» MikroTik RouterOS (часть 2)

3 оптики (сир синхрон 8мбит, сир синхрон 8мбит, шеар 5-6мбит) микротик стоит подключенным к первым 2-м, 3-ий завтра подключу)
на микротике 4 интерфейса, 2 интерфейса к правайдерам, 1-ин к 2-м роутерам (через них и идет сейчас интернет и впн) и остальным серверам все реал йп. последний интерфейс смотрит на локалку.
на микротике кроме роутинга и днс, только queue работает.
хочу в обход роутеров интернет через микротик провести натом.

п.с. заказал рб1100, хочу быть уверенным, что все будет работать норм.

Добавлено:
http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent
никакого баланса не заметно, если про это было то извините 82 страницы не осилил.

если есть более интересный вариант балансировки буду рад узнать (кроме деления на чет, нечет)

Цитата:

http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent
никакого баланса не заметно

а куда смотрим-то?.. вроде всё на месте...


Цитата:

кроме деления на чет, нечет

это в каком смысле?.. на данный момент наилучший вариант - PCC, http://wiki.mikrotik.com/wiki/PCC#Application_Example_-_Load_Balancing

смотрю на трафик.
а он идет на первого прописанного провайдера, 2 -й не фурычит
/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1,10.112.0.1 check-gateway=ping


Добавлено:
чет, нечет я про это
http://wiki.mikrotik.com/wiki/NTH_load_balancing_with_masquerade


Цитата:

http://wiki.mikrotik.com/wiki/PCC#Application_Example_-_Load_Balancing

это пока не видел спс

Цитата:

а он идет на первого прописанного провайдера, 2 -й не фурычит

ну, в целом-то всё равно должно работать...

по обоим шлюзам показывает reachable?

да, роутинг норм все работает кроме баланса трафика (снаружи все внутренние реал йп видны)

Ребят по скрипту есть вопрос, логика скрипта следующая:
нужно бежать по address листу и выбирая от туда уже IP адреса - проверять есть ли такой IP адрес в динамической таблице ARP, если есть то дабавлять правило если нету то не добавлять, с переходом на следующий цикл.
Вот костяк скрипта:

Цитата:

/ip firewall address-list
:foreach i in=[find !disable]//ищем те адреса которые не в состоянии disable
    do={
        :local ip [get $i address];//получаем IP-ник
        :local ipp [:len [/ip arp find address=$ip]];// ищем его в динамической таблице ARP
        :if ($ipp = 1) // проверка условия того что имееться такой IP адрес в ARP таблице
            do={
                /ip firewall address-list disable $i; // переводим данный IP адрес в адрес-листе в состояние disable
                : local mac [/ip arp get ]; // получение MAC адреса в динамической таблице ARP ?????????
                : local eth [get]; // получение имени интерфейса с какого идет активность, в динамической таблице ARP ?????????
                /ip firewall filter add chain=forward in-interface=$eth src-mac-address=$mac src-address=$ip action=accept //создать правило в firewall таблицу
                };
    }

А вопрос - как получить mac и имя интерфейса с arp листа (даже наверное важнее - как получить ID записи, при пробеге по всей таблице при поиске заданного IP адреса).

http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent возможно тут ошибка в роутинг марках нужно поставить пасструт но , или я не прав?

Цитата:

роутинг норм все работает кроме баланса трафика (снаружи все внутренние реал йп видны)

эммм... а основные подключения - исходящие или всё же входящие?..


Цитата:

возможно тут ошибка в роутинг марках

ошибки там нет, всё должно работать, как задумано: входящие подключения через конкретного провайдера возвращаются именно через этого провайдера. исходщий трафик маркироваться вообще не должен

Vedmich
:local mac [/ip arp get [find address=$ip] ];

Chupaka

но разве это немного не рационально? Ведь получается опять нужно бежать по всему списку? Мне придется делать таким образом еще два дополнительных пробега по ARP.

Vedmich
{
:local id [/ip arp find address=192.168.0.1];
:local mac [/ip arp get $id mac-address];
ut $mac
};

схема:
RB433AH -> RB600A -> Rb411 -> Сервер (интернет).
сеть 172.16.0.0\24
за RB433AH имеется несколько клиентов, нужно не которым поменять IP
из другого диапазона - 10.0.0.0\24 я так понимаю, для того что бы у них
по прежнему работал интернет нужно на RB433AH прописать маршрут
из сети 172.0.0.0\24 в сеть 10.0.0.0\24 или же его еще надо прописаь
и на других RB?

Chupaka
Спасибо - так скрипт работает - как мне кажется само рационально.
Теперь начал боротся с проблемой того, что подгружаю я пакет DHCP - перезагружаю сервер и ничего не происходит. Как я не пытался.
Даже удалял все файлы с FTP - оставлял лишь только файл пакета, ничего не работает.
А при выводе логов по команде:

Цитата:

/log print without-paging

Показывает только то что я выключил, включил и вошел как админ и больше ничего. Да версия mikrotika - 3.2

Vedmich
3.2 или 3.20? пакет правильной версии? /log-print должен показывать всё

vlh
конечно же все роутеры должны знать о новой сети

Mikrotik на RB450 используется в качестве NAS для PPPoE доступа в инет. С определенной периодичностью он перезагружается (сам по себе или с помощью watchdog - неясно). Экспериментальным путем было доказано, что это происходит, когда отключенный пользователь PPPoE со своего роутера заспамливает mikrotik запросами авторизации. Причем когда имелся один такой пользователь (24 часа в сутки слал запросы авторизации раз в 1-2с), перезагрузки были с определенным интервалом - 24 часа +- 30 минут. Когда же были отключены еще несколько таких пользователей, частота перезагрузок возросла.
Как бороться с этой проблемой?
Прошивка 3.30, но аналогичная проблема наблюдалась и на 4.6 у RB450G.

Может подтолкнет кто на какие нибуть идеи, уже чего тут только не перепробовал

имеется МТ3.30 (перепробовал 4.1, бету5 - x86) на нем поднято pppoe соединение с провайдером, через это соединение создаю pptp-сlient соединение с удаленной циской, мне назначается ip 10.50.11.0/24 для доступа к ресурсам в сети 10.50.30.0/24.

соединение проходит успешно (MRU1500 при другом не соединяется) авторизация, мне назначен ип, пытаюсь через интерфейс pptp-out пропинговать ресурсы 10.50.30.0/24 реакции ноль.

Chupaka

Цитата:

Advanced Member    Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата:
роутинг норм все работает кроме баланса трафика (снаружи все внутренние реал йп видны)

эммм... а основные подключения - исходящие или всё же входящие?..

был какой то глюк , по всей видимости , через дня 2 сам самой заработало. и 2 8мбиты норм заработали. По какой причине был этот глюк неясно.

Вопросы:
1 есть ли реальная разница в пользовании лицениях 4 и 6 (таблицу смотрел, интересно в реальности есть ли разница)
2 как провести п2п траффик по одному из правайдеров. структура: микротик как гетвей смотрит на 2 провайдера, за ним 2 роутера с реальными адресами(основной и бекап) словить п2п конекты и послать по 2 провайдеру

Light_AS
ПППоЕ в нем ППТП у которого MTU MRU не может быть 1500 ну ни как.
при этом пинг размером 54 байта всяк должен ходить.
так что, что то с маршрутами?

rix84
не использовать 450 модели?
Magikon
как написано в таблице так и есть, только редко кому нужна 6
п2п сложная штука, если сможешь описать в L7 Protocol то и выделить сможешь.
а так пока выделяешь все остальное

Цитата:

rix84
не использовать 450 модели?

Хотелось бы все сделать на них, других нет в наличии.
Но если это зависит от модели, то какие посоветуете?

Chupaka

Чупа! ты помимо Mikrotik-а еще что используешь??? Выдели на твой взгляд хорошие роутеры...

Цитата:

3.2 или 3.20? пакет правильной версии? /log-print должен показывать всё

Хм...а что имеется большая разница? Я просто точно не помню с какого именно дистрибутива ставил, хотелось бы тогда спросить - а где найти пакеты для этих версий. Ибо как посмотрел на сайте - там нету для для 3.2 - только 3.3 минимальная версия.

rix84
эта я так предположил, сам же я ничего кроме rb230 (древнего) не использую. а он x86
а на 450ых всякие vlan не используются?

В моей конфигурации - не используются, хотя возможность работы с ними есть.

Цитата:

есть ли реальная разница в пользовании лицениях 4 и 6 (таблицу смотрел, интересно в реальности есть ли разница)

по факту разница в числе одновременных ВПН-подключений


Цитата:

как провести п2п траффик по одному из правайдеров. структура: микротик как гетвей смотрит на 2 провайдера, за ним 2 роутера с реальными адресами(основной и бекап) словить п2п конекты и послать по 2 провайдеру

Цитата:

п2п сложная штука, если сможешь описать в L7 Protocol то и выделить сможешь.

послать - запросто. но это исходящий трафик. для балансировки входящего надо менять адрес - понравится ли это клиентам? %)


Цитата:

Чупа! ты помимо Mikrotik-а еще что используешь???

да, ещё Винду. я в ней работаю. для маршрутизации - фактически нет. зачем?


Цитата:

а что имеется большая разница?

между 3.2 и 3.20 разница, наверное, не меньше года %)
давайте не придумывать себе что-то, а читать то, что написано: на сайте 3.30, а не 3.3. арифметиа первого класса

rix84
понимаю не аргумент, но - у других работает.....
может с качеством контактов что ? плохо обжато, животные покусали? с заземлением...

Цитата:

послать - запросто. но это исходящий трафик. для балансировки входящего надо менять адрес - понравится ли это клиентам? %)

а тут главное чтоб качалось, если будут то клиенты врядли будут против.
как это сделать?

Добрый день
есть микротик 3.30 из соседней темы
dsl модем в режиме роутера, dns адреса передает тоже модем, в винде просто в качестве шлюза и днс указывал ип модема 192.168.1.1 и получал инет.
хочу чтобы МТ получал инет с модема и раздавал его в локальную сеть

DSL modem 192.168.1.1
MT ether1 192.168.1.2/30 (соединение с модемом)
MT ether2 192.168.2.1/24 смотрит в локальную сеть

помогите пожалуйста разобраться с начальной настройкой микротика,

в ip dns в качестве первичного и альтернативного указал 192.168.1.1, поставил галку allow remote requests.
в ip routes добавил маршрут destination=0.0.0.0/0 gateway interface=ether1
в firewall nat добавил chain=srcnat action=masquerade src-address=192.168.2.0/24
больше пока никаких правил не создавал

пк из локальной сети назначаю ип 192.168.2.5 шлюз 192.168.2.1 днс 192.168.2.1
интернет не работает, пытаюсь чтото пинговать в ответ получаю только ИП адрес ресурса, а ответов никаких, трафик не идет
подскажите где что упустил?

ip route: destination:0.0.0.0/0
gateway 192.168.1.1
ip firewall nat: chain=srcnat action=masquerade out interface ether1

Цитата:

в ip dns в качестве первичного и альтернативного указал 192.168.1.1

алтернативный не нужно тот же самый писать, просто оставь пустым

Magikon

Цитата:

как это сделать?

в целом трафик делить надо с первого же пакета. поэтому разделяют по портам: известные (http 80/tcp, https 443/tcp, dns 53/udp, etc.) направлять на один аплинк, остальное считать p2p и отправлять на второй. в данном случае натируя адресами, анонсируемыми на второй аплинк


Цитата:

gateway interface=ether1

собсна, вот и ошибка. надо указывать не интерфейс, а адрес шлюза

Цитата:

остальное считать p2p и отправлять на второй. в данном случае натируя адресами, анонсируемыми на второй аплинк

весь вопрос в этом мне НЕ нужен нат(вернее вреден ) , у меня реальные ип
а без ната никак?

Magikon
входящий трафик валится к нам по подсетям... если мы отправляем исходящий трафик через второй аплинк с адресами, анонсируемыми на первый - входящий будет всё равно идти через первый