» MikroTik RouterOS (часть 2)

Помогите, пожалуйста, со следующей проблемой:
RB450, v3.16 работал нормально. Произведены 2 изменения - изменен адрес radius-сервера и включен netflow v5, после чего стали происходить следующие вещи:
1)маршрутизаторы d-link di-804hv (различные прошивки) авторизуется по pppoe нормально, но дальше трафик не идет, пинги до роутеров не доходят. после установки последней прошивки на них, начинают работать нормально
2)периодически (где-то раз в сутки в разное время) mikrotik намертво зависает, помогает только перезагрузка по питанию

rix84
а что если обновиться до более новой версии микротика?

Это я планирую делать только в крайнем случае. Сейчас еще нужно выяснить, в чем проблема - в микротике или в радиус-сервере.

rix84
почему такая нелюбовь к обновлениям??
что вам мешает обновиться на тестовой машине и если всё нормально обновить роутер?

Нет тестовой машины в наличии.
Еще выяснилось, что на на RB450 3.22, в тех же условиях, проблема с D-Link сохранилась. Проблема с зависаниями на нем пока не наблюдалась.

Добрый день всем.
Стоит МТ 3.28 за последние 2 недели по интерфейсу, который смотри в локальну сеть, начали появляться Rx Drops и Rx Errors.
Подскажите в чем может быть причина.
Никаких сбоев, изменений в конфиге не было.
Спасибо.

riiiii
а нагрузка на интерфейс/роутер какая?

Ну а до версии 3.30 все же советую обновится.....
у меня 450G.....

Как подобрать оптимальное значение MTU?

Первым делом запустите команду cmd, чтобы открыть окно сеанса DOS, в котором будут запускаться все остальные команды из командной строки. Связь будем проверять с ЖЖ и с провайдером. Начнём с ЖЖ.

Сначала просто проверьте связь с сайтом:
ping http://www.livejournal.com
Если в ответ вы получите ответы со значенями времени, то всё нормально. Команда ping послала 4 эхо-сигнала и получила на них 4 эхо-ответа. Если пришёл ответ о превышении тайм-аута, то никакие дальнейшие эксперименты у вас не получатся. Либо нет связи с сайтом, либо она есть, но вы работаете через прокси, на котором запрещёны посылка и приём эхо-сигналов по ICMP-протоколу.

Если связь есть, то повторите команду в изменённом виде (чтобы не набивать заново, нажимайте F3 и правьте):
ping http://www.livejournal.com –f –l 1500
Что это означает? "-f" запрещает фрагментировать пакет, а "-l" (это английская "л" от слова "length", а не цифра "1") жёстко устанавливает его размер в байтах. Если пакет пройдёт, значит, связь с ЖЖ можно не оптимизировать. Если вы получите сообщение "Требуется фрагментация пакета, но установлен запрещающий флаг", то повторите эту команду, но уже в виде:
ping http://www.livejournal.com –f –l 1300
Скорее всего, пакет на этот раз пройдёт успешно. После этого я ищу удачное значение бинарным делением интервала, т.е. запускаю:
ping http://www.livejournal.com –f –l 1400
Успешно? Тогда
ping http://www.livejournal.com –f –l 1450
В конце концов, я получил предельное значение размера – 1426. Уже при размере 1427 пинг не проходил. Вот теперь прибавьте к найденному числу 28 (в моём случае – 1454) и получите оптимальный размер MTU для связи с ЖЖ. Почему именно 28? Просто при посылке эхо-сигнала к пакету автоматически пришиваются 2 заголовка (как бы надеваются 2 обёртки) – IP (20 байт) и ICMP (8 байт). Поэтому реальный размер пакета всегда получается на 28 байт больше, чем вы пингу указываете.

Но это ещё не всё. Связь с ЖЖ – не самое важное. Самое главное – правильная связь с провайдером. Узнайте IP-адрес основного шлюза вашего провайдера (он всегда сообщает его) и повторите всё с начала, подставив этот адрес в пинг-команды вместо адреса Живого Журнала. Никогда не ставьте MTU у себя выше, чем MTU провайдера! Если MTU для ЖЖ и для провайдера получились разные, выбирайте наименьшее из них.

Ещё пара замечаний.
1. MTU провайдера – показатель стабильный, т.к. вы попадаете к нему через один шлюз. Он обычно меняется, когда что-то у себя меняет провайдер. MTU, оптимальный для ЖЖ, может меняться от испытания к испытанию, т.к. каждый раз вы будете проходить по разным шлюзам. Так что при появлении проблем повторите эксперимент. Корректировать придётся не так уж часто, ведь список применяемых на практике MTU ограничен.
2. Новое значение MTU вступает в силу при перезагрузке компьютера.

Взято http://chertov.livejournal.com/43348.html

Добавлено:
http://www.ivnet.ru/phpbb3/viewtopic.php?f=24&t=15597

Chupaka
по лану 100m
используется pppoe коннект (2й интерфейс) на нем ошибок нет

Цитата:

по лану 100m

а сам интерфейс гигабитный? а пакетная загрузка какая?

Chupaka
сам интерфейс 100м
пакетная загрузка - около 1к п/с в обе стороны

riiiii
ну так если интерфейс под завязку забит - не удивительно, что появляются дропы

Конфигурация следующая:
| <--->PPTP(user1 "10.0.0.1") |
<--- ADSL--->| WAN(inter) NAT <--->PPTP(user15 "10.0.0.2") |<---> LAN ---192.168.0.0/24
| pppoe <--->PPTP(user30 "10.0.0.3") |
(30 vpn)
Mikrotik 3.22, на WAN интерфейсе висит модем, соеденение с провайдером через пппое(поднятый интерфейс "inter") 4 Мb, на LAN локалка, пользователи подключаются через vpn, интерфейсы получают имя user 1...30 и IP из 10.0.0.0/24. Используется маскардинг (NAT). Как лучше организовать шейпинг в этом случае? В PCQ Down, PCQ Up использовать global-in, out, или вешать на интерфейсы пользователей и inter? Задача дать приоритет вебсерфингу, поделить канал динамически (при отключении пользователя канал делится между остальными).

Добавлено:
| Out (???? интерфейс)max-limit 4M|
<-- | user1 max-limit 3M limit-at 128k parent Out ????|
| http parent user1 priority 1|
| http_down parent user1 priority 7|
| all_traff parent user1 priority 8| <--- user1
|user2 .....
--> In ....???????????????????
Так примерно? В мангле маркируем (prerouting) все соединения от user (по src address или по интерфейсу?), в соединении маркируем пакеты 3 раза (3 группы трафика идущие на определённые порты). Вот тут я и остановился... Пакеты отправили. А назад как? Где маркировать? forward? postrouting? На каком интерфейсе всё это повесить?

Возможно ли прикрутить внешний Captive Portal к микротику? Сервер портала расположен на стороне LAN. Не удается создать правило, которое пакеты с определенных хостов на 80 порт должно ретранслировать на сервер с captive_portal. На портале будет производиться аутентификация и прикручен биллинг.
для проверки пересылки создал правило NAT:
chain=dstnat in-interface=LAN src-address=10.0.0.0/24 protocol=tcp
dst-port=80 action=dst-nat to-addresses=10.0.0.183 to-ports=80

10.0.0.183 - адрес портала.

пробовал action=netmap - эффекта нет.

Если "to-addresses" находится на другом интерфейсе (в инете например), то работает, но понятно, что это не решение

MG34
проблема в том, что ответные пакеты пытаются идти в обход маршрутизатора, поэтому некому их де-натировать. для решения можно вынести сервер в другой сегмент, либо делать НАТ на сервере, а на маршрутизаторе просто роутингом отсылать нужные пакеты на адрес сервера, без НАТа

Chupaka

Еще получилось сделать переадресацию с помощью web-proxy
(action=redirect на порт web-proxy микротика, а в web-proxy поставил parent-proxy=сервер портала)
Но минус, что web-proxy тогда по-прямому назначению уже не использовать
вот если бы несколько web-proxy на микротике крутилось..... каждый на ствоем порту.

То есть порт-то можно добавить, но настройки Parent-proxy одни на всех.....

MG34
использовать-использовать!

не совсем функционально, но нельзя ли редиректить юзеров на портал правилом Deny Redirect-To=?

надо прокси повесить на несколько портов, и на один из них редиректить тех, кого на портал отправить надо, для этого же порта прописав вышеуказанный редирект в Access и правило в Direct, чтобы parent-proxy не использовался

Маркируется внутренний трафик, далее в queue tree идёт простая нарезка скоростей отдельно на внешку=!внутренний, отдельно на внутренний интернет(приём, отдача)
Как должно работать, если одновременно с этими queue tree настроить приоритеты на трафик в simple queue (скайп, онлайн игры типа линейки, вебсёрфинг, видео типа ютуб, остальное, п2п в порядке убывания приоритета) Как вообще одновременно работают queue tree и simple queue ? или лучше поверх имеющейся нарезки скорости далее работать в queue tree ?

однозначно queue tree
иначе запутаетесь
учтите что simple queue имеет больший приоритет.

simple queue создаёт до трёх очередей с родителями global-in, global-out и global-total, соответственно. они, как правило, имеют приоритет над соответствующими правилами queue tree, поэтому остаётся только вариант вешать очереди в дереве на интерфейс, а не на global-очереди

Добрый день.
Установлен микротик 3.30, ADSL модем на провайдера в режиме бриджа.
Микротик разрывает PPPoE-клиент соединение при его простое 15 минут (Idle Time: 00:15:00) и сразу поднимает его по новой.

В логах по этому поводу следующие записи:

pppoe ppp info Public: terminating... - disconnected
pppoe ppp info Public: disconnected
pppoe ppp info Public: initializing...
pppoe ppp info Public: dialing...
pppoe ppp info Public: authenticated
pppoe ppp info Public: connected

и так каждые 15 минут.

Где и какой параметр надо указать что-бы соединение PPPoE было постоянным?

OmegaNZ
в профиле посмотреть параметры Session Timeout, Idle Timeout. если там пусто - подозревать, что таймаут установлен на стороне провайдера

Профиль default: есть параметр Idle Timeout. Пробывал ставить 05:00:00 - все равно сессия рвется после 15 минут простоя.
Провайдер утверждает что сессию не рвет и скорее всего не обманывает. До этого стояла v3.20 - и насколько я припоминаю таймаут простоя был 10 минут.

Хорошая штука вики на официальном сайте.
Вот нашёл пример http://wiki.mikrotik.com/wiki/Traffic_Priortization,_RouterOS_QoS_Implemetation

Вопрос, а зачем в мост объединять интерфейсы ?
и ещё не понятны шаги в маркировке, для чего помечаем то, что connection-bytes=1-512000 и тд?

Цитата:

Вопрос, а зачем в мост объединять интерфейсы ?

ну, сетап такой - прозрачный шейпер


Цитата:

для чего помечаем то, что connection-bytes=1-512000 и тд?

а потом на основании этого направляем пакеты в разные очереди. чем больше скачано в соединении - тем ниже его приоритет

Приветствую. Купил RB750.
http://www.roc-noc.com/product.php?productid=201

Не сильно понимаю что он умеет. Мне нужно настроить два WAN порта, на этом роутере такое можно сделать. Вот мои конфигурации интерфейсов:

/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="" disabled=no full-duplex=yes \
l2mtu=1526 mac-address=00:00:00:00:00:09 mtu=1500 name=ether1 speed=\
100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=\
"" disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:55:F5:BD \
master-port=none mtu=1500 name=ether2 speed=100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=\
"" disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:55:F5:BE \
master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=\
"" disabled=no full-duplex=yes l2mtu=1524 mac-address=00:0C:42:55:F5:BF \
master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment=\
"" disabled=yes full-duplex=yes mac-address=00:00:00:00:00:09 \
master-port=none mtu=1500 name=ether5 speed=100Mbps


# NAME MTU MAC-ADDRESS ARP MASTER-PORT SWITCH
0 R ether1 1500 00:00:00:00:00:09 enabled
1 R ether2 1500 00:0C:42:55:F5:BD enabled none 0
2 ether3 1500 00:0C:42:55:F5:BE enabled none 0
3 ether4 1500 00:0C:42:55:F5:BF enabled none 0
4 X ether5 1500 00:00:00:00:00:99 enabled none 0

Сейчас ether1 настроен как WAN на роутере и успешно работает. Хочу попробовать сделать ether5 тоже как WAN. Только смущают что за параметры MASTER-PORT и SWITCH.
На первом порте вообще никаких параметров не написано, а на других есть. И как сейчас работают мои интерфейсы? Спасибо

gooel
сейчас каждый интерфейс работает как отдельная сетевая карта. в РоутерБордах со свитч-чипом можно аппаратно объединять порты в мост, который работает без вмешательства операционной системы на полной скорости и кое-где позволяет даже писать правила, выполняющиеся аппаратно (т.е. не увеличивающие нагрузку на маршрутизатор): http://wiki.mikrotik.com/wiki/Switch_Chip_Features

Chupaka
Спасибо, всегда выручаешь дельными советами, как раз это и нужно чтобы интерфейсы были как отдельные сетевые карты, а потом всё правилами настрою, значит ничего не буду менять.

Просто думал, что порт 2-5 работают только как свич.

наверно я вопрос невидимыми чернилами написал..? или есть бооолее глобальные проблемы, чем ответить какой интерфейс использовать в случае описанном мной...