Проброс портов и не только

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 1951
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

05 апр 2019, 19:54

Hop-Z писал(а):
05 апр 2019, 19:28
пошёл другим путём, нашел старый netgear n300 подключил. На нём без проблем открываются порты :nez-nayu:
1) простите, но не поверю. Показывайте ещё раз конфигурацию.
2) заменять роутеры вот так = плохая идея, винда всё равно видит что
заменилась сеть, и обычно срабатывают опять все правила файрволов,
и так далее, поэтому надо понимать что да как у Вас.

Ещё раз, служба UPnP - великолепно работает, она проста в настройке,
главное правильно указать какой интерфейс внешний, а какой внутренний
(основываясь на логике).
Вы даже ничего не сказали, пошли правила если удалить, и заново запустить торрент?
Ну Вы подаёте информацию как-то странно, выборочно и узко-своенравно.

Возвращайте обратно Микротик, проверьте все настройки, проверьте что есть Интернет,
проверьте что отключен виндовый файрвол, а лучше после отключения винду перезагрузить,
и покажите как это у Вас не работает?
Где скрины, где показ что правила UPnP создаёт? Да и я бы даже посмотрел настройки
торрент-программы, может Вы там что-то не то выставили?

P.S.
ТАК а какая скорость у ВАС, канала я имею ввиду?
ТОРРЕНТ значит работает, и ДА, он может весь канал просадить,
и не только на закачку, а ещё и на отдачу, это всё надо в торренте настраивать.
НУ=работает же !!!!!!!!!!!!!!!!!!!!!!
А Вы говорите нет!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Hop-Z
Сообщения: 13
Зарегистрирован: 09 дек 2015, 17:32

05 апр 2019, 20:49

Vlad-2 писал(а):
05 апр 2019, 19:54
1) простите, но не поверю. Показывайте ещё раз конфигурацию.

Код: Выделить всё

# apr/05/2019 22:27:15 by RouterOS 6.44.1
# software id = ***
#
# model = 951Ui-2HnD
# serial number = ***
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    band=2ghz-g/n basic-rates-b="" country=russia3 disabled=no distance=\
    indoors frequency=auto hw-protection-mode=rts-cts mode=ap-bridge ssid=CK \
    supported-rates-b="" tx-power=24 tx-power-mode=all-rates-fixed \
    wds-default-bridge=bridge-local wds-mode=dynamic wireless-protocol=802.11 \
    wmm-support=enabled wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-polling=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=***
/ip pool
add name=dhcp_pool0 ranges=192.168.88.2-192.168.88.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge-local lease-time=1d \
    name=dhcp1
/interface bridge port
add bridge=bridge-local interface=ether2
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=wlan1
/ip address
add address=192.168.88.1/24 interface=bridge-local network=192.168.88.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established in-interface=\
    ether1
add action=accept chain=input connection-state=related in-interface=ether1
add action=jump chain=forward in-interface=ether1 jump-target=customer
add action=accept chain=customer connection-state=established
add action=accept chain=customer connection-state=related
add action=accept chain=input dst-port=25000 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=25000 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=20000 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=20000 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=4000 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=4000 in-interface=ether1 protocol=udp
add action=accept chain=input dst-port=6000 in-interface=ether1 protocol=tcp
add action=accept chain=input dst-port=6000 in-interface=ether1 protocol=udp
add action=drop chain=input in-interface=ether1
add action=drop chain=customer
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
add action=dst-nat chain=dstnat dst-port=25000 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.211 to-port=25000 
add action=dst-nat chain=dstnat dst-port=25000 in-interface=ether1 protocol=\
    udp to-addresses=192.168.88.211 to-port=25000 
add action=dst-nat chain=dstnat dst-port=20000 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.211 to-port=20000 
add action=dst-nat chain=dstnat dst-port=20000 in-interface=ether1 protocol=\
    udp to-addresses=192.168.88.211 to-port=20000 
add action=dst-nat chain=dstnat dst-port=4000 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.211 to-port=4000 
add action=dst-nat chain=dstnat dst-port=4000 in-interface=ether1 protocol=\
    udp to-addresses=192.168.88.211 to-port=4000 
add action=dst-nat chain=dstnat dst-port=6000 in-interface=ether1 protocol=\
    tcp to-addresses=192.168.88.211 to-port=6000 
add action=dst-nat chain=dstnat dst-port=6000 in-interface=ether1 protocol=\
    udp to-addresses=192.168.88.211 to-port=6000 
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api-ssl disabled=yes
/ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1 type=external
Vlad-2 писал(а):
05 апр 2019, 19:54
2) Вы даже ничего не сказали, пошли правила если удалить, и заново запустить торрент? Где скрины, где показ что правила UPnP создаёт?
Правила пошли, скрин скинул ранее
Изображение
Vlad-2 писал(а):
05 апр 2019, 19:54
Ну Вы подаёте информацию как-то странно, выборочно и узко-своенравно.
Как получается :ne_vi_del:
Vlad-2 писал(а):
05 апр 2019, 19:54
проверьте что отключен виндовый файрвол, а лучше после отключения винду перезагрузить,

отключен и порты прописаны в нём.
Vlad-2 писал(а):
05 апр 2019, 19:54
Да и я бы даже посмотрел настройки
торрент-программы, может Вы там что-то не то выставили?
ИзображениеИзображениеИзображение
Vlad-2 писал(а):
05 апр 2019, 19:54
ТАК а какая скорость у ВАС, канала я имею ввиду?
100Mbps
Vlad-2 писал(а):
05 апр 2019, 19:54
НУ=работает же !!!!!!!!!!!!!!!!!!!!!!
закачка идёт, не спорю, но постоянные разрывы и скорость закачки явно заниженная. Раньше 5-6 МБ/s, сейчас не больше 1,5 МБ/s через несколько секунд разрыв и опять набор скорости


Hop-Z
Сообщения: 13
Зарегистрирован: 09 дек 2015, 17:32

06 апр 2019, 11:53

проблема решилась отключением правила :sh_ok:

Код: Выделить всё

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customer
только не получается открыть один порт используемый ослом (в настройках осла: приватность - включить DHT сеть - использовать разные порты для DHT и Bittorren), хотя всё сделано по аналогии.
Спасибо за помощь! :co_ol:
PS можете порекомендовать (ссылку на нормальные) настройки wi-fi, а то скорость не поднимается до прежнего уровня


Аватара пользователя
Vlad-2
Модератор
Сообщения: 1951
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

06 апр 2019, 12:12

Hop-Z писал(а):
06 апр 2019, 11:53
проблема решилась отключением правила :sh_ok:

Код: Выделить всё

ip firewall filter add action=jump chain=forward disabled=no in-interface=ether1 jump-target=customer
Обычно при тестах/настройте = надо другие правила отключать.
Hop-Z писал(а):
06 апр 2019, 11:53
только не получается открыть один порт используемый ослом (в настройках осла: приватность - включить DHT сеть - использовать разные порты для DHT и Bittorren), хотя всё сделано по аналогии.
Не могу сказать по этому вопросу, я делаю проще, я в настройках торрента жёстко выставляю скажем порт 17495,
сохраняю, в микротике руками открываю порт 17495 и по этому порту уже работает торрент.
Когда с коллегами качаем совместно, он у себя в торренте добавляет мой IP:17495, а я у себя
в торренте добавляю пир друга его IP:xxxyy порт который он у себя сделал.
Hop-Z писал(а):
06 апр 2019, 11:53
Спасибо за помощь! :co_ol:
Не за что. Не забудьте сделать копию конфигурации, сделать себе записи на будущее,
ну и временами обновлять микротик.
Hop-Z писал(а):
06 апр 2019, 11:53
PS можете порекомендовать (ссылку на нормальные) настройки wi-fi, а то скорость не поднимается до прежнего уровня
О это тема огромна, поищите поиском и проверьте какие параметры у Вас выставлены.
Проблемы могут быть от устройства до помех в этот момент.
Ну и так же надо отдавать отчёт...что по ВИФИ торрент качать = не очень хорошо.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
bogdan.klimov
Сообщения: 2
Зарегистрирован: 17 апр 2019, 15:34

17 апр 2019, 15:53

Добрый день))
Есть 3 офиса ,в каждом по микротику.
В офисе номер 1 стоит сервер, который отвечает на запросы.
В офисах 2 и 3 клиенты которые к нему обращаются.
Я пробросил порты для клиентов на микротиках 2 и 3 .
На сервер приходит запрос, но при отправке клиентам ожидание таймаут и все.
Проброс портов делал по аналогии с пробросом для регистраторов видеонаблюдения и другому серверу с клиентской базой.
При проверке на сайте 2ip на машинах клиентов пишет что порт который я пробросил закрыт.
Помогите советом....


KARaS'b
Сообщения: 946
Зарегистрирован: 29 сен 2011, 09:16

17 апр 2019, 16:19

bogdan.klimov писал(а):
17 апр 2019, 15:53
Добрый день))
Есть 3 офиса ,в каждом по микротику.
В офисе номер 1 стоит сервер, который отвечает на запросы.
В офисах 2 и 3 клиенты которые к нему обращаются.
Я пробросил порты для клиентов на микротиках 2 и 3 .
На сервер приходит запрос, но при отправке клиентам ожидание таймаут и все.
Проброс портов делал по аналогии с пробросом для регистраторов видеонаблюдения и другому серверу с клиентской базой.
При проверке на сайте 2ip на машинах клиентов пишет что порт который я пробросил закрыт.
Помогите советом....
У за микротиком 1 есть сервер к которому должны подключаться клиенты находящиеся за микротиками 2 и 3? Но при этом порты вы пробрасываете на микротиках 2 и 3, так?


bogdan.klimov
Сообщения: 2
Зарегистрирован: 17 апр 2019, 15:34

17 апр 2019, 16:28

KARaS'b писал(а):
17 апр 2019, 16:19
bogdan.klimov писал(а):
17 апр 2019, 15:53
Добрый день))
Есть 3 офиса ,в каждом по микротику.
В офисе номер 1 стоит сервер, который отвечает на запросы.
В офисах 2 и 3 клиенты которые к нему обращаются.
Я пробросил порты для клиентов на микротиках 2 и 3 .
На сервер приходит запрос, но при отправке клиентам ожидание таймаут и все.
Проброс портов делал по аналогии с пробросом для регистраторов видеонаблюдения и другому серверу с клиентской базой.
При проверке на сайте 2ip на машинах клиентов пишет что порт который я пробросил закрыт.
Помогите советом....
У за микротиком 1 есть сервер к которому должны подключаться клиенты находящиеся за микротиками 2 и 3? Но при этом порты вы пробрасываете на микротиках 2 и 3, так?
Именно так, сервер посылает ответ на микротик 2 и 3 и на них проброшены порты что бы именно к клиентам дошел ответ на запрос от сервера.


KARaS'b
Сообщения: 946
Зарегистрирован: 29 сен 2011, 09:16

17 апр 2019, 17:06

bogdan.klimov писал(а):
17 апр 2019, 16:28
Именно так, сервер посылает ответ на микротик 2 и 3 и на них проброшены порты что бы именно к клиентам дошел ответ на запрос от сервера.
Очень хотелось протролить, да пожоще, но скажу кратко - подтяните мат. часть по сетям. Ответ от сервера клиенту априори придет по назначению, т.к. приходит он в рамках уже установленного соединения, которое устанавливал сам клиент и такому пакету просто некуда деваться, кроме как прийти к нужному клиенту. А вы своими правилами мешаете этому процессу. Вам нужен только проброс на микротике 1, а на 2 и 3 вы априори ничего пробросить не сможете и не должны.


ncipin
Сообщения: 2
Зарегистрирован: 29 май 2019, 06:38

29 май 2019, 11:50

Добрый день. Помогите разобраться. Провайдер выделяет статический IP адрес и для интернета и для IP-телефонии, разделяя их VlanID. Интернет работает на отлично, а телефония только на входящие звонки, исходящие рубит Mikrotik RB2011.По внутренней сети телефония работает в обе стороны и на прием звонков из вне. Человек, который настраивал этот огород-умер. Где изменить правила, что бы связь работала в обе стороны.
 
"config"
by RouterOS 6.44.2
# software id = LJJN-TIYG
# model = 2011UiAS-2HnD
/interface bridge
add name=bridge1
add arp=local-proxy-arp igmp-snooping=yes name=users_vlan-wifi protocol-mode=\
none
/interface ethernet
set [ find default-name=ether1 ] mac-address=E4:8D:8C:37:70:14 name=\
ether1-Internet-MTS speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master-local speed=100Mbps
set [ find default-name=ether3 ] name=ether3-slave-local speed=100Mbps
set [ find default-name=ether4 ] name=ether4-slave-local speed=100Mbps
set [ find default-name=ether5 ] name=ether5-slave-local speed=100Mbps
set [ find default-name=ether6 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether6-master-local
set [ find default-name=ether7 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether7-slave-local
set [ find default-name=ether8 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether8-slave-local
set [ find default-name=ether9 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether9-slave-local
set [ find default-name=ether10 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=\
ether10-slave-local
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
country=russia disabled=no distance=indoors frequency=2447 mode=ap-bridge \
ssid=SI tx-power=20 tx-power-mode=all-rates-fixed wmm-support=enabled
/interface vlan
add interface=ether2-master-local name=control vlan-id=205
add interface=ether1-Internet-MTS name=ext_Internet vlan-id=48
add interface=ether1-Internet-MTS name=ext_voip vlan-id=483
add interface=ether2-master-local name=servers_vlan vlan-id=11
add interface=ether2-master-local name=users_vlan vlan-id=203
add interface=ether2-master-local name=voip_vlan vlan-id=204
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
xxxxxxxxxxxxx wpa2-pre-shared-key=xxxxxxxxxxxxxx
/ip firewall layer7-protocol
add name=Skype regexp="^..\\x02............."
add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$"
add name=rdp regexp="rdp\r\
\nrdpdr.*cliprdr.*rdpsnd"
add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\
0d -~]* http/[01]\\.[019]"
add name=Jabber regexp=\
"<stream:stream[\\x09-\\x0d ][ -~]*[\\x09-\\x0d ]xmlns=['\"]jabber"
add name=GIF_FILE regexp=gif
add name=PNG_FILE regexp=png
add name=TeamViewer regexp="^(post|get) /d(out|in).aspx\\\?.*client=dyngate"
add name=TeamViewer1 regexp="^\\\\x17"
add name=AmmyAdmin regexp="^.*rl.ammy.com.* "
add name=blocksite regexp="^.+(nnm-club.me).*\$"
add name=social regexp="^.+(vk.com|vk.ru|ok.ru|ok.com|vkontakte|odnoklassniki|\
odnoklasniki|facebook|fall-in-love|loveplanet|my.mail.ru).*\$"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/ip pool
add name=dhcp ranges=192.168.1.10-192.168.1.250
add name=voip_pool ranges=192.168.2.100-192.168.2.250
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=\
users_vlan-wifi lease-time=1d name=users_dhcp
add address-pool=voip_pool authoritative=after-2sec-delay interface=voip_vlan \
lease-time=1d name=voip_dhcp
/queue simple
add max-limit=3M/3M name=VoIP-que packet-marks=VoIP priority=1/1 target=""
add max-limit=30M/30M name="Other que" packet-marks=no-mark target=\
192.168.1.0/24
/queue type
set 0 pfifo-limit=100
add kind=pcq name=Download pcq-classifier=dst-address pcq-dst-address6-mask=\
64 pcq-limit=200KiB pcq-src-address6-mask=64 pcq-total-limit=40000KiB
add kind=pcq name=Upload pcq-classifier=src-address pcq-dst-address6-mask=64 \
pcq-limit=200KiB pcq-src-address6-mask=64 pcq-total-limit=4000KiB
add kind=pcq name=NC-Kurgan-Down pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=VoIP-Kurgan-Down pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=RDP-Kurgan-Down pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=WEB-Kurgan-Down pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=Default-Kurgan-Down pcq-classifier=dst-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=Default-Kurgan-Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=NC-Kurgan-Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=RDP-Kurgan-Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=VoIP-Kurgan-Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
add kind=pcq name=WEB-Kurgan-Up pcq-classifier=src-address \
pcq-dst-address6-mask=64 pcq-src-address6-mask=64
/queue tree
add disabled=yes max-limit=40M name=Global parent=global queue=Download
add max-limit=19M name=Download packet-mark=Download-all parent=Global queue=\
Download
add max-limit=19M name=Upload packet-mark=Upload-all parent=Global queue=\
Upload
add burst-limit=8M burst-threshold=2M burst-time=15s limit-at=3M max-limit=5M \
name=down-dvr packet-mark=Download-dvr parent=Download priority=4 queue=\
Download
add burst-limit=15M burst-threshold=3M burst-time=20s limit-at=5M max-limit=\
10M name=up-http packet-mark=Upload-http parent=Upload priority=2 queue=\
Upload
add burst-limit=15M burst-threshold=3M burst-time=20s limit-at=5M max-limit=\
10M name=down-http packet-mark=Download-http parent=Download priority=2 \
queue=Download
add burst-limit=5M burst-threshold=2M burst-time=20s limit-at=2M max-limit=3M \
name=down-other packet-mark=Download-other parent=Download queue=default
add max-limit=20M name=down-dns packet-mark=dns parent=Download priority=1 \
queue=Download
add limit-at=10M max-limit=10M name=up-voip packet-mark=Upload-voip parent=\
Upload priority=1 queue=Upload
add max-limit=20M name=down-icmp packet-mark=icmp parent=Download priority=1 \
queue=Download
add max-limit=50M name=up-icmp packet-mark=icmp parent=Upload priority=1 \
queue=Upload
add limit-at=10M max-limit=80M name=down-skype packet-mark=Skype-download \
parent=Download priority=1 queue=Download
add limit-at=2M max-limit=3M name=up-skype packet-mark=Skype-upload parent=\
Upload priority=1 queue=Upload
add limit-at=5M max-limit=10M name=up-radmin packet-mark=Upload-radmin \
parent=Upload priority=2 queue=Upload
add burst-limit=5M burst-threshold=1M burst-time=20s limit-at=1M max-limit=3M \
name=up-other packet-mark=Upload-other parent=Upload queue=Upload
add limit-at=10M max-limit=10M name=down-voip packet-mark=Download-voip \
parent=Download priority=1 queue=Download
add limit-at=10M max-limit=50M name=down-terminal packet-mark=\
Download-terminal parent=Download priority=1 queue=Download
add burst-limit=5M burst-threshold=1M burst-time=15s limit-at=2M max-limit=3M \
name=up-terminal packet-mark=Upload-terminal parent=Upload priority=2 \
queue=Upload
add burst-limit=70M burst-threshold=50M burst-time=30s max-limit=70M name=\
Upload-all packet-mark=Upload-all parent=Upload queue=Upload
add limit-at=10M max-limit=10M name=Download-voip-server packet-mark=\
Download-voip-server parent=Download priority=1 queue=Download
add limit-at=10M max-limit=10M name=Upload-voip-server packet-mark=\
Upload-voip-server parent=Upload priority=1 queue=Upload
add burst-limit=15M burst-threshold=5M burst-time=1m limit-at=1 max-limit=10M \
name=Down-service packet-mark=Download-service parent=Download priority=1 \
queue=Download
add burst-limit=80M burst-threshold=20M burst-time=2m limit-at=10M max-limit=\
50M name=up-service packet-mark=Upload-service parent=Upload priority=1 \
queue=Upload
add limit-at=5M max-limit=10M name=up-dvr packet-mark=Upload-dvr parent=\
Upload priority=1 queue=Upload
add burst-limit=90M burst-threshold=20 burst-time=2m limit-at=20M max-limit=\
70M name=up-ovpn packet-mark=Upload-ovpn parent=Upload priority=2 queue=\
Upload
add limit-at=10M max-limit=10M name=Down-vpn packet-mark=Download-vpn parent=\
Download priority=2 queue=Download
add limit-at=10M max-limit=10M name=up-vpn packet-mark=Upload-vpn parent=\
Upload priority=2 queue=Upload
add max-limit=18M name=Down packet-mark=All-Internet-MTS-Down parent=global \
queue=default
add limit-at=512k max-limit=1M name=NC-down packet-mark=NC-Internet-MTS-Down \
parent=Down priority=1 queue=NC-Kurgan-Down
add max-limit=9M name=VoIP-down packet-mark=VoIP-Internet-MTS-Down parent=\
Down priority=2 queue=VoIP-Kurgan-Down
add max-limit=3M name=RDP-down packet-mark=RDP-Internet-MTS-Down parent=Down \
priority=4 queue=RDP-Kurgan-Down
add max-limit=18M name=WEB-down packet-mark=WEB-Internet-MTS-Down parent=Down \
priority=5 queue=WEB-Kurgan-Down
add max-limit=18M name=Default-down packet-mark=Default-Internet-MTS-Down \
parent=Down priority=7 queue=Default-Kurgan-Down
add max-limit=18M name=Up packet-mark=All-Internet-MTS-Up parent=global \
queue=default
add limit-at=512k max-limit=1M name=NC-up packet-mark=NC-Internet-MTS-Up \
parent=Up priority=1 queue=NC-Kurgan-Up
add max-limit=3M name=RDP-up packet-mark=RDP-Internet-MTS-Up parent=Up \
priority=4 queue=RDP-Kurgan-Up
add max-limit=9M name=VoIP-up packet-mark=VoIP-Internet-MTS-Up parent=Up \
priority=2 queue=VoIP-Kurgan-Up
add max-limit=18M name=WEB-up packet-mark=WEB-Internet-MTS-Up parent=Up \
priority=5 queue=WEB-Kurgan-Up
add max-limit=18M name=Default-up packet-mark=Default-Internet-MTS-Up parent=\
Up priority=7 queue=Default-Kurgan-Up
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/tool traffic-generator port
add interface=sfp1 name=port1
/interface bridge port
add bridge=users_vlan-wifi interface=wlan1
add bridge=users_vlan-wifi interface=servers_vlan
add bridge=users_vlan-wifi interface=voip_vlan
add bridge=bridge1 interface=ether3-slave-local
add bridge=users_vlan-wifi interface=ether4-slave-local
add bridge=users_vlan-wifi interface=ether5-slave-local
add bridge=users_vlan-wifi interface=ether2-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=ether6-master-local
add bridge=users_vlan-wifi interface=users_vlan
/ip firewall connection tracking
set tcp-established-timeout=5m udp-timeout=2m
/ip settings
set allow-fast-path=no tcp-syncookies=yes
/interface l2tp-server server
set default-profile=default enabled=yes
/interface pptp-server server
set authentication=mschap2 enabled=yes
/interface wireless access-list
add interface=wlan1 mac-address=C0:38:96:71:64:57 vlan-mode=no-tag
/ip address
add address=89.31.33.53/27 interface=ext_Internet network=89.31.33.32
add address=192.168.1.1/24 comment=Users interface=users_vlan network=\
192.168.1.0
add address=192.168.2.1/24 comment=Voip interface=voip_vlan network=\
192.168.2.0
add address=192.168.3.1/24 comment=Control interface=control network=\
192.168.3.0
add address=192.168.0.1/24 comment=Servers interface=servers_vlan network=\
192.168.0.0
add address=192.168.3.1/24 network=192.168.3.0
add address=172.16.193.106/30 interface=ext_voip network=172.16.193.104
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.1.0/24 comment="Users DHCP" dns-server=192.168.1.1 \
gateway=192.168.1.1 netmask=24
add address=192.168.2.0/24 comment="Voip DHCP" dns-server=192.168.1.1 \
gateway=192.168.2.1 netmask=24
add address=192.168.3.0/24 gateway=192.168.3.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
78.108.68.68,78.108.68.108
/ip firewall address-list
add address=89.188.101.77 comment="Block social" disabled=yes list=Ban_ip
add address=87.240.143.117 disabled=yes list=Ban_ip
add address=162.211.230.182 disabled=yes list=Ban_ip
add address=192.168.0.0/24 comment="Local Net" list=local
add address=192.168.1.0/24 list=local
add address=87.240.141.134 disabled=yes list=Ban_ip
add address=87.240.141.224 disabled=yes list=Ban_ip
add address=87.240.131.117 disabled=yes list=Ban_ip
add address=87.240.131.97 disabled=yes list=Ban_ip
add address=87.240.131.193 disabled=yes list=Ban_ip
add address=87.240.134.207 disabled=yes list=Ban_ip
add address=87.240.134.31 disabled=yes list=Ban_ip
add address=192.168.2.0/24 list=local
add address=192.168.3.0/24 list=local
add address=195.34.37.35 comment=MTS list=voip_acess
add address=195.34.37.36 list=voip_acess
add address=80.75.130.134 comment=MTT list=voip_acess
add address=80.75.130.132 comment=MTT list=voip_acess
add address=10.40.248.145 comment=MTS list=voip_acess
add address=178.141.254.20 list=voip_acess
add address=78.108.66.106 list=voip_acess
add address=92.255.236.205 list=voip_acess
add address=46.137.125.240 comment=Bitrix list=Bitrixvoip
add address=46.137.97.175 list=Bitrixvoip
add address=46.137.123.236 list=Bitrixvoip
add address=69.167.178.6 list=Bitrixvoip
add address=149.11.34.27 list=Bitrixvoip
add address=149.11.44.91 list=Bitrixvoip
add address=38.122.236.126 list=Bitrixvoip
add address=38.88.16.69 list=Bitrixvoip
add address=38.88.16.65 list=Bitrixvoip
add address=38.88.16.73 list=Bitrixvoip
add address=91.232.134.250 list=Bitrixvoip
add address=91.232.135.32 list=Bitrixvoip
add address=91.232.134.251 list=Bitrixvoip
add address=91.232.135.33 list=Bitrixvoip
add address=95.163.65.5 list=Bitrixvoip
add address=95.163.65.4 list=Bitrixvoip
add address=107.6.115.186 list=Bitrixvoip
add address=107.6.115.190 list=Bitrixvoip
add address=192.168.0.0/16 list=VPN
add address=10.10.0.0/24 list=VPN
add address=192.168.2.0/24 list=Corp_VoIP_networks
add address=192.168.10.0/24 list=Corp_VoIP_networks
add address=192.168.18.0/24 list=Corp_VoIP_networks
add address=192.168.0.99 list=Corp_VoIP_networks
/ip firewall filter
add action=accept chain=input comment=\
"Allow DNS Request to Mikrotic and From Mikrotik" dst-address=192.168.1.1 \
dst-port=53 protocol=udp
add action=accept chain=input dst-address=192.168.1.1 dst-port=53 protocol=\
tcp
add action=accept chain=input dst-address=89.31.33.53 protocol=udp src-port=\
53
add action=accept chain=input dst-address=89.31.33.53 protocol=tcp src-port=\
53
add action=accept chain=input comment="Allow PPTP Server" disabled=yes \
dst-address=89.31.33.53 dst-port=1723 protocol=tcp
add action=accept chain=input disabled=yes dst-address=89.31.33.53 protocol=\
gre
add action=accept chain=input comment="Allow L2TP Server" disabled=yes \
dst-port=1701 in-interface=ext_Internet protocol=udp
add action=accept chain=input comment=\
"Allow Mikrotik Access from LAN Winbox,Telnet, Web" dst-address=\
192.168.3.1 dst-port=23,80,8291 protocol=tcp src-address-list=local
add action=accept chain=input dst-address=192.168.3.2 dst-port=23,80 \
protocol=tcp src-address-list=local
add action=accept chain=input comment="Allow all ICMP" protocol=icmp
add action=accept chain=forward comment="Allow RDP to 1C" dst-address=\
192.168.0.100 dst-port=3389 in-interface=ext_Internet protocol=tcp
add action=accept chain=forward comment="Allow VOIP access" dst-address=\
192.168.1.99 dst-port=5060 in-interface=ext_voip protocol=udp
add action=accept chain=forward dst-address=192.168.1.99 dst-port=10000-20000 \
in-interface=ext_voip protocol=udp
add action=accept chain=forward out-interface=ext_voip protocol=udp \
src-address=192.168.1.99 src-port=5060
add action=accept chain=forward out-interface=ext_voip protocol=udp \
src-address=192.168.1.99 src-port=10000-20000
add action=accept chain=forward disabled=yes dst-address=192.168.1.0/24 \
src-address=192.168.0.99
add action=accept chain=forward disabled=yes dst-address=192.168.0.99 \
src-address=192.168.1.0/24
add action=accept chain=forward dst-address=172.16.0.0/16 out-interface=\
ext_voip src-address-list=local
add action=accept chain=forward comment="Allow Internet from local network" \
out-interface=ext_Internet src-address-list=local
add action=accept chain=forward dst-address-list=local in-interface=\
ext_Internet
add action=accept chain=forward comment=\
"Default Policy Deny in Chain FORWARD"
add action=accept chain=forward comment="Allow VPN network" disabled=yes
add action=accept chain=input comment="Default Policy Deny in Chain INPUT" \
connection-state=established,related
add action=drop chain=input comment="Deny invalid connection" \
connection-state=invalid
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
new disabled=yes in-interface=ether1-Internet-MTS jump-target=SYN-Protect \
protocol=tcp tcp-flags=syn
add action=accept chain=SYN-Protect connection-state=new disabled=yes \
in-interface=ether1-Internet-MTS limit=400,5 protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new disabled=yes \
in-interface=ether1-Internet-MTS protocol=tcp tcp-flags=syn
add action=reject chain=forward disabled=yes layer7-protocol=social protocol=\
tcp reject-with=tcp-reset src-address=192.168.0.0/24
/ip firewall mangle
add action=mark-packet chain=forward comment="Mark All Kurgan MTS Down" \
dst-address-list=local in-interface=ether1-Internet-MTS new-packet-mark=\
All-Internet-MTS-Down passthrough=yes
add action=mark-packet chain=forward comment="Mark DNS Kurgan MTS Down" \
dst-address-list=local in-interface=ether1-Internet-MTS new-packet-mark=\
NC-Internet-MTS-Down passthrough=no protocol=tcp src-port=53
add action=mark-packet chain=forward dst-address-list=local in-interface=\
ether1-Internet-MTS new-packet-mark=NC-Internet-MTS-Down passthrough=no \
protocol=udp src-port=53
add action=mark-packet chain=forward comment="Mark NTP Kurgan MTS Down" \
dst-address-list=local in-interface=ether1-Internet-MTS new-packet-mark=\
NC-Internet-MTS-Down passthrough=no protocol=udp src-port=123
add action=mark-packet chain=forward comment="Mark ICMP Kurgan MTS Down" \
dst-address-list=local in-interface=ether1-Internet-MTS new-packet-mark=\
NC-Internet-MTS-Down passthrough=no protocol=icmp
add action=mark-packet chain=input comment="Mark L2TP Kurgan MTS Down" \
dst-port=1701 in-interface=ether1-Internet-MTS new-packet-mark=\
NC-Internet-MTS-Down passthrough=no protocol=udp
add action=mark-packet chain=input comment="Mark Winbox Kurgan MTS Down" \
dst-port=8291 in-interface=ether1-Internet-MTS new-packet-mark=\
NC-Internet-MTS-Down passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="Mark VoIP Kurgan MTS Down" \
dst-address-list=local dst-port=5060 in-interface=ether1-Internet-MTS \
new-packet-mark=VoIP-Internet-MTS-Down passthrough=no protocol=udp
add action=mark-packet chain=forward dst-address=192.168.0.99 \
dst-address-list=local dst-port=10000-20000 in-interface=\
ether1-Internet-MTS new-packet-mark=VoIP-Internet-MTS-Down passthrough=no \
protocol=udp
add action=mark-packet chain=forward comment="Mark RDP Kurgan MTS Down" \
dst-address-list=local dst-port=3389 in-interface=ether1-Internet-MTS \
new-packet-mark=RDP-Internet-MTS-Down passthrough=no protocol=tcp
add action=mark-packet chain=forward comment=\
"Mark HTTP/HTTPS Kurgan MTS Down" dst-address-list=local in-interface=\
ether1-Internet-MTS new-packet-mark=WEB-Internet-MTS-Down passthrough=no \
protocol=tcp src-port=80,443
add action=mark-packet chain=forward comment="Mark All Kurgan MTS Up" \
new-packet-mark=All-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=yes src-address-list=local
add action=mark-packet chain=forward comment="Mark DNS Kurgan MTS Up" \
dst-port=53 new-packet-mark=NC-Internet-MTS-Up out-interface=\
ether1-Internet-MTS passthrough=no protocol=tcp src-address-list=local
add action=mark-packet chain=forward dst-port=53 new-packet-mark=\
NC-Internet-MTS-Up out-interface=ether1-Internet-MTS passthrough=no \
protocol=udp src-address-list=local
add action=mark-packet chain=forward comment="Mark NTP Kurgan MTS Up" \
dst-port=123 new-packet-mark=NC-Internet-MTS-Up out-interface=\
ether1-Internet-MTS passthrough=no protocol=udp src-address-list=local
add action=mark-packet chain=forward comment="Mark ICMP Kurgan MTS Up" \
new-packet-mark=NC-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no protocol=icmp src-address-list=local
add action=mark-packet chain=output comment="Mark L2TP Kurgan MTS Up" \
new-packet-mark=NC-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no protocol=udp src-port=1701
add action=mark-packet chain=output comment="Mark Winbox Kurgan MTS Up" \
new-packet-mark=NC-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no protocol=tcp src-port=8291
add action=mark-packet chain=forward comment="Mark VoIP Kurgan MTS Up" \
new-packet-mark=VoIP-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no protocol=udp src-address-list=local src-port=5060
add action=mark-packet chain=forward new-packet-mark=VoIP-Internet-MTS-Up \
out-interface=ether1-Internet-MTS passthrough=no protocol=udp \
src-address=192.168.0.99 src-address-list=local src-port=10000-20000
add action=mark-packet chain=forward comment="Mark RDP Kurgan MTS Up" \
new-packet-mark=RDP-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no protocol=tcp src-address-list=local src-port=3389
add action=mark-packet chain=forward comment="Mark HTTP/HTTPS Kurgan MTS Up" \
dst-port=80,443 new-packet-mark=WEB-Internet-MTS-Up out-interface=\
ether1-Internet-MTS passthrough=no protocol=tcp src-address-list=local
add action=mark-packet chain=forward comment="Mark other Kurgan MTS Down" \
dst-address-list=local in-interface=ether1-Internet-MTS new-packet-mark=\
Default-Internet-MTS-Down passthrough=no
add action=mark-packet chain=forward comment="Mark other Kurgan MTS Up" \
new-packet-mark=Default-Internet-MTS-Up out-interface=ether1-Internet-MTS \
passthrough=no src-address-list=local
add action=mark-connection chain=prerouting new-connection-mark=VoIP \
passthrough=yes src-address=192.168.1.99
add action=mark-connection chain=prerouting dst-address=192.168.1.99 \
new-connection-mark=VoIP passthrough=yes
add action=mark-packet chain=prerouting connection-mark=VoIP new-packet-mark=\
VoIP passthrough=no
/ip firewall nat
add action=netmap chain=dstnat comment=VoIP dst-port=10000-20000 \
in-interface=ext_voip protocol=udp to-addresses=192.168.1.99 to-ports=\
10000-20000
add action=netmap chain=dstnat dst-port=5060 in-interface=ext_voip protocol=\
udp to-addresses=192.168.1.99 to-ports=5060
add action=dst-nat chain=dstnat comment=RDP dst-port=7780 in-interface=\
ext_Internet protocol=tcp to-addresses=192.168.0.100 to-ports=3389
add action=netmap chain=dstnat disabled=yes dst-port=4022 in-interface=\
ext_Internet protocol=tcp src-address=89.31.34.79 to-addresses=\
192.168.0.99 to-ports=22
add action=masquerade chain=srcnat comment="VOIP NAT" dst-address=\
172.16.0.0/16 out-interface=ext_voip
add action=masquerade chain=srcnat comment="Default NAT" dst-address=\
!172.16.0.0/16 out-interface=ext_Internet to-addresses=0.0.0.0
/ip firewall service-port
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
/ip route
add check-gateway=ping distance=1 gateway=89.31.33.33
add check-gateway=ping distance=1 dst-address=172.16.0.0/16 gateway=\
172.16.193.105
add distance=1 dst-address=172.16.193.106/32 gateway=172.16.193.105
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/lcd
set time-interval=daily
/lcd interface pages
set 0 interfaces="sfp1,ether1-Internet-MTS,*3,ether3-slave-local,ether4-slave-\
local,ether5-slave-local,*7,ether7-slave-local,ether8-slave-local,ether9-s\
lave-local,ether10-slave-local"
/system clock
set time-zone-name=Asia/Yekaterinburg
/system identity
set name=MikroTik-SI
/system logging
add disabled=yes topics=route
add disabled=yes topics=firewall
add disabled=yes topics=pppoe
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/tool netwatch
add disabled=yes down-script=":foreach i in=[/ip firewall connection find dst-\
address~\":5060\" protocol~\"udp\"] do={ /ip firewall connection remove \$\
i } \r\
\n:foreach i in=[/ip firewall connection find dst-address~\":5068\" protoc\
ol~\"udp\"] do={ /ip firewall connection remove \$i } \r\
\n/ip firewall connection remove [find where src-address~\"192.168.0.\"]" \
host=77.88.8.8 interval=5s up-script=":foreach i in=[/ip firewall connecti\
on find dst-address~\":5060\" protocol~\"udp\"] do={ /ip firewall connecti\
on remove \$i } \r\
\n:foreach i in=[/ip firewall connection find dst-address~\":5068\" protoc\
ol~\"udp\"] do={ /ip firewall connection remove \$i } \r\
\n/ip firewall connection remove [find where src-address~\"192.168.0.\"]"
Вложения
сеть.jpg
пример сети
(75.94 КБ) 0 скачиваний
Последний раз редактировалось ncipin 29 май 2019, 15:10, всего редактировалось 1 раз.


Erik_U
Сообщения: 1009
Зарегистрирован: 09 июл 2014, 12:33

29 май 2019, 12:34

ncipin писал(а):
29 май 2019, 11:50
Человек, который настраивал этот огород-умер.
сбросьте конфиг, и настройте с нуля.


Ответить