5 /ip firewall address-list add address=192.168.0.0/24 disabled=no list=Local-net /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=30m \ tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no \ tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s /ip firewall nat add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net это минимальные настройки. работать будет если залить на чистую систему. проверяем, настраиваем файрволл и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 18 ноября, 2009 · Жалоба подскажите еще вопрос, в route list некоторые маршруты отображаются синим цветом это нормально, или это не правильная запись? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 19 ноября, 2009 (изменено) · Жалоба kostil спасибо, но мне хотелось бы по порядку разобраться что и как, что бы потом уверенно себя в этом чувствовать... при попытке ввода первой же команды у меня ошибка... пробовал настроить от сюда: тут но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100 а он там такой же как и IP.... делаю команду: ip route add gateway=10.0.0.2 проверяю: ip route print и в итоге перед маршрутом стоит буква u вместо r я так понимаю это не правильно? уже замучился с этим роутером.... пятый день пошел :) подскажите по порядку что нужно настраивать для такой схемы? Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24 Имеем провайдера который дает интернет с авторизацией по PPPoE 1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер? 2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24? 3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать). 4. NAT нужно настраивать на обоих интерфейсах? и подходят ли эти команды? ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2 5. Нужно ли настраивать DNS на роуторе? на DIR-100 этого не делал... 6. Ище что то нужно? пока все, с этим бы разобраться... P.S. boo попробовал по Вашей ссылке, но не получилось....все так просто написано, но я наверное что то не так делаю... Изменено 19 ноября, 2009 пользователем sherwood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 19 ноября, 2009 · Жалоба kostil спасибо, но мне хотелось бы по порядку разобраться что и как, что бы потом уверенно себя в этом чувствовать... при попытке ввода первой же команды у меня ошибка... пробовал настроить от сюда: тут но споткнулся на добавлении шлюза по умолчании, то есть посмотрел в статусе подключения DIR-100 а он там такой же как и IP.... делаю команду: ip route add gateway=10.0.0.2 проверяю: ip route print и в итоге перед маршрутом стоит буква u вместо r я так понимаю это не правильно? это значит что шлюз недоступен.уже замучился с этим роутером.... пятый день пошел :)подскажите по порядку что нужно настраивать для такой схемы? Имеем свич за которым локальная сеть из нескольких компьютеров - 192.168.0.0/24 Имеем провайдера который дает интернет с авторизацией по PPPoE 1. На интерфейсе который смотрит на провайдера нужно прописывать IP который выдал провайдер? нужно, если провайдер отдает их статикой а не динамикой. если динамика - то dhcp клиент.2. На интерфейсе который смотрит в локальную сеть нужно прописать IP из этого диапазона - 192.168.0.0/24?так точно /ip address add address=192.168.0.254/24 disabled=no interface=LOCAL_IF 3. PPPoE нужно поднимать на интерфейсе который смотрит в сторону провайдера? (понимаю что глупый вопрос, но я не знаю что еще делать).да /interface pppoe-client add-default-route=yes dial-on-demand=yes disabled=no interface=PROVIDER_IF max-mru=1480 max-mtu=1480 mrru=disabled name=pppoe_internet password=PASSWORD use-peer-dns=no user=USERNAME 4. NAT нужно настраивать на обоих интерфейсах? и подходят ли эти команды? ip firewall nat add chain=srcnat action=masquerade out-interface=!ether1 ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2 сомневаюсь что они подойдут. прописывать маскарад нужно на двух интерфейсах ( PPPoE и ether...) в том случае если нужно что бы была доступна локальная сеть провайдера и интернет. если нужен только тырнет достаточно прописать NAT только на PPPoEв примере с локалкой /ip firewall nat add action=masquerade chain=srcnat comment="local net to internet" disabled=no out-interface=pppoe_internet src-address-list=Local-net add action=masquerade chain=srcnat comment="local net to peering" disabled=no out-interface=PROVIDER_IF src-address-list=Local-net 5. Нужно ли настраивать DNS на роуторе?на DIR-100 этого не делал... нужно если будешь использовать его как дополнительный DNS сервер для локальной сети. если нет, то просто отдаешь провайдерские DNS по DHCP локальным компам.6. Ище что то нужно?Внимание ;) P.S. залей роутер заново, и на чистый конфиг накати то что я тебе писал выше. замени: LOCAL_IF - на имя интерфейса смотрящего в твой свитч домашний PROVIDER_IF - имя интерфейса смотрящего к провайдеру USERNAME - логин от pppoe PASSWORD - пароль от pppoe и будет тебе счастье. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 19 ноября, 2009 · Жалоба kostil спасибо, справился по этой инструкции - тут а про NAT для локальной сети провайдера - это Вы имели ввиду для того что бы можно было видеть компьютеры локальной сети провайдера? если да, то мне это не нужно.. а вот у провайдера есть внутренние ресурсы - FTP, сетевая статистика ..... для этого нужно поднимать NAT на интерфейсе где поднято PPPoE? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 19 ноября, 2009 · Жалоба На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров. Проблема в том, что не могу настроить два маршрута по умолчанию... Я так понимаю, что два маршрута по умолчанию быть не должно... Поднимается одновременно только один, второй в это время выделен синим цветом, то есть не доступен... Как решить эту проблему? Надо направить пользователей по разным провайдерам... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 21 ноября, 2009 · Жалоба На двух интерфейсах RM450 подняты два PPPoE от разных провайдеров.Проблема в том, что не могу настроить два маршрута по умолчанию... Я так понимаю, что два маршрута по умолчанию быть не должно... Поднимается одновременно только один, второй в это время выделен синим цветом, то есть не доступен... Как решить эту проблему? Надо направить пользователей по разным провайдерам... а задача какая стоит? два линка для балансировки нагрузки или же отказоустойчивости (один работает, если валится один подключается второй)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 21 ноября, 2009 (изменено) · Жалоба Я просто учусь... А в итоге хочется добиться: Есть сервер Win2003Server, через него в интернет выходит несколько компьютеров, так как в Windows, а точнее в билинговой программе не очень хороший шейпер, поэтому хочется вынести с компьютера шейпер с ограничением скорости по клиентам и всего чего можно добиться от RM450 в этом направлении, поднять на нем три PPPoE от разных провайдеров, направить клиентов на разные каналы и в случае падения одного переключать всех на другого или третьего.... поэтому и пытаюсь разобраться в этом...хочется по порядку разобраться что да как.... если Вы мне в этом поможете буду очень признателен....если это очень большой материал - можно за вознаграждение... Изменено 21 ноября, 2009 пользователем sherwood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 23 ноября, 2009 · Жалоба учится так учится! http://wiki.mikrotik.com/wiki/Two_gateways_failover http://wiki.mikrotik.com/wiki/Load_Balanci...ltiple_Gateways http://wiki.mikrotik.com/wiki/ECMP_load_ba...with_masquerade Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 23 ноября, 2009 · Жалоба учится так учится!http://wiki.mikrotik.com/wiki/Two_gateways_failover http://wiki.mikrotik.com/wiki/Load_Balanci...ltiple_Gateways http://wiki.mikrotik.com/wiki/ECMP_load_ba...with_masquerade спасибо, хорошие ссылки... учится так учится... сразу вопрос по первой ссылке... там говорится, что доступный маршрут будет с наименьшей (0) дистанцией и при падении его (проверка пингом) становится доступным второй... это хорошо, но мне изначально нужно, что бы разные IP ходили по разным каналам, я так понимаю нужны эти правила? поднимаем три шлюза от разных провайдеров с проверкой пинг: / ip route add dst-address=0.0.0.0/0 gateway=10.0.0.1,10.0.1.1,10.0.2.1 check-gateway=ping и направить пользователей на разные интерфейсы: /ip firewall nat add chain=srcnat src-address=172.17.1.50 action=masquerade out-interface=!PPPoE-prov1 /ip firewall nat add chain=srcnat src-address=172.17.1.51 action=masquerade out-interface=!PPPoE-prov2 /ip firewall nat add chain=srcnat src-address=172.17.1.52 action=masquerade out-interface=!PPPoE-prov3 последнее правило составлял сам по кусочкам, в нем я хотел пустить пользователя с IP 172.17.1.50 через PPPoE-prov1, правда не знаю сработает так или нет... и вопрос - если у меня много пользователей их наверное надо забить в адрес лист, так как там можно указать чей это IP? сразу еще вопрос: у меня настроен firewall штатным средством, то есть из WEB интерфейса поставил галку и получил следующее: интересует вопрос...правила на прохождения определенных IP нужно указывать в какой последовательности до или после правил с - drop? или это не имеет значения? пока все... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 24 ноября, 2009 · Жалоба На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет. Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес. Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow. В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 24 ноября, 2009 · Жалоба На первый взгляд правила NAT похожи на правду. Пробуй, и смотри будет работать или нет.Address-lists нужно пользоваться обязательно - это намного удобней чем для каждого пользователя добавлять отдельное правило. Распихал их по группам и на каждую группу по правилу. Когда нужно из одной группы в другую пользователя перенес. Картинка с правилами что-то не загрузилась. Вебмордой никогда не пользовался, только консоль или Winbox. Примеры правил есть в wiki.mikrotik.com. Конкретно здесь очень доступно как пакет проходит роутер http://wiki.mikrotik.com/wiki/Packet_Flow. В кратце, если пакет попадает на правило drop то он отбрасывается и дальше не обрабатывается. Соответственно правила прописанные после правила с drop бесполезны. на картинке правила firewall такие: ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop invalid connection packets" ip firewall filter add chain forward connection-state=established action=accept comment="Allow established connections" ip firewall filter add chain forward connection-state=related action=accept comment="Allow related connections" ip firewall filter add chain forward protocol=udp action=accept comment="Allow UDP" ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping" ip firewall filter add chain forward action=accept in-interface=!PPPoE-prov1 comment="Allow connection to router from local network" ip firewall filter add chain forward connection-state=invalid action=drop comment="Drop everything else" создать группы я и хотел, только не нашел где и как... создать получается только Address-lists.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 25 ноября, 2009 · Жалоба Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 25 ноября, 2009 · Жалоба Создаешь адрес листы а потом пихаешь их куда хочешь. Хочешь получатьль, хочешь отправитель. я думал, что там можно создать группы в которых создаем адрес-лист, а потом если надо например перенаправить пользователей из этой группы на какой нибудь интерфейс или изменить им скорость, создается всего одно правило и указывается эта группа.... значит правильно я понял, что если мне нужно например перенаправить несколько пользователей на разные интерфейсы и ограничить им например скорость, то нужно будет для каждого пользователя создавать правила? хотя ты вроде писал, что можно создать группу....или я что то не понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 25 ноября, 2009 · Жалоба вот пример использования адреслистов для разбития на группы /ip firewall address-list add list=group1 address=192.168.1.15 /ip firewall address-list add list=group1 address=192.168.1.16 /ip firewall address-list add list=group1 address=192.168.1.25 /ip firewall address-list add list=group1 address=192.168.1.37 /ip firewall address-list add list=group2 address=192.168.1.65 /ip firewall address-list add list=group2 address=192.168.1.69 /ip firewall address-list add list=group2 address=192.168.1.97 /ip firewall address-list add list=vip address=192.168.1.197 /ip firewall address-list add list=vip address=192.168.1.199 /ip firewall address-list add list=vip address=192.168.1.195 /ip firewall nat add chain=srcnat src-address-list=group1 action=masquerade out-interface=PPPoE-prov1 /ip firewall nat add chain=srcnat src-address-list=group2 action=masquerade out-interface=PPPoE-prov2 /ip firewall nat add chain=srcnat src-address-list=vip action=masquerade out-interface=PPPoE-prov3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 26 ноября, 2009 (изменено) · Жалоба здорово..... как то не додумался, что можно так... я пробовал создавать лист где писал в имени Фамилию пользователя для того что бы удобно было а, у тебя еще проще....в имени пишем название группы, IP это IP клиента и добавляем комментарий где пишем его фамилию.... потом можно будет к группам создавать правила такие как ограничение скорости и самое главное для чего я это затеваю - это настроить шейпер, что бы торренщики не клали канал.... еще вопрос для общего развития: если например на интерфейсе ether1 настраиваю адрес 192.168.0.1/24 и включаю туда сеть с 192.168.0.2-254 а второй интерфейс ether2 настраиваю как 172.16.0.1/24 и включаю туда сеть с 172.16.0.2-254 маршрутами соответственно у компьютеров прописываю сетевые интерфейсы в сети ether1 192.168.0.1 и в сети ether2 172.16.0.1.... будут ли эти сети доступны друг другу? то есть компьютер с 192.168.0.20 будет видеть 172.16.0.20 и наоборот? или нужно прописать статические маршруты на RB450, если да то какие? Изменено 26 ноября, 2009 пользователем sherwood Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...