[YuriyZhan]

Есть пару вопросов, ответьте пожалуйста!

 

1.Есть диапазон адресов 192.168.0.2 - 192.168.0.254

нужно каждому сделать ограничение по 1 МБит

Это придется вручную прописывать 253 правила в Queues?

 

2. Я сделал ограничения на соц сети, т.е. блокирование сайтов с помощью Firewall

/ip firewall filter add chain=forward src-address-list=blockedsites action=drop comment="Blocked Sites" disabled=no

/ip firewall address-list add list=blockedsites address=87.240.143.244 disabled=no

...

и так у меня 23 blockedsites

Вопрос, как сделать исключение для определенных адресов сети (т.н. Vip-ы)?

И как отключать блокирование в обеденный перерыв с 12:00 до 13:00 ?

 

3. Возможно ли сохранять логи в сетевую папку для регистрации того кто какой сайт посещал и в какое время?

[Saab95]

1.Есть диапазон адресов 192.168.0.2 - 192.168.0.254

нужно каждому сделать ограничение по 1 МБит

Это придется вручную прописывать 253 правила в Queues?

 

Создаете 2 типа правил PCQ с указанием ограничения скорости 1мбит, далее создаете одно простое правило, указываете там подсеть для которых ограничивать скорость, тип правила на прием и передачу ставите 2 созданных.

 

2. Я сделал ограничения на соц сети, т.е. блокирование сайтов с помощью Firewall

/ip firewall filter add chain=forward src-address-list=blockedsites action=drop comment="Blocked Sites" disabled=no

/ip firewall address-list add list=blockedsites address=87.240.143.244 disabled=no

...

и так у меня 23 blockedsites

Вопрос, как сделать исключение для определенных адресов сети (т.н. Vip-ы)?

И как отключать блокирование в обеденный перерыв с 12:00 до 13:00 ?

 

Создайте адрес лист и поместите туда определенные адреса. В каждом правиле добавьте исключение, что бы если src адрес есть в адрес листе, то ничего не делать.

У правила есть возможность задавать период действия, пощелкайте по вкладкам. Но нужно установить точное время на роутере и включить получения времени через NTP, а то после перезагрузки оно собьется.

 

3. Возможно ли сохранять логи в сетевую папку для регистрации того кто какой сайт посещал и в какое время?

 

Если эти сайты есть в ваших блокировках, то в принципе можно - нужно просто создать еще такие же правила, и в действии указать запись сообщения в лог, после включаете отправку логов на удаленный сервер (syslog) и там смотрите кто куда ходил. Но лучше всего использовать либо стороннее ПО, например биллинг, либо специальные программы для фильтрации данных.

[awax]

Есть вопрос, в фильтре фаервола есть порядка 30 запрещающих правил, подключил второго провайдера. Вопрос... все правила нужно дублировать для второго провайдера или в существующих в interfice можно поставить "all internet" ? Оба прова статика.

[Saab95]

Вообще, если вы закрываете роутер извне, то закрываете порты, поэтому не важно с какого провайдера данные придут, они придут на определенный порт, поэтому можно вообще провайдеров в правилах не указывать, и входящие порты. Если нужно так, что бы изнутри доступ к портам был, тогда укажите в качестве входящего интерфейса свой внутренний, или внутреннюю подсеть.

[awax]

Saab для примера

 

chain=input action=accept protocol=tcp in-interface=ISP1

dst-port=2222,1194,8291 log=no log-prefix=""

 

chain=input action=accept protocol=tcp in-interface=ISP2

dst-port=2222,1194,8291 log=no log-prefix=""

 

Одно правило с in-interface=all internet ?

 

 

chain=forward action=drop out-interface=ISP1 content=Host: avito.ru log=no log-prefix=""

 

Одно правило с out-interface=all internet ?

 

 

chain=input action=drop in-interface=ISP1

 

chain=input action=drop in-interface=ISP2

 

Одно правило с in-interface=all internet ?

Изменено 1 сентября, 2015 пользователем awax

[Saab95]

chain=input action=accept protocol=tcp in-interface=ISP1

dst-port=2222,1194,8291 log=no log-prefix=""

 

chain=input action=accept protocol=tcp in-interface=ISP2

dst-port=2222,1194,8291 log=no log-prefix=""

 

Одно правило с in-interface=all internet ?

 

Не проще ли написать src.address = ! 10.0.0.0/8 как вариант? То есть если запрос пришел не от внутренней сети, то дропать данные? Или, если у вас все остальные порты в бридже, то указать in-interface = ! bridge1 и т.п.

Откуда микротику знать, что там за адреса у all internet?

 

 

 

chain=forward action=drop out-interface=ISP1 content=Host: avito.ru log=no log-prefix=""

 

Одно правило с out-interface=all internet ?

 

Тут можно вообще выходной интерфейс не указывать, ведь и так ясно, что запрос пойдет наружу, тут обычно опять же, пишут src.address внутренних абонентов, или, если их много, то через address list.

 

chain=input action=drop in-interface=ISP1

 

chain=input action=drop in-interface=ISP2

 

Одно правило с in-interface=all internet ?

 

И здесь можно указать по аналогии, что если пакет пришел не из внутренней сети, то дроп. Проверяются по src.address или in-interface = ! bridge1 и т.п.

 

Кроме всего не понятно, зачем дропать весь входящий трафик? Мало того, что вы фильтрами по L7 уже ресурсы забираете, так все пакеты, которые через роутер проходят, идут по цепочке правил файрвола. Запретите только то, что действительно нужно запретить, например порт внутреннего ДНС. Остальное пусть будет открыто.

[awax]

Еще немного вопросов, настраивал 2 провайдера по разным мануалам из которых взял понемногу . Задача была 2 канала с балансировкой + доступ к серверу в локалке с обеих IP. Вроде все настроил но вопросы остались.

 

как правильнее:

 

/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat

или

/ ip firewall nat

add chain=srcnat out-interface=ISP1 action=masquerade

add chain=srcnat out-interface=ISP2 action=masquerade

 

ТУТ приводиться пример настройки ECMP, но зачем вот эти правила что выделены черным

 

#промаркируем весь траффик из локальной сети

/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=mixed

#используем ECMP для балансировки траффика из локальной сети

/ip route add dst-address=0.0.0.0/0 gateway=10.100.1.254,10.200.1.254 routing-mark=mixed

 

в WIKI микротик их нет

 

 

/ ip route

add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping

 

/ ip firewall nat

add chain=srcnat out-interface=wlan1 action=masquerade

add chain=srcnat out-interface=wlan2 action=masquerade

 

/ ip firewall mangle

add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn

add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn

add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wla1

add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wla2

 

/ ip route

add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wla1

add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wla2

[Saab95]

/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat

 

Вот так правильно. Вообще НАТ это предоставление доступа абонентам с серыми адресами в интернет, не ясно, с какого боку тут интерфейсы? Если вы сделаете НАТ по src адресу, то он будет всегда делаться, не зависимо по какому провайдеру идут данные. Когда вы делаете НАТ по выходному интерфейсу, то тоже будет работать, только это уже 2 разных НАТа, которые работают при прохождении данных по этим операторам. Однако, если работает, это еще не значит, что так надо делать.

[awax]

Выходит в Wiki не правильно написано про НАТ ? а по поводу второго правила, зачем маркировать весь трафик из локалки ? уменя в данный момент работает так:

 

ip route

add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping

 

ip route

add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wla1

add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wla2

[Saab95]

Выходит в Wiki не правильно написано про НАТ ? а по поводу второго правила, зачем маркировать весь трафик из локалки ? уменя в данный момент работает так:

 

Хорошо, укажите еще и dst адрес = ! 10.1.1.0/24, тогда он для внутренних адресов работать не будет.

[awax]

Как добавить второй сертификат для SSTP сервера ? нужно организовать бесперебойное подключение к локалке офиса по SSTP, для чего собственно и был подключен второй провайдер. Что бы клиенты Win7 могли подключаться по SSTP при генерации сертификатов "CA" в CN=статически ip роутера, иначе на винде получаем 0x800B010F. Получается что для каждого канала нужен свой сертификат, но микротик дает прописать только один, или я ошибаюсь ? Желательно конечно что бы сервер был доступен одновременно с обоих ip, но если это невозможно то устроил бы и второй вариант, вместе с падение канала скрипт переключает сертификат. Через Netwatch же это возможно ?

 

[admin@MikroTik] > /tool netwatch print detail

Flags: X - disabled

0

host=8.8.8.8 timeout=1s interval=1m since=sep/04/2015 19:01:00 s

up-script=/ip route enable [find dst-address=0.0.0.0/0 and

gateway=шлюз провайдера and distance >= 1]

down-script=/ip route disable [find dst-address=0.0.0.0/0 and

gateway=шлюз провайдера and distance >= 1]

 

а можно написать скрипт UP и Down по аналогии, только переключение сертификатов в сервере ?

 

PS: поднять PPTP и L2TP не предлагать

Изменено 5 сентября, 2015 пользователем awax

[minidisc]

доброго дня всем, может кто то сталкивался: есть мост на SXT 2 Lite в бридже, WDS все подтянуто все работает (маленько с ошибками, но пока нет времени на догонку), если повесить на WAN Dlink 615 то он все поднимает и получает IP от провайдера и все работает. Имеется так же NETGEAR WNDR3700 прошитый в OPENWRT, так он не получает в этой связке IP от провайдера. проверял у этого же провайдера через прямое подключение - все работает, и от Dlinkа тоже получает и все работает... может что то надо довключить в SXT? провайдер отдает подключение без заморочек - просто по DHCP без всяких логинов и паролей, привязки по MAC нет.

[Jnn]

добрый день. пока не буду создавать отдельную тему, кажется вопрос элементарный но вот никак не могу решить.

стоял у меня 951 микротик с хотспот. я делал перенаправление на страницу приветсвия. открывался интернет с триалом.

 

потом в один прекрасный день это все работать перестало. я сбросил роутер и заново настроил лан\влан. но когда включаю хотспот отсылка на страницу приветствия идет только через лан порты. там все переходит и включается триал

а при подключении к вай фай нет перехода на страницу приветствия. т.е. либо пишет ошибка подключения. либо надо руками(!) зайти на ИП микротика и пройти по ссылке чтобы активировать триал. без включения хотспот интернет через влан работает

вообщем вопрос - как сделать редирект на страницу приветсвия у вай фая? может вам логи нужны или скрины? я так сказать только начал с этой техникой работать. еще не совсем освоился.

заранее спасибо.

[Saab95]

Скорее всего забыли добавить беспроводной адаптер в бридж, либо удалить дефолтный IP адрес, или какие-то другие настройки. После сброса роутера надо отказаться от начального конфига, и только потом настраивать.

[Jnn]

еще не разобрался, но переформулирую вопрос - переход на страницу приветствия срабатывает на полных прямых адресах. например пишу yandex.ru или 192,168,0,5 хотспот делает перенаправление. пишу yandex.ru/folder/abcd выскакивает ошибка подключения. дефолтные настройки сбрасывал. в бридже влан добавлен.

 

сначала думал проблемы с днс, тк заметил переходы с ип адресов. потом попробовал полный адрес вписать

Изменено 10 сентября, 2015 пользователем Jnn

[ZxNuClear]

Доброго дня. Подскажите, возможно ли организовать на микротике блокировку доступа к "черному списку" серверов/сайтов, адреса которых прописаны скажем в файле blacklist.txt? Возможно это можно как-то реализовать посредством скрипта, так как вручную содавать правило на каждый сервер не вариант, адресов много. Объясню для чего все это нужно. На домашних компах установлены Windows 10, которая, согласно множественным новостям и обсуждениям в сети, очень много инфы слывает на свои сервера. Прописывать эти адреса в файл host на самой винде результата не дает, поэтому хотелось бы урезать "слив" на МТике. Возможно такое реализовать?

[BF-Systems]

Доброго дня. Подскажите, возможно ли организовать на микротике блокировку доступа к "черному списку" серверов/сайтов, адреса которых прописаны скажем в файле blacklist.txt? Возможно это можно как-то реализовать посредством скрипта, так как вручную содавать правило на каждый сервер не вариант, адресов много. Объясню для чего все это нужно. На домашних компах установлены Windows 10, которая, согласно множественным новостям и обсуждениям в сети, очень много инфы слывает на свои сервера. Прописывать эти адреса в файл host на самой винде результата не дает, поэтому хотелось бы урезать "слив" на МТике. Возможно такое реализовать?

 

 

запросто. через адресс листы. для этого нужно взять где то готовый адреслист, отпарсить и заблокировать одним правилом весь этот адреслист.

 

пример :

 

на микротике :

 

ччч.ччч.ччч.ччч - айпи вебсервера которій занимается парсингом блоклиста

 

 

/system script

add name=runet-0 policy=\

ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \

source="/tool fetch address=\"ччч.ччч.ччч.ччч\" mode=\"http\" src-path=\"/ru\

net/runet.txt\" dst-path=\"/runet.txt\"\r\

\n:delay 10\r\

\n#/system backup save\r\

\n:delay 5\r\

\n/system script run 1"

add name=runet-1 policy=\

ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \

source="if ( [/file get [/file find name=\"runet.txt\"] size] > 0 ) do={\r\

\n\r\

\n:global prfxses [/file get [/file find name=\"runet.txt\"] contents] ;\r\

\n:global prfend 0;\r\

\n\r\

\n:do {\r\

\n\r\

\n/tool fetch address=\"ччч.ччч.ччч.ччч\" mode=\"http\" src-path=\"/runet/ru\

netip\$prfend.txt\" dst-path=\"/runetip\$prfend.txt\"\r\

\n:set prfend ( \$prfend + 1 ) ;\r\

\n\r\

\n} while=( \$prfend < \$prfxses ); /system script run 2} else={ /system s\

cript run 0 }"

add name=runet-2 policy=\

ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \

source=":global cprfxses [/file get [/file find name=\"runet.txt\"] conten\

ts] ;\r\

\n:global cprfend 0;\r\

\n\r\

\n/ip firewall address-list remove [/ip firewall address-list find list=ru\

net]\r\

\n\r\

\n:do {\r\

\n\r\

\n:global content [/file get [/file find name=\"runetip\$cprfend.txt\"] co\

ntents] ;\r\

\n:global contentLen [ :len \$content ] ;\r\

\n\r\

\n:global lineEnd 0;\r\

\n:global line \"\";\r\

\n:global lastEnd 0;\r\

\n\r\

\n:do {\r\

\n:set lineEnd [:find \$content \"\\n\" \$lastEnd ] ;\r\

\n:set line [:pick \$content \$lastEnd \$lineEnd] ;\r\

\n:set lastEnd ( \$lineEnd + 1 ) ;\r\

\n\r\

\n/ip firewall address-list add list=runet address=\$line\r\

\n\r\

\n} while=(\$lineEnd + 1 < \$contentLen) ;\r\

\n:set cprfend ( \$cprfend + 1 ) ; } while=(\$cprfend < \$cprfxses); \r\

\n\r\

\n/system script run 0"

 

на вебсервере с айпи ччч.ччч.ччч.ччч :

 

<?php

 

#Отримуємо список префіксів:

 

$file = file("http://noc.masterhost.ru/allrunet/runet");

$num = 0;

$g=1;

$tmp=true;

while ($tmp) {

$tmp = array_slice($file, $num*215, 215);

if($tmp) {

 

#Кладемо в директорію Вашого веб-сервера:

 

file_put_contents("./runet/runetip$num.txt", $tmp);

}

$num++;

}

 

#Кладемо в директорію Вашого веб-сервера:

 

file_put_contents("./runet/runet.txt", $num-1)

?>

 

используем для єтого php cli и crontab

[ZxNuClear]

много текста

 

А как реализовать более просто, без веб-серверов и прочего. Ну скажем этот список серверов у меня имеется уже, хранится в файле blacklist.txt в памяти МТика и я сам периодически его буду обновлять. Просто я далек от этих веб-серверов и прочего )))

 

Примерно представляю себе выполнение следующим образом:

 

Есть файл blacklist.txt, некий скрипт анализирует этот файл, берет каждую строчку из него и свтавляет в код

 

ip firewall address-list add address=[:resolve "строчка из файла"] list=blacklist

и так весь файл, а далее все это блокируется правилом

 

ip firewall filter add chain=forward src-address-list=blacklist action=drop

Можно это как-нибудь так реализовать? В скриптах вообще не разбираюсь. Просьба ногами не пинать

Изменено 11 сентября, 2015 пользователем ZxNuClear

[awax]

Прошу совета, до коммутатора провайдера медь +-80 м, для раздачи инета стоял Zyxel кенетик все работало Ок, после замены на Микротик hap lite через месяц начались отвалы WAN порта, (при тесте кабеля пишет обрыв обеих пар на конце кабеля) Было предположение что это hap lite чудит, но после замены на 951 проблема сохранилась. Линк восстанавливаться при подключении ноута к кабелю на прямую, после этого подключаю микротик и он коннектиться без проблем (link ok, 100mb full) и работает без потери пакетов. Настройки все перепробовал, лучше всего работает на автосоглавсовании 10, 100, если оставить только 100 то сыпятся ошибки Rx FCS Error. Вопрос, проблема в кабеле ? но почему тогда Zyxel работал без проблем ? да и микротик заводиться на 100 full ? Поставить свич посередине ? У кого какие мысли по этому поводу ?

[WiTech]

Прошу совета, до коммутатора провайдера медь +-80 м, для раздачи инета стоял Zyxel кенетик все работало Ок, после замены на Микротик hap lite через месяц начались отвалы WAN порта, (при тесте кабеля пишет обрыв обеих пар на конце кабеля) Было предположение что это hap lite чудит, но после замены на 951 проблема сохранилась. Линк восстанавливаться при подключении ноута к кабелю на прямую, после этого подключаю микротик и он коннектиться без проблем (link ok, 100mb full) и работает без потери пакетов. Настройки все перепробовал, лучше всего работает на автосоглавсовании 10, 100, если оставить только 100 то сыпятся ошибки Rx FCS Error. Вопрос, проблема в кабеле ? но почему тогда Zyxel работал без проблем ? да и микротик заводиться на 100 full ? Поставить свич посередине ? У кого какие мысли по этому поводу ?

 

была такая же ситуация.перепробовал всё. в моём случае помогло только смена порта на свиче провайдера.

[Gogino2005]

На работе стоит 951-й Микротик. Всю жизнь работали по схеме, DNS 8.8.8.8 раздаётся по DHCP. Родной был отключен.

 

Теперь руководство приказало закрыть все соц сети. Так как вконтакте давно работает через HTTPS, то выбрал самый простой вариант - блокировка по статике в DNS Микротика.

Но никак не могу победить одну проблему - в файерволе есть правило "input all drop" Лежит в самом низу. Пока он включен, инета на самом Микротике нет, пинги не идут, и обновление прошивок не работает. Стоит только отключить это правило, и воцаряет порядок. У пользователей же всё работает без проблем, кроме nslookup-а и с правилом и без.

 

Подскажите пожалуйста, какое добавить правило, что бы DNS работал как положено при включенном правиле "input all drop"

 

Изменено 23 сентября, 2015 пользователем Gogino2005

[Gogino2005]

Парни с Хобота помогли с решением вопроса.

Нужно было добавить два правила

add chain=input connection-state=established

add chain=input connection-state=related

После этого DNS на Микротике заработал как положено.

[guruks]

Прошу совета, до коммутатора провайдера медь +-80 м, для раздачи инета стоял Zyxel кенетик все работало Ок, после замены на Микротик hap lite через месяц начались отвалы WAN порта, (при тесте кабеля пишет обрыв обеих пар на конце кабеля) Было предположение что это hap lite чудит, но после замены на 951 проблема сохранилась. Линк восстанавливаться при подключении ноута к кабелю на прямую, после этого подключаю микротик и он коннектиться без проблем (link ok, 100mb full) и работает без потери пакетов. Настройки все перепробовал, лучше всего работает на автосоглавсовании 10, 100, если оставить только 100 то сыпятся ошибки Rx FCS Error. Вопрос, проблема в кабеле ? но почему тогда Zyxel работал без проблем ? да и микротик заводиться на 100 full ? Поставить свич посередине ? У кого какие мысли по этому поводу ?

 

Попробуйте перед микротиком поставить обычный 8 портовый свитч, по личному опыту практически все железки от микротика не очень хорошо работают с длинными медными линками.

[awax]

WiTech, guruks спасибо...

 

забыл отписаться, я уже решил проблему установкой свича посередине, что доказывает комментарий guruks

[xphoenix]

питание 220 тянули к свичу? или тупо от того же БП что питает микротик взяли?