RouterOS文档展示了如何通过内置在RouterOS中的HTTP代理透明地代理所有的networkingstream量: /ip firewall nat add in-interface=ether1 dst-port=80 protocol=tcp action=redirect to-ports=8080 chain=dstnat /ip proxy set enabled=yes port=8080 我想在另一台机器上运行一个代理,这样我就可以利用Squid等更复杂的过滤规则。 但是,如果我使用NAT将stream量redirect到运行Squid的另一台计算机,则不起作用,因为HTTP请求需要重写才能成为代理HTTP请求; 只是redirectstream量给了鱿鱼不好的请求错误。
我已经阅读了如何成功创build和exportconfiguration。 该文件说,出口可以通过FTP下载,但没有提供详细信息。 任何人都知道如何下载导出?
目前,我们正在准备仅IPv6networking部署,并努力寻找唯一的服务器标识。 在我们之前的设置中,我们使用mac地址作为服务器的主要标识。 然后,我们能够分配服务器始终相同的地址。 比如我们需要从wheezy升级到jessie,而不是apt-get dist-upgrade,我们重新安装了服务器。 当我们用puppet进行configuration时,所有的时间都花了15分钟,服务器又恢复了原状,再次以相同的IP和DNS名称重新运行。 不幸的是,由于每个操作系统(Linux,PXEBoot内核,…)的服务器具有不同的DUID,这意味着每个操作系统都有不同的IPv6地址,所以我们目前无法使用IPv6来实现这一点。 在我们的设置中,我们使用mikrotik作为DHCP服务器。 你将如何pipe理这样的情况? 更新#1 :它似乎目前是不可能的: https://www.insinuator.net/2015/02/is-rfc-6939-support-finally-here-checking-the-implementation-of-the-client-link-layer-address-option-in-dhcpv6/ http://blog.bronislavrobenek.com/post/64383333742/ipv6-security-in-enterprise-network 我能find一个补丁( http://alter.org.ua/soft/fbsd/isc_dhcpd/)isc-dhcp-server修复这个,但它不是全球性的解决scheme,我不能申请在思科或mikrotik设备。 更新#2 :我们已经决定离开mikrotik平台,因为我们超出了这个平台的能力。 目前我们正在准备基于linux的新“基础设施”服务器,它将运行https://dhcpy6d.ifw-dresden.de/ (除了ipmi等openvpn服务外)。
我有一个Mikrotik路由器RB2011UiAS。 我有一个问题,当下载时,我们只能得到10mbit(1000pps) – 13mbit(1200pps)直接连接到ISP提供Mikrotik。 如果我在Mikrotik和ISP提供商之间放置一个HP ProCurve交换机,我们会得到完整的100mbit下载,但是如果我们只能得到10mbit -13mbit的话。 Mikrotik是直接与ISP连接的设置还是问题?
以下是networking拓扑的概述: Fritz!Box 7340和MikroTik hAP ac lite路由器目前都充当DHCP服务器,有效地将networking分为两个局域网。 MikroTik路由器也被configuration为192.168.88.xxx LAN的网桥。 为了避免双重NAT的麻烦,我想重新configurationMikroTik hAP ac lite作为第二层交换机。 这样做比双重NAT有好处。 所有的DHCP和NAT都应该由Fritz!Box专门处理。 此外, MikroTik hAP ac lite应该有一个静态的IP地址在同一个本地IP地址范围,所以它仍然可以通过它的networking接口进行pipe理。 Fritz!Boxconfiguration不是问题。 不过,我是一个pipe理MikroTik的RouterOS的新手,我没有在网上find关于这个特定问题的说明。 因此,我的问题是: 将MikroTik hAP ac liteconfiguration为第2层交换机的详细步骤是什么?在保留静态IP地址进行pipe理的同时,删除其DHCP服务器? 顺便说一句,我在GNU / Linux上,所以使用Winbox不是我的select。 MikroTik支持页面 在MikroTik支持页面上,我遇到了一篇关于如何configurationDHCP中继的文章 。 但是,我不清楚DHCP中继与二层交换机是相同的还是只是其中的一部分? 交叉链接到MikroTik论坛 http://forum.mikrotik.com/viewtopic.php?f=2&t=117434 出口 # mar/05/2017 00:49:46 by RouterOS 6.34.2 # software id = XXXX-XXXX # /interface bridge add admin-mac=6C:3B:::: auto-mac=no comment=defconf name=bridge […]
我正在使用Mikrtotik RB201UiAS来pipe理我的networking。 为了避免为每个IP创build简单队列,我已经为IP范围创build了队列。 目标:172.16.2.0/25 Dst:ether1 目标上传:5M 目标下载:5M 问题是:使用这个configuration 每个IP (从1到127)将有5M Tx / Rx的限制 要么 所有IP (从1到127)将有5M Tx / Rx的限制 当前configuration: # oct/21/2015 15:25:55 by RouterOS 6.23 # software id = U3SW-9LU3 # /queue simple add dst=ether1 max-limit=5M/10M name=Klasat target=172.16.2.0/25 add dst=ether1 max-limit=5M/10M name=Administrata target=172.16.2.128/26 add dst=ether1 max-limit=1M/1M name=DVR target=172.16.2.192/27 add dst=ether1 name=Sallat target=172.16.2.224/28 add dst=ether1 […]
我想实现什么 我想安全地将现有的内部子网分布在多个build筑物上。 这意味着我有两个虚拟机位置需要在同一个子网内。 这个想法是,虚拟机(具有静态IP)可以从一个位置迁移到另一个位置。 (物理)主机连接到每个位置的交换机。 所以,如果没有任何安全或成本问题,我只需要用网线连接两台交换机: [机器] — [开关A] <—-长电缆—> [开关B] — [机器] 我想要的是用一个encryption的隧道replace这个长的电缆,使用两个不需要关心IP地址或路由的网关,只需要将任何传入的数据包encryption,并通过encryption的隧道发送到另一个网关。 另一个网关然后解密这些数据包并将它们发送到远程交换机。 这实际上是这样的: [机器] — [开关A] — [网关A] < – 互联网 – > [网关B] – [开关B] — [机器] 我想避免网关在子网内需要任何IP地址。 规则应完全基于端口: 端口1的入站数据:通过隧道接口路由 在隧道接口input数据:通过端口1路由 两个网关将有一个静态的,可路由的IP地址来build立隧道。 encryption应该是强的(至lessAES128,SHA256,DH2048;共享密钥是好的),简单的PPP型隧道不支持。 所以可能需要一个额外的/单独的encryption层。 我只有MikroTik路由器可用。 所以我宁愿使用它们。 不过,我主要是在寻找“魔术字”(协议名称等)以及正确的技术组合,使我能够做到这一点。 因此,如果您知道如何使用Cisco路由器或HP路由器来完成此任务,那么如果您解释了如何使用该路由器,也可能有所帮助。 问题/尝试 我可以用什么样的防火墙filter和协议来达到这个目的? 我的第一个想法是使用IPsec跨越encryption隧道。 但是,那么我需要定义基于物理端口的IPsec策略。 但只有一个选项可以将数据定义到特定的IP地址/ IP端口组合。 所以IPsec只能作为另一种隧道types(PPTP,SSTP,L2TP和OVPN目前由MikroTik RouterOS支持)的encryption层工作。 由于PPP-Tunnels通常不支持强encryption,因此我会让IPsec完成这项工作,并通过encryption的IPsec隧道跨越未encryption的PPP-Tunnel。 好的,现在我们至less有一些隧道接口,我们可以像传出端口一样使用。 不过,我有点迷失在这里。 我没有发现这样的可能性:“一个帧必须通过接口发送”和“一个帧必须通过接口发送”。 我不是经常在Layer2工作…所以我实际上是在寻找正确的“术语”或“类别”。 […]
我正在为我的公司build立一个NAS服务器。 从外部可以通过mydomain.dyn.com访问,从本地networking可以通过本地IP地址访问。 问题是我无法使用本地networking(或公共IP)内的域名连接到服务器。 我假设ISP阻止访问。 我认为一种解决scheme是在本地运行DNS服务器,以便在本地networking上将域名parsing为本地IP。 我读过,有可能在某些路由器上configuration该function。 我们打算购买MikroTik路由器,所以我的问题是,是否可以在该路由器上进行configuration,以及需要采取什么常规步骤来configuration?
我有一台Mikrotik RB750路由器,它configuration了Socks服务器。 它在我的局域网中有一个接口,另外一个在公网IP地址的广域网中。 我想限制从局域网访问。 似乎有些人已经发现它,并使用它形成广域网!
我使用MikroTik路由器型号RB750 ,我需要为我的一些客户使用HTTPS代理方法。 代理服务器(VPS)在另一个国家,我有IP地址和端口号和一个用户名和密码连接,在代理服务器我有一个CCPROXY程序。 我有一个VPN在路由器,但我需要设置HTTPS代理以相同的方式,使一些客户端,并禁用它的一些。 谁能告诉我如何在Winbox软件中做到这一点?