» MikroTik RouterOS (часть 3)

Osmosis_Johnes

/ip firewall nat add action=masquerade chain=srcnat comment="" disabled=no out-interface=ether2 src-address=192.168.2.0/24
отключи все правила в NAT кроме этого

ether2 это сетевуха от провайдера
src-address= сеть которой нужен инет

ip route print - хотелось бы посмотреть как минимум

З.Ы.
А вообще чем больше инфы ты даешь, тем проще найти и понять проблему!

vitriol
у меня только это правило и стояло, только добавил src-adress.
и вот:

ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 109.xxx.xxx.xxx/27 109.xxx.xxx.xxx ether2
1 ADC 192.168.2.0/24 192.168.2.253 ether1
2 A S ;;; added by setup
0.0.0.0/0 r 192.168.2.253 ether1
3 S 0.0.0.0/0 r 109.xxx.xxx.xxx ether2

109.xxx.xxx.xxx - провайдерский внешний адрес, прописанный на второй сетевухе.


Добавлено:
Стали пинговаться внешние адреса в инете. Как теперь дать пользователю из сети 192.168.2.0/24 выход в интернет?

Osmosis_Johnes дай выход в инет адрес листу где прописаны айпишники юзеров

vitriol
отключал все вообще кроме ната, ничего не менялось

faust72rus
стало лучше гораздо, но все же часто сайты получаются недогруженными. но прогресс есть.

Nemnon
Если отключить все правила в IP/Firewall/Filter Rules, изменения в лучшую сторону есть?

Цитата:

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT - 1" disabled=no \
out-interface=INET src-address-list=1-grp
add action=masquerade chain=srcnat comment="NAT - 6" disabled=no \
out-interface=INET src-address-list=6-grp
add action=masquerade chain=srcnat comment="NAT - 8" disabled=no \
out-interface=INET src-address-list=8-grp

Группы 1, 6, и 8 - это адреса, относящиеся к разным подсетям? Если нет, то к чему эта порнография?

Nemnon


Цитата:

но все же часто сайты получаются недогруженными

По этому вопросу пробуй уменьшать mtu

korsakoff72RU


Цитата:

Группы 1, 6, и 8 - это адреса, относящиеся к разным подсетям? Если нет, то к чему эта порнография?

подсеть одна, а это группы по приоритетам трафика, то есть 8 самая низкая, а 1 самая высокая. в 8 группе сервера которые постоянно что то тянут с инета, торенты например, и если кому нужен инет с 1 или 6 группы, то он отдается им. так эффективнее грузить канал. ибо денег он стоит не малых.

правила в НАТЕ для удобства контроля, иногда нужно отключить какую либо группу. ну и всем инет раздавать тоже нельзя. конечно можно это сделать одним правилом, но это никак не влияет на качество.


отключение правил фаера, очередей, перестановка на новое железо, смена версий микротика - не помогла. с МТУ тоже игрался толку 0., пров явно предупредил что мту должно быть 1446.

единственное что сдвинуло ситуацию, это правило с MSS, стало заметно лучше, но все же, бывают моменты когда сайты грузятся частично, с потерей оформления.

wwwwwww7

Цитата:

Osmosis_Johnes дай выход в инет адрес листу где прописаны айпишники юзеров

я указал в ip > firewall > address lists сеть 192.168.2.0/24
инета у юзера все равно нет, но внешние инетовские ip-шники, домены пингуются.

Osmosis_Johnes
в filter rules создал два правила для твоего адрес листа. И я смотрю у тебя в роутер листе не активный маршрут с провайдером

подскажите микротик RB450G версия 4.17

на 1 порту белый IP
на 2 порту серый IP
включен маскарад

в результате на самом микротике скорость 2 мегабита, а на любом ПК 0,05 мегабит
пинги длиной 500 ходят всегда, а больше 1000 уже как захотят
при этом с самого микротика пишет
[admin@UTS] > ping 8.8.8.8 size 500
8.8.8.8 92 byte ping: ttl=52 time=95 ms (corrupted)
...
3 packets transmitted, 2 packets received, 33% packet loss
100% replies corrupted

пробовал добавлять правило меняющее MSS

все равно
[admin@UTS] > ping 8.8.8.8 size 500
8.8.8.8 92 byte ping: ttl=52 time=95 ms (corrupted)
...
4 packets transmitted, 4 packets received, 0% packet loss
100% replies corrupted
round-trip min/avg/max = 94/94.7/95 ms

что покрутить ?
до этого стоял DIR300 проблем не было

Osmosis_Johnes
Как адреса пользователям раздаются, через DHCP или руками прописывают?
Шлюз у пользователей 192.168.2.253?

wwwwwww7

Цитата:

в filter rules создал два правила для твоего адрес листа. И я смотрю у тебя в роутер листе не активный маршрут с провайдером

И что это значит? как исправить?
вот что есть:
ip address> print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 ;;; added by setup
192.168.2.253/24 192.168.2.0 192.168.2.255 ether1
1 ;;; added by setup
109.xxx.xxx.xxx/27 109.xxx.xxx.xxx 109.xxx.xxx.191 ether3

Добавлено:
vitriol

Цитата:

Как адреса пользователям раздаются, через DHCP или руками прописывают?
Шлюз у пользователей 192.168.2.253?

адреса даются через dhcp

шлюз и днс пользователю даются 192.168.2.253

Dimsoft
Так видно же что ДО смены MSS потери пакетов есть, после нету. Мне кажется это верное решение, нет?

Osmosis_Johnes в фаерволе в закладке address lists задаешь имя листа (любое) и прописываешь IP юзеров (на каждого юзера свое правило), а в filter rules создаешь два правила для выхода этого листа в инет (имя листа). И последним правилом дропаешь всех кто не прописан в этом листе.

Здраствуйте господа... Мож я что-то пропустил касаемо L2TP+VPN+IPSEC. Я так понимаю что если клиент, который коннектится к серверу (сервер поднят на микротике)
находится за NAT то эта связка не работает. У меня по крайней мере так... Но если клиент без ната то коннектится...

Ребята что бы это значило .

l2tp,ppp,info <l2tp-server>: terminating... - could not add address: already have such address (6)

после перезагрузки все нормально

Почему не работают приоритеты??
в чем не прав??
Mangle + queue tree (PCQ)
правила должны работать на интерфейсе rostelecom
исключение address-list="blitz 1,2"



/ip firewall address-list
add address=192.167.167.0/24 comment="" disabled=no list="blitz 1, 2"
add address=192.168.5.0/24 comment="" disabled=no list="blitz 1, 2"
add address=192.168.6.0/24 comment="" disabled=no list="blitz 1, 2"


/ip firewall mangle
add action=mark-connection chain=prerouting comment="icmp MC" disabled=yes new-connection-mark=icmp passthrough=yes protocol=icmp src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="icmp MP" connection-mark=icmp disabled=yes new-packet-mark=icmp passthrough=yes
add action=mark-connection chain=prerouting comment="winbox MC" disabled=yes dst-port=8291 new-connection-mark=winbox passthrough=yes protocol=tcp src-address-list="!blitz 1, 2"
add action=mark-packet chain=postrouting comment="winbox MP" connection-mark=winbox disabled=yes new-packet-mark=wibnox passthrough=yes
add action=mark-connection chain=prerouting comment="web MC" connection-bytes=0-500000 disabled=yes dst-port=80,445 new-connection-mark=web passthrough=yes protocol=tcp \
src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="web MP" connection-mark=web disabled=yes new-packet-mark=web passthrough=yes
add action=mark-connection chain=prerouting comment="web d MC" connection-bytes=500000-0 disabled=yes dst-port=80,445 new-connection-mark="web d" passthrough=yes protocol=tcp \
src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="web d MP" connection-bytes=500000-0 connection-mark="web d" disabled=yes new-packet-mark="web d" passthrough=yes
add action=mark-connection chain=prerouting comment="dns MC" disabled=yes dst-port=53 new-connection-mark=dns passthrough=yes protocol=udp src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="dns MP" connection-mark=dns disabled=yes new-packet-mark=dns passthrough=yes
add action=mark-connection chain=prerouting comment="other MC" disabled=yes new-connection-mark=other passthrough=yes src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="other MP" connection-mark=other disabled=yes new-packet-mark=other passthrough=yes




/queue type
set default kind=pfifo name=default pfifo-limit=50
set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
set wireless-default kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
add kind=pcq name=down pcq-classifier=dst-address pcq-limit=1500 pcq-rate=0 pcq-total-limit=150000000
add kind=pcq name=upload pcq-classifier=src-address pcq-limit=1500 pcq-rate=0 pcq-total-limit=150000
set default-small kind=pfifo name=default-small pfifo-limit=10




/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="total download" parent=local priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="1 icmp" packet-mark=icmp parent="total download" priority=1 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="2 winbox" packet-mark=wibnox parent="total download" priority=2 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="4 web" packet-mark=web parent="total download" priority=3 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="5 web d" packet-mark="web d" parent="total download" priority=5 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="3 dns" packet-mark=dns parent="total download" priority=3 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="6 other" packet-mark=other parent="total download" priority=6 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="total upload" parent=rostel priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="1 icmp up" packet-mark=icmp parent="total upload" priority=1 queue=upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="2 winbox up" packet-mark=wibnox parent="total upload" priority=2 queue=upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="4 web up" packet-mark=web parent="total upload" priority=4 queue=upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="5 web d up" packet-mark="web d" parent="total upload" priority=5 queue=upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="3 dns up" packet-mark=dns parent="total upload" priority=3 queue=upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=yes limit-at=0 max-limit=0 name="6 other up" packet-mark=other parent="total upload" priority=6 queue=upload

tiuman
Может потому, что и в мангле и в дереве очередей у всех правил указано disabled=yes?

Добавлено:
Во-вторых в правилах, которые метят пакеты (не соединения) должно стоять passthrough=no, а не yes.

Цитата:

Может потому, что и в мангле и в дереве очередей у всех правил указано disabled=yes?

ну да это щас только отключил

Добавлено:
/ip firewall mangle
add action=mark-connection chain=prerouting comment="icmp MC" disabled=no new-connection-mark=icmp passthrough=yes protocol=icmp src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="icmp MP" connection-mark=icmp disabled=no new-packet-mark=icmp passthrough=no
add action=mark-connection chain=prerouting comment="winbox MC" disabled=no dst-port=8291 new-connection-mark=winbox passthrough=yes protocol=tcp src-address-list="!blitz 1, 2"
add action=mark-packet chain=postrouting comment="winbox MP" connection-mark=winbox disabled=no new-packet-mark=wibnox passthrough=no
add action=mark-connection chain=prerouting comment="web MC" connection-bytes=0-500000 disabled=no dst-port=80,445 new-connection-mark=web passthrough=yes protocol=tcp \
src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="web MP" connection-mark=web disabled=no new-packet-mark=web passthrough=no
add action=mark-connection chain=prerouting comment="web d MC" connection-bytes=500000-0 disabled=no dst-port=80,445 new-connection-mark="web d" passthrough=yes protocol=tcp \
src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="web d MP" connection-bytes=500000-0 connection-mark="web d" disabled=no new-packet-mark="web d" passthrough=no
add action=mark-connection chain=prerouting comment="dns MC" disabled=no dst-port=53 new-connection-mark=dns passthrough=yes protocol=udp src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="dns MP" connection-mark=dns disabled=no new-packet-mark=dns passthrough=no
add action=mark-connection chain=prerouting comment="other MC" disabled=no new-connection-mark=other passthrough=yes src-address-list="!blitz 1, 2"
add action=mark-packet chain=prerouting comment="other MP" connection-mark=other disabled=no new-packet-mark=other passthrough=no

исправил passthrough=no в mark-packet-aх Но проблема не решилась

tiuman
Вы бы избегали в Микротике применять для объектов подобные имена как "blitz 1, 2". Пробелы, запятые - не есть хорошо.

wwwwwww7

Цитата:

в фаерволе  в закладке address lists задаешь имя листа (любое) и прописываешь IP юзеров (на каждого юзера свое правило), а в filter rules создаешь два правила для выхода этого листа в инет (имя листа). И последним правилом дропаешь всех кто не прописан в этом листе.

Немного не понятно. Где вы вообще об этом всё читали?

в address list пишу так:
name: Allow_users
address: 192.168.2.0/24

в firewall->filter rules так:
chain: input
Src.address: 192.168.2.0/24
Src address list: Allow_users
Action: accept
и
chain: input
Src.address: 192.168.2.0/24
Src address list: !Allow_users
Action: drop

ладно это исправил но все равно не работает


я хотел сделать высокий проритет на icmp winbox web а все отсальное на меньший приоритет...

чтобы люди в инете сидели нормально а торентщикам и игрокам итд итп доставалось только после высокоприоритизированных.


я это пытаюсь делать??? или как ? я в том направлении копаю??

Цитата:

Ребята что бы это значило .

l2tp,ppp,info <l2tp-server>: terminating... - could not add address: already have such address (6)

после перезагрузки все нормально

какая версия RouterOS? такое чуйство, что этот баг уже много лет как исправлен

tiuman

Цитата:

я это пытаюсь делать??? или как ? я в том направлении копаю??

Копаете в нужном направлении, но информации недостаточно. Например, что у вас с внешним интерфейсом - NAT на нём настроен?

Chupaka
версия 3.30 PC

rosalin
Давай дебаг лог.

Доброго времени суток! Понимаю, что ситуация абсолютно "чайниковая", но..
Итак, исходные данные:
Микротик 3.20 на добротном железе.
Внутренний сетевой интерфейс (LAN) - 192.168.0.0/24 - адрес Микротика 192.168.0.2
Внешний сетевой интерфейс (WAN) - 192.168.1.0/24 - адрес Микротика 192.168.1.3
Внешний интерфейс подключен к модему D-LINK 2500U, адрес модема 192.168.1.1, интернет получаем через настроенное в модеме PPPoE соединение.
IP внешнего подключения, полученный от провайдера, имеет вид 94.ххх.ххх.183.
На Микротике настроен шлюз 192.168.1.1, локальная сеть выходит в интернет через маскарад, все работает прекрасно, НО!
1) не могу получить доступ к Микротику с домашнего (как и с любого другого компьютера)
2) не удается пробросить порты для подключения RAdmina к локальной сети.

Перечитано уже много-много, перепробовано не меньше - толку нет.
Разъясните для чайника, пожалуйста, КАК настроить эту фигню!

swz1968
а вы не забыли, что для начало надо про бросить порты на D-LINK 2500U?

Osmosis_Johnes
в address list пишу:
name: Allow_users
address: адрес юзера которому будет разрешен выход в инет

в firewall->filter rules так:
chain: forward
Src address list: Allow_users
Action: accept

chain: forward
Dst. address list: Allow_users
Action: accept

и
chain: forward
Action: drop

swz1968

Переведи модем в бридж, подыми pppoe на микротике и многие твои вопросы решатся