Ответы пользователя по тегу Mikrotik
  • VPN доступ к сети. В чем проблема?

    @Obsession
    если микротики физически соеденены, настройте RIP иходите куда хотите, а ненужное обрежте на форварде в фаирволе
    ваша проблема заключается в отсутствии маршрутов, но что бы не плодить кучу статических маршрутов на хостах, просто сделайте так, чтобы все ваши роутеры знали обо всех ваших сетях и будет огонь.
    Ответ написан
    Комментировать
  • Как организовать доступ в интернет?

    @Obsession
    на опенвроте сделать сорснат для сорсадреса="адрес микротика из тунеля"; ту адрес="адрес на который уходит весь интернет"(ну или интерфейс).
    на тике: запилить дефолт-роут на адрес опенвроты с маркой.
    в мангле сделать маркроутинг для адресов лохалки на соответствующий роутмарк
    в нате сделать сорснат для адресов лохалки на адрес впна
    Ответ написан
    Комментировать
  • Настройка Mikrotik rb951 соединения между двумя удаленными офисами в одну подсеть?

    @Obsession
    а OSPF вам подойдет?
    поднимаете тунельку(l2tp, gre) между тиками, ну а далее по инструкции, такой метод можно будет даже резервировать через "свистки". если понравится такое решение, могу помочь.
    Ответ написан
    Комментировать
  • Как оптимально распределить функции между mikrotik'ами?

    @Obsession
    Очень понравился совет от Сёмка. самое правильное решение, причем зарезервировать их, для того чтоб в случае зависания/падения одного второй подлетал автоматом, конфиги можно скриптом сравнивать и периодически(раз в день, или неделю - зависит от того как часто меняются настройки) подтягивать. Аккаунтинг ВПНа я бы организовал по радиусу, с того же вынь-дос сервера, дабы не плодить строки конфига.
    Но! ежели у автора есть желание задействовать все железки и раскидать функционал, то я бы(ради по играться) сделал бы так:
    2011 - шлюз;DHCP;DNS
    951 - впн;CAP-server
    остальное на выбор. главное сильно не городить фаирвол на 2011, т.к. проц там так себе, собственно как и на 951-х
    Ответ написан
    1 комментарий
  • Как сделать редирект на определенный сайт, с нежелательных?

    @Obsession
    Делаешь правило в нате
    чейн = дст
    протокол = 6
    сорс-аддр-лист = лист адресов пользователей, которых хотите послать
    дст-аадр-лист = адреса ваших нежелательных
    экшен = д-нат
    ту-аддр = целевой ресурс (в последних версия ROS, по идее, можно прямо домен указать)

    это минимальный набор аргументов для правила РЕДИРЕКТА.
    а по сути можно и днсы подменять, можно имя направить на целевой адрес - но это не феншуй если у вас есть ад и другие извращения(мне такое решение не понравилось)
    Ответ написан
    Комментировать
  • Как завернуть запрос с внешнего интерфейса в тунель на внутренний Web сервер?

    @Obsession
    для начала надо будет прописать маршрут, что-бы первый микротик узнал о том что за L2TP интерфейсом есть какие-то адреса, ну и второе это правило в фаирволе - натом редиректить запрос на конечный хост.
    выйдет чот типа этого:
    ip route add dst-address=10.10.0.7 gateway=10.255.4.2
    ip firewall nat add chain=dstnat action=dst-nat protocol=tcp port=80 to-addresses=10.10.0.7 to-ports=80

    и да прибудет с вами счастье
    З.Ы.
    если специфично, то в правиле ната, укажите ещё интерфейс с которого всё приходит и адрес, обращения на который натировать.
    Ответ написан
  • Mikrotik несколько WAN: доступность по всем проброса порта dst-nat?

    @Obsession
    У вас там куча коментов, не стал мешать.
    Решается всё проще.
    правило вида:
    /ip firewall nat add chain=dstnat protocol=нужный_протокол dst-port=внешний_порт action=dst-nat to-addresses=локальный_адрес to-ports=локальный_порт

    данное правило у меня благополучно работает на магистральном роутере, и пробрасывает порты для доступа к устройстван в сигменте, который за натом.
    Ответ написан
  • Как перенаправить трафик в Mikrotik в нужный порт?

    @Obsession
    полисироутинг:
    марка роута в роутах, мрка в манглах, использование адрес листов, и правила фаирвола на основе манглов - готово.
    Нет, ну если сложно описал - спрашивайте, что именно сложно.
    Ответ написан
    Комментировать
  • Kак правинло делать фильтр Mikrotik BGP?

    @Obsession
    есть пир ISP1 и ISP2, значит следующие
    /routing bgp peer
    #создаём пиров согласно настройкам от провайдера
    #прописываем им чейны для фильтров
    set in-filter=ISP1-in numbers=#первый провайдер
    set out-filter=ISP1-out numbers=#первый провайдер
    set in-filter=ISP2-in numbers=#второй провайдер
    set out-filter=ISP2-out numbers=#второй провайдер
    #далее идем в фильтры
    /routing filter
    #и создаём фильтры отдельным чейнам
    add chain=ISP1-in prefix=#нужный префикс action=#что надо сделать

    фильтры создаются на каждого пира свой, не стоит объединять.
    допустим, имеем 3 провайдера и несколько условий по приватным сетям
    (10.0.0.0/8; 192.168.0.0/16; 172.16.0.0/12 - берем только эти)
    1 провайдеру мы не показываем приватные сети совсем
    2 провайдеру мы показываем только 192.168.0.0/16
    3 провайдеру мы показываем всё кроме 192.168.0.0/16
    значит фильтров 9
    isp1 - 10.0.0.0/8 disgard
    isp1 - 172.16.0.0/12 disgard
    isp1 - 192.168.0.0/16 disgard

    isp2 - 10.0.0.0/8 disgard
    isp2 - 172.16.0.0/12 disgard

    isp2 - 192.168.0.0/16 accept
    isp3 - 10.0.0.0/8 accept
    isp3 - 172.16.0.0/12 accept

    isp3 - 192.168.0.0/16 disgard
    можно усложнить правила, сделав их комбинироваными, но практика показала что лучше не стоит.
    З.Ы.
    правил со всеми богонами больше получится и лучше для каждого пира сделать свой набор, и документировать проще и управлять приятней - каждому своё правило.
    З.З.Ы
    исключительно по собственному опыту и собственное ИМХО, работает уже не в одной сети.
    Ответ написан
    Комментировать
  • Mikrotik, как переадресовать порт внутри сети?

    @Obsession
    в сторону прокси смотреть надо
    Ответ написан
    Комментировать
  • Настроить Mikrotik для выхода через 4 модема 4G?

    @Obsession
    копайте в сторону слов "failover" "load balancing" "mikrotik"
    Ответ написан
    Комментировать
  • Как разделить сеть на подсети при помощи VLAN в Mikrotik?

    @Obsession
    А проще повесить на мастер-порт сеть для абонов(Y.Y.Y.Y/24) и на негоже сеть для камер(Х.Х.Х.Х/24), микротику это не помешает работать, в фаирволе дать правила обшения между сетями и нарисовать маршруты. единственное! не будут раздаваться адреса по DHCP на оба диапазона, 2 "сервера" на один интерфейс вроде не запилить, но можно назначать статику отлавливая сессии на микротике.
    Ответ написан
    Комментировать
  • 2 WAN, 2 LAN разделение и переключение Mikrotik?

    @Obsession
    а не проще ли так:
    lan1 192.168.1.0/24
    lan2 192.168.88.0/24
    wan1 DHCP(не важно)
    wan2 DHCP(да не важно)
    для первой сети:
    ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24

    для второй:
    ip firewall nat add action=masquerade chain=srcnat out-interface=ether5 src-address=192.168.88.0/24

    а без скриптов лучше не пытаться, со скриптами гораздо проще
    Ответ написан
    Комментировать