我有一台Mikrotik路由器(RB951G-2HnD),作为主要路由器,用于HTTP / HTTPS端口转发,Plex作为NAT后面的服务器。 现在由于没有太多的上传带宽(15Mbps),我想限制WAN接口上的HTTP / HTTPS带宽,这样Plex就剩下一些带宽了。 我一直在寻找/queue但没有看到任何限制的端口号。
当地的供应商正在使用MikroTik提出无线网桥解决scheme。 我从来没有听说过MikroTik,但似乎他们有一个以下。 我通常的第一select是思科,但两者之间的价格差异是显着> 8倍。 我疯狂考虑MikroTik? 有人听说过吗? 他们有多好比较? 带无线网卡的MikroTik RB433和Aironet 1410
我们最近在离我们总部约500公里的地方开了一个卫星办公室。 办公室由2名工作人员组成,我们的一些办公室工作人员每隔一段时间前往办公室。 目前,这些用户连接到我们的terminal服务器,并通过本地资源共享连接到他们的打印机(两台计算机只需在他们的计算机上安装打印驱动程序)。 此设置导致一些问题,即与打印的延迟问题。 看起来这些作业需要很长时间才能启动,而本地资源共享则会导致打印机退出节能模式。 出于这个原因,我们正在研究一个站点到站点的VPN。 尽pipeVPN隧道对我而言并不陌生,但是站点到站点的隧道是 – 特别是使用Windows身份validation。 我们在这两个站点都安装了MikroTik路由器,而且我一直在考虑从我们的总部到远程办公室实施IPSEC隧道。 我的问题是这个 1)这个设置将如何影响我的用户身份validation到我们的主系统? 他们能够使用常规的Windowslogin屏幕login到我的域,还是需要在访问单独的资源(电子邮件/共享驱动器等)时进行身份validation 2)如果我将打印驱动程序放在我办公室的打印服务器上,渥太华办事处的用户是否可以使用? 当我们的主要办公室的用户去渥太华时,他们通常login到他们的terminal服务器configuration文件 – 我们目前的设置不允许他们打印到卫星办公室的打印机,除非他们在安装了打印驱动程序的两台计算机之一他们。 如果连接到RDC的笔记本电脑连接到卫星办公室的打印机,这将是很好的。 一如既往,你的洞察力总是值得赞赏的。
大师, 我们有一个miktorik路由器,我们想阻止RDPpowershell,但是我们也需要白名单来允许我们的学院连接而不会阻塞他们。 (他们有时打错密码..) 所以作为一个早期的post和@Regan的build议,我们用这个规则阻止RDP攻击: add chain=forward protocol=tcp dst-port=3389 src-address-list=rdp_blacklist action=drop \ comment="drop rdp brute forcers" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new \ src-address-list=rdp_stage3 action=add-src-to-address-list address-list=rdp_blacklist \ address-list-timeout=10d comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new \ src-address-list=rdp_stage2 action=add-src-to-address-list address-list=rdp_stage3 \ address-list-timeout=1m comment="" disabled=no add chain=forward protocol=tcp dst-port=3389 connection-state=new src-address-list=rdp_stage1 \ action=add-src-to-address-list address-list=rdp_stage2 address-list-timeout=1m comment="" disabled=no add […]
我有一个RouterOS盒子来连接两个以太网连接。 我在桥configuration中use-ip-firewall=yes ,以便端口通过防火墙。 我已经通过ip/traffic-flow启用了netflow报告,但我所看到的唯一报文是广播和组播报文,而不是通过网桥的报文。 该文档指出,stream量logging是在防火墙处理之后发生的,默认情况下它不能与桥接连接一起工作,但是我认为use-ip-firewall=yes应该解决这个问题。 是否有可能做这个工作?
我有一个运行Mikrotik RouterOS的盒子,它被设置为透明的web代理,如下所述。 总之,这意味着我有一个目标NAT的防火墙规则,导致任何端口80的stream量被redirect到路由器上的端口8080,Mikrotik本地networking代理接收到这个端口。 本地Web代理然后在客户端代表客户端发出Web请求,在这种情况下,Web代理服务器(这反过来执行真正的Web请求)。 我的问题是,如何在交通stream量信息logging(netflow)中报告这个由两部分组成的过程? 看着logging的信息,我似乎看到的是这样的: 从客户机(私有IP地址)logging到远程代理(8080) 从路由器logging到远程代理(8080) 不logging客户端对端口80的原始请求。 我想编写代码来分析stream量使用情况,所以如果我放弃后者,我想确保不丢失信息。
我有一个freeradius安装程序,用于在无线networking上为用户提供身份validation。 接入点都是Mikrotik硬件,用户全天候连接。 我们一直在用mysql和freeradius 2来使用Daloradius。老板想要使用会计信息,虽然这一切都已经build立起来了,但是我发现并不是所有的会计信息都存在。 由于我们的用户可能一次连接24小时以上,所以我们把它保存在这里,每天都会重置一些属性,这样会计包正常工作。 于是他开始在这个链接上打个招呼: http : //wiki.mikrotik.com/wiki/RouterOs_MySql_Freeradius#Configuring_RouterOs_for_Radius_.26_PPP.2A_AAA 并具体看下面的部分。 由于我们的用户一次可以连接24小时以上,所以我们把它保存在这里,它会每天重置一些属性,这样会计包正常工作 always fail { rcode = fail } always reject { rcode = reject } always ok { rcode = ok simulcount = 0 mpp = no } 但是,该链接引用freeradius 1和我无法findfreeradius 2 radius.conf文件中的这个。它做了什么,可能是我缺less数据的原因? 编辑:我发现了一个问题。 我们有一个备用的freeradius服务器也在接收这个计费包。 虽然他们正在复制,但它只是一个主/从configuration。 如果从设备收到计费包,则不会将其复制回主设备。 虽然我怀疑这可能会解决这个问题,但老板不会因为总是模块而信服。 有没有什么特别的,我需要在mikrotik无线接入点或freeradius 2configuration客户端连接24/7。
我有一个mikrotik RB2011路由器/防火墙。 在防火墙内部,我有一个具有私有IP的Web服务器(可以说它是192.168.1.5) 在防火墙的WAN端,我有一个静态IP(假设它是192.0.43.10 – www.example.com)。 防火墙/路由器正在运行NAT。 我有一个dstnat规则来通过HTTPSstream量到服务器,并工作。 现在,老问题是,如果一个内部的电脑试图连接https://www.example.com它无法加载页面与铬这个错误: Google Chrome与www.example.com的连接尝试遭到拒绝。 该网站可能已closures,或者您的networking可能无法正确configuration。 以下是一些build议:稍后重新加载此网页。 检查您的Internet连接。 重新启动您可能正在使用的任何路由器,调制解调器或其他networking设备。 将Google Chrome作为允许的程序添加到防火墙或防病毒软件的设置中。 如果它已经是允许的程序,请尝试从允许的程序列表中删除它并重新添加。 如果您使用代理服务器,请检查您的代理设置或与networkingpipe理员联系,以确保代理服务器正在工作。 如果您不相信应使用代理服务器,请调整您的代理设置:转至Chrome菜单>设置> +显示高级设置>更改代理设置…,并确保您的configuration设置为“无代理”或“直接”。 错误102(net :: ERR_CONNECTION_REFUSED):服务器拒绝连接。 传统上,我已经通过使用拆分DNS或双DNStypes的设置来解决这个问题,其中www.example.com的dns查找返回了服务器的内部IP而不是外部。 不过,我没有这个设置的豪华。 应该有一种方法来解决这个在mikrotik使用prerouting规则,但我不确定如何设置。 我该怎么做? 这是我在自己的桌子上。 但是,事实并非如此。 我正在服务器上运行tcpdump,但我可以看到,数据包实际上并没有达到它。 [admin@MikroTik] /ip firewall nat> print Flags: X – disabled, I – invalid, D – dynamic 0 chain=dstnat action=dst-nat to-addresses=192.168.0.10 protocol=tcp dst-address=114.134.xxx.xxx in-interface=wan dst-port=22 1 […]
使用Mikrotik路由器(embedded式Linux的forms),我已经为每台机器创build了简单的队列,匹配的源IP地址。 4个机器队列中的每一个对于Tx / Rx具有无限制的3Mbps / 3Mbps的突发。 在所有4台机器speedtest.net同时,每台机器显示3Mbps(并正确限制在那里),但上行总带宽达到12Mbps(我需要设置为上游10Mbps的最大值)。 我想限制通过上行链路端口的实际stream量为10Mbps,而不pipe其他队列在做什么(我需要这个捕获所有队列在上行速度上有最后的发言权)。 比如我需要: 情景A 机器A传输@ 3Mbps 机器B传输@ 3Mbps 机器C传输@ 3Mbps 机器D传输@ 0Mbps上行链路速度= 9Mbps 情景B 机器A试图传输@ 3Mbps 机器B试图传输@ 3Mbps 机器C试图传输@ 3Mbps 机器D试图传输@ 3Mbps 上行链路速度= 10Mbps 机器A,B,C,D的实际传输速度D = 2.5Mbps 这是为了允许带宽队列的轻微超额订阅,因为不是所有的都将始终以3Mbps传输。 这是可能的,如果是这样,怎么会这样做呢?
我们有一个使用IPsec的6个站点的客户端。 现在每隔一次,甚至每周一次,有时一个月一次,数据就会从远程Fortigate VPN服务器stream向本地MikroTik IPsec VPN客户端。 为了certificate问题的症状,我附上了一个图表。 在“已安装的SA”选项卡上,您将注意到xx186.50的源IP地址尝试与xx7.3通信,但是0个当前字节。 xx186.50是客户端的远程Fortigate IPsec服务器,而xx7.73是基于MikroTik的IPsec端点。 从远程来看,我们并不总是在stream动。 阶段1和2始终build立,但交通总是拒绝从远端stream向我们。 我们随着时间的推移尝试了各种各样的东西,比如重新启动,设置时钟,涉及configuration,重新检查和重新检查configuration,但问题完全是随机的。 有时随机的东西修复它。 在一个阶段,我有一个理论,如果隧道是从他们身边发起的,但是“发送初始接触”摆弄没有任何区别。 我们已经和客户聊了很多,但是他们有更多的国际IPsec VPN,只有我们的MikroTikconfiguration失败了。 Fortigate日志: http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&externalId=11654 看看Fortigate的知识库,看起来SPI不同意,DPD会有所作为。 但是我已经尝试过在这方面DPD的每一个单一的组合,没有用。 我想在另一方面启用DPD,但我不能由于改变控制,也因为客户说它在所有其他网站的configuration完全相同。 编辑DPD已启用 显示没有stream量的本地VPN客户端图表: 我已经包含一个日志文件,显示“收到一个有效的RU-THERE,ACK发送”连续循环MikroTik日志文件: echo:ipsec,debug,从xx7.183 [500]到xx186.50 [500] 回声:ipsec,debugging,数据包sockname xx7.183 [500] 回声:ipsec,debugging,数据包发送数据包从xx7.183 [500] 回声:ipsec,debugging,数据包发送数据包到xx186.50 [500] 回声:ipsec,debugging,数据包src4 xx7.183 [500] echo:ipsec,debug,packet dst4 xx186.50 [500] 回声:ipsec,debugging,包1个84字节的消息将被发送到xx186.50 [500] echo:ipsec,debug,packet 62dcfc38 78ca950b 119e7a34 83711b25 08100501 bc29fe11 00000054 fa115faf echo:ipsec,debug,packet cd5023fe f8e261f5 […]