» MikroTik RouterOS (часть 3)

Цитата:

тут ключевой вопрос - что ставить целью... если цель - промаркировать соединения каждого адреса индивидуально - то да, много разных меток получится... внимание, вопрос: а зачем?

цель как снизить загрузку проца, если шейпов 100 а может быть и больше,

то есть нужна концепция, как маркировать пакеты если шейпов много,
маркировать для каждого клиента connection и потом пакеты
маркировать для всех клиентов сonnection, а в нем пакеты для каждого клиента.
в какой цепочке это делать, примеров куча но все по разному, кто-то
connection-mark делает chain=prerouting а маркировку пакетов с chain=forward
кто-то connection-mark делает chain=forward и маркировку пакетов тоже делает chain=forward
еще делают и то и другое с chain=prerouting, то есть не совсем понятно, а как все таки правильно делать, если задача просто шейпер, что бы по максимуму разгрузить проц.

кстати говоря без маркировки connection тоже по разному делают
пакеты маркируют и с chain=prerouting и с chain=forward но как правильно это сделать с точки зрения загрузки ЦПУ например,

Подскажите, как можно применить Parent к VPN-интерфейсу, которого как бы физически нет?

Подскажите пожалуйста, где подкрутить, чтобы web proxy микротика при хождении компов через него не выдавал своего присутствия

т.е. никаких упоминаний о прокси не было вообще.

Цитата:

как снизить загрузку проца, если шейпов 100 а может быть и больше

а зачем так много?.. чтобы снизить нагрузку - в первую очередь надо уменьшать число очередей. PCQ в помощь


Цитата:

примеров куча но все по разному

Цитата:

как все таки правильно делать

правильно - так, как того требует задача. от того, в какой очереди что-либо делать, нагрузка меняться не должна - главное выкурить http://wiki.mikrotik.com/wiki/Packet_Flow до просветления. по поводу маркировки соединения - сравнение метки соединения теоретически проходит гораздо быстрее, чем, например, проверка каждого пакета по адрес-листу. грубейшая ошибка в этом плане - маркировка соединения заново для каждого пакета, а потом обработка пакета на основании метки соединения. это надо делать только для использования метки соединения как временного поля при недостатке других, потому что банально нагрузка повышается

Добавлено:

Цитата:

где подкрутить, чтобы web proxy микротика при хождении компов через него не выдавал своего присутствия

нигде

Цитата:

а зачем так много?.. чтобы снизить нагрузку - в первую очередь надо уменьшать число очередей. PCQ в помощь

да, но pcq судя по описанию, выделяет полосу либо всей подсетке, либо на каждый адрес из этой подсетки, то есть
name="s_in" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=7000
name="s_out" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=7000

при этом выделится полоса для всей подсети скажем /29, где они поделят её между собой,

а при вот таких настройках

name="q_in" kind=pcq pcq-rate=128000 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=7000
name="q_out" kind=pcq pcq-rate=128000 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=7000

по 128к выделится каждому ip адресу из сети /29,
при условии конечно же установки правильной скорости в queue tree

объясни плиз, как может помочь pcq если мне надо что бы 100 подсеткам по /29 было отрезано по 128к,??? только просьба есть, без вопроса "зачем" 100 шейпов, давай предположим что есть такая задача.


Цитата:

главное выкурить http://wiki.mikrotik.com/wiki/Packet_Flow до просветления.

красиво сказано


Цитата:

грубейшая ошибка в этом плане - маркировка соединения заново для каждого пакета,

то есть, не совсем ясно что ты имеешь ввиду как это маркировка соединения заново?
можешь какой нибудь пример привести ?

Цитата:

только просьба есть, без вопроса "зачем" 100 шейпов

ну, если надо нарезать скорость на подсети, а не на отдельно стоящие адреса - то понятно, что пока что это единственное решение =)


Цитата:

какой нибудь пример

в свете поставленной задачи - что-либо вроде


Код: /ip firewall mangle

add chain=forward connection-mark=local_traf action=mark-packet new-packet-mark=local_traf passthrough=no

add chain=forward connection-mark=client_001 out-interface=Public action=mark-packet new-packet-mark=client_001_up passthrough=no
add chain=forward connection-mark=client_001 in-interface=Public action=mark-packet new-packet-mark=client_001_down passthrough=no
add chain=forward connection-mark=client_002 out-interface=Public action=mark-packet new-packet-mark=client_002_up passthrough=no
add chain=forward connection-mark=client_002 in-interface=Public action=mark-packet new-packet-mark=client_002_down passthrough=no

add chain=forward in-interface=!Public out-interface=!Public action=mark-connection new-connection-mark=local_traf passthrough=yes
add chain=forward connection-mark=local_traf action=mark-packet new-packet-mark=local_traf passthrough=no

add chain=forward src-address=10.0.0.0/29 out-interface=Public action=mark-connection new-connection-mark=client_001 passthrough=yes
add chain=forward dst-address=10.0.0.0/29 in-interface=Public action=mark-connection new-connection-mark=client_001 passthrough=yes
add chain=forward connection-mark=client_001 out-interface=Public action=mark-packet new-packet-mark=client_001_up passthrough=no
add chain=forward connection-mark=client_001 in-interface=Public action=mark-packet new-packet-mark=client_001_down passthrough=no

add chain=forward src-address=10.0.0.8/29 out-interface=Public action=mark-connection new-connection-mark=client_002 passthrough=yes
add chain=forward dst-address=10.0.0.8/29 in-interface=Public action=mark-connection new-connection-mark=client_002 passthrough=yes
add chain=forward connection-mark=client_002 out-interface=Public action=mark-packet new-packet-mark=client_002_up passthrough=no
add chain=forward connection-mark=client_002 in-interface=Public action=mark-packet new-packet-mark=client_002_down passthrough=no

Chupaka
помоги разобрать, я запутался.... думал хоть чуток стал разбираться,
но с этим QoS, понял, что ни чего не понимаю, а именно метка пакетов
в мангле...
подскажи почему первое правило не попадает под правила 6 и 7,
а следующие за ним правила 2,3,4,5 попадают под правила 6 и 7?
я что то вообще как то перестал верить мануалам...

Код: 1. add action=mark-routing chain=prerouting comment="Mark routing for Limit" disabled=no new-routing-mark=Limit_pcq passthrough=no src-address-list="(PCQ_Limit)"
2. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 1024" disabled=no new-routing-mark=Unlim_1024 passthrough=no src-address-list=07.Unlimit-1024
3. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 2048" disabled=no new-routing-mark=Unlim_2048 passthrough=no src-address-list=08.Unlimit-2048
4. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 3072" disabled=no new-routing-mark=Unlim_3072 passthrough=no src-address-list=09.Unlimit-3072
5. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=no src-address-list=10.Unlimit-4096
6. add action=mark-packet chain=prerouting comment=www disabled=no in-interface=pppoe-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80
7. add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 in-interface=LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp

vlh
ничего не понял... что значит "правило попадает под правило"?.. там же везде passthrough=no...

Цитата:

пока писал предыдущее - подумал тут, что ведь у нас при схеме /29 на клиента у каждого клиента явно отдельный интерфейс, поэтому даунлоад можно зарезать просто созданием очереди с соответствующим Parent и нужными ограничениями, ничего не маркируя - это вроде ещё больше должно снизить нагрузку на проц

нет немного не так, все /29 приходят на один интерфейс, поэтому такой вариант не катит.


Цитата:

в свете поставленной задачи - что-либо вроде

так как задачи отделять локальный трафик от паблик трафика нет, то думаю часть правил можно и не писать, оставить только,


Цитата:

add chain=forward src-address=10.0.0.8/29 out-interface=Public action=mark-connection new-connection-mark=client_002 passthrough=yes
add chain=forward dst-address=10.0.0.8/29 in-interface=Public action=mark-connection new-connection-mark=client_002 passthrough=yes
add chain=forward connection-mark=client_002 out-interface=Public action=mark-packet new-packet-mark=client_002_up passthrough=no
add chain=forward connection-mark=client_002 in-interface=Public action=mark-packet new-packet-mark=client_002_down passthrough=no

вот тут два вопроса,
первый чем chain=forward, при этой задачи лучше chain=prerouting?

и второй вопрос, как не крути получается что на каждого клиента придется делать connection-mark, отсюда есть конкретная заморочка, как я уже писал, если в мангл добавить даже просто маркировку пакетов для 100 шейпов, то есть по сути 200 записей, то даже при условии что пакеты не маркируются загрузка проца под 100% поднимается,
получается что если еще добавить и connection-mark, то записей уже будет 400,
и микрот вообще тогда загнется. И я конкренто не могу понять почему микрот реагирует на количество записей в мангле, по идее если правило стоит но попаданий нет то такое правило не может грузить проц, но в микроте почему то не так.

fdboss
у вас какое количество ограничений по скорости?
например для того что бы одной части клиентов ограничить скорость
в 1М, потребуется всего два правила в форварде, два правила в
queue type, и два правила в queue tree...
при чем не важно сколько будет клиентов, правил все равно будет столько..
если для другой части клиентов нужна другая скорость то умножьте
все на два...
Chupaka
первое правило направляет пакеты на PPPoE-2, соответственно эти пакеты не
не попадают под маркировку правила 6...
пакеты из правил 2-5 направляются на PPPoE-1, а так как правило 6 маркирует
пакеты на интерфейсе PPPoE-1 то соответственно пакеты из правил 2-5 попадают
под маркировку правила 6...
в данный момент так и работает, не работает только то что ни чего не попадает
под правило 7, которое должно маркировать пакеты на выход от клиентов, на
интерфейсе LAN (который смотрит в локальную сеть).
мне кажется, что выход в прероутинге метится как то по другому, не
на in.interface=LAN...
я правильно понимаю, что вход мы метим на внешнем интерфейсе в моем
случае это PPPOE, а выход метим на внутреннем интерфейсе LAN?

vlh


Цитата:

у вас какое количество ограничений по скорости?
например для того что бы одной части клиентов ограничить скорость
в 1М, потребуется всего два правила в форварде, два правила в
queue type, и два правила в queue tree...
при чем не важно сколько будет клиентов, правил все равно будет столько..
если для другой части клиентов нужна другая скорость то умножьте
все на два...

если бы все по жизни было так просто, то рай бы был на земле, я писал надо ограничить каждую сеть /29 на определенную скорость, где вы прочитали что мне надо группу ограничивать? тут не надо домысливать и что то менять, есть конкретная задача, а не что то вроде, а как мне ограничить кучу клиентов на энную скорость. что бы для более ясного понимания вот задача, есть 100 клиентов, каждый имеет по подсетке /29, требуется конкретно каждого клиента (соответственно каждую подсеть /29) ограничить 128 кбит/с,
расскажите мне как это сделать двумя правилами

Цитата:

fdbossтребуется конкретно каждого клиента (соответственно каждую подсеть /29) ограничить 128 кбит/с,

немного одно противоречит другому, не находите?
то есть имеется например одна подсеть из 6 клиентов, вам надо
каждому клиенту этой сети дать по 128 или на всю сеть?
если каждому то не вижу разницы ограничить всем ста клиентам,
а если на каждую сеть, в адресс листе придется создать примерно 32 списка,
в форварде 64 правила (вход и выход), в queue type два правила,
queue tree 64 правила..... о как
только не понятно, зачем такие выкрутасы?

Chupaka
вот схема движения пакетов:



как идет пакет из внешнего канала вроде смутно но понятно,
не понятно как он идет от пользователя в мир, то есть он так же заходит
в input interface? потом мангле прироутинг и дальше в глобал ин,
а потом в форвард?
если так, то не понятно где и как в мангле пометить пакеты в
прероутинге на выход...
расскажи как идут пакеты на выход от пользователя...

Цитата:

немного одно противоречит другому, не находите?
то есть имеется например одна подсеть из 6 клиентов, вам надо

реально улыбнуло, нет у меня нету подсетей из клиентов
у меня есть клиенты у каждого из которых имеется по 1 подсетке /29

если хочется понять то перечитайте все с самого начала, по второму кругу не охото писать все.

и я не просил совета, или объяснения сколько, чего и где мне надо будет создавать.

я спрашивал у Chupaka как правильнее будет создавать правила мангла, что бы снизить загрузку проца микрота, при определенных условиях.

Опять я взялся за модем Life. И опять не могу настроить.
МК 3.30, этой версией модем huawei E1550 поддерживается.

Serial terminal вижу модем.
Создал интерфейс.


Цитата:

[admin@MikroTik] /interface ppp-client> print
Flags: X - disabled, R - running

2 X name="life3" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2
data-channel=2 info-channel=2 apn="INTERNET.LIFE.COM.BY" pin=""
user="" password="" profile=default phone="*99***#" dial-command="ATDT"
modem-init="AT+CGDCONT=1,"IP","INTERNET"" null-modem=no
dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=chap

Цитата:

[admin@MikroTik] /interface ppp-client> info 2
status: "ready"
pin-status: "READY"
functionality: "minimum"
gprs-mode: "B - EDGE"
manufacturer: "huawei"
model: "E1550"
revision: "11.608.13.02.00"
serial-number: "358811030424616"
current-operator: "BeST BY"
signal-strengh: -95

Вот что в логе, когда включаю интерфейс.

Цитата:

12:50:14 async,ppp,info life3: initializing modem...
12:50:14 async,ppp,info life3: dialing out...

В окне PPP пишет Link established.

Но аутентификация не проходит. Пользователь, и пароль пустые, аут. только CHAP посмотрел в виндовом соединении.

Не понимаю куда копать!

fdboss
прочитал, у нас с вами одна проблема, мы до конца не понимаем Packet Flow,
и что самое плохое ни где не могу найти подробного описания движения
пакетов в Packet Flow, ссылку что приводит Chupaka она конечно
хорошая, но там не очень подробно все расписано, а без этого возникают
вопросы которые мы с вами и задаем...

Цитата:

прочитал, у нас с вами одна проблема, мы до конца не понимаем Packet Flow,
и что самое плохое ни где не могу найти подробного описания движения
пакетов в Packet Flow, ссылку что приводит Chupaka она конечно
хорошая, но там не очень подробно все расписано, а без этого возникают
вопросы которые мы с вами и задаем...

я бы так не сказал, вы пытаетесь понять схему прохождения пакетов, у меня не такой задачи, тем более эта схема есть в доке, тут все просто, если у вас мало шейпов 5, 10, 20

то можно и не заморачивать в какой цепочке маркировать пакеты и как это делать, при таком раскладе можно как угодно делать, проще всего тупо маркировать пакеты и все, без всяких connection-mark, и по большому счету не важно форвард или прероутиг,

у меня совсем другая вещь у меня охриненное количество шейпов, вследствие чего большая загрузка проца, вот тут уже важно где, маркировать и как маркировать пакеты, но на мой взгляд, схема не ответит на этот вопрос, так как в схеме не сказано где маркировать и как маркировать пакеты при условии большого количества манглов, и высокой загруки проца., мне может помочь только опыт, то есть человек который в живую прочувствовал, при каких условиях загрузка проца минимальна будет. я воспринимаю слова "вкурить до просветления" это собрать стенд и затестить разные варианты исходя из схемы, но это больше похоже на изобретение велосипеда, и к огромному сожалению я просто не имею такой возможности.

Цитата:

все /29 приходят на один интерфейс, поэтому такой вариант не катит

эммм... курсы в Институте по созданию искусственных проблем?..


Цитата:

часть правил можно и не писать

причём только ту часть, которая касается local_traf. если оставить только предложенное - то опять же теряется смысл connection-mark, и лучше сразу маркировать пакеты. подробности - чуть ранее


Цитата:

чем chain=forward, при этой задачи лучше chain=prerouting?

например, тем, что при использовании натирования входящий трафик в prerouting имеет dst-address=адрес_натирования


Цитата:

я конкренто не могу понять почему микрот реагирует на количество записей в мангле, по идее если правило стоит но попаданий нет то такое правило не может грузить проц, но в микроте почему то не так

все правила проверяются по порядку до совпадения. поэтому чем больше правил, тем больше правил проверяется в худшем случае. именно поэтому в моём примере сначала идут правила, которые метят пакеты уже помеченных соединений - и на этом их работа заканчивается, обрабатывается следующий пакет. а уж если пакет открывает новое соединение - то работает второй блок правил, в котором метятся соединения и пакеты под них - для того, чтобы остальные пакеты данного соединения обрабатывались первым блоком правил, на основании уже существующей метки соединения

Добавлено:

Цитата:

мне может помочь только опыт, то есть человек который в живую прочувствовал, при каких условиях загрузка проца минимальна будет

где бы такого найти... я, если не хватает мощности, просто делаю апгрейд железа... да, я ленивый =)


Цитата:

я воспринимаю слова "вкурить до просветления" это собрать стенд и затестить разные варианты исходя из схемы

насколько помню, там это было ответом на вопрос, в каком месте лучше что-то маркировать... поэтому и отправил в Packet Flow - ибо в разных цепочках пакеты даже выглядят не всегда одинаково. к нагрузке на проц это никакого отношения не имело

Цитата:

fdbossтут все просто

может быть, если вам все понятно, то может вы подскажете
как пометить пакеты для шейпера PCQ и для QoS например
для нескольких групп, эта двойная маркировка меня уже достала...
отдельно шейпер PCQ работает с ним проблем нет, а вот теперь
пытаюсь прикрутить QoS для приоритета трафика, мечу его в прероутинге
так как в форварде метиться пакеты для PCQ, и ни как не могу понять как пометить исходящие пакеты для групп... src и dst в прероутинге не работают,
так как и in.interface LAN тоже не катит...

Цитата:

насколько помню, там это было ответом на вопрос, в каком месте лучше что-то маркировать... поэтому и отправил в Packet Flow - ибо в разных цепочках пакеты даже выглядят не всегда одинаково. к нагрузке на проц это никакого отношения не имело

сори значит немного не допонили друг друга
Цитата:

где бы такого найти... я, если не хватает мощности, просто делаю апгрейд железа... да, я ленивый =)

ну ладно прибедняться, у тебя же опыт не слабый в микротах.




Цитата:

например, тем, что при использовании натирования входящий трафик в prerouting имеет dst-address=адрес_натирования

не, не, не, я же не писал про то что у меня еще и нат стоит, никакого ната нет.
поэтому вопрос открыт
чем chain=forward, при этой задачи лучше chain=prerouting? естетсвенно в моем случае.


Цитата:

эммм... курсы в Институте по созданию искусственных проблем?..

то есть, не совсем понял данный комент.

Добавлено:

Цитата:

как пометить пакеты для шейпера PCQ и для QoS например
для нескольких групп, эта двойная маркировка меня уже достала...
отдельно шейпер PCQ работает с ним проблем нет, а вот теперь
пытаюсь прикрутить QoS для приоритета трафика, мечу его в прероутинге
так как в форварде метиться пакеты для PCQ, и ни как не могу понять как пометить исходящие пакеты для групп... src и dst в прероутинге не работают,
так как и in.interface LAN тоже не катит...

брр..для начала надо знать что хочется получить, и второе как вы понимает QOS только своими словами, если вы делаете просто приоритет трафика между двумя группами пользователей, то создайте просто древо в queues tree и все, зачем вам два раза метить пакеты.
если уж по большому счету взять то QOS, это так сказать просто глобальное обозначение, и по сути PCQ это инструмент для реализации QOS, ну это конечно ИМХО

Цитата:

fdboss
брр..для начала надо знать что хочется получить, и второе как вы понимает QOS только своими словами, если вы делаете просто приоритет трафика между двумя группами пользователей, то создайте просто древо в queues tree и все, зачем вам два раза метить пакеты.

нет не приоритет трафика между группами, а приоритет трафика например
TCP над UDP на всем канале...то есть сначала входящий и исходящий трафик
должен распределится по приоритету например TCP-1 UDP-8, а потом еще и
на резаться по скорости для каждого клиента...

P.S.
вот по этой схеме: Packet_Flow
рисунок - Routing - from Ethernet to Ethernet interface пакет который приходит
к пользователю из интернета он попадает в input interface и далее по цепочки и выходит
через output interface? я правильно понимаю, а вот пакет который идет от пользователя
в интернет он тоже попадает в input interface и далее по цепочки?
если да то он попадает в прероутинг где у меня метятся пакеты на выход, но под это правило
ни чего не попадает...
то есть как пометить исходящие пакеты в прероутинге от пользователя или от группы пользователей?

Цитата:

а вот пакет который идет от пользователя
в интернет он тоже попадает в input interface и далее по цепочки?

насколько я понимаю в схеме рассматривается прохождение пакета, не просто туды сюды,
а глобально, нет интерфейса инпут и оутпут, все зависит от того с какой точки ты смотришь,
интерфейс он одновременно и инпут и оутпут, то есть тот интерфейс который смотрит с мир для пакета в мир является аутпутом, но тотже интерфейс в мир для обратного пакета является инпутом, так что пакет при любом раскладе какой бы он не был попадает на инпут.

сейчас Chupaka меня поправит если я еще не достиг просветления , насколько я вообще понял микрот не отталкивается от физических интерфейсов, в микроте ты как бы по середине,

а что касается того что что то куда то в мангле не попадает, это надо смотреть все мангл целиком от 1 до последнего правила, если мангл написан верно, а попаданий нет, значит он просто не в том месте стоит.

Доброго времени! Нужна помощь.
Крутится тик 3,30, на нем dhcp-сервер по макам раздает адреса, которым в арп-листе разрешен доступ, естественно шейп шейпит. Как прикрутить правильно User Manager чтоб управлять уже существующими пользователями/адресами которые есть в арп-листе. Нужно енабл/дисабл по дате и все. . Или как-то отключать по дате по-другому. Биллинг не предлагать, буду позже ставить.
Заранее сенкс

Цитата:

src и dst в прероутинге не работают

прекрасно работают... у меня, по крайней мере...


Цитата:

чем chain=forward, при этой задачи лучше chain=prerouting? естетсвенно в моем случае

например, тем, что я использовал в правилах out-interface - в прероутинге он ещё, естественно, неизвестен


Цитата:

то есть, не совсем понял данный комент

зачем на один интерфейс вешать несколько подсетей? не верю, что они несмежные %)


Цитата:

а что касается того что что то куда то в мангле не попадает, это надо смотреть все мангл целиком от 1 до последнего правила, если мангл написан верно, а попаданий нет, значит он просто не в том месте стоит

присоединяюсь к мнению предыдущего оратора


Цитата:

которым в арп-листе разрешен доступ

поподробнее можно? ARP-лист никакого отношения к разрешению/запрещению доступа не имеет, строго говоря...


Цитата:

Биллинг не предлагать

UserManager - это и есть биллинг. насколько он адаптирован под DHCP - не знаю, но теоретически можно заставить его выдавать адреса только тем, у кого всё в порядке со всякими балансами...

Цитата:

поподробнее можно? ARP-лист никакого отношения к разрешению/запрещению доступа не имеет, строго говоря...

Имеет, если в интерфейсе, который смотрит в сеть, стоит ARP - reply only. Соответственно записи в арп-листе только статистические и доступ только им разрешен. Их можно енебл/дисебл. ДХЦП-сервер в свою очередь по макам присваивает определенный адрес (make statik). Если этот адрес есть в арп и включен, то идет инет к клиенту. Получаеться авторизация по маку.

Цитата:

UserManager - это и есть биллинг.

Я понимаю что UserManager - это и есть биллинг, я имел ввиду сторонний типа нодени или абилса или самописного. Я где-то читал что через юзер манагер можно сделать авторизацию по мак-адресу. Можете подсобить как правильно настроить юзер манагер, что-то читаю мануал на сайте тика и не пойму что мне нужно, через хот-спот, дхцп и т.д. А я в нем сам уже поковыряюсь.

dandul
при авторизации DHCP в качестве имени пользователя отсылается MAC-адрес. вот и набить ЮзерМанагер маками, а потом поставить поменьше время аренды. валидный юзер получает адрес - и работает (не забыть Add ARP for Leases в DHCP), невалидный - адрес не получает, связи нет

Цитата:

Chupaka
прекрасно работают... у меня, по крайней мере..

тогда посмотрите что не так...
с верху вниз:

Код: 1. add action=change-ttl chain=prerouting comment="" disabled=no new-ttl=set:128
2. add action=mark-routing chain=prerouting comment="Mark routing smtp1" disabled=no dst-port=25 new-routing-mark=smtp_routing passthrough=no protocol=tcp src-address=192.168.0.0/24
3. add action=mark-routing chain=prerouting comment="" disabled=no dst-port=25 new-routing-mark=smtp_routing passthrough=no protocol=tcp src-address=192.168.16.0/24
4. add action=mark-routing chain=prerouting comment="" disabled=no dst-port=25 new-routing-mark=smtp_routing_server passthrough=no protocol=tcp src-address=172.16.16.2
5. add action=mark-routing chain=prerouting comment="Mark routing ftp" disabled=no dst-address-list=wlc new-routing-mark=ftp_rout passthrough=no
6. add action=mark-routing chain=prerouting comment="Mark routing for Server" disabled=no new-routing-mark=server_route passthrough=no src-address-list=Server
7. add action=mark-routing chain=prerouting comment="Mark routing for Limit" disabled=no new-routing-mark=Limit_pcq passthrough=no src-address-list="(Limit)"
8. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 1024" disabled=no new-routing-mark=Unlim_1024 passthrough=no src-address-list=07.Unlimit-1024
9. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 2048" disabled=no new-routing-mark=Unlim_2048 passthrough=no src-address-list=08.Unlimit-2048
10. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 3072" disabled=no new-routing-mark=Unlim_3072 passthrough=no src-address-list=09.Unlimit-3072
11. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=no src-address-list=10.Unlimit-4096
12. add action=mark-packet chain=prerouting comment=icmp disabled=no in-interface=pppoe-1 new-packet-mark=icmp_in_unl passthrough=no protocol=icmp
13. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=icmp_out_unl passthrough=no protocol=icmp
14. add action=mark-packet chain=prerouting comment=www connection-bytes=0-1000000 disabled=no in-interface=pppoe-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80
15. add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 in-interface=LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp
16. add action=mark-packet chain=prerouting comment=tcp disabled=no in-interface=pppoe-1 new-packet-mark=tcp_in_unl passthrough=no protocol=tcp
17. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=tcp_out_unl passthrough=no protocol=tcp
18. add action=mark-packet chain=prerouting comment=udp disabled=no in-interface=pppoe-1 new-packet-mark=udp_in_unl passthrough=no protocol=udp
19. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_out_unl passthrough=no protocol=udp
20. add action=mark-packet chain=prerouting comment=other disabled=no in-interface=pppoe-1 new-packet-mark=other_in_unl passthrough=no
21. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=other_out_unl passthrough=no
22. add action=change-mss chain=forward comment="" disabled=no new-mss=1380 protocol=tcp tcp-flags=syn tcp-mss=1381-65535

ИМХО
Цитата:

phone="*99***#" modem-init="AT+CGDCONT=1,"IP","INTERNET"

- лишнее. У меня там пусто. Проверьте ещё
Цитата:

apn="INTERNET.LIFE.COM.BY"

точно такое название? Чёто как-то заююченно больно.
Цитата:

только CHAP посмотрел в виндовом соединении

- это тоже зря, лучше все алго вкл.

Простите, возможно не совсем в тему - вопрос следующий-
Микротик - это по сути роутерная надстройка над линуксом. Ядро системы - линукс. А вот именно какой? какой репозиторий подойдет? суть проблемы в установке дополнительных пакетов rpm (например GCC) на этот линукс (не путать с npk-пакетами микротика).

vlh
очень много букаф и полное отсутствие желания вчитываться в список правил для дофига пакетов, но ответ вроде как содержится в вопросе - поскольку passthrough везде "no" - то как только доходим до сработавшего правила, дальнейшая обработка правил прекращается

cambit
ядро системы - кернел. никаких репозиториев и систем управления пакетами - только npk

Ура заработало, вот так:

Цитата:

2 X name="life3" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2
data-channel=0 info-channel=2 apn="INTERNET.LIFE.COM.BY" pin=""
user="" password="" profile=default phone="*99***#" dial-command="ATDT"
modem-init="AT+CGDCONT=1,"IP","INTERNET"" null-modem=no
dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=chap

Поменял только data-channel=0, но по терминалу к 0 каналу не мог подключится. Поэтому и не пробовал.
Другие значения в modem-init не работают.
Вообщем работает, интернет по PPPoE раздается, для дома нормально.
Позже скручу как-нибудь вместе с каналом DSL.
Белорусский LIFE, модем E1550, MT 3.30.