[Saab95]

Можно, но на длинке нужно прописать маршруты тех сетей, которые находятся за микротиком, иначе ничего не заработает.

[mizeraj]

В общем прошу помощи )

Есть внутренняя сеть, в ней стоит PBX Oktell за айпишником 192.168.1.106, все это за микротиком 750G.

Включен нат хэлпер на портах 5060,5061. В фаерволле разрешен udp трафик по портам 9000-25000 и 5060, 5061. Удп трафик форвардится на 192.168.1.106, как и порты 5060 что по tcp, что по udp. На udp трафик с 192.168.1.106 (он на отдельном интерфейсе) включен маскарад. В итоге происходит такая магия: включаем проброс удп-трафика на порт 5060 - не работает телефония (удп тафик не проходит). Но регается сервер внутренней связи, находящийся в другом городе и работает. Убираем проброс - телефония работает, а внутренняя связь живет пока живет ее соединение.

Подскажите пожалуйста - как это все красиво исправить?

 

Фаерволл:

 0   ;;; Added by webbox
    chain=input action=accept protocol=icmp 

1   ;;; Added by webbox
    chain=input action=accept connection-state=established 
    in-interface=ether1-gateway 

2   ;;; Added by webbox
    chain=input action=accept connection-state=related 
    in-interface=ether1-gateway 

4   ;;; Drop invalid connection packets
    chain=input action=drop connection-state=invalid 

5   ;;; Added by webbox
    chain=input action=drop in-interface=ether1-gateway 

6   ;;; SIP IN (UDP)
    chain=forward action=accept dst-address-list=Oktell packet-mark=voip 
    connection-mark=voip_conn 

7   ;;; SIP OUT (UDP)
    chain=forward action=accept src-address-list=Oktell packet-mark=voip 
    connection-mark=voip_conn 

8   ;;; Allow 5060,5061 > 1.106 (TCP)
    chain=forward action=accept protocol=tcp dst-address-list=Oktell 
    dst-port=5060,5061 

9   ;;; Allow OUT 5060,5061 > 1.106 (TCP)
    chain=forward action=accept protocol=tcp src-port=5060,5061 

10   ;;; Drop invalid connection packets
    chain=forward action=drop connection-state=invalid 

14   ;;; Added by webbox
    chain=forward action=jump jump-target=customer 
    in-interface=ether1-gateway 

15   ;;; Added by webbox
    chain=customer action=accept connection-state=established 

16   ;;; Added by webbox
    chain=customer action=accept connection-state=related 

19   ;;; Allow 3389,4050-4055,4059-4066,4086-4089 > 1.106 (TCP)
    chain=customer action=accept protocol=tcp dst-address=192.168.1.106 
    dst-port=3389,4050-4055,4059-4066,4086-4089 

20   ;;; Allow 4003-4005 > 1.106 (UDP)
    chain=customer action=accept protocol=udp dst-port=4003-4005 

21   ;;; 9000-25000 > 1.106 (UDP)
    chain=customer action=accept protocol=udp dst-port=9000-25000 

24   ;;; Added by webbox
    chain=customer action=drop 

 

Нат:

 0   ;;; Added by webbox
    chain=srcnat action=masquerade to-addresses=0.0.0.0 
    out-interface=ether1-gateway 

14   ;;; Oktell(106) 3389
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=3389 
    protocol=tcp dst-port=55667 

15   ;;; Oktell(106) 4050-4055
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4050-4055 
    protocol=tcp dst-port=4050-4055 

16   ;;; Oktell(106) 4059-4066
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4059-4066 
    protocol=tcp dst-port=4059-4066 

17   ;;; Oktell(106) 4086-4089
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4086-4089 
    protocol=tcp dst-port=4086-4089 

18   ;;; Oktell(106) 4003-4005 (UDP)
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4003-4005 
    protocol=udp dst-port=4003-4005 

19   ;;; Oktell(106) 9000-25000 (UDP)
    chain=dstnat action=netmap to-addresses=192.168.1.106 
    to-ports=9000-25000 protocol=udp dst-port=9000-25000 
20   ;;; Oktell(106) 5060 (TCP)
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060 
    protocol=tcp dst-port=5060 

21 X ;;; Oktell(106) 5060 (UDP)
    chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060 
    protocol=udp dst-port=5060 

22   ;;; Masquerade Oktell
    chain=srcnat action=masquerade protocol=udp dst-address=192.168.1.106 

 

Mangle:

0   chain=prerouting action=mark-connection new-connection-mark=voip_conn 
    passthrough=yes protocol=udp dst-port=5060 

1   chain=prerouting action=mark-connection new-connection-mark=voip_conn 
    passthrough=yes protocol=udp dst-port=5061 

2   chain=prerouting action=mark-packet new-packet-mark=voip passthrough=no 
    connection-mark=voip_conn 

 

Скажу также, что если отключить нат-хэлпер на 5060 и 5061, то связя остается, но вот UDP пакеты как-то странно начинают маршрутизироваться, что не доходят - слышимости нет.

[divxl]

Даст потерю денежных знаков. Т.к. за 8 тысяч можно купить 2 секторных антенны ITELITE с боксом, внутрь которого можно сразу установить плату микротика и подключить пигтейлами напрямую. В этом случае будет меньше потерь в лишних соединениях, и не понадобится тратить деньги на дополнительные пластиковые боксы.

Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ?

От радиокарт пигтейлы в секторные антенны?

[WiTech]

Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ?

От радиокарт пигтейлы в секторные антенны?

нет.вам нужны антенны с встроенным боксом.в каждую антенну ставите свою плату с встроенной радиокартой.

вот тут всё описано популярно http://www.lanmart.ru/blogs/review-itelite-pro-sector-mikrotik/

Изменено 20 марта, 2014 пользователем WiTech

[Saab95]

Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ?

От радиокарт пигтейлы в секторные антенны?

 

Вам нужна секторная антенна (с ней в комплекте уже идут пигтейлы и гермоввод), в нее устанавливаете плату, например для 5ггц это RB912G-5HPnD, на ней уже интегрированная радиокарта и лицензия на борде L4, как раз для БС. Останется только еще блок питания и все.

 

Если планируете установить несколько секторов на крыше, то в качестве коммутатора и источника питания следует использовать Mikrotik RB750UP, он подает питание на 2-5 порты, а в 1 подключаете канал интернета. Заодно удаленно сможете перезагрузить антенны при необходимости.

[divxl]

Т.к. за 8 тысяч можно купить 2 секторных антенны ITELITE с боксом, внутрь которого можно сразу установить плату микротика и подключить пигтейлами напрямую.

А в чем плюс данной секторной антенны по сравнению с SXT SA ? У клиентов с плохими сигналами произойдет улучшение?

[maks48]

 

Можно, но на длинке нужно прописать маршруты тех сетей, которые находятся за микротиком, иначе ничего не заработает.

Пробовал пул под pptp 192.168.10.10-20, потом на викимикротик увидел, что пул настраивают в той же сети, что и лан.

Сейчас пингуется удаленный длинк, лан за ним - нет. Я иду верным путем, или где-то ошибся? Места с красным вопросиком вызывают сомнения... так и должно быть? 192.168.2.0 - это сеть за длинком. Спасибо

Изменено 21 марта, 2014 пользователем maks48

[Saab95]

У вас получается адреса одной и той же сети находятся на разных интерфейсах. Тогда нужно включить proxy-ARP на основном кабельном интерфейсе.

 

Но лучше выделить для PPP отдельную сеть, если настроен НАТ, исключить эту сеть из него. На длинке указать маршрут, что сеть 192.168.0.0/24 находится например за 192.168.1.1 (это адрес микротика внутри PPP соединения, настраивается в профиле), на микротике указываете, что сеть 192.168.2.0/24 находится за 192.168.1.10

[mizeraj]

Помогите мне пожалуйста... Я чуть выше, первым своим постом проблему обрисовал...

[maks48]

У вас получается адреса одной и той же сети находятся на разных интерфейсах. Тогда нужно включить proxy-ARP на основном кабельном интерфейсе.

 

Но лучше выделить для PPP отдельную сеть, если настроен НАТ, исключить эту сеть из него. На длинке указать маршрут, что сеть 192.168.0.0/24 находится например за 192.168.1.1 (это адрес микротика внутри PPP соединения, настраивается в профиле), на микротике указываете, что сеть 192.168.2.0/24 находится за 192.168.1.10

Не получается, даже пинговаться длинк перестал. Третий пункт в нат для меня не понятен. То ли я сам такое сочинил, то ли автоматом прописалось.

Изменено 21 марта, 2014 пользователем maks48

[Trueno]

Ура! Наконец-то родили!

В 6.11 прошивке есть возможность управления flow control на интерфейсах!

[haverlinkfor]

На микротике пользователи находящиеся в адрес листах ходят в интернет. Как завернуть пользователей которых нет в адрес листах на прокси? Именно не создавая другой адрес лист. Как отловить трафик этих пользователей?

Изменено 23 марта, 2014 пользователем haverlinkfor

[t1bur1an]

Использовать "НЕ" адрес лист. типа src-address-list=!super-normal-users. как то так все должно жить ))

[sparker]

На микротике пользователи находящиеся в адрес листах ходят в интернет. Как завернуть пользователей которых нет в адрес листах на прокси? Именно не создавая другой адрес лист. Как отловить трафик этих пользователей?

 

Например

src-address-list=!Users

 

т.е. выбрать всех, кроме тех кто в Address List Users

[kosmich7]

Коллеги подскажите кто в курсе, есть некий микротик, на нем два интерфейса интернет и локал поднят нат, есть необходимость пробросить влан для белых айпи в локалку, как лучше это сделать без ната ?

Есть мысль на итерфейсе интернет поднять влан Х на локале поднять влан Y и закинуть их в бридж 2 например, не совсем понятно какой тег снимится с бриджа X или Y ? оба тега останутся ?

Есть более изящные варианты без использования дополнительного оборудования ?

[fhntv_smart]

Есть более изящные варианты без использования дополнительного оборудования ?

Я делал через влан... но влан снимал еще одним микротиком.

т. е. влан на внутреннем интерфейсе в бридже с внешним. А на другом (клинетском) тике влан на внешнем и нат на влане.

 

Есть вариант, оба интерфейса объединить в бридж, нат включить без указания оут интерфейс, но у указанием диапазона локальных адресов.

Изменено 28 марта, 2014 пользователем fhntv_smart

[kosmich7]

Есть мысль на итерфейсе интернет поднять влан Х на локале поднять влан Y и закинуть их в бридж 2 например

оба тега останутся ?

Правильно понимаю ?

Я делал через влан... но влан снимал еще одним микротиком.

Дык снять тег не есть проблем :)

[gard]

Добрый день!

Подскажите пожалуйста сможет ли Microtik-шлюз семействав RouterBoard сделать следующее:

- держать 3 аплинка: 2 PPPoE-соединения от двух провайдеров и 1 Ethernet-соединение (от ADSL-модема)

- в случае падения приоритетного PPPoE-коннекта переключать на второе соединение, при падении обоих - на изернет

- в случае восстановления соединений переключать все обратно

- поверх одного из PPPoE-соединений запускать PPTP-соединение

- натить все эти 4 коннекта (Eth, PPPoE1, PPPoE2, PPTP over PPPoE1)

 

В остальном - фильтрация трафика, ограничения по портам на разные соединения и прочее.. Найти роутер другого бренда по описанию на сайтах под такую задачу (PPTP over PPPoE) я так и не смог, непонятно будет ли оно работать или нет.

 

Если все это работать будет, то не слишком ли жирно дополнительно возложить на Микротик-шлюз функции роутинга трафика между разными VLAN в сети и DHCP-сервера на несколько подсетей для разных VLAN (ну и меби DNS, если можно описывать зоны)? Общее количество портов коммутаторов уровня 2 (трафик между VLAN которых надо роутить) будет под сотку (2 коммутатора по 48 портов как минимум). Сеть гигабитная.

 

Справится ли Микротик?

[Saab95]

Справится. Только лучше делать все это не на одной железке, а на трех. Первые две поднимают PPPoE, третья подключена к ADSL. Все они делают НАТ. С четвертой железкой все сводите и распределяете.

[gard]

Многовато железок получается. Есть еще небольшое условие, забыл про него написать. В случае с одной железкой это выглядит так: пока pptp не поднят - есть роуты скажем с 15й метрикой до неких адресов через eth, когда pptp поднимается - на него вешаются те же роуты, но уже с mectic 0. Если уж совсем уточнить, то у нас есть 2 канала в Интернет (pppoe) и 2 канала (eth, pptp over pppoe) в сеть головной организации. ) Вот такая схема.

 

Как я понял вас, желательна примерно такая схема? В ней железки, которые поднимают pppoe и adsl сверху, а 192.168.0.4 - шлюз, который все разруливает и запускает pptp..

 

Мне кажется возможно сделать по другому, используя простой pppoe-роутер и роутер микротик. Простой роутер будет поднимать pppoe-соединения и натить их, переключая канал в случае падения одного из них. В микротик будет заходить кабель от eth (NAT), кабель от первого роутера (Forward) и будет создаваться pptp-соединение (NAT). Вроде работоспособная и не слишком сложная схема..

Изменено 3 апреля, 2014 пользователем gard

[Saab95]

Если вам нужно просто держать резерв в сеть организации, то нужно использовать маршрутизацию OSPF, тогда она все разрулит сама. Вам остается только управлять каналами для доступа в интернет с НАТом на вашей стороне.

[Ansy]

ну и меби DNS, если можно описывать зоны?

Справится ли Микротик?

Неа, в RouterOS зоны в DNS прописывать нельзя, к сожалению. Только банальный DNS-кэш.

Сам бы избавился от пары серверов с tinydns, если бы Mikrotik умел хотя бы опциональным модулем, ибо оно несложно... на оффоруме вопрос поднимал -- но не хотят, увы.

А остальное вроде как реально (на приличном процессоре -- PPP много одновременных), если трабл совместимости с контачащим железом/софтом не вылезет (мало ли, туннели бывают извращенные, тот же PPTP от MS).

И еще: вы готовы держать ВТОРУЮ такую же железку в резерве на экстренную подмену столь функционально нагруженного узла?

[gard]

Вторую железку держать конечно не хотелось бы, ибо бюджет, но подумать можно, железка по очень приятной цене.

 

Насчет DNS-зон конечно жать.

Тогда в принципе микротик можно использовать только в качестве шлюза/роутера между VLAN, а функции DHCP/DNS/etc оставить на софтовом сервере.

 

Возник еще 1 вопрос по моделям. Я не смог найти моделей RouterBoard с 2SFP-портами на WAN. Ситуация в следующем. От первого провайдера Интернет приходит по 2м каналам - это 2 SFP-модуля, этакое дублирование на физ. уровне. Если микротик например обладает портами SFP, то может ли он выполнить резервирование на уровне линка, устанавливая поверх любого из двух линков связь? + к этому имеется второй провайдер ) и еще одно окошечко во внешнюю сеть )

[Ansy]

Я не смог найти моделей RouterBoard с 2SFP-портами на WAN.

С двумя нету, есть с 4-мя SFP -- CCR за штуку зелени. Проще наверное конвертор добавить. Или даже RB260GS за всего $40 с 5-ю гагабитными медными и управлением?

От первого провайдера Интернет приходит по 2м каналам - это 2 SFP-модуля, этакое дублирование на физ. уровне. Если микротик например обладает портами SFP, то может ли он выполнить резервирование на уровне линка, устанавливая поверх любого из двух линков связь? + к этому имеется второй провайдер ) и еще одно окошечко во внешнюю сеть )

Mikrotik можно рассматривать как компьютер с количеством сетевых карт согласно числу портов (включая оптические). Например, 5, а то и 10-11-12 WAN-портов и один LAN (радио, скажем).

Да, еще и USB-порт можно в WAN засчитать, если "свисток" сунуть для 3G сотовой...

 

А вот как поверх всего этого дела ФУНКЦИОНАЛЬНО разрулить -- вопрос часто творческий. Я на своих RB (мелких, в основном) давно перешел тот порог, когда их можно вообще чем-то другим однозначно и эквивалентно заменить, кроме Linux-компа. Это, правда, лочит на одного производителя (и резерв железа приходится держать, не ленитесь бэкапить конфиги!) -- но пока оно того стОит. Одних только блоков питания + UPS (на каждом RB750UP по 4 штуки) -- экономия + управляемость.

[gard]

Вот сейчас как раз linux это дело и разруливает )) Конвертор есть, в в шлюз идет по меди, но нет предела фантазии ) В текущей ситуации напрягает то, что сеть зависит от одного компьютера, на котором кроме того еще и DHCP, DNS, Jabber, SMB и прочие вещи. Хочется разделить, возложив часть - на одно, часть - на другое.

 

Пока остановился на связке RB 750GL (для двух PPPoE-каналов, может быть в него и третий канал по меди) и RB2011iLS-IN для подъема за первым роутером соединения PPTP и для роутинга VLAN от коммутаторов доступа. Такая схема вроде избавляет от косяков, на которые я уже наступал, настраивая весь этот винегрет на linux.

Saab95 , забыл ответить про OSFP, возможно так и нужно сделать, но я заведую только своей небольшой сетью, имея учетку VPN для доступа в КИС вышестоящей организации. По идее эта учетка однопользовательская, но NAT такого соединения дает более выгодный результат для всей сети. Хотя конечно PPTP over PPPoE это извращение.

Изменено 4 апреля, 2014 пользователем gard