То есть смотреть траф нетфлоу, а на его основе делать алерты в забиксе

в разрезе айпи и красиво ?

элементарно,

включайте accounting

и низкоуровневое обнаруджение, парсите по значения IP и создаёте динамичееский item с графиками и тригерами на каждый ip

А данные с акаунтинга через что получает забикс?

через веб

https://wiki.mikrotik.com/wiki/Manual:IP/Accounting

http://routerIP/accounting/ip.cgi

хм

попробую.спасибо

Попробовал промаркировать в мангл все пакеты с определенными source и dest add action=mark-routing chain=prerouting dst-address=81.26.144.0/24 \ new-routing-mark=mgmt src-address=172.16.0.0/16 add distance=200 dst-address=81.26.144.0/24 gateway=l2tp-out1 routing-mark=mgmt Но все равно не заворачивает...подскажите что еще можно посмотреть?

Коллеги, бьюсь не первый час с такой задачей. Есть к примеру микрот с двумя аплинками. Прописан дефолт в сторону одного аплинка. Как мне сделать так чтобы адреса с определенным source и dst адресом ходили через другой аплинк, а все что не попадает под это правило - через первый

Коллеги, бьюсь не первый час с такой задачей. Есть к примеру микрот с двумя аплинками. Прописан дефолт в сторону одного аплинка. Как мне сделать так чтобы адреса с определенным source и dst адресом ходили через другой аплинк, а все что не попадает под это правило - через первый

**Пометить пакеты манглом по критерию:** /ip firewall mangle add action=mark-routing chain=prerouting dst-address-list=!RFC1918 in-interface=bridge1 new-routing-mark=Laptop passthrough=no src-address=172.16.0.106 **Привязать метку к маршруту:** /ip route add distance=15 gateway=10.0.254.6 routing-mark=Laptop

Да это поможет

)

Спасибо, но вроде все так и сделал, но что то не завелась шарманка, буду еще колупать)

А что тут колупать все же просто

Так то оно да, но у меня адрес все так же не доступен за микротиком. Довольно запутанная схема

Так

Два правила с провайдеруских маркируемся соединения первый и второй

Так то оно да, но у меня адрес все так же не доступен за микротиком. Довольно запутанная схема

начинаются неизвестные условия

Во во)

Два правила аут промаркированные соединения меняем метку

Два правила из бриджа соединения Марк 1 и 2 меняем роутинг первая вторая таблица

Маркируемся новые соединения

так может тупо не маскарадит вывод в Л2ТП вот и не отвечает ему ?

как всё сложн

Да

Я вообще присел что почитал то и

Получилось

Два правила из бриджа соединения Марк 1 и 2 меняем роутинг первая вторая таблица

Хм, т.е. маркировать нужно весь трафик, исключение (с определенными src, dst адресами) - одна метка, весь остальной трафик - другая метка? Можно обойтись маркировкой только нужного трафика?

Попробовал промаркировать в мангл все пакеты с определенными source и dest add action=mark-routing chain=prerouting dst-address=81.26.144.0/24 \ new-routing-mark=mgmt src-address=172.16.0.0/16 add distance=200 dst-address=81.26.144.0/24 gateway=l2tp-out1 routing-mark=mgmt Но все равно не заворачивает...подскажите что еще можно посмотреть?

я бы для начала маркировал конекшены. и смотрел есть ли маркированые конекшены в контраке. так же бы глянул статистику по правилам, сколько трафика они ловят

Конечно для начала нужно понять что и куда нужно ... посмотреть на pfd

Хорошо, спасибо!

И все Будет хорошо

Не путайся с названиях таблиц route и направлениях

И посматривай на диаграмму

Может уже действие которое тебе нужно случилось в той цепочке где ты ловишь

Уже ничего не понимаю, пора идти домой, отдыхать)

Во во)

Когда такое нужно сбрасывать

И настраивать по новой

Не, не, там уже клиент работает, просто я не могу получить доступ к серой сети роутера, не критично конечно там через NAT настроена трансляция серых адресов на tcp порты внешнего NAT. Костыль конечно, временное решение, нужно думать вывести оттуда трафик в туннель. Т.е. пинг доходит до серых сетей, я вижу в connections мой icmp но обратно он уже не доходит.

Но все нельзя в туннель заворачивать - потеряю управление с железкой, нужно заворачивать пакеты только с определенными src и dst

Но пока что-то не выходит, ладно, спасибо больше. Завтра на свежую голову гляну

Но пока что-то не выходит, ладно, спасибо больше. Завтра на свежую голову гляну

7 ;;; RST TMP WINBOX chain=input action=mark-connection new-connection-mark=WINBOX_RST passthrough=yes protocol=tcp in-interface=ROSTELECOM dst-port=8291 log=no log-prefix="" 8 ;;; RST TMP WINBOX chain=output action=mark-routing new-routing-mark=RST passthrough=no connection-mark=WINBOX_RST log=no log-prefix="" 9 ;;; RST TMP chain=prerouting action=accept in-interface=ROSTELECOM log=no log-prefix="" 10 ;;; RST TMP chain=prerouting action=accept src-address=192.168.16.0/24 dst-address=192.168.18.2 log=no log-prefix="" 11 ;;; RST TMP chain=prerouting action=accept src-address=192.168.16.0/24 dst-address=192.168.17.0/24 log=no log-prefix="" 12 ;;; RST TMP chain=prerouting action=accept src-address=192.168.16.0/24 dst-address=192.168.8.0/24 log=no log-prefix="" 14 ;;; RST TMP chain=prerouting action=mark-connection new-connection-mark=PPP_MTS passthrough=yes in-interface=all-ppp log=no log-prefix="" 15 ;;; RST TMP chain=prerouting action=accept connection-mark=PPP_MTS log=no log-prefix="" 16 ;;; RST TMP chain=prerouting action=mark-routing new-routing-mark=RST passthrough=no src-address=192.168.16.0/24 log=no log-prefix=""

Но пока что-то не выходит, ладно, спасибо больше. Завтра на свежую голову гляну

надеюсь поможет. у меня схема такая, два прова, сеть 16.0/24 ходит через одного, все остальное включая VPN к роутеру - через второго. причем у клиентов еще и адреса из той же 16 подсети (это гейство, не делайте так). весь трик в том чтоб не маркировать лишнее, у меня микротик еще роутинг между десятком подсетей делает, отсюда довольно большое количество правил

надеюсь поможет. у меня схема такая, два прова, сеть 16.0/24 ходит через одного, все остальное включая VPN к роутеру - через второго. причем у клиентов еще и адреса из той же 16 подсети (это гейство, не делайте так). весь трик в том чтоб не маркировать лишнее, у меня микротик еще роутинг между десятком подсетей делает, отсюда довольно большое количество правил

Спасибо, попробую, пока трудно представить вашу сеть, сходу трудно особенно под конец рабочей недели))

Спасибо, попробую, пока трудно представить вашу сеть, сходу трудно особенно под конец рабочей недели))

та примитив...

Люди подскажите пожалуйста, пытаюсь настроить DNAT.(два провайдера). Начал путаться в правилах filter forward, где по умолчанию drop. Достаточно же разрешить forward, где IN INTERFACE-ы НЕ линки с провайдерами?

Т.е. типа add action=accept chain=forward in-interface=!megafon add action=accept chain=forward in-interface=!rostelecom add action=drop chain=forward comment="DEFAULT FORWARD DROP ALL"

ЛОЛ

Т.е. типа add action=accept chain=forward in-interface=!megafon add action=accept chain=forward in-interface=!rostelecom add action=drop chain=forward comment="DEFAULT FORWARD DROP ALL"

Саян, у тебя первые два правила почти идентичные по сути но абсолютно херящие логику работы. Сделай проще - интерфейс-лист сделай. и применяй правила по ин-интерфейс листу. По сути правило будет то же. а вот бюрократии меньше. ПОясняю за первое предложение . Трафик пришедший через ростелеком попадет под первое правило, а трафик пришедший через мегафон подпадет под второе правило. у тебя ВЕСЬ трафик будет акцептится. Поэтому делай через интерфейс-листы ну или еще может кто подскажет другой путь

Блин, точно

А где ифейс лист прописывается?

в интерфейсах

там есть закладка отдельная

Спасибо))

создай кнопкой LISTS лист=ВАН и подобавляй в ВАН свои интерфейсы. НА ГЛАЗ, как то так

ERROR: S client not available

Т.е. по сути вот так получилось add action=accept chain=forward in-interface-list=!providers-links add action=drop chain=forward comment="DEFAULT FORWARD DROP

У меня перестал так dnat работать ...

ты забыл поставить конекшн-стейт

ставь в дропе кон.стейт=нью

а то ты режешь ответы пришедшие из интернета на свои запросы из локалки

ну или перед дропом поставь акцепт для кон.стейта=естаблишед и рилейтед

где-то еще упустил что-то... так не хочет add action=accept chain=forward connection-state=established,related,new in-interface-list=!providers-links add action=drop chain=forward comment="DEFAULT FORWARD DROP ALL" connection-state=new

ща кажется надо new разрешить на задначенные сервисиы

это чисто для работы из локалки. А если у тебя еще и ДСТ.НАТ используется то юзай еще НАТ.стейт=днат екшн=акцепт. ЧТо бы фильтр файрвола не резал сНАТченый трафик

мне чисто сейчас с днатом разобраться

add action=accept chain=forward dst-port=80 protocol=tcp add action=accept chain=forward connection-state=established,related,new in-interface-list=!providers-links add action=drop chain=forward comment="DEFAULT FORWARD DROP ALL" connection-state=new так же?

а ща проверю теперь из локалки)

где-то еще упустил что-то... так не хочет add action=accept chain=forward connection-state=established,related,new in-interface-list=!providers-links add action=drop chain=forward comment="DEFAULT FORWARD DROP ALL" connection-state=new

есатблишед/рилейтед разреши без привязки к интерфейсу, тупо по констейту и всё. а то ведь ты разрешил естаблишед идущий из локалки,

ну вроде как надо теперь все пашет

тек-с

просто нью убрать?....я подзапутался... ночь у меня... в эти дни от bgp уходим нада разобраться)

Ладно, хто куды а я спать ? ,

ыы

просто нью убрать?....я подзапутался... ночь у меня... в эти дни от bgp уходим нада разобраться)

нет, нью не трогай

я про вот так

по сути тебе надо такой перечень правил для форварда 1. акцепт по ин-интерфейс-лист=!провайдеры 2. ацкепт по кон.стейту=естаблишед, рилейтед 3. акцепт по нат. стейт=днат 4. Дроп по констейт=нью, ин-интерфейс-лист=провайдеры Ну как то так НА ГЛАЗ. Уже сплю на ходу, так что голова слабо соображает

Лан, спасибо, в любом сучаю траф ходить вроде начинает )

Парни, простой вопрос, но тем не менее у меня почему то не решается, банально хочу порт прокинуть, как в мане https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping.2Fforwarding /ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234 а не хрена не получается, пакеты принимаются а до назначения не идут, обрываются тайм аутом

Парни, простой вопрос, но тем не менее у меня почему то не решается, банально хочу порт прокинуть, как в мане https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping.2Fforwarding /ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234 а не хрена не получается, пакеты принимаются а до назначения не идут, обрываются тайм аутом

НАТ то ты сделал, но видимо фильтр режет Ну и делай с ИН-ИНТЕРФЕЙСОМ ИЛИ ДСТ. адресом. А то ты будешь так натить и ответный трафик если срц. и дст.порты совпадают(есть ряд протоколов таких, тот же L2TP)

вот тока что на этом и споткнулся из-за того, что forward в drop по умолчаинию

Парни, простой вопрос, но тем не менее у меня почему то не решается, банально хочу порт прокинуть, как в мане https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Port_mapping.2Fforwarding /ip firewall nat add chain=dstnat dst-port=1234 action=dst-nat protocol=tcp to-address=192.168.1.1 to-port=1234 а не хрена не получается, пакеты принимаются а до назначения не идут, обрываются тайм аутом

А у тебя назначение случайно не винда с включенным фаерволом и закрытым доступом на указанный порт?

НАТ то ты сделал, но видимо фильтр режет Ну и делай с ИН-ИНТЕРФЕЙСОМ ИЛИ ДСТ. адресом. А то ты будешь так натить и ответный трафик если срц. и дст.порты совпадают(есть ряд протоколов таких, тот же L2TP)

а тож добавлял в фильтр, /ip firewall filter add chain=forward src-address=192.168.1.1 src-port=1234 protocol=tcp action=accept comment="1234"

А у тебя назначение случайно не винда с включенным фаерволом и закрытым доступом на указанный порт?

не винды нет, дебиан, и без фаирвола

а тож добавлял в фильтр, /ip firewall filter add chain=forward src-address=192.168.1.1 src-port=1234 protocol=tcp action=accept comment="1234"

это ты ответы заакцептил. а запросы идущие из инета? тоесть по dst.adr=192.168.1.1(filter идет после NAT, так что работать будем уже с адресом на который снатило)