» MikroTik RouterOS (часть 3)

Цитата:

или все таки первый вариант правильнее?..

ну, я предпочитаю для понятливости создавать родителя для схожих групп очередей =)


Цитата:

вот это правило оно метит пакеты только на вход?

нет, оно метит все пакеты соединения, на вход и на выход


Цитата:

можно ли указывать на каком интерфейсе метить

можно, в правиле, которое пакеты метит. т.е. надо правила создавать по числу интерфейсов, например


Цитата:

подскажите как фильтровать сайты по URL ?
Неужели только через прокси ?

именно так


Цитата:

получаю тайм-аут от прокси

в каком виде?

fdboss
может и косяк... а адрес при этом нормальный? а недоступен он из своей подсети тоже? а передёргивание роута не меняет ситуации?

Цитата:

Chupaka
ну, я предпочитаю для понятливости создавать родителя для схожих групп очередей

я уже сам до думал, что нужен родитель, и он будет регулировать кому сколько..


Цитата:

нет, оно метит все пакеты соединения, на вход и на выход

но вроде при входе в прероутинг из интернета к пользователю dst-port=80
должен быть src-port=80?


Цитата:

можно, в правиле, которое пакеты метит. т.е. надо правила создавать по числу интерфейсов, например

наверное так:

Код: add action=mark-connection chain=prerouting comment="" disabled=no dst-port=80 new-connection-mark=conn_www passthrough=yes protocol=tcp
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www disabled=no in-interface=LAN new-packet-mark=www_out_1 passthrough=no src-address-list=group-1
add action=mark-packet chain=prerouting comment="" disabled=no \
dst-address-list=group-1 in-interface=PABLIC new-packet-mark=www_in_1 \
passthrough=no

Цитата:

получаю тайм-аут от прокси

в каком виде?

Страничку html от прокси где написанно что time-out.

Цитата:

но вроде при входе в прероутинг из интернета к пользователю dst-port=80
должен быть src-port=80?

из интернета - да. а от пользователя - нет. а ведь мы метим соединение, а не отдльные пакеты


Цитата:

наверное так

выше уже было упомянуто, что в прероутинге

Цитата:

dst-address-list=group-1

не отработает ни разу =)

надо метить соединения на основании группы, а потом уже использовать метку соединения вместо списков адресов

немного прояснилось
тогда наверное так:

Код: add action=mark-connection chain=prerouting comment="" disabled=yes dst-port=80 new-connection-mark=conn_www passthrough=yes protocol=tcp \
src-address-list=group-1
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www disabled=yes in-interface=LAN new-packet-mark=www_out passthrough=no
add action=mark-packet chain=prerouting comment="" disabled=yes in-interface=\
PABLIC new-packet-mark=www_in passthrough=no

Цитата:

может и косяк... а адрес при этом нормальный? а недоступен он из своей подсети тоже? а передёргивание роута не меняет ситуации?

адрес конечно нормальный, нет он не доступен в принципе, и из своей и из вне,
там в таблице отсутствует локальный роут вида:
dst-address=192.168.0.0/30 pref-src=192.168.0.1 interface=vlan777 distance=0 scope=10

то есть микрот не видит что у него есть ip адрес

и он появляется только если выключить и включить ip address. ребуты не помогают.

сделал костыль в виде скрипта на микроте который выключает и включает ip адрес,
но не нашел как сделать что бы скрипт запускался один раз через скажем 10 секунд после загрузки, и больше не запускался.

потом все таки допинал проблему, это действительно косяк в 4.11 версии, если на 5.0rc1 перешить, то проблема эта исчезает, но появляется другая, 5.0 все таки сыровата,

vlh
да, как-то так


Цитата:

как сделать что бы скрипт запускался один раз через скажем 10 секунд после загрузки, и больше не запускался

/system scheduler
add name=schedule1 start-time=startup on-event=":delay 10; <bla-bla-bla>"

Добавлено:

Цитата:

если на 5.0rc1 перешить, то проблема эта исчезает, но появляется другая

поскольку не написано, какая "другая", совет только один - использовать актуальную версию. на данный момент - 5.0rc2

Chupaka
подскажи какой из вариантов правильнее, если не считать что
во втором в несколько раз больше правил надо создавать в мангле
и трее?
есть 4 группы с разными скоростями и все они направлены на один канал,
в первом варианте я сделал QoS на весь канал а во втором QoS на каждую
группу, оба варианта рабочие, только ни пойму есть ли в них разница.
первый:
шейпер:
http://radikal.ru/F/s014.radikal.ru/i327/1010/92/e1c7da504bc8.jpg.html
кос:
http://radikal.ru/F/s016.radikal.ru/i336/1010/a2/cb5060f07248.jpg.html
второй:
тот же шейпер:
http://radikal.ru/F/s014.radikal.ru/i327/1010/92/e1c7da504bc8.jpg.html
кос:
http://radikal.ru/F/s009.radikal.ru/i309/1010/81/f95f0127e23f.jpg.html
не могу смоделировать ситуацию в которой какой то из вариантов будет хуже..

Просмотрел весь топик, покопался в инете, но ответ на вопрос так и не нашел - можно ли в Микротике поднять L2TP over IPSEC тунель до RRAS сервера, используя pre-shared-key ? Если можно - то ткните пальцем, где почитать. Заранее спасибо.

подскажите как vendor-name на микротике изменить (routeros 3.30)

vlh
я бы не стал городить огород =) за простотой будущее ))


Цитата:

как vendor-name на микротике изменить

а как его посмотреть?..

уже нашёл , не помого а посмотреть его можно в логах пптп соединения, по умолчанию очень палевно : MikroTik ) а поменять можно в бинарнике который лежит в /nova/bin/ppp

есть несколько каналов pppoe на микротике с настроенной балансировкой pcc. на основе both-address
вопрос как сделать так чтобы icq шла только по одному каналу?
балансировка:
ip firewall mangle
add action=mark-connection chain=input comment="" disabled=no in-interface=PPPoE-900 new-connection-mark=p900_conn passthrough=no
add action=mark-connection chain=input comment="" disabled=no in-interface=PPPoE-901 new-connection-mark=p901_conn passthrough=no
add action=mark-routing chain=output comment="" connection-mark=p901_conn disabled=no new-routing-mark=to_p901 passthrough=no
add action=mark-routing chain=output comment="" connection-mark=p902_conn disabled=no new-routing-mark=to_p902 passthrough=no
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local new-connection-mark=p900_conn passthrough=yes per-connection-classifier=both-addresses:1/0 src-address=192.168.0.0/24
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local new-connection-mark=p901_conn passthrough=yes per-connection-classifier=both-addresses:2/1 src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment="" connection-mark=p900_conn disabled=no new-routing-mark=to_p900 passthrough=no src-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment="" connection-mark=p901_conn disabled=no new-routing-mark=to_p901 passthrough=no src-address=192.168.0.0/24
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=PPPoE-900
add action=masquerade chain=srcnat comment="" disabled=no out-interface=PPPoE-901
/ip route
add check-gateway=arp comment="PPPoE 900 - Distance 1" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-900 routing-mark=to_p900 scope=30 target-scope=10
add check-gateway=arp comment="PPPoE 900 - Distance 2" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=PPPoE-901 routing-mark=to_p900 scope=30 target-scope=10
add check-gateway=arp comment="PPPoE 901 - Distance 1" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=PPPoE-901 routing-mark=to_p901 scope=30 target-scope=10
add check-gateway=arp comment="PPPoE 901 - Distance 2" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=PPPoE-900 routing-mark=to_p901 scope=30 target-scope=10

Подскажите как сделать чтобы на фтп в логах были адреса снаружи а не шлюза. есть мт 2 карты одна в пров другая в свитч, в свитч воткнут еще фтп. Так вот у него в логах, все конекты с наружи, ип шпюза второй карты (мт). в нате указал дстнат с внешнего 21 порта на внутренний 21.

Цитата:

в нате указал дстнат с внешнего 21 порта на внутренний 21

и сделал ещё src-nat. его убрать для подключений, выходящих на втором порту

ёёё всё заработал..отлично.

А кто ни будь использует ip packing на микротах, ? как ощущение ?
я что то включил, и разницы не ощутил.
на микроте можно как то посмотреть вообще работают эти настройки или нет ?

fdboss
ip packing работает когда микротики с двух сторон

Цитата:

GawkV

ну так ясень день, что только на микротиках

Помогите решить задачу. Имеется микротик, на котором создал впн. Подключаюсь по впн к микротику. Но вот сети которая за микротиком не вижу... что тужно настроить еще... Подскажите плиз...

Проверьте правильность настроек шейпера и фаервола

/ip firewall filter
add action=drop chain=input comment="Drop invalid connection packets" \
connection-state=invalid disabled=no
add action=drop chain=input comment="Drop SSH" disabled=no dst-port=22 \
in-interface=WAN protocol=tcp
add action=drop chain=output comment="Drop SSH" disabled=no dst-port=22 \
out-interface=WAN protocol=tcp
add action=accept chain=input comment=" allow winbox admin" disabled=no \
dst-port=8291 in-interface=!WAN protocol=tcp
add action=accept chain=input comment="Allow established connections" \
connection-state=established disabled=no
add action=accept chain=input comment="Allow related connections" \
connection-state=related disabled=no
add action=accept chain=input comment="Allow UDP" disabled=no protocol=udp
add action=accept chain=input comment="Allow ICMP Ping" disabled=no protocol=\
icmp
add action=drop chain=input comment="default configuration" disabled=no \
in-interface=WAN



/ip firewall mangle
add action=mark-connection chain=forward comment=Up_Lan4 disabled=no \
in-interface=LAN4 new-connection-mark=Up_Lan4 out-interface=PPPoE \
passthrough=yes src-address=10.10.13.0/24
add action=mark-packet chain=forward comment="" connection-mark=Up_Lan4 \
disabled=no in-interface=LAN4 new-packet-mark=Up_Lan4_Pack out-interface=\
PPPoE passthrough=yes src-address=10.10.13.0/24
add action=mark-connection chain=forward comment=Down_Lan4 disabled=no \
dst-address=10.10.13.0/24 in-interface=PPPoE new-connection-mark=\
Down_Lan4 out-interface=LAN4 passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=Down_Lan4 \
disabled=no dst-address=10.10.13.0/24 in-interface=PPPoE new-packet-mark=\
Down_Lan4_Pack out-interface=LAN4 passthrough=yes
add action=mark-connection chain=forward comment=Up_Lan3 disabled=no \
in-interface=LAN3 new-connection-mark=Up_Lan3 out-interface=PPPoE \
passthrough=yes src-address=10.10.12.0/24
add action=mark-packet chain=forward comment="" connection-mark=Up_Lan3 \
disabled=no in-interface=LAN3 new-packet-mark=Up_Lan3_Pack out-interface=\
PPPoE passthrough=yes src-address=10.10.12.0/24
add action=mark-connection chain=forward comment=Down_Lan3 disabled=no \
dst-address=10.10.12.0/24 in-interface=PPPoE new-connection-mark=\
Down_Lan3 out-interface=LAN3 passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=Down_Lan3 \
disabled=no dst-address=10.10.12.0/24 in-interface=PPPoE new-packet-mark=\
Down_Lan3_Pack out-interface=LAN3 passthrough=yes
add action=mark-connection chain=forward comment=Up_Lan2 disabled=no \
in-interface=LAN2 new-connection-mark=Up_Lan2 out-interface=PPPoE \
passthrough=yes src-address=10.10.11.0/24
add action=mark-packet chain=forward comment="" connection-mark=Up_Lan2 \
disabled=no in-interface=LAN2 new-packet-mark=Up_Lan2_Pack out-interface=\
PPPoE passthrough=yes src-address=10.10.11.0/24
add action=mark-connection chain=forward comment=Down_Lan2 disabled=no \
dst-address=10.10.11.0/24 in-interface=PPPoE new-connection-mark=\
Down_Lan2 out-interface=LAN2 passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=Down_Lan2 \
disabled=no dst-address=10.10.11.0/24 in-interface=PPPoE new-packet-mark=\
Down_Lan2_Pack out-interface=LAN2 passthrough=yes
add action=mark-connection chain=forward comment=Up_Lan1 disabled=no \
in-interface=LAN1 new-connection-mark=Up_Lan1 out-interface=PPPoE \
passthrough=yes src-address=10.10.10.0/25
add action=mark-packet chain=forward comment="" connection-mark=Up_Lan1 \
disabled=no in-interface=LAN1 new-packet-mark=Up_Lan1_Pack out-interface=\
PPPoE passthrough=yes src-address=10.10.10.0/25
add action=mark-connection chain=forward comment=Down_Lan1 disabled=no \
dst-address=10.10.10.0/25 in-interface=PPPoE new-connection-mark=\
Down_Lan1 out-interface=LAN1 passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=Down_Lan1 \
disabled=no dst-address=10.10.10.0/25 in-interface=PPPoE new-packet-mark=\
Down_Lan1_Pack out-interface=LAN1 passthrough=yes
add action=mark-connection chain=forward comment=Up_WI-FI disabled=no \
in-interface=LAN1 new-connection-mark=Up_Lan1/2 out-interface=PPPoE \
passthrough=yes src-address=10.10.10.128/25
add action=mark-packet chain=forward comment="" connection-mark=Up_Lan1/2 \
disabled=no in-interface=LAN1 new-packet-mark=Up_Lan1/2_Pack \
out-interface=PPPoE passthrough=yes src-address=10.10.10.128/25
add action=mark-connection chain=forward comment=Down_WI-FI disabled=no \
dst-address=10.10.10.128/25 in-interface=PPPoE new-connection-mark=\
Down_Lan1/2 out-interface=LAN1 passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=Down_Lan1/2 \
disabled=no dst-address=10.10.10.128/25 in-interface=PPPoE \
new-packet-mark=Down_Lan1/2_Pack out-interface=LAN1 passthrough=yes


/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
max-limit=1M name=Port1_Up packet-mark=Up_Lan1_Pack parent="Up Stream" \
priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
max-limit=1M name=Port3_Up packet-mark=Up_Lan3_Pack parent="Up Stream" \
priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
max-limit=1M name=Port4_Up packet-mark=Up_Lan4_Pack parent="Up Stream" \
priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=14M name=Port1_Down packet-mark=Down_Lan1_Pack parent=\
"Down Stream" priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=14M name=Port3_Down packet-mark=Down_Lan3_Pack parent=\
"Down Stream" priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=14M name=Port4_Down packet-mark=Down_Lan4_Pack parent=\
"Down Stream" priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=14M name=Port2_Down packet-mark=Down_Lan2_Pack parent=\
"Down Stream" priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
max-limit=1M name=Port2_Up packet-mark=Up_Lan2_Pack parent="Up Stream" \
priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=3M \
max-limit=14M name=Port1_WI-FI_Down packet-mark=Down_Lan1/2_Pack parent=\
"Down Stream" priority=8 queue=ethernet-default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k \
max-limit=1M name=Port1_WI-FI_Up packet-mark=Up_Lan1/2_Pack parent=\
"Up Stream" priority=8 queue=ethernet-default

Chupaka
подскажи, можно ли с терминала изменить правило
в мангле но не по номеру, а например по комментарию?
так как правила могут удаляться и добавляться, контролировать
в скрипте номер правила в мангле не всегда удобно...

насколько я помню чисто по коменту нельзя, а вот сделать поиск по коменту и получить динамический номер можно. Собственно я делаю именно так.

Цитата:

Подключаюсь по впн к микротику. Но вот сети которая за микротиком не вижу...

какая адресация в vpn/сети?


Цитата:

Проверьте правильность настроек шейпера и фаервола

проверка делается элементарно: если рботает, как задумано - настройка правильная


Цитата:

можно ли с терминала изменить правило
в мангле но не по номеру, а например по комментарию?

да, как и сказал fdboss. например, /ip fi disable [find comment="preved"]

Chupaka
спасибо разобрался...

Цитата:

Chupaka
какая адресация в vpn/сети?

Сеть имеет адреса 192.168.1.0/24

Цитата:

Сеть имеет адреса 192.168.1.0/24

почему все видят только половину моих вопросов? а в vpn какие адреса?

Доброго времени.
Может, кому окажется полезной данная информация...
"Играясь" с настройками, в NAT случайным образом, выбрал протокол ICMP для переброски на один из интерфейсов, при загрузке каналов на 75% средний пинг упал со 110 до 45 ....
Теперь закачку поднял до 85%

Цитата:

выбрал протокол ICMP для переброски на один из интерфейсов

т.е. при пинге отвечает не пингуемая машина, а роутер, и трассировка дальше роутера ничего не показывает? паливо

Цитата:

а в vpn какие адреса?

Не совсем понял что имеется ввиду... когда создаю юзера для vpn даю ему адреса Local - 192.168.1.26 Remote - 192.168.1.45.
Если я не то написал, подскажите плиз куда смотреть.