Saab95 Опубликовано 20 марта, 2014 · Жалоба Можно, но на длинке нужно прописать маршруты тех сетей, которые находятся за микротиком, иначе ничего не заработает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mizeraj Опубликовано 20 марта, 2014 · Жалоба В общем прошу помощи ) Есть внутренняя сеть, в ней стоит PBX Oktell за айпишником 192.168.1.106, все это за микротиком 750G. Включен нат хэлпер на портах 5060,5061. В фаерволле разрешен udp трафик по портам 9000-25000 и 5060, 5061. Удп трафик форвардится на 192.168.1.106, как и порты 5060 что по tcp, что по udp. На udp трафик с 192.168.1.106 (он на отдельном интерфейсе) включен маскарад. В итоге происходит такая магия: включаем проброс удп-трафика на порт 5060 - не работает телефония (удп тафик не проходит). Но регается сервер внутренней связи, находящийся в другом городе и работает. Убираем проброс - телефония работает, а внутренняя связь живет пока живет ее соединение. Подскажите пожалуйста - как это все красиво исправить? Фаерволл: 0 ;;; Added by webbox chain=input action=accept protocol=icmp 1 ;;; Added by webbox chain=input action=accept connection-state=established in-interface=ether1-gateway 2 ;;; Added by webbox chain=input action=accept connection-state=related in-interface=ether1-gateway 4 ;;; Drop invalid connection packets chain=input action=drop connection-state=invalid 5 ;;; Added by webbox chain=input action=drop in-interface=ether1-gateway 6 ;;; SIP IN (UDP) chain=forward action=accept dst-address-list=Oktell packet-mark=voip connection-mark=voip_conn 7 ;;; SIP OUT (UDP) chain=forward action=accept src-address-list=Oktell packet-mark=voip connection-mark=voip_conn 8 ;;; Allow 5060,5061 > 1.106 (TCP) chain=forward action=accept protocol=tcp dst-address-list=Oktell dst-port=5060,5061 9 ;;; Allow OUT 5060,5061 > 1.106 (TCP) chain=forward action=accept protocol=tcp src-port=5060,5061 10 ;;; Drop invalid connection packets chain=forward action=drop connection-state=invalid 14 ;;; Added by webbox chain=forward action=jump jump-target=customer in-interface=ether1-gateway 15 ;;; Added by webbox chain=customer action=accept connection-state=established 16 ;;; Added by webbox chain=customer action=accept connection-state=related 19 ;;; Allow 3389,4050-4055,4059-4066,4086-4089 > 1.106 (TCP) chain=customer action=accept protocol=tcp dst-address=192.168.1.106 dst-port=3389,4050-4055,4059-4066,4086-4089 20 ;;; Allow 4003-4005 > 1.106 (UDP) chain=customer action=accept protocol=udp dst-port=4003-4005 21 ;;; 9000-25000 > 1.106 (UDP) chain=customer action=accept protocol=udp dst-port=9000-25000 24 ;;; Added by webbox chain=customer action=drop Нат: 0 ;;; Added by webbox chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway 14 ;;; Oktell(106) 3389 chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=3389 protocol=tcp dst-port=55667 15 ;;; Oktell(106) 4050-4055 chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4050-4055 protocol=tcp dst-port=4050-4055 16 ;;; Oktell(106) 4059-4066 chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4059-4066 protocol=tcp dst-port=4059-4066 17 ;;; Oktell(106) 4086-4089 chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4086-4089 protocol=tcp dst-port=4086-4089 18 ;;; Oktell(106) 4003-4005 (UDP) chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=4003-4005 protocol=udp dst-port=4003-4005 19 ;;; Oktell(106) 9000-25000 (UDP) chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=9000-25000 protocol=udp dst-port=9000-25000 20 ;;; Oktell(106) 5060 (TCP) chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060 protocol=tcp dst-port=5060 21 X ;;; Oktell(106) 5060 (UDP) chain=dstnat action=netmap to-addresses=192.168.1.106 to-ports=5060 protocol=udp dst-port=5060 22 ;;; Masquerade Oktell chain=srcnat action=masquerade protocol=udp dst-address=192.168.1.106 Mangle: 0 chain=prerouting action=mark-connection new-connection-mark=voip_conn passthrough=yes protocol=udp dst-port=5060 1 chain=prerouting action=mark-connection new-connection-mark=voip_conn passthrough=yes protocol=udp dst-port=5061 2 chain=prerouting action=mark-packet new-packet-mark=voip passthrough=no connection-mark=voip_conn Скажу также, что если отключить нат-хэлпер на 5060 и 5061, то связя остается, но вот UDP пакеты как-то странно начинают маршрутизироваться, что не доходят - слышимости нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 20 марта, 2014 · Жалоба Даст потерю денежных знаков. Т.к. за 8 тысяч можно купить 2 секторных антенны ITELITE с боксом, внутрь которого можно сразу установить плату микротика и подключить пигтейлами напрямую. В этом случае будет меньше потерь в лишних соединениях, и не понадобится тратить деньги на дополнительные пластиковые боксы. Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ? От радиокарт пигтейлы в секторные антенны? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
WiTech Опубликовано 20 марта, 2014 (изменено) · Жалоба Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ? От радиокарт пигтейлы в секторные антенны? нет.вам нужны антенны с встроенным боксом.в каждую антенну ставите свою плату с встроенной радиокартой. вот тут всё описано популярно http://www.lanmart.ru/blogs/review-itelite-pro-sector-mikrotik/ Изменено 20 марта, 2014 пользователем WiTech Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 марта, 2014 · Жалоба Т.е. 2 секторные антенны + 1 бокс + 1 МП и 2 радикарты ? От радиокарт пигтейлы в секторные антенны? Вам нужна секторная антенна (с ней в комплекте уже идут пигтейлы и гермоввод), в нее устанавливаете плату, например для 5ггц это RB912G-5HPnD, на ней уже интегрированная радиокарта и лицензия на борде L4, как раз для БС. Останется только еще блок питания и все. Если планируете установить несколько секторов на крыше, то в качестве коммутатора и источника питания следует использовать Mikrotik RB750UP, он подает питание на 2-5 порты, а в 1 подключаете канал интернета. Заодно удаленно сможете перезагрузить антенны при необходимости. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
divxl Опубликовано 21 марта, 2014 · Жалоба Т.к. за 8 тысяч можно купить 2 секторных антенны ITELITE с боксом, внутрь которого можно сразу установить плату микротика и подключить пигтейлами напрямую. А в чем плюс данной секторной антенны по сравнению с SXT SA ? У клиентов с плохими сигналами произойдет улучшение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maks48 Опубликовано 21 марта, 2014 (изменено) · Жалоба Можно, но на длинке нужно прописать маршруты тех сетей, которые находятся за микротиком, иначе ничего не заработает. Пробовал пул под pptp 192.168.10.10-20, потом на викимикротик увидел, что пул настраивают в той же сети, что и лан. Сейчас пингуется удаленный длинк, лан за ним - нет. Я иду верным путем, или где-то ошибся? Места с красным вопросиком вызывают сомнения... так и должно быть? 192.168.2.0 - это сеть за длинком. Спасибо Изменено 21 марта, 2014 пользователем maks48 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 21 марта, 2014 · Жалоба У вас получается адреса одной и той же сети находятся на разных интерфейсах. Тогда нужно включить proxy-ARP на основном кабельном интерфейсе. Но лучше выделить для PPP отдельную сеть, если настроен НАТ, исключить эту сеть из него. На длинке указать маршрут, что сеть 192.168.0.0/24 находится например за 192.168.1.1 (это адрес микротика внутри PPP соединения, настраивается в профиле), на микротике указываете, что сеть 192.168.2.0/24 находится за 192.168.1.10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mizeraj Опубликовано 21 марта, 2014 · Жалоба Помогите мне пожалуйста... Я чуть выше, первым своим постом проблему обрисовал... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maks48 Опубликовано 21 марта, 2014 (изменено) · Жалоба У вас получается адреса одной и той же сети находятся на разных интерфейсах. Тогда нужно включить proxy-ARP на основном кабельном интерфейсе. Но лучше выделить для PPP отдельную сеть, если настроен НАТ, исключить эту сеть из него. На длинке указать маршрут, что сеть 192.168.0.0/24 находится например за 192.168.1.1 (это адрес микротика внутри PPP соединения, настраивается в профиле), на микротике указываете, что сеть 192.168.2.0/24 находится за 192.168.1.10 Не получается, даже пинговаться длинк перестал. Третий пункт в нат для меня не понятен. То ли я сам такое сочинил, то ли автоматом прописалось. Изменено 21 марта, 2014 пользователем maks48 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 21 марта, 2014 · Жалоба Ура! Наконец-то родили! В 6.11 прошивке есть возможность управления flow control на интерфейсах! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
haverlinkfor Опубликовано 23 марта, 2014 (изменено) · Жалоба На микротике пользователи находящиеся в адрес листах ходят в интернет. Как завернуть пользователей которых нет в адрес листах на прокси? Именно не создавая другой адрес лист. Как отловить трафик этих пользователей? Изменено 23 марта, 2014 пользователем haverlinkfor Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t1bur1an Опубликовано 24 марта, 2014 · Жалоба Использовать "НЕ" адрес лист. типа src-address-list=!super-normal-users. как то так все должно жить )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sparker Опубликовано 24 марта, 2014 · Жалоба На микротике пользователи находящиеся в адрес листах ходят в интернет. Как завернуть пользователей которых нет в адрес листах на прокси? Именно не создавая другой адрес лист. Как отловить трафик этих пользователей? Например src-address-list=!Users т.е. выбрать всех, кроме тех кто в Address List Users Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 28 марта, 2014 · Жалоба Коллеги подскажите кто в курсе, есть некий микротик, на нем два интерфейса интернет и локал поднят нат, есть необходимость пробросить влан для белых айпи в локалку, как лучше это сделать без ната ? Есть мысль на итерфейсе интернет поднять влан Х на локале поднять влан Y и закинуть их в бридж 2 например, не совсем понятно какой тег снимится с бриджа X или Y ? оба тега останутся ? Есть более изящные варианты без использования дополнительного оборудования ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhntv_smart Опубликовано 28 марта, 2014 (изменено) · Жалоба Есть более изящные варианты без использования дополнительного оборудования ? Я делал через влан... но влан снимал еще одним микротиком. т. е. влан на внутреннем интерфейсе в бридже с внешним. А на другом (клинетском) тике влан на внешнем и нат на влане. Есть вариант, оба интерфейса объединить в бридж, нат включить без указания оут интерфейс, но у указанием диапазона локальных адресов. Изменено 28 марта, 2014 пользователем fhntv_smart Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 28 марта, 2014 · Жалоба Есть мысль на итерфейсе интернет поднять влан Х на локале поднять влан Y и закинуть их в бридж 2 например оба тега останутся ? Правильно понимаю ? Я делал через влан... но влан снимал еще одним микротиком. Дык снять тег не есть проблем :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 3 апреля, 2014 · Жалоба Добрый день! Подскажите пожалуйста сможет ли Microtik-шлюз семействав RouterBoard сделать следующее: - держать 3 аплинка: 2 PPPoE-соединения от двух провайдеров и 1 Ethernet-соединение (от ADSL-модема) - в случае падения приоритетного PPPoE-коннекта переключать на второе соединение, при падении обоих - на изернет - в случае восстановления соединений переключать все обратно - поверх одного из PPPoE-соединений запускать PPTP-соединение - натить все эти 4 коннекта (Eth, PPPoE1, PPPoE2, PPTP over PPPoE1) В остальном - фильтрация трафика, ограничения по портам на разные соединения и прочее.. Найти роутер другого бренда по описанию на сайтах под такую задачу (PPTP over PPPoE) я так и не смог, непонятно будет ли оно работать или нет. Если все это работать будет, то не слишком ли жирно дополнительно возложить на Микротик-шлюз функции роутинга трафика между разными VLAN в сети и DHCP-сервера на несколько подсетей для разных VLAN (ну и меби DNS, если можно описывать зоны)? Общее количество портов коммутаторов уровня 2 (трафик между VLAN которых надо роутить) будет под сотку (2 коммутатора по 48 портов как минимум). Сеть гигабитная. Справится ли Микротик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 апреля, 2014 · Жалоба Справится. Только лучше делать все это не на одной железке, а на трех. Первые две поднимают PPPoE, третья подключена к ADSL. Все они делают НАТ. С четвертой железкой все сводите и распределяете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 3 апреля, 2014 (изменено) · Жалоба Многовато железок получается. Есть еще небольшое условие, забыл про него написать. В случае с одной железкой это выглядит так: пока pptp не поднят - есть роуты скажем с 15й метрикой до неких адресов через eth, когда pptp поднимается - на него вешаются те же роуты, но уже с mectic 0. Если уж совсем уточнить, то у нас есть 2 канала в Интернет (pppoe) и 2 канала (eth, pptp over pppoe) в сеть головной организации. ) Вот такая схема. Как я понял вас, желательна примерно такая схема? В ней железки, которые поднимают pppoe и adsl сверху, а 192.168.0.4 - шлюз, который все разруливает и запускает pptp.. Мне кажется возможно сделать по другому, используя простой pppoe-роутер и роутер микротик. Простой роутер будет поднимать pppoe-соединения и натить их, переключая канал в случае падения одного из них. В микротик будет заходить кабель от eth (NAT), кабель от первого роутера (Forward) и будет создаваться pptp-соединение (NAT). Вроде работоспособная и не слишком сложная схема.. Изменено 3 апреля, 2014 пользователем gard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 апреля, 2014 · Жалоба Если вам нужно просто держать резерв в сеть организации, то нужно использовать маршрутизацию OSPF, тогда она все разрулит сама. Вам остается только управлять каналами для доступа в интернет с НАТом на вашей стороне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 4 апреля, 2014 · Жалоба ну и меби DNS, если можно описывать зоны?Справится ли Микротик? Неа, в RouterOS зоны в DNS прописывать нельзя, к сожалению. Только банальный DNS-кэш.Сам бы избавился от пары серверов с tinydns, если бы Mikrotik умел хотя бы опциональным модулем, ибо оно несложно... на оффоруме вопрос поднимал -- но не хотят, увы. А остальное вроде как реально (на приличном процессоре -- PPP много одновременных), если трабл совместимости с контачащим железом/софтом не вылезет (мало ли, туннели бывают извращенные, тот же PPTP от MS). И еще: вы готовы держать ВТОРУЮ такую же железку в резерве на экстренную подмену столь функционально нагруженного узла? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 апреля, 2014 · Жалоба Вторую железку держать конечно не хотелось бы, ибо бюджет, но подумать можно, железка по очень приятной цене. Насчет DNS-зон конечно жать. Тогда в принципе микротик можно использовать только в качестве шлюза/роутера между VLAN, а функции DHCP/DNS/etc оставить на софтовом сервере. Возник еще 1 вопрос по моделям. Я не смог найти моделей RouterBoard с 2SFP-портами на WAN. Ситуация в следующем. От первого провайдера Интернет приходит по 2м каналам - это 2 SFP-модуля, этакое дублирование на физ. уровне. Если микротик например обладает портами SFP, то может ли он выполнить резервирование на уровне линка, устанавливая поверх любого из двух линков связь? + к этому имеется второй провайдер ) и еще одно окошечко во внешнюю сеть ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 4 апреля, 2014 · Жалоба Я не смог найти моделей RouterBoard с 2SFP-портами на WAN.С двумя нету, есть с 4-мя SFP -- CCR за штуку зелени. Проще наверное конвертор добавить. Или даже RB260GS за всего $40 с 5-ю гагабитными медными и управлением?От первого провайдера Интернет приходит по 2м каналам - это 2 SFP-модуля, этакое дублирование на физ. уровне. Если микротик например обладает портами SFP, то может ли он выполнить резервирование на уровне линка, устанавливая поверх любого из двух линков связь? + к этому имеется второй провайдер ) и еще одно окошечко во внешнюю сеть )Mikrotik можно рассматривать как компьютер с количеством сетевых карт согласно числу портов (включая оптические). Например, 5, а то и 10-11-12 WAN-портов и один LAN (радио, скажем).Да, еще и USB-порт можно в WAN засчитать, если "свисток" сунуть для 3G сотовой... А вот как поверх всего этого дела ФУНКЦИОНАЛЬНО разрулить -- вопрос часто творческий. Я на своих RB (мелких, в основном) давно перешел тот порог, когда их можно вообще чем-то другим однозначно и эквивалентно заменить, кроме Linux-компа. Это, правда, лочит на одного производителя (и резерв железа приходится держать, не ленитесь бэкапить конфиги!) -- но пока оно того стОит. Одних только блоков питания + UPS (на каждом RB750UP по 4 штуки) -- экономия + управляемость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gard Опубликовано 4 апреля, 2014 (изменено) · Жалоба Вот сейчас как раз linux это дело и разруливает )) Конвертор есть, в в шлюз идет по меди, но нет предела фантазии ) В текущей ситуации напрягает то, что сеть зависит от одного компьютера, на котором кроме того еще и DHCP, DNS, Jabber, SMB и прочие вещи. Хочется разделить, возложив часть - на одно, часть - на другое. Пока остановился на связке RB 750GL (для двух PPPoE-каналов, может быть в него и третий канал по меди) и RB2011iLS-IN для подъема за первым роутером соединения PPTP и для роутинга VLAN от коммутаторов доступа. Такая схема вроде избавляет от косяков, на которые я уже наступал, настраивая весь этот винегрет на linux. Saab95 , забыл ответить про OSFP, возможно так и нужно сделать, но я заведую только своей небольшой сетью, имея учетку VPN для доступа в КИС вышестоящей организации. По идее эта учетка однопользовательская, но NAT такого соединения дает более выгодный результат для всей сети. Хотя конечно PPTP over PPPoE это извращение. Изменено 4 апреля, 2014 пользователем gard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...