среда, 24 июня 2009 г.

MikroTik - Начальная настройка


В этой статье я расскажу как быстро настроить RouterOS MikroTik для работы в "простом" варианте, который подойдет многим не большим офисам, домашней сети и т.д...
Итак, допустим имеем канал доступа к сети Internet, локальную сеть на 5-ть компьютеров, 1 из которых сервер, необходимо разрешить работу рядовым пользователям по стандартным протоколам (http, https, icq, jabber, ftp), для рабочего места системного администратора сделать полный доступ к сети, разрешить работу почтового, фтп и web сервера.



IP адреса локальной сети:
  • Mikrotik - 192.168.0.1
  • PC 5 - 192.168.0.2
  • PC 4 - 192.168.0.10
  • PC 1 - 192.168.0.20
  • PC 2 - 192.168.0.21
  • PC 3 - 192.168.0.22

Провайдер может предоставлять Вам как белый так и серый ip адрес, допустим, что в нашем конкретном случае это серый адрес, где то в локальной сети провайдера.



Шаг 1.
Подключимся к маршрутизатору локально на консоль, и что бы обезопасить пользователя admin от взлома отключим его, а вместо него заведем нового.

[admin@MikroTik] > use add name=mkt password=P@S#w0Rd group=full
[admin@MikroTik] > quit

заходим под новым пользователем и отключаем admin-а

[mkt@MikroTik] > user disable admin
[mkt@MikroTik] > user print
Flags: X - disabled
# NAME GROUP ADDRESS
0 X;;; system default user
admin full 0.0.0.0/0
1 mkt full 0.0.0.0/0


Шаг 2. Настройка интерфейсов.
Тут есть несколько способов, первый воспользоваться мастером, второй задать вручную.
Сперва попробуем настроить интерфейсы при помощи мастера. Набираем команду setup.

[mkt@MikroTik] > setup
Setup uses Safe Mode. It means that all changes that are made during setup are
reverted in case of error, or if

Ctrl-C is used to abort setup. To keep changes exit setup using the 'x' key.

[Safe Mode taken]
Choose options by pressing one of the letters in the left column, before dash.
Pressing 'x' will exit current

menu, pressing Enter key will select the entry that is marked by an '*'. You can
abort setup at any time by

pressing Ctrl-C.
Entries marked by '+' are already configured.
Entries marked by '-' cannot be used yet.
Entries marked by 'X' cannot be used without installing additional packages.
r - reset all router configuration
+ l - load interface driver
+ a - configure ip address and gateway
d - setup dhcp client
* s - setup dhcp server
p - setup pppoe client
t - setup pptp client
x - exit menu
your choice [press Enter to setup dhcp server]:

Нажимаем "a", в появившемся меню нажимаем "a", набираем имя первого интерфейса, указываем IP адрес.

 + a - add ip address
+ g - setup default gateway
* x - exit menu
your choice: a
enable interface: ether1
ip address/netmask: 192.168.1.116/24
#Enabling interface
/interface enable ether1
#Adding IP address
/ip address add address=192.168.1.116/24 interface=ether1 comment="added by setup"


Это будет интерфейс провайдера. Так же указываем второй интерфейс для локальной сети и адрес для него.

 + a - add ip address
+ g - setup default gateway
* x - exit menu
your choice: a
enable interface: ether2
ip address/netmask: 192.168.0.1/24
#Enabling interface
/interface enable ether2
#Adding IP address
/ip address add address=192.168.0.1/24 interface=ether2 comment="added by setup"

Теперь указываем шлюз по умолчанию, выбираем клавишей "g" и вводим адрес.

your choice: g
gateway: 192.168.1.249
#Adding default route
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.249 comment="added by setup"

Выходим из второго уровня меню (клавиша "x"), и из первого (клавиша "x"), настройки ip адресов сохранены, шлюз по умолчанию прописан.


Испробуем второй вариант настройки - ручной.



Смотрим список доступных интерфесов.


[mkt@MikroTik] > interface print 
Flags: D - dynamic, X - disabled, R - running, S - slave

# NAME TYPE MTU

0 R ether1 ether 1500

1 R ether2 ether 1500

Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.

[mkt@MikroTik] > interface enable 0 
[mkt@MikroTik] > ip address add address=192.168.1.116/24 interface=ether1

[mkt@MikroTik] > ip address print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.116/24 192.168.1.0 192.168.1.255 ether1

Проделаем туже про процедуру с локальным интерфейсом.

[mkt@MikroTik] > interface enable 1 
[mkt@MikroTik] > ip address add address=192.168.0.1/24 interface=ether2

[mkt@MikroTik] > ip address print

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.116/24 192.168.1.0 192.168.1.255 ether1
1 192.168.0.1/24 192.168.0.0 192.168.0.255 ether2


Ну и наконец добавим шлюз по умолчанию.


[mkt@MikroTik] > ip route add gateway=192.168.1.249 
[mkt@MikroTik] > ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip,
b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.1.249 r... 1
1 ADC 192.168.0.0/24 192.168.0.1 ether2 0
2 ADC 192.168.1.0/24 192.168.1.116 ether1 0


Теперь дальнейшую настройку можно продолжить с помощью графической оболочки winbox, но коль мы начали с консоли, то пройдем весь путь до конца в консоле, а потом повторим сделанное, начиная с шага 3 в графическом интерфейсе.


Шаг 3.
Настройка DNS.

[mkt@MikroTik] > ip dns set primary-dns=208.67.222.222 secondary-dns=208.67.220.220
allow-remote-requests=yes


[mkt@MikroTik] > ip dns print

primary-dns: 208.67.222.222

secondary-dns: 208.67.220.220

allow-remote-requests: yes

max-udp-packet-size: 512

cache-size: 2048KiB

cache-max-ttl: 1w

cache-used: 5KiB


Шаг 4. Настройка доступа к сети интернет.

Сперва включаем маскардинг.

[mkt@MikroTik] > ip firewall nat add chain=srcnat action=masquerade
out-interface
=!ether2

Добавляем правила для служебных пакетов.

[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=invalid
action=drop comment="Drop invalid connection packets"


[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=established
action=accept comment="Allow established connections"


[mkt@MikroTik] > ip firewall filter add chain=forward connection-state=related
action=accept comment="Allow related connections"


[mkt@MikroTik] > ip firewall filter add chain=forward protocol=udp
action=accept comment="Allow UDP"


[mkt@MikroTik] > ip firewall filter add chain forward protocol=icmp

action=accept comment="Allow ICMP Ping"

Дальше добавляем правила для машины PC4.

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.10/32
action=accept comment="Allow all for admin"


[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.10/32
ac
tion=accept comment="Allow all for admin"

Разрешаем работу сервера до протоколу http, smtp, pop.


[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=80
action=accept comment="Allow http for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32

protocol=tcp dst-port=80
action=accept comment="Allow http for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=25
action=accept comment="Allow smtp for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32

protocol=tcp dst-port=25
action=accept comment="Allow smtp for server (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.2/32
protocol=tcp src-port=110
action=accept comment="Allow pop for server (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.2/32

protocol=tcp dst-port=110
action=accept comment="Allow pop for server (out)"

Таким же образом задаем правила для остальных машин, разрешая им http, https, ftp, icq, jabber.

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=80
action=accept comment="Allow http for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32

protocol=tcp dst-port=80
action=accept comment="Allow http for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=443
action=accept comment="Allow https for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32

protocol=tcp dst-port=443
action=accept comment="Allow https for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=21
action=accept comment="Allow ftp for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32

protocol=tcp dst-port=21
action=accept comment="Allow ftp for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5190
action=accept comment="Allow icq for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32

protocol=tcp dst-port=5190
action=accept comment="Allow icq for pc1 (out)"

[mkt@MikroTik] > ip firewall filter add chain=forward dst-address=192.168.0.20/32
protocol=tcp src-port=5222
action=accept comment="Allow jabber for pc1 (in)"

[mkt@MikroTik] > ip firewall filter add chain=forward src-address=192.168.0.20/32

protocol=tcp dst-port=5222
action=accept comment="Allow jabber for pc1 (out)"

Повторяем эти правила для каждой машины, если необходимо разрешить дополнительные порты, то шаблон написания, я думаю, понятен.

Ну и под конец запрещаем все остальное, что не разрешили выше.

[mkt@MikroTik] > ip firewall filter add chain=forward action=drop comment="Drop all"


Шаг 5. Входящие.

Теперь надо разрешить что бы входящие соединения по http, smtp и pop автоматически попадали бы на сервер.

[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=80 action=dst-nat to-addresses=192.168.0.2 to-ports=80
comment="NAT for http"


[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=25 action=dst-nat to-addresses=192.168.0.2 to-ports=25
comment="NAT for smtp"


[mkt@MikroTik] > ip firewall nat add chain=dstnat dst-address=192.168.1.116/32
protocol=tcp dst-port=110 action=dst-nat to-addresses=192.168.0.2 to-ports=110
comment="NAT for pop"


Если мы говорим про абсолютный минимум и простоту, это на этом все. Какие действия были сделаны?

  1. Были включены два интерфейса ether1 и ether2.
  2. Назначены ip адреса для интерфейсов.
  3. Назначен шлюз по умолчанию.
  4. Заданы DNS сервера.
  5. Прописаны правила для машин с неограниченным доступом.
  6. Прописаны правила для машин с ограниченным доступом по портам.
  7. Прописаны правила преобразования сетевых адресов для доступа из вне к веб и почтовому серверам.
Теперь давайте вернемся в шагу №3 и сделаем все те же действия, но уже в графической оболочке winbox, что бы ее скачать необходимо зайти в веб интерфейс mikrotik-а, так называемый webbox, и скачать с главной страницы программку.


Запускаем, указываем адрес в локальной сети, который был назначен второму интерфейсу, имя и пароль пользователя, которого завели в самом начале.


Шаг 3. Настройка DNS.

В графическом интерфейсе все не на много сложнее чем в консоле. Выбираем в основном меню раздел IP, в нем подменю DNS.


Здесь можно завадать статически dns записи, а так же просматривать что сейчас есть в кэше. Нажимаем на кнопочку Settings и указываем адреса DNS серверов.


Шаг 4. Настройка доступа к сети интернет.

Включаем маскардинг. Основное меню IP, в подменю firewall, вкладка NAT.


Что бы добавить новую запись нажимаем на плюсик. А дальше все тоже самое, что и в консоле, на вкладке General chain=srcnat, Out interface=ether2 и ставим галочку, что означает "НЕ", вкладка Action выбираем masquerade.


Приводить кучу одинаковых скришотов на одну и туже тему я не вижу смысла, а понять что все теже самые параметры, которые набираются в консоле на 100% совпадают с названиями в графическом интерфейсе думаю не сложно. По это я приведу несколько картинок с добавлением правил в firewall. Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Filter Rules. Для добавления нового графила нажимаем на плюсик.


Разрешаем UDP.

Разрешаем исходящие соединения с адреса 192.168.0.2 к любым адресам по порту назначения 25, используюя протокол tcp.

Ну и под конец запрещаем все остальное, что не разрешили выше.

Получилось что то вроде этого.


Шаг 5. Входящие.
Выбираем в основном меню раздел ip, в нем подпункт firewall, в появившемся окне выбираем вкладку Nat. Для добавления нового графила нажимаем на плюсик.

Перенаправляем все соединения, приходящие на внешний адрес 192.168.1.116 по протоколу tcp, 25 порт на локальный адрес 192.168.0.2 на порт 25.

По такому же принципу строятся все остальные правила.

Из описанного выше видно, что любое действие можно сделать как минимум двумя вариантами, разговаривать с MikroTik-ом с помощью текстовых команд или упражняться с мышкой в графическом интерфейсе. И у то и у другого метода есть свои плюсы и минусы, консоль работает быстрее даже на очень слабом канале, графическая оболочка вообще перед началом работы скачивает модули интерфейса к себе, а потом в процессе работы порождает очень даже не маленький трафик, с консолью определенно сложнее работать, но поняв комманды и принцип работы становится не так важно какой интерфейс используется для настройки. В дальнейшем я расскажу как уменьшить количесво правил, используя списки адресов, как ограничивать скорость на upload или download, как разделить трафик между несколькими провайдерами или даже как заставить одну машину работать одновременно с несколькими провайдерами.

Продолжение следует.

Progg it

150 комментариев:

  1. Отличная документация!!
    Хотелось бы еще немного узнать о Queues tree.

    ОтветитьУдалить
  2. добрй день, спасибо за доку, много полезного узнал.
    у нас микротик в планах должен объединять два сегмента сети (wan,lan1,lan2), хотелось бы знать, возможно ли выпускать lan1 и lan2 во внешнюю сеть, под разными белыми ip адресами, и при этом иметь возможность в каждом сегменте выдавать белые адреса отдельным компьютерам.
    если да, то подтолкните в правильную сторону.
    С Уважением, Сергей.

    ОтветитьУдалить
  3. Если у тебя на интерфейсе wan несколько белых адресов, то можно, другой вопрос зачем :)
    Если основная задача это вывести определенную машину или ее определенный порт наружу, используя при это один из имеющихся белых адресов, то не проблема, маркируешь эти пакеты, и на основании маркеров строишь таблице маршрутизации.
    Посмотри этот пост -> http://tinyurl.com/yefjg9a

    ОтветитьУдалить
  4. Сергей, помогите, что я не правильно делаю ?
    1. добавил на внешний интерфейс(inet) еще один ip адресc(3):
    # ADDRESS NETWORK BROADCAST INTERFACE
    0 172.30.0.254/16 172.30.0.0 172.30.255.255 inet
    1 192.168.0.2/24 192.168.0.0 192.168.255.255 blocal
    2 172.31.0.253/16 172.31.0.0 172.31.255.255 alocal
    3 172.30.0.252/16 172.30.0.0 172.30.255.255 inet
    2. Сделал маркировку пакетов:
    0 chain=prerouting action=mark-routing new-routing-mark=from_server passthrough=yes
    src-address=172.31.0.254
    3. Сделал новый маршрут(0), запихнул в него маркер:
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 A S 172.30.0.0/16 172.30.0.252 inet 1
    1 A S 0.0.0.0/0 172.30.0.253 1
    2 ADC 172.30.0.0/16 172.30.0.254 inet 0
    3 ADC 172.31.0.0/16 172.31.0.253 alocal 0
    4 ADC 192.168.0.0/24 192.168.0.2 blocal 0
    в итоге с адреса 172.31.0.252 тишина в эфире.

    ОтветитьУдалить
  5. немного ошибся с маршрутом наверное, переделал так:
    0 A S 0.0.0.0/0 172.30.0.252 172.30.0.253 1
    тот что с маркером, все равно эфекта нет.

    ОтветитьУдалить
  6. разобрался сам =) надо было отключить маскардинг

    ОтветитьУдалить
  7. > разобрался сам
    Эт здорово, спасибо, что сюда написали с решением ;)

    ОтветитьУдалить
  8. Имеется сеть с серыми адресами и выходом через нат в интернет. Также имеется диапазон белых адресов, пока не используемых. На всех клиентов белых адресов не хватит. Скажите, как можно реализовать работу одновременно и нат, и белых адресов на одном микротике? Подключение без ВПН.

    ОтветитьУдалить
  9. > как можно реализовать работу одновременно и нат, и белых адресов на одном микротике

    Смотря что Вы под этим понимаете, может распишите по подробнее

    ОтветитьУдалить
  10. Суть такая: есть сеть, клиенты которой выходят в интернет через микротик (МТ). МТ имеет внешний белый IP адрес, клиенты имеют серые адреса. На МТ настроен маскарадинг (нат). Есть в наличии некоторое количество свободных белых IP адресов. Хочу некоторым клиентам, имеющим в данный момент серые адреса, поменять их на белые. Т.е. надо настроить МТ так чтобы клиенты имеющие серые адреса продолжали выходить через нат, а клиенты с белыми адресами маршрутизировались напрямую. Или можно построить вопрос наоборот. Есть сеть,у клиентов белые адреса. На всех клиентов белых адресов не хватает. Поэтому некоторым клиентам хотелось бы давать серые адреса и заруливать их через nat. Как это можно сделать средствами МТ (версия 3.20)?

    ОтветитьУдалить
  11. Все просто

    /ip firewall nat add action=src-nat chain=srcnat comment="" disabled=no src-address=!ххх.ххх.ххх.ххх/24{здесь прописывается реальная(белая) подсеть} to-addresses=ххх.ххх.ххх.ххх{здесь то, под что маскируется(IP-на WAN порту)}

    и фсё

    ОтветитьУдалить
  12. Как дополнение
    знак восклицания перед параметром или IP'ом в микроте означает отрицание. В данном случае нужно НАТить все кроме реальной подсети то есть "все-кроме"

    ОтветитьУдалить
  13. То Артем: Хм, действительно просто. Спасибо уважаемый, буду пробовать!

    ОтветитьУдалить
  14. Ув.Сергей Отличный мануал, во многом помог разобратся, но есть, вопрос возможно ли для пакетов определенного порта назначить прилритет выше чтобы при загрузке канала у определенных приложений пинги не поднимались сильно?

    ОтветитьУдалить
  15. Спасибо за статью. Очень помогло.
    Возник вопрос в следующем. Как можно подменить МАК адрес на одном интерфейсе!? В свойствах портп не дает изменять. Создать ВЛАН или виртуальную карту, а далее как!?

    ОтветитьУдалить
  16. Вообщем отвечу сам. Подменить МАК так:
    /interface ethernet set ether_name mac-address=XX:XX:XX:XX:XX:XX

    ОтветитьУдалить
  17. Все просто/ip firewall nat add action=src-nat chain=srcnat comment="" disabled=no src-address=!ххх.ххх.ххх.ххх/24{здесь прописывается реальная(белая) подсеть} to-addresses=ххх.ххх.ххх.ххх{здесь то, под что маскируется(IP-на WAN порту)}

    а я делаю без NATa:
    /ip firewall nat add action=src-nat chain=srcnat comment="" disabled=no src-address=ххх.ххх.ххх.ххх/24{здесь прописывается реальная(белая) подсеть} out_interface=WAN action=accept

    ОтветитьУдалить
  18. но это при условии, что белые IP адреса прописаны на WAN интерфейсе и раздаются клиентам через гейт микротика

    ОтветитьУдалить
  19. на Local интерфейсе, извините - опечатался! :)

    ОтветитьУдалить
  20. Доброго времени дня или ночи.
    У меня возник вопрос связанный с микротиком есть RB433 на нем Микротик поставил дуде как то настроил вроде все работало но через некоторое время память(диск на микротике 64мб)оказалась полной .Вопрос такой как снимать в микротике информацию с дуде и варианты как освободить мне пришлось дуде стереть а очень хочется чтоб работало.Большое спасибо за ответ надеюсь это будет интересно не только мне.

    ОтветитьУдалить
  21. вот это я понимаю, обьяснил так обьяснил, только вот такой вопросик, хотелось бы как нить открыть порты для программы µTorrent (скачивание с торента), а то скорость скачивания маленькая, уже всё перепробывал ничего не помогает...

    ОтветитьУдалить
  22. ещё добавлю. открыть хоть по одному порту для нескольких машин

    ОтветитьУдалить
  23. > хотелось бы как нить открыть порты для программы µTorrent

    В принципе я делал так:
    1 Открываем µTorrent, жмем ctrl+P, попадаем в настройки, идем в раздел Connection, смотрим какой там прописан порт для входящих соединений, на пример 23000.
    2 Идем в микротик и делаем NAT (/ip firewall nat):
    add chain=dstnat dst-address=195.100.100.25 protocol=tcp
    dst-port=23000 action=dst-nat to-addresses=192.168.1.2
    to-ports=23000
    где 195.100.100.25 это внешний (белый адрес), который назначен на входящем интерфейсе, он же "смотрит" на провайдера, а 192.168.1.2 это уже адрес машины с µTorrent

    Для других машин надо назначить другой порт.

    ОтветитьУдалить
  24. Отличная статья, спасибо! Еще хотелось бы, если можно, такую же подробную статью по настройке подключения клиентов для вывода их в интернет через VPN (PPPoE или PPTP).

    ОтветитьУдалить
  25. Спасибо за статью!
    Вопрос тако плана: включен nat для доступа из вне на локальный вебсервер (который с локальной сети), как сделать так чтобы на вебсервере в логах были реальные белые Ip адреса, а не один я имею ввиду IP самого микротика. Я так понимаю нужно пакеты макрировать?

    ОтветитьУдалить
  26. > как сделать так чтобы на вебсервере в логах были
    > реальные белые Ip адреса, а не один я имею ввиду IP самого микротика

    если делается нат, то в логах отображаются реальные адреса с которых заходят на этот порт. Во всяком случае на всех моих веб (и не только веб) серверах именно так и порты на них выведены простым натом, маркировка у меня делается только для ответов, что бы они уходили в нужную сторону.

    ОтветитьУдалить
  27. Как предоставить PC 1, PC 2, PC 3 доступ в Интернет через VPN, при этом для каждой машины назначить свой логин и пароль, скорость канала, подсчёт трафика?

    ОтветитьУдалить
  28. Афигенная статя, большое спасибо. Тут даже такой чайник как я разобрался!

    ОтветитьУдалить
  29. признаюсь сразу, я новичок в микротике...

    можно ли перечислить сразу несколько портов для одной машины? в одном правиле..
    чтоб не переписывать несколько раз одно и то же правило с одним IP и разными портами. например :
    ip firewall filter add chain=forward dst-address=192.168.0.20/32
    protocol=tcp src-port=80 action=accept comment="Allow http for pc1 (in)"
    p firewall filter add chain=forward dst-address=192.168.0.20/32
    protocol=tcp src-port=443 action=accept comment="Allow https for pc1 (in)"
    чтобы 80 и 443 и т.д объединить

    а так же "imap" использует одни порты "pop" другие. К тому же в сети может быть более 500 и более компов. Как тогда быть? этож сколько надо потратить времени чтобы банально добавить несколько портов...

    ОтветитьУдалить
  30. 1 Несколько портов в одном правиле сделать нельзя
    2 что бы не мучиться с перечислением всех адресов и прописыванием портов для них адреса объединяются в группы и уже создаются правила для групп, подробнее можно почитать тут -> http://slagovskiy.blogspot.com/2009/07/mikrotik.html

    Будут вопросы, спрашивайте.

    ОтветитьУдалить
  31. Спасибо
    пойду учиться :)
    Благо ваши статьи написаны доходчивым языком

    ОтветитьУдалить
  32. Спасибо за статью ! А у меня вопрос в следующем:
    ip1 - wan ip
    ip2 - private ip
    когда приходят завпросы на ip1 определенного порта например 80 они через дст-нат перенаправляются на внутрненний адрес ip2, все работает. Но когда я из внутренней сети стучусь на внешний ip1 то нифига не работает, подскажите что делать

    ОтветитьУдалить
    Ответы
    1. То же самое! (( К тому же сервер внутри на 81м порту.. как такое разруливать то? )

      Удалить
  33. Спасибо за статью. Инет и сеть настроил по ней за 10 минут. Получилось пробросить порт для торрентов, но вот для ДЦ++ (провайдерский) почему-то не срабатывает.
    Ситуация следующая. Провайдер предоставляет серый ИП и дополнительно у меня есть белый для торрентов. На ван порту микротика прописываю именно серый. Правила в нате для торрентов и для ДЦ++ делаю идентично за исключением порта, но торренты работают, а ДЦ++ - нет, в смысле работает только в пассиве. При проверке в ДЦ++ клиенте доступа по портам пишет что порты закрыты поскольку проверяет по белому адресу. В случае если на ван порту указать белый адрес, то перестает работать и торрент. Что я делаю не так?

    ОтветитьУдалить
  34. > Провайдер предоставляет серый ИП и дополнительно
    > у меня есть белый для торрентов.
    > На ван порту микротика прописываю именно серый.
    > ...

    Все верно, так и должно быть, попробуйте сделать без использования ван-а, просто один физический интерфейс, а в адресах заведите две строчки на этот интерфейс с безым и серым адресами.

    ОтветитьУдалить
  35. >Все верно, так и должно быть, попробуйте сделать без использования ван-а, просто один физический интерфейс, а в адресах заведите две строчки на этот интерфейс с безым и серым адресами.

    Спасибо за оперативный ответ, но к сожалению это не помогло. Имеет ли значение какой из адресов для порт указан первым? Может ли быть дело в том, что в вебинтерфейсе поставлены галочки защитить роутер и защитить сеть, которые создают правила в файерволе? Где еще можно покопать?

    ОтветитьУдалить
  36. Доброго времени суток. У меня стоит такая задача: объединить 3 ADSL линии(PPPoE), дать с них интернет народу в локалке со статическими адресами 192.168.1.х. Зарезать народ по скорости 1024\128, ограничить их желание в торренте (бо сильно модем от торрента дуреет) Получилось только поднять PPPoE на одном модеме и раздать в сеть по DHCP. Пятый день бьюсь не могу на статические IP инет пробросить. Заранее благодарен.

    ОтветитьУдалить
  37. adsl-и в режим моста, получаем три ip адреса, которые смотрят по внутрь, используем их как шлюзы. Для самого микротика требуется шлюз по умолчанию, выбираем какой нибудь из трех и прописываем его. Потом делаем еще три шлюза по умолчанию, но в этих правилах добавляем условие, что оно срабатывает на пакеты, которые помечены маркерами, на пример to isp1, to isp2, to isp3.
    Дальше делим пользователей на три группы, и помечаем пакеты для/от пользователей из этих групп, на основании этих маркеров каждая группа пользователей будет пользоваться своим шлюзом, количество пользователей в этих группах зависит от возможностей канала и активности самих пользователей.
    Маршрутизация с балансировкой, когда одно правило содержит несколько шлюзов будет работать, но приведет к отрицательным последствиям для простых пользователей т.к. их запросы будут уходить то с одного канала, то с другого, а такое поведение напрочь рушит всякие авторизации, которые привязаны (в основном) к ip посетителя.

    ОтветитьУдалить
  38. "Спасибо за статью ! А у меня вопрос в следующем:
    ip1 - wan ip
    ip2 - private ip
    когда приходят завпросы на ip1 определенного порта например 80 они через дст-нат перенаправляются на внутрненний адрес ip2, все работает. Но когда я из внутренней сети стучусь на внешний ip1 то нифига не работает, подскажите что делать"

    Прозвучал такой вопрос и остался без ответа. У меня таже проблема. Прошу помощи. Заранее спасибо.

    ОтветитьУдалить
  39. > когда приходят завпросы на ip1 определенного порта
    > например 80 они через дст-нат перенаправляются на внутрненний
    > адрес ip2, все работает. Но когда я из внутренней
    > сети стучусь на внешний ip1 то нифига не работает,
    > подскажите что делать"

    А разве должно работать?
    Я для таких целей использую dns сервер микротика, в нем прописываю сервисы, которые видны снаружи, но обратиться к ним надо изнутри. На пример если нужен company.com, который привязан к моему внешнему адресу 11.22.33.44, а реально он находится в локальной сети по адресу 192.168.1.10, то достаточно сделать статическую запись, что company.com это 192.168.1.10 и тогда все, кто находится локально, пойдут сразу на локальный адрес, а те кто не локальный, пойдут туда, куда положено.
    Только тут надо учитывать, что если у Вас во внешнем dns сервере вдруг прописано, что необходимо обновлять записи с dns-а микротика, то это вызовет проблему.

    ОтветитьУдалить
  40. а другого варианта кроме как использовать DNS нет ?

    ОтветитьУдалить
  41. Добрый вечер. Создал правила для 20-21 пртов, что бы они переправлялись на локальный ip с реального ip.
    Но когда захожу на реальный ip то заходит на ФТП микротика самого, а не на тот фтп что расположен за микротиком.

    ОтветитьУдалить
  42. > Создал правила для 20-21 пртов, что бы они
    > переправлялись на локальный ip с реального ip.
    > Но когда захожу на реальный ip то заходит на ФТП
    > микротика самого, а не на тот фтп что расположен за микротиком.

    1. action=dst-nat ?
    2. Если выложите текстом команды, то будет более понятно.

    ОтветитьУдалить
  43. Подскажите правило для проброса широковещательного WOL пакета на IP во внутренней сети.
    Пробовал dst-nat-ить 7 и 9 порты по udp протоколу на нужный ip. В самом микротике как делать wol знаю, но не знаю как занести скрипт в шедулер. Подскажите пожалуйста.

    ОтветитьУдалить
  44. Сергей!
    У меня модем настроен в режим route( динамический IP ). Можно ли настроить микротик 2.9.27 и как это сделать?

    ОтветитьУдалить
  45. > У меня модем настроен в режим route( динамический IP ).
    > Можно ли настроить микротик 2.9.27 и как это сделать?

    Можно, нужно включить dhcp client.

    /ip dhcp-client add interface=isp1
    /ip dhcp-client print
    Flags: X - disabled, I - invalid
    # INTERFACE USE ADD STATUS ADDRESS
    0 X isp1 yes yes
    /ip dhcp-client enable 0

    ОтветитьУдалить
  46. Спасибо!!!!!!!!!!!!!!

    ОтветитьУдалить
  47. Сергей! Что то не получилось - просто появился дополнительный интерфейс - инет микротик не видит.
    У меня сеть и 15 компов ( все в домене )- нужно у пользователей включать и отключать ИНЕТ.Модем настроен Route IP динамический, подключен к хабу. Микротик тоже подключен к хабу. Микротик -
    настроены 2 сетевые Lan-1ether Wan-2ether,NAT,Filter Rules.
    PS Просто раньше модем был в режиме моста.

    ОтветитьУдалить
  48. > У меня сеть и 15 компов ( все в домене )- нужно
    > у пользователей включать и отключать ИНЕТ.Модем
    > настроен Route IP динамический, подключен к
    > хабу. Микротик тоже подключен к хабу. Микротик -
    > настроены 2 сетевые Lan-1ether Wan-2ether,NAT,Filter Rules.

    Как я это от сюда вижу... Модем смотрит на провайдера, получает от него адрес в сети провайтера, второй дыркой модем смотрит в локальную сеть, точнее на микротик, тут уже назначаются любые адреса (на пример 10.5.50.1 модем, назовем локальный адрес модема, 10.5.50.2 микротик, внешний адрес) для микротика шлюзом и dns сервером становится локальный адрес модема. Дальше у же локальная сеть микротика (на пример 192.168.1.0/24) где для клиентов уже локальный микротиковский адрес (192.168.1.1) становится шлюзом и dns сервером.

    Разве не так?

    ОтветитьУдалить
  49. Все правильно
    Теперь Микротик ИНЕТ видит.
    Проблема отключения и включения ИНЕТА у пользователей.Поможешь с настройками?.

    ОтветитьУдалить
  50. > Проблема отключения и включения ИНЕТА у
    > пользователей.Поможешь с настройками?.

    Почему бы и не, опишете - попробую подсказать.

    ОтветитьУдалить
  51. Сергей Здравствуй!!!Ну и зверек это микротик-был бы на руском проще было бы)))))))
    С самого начала. Сервер, модем(router ip dinamic - настроен LAN IP 195.168.0.20 maska 255.255.255.0 и NAT), микротик (версия 2.9.27), локалка( работает под доменом- все настроено автоматом) подключены к хабу. У сервера IP 192.168.0.110 маска 255.255.255.0 шлюз 192.168.0.20 dns server 192.168.0.20. ( локалка от 192.168.0.50 по 192.168.0.170.
    1. настр 1 сетевую IP 192.168.0.2/24 network 192.168.0.0 broadcast 19.168.0.255 = ether 1
    ping 192.168.0.20 работает
    2 Ip- Router добовляю dist 0.0.0.0/0 gateway 192.168.0.20
    3. второй сетевой карте присваиваем IP 192.168.1.1/24 nework 192.168.0.0 broadcast 255.255.255.0
    4. настраиваю НАТ - маскардинг (ether2)
    5.Filter Rules - Allow HTTP(80),HTTPS(443),POP(110), SMPT(25), Drop All...итд.
    6. Настроил DHCP Client автоматом ставит IP 192.168.0.151/24 network 192.168.0.0 broadcast 192.168.0.255.- микротик видит ИНЕТ.
    Когда модем был мостом я настраивал PPP - PPPoE Client - потом просто в Firewall - Adres List забивал IP пользователей включал ИНЕТ и выключал . Но сейчас просто не пойму что куда и откуда. Пожалуйста помоги с настройками( можешь по моим данным , подскажи что неправильно я делаю..

    ОтветитьУдалить
  52. > С самого начала.

    с начала, так с начала, я попробую описать взгляд с моей стороны, а Вам уже будет проще сравнить с тем, что у вас.

    1 модем.
    вход, выход. Вход со стороны провайдера, выход на нашей стороне, смотрит на микротик, выделяем под него отдельную подсеть, 192.168.1.1/24 (255.255.255.0)

    2 миротик.
    вход со стороны модема, даем этой карте адрес из подсети "выхода" модема, т.е. 192.168.1.2/24 (255.255.255.0)
    выход смотрит нам в локальную сеть, назначаем на нем адрес из локальной подсети (192.168.0.20/24), лeчше, если подсеть модем-микротик не пересекалась с подсетью микротик-локалка.
    На микротике шлюз это то, что назвали "выход" у модема (т.е. 192.168.1.1). днс может быть на модеме, может быть у провайдера (тут не важно). Маскардинг на сетевой интерфейс, который смотрит на модем (я обычно делаю !local, на случай, если будет несколько внешних интерфейсов).

    3 локальные клиенты.
    получают адреса из подсети, в которой находится "выход" (192.168.0.0/24), шлюзом для них выступает адрес на интерфейсе "выход" микротика (т.е. 192.168.0.20), днс там же.

    зачем во всем этом деле dhcp я пока не понял :)

    что с клиентами - можно увидеть на трассировке с клиента на какой нибудь внешний адрес, должен быть хоп на микротик (т.к. он шлюз для клиентов), второй хоп на модем (т.к. от шлюз для микротика), дальше хоп уже шлюз, который выдал провайдер и так далее, на это время лучше разрешить любой траффки для этого клиента.

    сравните это с тем, что у Вас, мне непонятно назначение "Настроил DHCP Client автоматом ставит IP 192.168.0.151/24 network 192.168.0.0 broadcast 192.168.0.255."

    описание, что адреса клиентов надо внести в адрес лист, настроить правила и т.д. я пропустил, оно и так понятно.

    ОтветитьУдалить
  53. Сергей!
    Я запутался!
    На модеме мне менять LAN или нет?
    Какой IP присвоить 1 сетевой карте микротика"
    Какой IP присвоить 2 карте.
    Ip route у меня правильно стоит те dist и шлюз?
    И как в конце концов подсоединить модем- к хабу или микротику и в какую карту"
    Что такое ХОП?

    ОтветитьУдалить
  54. :)

    Ну смотри, модем для тебя это очередной фаервол, если взглянуть с другой стороны, то это провайдер для микротика.

    Для начала модем, коль он у тебя не мостом работает, значит ему нужен будет адрес для сети модем-микротик. У него две дырки, в первую приходит провайдер, вторая предназначена для тебя. Вот этому второму интерфейсу назначаем адрес, на пример 192.168.200.1, настраиваем (или получаем по dhcp от провайдера) dns, шлюз и т.д. Если все настроено верно, то подключив компьютер к локальному интерфейсу модема и назначив ему адрес 192.168.200.2, и указав шлюз 192.168.200.1 (dns тут уже или провайдера или адрес модема, все зависит от возможностей модема), то на нем будет доступ в интернет.

    Теперь, когда модем настроен, приступаем к микротику. У наго должно быть две сетевых карты, одна для локальной сети (назовем local), другая для внешней сети (модем-микротик, назовем ее inet). Карте inet назначаем адрес 192.168.200.2, идем в таблицу маршрутизации, указываем шлюз по умолчанию 192.168.200.1, указываем dns. делаем пинг с микротика на какой нибудь внешний сайт, все должно работать. Сетевой карте local назначаем адрес 192.168.0.20, водключаем ее в хаб локальной сети. Не забываем указать адреса в адрес-листе, настроить маскардинг и правила в фаерволе.

    Ну и под конец настраиваем клиентов, они должны быть в сети 192.168.0.0/24 с маской 255.255.255.0, шлюз должен быть 192.168.0.20, dns тоже 192.168.0.20. На клиенте проверяем пинг до внешнего сервиса, если по имени "ping ya.ru" ничего не проходит, то проверяем по ip "ping 77.88.21.3", если так заработало, то проверяем настройки dns, если не заработало, то делаем трассировку "tracert 77.88.21.3", в идеале результат должен быть:
    1 <1 мс <1 мс <1 мс 192.168.0.20
    2 <1 ms <1 ms <1 ms 192.168.200.1
    3 3 ms 2 ms 1 ms 192.168.254.129 <- это шлюз провайдера, приписанный на микротике
    .... и так далее. Хоп это как раз эти переходы с одного устройства на другое.

    Если такой картины нет, то значит чего то не так настроили.

    ОтветитьУдалить
  55. Сергей!
    Все сделал как ты описал.
    Модем-пользователь инет есть,а модем-микротик нет.
    Вопрос: Что я сделал не так

    ОтветитьУдалить
  56. Сергей!
    Есть такой вариант! У меня есть прога для удаленного доступа "Team Viewer"- ver.5.0".
    Может быть попробуем поработать удаленно?
    Мой почтовый vadim1978_2009@mail.ru
    Если согласен то напиши я дам тебе тел для связи или сам тебе буду звонить.

    ОтветитьУдалить
  57. Доброго времени суток.
    Если кто поможет, буду бесконечно благодарен.
    Вопрос вчем:
    Есть такая железяка TANDBERG (Видеоконференцсвязь(ВКС))с белым адресом 188.9.9.0 255.255.255.248
    Вопрос:
    Как ее подключить через МТ, чтобы по этому адресе другие (ВКС)могли соеденяться с ней и я четез нее по этому же адресу мог конектиться с другими (ВКС). Теле мост получается.

    ОтветитьУдалить
  58. Сергей, доброго времени суток!
    Есть вопрос:
    Вы рекомендуете,
    > включаем маскардинг.
    > [mkt@MikroTik] > ip firewall nat add chain=srcnat action=masquerade
    out-interface=!ether2
    где (!) означает "НЕ",
    > (я обычно делаю !local, на случай, если будет несколько внешних интерфейсов)

    вопрос: в чем отличие между вашим способом включения маскардинг и, если включить маскарадинг на каждый из внешних интерфейсов?

    причина вопроса: у меня три физ. интерфейса на каждом своя подсеть, в двух из них помимо клиентов подключены ADSL модемы в режиме BRIDGE, на МТ подняты два виртуальных PPPoE интерфейса. Необходима балансировка нагрузки и ограничение скорости для пользователей.

    ОтветитьУдалить
  59. > вопрос: в чем отличие между вашим способом
    > включения маскардинг и, если включить
    > маскарадинг на каждый из внешних интерфейсов?

    Разница в одной строчке или нескольких на каждого провайдера/внешний канал, просто экономия места и таким образом исключаешь вероятность того, что в момент добавления нового канала забудешь добавить маскардинг.

    ОтветитьУдалить
  60. Здраствуйте, не знаю может был похожий вопрос, но ввиду своей неопытности я не понял, что это мой случай.
    У меня на клиентской стороне на микротике настроен dhcp сервер раздающий ip на пару машин. Микротик мостом по воздуху подключается к точке доступа (наностанция 2), которая в свою очередь подключена проводом к провайдеру.
    Для выхода в интернет провайдер раздает белые IP, на микротике nat настроен выход в интернет есть, но клиентские машины не видят локальную сеть провайдера. Микротиком я вижу все локальные IP, но ресурсы не доступны, какие настройки еще нужно сделать?

    ОтветитьУдалить
  61. > но клиентские машины не видят локальную сеть провайдера

    Доступна ли подсеть провайдера, если смотреть на нее с устройства, в которое входит кабель провайдера?
    Для того что бы видеть подсеть провайдера Вы в первую очередь должны пройти шлюз провайдера, можно сделать трассировку на какой нибудь из ресурсов в этой подсети и посмотреть на каком из узлов все останавливается, если это шлюз или что то после него, то стоит поговорить с провайдером, если до шлюза, то значит надо проверять свою конфигурацию.

    ОтветитьУдалить
  62. С устройства которое подключено проводом к провайдеру посмотреть невозможно, если же подключить провод провайдера в комп напрямую, то все работает, и локальные ресурсы и интернет. Дело в том что устройство которое подключено к провайдеру только лишь транслирует сигнал по воздуху, а ppoe подключение выполняет микротик на стороне клиента. Хочу добавить, что возможно зайти на страницу статистики, которая тоже находится в подсети провайдера, но больше ни на один локальный ресурс не заходит. В винбоксе вкладка фаервол -> подключения я вижу адреса подсети провайдера. Также тулс -> ipscan выводит все адреса подсети, но ни на один локальный ресурс кроме статистики зайти через микротик не могу.

    ОтветитьУдалить
  63. При трассировке подсети провайдера выводит адрес подсети микротика, потом внешний адрес и дальше идет превышение интервала запроса

    ОтветитьУдалить
  64. > При трассировке подсети провайдера выводит адрес подсети микротика, потом внешний адрес и дальше идет превышение интервала запроса

    Что вы понимаете под внешним адресом?
    по идее вторым должен быть шлюз, если шлюз не пускает дальше, значит надо разбираться с провайдером.

    ОтветитьУдалить
  65. Я же написал что если подключить комп к провайдеру проводом то все нормально, видно и подсеть и интернет. Нужно что то настроить в микротике чтобы кроме интернета был доступ и к ресурсам провайдера.
    Под внешним адресом при трассировке я понимаю белый IP отличный от IPподсети провайдера. Как я понимаю мой запрос сразу уходит в интернет минуя сеть провайдера.

    ОтветитьУдалить
  66. Доброго времени суток
    Сергей подскажите: ADSL 192.168.1.1, микротик с двумя сетевыми картами,свитч,локалка, задача контролировать трафик. Прописываю адрес на1 сетевой 192.168.1.2 шлюз адрес модема - нета нет ((( модем мост

    ОтветитьУдалить
  67. > нета нет (((

    на микротике интернет есть?

    ОтветитьУдалить
  68. Сергей, подскажите пожалуйста. Есть два компа №1и №2 с IP адресами192.168.88.200 и 192.168.88.220. НА первом 1Мб/с на втором 2 Мб/с. Как сделать , что бы при выключении второго компа на первом было 2Мб/с с второго компа. Все режется с помощью simple queues.Версия микротика 3.22. Если сможете, то поподробней.

    ОтветитьУдалить
  69. > Есть два компа №1и №2 с IP адресами
    > 192.168.88.200 и 192.168.88.220. НА первом
    > 1Мб/с на втором 2 Мб/с. Как сделать , что бы
    > при выключении второго компа на первом было
    > 2Мб/с с второго компа. Все режется с помощью simple queues.

    если скорость задается в simple queues, то не лучше ли там производить правку?

    ОтветитьУдалить
  70. по совету друга купил микротик routeros
    всё конечно работает на ура,отличная вещичка рядом никакой dlink не стоит и.т.д.и.т.п:)
    как начинающий пользователь микротик много пока что непонято(ето первый сайт где я смог найти ответы на некоторые моменты)
    проблема вот в чём;есть провайдер который дал доступ в инет,есть 5 ip,1DNS,и маска подсети,
    15 рабочих мест...как настроить баланс каналов в Routeros 4.16,просто получаеца что 1 либо 2 канала свободные а на остальных 3 всё в ж...
    как решить такую дилему:))?????

    ОтветитьУдалить
  71. > есть провайдер который дал доступ в инет,есть 5 ip,1DNS,и маска подсети

    5-ть независимых каналов или 5-ть адресов от одного провайдера по одному кабелю? если все идет по одному кабелю, то какой смысл делать какую то балансировку? шлюз один, кабель один...

    ОтветитьУдалить
  72. дело в том что когда 1 из каналов загружен на другом всё зашибись почемуто:)

    ОтветитьУдалить
  73. > дело в том что когда 1 из каналов загружен на другом всё зашибись почемуто:)

    странно, каждому Ip выдан свой шлюз? если шлюз один, то как то даже и не знаю.

    ОтветитьУдалить
  74. сам не могу понять:))))
    потому и спросил у более знающих людей...
    остаёца с провайдером ето решить:))))

    ОтветитьУдалить
  75. Здравствуйте, Сергей!

    Хочу сказать, Ваш блог - самый информативный источник по микротикам в рунете. Без вариантов.
    Прочитал все статьи - очень понравилось.

    Возник один вопрос: Вы пишите о построении офисных и домашних сетей, и только один раз коснулись темы p2p.
    Мне кажется, большой проблемой в нагрузке на офисный канал являются торенты и прочие закачки.
    Вы сталкивались с такими проблемами?
    Можно ли посредством функционала микротика резануть торенты совсем или сделать их работу невыносимо медленной без вреда остальному трафику?

    ОтветитьУдалить
  76. Приобрёл 750 для пробы и вопросы по P2P отпали - без особых усилий можно убрать вредный трафик.
    Но вот с шейпером подружиться толком не удалось.
    Буду пытать устройство далее.

    ОтветитьУдалить
  77. Сергей, можно ли помочь настроить следующий конфиг

    http://pcrouter.ru/ipb/index.php?showtopic=820

    Заранее спасибо! Сергей

    ОтветитьУдалить
  78. Здравствуйте. Сергей, хотел-бы получить предложить Вам настроить мне MikroTik RouterBOARD RB433AH для домашнего использования за разумную плату. Отпишитесь пожалуйста на почту clgsru (dog) gmail (dot) com

    ОтветитьУдалить
  79. Здравствуйте Сергей!
    Есть следующая проблема
    Домовая локальная сеть в которой по PPTP подключается инет. Адрес WAN домовой сети у меня
    10.4.110.252 шлюз 10.4.110.1, адрес домашней сети 192.168.0.0/24 Т.е одновременно работают 2 WAN интерфеса и один LAN и мне нужно чтобы одновременно работали и локальные ресурсы из домовой сети и интернет с PPTP . а именно: когда
    идут запросы на адреса из подсети 10.4.*.* то пакеты должны идти на шлюз 10.4.110.1 а всё остальное должно идти на динамический шлюз PPTP подключения, т.е остальное это будет сам интернет. Подскажите пожалуйста Сергей где что мне надо прописать. На данный момент у меня все запросы почемуто идут на локальный шлюз 10.4.110.1 и как разграничить пока не могу сообразить без Вашей помощи.
    Заранее огромное спасибо!

    ОтветитьУдалить
  80. 2 WAN это имеется ввиду сеть 10.4.110.* и PPTP
    а LAN это 192.168.0.0/24

    ОтветитьУдалить
  81. Сергей добрый день!
    А можно сделать так:
    192.168.1.1- Микротик
    192.168.1.2- Шлюз
    192.168.1.3- DNS

    ОтветитьУдалить
  82. Здравствуйте Сергей! Помогите советом, есть сеть 45 машин часть из них в домене, имеется сервер Wind 2003 serv, также имеется прокси ГЕЙТ КИППЕР установлен на винде ХР, в нём две сетевых и имеется обычный АДСЛ модем который идёт как мост само соеденение ПППОЕ поднимается на винде и через кипера раздает инет в сеть. сеть 192.168.4.0/24. Я хочу всю эту груду метала заменить на микротик 450. марш уже куплен. Посоветуйте как мне лучше и быстрей его настроить!!!! Спасибо!!! Буду благодарен если пошагово дадите совет!!! ОСНОВНАЯ цель это что бы все пользователи имели выход в инет под средством НАТ.

    ОтветитьУдалить
  83. Добрый день Сергей.
    Нужна Ваша квалифицированная помощь. По совету друзей я приобрел MikroTik RB450G (RB/MRTG) для решения простой задачи склеить 2 инета. Не дорого и сердито.
    1. Кабельный просто WAN (автоматом через ASUS RT16N LAN + раздача Wifi для переносных устройств 8 шт.) 2. ADSL PPoE (с авторизацией через ZYXEL 660R-EE) и опять раздача Wifi и LAN через ZYXEL G460. Итог две разных сети в одной квартире. Хочется что бы MikroTik брал на себя WAN и ADSL (черезPPoE) склеивал в одну сеть, а ASUS RT16N LAN раздавался WiFi для переносных (нойтбуки, телефоны) и был хабом для дальнейших устройств (телевизоры, мультимедиа-приставки). Все должно видеть инет и сервер с его фильмами, музыкой. Сервер инет и торренты качать.
    UTP я все обвяжу, в 2000-2001 годах ставил маршрутизаторы на RED HAT, но как стало понятно из вчерашнего вечера знаний Linux уже нет. На все что меня хватило за 2 часа это имя пользователя сменить и посмотреть прошивку и установленные пакеты (да и то с вашего форума).
    MikroTik -

    1. Eth 5 – ADSL PPoE через Zyxel 660R-EE (Ростелеком)
    2. Eth 4 – WAN – (АБВ-ТВ)
    3. Eth 3 LAN local comp (моя машина administrator)
    4. Eth 2 LAN ASUS RT16N LAN +Wifi
    5. Eth 1 LAN – server WHS2011
    Ну вроде все.
    Если есть уже такая ветка в форуме просто перенаправьте. Если есть возможность написать в почту, пишите пожалуйста varnavskynv@gmail.com
    Посоветуйте как мне лучше и быстрей его настроить!!!! Спасибо!!! Буду благодарен если пошагово дадите совет!!!

    ОтветитьУдалить
  84. Думаю что не будет нам ответов :)

    ОтветитьУдалить
  85. > Думаю что не будет нам ответов :)
    Эт почему?

    > 1. Eth 5 – ADSL PPoE через Zyxel 660R-EE (Ростелеком)
    > 2. Eth 4 – WAN – (АБВ-ТВ)
    > 3. Eth 3 LAN local comp (моя машина administrator)
    > 4. Eth 2 LAN ASUS RT16N LAN +Wifi
    > 5. Eth 1 LAN – server WHS2011

    адсл в режим моста, что бы получить адрес на 5 интерфейсе микротика, если там dhcp, то включаешь dhcp клиент на этот интерфейс.
    коль асус используешь в качестве точки доступа, то так оно и остается, на 4-м интерфейсе микротика прописываешь адрес в подсети этого асуса (на пример 192.168.0.0/24)
    1-3 интерфейсы объединяешь, что бы они превратились в мини-хаб (делается в интерфесах)
    в роутинге добавляешь правило в котором в качестве шлюза указываешь два адреса, один это шлюз адсл-я, а второй шлюз это локальный адрес асусовского роутера.
    в результате у тебя запросы будут равномерно уходить то в одно устройство, то в другое.
    но у такой конфигурации есть один минус, можешь словить проблему на сайтах, где требуется авторизация, там создается сеанс, а сеанс может быть привязан к твоему адресу. А так у тебя получается, что запрос приходит то с одного адреса, то с другого.

    вот, приблизительно, как то так.

    ОтветитьУдалить
    Ответы
    1. > Думаю что не будет нам ответов :) давно не отписывался вот и подумвл что в отпуске или занят сильно. Большое Спасибо. Сергей ты не правильно меня понял (или я обьяснил коряво) ASUS хотел поставить за МикроТиком, что бы он уже стоял в сети домашней и отдавал клиентам объеденный инет (от Микротика бросить провод и в центре квартиры разместить ASUS), а WAN от провайдера заходил на Микротик. Смысл MikriTika, что бы он, как более мощная и сильная (аппаратно и конечно программно)железяка объединял два инета, настроить нормально файервол (Ростелеком заваливает клиентское оборудование дос атаками и оно виснет). В конечном итоге получить отказоустойчивый инет (задача не скорость, (можно было купить канал на 8 или 12, 16 мб/с)задача отказоустойчивость в случае если один провайдер заткнулся то второй работает).

      Удалить
    2. Я после OS Win. забыл что маску можно описывать просто /24 и не 255,255,255,132 ну и т.д. вот сижу читаю Ваш блог.

      Удалить
    3. Ну тогда в принципе идея остается той же.
      В два порта подается интернет с "хвоста" провайдера и с модема.
      асус уже будет как простой клиент в локальной сети.

      Но исходя из задачи балансировка не самый лучший вариант, упадет канал, будешь терять половину запросов.
      Лучше попробовать научить микротик самому переключать каналы.

      На пример:
      1. В роутинге сделать 4-е правила.
      0 - все на шлюз первого провайдера
      1 - все на шлюз второго провайдера (и отключить это правило)
      2 - если назначение 8.8.8.8, то шлюз первого провайдера
      3 - если назначение 8.8.4.4, то шлюз второго провайдера

      2. в /tool netwatch сделать два наблюдателя.
      2.1 один наблюдает за адресом 8.8.8.8, и при событии Down выполняет команды типа "/ip route disable 0" и "/ip route enable 1", при событии Up тоже самое, но на оборот.
      2.2 второй наблюдает за адресом 8.8.4.4 и соответственно переключает шлюз по умолчанию в таблице маршрутизации.

      8.8.8.8 и 8.8.4.4 это публичные dns-ы от google, считаем, что они в каком то месте надежнее наших провайдеров.

      так у тебя будет работать 1 канал, второй будет включаться при падении первого.

      Удалить
  86. Все тот же объединитель 2-х каналов.
    Сергей спасибо за время которое вы на нас тратите.
    1. Как я поглядел, почти все есть, что надо просто поискать в вашем чудесном блоге.
    2. Тут как всегда главным вопросом является время. Возможно, что через 2-3 недели и я разберусь с MikroTi'om, - но хочется увидеть все работающим завтра или послезавтра, а не 14 февраля. Сильно прошу помочь в этом нелегком вопросе.

    ОтветитьУдалить
  87. Добрый день Сергей. На MikroTik RB450G (RB/MRTG) есть слот для micro sd card для чего он может быть нужен? и как подмонтировать карту в систему?

    ОтветитьУдалить
    Ответы
    1. Хранение резервных копий, ftp, сайт для создания hot spot-a

      Удалить
  88. Кстати я так и не победил два канала в один. по очереди могут работать а что бы 2 и сразу не получается затыкаются и все.

    ОтветитьУдалить
  89. Добрый день помагите потскажите как можно зайти удалённо в в рутер микротик через вин вох заранее спосибо

    ОтветитьУдалить
  90. Помогите пожалуйста решить проблему.

    Есть Mikrotik RB750.
    В 1 порт смотрит Интернет с RB443UH.
    На RB443UH настроена сеть 10.163.4.0/255.255.255.0
    RB443UH раздает по DHCP адреса в сети 10.163.4.0/255.255.255.0
    На RB750 настроена сеть 10.163.6.0/255.255.255.0
    RB750 раздает по DHCP адреса в сети 10.163.6.0/255.255.255.0
    Именно из-за DHCP я их настроил изначально в разных подсетях,
    но видимо я что-то упустил,потому, что домен мне перестал быть доступен,так же как и шары.

    Вопрос.
    Как гастроить так, чтобы и RB750 и подключеные к нему компы были в 4-ой сети но я ими могбы управлять (резать доступ и т.п.)?

    ОтветитьУдалить
    Ответы
    1. А что мешало на том же 750-м задействовать один порт под одну сеть, другой под другую?
      Когда DHCP сервер настраиваешь, то говоришь же какому интерфейсу он предназначен и какой пул адресов задействовать.
      В таком варианте даже таблица маршрутизации, которая сгенерится по умолчанию будет давать доступ в обе подсети.
      Ну а в описанном варианте добавить на одно устройство шлюзом адрес другого, его назначение та подсеть. Ну и соответственно в обратную сторону на другом устройстве.

      Удалить
  91. к 443 у меня доступа нет,а 750 под рукой.
    >Когда DHCP сервер настраиваешь, то говоришь же какому интерфейсу он предназначен и какой пул адресов задействовать.
    говорю,но тогда у меня будет 2 DHCP сервера и они будут конфликтовать друг с другом или я ошибаюсь?

    ОтветитьУдалить
    Ответы
    1. нет не будут, они же будут привязаны к определенным интерфейсам и выдавать адреса только в них.

      Удалить
  92. т.е.мне надо сейчас войти в Микротик, удалить DHCP сервер который выдает адреса в 6 подсеть eth2 интерфейса,создать для этого же интерфейса DHCP сервер 4 подсети и по идее Микротик у меня должен нормально работать?

    ОтветитьУдалить
    Ответы
    1. яж предложил:
      Ну а в описанном варианте добавить на одно устройство шлюзом адрес другого, его назначение та подсеть. Ну и соответственно в обратную сторону на другом устройстве.
      Два DHCP не будут выдавать адреса из одной подсети (если только не ограничишь пул в одном и другом), точнее будут, но конфликты будут.

      Удалить
  93. Поясните пожалуйста вот еще какой вопрос.
    Нужно ограничить 2 человек в вебсерфинге.
    Оному в определенное время нужно отрубить Интернет полностью а второму только к определенным ресурсам. Как это реализовать?

    ОтветитьУдалить
    Ответы
    1. ip -> firewall -> filter rules
      создаешь правило, какому адресу, что заблокировать (если все, то 0.0.0.0) на вкладке extra есть параметр time, там указываешь в какое время работает это правило.

      Удалить
  94. > какому адресу - это понятно.
    >что заблокировать - это непонятно. где это указывать?

    ОтветитьУдалить
    Ответы
    1. если в winbox-e, то открываешь правило, на вкладке extra есть параметр time
      если в консоле, то там есть параметр time, задается так:
      Time ::= Start-End,Day
      Start -- 0s..23h59m59s (time interval)
      End -- 0s..23h59m59s (time interval)
      Day ::= sat|fri|thu|wed|tue|mon|sun[,Day*]

      Удалить
  95. Да это понятно... Контент (сайт или весь Интернет) где указывать?

    ОтветитьУдалить
    Ответы
    1. а параметр ip источника и ip назначение как бы даже ни о чем не подсказывает? Там выше в статье даже примеры есть.

      Удалить
  96. Познавательно. Спасибо.
    И сразу вопрос :)
    Имеем RB751U-2HnD. Максимальная скорость передачи данных через WiFi - 4Mb :(
    В целя эксперимента создал для тестового ноута идеальные условия: на точке доступа зарегистрирован исключительно он один, расстояние между Микротиком и ноутом - 1м... И все равно - максимальная скорость переписывания тестового файла около 400KB.
    Может кто-то сталкивался?...

    ОтветитьУдалить
    Ответы
    1. P.S. Скорость подключения - 54Mb/s. Микротик для этого подключения динамически отображает Tx/Rx Rate вплоть до 26.0Mbps/54.0Mbps
      Шифрование WPA2-PSK (AES).

      Удалить
  97. очень помог, спасибо тебе

    ОтветитьУдалить
  98. Здравствуйте. Подскажите пожалуйста, имеется microtik 3 интерфейса 1 интернет 2 локальная сеть 3 соседняя сеть. Даю доступ в интернет по портам 80, 443, 25, 110 в интернет, как написано в статье. Какое правило нужно написать чтоб был доступ между локальной сетью и соседней сетью? заранее благодарен.

    ОтветитьУдалить
  99. Здравствуйте. Можно ли "склеить" две 4мб+6мб учетки одного провайдера(PPoE) в одну 10мб при помощи РБ750 используя 1порт, не создав конфликтов в сети? Хоть вкратце. Спасибо.

    ОтветитьУдалить
  100. Здравствуйте SERGEY LAGOVSKIY, если вы разбираетесь в написании скриптов могли бы вы помочь в следующем: есть удаленный офис на нем 3 провайдера и там поднят сервер pptp периодически с ними бывают проблемы, можно ли сделать так на микротике чтоб pptp-client пинговал основной канал и в случае пропадания переключался на резервный, а когда остановится основной возвращался к основному?
    у меня получился рабочий скрипт такой, но он не дработанный не могли бы вы помочь разобраться ?
    :local pingcount 5; :local hostping 10.40.87.10; :local pingresultA [ping $hostping count=$pingcoun
    t]; :if ($pingresultA > 0) do={ :put "internet connected"} else={:interface pptp-client disable pptp1; :interface pptp-client enable pptp2;}

    ОтветитьУдалить
    Ответы
    1. Не надо так пинговать, в микротике же есть мониторинг и действие при up и down.
      Искать в /tool/netwatch.
      Я делал так (на два канала):
      Выбираю два внешних адреса с хорошей стабильной работой, на пример public dns от google.
      В таблице маршрутизации добавляю два маршрута, если назначение первый адрес, то отправить на шлюз первого провайдера, если назначение второй, то отправить на шлюз второго.
      Дальше в netwatch делаю мониторинг за этими адресами и в событиях пишу команды на добавление или удаление маршрута по умолчанию в зависимости от того какой провайдер перестает работать.
      Так что можете попробовать модифицировать эту идею под вашу реальность.

      Удалить
  101. спасибо, буду копать в этом направлении

    ОтветитьУдалить
  102. Здравствуйте SERGEY LAGOVSKIY, возможно ли в mikrotik ограничивать пользователей интернет через NAT по МБ (выделить 100Мб в день, на пример) без биллинга? если есть такая возможность подскажите пожалуйста в каком направлении копать, найти в гугле у меня не получилось, заранее спасибо за ответ.

    ОтветитьУдалить
    Ответы
    1. Копать в сторону queue и скриптов, создаешь правило, в счетчиках которого будет фиксироваться трафик, скриптом, запускаемым по таймеру, получаешь данные с этих счетчиков и дальше уже принимаешь решение на отключение или зарезания скорости до нуля.

      Удалить
  103. Доброго времени суток всем Добрым и Отзывчим людям!
    Да простят меня админы форума за этот отчаянный крик души.Помогите настроить роутер: Microtik RouterBoard 493G,
    За взаимную МАТЕРИАЛЬНУЮ помощь с моей стороны,
    для компенсации ваших титанических усилий и затраченного времени.

    Необходимо реализовать следующую конфигурацию:

    1.) Настроить 2 разных интернет соединения.
    a.) ISP1 проводной интернет - имеет выделенный ip.
    b.) ISP2 usb модем Yota LTE - имеет выделенный ip. ( Роутер имеет usb порт )
    причем пытался подключить по этой статье http://mikrotik.ru/forum/viewtopic.php?f=11&t=1371
    но ничего не получилось выдает ( no such item .. ) Если вдруг так и не получиться подключить
    совместными усилиями то как вариант Yota модем воткну в ноут а из него ISP2 (провод)

    2.) Организовать резервную балансировку интернет канала в случае падения основного ,
    для всех периферийных устройств находящихся в сети Lan, по одноименной повести
    легендарного человека: http://mikrotik.axiom-pro.ru/scripts/balancerv1.php
    а именно:
    a.) 2 Сервера RDP имеют Основной Канал ISP2 ( usb модем Yota LTE) - Резерв ISP 1 ( провод ).
    b.) 2 IP телефона имеют Основной Канал ISP1 (проводной интернет ) - Резерв ISP 2 ( usb Yota LTE)

    3.) Дать доступ к 2-ум серверам RDP (radmin) с обоих внешних IP ( isp 1 и isp 2 )
    по мотивам того же всем нам хорошего известного человека легенды :)
    http://mikrotik.axiom-pro.ru/scripts/balancerv1.php

    Мои Контакты
    Skype: euazimut
    ICQ: 617712138
    E-mail: EuroTrusts@Gmail.com

    ОтветитьУдалить
  104. Здравствуйте SERGEY LAGOVSKIY, можно ли увидеть трафик пользователей (кто куда заходил)организовав доступ к интернету как на схеме вышеуказанной? если да то как?

    Заранее благодарен! Era.

    ОтветитьУдалить
    Ответы
    1. на пример так http://slagovskiy.blogspot.ru/2010/02/mikrotik-netflow-analyzer.html

      Удалить
  105. Здравствуйте! а подскажите пожалуйста, будет ли работать вот это?

    роутер(йота,есть только режим роутера)->microtik->lan

    т.е. делаю 192.168.2.1(yota)->192.168.2.2(mikrotik)192.168.1.1->lan

    ОтветитьУдалить
  106. Здравствуйте SERGEY LAGOVSKIY, возможно ли в mikrotik завернуть все http и https запросы пользователей на другой сервер (kerio) в той же сети, или надо по отдельности каждый порт прописывать? , или есть какие то другие способы.
    Заранее благодарен за ответ, с Уважением Арсланов Расул.

    ОтветитьУдалить
  107. Здравствуйте Сергей и участники форума.
    Wan1 настроен-основной,сайты, скайп и торрент(min приоритет)(Адсл, dhcp->mikrotik)
    Wan2-dhcp клиент(Подключен к соседскому маршрутизатору, с его разрешения), через него должен идти ТолькО torrent траффик.
    Так же wan2 НЕ должен смотреть в мою локальную сеть 3-5(Поможет ли изоляция?) и не должен открывать сайты
    Подскажите мне пожалуйста, как настроить Wan2 для такой цели.
    Гугл ничего не сказал...

    ОтветитьУдалить
  108. Моя сеть 192.168.0.1-192.168.0.254
    Сеть соседа 192.168.1.1-192.168.1.33

    ОтветитьУдалить
  109. Этот комментарий был удален администратором блога.

    ОтветитьУдалить
  110. Люди кто может подсказать как можно изменить главную web страницу на rb750GL v6.0rc6.
    Заранее большое спасибо

    ОтветитьУдалить
  111. Здравствуйте. Есть 2 сети. Объеденены микротиком. Необходимо сделать так, что бы связь между собой имели только по одному компу в каждой сети.
    т.е. имееться сеть х.х.9.0/24 и х.х.1.0/24. Надо, что бы х.х.9.3 видел х.х.1.75. всё остальное, включая широковещательные, должно резаться. как это сделать лучше?

    ОтветитьУдалить
  112. Искал по гуглу в чём может быть прикол если на один комп 3389 даёт форвардинг, а на все другие нет (где мог тот комп на который ходит прописать кроме вкладок NAT и Firewall), и пролистал эту статью.. имхо так почта забирать по 110 не будет так как внутренние запросы будут "заруливаться" на сервер.. 25 (отправка) и 80 (для веб интерфейса если кто пользуется) как описано тут, а 110 просто accept input для всей внутренней сети и никакого dst-nat

    ОтветитьУдалить
  113. Доброго времени суток!
    Есть MikriTik RB2011-UAS-2hnd, он имеет внешний IP, поднят PPTP сервер, клиенты созданы, подключаются все хорошо.
    Вопрос: как определённого клиента пускать из вне только на 1 определенный IP(чтобы не видел остальную локалку).
    Мучился с файрволом, не смог победить.
    Заранее спасибо!

    ОтветитьУдалить
  114. Здравствуйте!
    На микротике настроены 2 сети с разным диапазоном адресов. Как сделать, чтобы два устройства из разных сетей видели друг друга?

    ОтветитьУдалить
  115. Скажите пожалуйста, после замены adsl модема dlink на mikrotik+adsl модем в мосту
    перестала отправялться почта с сервера
    прием почты работает после приписания проброса портов

    /ip firewall nat
    add action=dst-nat chain=dstnat comment=Mail disabled=no dst-address=\
    IPвнешний dst-port=25 protocol=tcp to-addresses=Ipсервера \
    to-ports=25

    а вот отправки нет
    с mailсервер в интернет выходит через микротик

    что хоть это может быть, куда копать????
    уже вторые сутки бьюсь и все в пустую

    ОтветитьУдалить
    Ответы
    1. Вроде все верно, если
      - модем действительно в режиме моста (100% nat порт-в-порт)
      - у адреса почтового сервера есть доступ на отправку по 25-у порту
      - внешний адрес в nat правиле совпадает с адресом на интерфейсе, глядящем на модем.

      напиши, чем все кончится ;)

      Удалить
    2. все оказалось банально до простоты, провайдер закрыл 25 порт

      Удалить
  116. внешний адрес в nat правиле совпадает с адресом на интерфейсе, глядящем на модем
    Не могли бы поподробней описать что именно должно быть?

    ОтветитьУдалить
  117. Сергей, может вы сможете помочь с маршрутами между внешним интерфейсом и внутренней сетью. Пост есть вот тут
    http://mikrotik.ru/forum/viewtopic.php?f=1&t=4457

    ОтветитьУдалить
  118. Здравствуте, подскажите пожалуйста как пробросить в сеть 1 реальный IP мимо НАТ?
    /ip address add address=10.5.8.200/32 interface=Public
    /ip firewall nat add chain=dstnat dst-address=10.5.8.200 action=dst-nat \
    to-addresses=192.168.0.109
    /ip firewall nat add chain=srcnat src-address=192.168.0.109 action=src-nat \
    to-addresses=10.5.8.200
    Если так не получается?

    ОтветитьУдалить
  119. Доброго времени суток.Подскажите пожалуйста,как блокировать инет,в определённое время суток,определённому пользователю?

    ОтветитьУдалить
  120. Очень нужна помощь, вопрос здесь уже был, но ответа нет.
    Есть сайт на хостинге. Есть сервер за NATом в офисе. Сервер стриммит видео на сайт. Так вот видео доступно всем, кроме тех, кто находится в той же локальной сети что и стрим-сервер. Т.е. изнутри нельзя обратиться на свой же внешний IP. Как сделать доступными ресурсы изнутри по внешнему IP?

    ОтветитьУдалить
    Ответы
    1. Зачем по внешнему IP?
      Сервер у тебя локально, добавь статическую запсь в DNS, что video.server.com это, допустим, 192.168.1.200 и все будет нормально, для локальной сети будет использоваться локальный адрес, для внешней, будет внешний.

      Удалить
    2. Дело в том, что не сайт находится на локальном сервере, а только стрим видео. Т.е. на странице сайта есть окошко в котором стриммится видео. Вот в этом окошке то и прописан внешник локального сервере. Сайт весь отображается, но видео нет =)

      Удалить
    3. И помимо этого нужно иногда по RDP (по внешнему IP) изнутри заходить на сервер. Этого тоже нельзя сделать. До MK стоял простой Dlink - там все работало по умолчанию. В МК уже голову сломал =)

      Удалить
    4. У меня та же проблема, но при этом внутри сервер на 81 порту..
      С ДНС трюк не катит ((

      Удалить
  121. Настроил всё как здесь, только вот странный момент
    ip route print показывает
    0 AS - для первого правайдера
    1 S - для второго провайдера
    3 ADC - первый провайдер
    4 ADC - второй провайдер
    5 ADC - сеть
    Как активировать маршрут 1 ?
    Пинг например через первого провайдера выдает нормальный
    Пинг через второго провайдера работает странно:
    1. если первый провайдер включен то timeout
    2. если первый провайдер выключен то после каждого запроса выдает redirect host

    ОтветитьУдалить
  122. Добрый день. на микротике не могу настроить чтоб доступа из вне вообще не было , чтоб даже пинг не проходил. как это реализовать и куда лезть в настройках, подскажите пожалуйста.

    ОтветитьУдалить
  123. Помогите пробросить порт
    Вот скрины
    http://i59.fastpic.ru/big/2015/0404/24/875a901d5f11c58c286a85ba68994d24.jpg
    http://i59.fastpic.ru/big/2015/0404/a3/1989f491bb67b3fce9b1350c315edfa3.jpg
    http://i59.fastpic.ru/big/2015/0404/a5/402cb6492dd53367b107728458a5b7a5.jpg
    не работает

    ОтветитьУдалить
  124. Добрый день.
    Не получается настроить nat в адрес туннеля.
    mikrotik 2011
    os 6.30.2
    есть подключение к провайдеру, поверх него туннель, на туннеле есть ip адрес. В туннель написан маршрут.
    Внизу есть две сети lan. С одной из них нужно настроить nat в адрес туннеля.
    Беру правило для nat в интернет, копирую, меняю входящий и исходящий интерфейсы на соответствующие, но не работает.
    Подскажите методы диагностики места проблемы или особенности туннельного интерфейса при осуществлении nat/

    ОтветитьУдалить