我有一台安装了最新稳定操作系统的MikroTik路由器,而且我刚和飓风电气公司build立了一个ipv6隧道,但是我遇到了一个奇怪的问题。 我不能ping任何东西,直到我第一次ping HE端的端点。 之后,我可以ping任何ipv6地址罚款,但给它一点时间(也许是30秒),我不能再ping任何ipv6地址。 每当它停止允许ping通过时,我注意到我的防火墙规则,丢弃无效连接的计数器上升。 这是我的ipv6防火墙configuration: add action=accept chain=input comment="" connection-state=established \ disabled=no in-interface=sit1 add action=accept chain=input comment="" connection-state=related disabled=no \ in-interface=sit1 add action=accept chain=input comment="" disabled=no in-interface=bridge \ src-address=ipv6_address_here/64 add action=drop chain=input comment="" connection-state=invalid disabled=no \ in-interface=sit1 add action=drop chain=input comment="" disabled=no in-interface=sit1 任何想法可能是什么?
我有一个mikrotik路由器,它发送trafficflow(完全兼容netflow)数据到我运行cacti的debian服务器。 但是安装cacti的flowviewer插件后,cacti不显示任何信息。 我在服务器上保存netflow数据的目录是空的。 (我认为这是问题。)该目录上的权限是777。 有没有阻止端口2055的iptable规则,但万一我设置: iptables -A INPUT -p udp -d 0/0 -s 0/0 –dport 2055 -j ACCEPT tcpdump udp port 2055显示大量数据进来。 路由器和服务器之间的时间可能相隔几秒钟。 我已经停止并在每次更改之间启动stream量捕获服务。 有没有人有什么build议?
我们想要这样做: 互联网< – > MikroTik在桥接模式与防火墙过滤< – >托pipe服务器 主要目标是允许从外部进入RDP和FTP,但阻止外部的其他任何事情。 从里面一切都必须出去。 我们遇到的问题是我们添加这些规则,阻止外部到内部工作,但现在托pipe服务器不能访问任何东西到外面。 从外部返回的TCP / IP不是端口3389或端口80,而是随机的。 / interface bridge filter> pr 标志:X – 禁用,I – 无效,D – dynamic0 ;;; 接受ICMP for PING chain =正向动作=接受MAC协议= ip dst-address = 196.xxx / 32 ip-protocol = icmp 1 ;;; 接受FTP传输端口链=正向动作=接受MAC协议= IP dst-address = 196.xxx / 32 dst-port = 20 ip-protocol = tcp […]
我在Dell PC上使用MikroTik RouterOS v5.18 x86。 我做了以下几件事: 设置地址 设置PPPoE客户端和服务器 设置PPTP / L2TP服务器 制作个人资料和秘密 SRCNAT MASQUERADE PPPoE和PPTP POOL的IP地址 现在的问题是这样的: 我有安装如下所示。 4台PC通过LAN交换机连接到RouterOS。 1个PC和Android设备通过腾达W311R + WIFI路由器。 我不想通过WIFI匿名访问互联网,因此我将其设置为DHCP客户端而不是PPPoE。 问题是当我通过PC或者通过Tenda路由器通过WIFI连接到VPN时,VPN不连接。 它通过以太网(有线)连接与Tenda连接。 我得和我一起工作,所以请不要问我为PC购买WIFI卡,因为我知道这会让它更容易! PS这是一个非营利组织,所以你明白为什么我不能买新的东西!
我试图用另一台(Mikrotik RB951G-2HnD)replace防火墙/ VPN设备(Snapgear SG300)。 我目前的路由器工作,但是,对于新的mikrotik路由器,当我添加阶段2隧道,我不能再访问路由器。 我怀疑这个问题是由于我的局域网是隧道传输到我的办公室的一个子集造成的。 如果我有一个10.0.0.0/8阶段2隧道,我的本地局域网是10.1.1.0/24(和路由器是10.1.1.1),我该如何设置? 我确实试图创build一个排除了10.1.1.0/24 – > 10.1.1.0/24的策略,但是我做错了,或者这不是正确的做法。
我有一个Mikrotik RB2011和几个TP-Links – WR740N,位于不同的地理位置,是我的ISP MANnetworking的一部分。 我的ISP为我提供了一个(静态)地址/掩码和每个设备的网关。 即: 路由器板 – 192.168.5.10/24 – 网关192.168.5.1 TPLink1 – 192.168.10.5/24 – 门192.168.10.1 TPLink2 – 192.168.20.10/24 – 门192.168.20.1 TPLink3 – 192.168.30.15/24 – 门192.168.30.1 等等… 由于路由器板上有多个WAN地址,我从上面这样configuration了到networking的路由: 访问TPLink1 – 192.168.10.0/24 – > 192.168.5.1 访问TPLink2 – 192.168.20.0/24 – > 192.168.5.1 访问TPLink3 – 192.168.30.0/24 – > 192.168.5.1 等等… 一切顺利。 我能够从路由器板访问每个TPLink。 但我有一个TPLinkX分配地址192.168.5.6/29和它的networking(5.0 / 29)是物理不同的路由器之一(5.0 / 24)。 […]
我正在build立一个新的networking。 我有4个完整的网状路由器。 Edge1,Edge2,Client1,Client2。 这是Mikrotik云核心路由器(不重要)。 它们由OSPF(分配连接和静态路由)和MPLS以及BGPbuild立。 Edge1有一个提供完整BGP提要的上游提供者。 Edge2有一个只有一个网关地址的上游提供商。 Client1有一个下游客户端,将提供完整的BGP提要。 Client2有一个下游客户端,将提供一个部分的BGP提要。 所有四台路由器与其他三台路由器都有一台IBGP源。 所有的BGP设置都是一样的,重新分配其他的BGP。 不要重新分配OSPF /连接/静态。 虽然我试图改变那些没有成功。 这是基本设置,下面更具体。 所有四台路由器都可以ping通所有的IP地址。 任何路由器到任何路由器,完美(据我所知)networking。 每个路由器都可以ping通它的外部网关,但网格中的其他路由器不能。 例如。 Edge1的上游供应商 NOC1 – 网关地址AB238.65 / 29 Edge1的IP地址为AB238.66 Edge1可以ping AB238.65。 边缘2,客户端1,客户端2都可以ping AB238.66(所以他们知道到那个局域网的路由),但是他们不能ping AB238.65 这适用于每个路由器。 任何四台路由器都可以连接到任何四台路由器的外部局域网。 每个直接连接到该networking的路由器都可以ping该networking上的外部网关。 但其他路由器都不能ping通该外部网关。 第二部分是我有我的IP块我宣布。 这是一个24。 我们将其称为ZX100.0 / 24。 如果我向我的BGP上游用户公布这个块,我可以从互联网ping所有4个路由器。 所以他们都可以回应一旦他们从BGP的路线。 但是他们仍然无法ping通外部网关。 上述问题依然存在。 详细configuration(对不起,它们是通过UIconfiguration的,所以没有脚本): ::速记:: R1 – > Edge1 R2 – > Edge2 R3 […]
一方面,我有一个在具有IPv6连接的数据中心的Ubuntu服务器。 eth0接口具有公共IPv4和公共IPv6 / 48。 从该服务器我可以ping通IPv6地址确定。 另一方面,我在一个IPv4的ISP上有一个家庭networking。 路由器是Mikrotik,从ISP接收dynamicIPv4。 然后路由器作为具有私有地址的IPv4 LAN的DHCP服务器。 我想在服务器和家庭networking之间build立一个隧道。 我希望局域网中的节点能够从属于该服务器的范围获得IPv6连接。 如果一个节点可以作为隧道的本地terminal,也可以作为一个路由器(最好是Mikrotik路由器,但如果更容易的话,我也可以在本地networking上专门使用一个Ubuntu来完成这个任务),而其余的节点自动获取其configuration。 但是,我也准备好考虑每个本地节点与服务器build立自己的隧道,如果这更有意义的话。 约束: 我已经阅读了很多不同的隧道IPv6方法,但没有一个能够描述这种确切的情况。 我不想使用Teredo,既不是隧道经纪人。 我希望服务器只接受本地networking上没有固定IPv4的节点的连接,所以可能会发生某种authentication。 也许通过OpenVPN或类似的。 我可以像Linux一样在一定程度上configuration一些节点,但局域网上还有像iPad这样的其他节点,不太容易调整,如果可能的话,应该自动接收它们的configuration。 但是,如果只有linux节点连接,那也是可以的。 什么将是一个明智的方式来build立它和相应的configuration?
我正在使用pmacct(nfacct)的Traffic Flow做IP计费。 我注意到,如果stream量在不到一分钟(这是我的active-flow-timeout )时超过〜4GBytes,输出的stream量Octets计数器会绕过测量的大量数据。 我相信这是Octet计数器32位无符号的问题,如果stream量超过该阈值( 4294967296 ),那么出口商环绕计数器,而不先发送stream到collections家(我不知道其他供应商如何处理这个) 。 这是相当严重的,因为它导致非常错误的交通总量! 这是我的交通stream量configuration: /ip traffic-flow set active-flow-timeout=1m cache-entries=1k enabled=yes interfaces=sfp1 /ip traffic-flow target add dst-address=XXXX v9-template-refresh=60 v9-template-timeout=1m 这里有几个来自wireshark的stream量捕获。 Flow 3 [Duration: 59.590000000 seconds (switched)] Packets: 5700194 Octets: 4255323704 InputInt: 16 OutputInt: 0 SrcAddr: 31.XX254 DstAddr: 185.XX254 Protocol: UDP (17) IP ToS: 0x00 SrcPort: 2043 (2043) DstPort: 2299 (2299) […]
我们有一个新的SIP中继设置,并连接到我们的Mikrotik路由器,我需要将来自int ETH2的所有stream量转发给我们的拨号服务器的VM的内部IP地址(VM主机连接到Eth5)。 我怎样才能在Winbox中设置? 我需要将Eth2的所有stream量转发到Eth5,然后使用NAT规则将stream量发送到内部IP地址?