Прошу прощения, видимо забыл очистить сообщение. Это правило я удалил, из-за ненадобности.
» MikroTik RouterOS (часть 3)
morfius86
Тогда и суть твоей приоретизации меняется.
Тогда и суть твоей приоретизации меняется.
Помогите новичку!
Как свитч ether6-ether9 объединить с wlan, чтобы они были в одной подсети?
Пробовал через бридж, вроде получилось, но при просмотре в локалке IPTV до wlan сильно увеличивается пинг.
Как свитч ether6-ether9 объединить с wlan, чтобы они были в одной подсети?
Пробовал через бридж, вроде получилось, но при просмотре в локалке IPTV до wlan сильно увеличивается пинг.
Доброго времени суток!
мтик 330, пытаюсь поднять впн соединение, подключение происходит IP присваивается но трафик не ходит
(пытаюсь пинговать через интерфейс pptp нужный мне ресурс)
вот начало лога соединения
*****: pptp-out1: LCP lowerup
*****: pptp-out1: sent LCP ConfReq id=0x11
*****: <magic 0x5882b6d8>
*****: pptp-out1: LCP open
*****: pptp-out1: rcvd LCP ConfReq id=0x0
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x0
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x1
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x1
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x2
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x2
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x3
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x3
*****: <auth mschap2>
*****: pptp-out1: LCP timer
*****: pptp-out1: sent LCP ConfReq id=0x12
*****: <magic 0x5882b6d8>
попробовал на линуксе с пакетом pptp-linux подключиться к этому же ресурсу такая же картрина, пока в настройках options.pptpd не отключил опцию sync...стало все работать как надо
вот начало лога с линукса
Connect: ppp0 <--> /dev/pts/1
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf48f6258> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <auth chap MS-v2>]
sent [LCP ConfAck id=0x0 <auth chap MS-v2>]
rcvd [LCP ConfRej id=0x1 <pcomp>]
sent [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xf48f6258> <accomp>]
rcvd [LCP ConfRej id=0x2 <accomp>]
sent [LCP ConfReq id=0x3 <asyncmap 0x0> <magic 0xf48f6258>]
rcvd [LCP ConfAck id=0x3 <asyncmap 0x0> <magic 0xf48f6258>]
sent [LCP EchoReq id=0x0 magic=0xf48f6258]
где и как мне в микротике настроить этот sync/async для pptp соединения
мтик 330, пытаюсь поднять впн соединение, подключение происходит IP присваивается но трафик не ходит
(пытаюсь пинговать через интерфейс pptp нужный мне ресурс)
вот начало лога соединения
*****: pptp-out1: LCP lowerup
*****: pptp-out1: sent LCP ConfReq id=0x11
*****: <magic 0x5882b6d8>
*****: pptp-out1: LCP open
*****: pptp-out1: rcvd LCP ConfReq id=0x0
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x0
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x1
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x1
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x2
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x2
*****: <auth mschap2>
*****: pptp-out1: rcvd LCP ConfReq id=0x3
*****: <auth mschap2>
*****: pptp-out1: sent LCP ConfAck id=0x3
*****: <auth mschap2>
*****: pptp-out1: LCP timer
*****: pptp-out1: sent LCP ConfReq id=0x12
*****: <magic 0x5882b6d8>
попробовал на линуксе с пакетом pptp-linux подключиться к этому же ресурсу такая же картрина, пока в настройках options.pptpd не отключил опцию sync...стало все работать как надо
вот начало лога с линукса
Connect: ppp0 <--> /dev/pts/1
sent [LCP ConfReq id=0x1 <asyncmap 0x0> <magic 0xf48f6258> <pcomp> <accomp>]
rcvd [LCP ConfReq id=0x0 <auth chap MS-v2>]
sent [LCP ConfAck id=0x0 <auth chap MS-v2>]
rcvd [LCP ConfRej id=0x1 <pcomp>]
sent [LCP ConfReq id=0x2 <asyncmap 0x0> <magic 0xf48f6258> <accomp>]
rcvd [LCP ConfRej id=0x2 <accomp>]
sent [LCP ConfReq id=0x3 <asyncmap 0x0> <magic 0xf48f6258>]
rcvd [LCP ConfAck id=0x3 <asyncmap 0x0> <magic 0xf48f6258>]
sent [LCP EchoReq id=0x0 magic=0xf48f6258]
где и как мне в микротике настроить этот sync/async для pptp соединения
подскажите ссылки где посмотреть как настроить mikrotik 4.xx раздающий pppoe по NAT и авторизацию/билинг от trafic inspector
Цитата:
подскажите ссылки где посмотреть как настроить mikrotik 4.xx раздающий pppoe по NAT и авторизацию/билинг от trafic inspector
Забавно, я буквально на днях закончил тестирование скрипт RADIUS+TI+MIKROTIK. Единственное, он работает для авторизации по IP+MAC. Могу и для PPPoE сделать.
Принцип такой: Скрипт синхронизирует базу ТИ(скорость, лог/пас, ип/мак, разрешен/заблокирован) с базой Радиуса. Если интересно, стучись в icq 332277202.
Добавлено:
Здравствуйте еще раз, ув. Гуру!
На этот раз вопрос по маршрутизации внешних ip адресов.
Провайдер выделил подсеть 95.215.58.16/28
Адрес шлюза: 95.215.58.17
Хочу эти адреса раздать нескольким рабочим станциям, микротику назначил IP 95.215.58.18 и прописал route до 0.0.0.0 через 95.215.58.17
Я так понял на остальных станциях необходимо прописать остальные IP и указать адрес шлюза моего микротика (95.215.58.18).
Что при этом на микротик прописывать? Nat не нужен.
Спасибо.
morfius86
Вероятно нужно добавить разрешающие правила "форвард" в фильтр с этих адресов и на эти адреса.
Вероятно нужно добавить разрешающие правила "форвард" в фильтр с этих адресов и на эти адреса.
Приоритезация по порту, если я знаю какой порт будет на uTorrent, возможно ли?
Народ, помогите. Есть два канала, выход в инет. Как сделать так, что бы из одной локальной сети часть юзеров шло на первый канна, а часть на второй. На данный момент в локалке настроен DHCP сервер с пулом 192.168.88.10 – 192.168.88.254.
Можно разбить этот диапазон на два, что бы пустить один в первый канал, а другой во второй. Хотелось бы в первый канал раздавать IP адреса статически, а во второй с DHCP сервера или лучше создать два DHCP сервера и разбить весь диапазон на два пула, что бы адреса с первого пула ходили в первый канал, а со второго во второй.
А может не заморачиваться и направить один интерфейс в один канал, а второй во второй.
Можно разбить этот диапазон на два, что бы пустить один в первый канал, а другой во второй. Хотелось бы в первый канал раздавать IP адреса статически, а во второй с DHCP сервера или лучше создать два DHCP сервера и разбить весь диапазон на два пула, что бы адреса с первого пула ходили в первый канал, а со второго во второй.
А может не заморачиваться и направить один интерфейс в один канал, а второй во второй.
KUM3
Маркируй трафик идущий на\от определённого порта и создавай для этих маркировок очередь.
wwwwwww7
Маркировка роутов в мангле и дефолтный маршрут на второго провайдера в айпи-роутес для этой маркировки. С DHCP серверами уж разберись сам, главное что бы правило в мангле маркировала нужный трафик. =)
Маркируй трафик идущий на\от определённого порта и создавай для этих маркировок очередь.
wwwwwww7
Маркировка роутов в мангле и дефолтный маршрут на второго провайдера в айпи-роутес для этой маркировки. С DHCP серверами уж разберись сам, главное что бы правило в мангле маркировала нужный трафик. =)
morfius86
ещё явно пригодится ARP-Proxy на интерфейсе, смотрящем в провайдера
ещё явно пригодится ARP-Proxy на интерфейсе, смотрящем в провайдера
и так имеем RB450G, NAT, шейпер PCQ, три внешних канала
по которым разбиты пользователи...
как бы все работает, но смущает этот факт, смотрим на картинку:
при такой загрузки каналов и ррс, проц загружен на 100%, тормозов пока
с интернетом не наблюдаю, только сам винбокс притормаживает...
понимаю что 100% это еще не повод для паники но что пора уже
задумываться о RB1100? или все таки где то у меня что то не так...
да, в мангле метим пакеты а не соединения, может поменяв технику
немного упадет нагрузка?
по которым разбиты пользователи...
как бы все работает, но смущает этот факт, смотрим на картинку:
при такой загрузки каналов и ррс, проц загружен на 100%, тормозов пока
с интернетом не наблюдаю, только сам винбокс притормаживает...
понимаю что 100% это еще не повод для паники но что пора уже
задумываться о RB1100? или все таки где то у меня что то не так...
да, в мангле метим пакеты а не соединения, может поменяв технику
немного упадет нагрузка?
что то тишина 
ладно будем пробовать переходить на маркировку соединений.
от сюда сразу вопрос, по поводу шейпера PCQ.
пометил я соединения и пакеты в форварде, получил одну метку.
в Queue Tree ловил пакеты на вход в LAN на выход в global-out,
теперь на вход ловится вроде нормально а вот если начать ловить на
выход, то во первых скорость уравнивается то есть примерно по 1Мбит и
вход и выход и в добавок это не то, то есть клиент в реале качает на 20Мбит,
если отключить правило на выход, то все работает, пробую ловить на выход
в PABLIC (VPN интерфейс), то вроде нормально но все равно пропорция
думаю не правильная - качает 18Мбит а от него 350Кбит...
или это нормально? и правильно ли я ловлю выходящие пакеты на PABLIC?
вот правила, нужно сделать шейпер для некоторый внешних ресурсов:
Код: /ip firewall mangle
add action=mark-connection chain=forward comment="" disabled=no \
dst-address-list=group new-connection-mark=group_conn passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=group_conn \
disabled=no new-packet-mark=group_packet passthrough=no
/queue type
add kind=pcq name=group_in pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
add kind=pcq name=group_out pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=40M name=pcq_group_in packet-mark=group_packet parent=LAN priority=8 \
queue=group_in
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 \
max-limit=1M name=pcq_group_out packet-mark=group_packet parent=global-out \
priority=8 queue=group_out
ладно будем пробовать переходить на маркировку соединений. от сюда сразу вопрос, по поводу шейпера PCQ.
пометил я соединения и пакеты в форварде, получил одну метку.
в Queue Tree ловил пакеты на вход в LAN на выход в global-out,
теперь на вход ловится вроде нормально а вот если начать ловить на
выход, то во первых скорость уравнивается то есть примерно по 1Мбит и
вход и выход и в добавок это не то, то есть клиент в реале качает на 20Мбит,
если отключить правило на выход, то все работает, пробую ловить на выход
в PABLIC (VPN интерфейс), то вроде нормально но все равно пропорция
думаю не правильная - качает 18Мбит а от него 350Кбит...
или это нормально? и правильно ли я ловлю выходящие пакеты на PABLIC?
вот правила, нужно сделать шейпер для некоторый внешних ресурсов:
Код: /ip firewall mangle
add action=mark-connection chain=forward comment="" disabled=no \
dst-address-list=group new-connection-mark=group_conn passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=group_conn \
disabled=no new-packet-mark=group_packet passthrough=no
/queue type
add kind=pcq name=group_in pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
add kind=pcq name=group_out pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=40M name=pcq_group_in packet-mark=group_packet parent=LAN priority=8 \
queue=group_in
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 \
max-limit=1M name=pcq_group_out packet-mark=group_packet parent=global-out \
priority=8 queue=group_out
vlh
Цитата:
ИМХО, нет. Вы в мангле пометили скопом и входящие и исходящие пакеты одной и той же меткой. Если бы вы очередь для исходящих пакетов размещали непосредственно на PABLIC (что из-за применения pcq и наличия NAT невозможно), то этот вариант прокатил бы, но вы разместили одну из очередей в global-out. Поэтому у вас во второй очереди в неё одновременно попадают как исходящие, так и входящие клиентские пакеты.
Цитата:
и правильно ли я ловлю выходящие пакеты на PABLIC?
ИМХО, нет. Вы в мангле пометили скопом и входящие и исходящие пакеты одной и той же меткой. Если бы вы очередь для исходящих пакетов размещали непосредственно на PABLIC (что из-за применения pcq и наличия NAT невозможно), то этот вариант прокатил бы, но вы разместили одну из очередей в global-out. Поэтому у вас во второй очереди в неё одновременно попадают как исходящие, так и входящие клиентские пакеты.
Цитата:
Вы в мангле пометили скопом и входящие и исходящие пакеты одной и той же меткой
вот это для меня было не понятно, но для себя понял так, что да метка одна,
но при отправки пакета от пользователя мы метим его например group потом
в шейпер и на выход, далее с внешки приходит запрошенный пакет
пользователю и проходит тот же путь и метка с тем же названием но(!) не
та же самая, потом шейпер и к пользователю....
вот так мне это видится, но наверное ошибаюсь...
тогда направьте в нужное русло, как пометить соединения и потом отшейпить,
как вход так и выход....
маркировку соединения брал от сюда:
TransparentTrafficShaper
но там нет примера шейпера Queue Tree...
P.S.
у меня очередь на вход размещена не в global-out а в LAN, а вот на выход в global-out
но не прокатило, пробовал и global-total - не помогло...
vlh
Цитата:
Метить отдельно входящие и отдельно исходящие пакеты, но на основе метки соединения. Т.е., например, вот так:
Код:
/ip firewall mangle
add action=mark-connection chain=forward comment="" disabled=no dst-address-list=group new-connection-mark=group_conn passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=group_conn disabled=no new-packet-mark=group_packet_out out-interface=PABLIC passthrough=no
add action=mark-packet chain=forward comment="" connection-mark=group_conn disabled=no new-packet-mark=group_packet_in out-interface=LAN passthrough=no
Цитата:
тогда направьте в нужное русло, как пометить соединения и потом отшейпить
Метить отдельно входящие и отдельно исходящие пакеты, но на основе метки соединения. Т.е., например, вот так:
Код:
/ip firewall mangle
add action=mark-connection chain=forward comment="" disabled=no dst-address-list=group new-connection-mark=group_conn passthrough=yes
add action=mark-packet chain=forward comment="" connection-mark=group_conn disabled=no new-packet-mark=group_packet_out out-interface=PABLIC passthrough=no
add action=mark-packet chain=forward comment="" connection-mark=group_conn disabled=no new-packet-mark=group_packet_in out-interface=LAN passthrough=no
Цитата:
Метить отдельно входящие и отдельно исходящие пакеты, но на основе метки соединения. Т.е., например, вот так:
спасибо, про это я знал и про то что нет ни какой разницы между этим
методом и меткой пакетов в случае производительности, пробовал результат
тот же....вот если метить как я привет пример нагрузка падает на 50% правда
шейпер работает только на загрузку...
понял, что с "моим" NAT ни чего в этом плане не сделать...
Цитата:
Входящие клиентские пакеты, ИМХО, в вашем варианте сначала всё равно попадают в очередь на global-out, где будут конкурировать за полосу пропускания с исходящими клиентскими пакетами, а затем попадают уже в очередь на LAN.
а вот в этом я еще не разобрался, где LAN где PABLIC и где все эти global-in/out/total, то есть как проходят пакеты...
vlh
Цитата:
Купить второй Микротик и соединить их каскадом: первый поднимает соединение с ISP и NAT'ит, второй обеспечивает QoS.
Цитата:
Это всё описано на mikrotik.wiki в руководстве по очередям.
Цитата:
понял, что с "моим" NAT ни чего в этом плане не сделать...
Купить второй Микротик и соединить их каскадом: первый поднимает соединение с ISP и NAT'ит, второй обеспечивает QoS.
Цитата:
а вот в этом я еще не разобрался, где LAN где PABLIC и где все эти global-in/out/total, то есть как проходят пакеты...
Это всё описано на mikrotik.wiki в руководстве по очередям.
Цитата:
Купить второй Микротик и соединить их каскадом: первый поднимает соединение с ISP и NAT'ит, второй обеспечивает QoS
спасибо, дело не в средствах на еще один RB, не хочется городить огород. в данный момент наверное оставлю свой вариант с пометкой соединения и
шейпер на вход..... так как это внутренние ресурсы провайдера и на выход
шейпер не нужен в принципе, и проц грузит именно этот трафик, то с этим
конфигом нагрузка упала на 50% и этого достаточно...
хотя не понятно, я приводил выше скины почему при такой прокачки так
поднимается нагрузка, вроде для этого оборудования этого мало...
Цитата:
Это всё описано на mikrotik.wiki в руководстве по очередям.
читаем, но пока не торкает
Народ подскажите пожалуйста. Имеется два канала выхода в инет. Как направить определенные IP адреса в один из каналов.
faust72rus
А можно поподробней по маркировке или направти где почитать.
faust72rus
А можно поподробней по маркировке или направти где почитать.
vlh
Спасибо
Добавлено:
vlh
А, если мне надо направлять в один из каналов не группу адресов, а разные адреса из этой сети. Надо создавать правила в mangle для каждого адреса, записывать их в src address, маркировать их, допустим group B/
Спасибо
Добавлено:
vlh
А, если мне надо направлять в один из каналов не группу адресов, а разные адреса из этой сети. Надо создавать правила в mangle для каждого адреса, записывать их в src address, маркировать их, допустим group B/
wwwwwww7
...или создать адрес лист и создать правило в мангле для этого листа.
...или создать адрес лист и создать правило в мангле для этого листа.
faust72rus
не создать правило в мангле, а поменять значение src address
на src address list в который (address list) войдут все адреса нужные
wwwwwww7
не создать правило в мангле, а поменять значение src address
на src address list
в который (address list) войдут все адреса нужные wwwwwww7
vlh
Именно это и имелось в виду.
Именно это и имелось в виду.
подскажите микротик раздает интерет через NAT (маскарадинг) можно ли разрешить интернет только с определенных mac адресов ? или только с IP ?
(тогда вопрос как добавить с address лист несколько IP добавляю из консоли - строчек с одинаковым именем становиться больше и у каждой по 1 IP это правильно ) ?
(тогда вопрос как добавить с address лист несколько IP добавляю из консоли - строчек с одинаковым именем становиться больше и у каждой по 1 IP это правильно ) ?
Dimsoft
в винбокс зайдите и у видите, выбрав название группы...
так и должно быть, группа у вас одна а IP в ней много...
в винбокс зайдите и у видите, выбрав название группы...
так и должно быть, группа у вас одна а IP в ней много...
Можно ли в микротике РБ750 4.16 выделить юзеру лимит по времени (4 часа в сутки)?
Ребята выручайте. есть проблема с прокси на RBU0TP
собственно что мы имеем: RBU0TP, ADSL интернет, подключаемый по PPPOE, локалку.
что я делаю:
1. настроил интернет, КВОС и Шейпер не требуется, поэтому не настраиваал.
2. в НАТе настроил проброс портов.
3. в НАТе прописал правило чтобы весь входящий трафик по 80-му порту редиректом заворачивался на 8080 пор, и тем самым работал проксик.
4. настроил Web Proxy, создал 37 правил.
Всё вроди бы хорошо получается, но есть одно большое НО!!!!!
а теперь вопрос:
когда я включаю правило в нате на проброс порта, и с ним вместе прокси - исходящий трафик возрастает до максимального предела, и потом валится линк, и преподключается к нету.
так продожается каждых 5-15 мин.
когда же правило выключено - всё работает в нормальном режиме.
вот сам скрин загрузки канала:
собственно что мы имеем: RBU0TP, ADSL интернет, подключаемый по PPPOE, локалку.
что я делаю:
1. настроил интернет, КВОС и Шейпер не требуется, поэтому не настраиваал.
2. в НАТе настроил проброс портов.
3. в НАТе прописал правило чтобы весь входящий трафик по 80-му порту редиректом заворачивался на 8080 пор, и тем самым работал проксик.
4. настроил Web Proxy, создал 37 правил.
Всё вроди бы хорошо получается, но есть одно большое НО!!!!!
а теперь вопрос:
когда я включаю правило в нате на проброс порта, и с ним вместе прокси - исходящий трафик возрастает до максимального предела, и потом валится линк, и преподключается к нету.
так продожается каждых 5-15 мин.
когда же правило выключено - всё работает в нормальном режиме.
вот сам скрин загрузки канала:
Цитата:
когда я включаю правило в нате на проброс порта
господа, телепаты не появились ещё на форуме? тогда прошу уточнить, что за правило. а без включения проброса, но со включенным прокси всё нормально работает?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.