ИП на компе 172.16.18.10, маска 255.255.255.0, шлюз 172.16.18.1, ДНС 172.16.18.1
» MikroTik RouterOS (часть 3)
grrrrrrr1
всё, все виды кофе закончились, жди Чупаку =)
всё, все виды кофе закончились, жди Чупаку =)
BigElectricCat
Керио использую версию Control, которая на линуксовом ядре, т.е. сама как операционка ставится, типа микротика ))) И умеет он только коннектиться либо к PPTP либо к PPPoE серверам, к L2TP пока они не реализовали.
У керио, к моему огромному сожалению нет вообще не PPTP не L2TP ни PPPoE сервера.
Есть только их собственный VPN сервис, с которым могут работать только их же програмные клиенты.
Керио использую версию Control, которая на линуксовом ядре, т.е. сама как операционка ставится, типа микротика ))) И умеет он только коннектиться либо к PPTP либо к PPPoE серверам, к L2TP пока они не реализовали.
У керио, к моему огромному сожалению нет вообще не PPTP не L2TP ни PPPoE сервера.
Есть только их собственный VPN сервис, с которым могут работать только их же програмные клиенты.
Цитата:
Chupaka
да. торренты: словили пакет на интерфейсе пользователя -> forward -> интернет, обратно той же дорогой через forward
веб: словили пакет на интерфейсе пользователя, редиректнули -> input -> прокся отрабатывает запрос, соединяется с сайтом (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно), получает страницу -> output -> довольный пользователь
на словах вроде понятно, спасибо....
далее, перед или после этих правил:
Код: add action=mark-packet chain=forward comment=1M disabled=no in-interface=LAN new-packet-mark=packet_1m_out passthrough=no src-address-list=Unlimit-1
add action=mark-packet chain=forward comment="" disabled=no dst-address-list=Unlimit-1 in-interface=PABLIC_1 new-packet-mark=packet_1m_in passthrough=no
Тоже вопрос по поводу прокси. На данный момент у меня все работает через NAT. Когда я включаю прозрачный прокси - у меня начинает ходить только HTTP трафик. Выходит для почты, icq и прочих нужных сервисов надо отдельные правила в dstnat?
Цитата:
у них прописан деф. гатевэй (не микротик) для лок. сетей
для локальных сетей надо указывать не дефолтовый гейтвей, а маршруты на конкретные сети - либо ручками, либо через DHCP раздавать
Добавлено:
Цитата:
все виды кофе закончились, жди Чупаку =)
уххх... я, наверное, много пропустил... а там столько букаф... глаза разбегаются... можно вкратце суть проблемы?
vlh
наоборот: в input - ловим по src-address-list, в output - по dst
Цитата:
оно получается нужно одно и не важно сколько у меня внешних интерфейсов?
Цитата:
правила NAT для внешних интерфейсов мы оставляем, так как через них
будет работать все остальное не относящиеся к прокси?
именно так
Цитата:
как с этим в прокси у МТ?
вообще не подскажу. вроде раньше (когда мы его ещё пользовали, на ранней v3) пользователи не жаловались
Chupaka
Так всё прописано, пока не включен PPP у клиента всё работает. DHCP не микротик.
Но когда поднимается PPP то всё заворачивается в него.
Хочу так и оставить, Но сделать чтобы микротик заворачивал в нужный шлюз.
Так всё прописано, пока не включен PPP у клиента всё работает. DHCP не микротик.
Но когда поднимается PPP то всё заворачивается в него.
Хочу так и оставить, Но сделать чтобы микротик заворачивал в нужный шлюз.
Цитата:
Когда я включаю прозрачный прокси - у меня начинает ходить только HTTP трафик
каким правилом? не должно быть такой реакции, если правило затрагивает только порт 80
Код:
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=dstnat action=redirect to-ports=8080 protocol=tcp in-interface=local
dst-port=80
1 chain=dstnat action=dst-nat to-addresses=<PC1> to-ports=1125
protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=1125
2 chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=1124
protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=1124
3 chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=1125
protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=3003
4 chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=6000
protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=6000
5 chain=dstnat action=dst-nat to-addresses=<PC2> to-ports=3389
protocol=tcp dst-address=<inet_ip> in-interface=ppp1 dst-port=9800
6 chain=srcnat action=masquerade out-interface=!local
Цитата:
появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?
П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.
Цитата:
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN1
1 172.16.18.1/22 172.16.18.0 172.16.18.255 LAN2
2 D 94.241.234.98/32 217.9.147.93 0.0.0.0 \FB\EE\EB\E3\E0
а правил фаервола нет вообще
вот вкратце суть проблемы помогите кто чем может
Цитата:
1 172.16.18.1/22 172.16.18.0 172.16.18.255 LAN2
Возможно должно быть
1 172.16.18.1/24 172.16.18.0 172.16.18.255 LAN2
Цитата:
Возможно должно быть
1 172.16.18.1/24 172.16.18.0 172.16.18.255 LAN2
да, поменял на /24, проблема осталась
dsm150
Цитата:
Дык он же всё равно через сокеты работает. Вот и погляди портсканером где же он живёт, т.е. какие порты слушает. Впрочем… я тутачки скачал клиета и книжечку от него…
Ну вот, на 14 страничке мануала админа: 4090 (TCP/UDP) — VPN сервер от керио, но далее на страничке 233 написано, что порт можно изменить на произвольный. И там же «убедитесь, что адреса ВПН клиентов не конфликтуют с любой вашей локальной сетью»
Значит так, давай разберём твоё задание сначала. Забей на всё, что настраивал до этого.
Из твоих слов я понял — если клиенты в Интернете, подключаются они к провайдеру по разному, в том числе и через пптп/ппое. Есть микротик с «белым адресом», за ним, в локалке, где-то стоит керио сервер. Клиенты должны бы подключаться к керио через керио-клиента. Задача такая?
Добавлено:
grrrrrrr1
Цитата:
Если дропаются, — смотри правила ФВ.
Цитата:
Есть только их собственный VPN сервис
Дык он же всё равно через сокеты работает. Вот и погляди портсканером где же он живёт, т.е. какие порты слушает. Впрочем… я тутачки скачал клиета и книжечку от него…
Ну вот, на 14 страничке мануала админа: 4090 (TCP/UDP) — VPN сервер от керио, но далее на страничке 233 написано, что порт можно изменить на произвольный. И там же «убедитесь, что адреса ВПН клиентов не конфликтуют с любой вашей локальной сетью»
Значит так, давай разберём твоё задание сначала. Забей на всё, что настраивал до этого.
Из твоих слов я понял — если клиенты в Интернете, подключаются они к провайдеру по разному, в том числе и через пптп/ппое. Есть микротик с «белым адресом», за ним, в локалке, где-то стоит керио сервер. Клиенты должны бы подключаться к керио через керио-клиента. Задача такая?
Добавлено:
grrrrrrr1
Цитата:
все пакеты почему-то дропаются
Если дропаются, — смотри правила ФВ.
Цитата:
Если дропаются, — смотри правила ФВ.
фв правил нет
Цитата:
да. торренты: словили пакет на интерфейсе пользователя -> forward -> интернет, обратно той же дорогой через forward
веб: словили пакет на интерфейсе пользователя, редиректнули -> input -> прокся отрабатывает запрос, соединяется с сайтом (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно), получает страницу -> output -> довольный пользователь
сначала как то не обратил внимание, а именно (это тоже через input/output проходит, только пользователя не касается, здесь прокси действует самостоятельно) - запросы прокси посылает через какие внешние каналы?
например клиент запросил ya.ru в прероутинге мы его направляем на PABLIC-1,
далее делается редирект и прокси работает сама, вот работает она через канал PABLIC-1? или через тот через который работает сам микротик?
и еще момент, ни как не могу придумать как сделать шейпер PCQ, а именно
так как у меня несколько внешних каналов и пользователи все ходят по разным
каналам как то не могу понять как выставлять limit-at и max-limit, каналы то у меня все разные по скорости...
Цитата:
Цитата:появилась ещё 1 проблема - установил 3-ю сетевушку (1-ВАН, 2-ЛАН1), назначил ей адрес 172.16.18.1, а подключиться не могу, вернее пишет что Поключено, но 172.16.18.1 не пингуется, через винбокс не заходит, инета нет, с роутера 172.16.18.10 (такой ИП назначил компу) не пингуется, а 172.16.18.1 пингуется и с роутера и с компа на котором есть инет, в чом может быть проблема?
П.С у 1-й сетевой адрес 192.168.0.1 все работает норм.
Цитата:# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.1/24 192.168.0.0 192.168.0.255 LAN1
1 172.16.18.1/22 172.16.18.0 172.16.18.255 LAN2
2 D 94.241.234.98/32 217.9.147.93 0.0.0.0 \FB\EE\EB\E3\E0
а правил фаервола нет вообще
ай нид хелп, плиз, я понимаю что косяк очень очевидный и простой и я просто запутил, но я второй день разобраться не могу, подскажите, очень прошу
вот вкратце суть проблемы помогите кто чем может
Chupaka
Цитата:
Цитата:
Chupaka объясни пожалуйста олуху поподробней, где и как это все прописать.
Цитата:
Народ, помогите кто может. Есть два компа №1и №2 с IP адресами192.168.88.200 и 192.168.88.220. НА первом 1Мб/с на втором 2 Мб/с. Как сделать , что бы при выключении второго компа на первом было 2Мб/с с второго компа. Все режется с помощью simple queues.Версия микротика 3.22
Цитата:
wwwwwww7
сделать очередь на 3 мбит/с, поставить её parent'ом у очередей этих компов, limit-at сделать, соответственно, 1M и 2M, max-limit=3M. в итоге каждый будет получать гарантированные свои 1/2 Мбит/с, плюс то, что осталось от 3 из-за простаивающего канала
Chupaka объясни пожалуйста олуху поподробней, где и как это все прописать.
в чем может быть проблема если сетевуха дропает 100% пакетов, а правил фаервола нет вообще? помогите подключить 2-й комп, плиз, очень нужно.
Цитата:
В общем я правило 0 включал, а 6 отключал... не надо было?
не надо было. маскарад надо оставить для того, чтобы не перенаправленный на прокси трафик продолжал нормально ходить
Цитата:
можно ли сделать так, чтобы при попытке зайти на заблокированный сайт, пользователя перекидывало на какой-нибудь другой сайт?
конечно, в правилах прокси в action=reject можно добавить redirect-to=
grrrrrrr1
Цитата:
а правил фаервола нет вообще
вообще никаких? ни в фильтре, ни в мангле? в нате-то, я так понимаю, точно есть
Цитата:
все пакеты почему-то дропаются
т.е. RX Packets (не Rate) нулевой? я бы сказал, что сетевая битая либо зависла...
vlh
Цитата:
запросы прокси посылает через какие внешние каналы?
например клиент запросил ya.ru в прероутинге мы его направляем на PABLIC-1,
далее делается редирект и прокси работает сама, вот работает она через канал PABLIC-1? или через тот через который работает сам микротик?
в прероутинге мы не перенаправляем, а ставим метку роутинга. от которой ничего уже не зависит, поскольку пакет ловится проксёй. дальше прокся устанавливает соединение с сайтом, создавая новые запросы от своего имени. соответственно, метки пакетов девственно чисты - поэтому, если мы в output роутинг не пометим, будет использоваться таблица main. соответственно, если там нет ECMP-роутов, то будет использоваться только один канал
Цитата:
ни как не могу придумать как сделать шейпер PCQ, а именно
так как у меня несколько внешних каналов и пользователи все ходят по разным
каналам как то не могу понять как выставлять limit-at и max-limit, каналы то у меня все разные по скорости...
так на каждый канал надо отдельную очередь делать - и у каждого канала будут свои limit-at и max-limit, с бэкджеком и шлюхами
Цитата:
Chupaka объясни пожалуйста олуху поподробней, где и как это все прописать.
чтобы создать simple queue, в винбоксе жмём красный плюсик, заполняем скорость (удаляем unlimited, ставим 3M). затем открываем существующие правила, на закладке Advanced указываем Parent = только_что_созданное_правило, Limit At - их гарантированная скорость, а на первой закладке скорость обоим поднимаем до 3M
Подскажите как объединить двух провайдеров на МИКРОТИКЕ?
Чтобы траффик регулировался с одного прова на другой в зависимости от доступности и скорости каждого провайдера.
Один провайдер PPPoe, другой выдает Динамический IP
(как следствие в IP-Routes я не могу редактировать к примеру Дистанцию, хотя и не знаю толком, надо ли вообще ее радактировать).
Есть ли статьи на эту тему?
С уважением
Чтобы траффик регулировался с одного прова на другой в зависимости от доступности и скорости каждого провайдера.
Один провайдер PPPoe, другой выдает Динамический IP
(как следствие в IP-Routes я не могу редактировать к примеру Дистанцию, хотя и не знаю толком, надо ли вообще ее радактировать).
Есть ли статьи на эту тему?
С уважением
Цитата:
не надо было. маскарад надо оставить для того, чтобы не перенаправленный на прокси трафик продолжал нормально ходить
Спасибо. Сделал, все работает.
Цитата:
конечно, в правилах прокси в action=reject можно добавить redirect-to=
У меня пока режется в ip/firewall/filter
Код:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Block Odnoklassniki
chain=forward action=reject reject-with=icmp-admin-prohibited
protocol=tcp dst-port=80 content=odnoklassniki.ru
1 ;;; Block vkontakte.ru
chain=forward action=drop protocol=tcp dst-port=80 content=vkontakte.ru
2 ;;; Block vk.com
chain=forward action=drop protocol=tcp dst-port=80 content=vk.com
BigElectricCat
Все абсолютно верно))
4090 - порт используемый керио VPN сервисом ))) Это я уже выше не раз упоминал ))
Микротик получает белый динамический ИП, на нем отрабатывает скрипт ddns.
Соответственно в микротике уже пробрасываю порты в зависимости от нужд.
Все абсолютно верно))
4090 - порт используемый керио VPN сервисом ))) Это я уже выше не раз упоминал ))
Микротик получает белый динамический ИП, на нем отрабатывает скрипт ddns.
Соответственно в микротике уже пробрасываю порты в зависимости от нужд.
Я так понимаю к правилам доступа веб-прокси списки адресов никак не прикрутить?
Если у меня в сети 50+ компов и из них 4 нужно дать доступ к соцсетям - то на каждое блокирующее правило, надо еще по 4 разрешающих с указанием Src.Address?
Если у меня в сети 50+ компов и из них 4 нужно дать доступ к соцсетям - то на каждое блокирующее правило, надо еще по 4 разрешающих с указанием Src.Address?
Подскажите, к меня такая проблема, есть комп с микротиком и тремя сетевыми картами, 1- ВАН 2,3-ЛАН, всё работает, инте получаю по ПППоЕ, раздаю через нат маскарад на обе сетевухи, на обоих есть ДХЦП сервер, подчеть первой сетевухи 192.168.0.0, у 2-й 192.168.1.0, с компа 2-й подсети пингуется всё, кроме компов подсети 192.168.0.0, хотя шлюз 192.168.0.1 пингуется, а на остальные айпишники говорит "192.168.1.1 заданный узел недоступен" никаких правил маршрутизации, кроме натовского маскарада нет.
2ALL
Настроил микротик на приоритизацию траффика таким образом
Код: /ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=Белый_IP dst-port=45141 protocol=tcp to-addresses=192.168.88.141 to-ports=45141
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=Белый_IP dst-port=3389 protocol=tcp
/ip firewall mangle
add action=change-mss chain=forward comment="" disabled=no in-interface=internet new-mss=1452 protocol=tcp tcp-flags=syn
add action=change-mss chain=forward comment="" disabled=no new-mss=1452 out-interface=internet protocol=tcp tcp-flags=syn
add action=mark-connection chain=prerouting comment=Stage-01_Download-in disabled=no dst-address=Белый_IP new-connection-mark=Download-in passthrough=yes
add action=mark-packet chain=prerouting comment="" connection-mark=Download-in disabled=no new-packet-mark=packet-download-in passthrough=no
add action=mark-connection chain=forward comment=Stage-02_Download-out disabled=no in-interface=internet new-connection-mark=Download-out passthrough=yes
add action=mark-connection chain=forward comment=Stage-02_Upload-out disabled=no new-connection-mark=Upload-out out-interface=internet passthrough=yes
add action=mark-packet chain=forward comment="Stage-02_Mark packet Download-out" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=icmp
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=udp src-port=53
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=udp src-port=123
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no dst-port=3389 new-packet-mark=packet_download_remote passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_remote passthrough=no protocol=tcp src-port=5938
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_remote passthrough=no protocol=udp src-port=5938
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_normal passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_normal passthrough=no protocol=tcp src-port=443
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_online passthrough=no src-address=109.105.0.0/16
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_voice passthrough=no protocol=tcp src-port=64000-65000
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_voice passthrough=no protocol=udp src-port=64000-65000
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_low passthrough=no
add action=mark-packet chain=forward comment="Stage-02_Mark packet Upload-out" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_system passthrough=no protocol=icmp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=53 new-packet-mark=packet_upload_system passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=123 new-packet-mark=packet_upload_system passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_remote passthrough=no protocol=tcp src-port=3389
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=5938 new-packet-mark=packet_upload_remote passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=5938 new-packet-mark=packet_upload_remote passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=80 new-packet-mark=packet_upload_normal passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=443 new-packet-mark=packet_upload_normal passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-address=109.105.0.0/16 new-packet-mark=packet_upload_online passthrough=no
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=64000-65000 new-packet-mark=packet_upload_voice passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=64000-65000 new-packet-mark=packet_upload_voice passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_low passthrough=no
/queue type
add kind=pcq name=PCQ_Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=PCQ_Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4200k name=Stage-02_Upload-out parent=internet priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4200k name=Stage-02_Download-out packet-mark="" parent=global-out priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=3900k name="2. Download-all" parent=Stage-02_Download-out priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=3900k name="3. Upload-all" parent=Stage-02_Upload-out priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Stage-01_Download-in packet-mark=packet-download-in parent=global-in priority=8 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=2M name="b. Upload-remote" packet-mark=packet_upload_remote parent="3. Upload-all" priority=3 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="b. Download-remote" packet-mark=packet_download_remote parent="2. Download-all" priority=3 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=256k max-limit=1M name="1. Download-high" parent=Stage-02_Download-out priority=2
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=256k max-limit=1M name="1. Upload-high" parent=Stage-02_Upload-out priority=2
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="a. Download-voice" packet-mark=packet_download_voice parent="2. Download-all" priority=2 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="a. Upload-voice" packet-mark=packet_upload_voice parent="3. Upload-all" priority=2 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="a. Download-system" packet-mark=packet_download_system parent="1. Download-high" priority=1 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="b. Download-online" packet-mark=packet_download_online parent="1. Download-high" priority=2 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M max-limit=3M name="c. Download-normal" packet-mark=packet_download_normal parent="2. Download-all" priority=4 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="d. Download-low" packet-mark=packet_download_low parent="2. Download-all" priority=8 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="a. Upload-system" packet-mark=packet_upload_system parent="1. Upload-high" priority=1 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="b. Upload-online" packet-mark=packet_upload_online parent="1. Upload-high" priority=2 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M max-limit=3M name="c. Upload-normal" packet-mark=packet_upload_normal parent="3. Upload-all" priority=4 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="d. Upload-low" packet-mark=packet_upload_low parent="3. Upload-all" priority=8 queue=PCQ_Upload
Настроил микротик на приоритизацию траффика таким образом
Код: /ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=internet src-address=192.168.88.0/24
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=Белый_IP dst-port=45141 protocol=tcp to-addresses=192.168.88.141 to-ports=45141
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=Белый_IP dst-port=3389 protocol=tcp
/ip firewall mangle
add action=change-mss chain=forward comment="" disabled=no in-interface=internet new-mss=1452 protocol=tcp tcp-flags=syn
add action=change-mss chain=forward comment="" disabled=no new-mss=1452 out-interface=internet protocol=tcp tcp-flags=syn
add action=mark-connection chain=prerouting comment=Stage-01_Download-in disabled=no dst-address=Белый_IP new-connection-mark=Download-in passthrough=yes
add action=mark-packet chain=prerouting comment="" connection-mark=Download-in disabled=no new-packet-mark=packet-download-in passthrough=no
add action=mark-connection chain=forward comment=Stage-02_Download-out disabled=no in-interface=internet new-connection-mark=Download-out passthrough=yes
add action=mark-connection chain=forward comment=Stage-02_Upload-out disabled=no new-connection-mark=Upload-out out-interface=internet passthrough=yes
add action=mark-packet chain=forward comment="Stage-02_Mark packet Download-out" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=icmp
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=udp src-port=53
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_system passthrough=no protocol=udp src-port=123
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no dst-port=3389 new-packet-mark=packet_download_remote passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_remote passthrough=no protocol=tcp src-port=5938
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_remote passthrough=no protocol=udp src-port=5938
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_normal passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_normal passthrough=no protocol=tcp src-port=443
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_online passthrough=no src-address=109.105.0.0/16
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_voice passthrough=no protocol=tcp src-port=64000-65000
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_voice passthrough=no protocol=udp src-port=64000-65000
add action=mark-packet chain=forward comment="" connection-mark=Download-out disabled=no new-packet-mark=packet_download_low passthrough=no
add action=mark-packet chain=forward comment="Stage-02_Mark packet Upload-out" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_system passthrough=no protocol=icmp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=53 new-packet-mark=packet_upload_system passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=123 new-packet-mark=packet_upload_system passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_remote passthrough=no protocol=tcp src-port=3389
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=5938 new-packet-mark=packet_upload_remote passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=5938 new-packet-mark=packet_upload_remote passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=80 new-packet-mark=packet_upload_normal passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=443 new-packet-mark=packet_upload_normal passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-address=109.105.0.0/16 new-packet-mark=packet_upload_online passthrough=no
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=64000-65000 new-packet-mark=packet_upload_voice passthrough=no protocol=tcp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no dst-port=64000-65000 new-packet-mark=packet_upload_voice passthrough=no protocol=udp
add action=mark-packet chain=forward comment="" connection-mark=Upload-out disabled=no new-packet-mark=packet_upload_low passthrough=no
/queue type
add kind=pcq name=PCQ_Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=PCQ_Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 pcq-total-limit=2000
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4200k name=Stage-02_Upload-out parent=internet priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=4200k name=Stage-02_Download-out packet-mark="" parent=global-out priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=3900k name="2. Download-all" parent=Stage-02_Download-out priority=8 add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=3900k name="3. Upload-all" parent=Stage-02_Upload-out priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Stage-01_Download-in packet-mark=packet-download-in parent=global-in priority=8 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=2M name="b. Upload-remote" packet-mark=packet_upload_remote parent="3. Upload-all" priority=3 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="b. Download-remote" packet-mark=packet_download_remote parent="2. Download-all" priority=3 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=256k max-limit=1M name="1. Download-high" parent=Stage-02_Download-out priority=2
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=256k max-limit=1M name="1. Upload-high" parent=Stage-02_Upload-out priority=2
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="a. Download-voice" packet-mark=packet_download_voice parent="2. Download-all" priority=2 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=512k max-limit=3M name="a. Upload-voice" packet-mark=packet_upload_voice parent="3. Upload-all" priority=2 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="a. Download-system" packet-mark=packet_download_system parent="1. Download-high" priority=1 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="b. Download-online" packet-mark=packet_download_online parent="1. Download-high" priority=2 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M max-limit=3M name="c. Download-normal" packet-mark=packet_download_normal parent="2. Download-all" priority=4 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="d. Download-low" packet-mark=packet_download_low parent="2. Download-all" priority=8 queue=PCQ_Download
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="a. Upload-system" packet-mark=packet_upload_system parent="1. Upload-high" priority=1 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="b. Upload-online" packet-mark=packet_upload_online parent="1. Upload-high" priority=2 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=2M max-limit=3M name="c. Upload-normal" packet-mark=packet_upload_normal parent="3. Upload-all" priority=4 queue=PCQ_Upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="d. Upload-low" packet-mark=packet_upload_low parent="3. Upload-all" priority=8 queue=PCQ_Upload
dsm150
Цитата:
Ну так тогда достаточно в нате только два правила добавить, помимо маскирования:
chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=4090 protocol=tcp in-interface=internet dst-port=4090
chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=4090 protocol=udp in-interface=internet dst-port=4090
Я тут IP твоего керио указал как «192.168.30.1», а ещё интерфейс с «белым» адресом internet-ом обозвал (раз IP на нём динамический).
Но без скрипта, выполняющегося у пользователей, которые подключаются по PPTP|PPoE к интернету, будет теряться связь с сетью при подключении к твоему керио.
Для того, чтобы так не получалось нужно править у пользователей таблицу маршрутизации:
1) ставить вручную шлюз по умолчанию который выдаст провайдер по пптп/ппое по ниже (метрику больше, к примеру 100),
2) вписать с метрикой 1 маршрут к твоему микротику через маршрутизатор провайдера.
В керио же, выдавать адреса и шлюз по умолчанию с метрикой между тем что назначаешь 1) и 2).
Скрипт заменяется железкой-натом (аль микротиком, кому как удобнее), который будет посредником со своей таблицей маршрутизации.
Вот, к примеру, у меня на одном из шлюзов, картинка в роутах такая:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.5.1 rea... 25
1 S 0.0.0.0/0 ХХ7.76.ХХ.1ХХ ... 50
…
10 A S 2YY.YY.YY.1YY/32 ХХ7.76.ХХ.1ХХ ... 1
где ХХ7.76.ХХ.1ХХ — IP полученный провайдером, 192.168.5.1 — IP моего впн сервера в поднятом L2TP туннеле, 2YY.YY.YY.1YY — адрес ВПН сервера в интернете (в твоём случае — адрес микротика-посредника с правилами dst-nat, которые я привёл выше).
Такое нужно от того, что на этом шлюзе канал в местную сеть 10 Мбит, а в интернет всего 256кбит, а второй шлюз имеет канал и в интернет, и в местную 100 Мбит, вот так за первым шлюзом у меня интернет 10 Мбит, при расходах как за 256кбит.
Правда, такой канал постоянно там не нужен и поднимается только тогда, когда дохожу туда ногами.
PS: Головняк будет от того, что «белый» адрес твоего микротика динамический, а так… всё решаемо.
Цитата:
Все абсолютно верно))
4090 - порт используемый керио VPN сервисом ))) Это я уже выше не раз упоминал ))
Микротик получает белый динамический ИП, на нем отрабатывает скрипт ddns.
Ну так тогда достаточно в нате только два правила добавить, помимо маскирования:
chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=4090 protocol=tcp in-interface=internet dst-port=4090
chain=dstnat action=dst-nat to-addresses=192.168.30.1 to-ports=4090 protocol=udp in-interface=internet dst-port=4090
Я тут IP твоего керио указал как «192.168.30.1», а ещё интерфейс с «белым» адресом internet-ом обозвал (раз IP на нём динамический).
Но без скрипта, выполняющегося у пользователей, которые подключаются по PPTP|PPoE к интернету, будет теряться связь с сетью при подключении к твоему керио.
Для того, чтобы так не получалось нужно править у пользователей таблицу маршрутизации:
1) ставить вручную шлюз по умолчанию который выдаст провайдер по пптп/ппое по ниже (метрику больше, к примеру 100),
2) вписать с метрикой 1 маршрут к твоему микротику через маршрутизатор провайдера.
В керио же, выдавать адреса и шлюз по умолчанию с метрикой между тем что назначаешь 1) и 2).
Скрипт заменяется железкой-натом (аль микротиком, кому как удобнее), который будет посредником со своей таблицей маршрутизации.
Вот, к примеру, у меня на одном из шлюзов, картинка в роутах такая:
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.5.1 rea... 25
1 S 0.0.0.0/0 ХХ7.76.ХХ.1ХХ ... 50
…
10 A S 2YY.YY.YY.1YY/32 ХХ7.76.ХХ.1ХХ ... 1
где ХХ7.76.ХХ.1ХХ — IP полученный провайдером, 192.168.5.1 — IP моего впн сервера в поднятом L2TP туннеле, 2YY.YY.YY.1YY — адрес ВПН сервера в интернете (в твоём случае — адрес микротика-посредника с правилами dst-nat, которые я привёл выше).
Такое нужно от того, что на этом шлюзе канал в местную сеть 10 Мбит, а в интернет всего 256кбит, а второй шлюз имеет канал и в интернет, и в местную 100 Мбит, вот так за первым шлюзом у меня интернет 10 Мбит, при расходах как за 256кбит.
Правда, такой канал постоянно там не нужен и поднимается только тогда, когда дохожу туда ногами. PS: Головняк будет от того, что «белый» адрес твоего микротика динамический, а так… всё решаемо.
BigElectricCat
Спасибо огромное!!!
Не думал, что одновременно с tcp ему еще и udp нужен )))
Пробовал эти оба правила по-отдельности, а вместе почему то не додумался....
В общем все сконнектилось!!!
А гемора не будет, т.к. клиент керио на удаленной машине при установке создает свой виртуальный адаптер и работает через него, по-этому роуты не мешают друг другу, чем мне этот керио и нравится )))))
Просто совсем я замотался с этим правилом, и очевидного уже не видел... ))))
Еще раз респект, BigElectricCat !!!
Спасибо огромное!!!
Не думал, что одновременно с tcp ему еще и udp нужен )))
Пробовал эти оба правила по-отдельности, а вместе почему то не додумался....
В общем все сконнектилось!!!
А гемора не будет, т.к. клиент керио на удаленной машине при установке создает свой виртуальный адаптер и работает через него, по-этому роуты не мешают друг другу, чем мне этот керио и нравится )))))
Просто совсем я замотался с этим правилом, и очевидного уже не видел... ))))
Еще раз респект, BigElectricCat !!!
Цитата:
Подскажите, к меня такая проблема, есть комп с микротиком и тремя сетевыми картами, 1- ВАН 2,3-ЛАН, всё работает, инте получаю по ПППоЕ, раздаю через нат маскарад на обе сетевухи, на обоих есть ДХЦП сервер, подчеть первой сетевухи 192.168.0.0, у 2-й 192.168.1.0, с компа 2-й подсети пингуется всё, кроме компов подсети 192.168.0.0, хотя шлюз 192.168.0.1 пингуется, а на остальные айпишники говорит "192.168.1.1 заданный узел недоступен" никаких правил маршрутизации, кроме натовского маскарада нет.
помогите, почему из одной подсети не видно другую
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.