» MikroTik RouterOS

Neym
не совсем понимаю назначение очереди "od-ix". просто использовать в качестве родителей для обеих global-out


Цитата:

и еще непонятно с prerouting, postrouting и forward

http://wiki.mikrotik.com/wiki/Packet_Flow - самая полезная штучка в плане понимания =)

Chupaka


Цитата:

не совсем понимаю назначение очереди "od-ix". просто использовать в качестве родителей для обеих global-out

У меня на od-ix аплинк 100Мbit а внешка естественно значительно меньше. Вот я и хочу чтобы на od-ix шейпер выдавал людям отдельную очередь в макс 50Mbit и отдельно внешку.


Цитата:

http://wiki.mikrotik.com/wiki/Packet_Flow - самая полезная штучка в плане понимания =)

Да я какраз курил над этим - http://wiki.mikrotik.com/images/1/19/Packet_flow.png

А тут даже понятливей, щас еще покурю маны


Добавлено:
Я так понимаю в моем случае подходит это:



Только правда я рулю трафиком не между двумя физическими Ethernet а между pptp-peruser и pppoe на провайдера. сложно сказать как в этом случае трафик идет

Neym

Цитата:

Цитата:
jul/22 22:11:39 pptp,ppp,error could not add address: already have such address (6)  

 
Это значит что при подключении абонента у тебя ему присваивается уже существующий ип-адресс. Из-за чего конфликт. Или введи всем абонентам ип-адресс вручную, статистически или создай adress-pool

Если ты прочел мое первое сообщение то ты бы заметил:
"IP адреса у всех статические и НЕ повторяются."

Будь внимательнее в чтении сообщений, вопрос открыт.

ооооо спб, ток хотел спрсоить наподобии =).

Сегодня включаю комп смотрю в лог файл наблюдаю такое .... что это?



Это что чорт по айпи 60.160.183.2 подбирает пас к микротику у меня я так понимаю?

+ что можна зделать чтоб рубануть это ему....

Выручайте! Как сделать так чтобы в USER MANAGERE квоты у пользователе отнулялись каждый день или месяц?

xxxMaxtorxxx

Цитата:

что можна зделать чтоб рубануть это ему....

Нормальное дело. У меня на микротах где открыт SSH для внешнего мира по нескольку раз на дню такие атаки идут.
А насчет что делать - защищаться
Например вот так
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention_%28FTP_%26_SSH%29
Ну и другие статьи на эту тему отсюда
http://wiki.mikrotik.com/wiki/Firewall

spasibo....Я взял пересоздал подключения ПППоЕ к провайдеру и все =)

xxxMaxtorxxx

Цитата:

Я взял пересоздал подключения ПППоЕ к провайдеру и все

Я уже предвижу следующее твое сообщение - Опа! Опять кто-то ломится
Надеюсь ты понимаешь происходящее?
- провайдер выдает тебе реальный IP-адрес
- у тебя в настройках файрвола нет правил запрещающих доступ к микротику снаружи по протоколу ftp (да и ssh скорее всего)
- на твой айпишник натыкается некоторая автоматическая система, сканящая большие диапазоны адресов на предмет доступных сервисов
- наткнувшись на твой адрес и обнаружив открытые порты система начинает подбирать пароль
- ты пересоздал подключение к провайдеру, получив другой адрес
- этот сеанс сканирования прервался
- а что будешь делать когда на твой новый адрес опять кто-то наткнется? Сидеть глядя в лог и видя начало новой атаки пересоздавать соединение? Не кажется что это слегка... гммм... неоптимально?

larin58

Однако эта ошибка именно об этом и говорит.

---

Согласен с SolarW

xxxMaxtorxxx

Проще всего или вообще отключить ненужные службы, если ты редко ими пользуешься или повесить их на нестандартный порт, какого-нибудь верхнего диапазона. там 23232 например ) ssh и ftp 21212

Сейчас буду учится отключать... если кто знает помогите как правельно отключить доступ в инет чтоб меня не сканили...

запретить входящие

xxxMaxtorxxx
Для Winbox :

IP>Services там или отключаешь или два раза кликаешь на службу и в поле Avaible From пишешь свою внутреннюю подсеть.

Neym

Цитата:

повесить их на нестандартный порт, какого-нибудь верхнего диапазона. там 232323 например ) ssh и ftp 212121

Спокойно, не увлекаемся
Максимальное значение порта 65535
А шестизначные - это уже перелет

Доброго дня!
Подскажите как победить при включении в настройке OpenVPN сертификата пишет "Couldn't change OVPN Server - no certificate found (6)"

Сертификаты импортировал, но почему-то на них пишет QR вместо KR
Спасибо

Ребята! Очень нудно! Выручайте! Как сделать так чтобы в USER MANAGERE квоты у пользователей обнулялись каждый день или месяц?

SolarW
Опечатался ))

Хотя вообще у меня на FreeBSD ssh висел на 70000 порту делается специальным патчем. Уже правда параноя прошла и просто поставил sshguard.

Цитата:

Хотя вообще у меня на FreeBSD ssh висел на 70000 порту делается специальным патчем

патчем стека протоколов IP, который расширяет двухбайтовое поле в заголовке IP-пакета? О_о

Добавлено:

Цитата:

Ребята! Очень нудно! Выручайте! Как сделать так чтобы в USER MANAGERE квоты у пользователей обнулялись каждый день или месяц?

нудно сбрасывать вручную? =) может, что-нить типа /ip hotspot user reset-counters [/ip hotspot user find] ?..

Блин или это у меня так микротик АДСКИ глючит, или у меня руки безнадежно кривые.. НО НИКАК не могу заставить рабоать шейпер Я уже перечитал wiki с ног до головы, разобрал все схемы, пробовал и так и эдак, перепробовал комбинации всех опций, и ничерта не пашет.

Может кто-то выложет пример рабочего конфига для queue tree с применением mangle конечно, с меткой пакетов, и шейпированием трафика отдельно на аплоад и даунлоад. И желательно с примененимем тунелей, pptp, pppoe неважно.
Если и так не заработает, выкину этот микротик к черту я только из-за HTBшного шейпера ставил.

Добавлено:
ХА! Сижу качаю торрент со скоростью в 5 Мбит, у меня по pptp присвоем ip 10.10.0.2, пишу в mangle dst-address=10.10.0.2 action=mark-connection new-connection-mark=all или типо того

Смотрю проходящий трафик по правилу - 0B такого просто НЕ МОЖЕТ быть. Я, можно казать пометил все свои соединения, и что, 0B? чес... полный.. темболее я chain ставил и prerouting и postrouting и forward - результат нулевой.

Neym

Цитата:

Может кто-то выложет пример рабочего конфига для queue tree с применением mangle конечно, с меткой пакетов, и шейпированием трафика отдельно на аплоад и даунлоад.

Этот не катит?

Цитата:

И желательно с примененимем тунелей, pptp, pppoe неважно.

Ну такого у меня нет, но ежели в моем примере поменять указанные интерфейсы на нужные тебе...

Вопрос опять про шейпер.

Цитата:

Попробуй так.

Дано:

Адрес первого пользователя - 192.168.0.11
Адрес второго пользователя - 192.168.0.12
Адрес третьего пользователя - 192.168.0.13
Название интерфейса смотрящего на пользователей - LAN
Название PPPoE интерфейса - provider

Что делаем:

- создаем группу IP-адресов куда входят все три клиента


Код:ip firewall address-list add list=clients address=192.168.0.11 comment="Client1" disabled=no
ip firewall address-list add list=clients address=192.168.0.12 comment="Client2" disabled=no
ip firewall address-list add list=clients address=192.168.0.13 comment="Client3" disabled=no




- промаркируем соединения этих клиентов


Код:ip firewall mangle add chain=prerouting src-address-list=clients action=mark-connection new-connection-mark=clients_conn_up passthrough=yes comment="clients_conn_up" disabled=no
ip firewall mangle add chain=forward dst-address-list=clients action=mark-connection new-connection-mark=clients_conn_down passthrough=yes comment="clients_conn_down" disabled=no



- теперь промаркируем пакеты в этих соединениях


Код:ip firewall mangle add chain=prerouting connection-mark=clients_conn_up action=mark-packet new-packet-mark=clients_traf_up passthrough=no comment="clients_traf_up" disabled=no
ip firewall mangle add chain=forward connection-mark=clients_conn_down action=mark-packet new-packet-mark=clients_traf_down passthrough=no comment="clients_traf_down" disabled=no



- создадим типы очередей


Код:queue type add name="UP" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000
queue type add name="DOWN" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000



- создадим дерево очередей


Код:queue tree add name="Total DOWN" parent=LAN packet-mark="" limit-at=0 queue=DOWN priority=8 max-limit=1000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
queue tree add name="Total UP" parent=provider packet-mark="" limit-at=0 queue=UP priority=8 max-limit=1000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
queue tree add name="Inet_UP" parent="Total UP" packet-mark="clients_traf_up" limit-at=0 queue=UP priority=8 max-limit=1000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
queue tree add name="Inet_DOWN" parent="Total DOWN" packet-mark="clients_traf_down" limit-at=0 queue=DOWN priority=8 max-limit=1000000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no



Типа все.

С динамическим шейпером PCQ разобрался, а если интерфейсов больше двух? Что менять в правилах и на какие интерфейсы вешать шейпер? На Микротике 4 интерфейса- 3 Wireless и один Ethernet который идёт на ADSL.

VSEM SPASIBO !!

Цитата:

Цитата: Chupaka to lexassa1
выглядят-то как надо )) сколько при работе в каждой очереди пишется PCQ Queues?

nmts

Зачем же так много цитировать?

Цитата:

а если интерфейсов больше двух?

Мне вот это тоже интересно

Цитата:

на какие интерфейсы вешать шейпер?

Тут упоминались некие global-in и global-out но я пока для себя еще не сообразил как их применять...

Цитата:

я так понимаю это число должно быть ровно числу качающих пользователей?

при правильной настройке - да


Цитата:

какие значения лучше выбрать для Limit и Total-limit

на форуме Мелкотика я уже предлагал смотреть на количество Dropped в очереди. если пакеты дропаются - удлинить очередь, тем более, если свободная оператива и проц это позволяют. аргументов "против" не было


Цитата:

Тут упоминались некие global-in и global-out но я пока для себя еще не сообразил как их применять...

это очереди, не привязанные к выходному интерфейсу. global-in (и первая обработка global-total) осуществляется после маркировки mangle prerouting, для всех пакетов (даже для тех, которые в дальнейшем не будут отмаршрутизированы, будут просто отброшены или отфильтрованы). global-out применяется после postrouting, но ДО src-NAT. после src-NAT идёт очередь собственно выходного интерфейса. очень подробно всё расписано по не раз упоминавшейся здесь мной ссылке: http://wiki.mikrotik.com/wiki/Packet_Flow

Здравствуйте нужна помощи с балансировкой 2 каналов.У провайдера беру 2 канала 2*(16мбс(внешка)+50мбс(в сети)) авторизация по PPPoE, вроде бы нашол решение, но работает не корректна

chain=prerouting action=mark-connection new-connection-mark=rout1 passthrough=no
connection-state=new src-address=192.168.0.0/24 nth=2,1

chain=prerouting action=mark-routing new-routing-mark=rout1
passthrough=yes src-address=192.168.0.0/24 connection-mark=rout1

chain=prerouting action=mark-connection new-connection-mark=rout2
passthrough=yes connection-state=new src-address=192.168.0.0/24

chain=prerouting action=mark-routing new-routing-mark=rout2
passthrough=yes src-address=192.168.0.0/24 connection-mark=rout2

если ставлю любую другую подсеть кроме 0 то все прекрасна работает.

;;; +
chain=prerouting action=mark-connection new-connection-mark=ALL
passthrough=yes src-address=192.168.0.0/24

chain=prerouting action=mark-connection new-connection-mark=OUT
passthrough=yes src-address=192.168.0.0/24 dst-address-list=!MD
connection-mark=ALL

chain=prerouting action=mark-packet new-packet-mark=Out_traffic
passthrough=no connection-mark=OUT

chain=prerouting action=mark-packet new-packet-mark=MD_traffic
passthrough=no

Товарищи кто настраивал веб прокси подскажите что и где нужно прописывать что бы:



1) некоторые сайты т.к RapidShare, yandex.ru шли на прямую

2) файлы rar , zip, avi шли на прямую

по докам толком разобраться не получилось.

3) нужны ли какие нибудь изменения в шейпере для правильной работы с прокси (какие)
использую двух двухуровневый прокси с маркировкой пакетов в prerouting и forward

Скажите пожалуйста - можна как-то поствить приоритет на страницы в микротике?

Проблема с NAT через OpenVPN на микротике.

OpenVPN соединение поднимается, работает, с микротика пакеты ходят.
Никак не могу заставить работать NAT, перепробовал всевозможные вариенты.

По мануалу надо типа так:
ip nat add chain=srcnat action=masquerade src-address=0.0.0.0/0 out-interface=ovpn-out1

- не работает. src-nat вместо masquerade тоже, Микротик 3.27, пробовал 4.0бета - тоже самое, NAT не работает.

Кто-нибудь вообще поднимал НАТ через openvpn? Такое ощущение, что чего-то не хватает в конфиге

Aliyyah
а в чём именно неработа проявляется? а счётчик пакетов в правиле увеличивается?