» MikroTik RouterOS (часть 3)

Chupaka
Оговорился %)
Конечно же, для источников - Source NAT / Port Redirect
А для приёмников - Destination NAT / Port Redirect

РЕшил поэкспериментировать с хотспот. MK 3.30. Базово настроил, все работает. Копаю глубже. В профиле хотспота, в разеле аутенфикации есть понятие триал, с установкой времени триала и промежуток времени через который возможно повторное использования триала, как я понимаю с одного mac адреса.

/ip hotspot profile print
Flags: * - default
0 * name="default" hotspot-address=0.0.0.0 dns-name="" html-directory=hotspot
rate-limit="" http-proxy=0.0.0.0:0 smtp-server=0.0.0.0
login-by=http-pap,trial split-user-domain=no trial-uptime=5m/10m
trial-user-profile=default use-radius=no

Согласно моему пониманию, каждый подключившийся без авторизации получит раз в 10 минут 5 минут полного доступа. Но так не работает.
Что я не понимаю или, что я делаю не так?

Цитата:

Но так не работает

я, может, задам глупый вопрос, но... как работает?

Добавлено:
Iliasla
так источнику же надо направить пакет по другому dst-port - для этого нужен DstNAT. а его в рамках одного роутера всё ещё не сделаешь...

Цитата:

более того: у каждого указан master. из-за этого с интерфейсом нельзя работать напрямую, только через свитч, который пакеты на CPU присылает через мастера

Почему же нельзя? Выбираем одного мастера для всех остальных и работаем..) причём проверено, подключение напрямую работает на всех портах.

Добавлено:
это что бы получилось, как вы говорите: маршрутизатор в роле свича, для подключению к которому нужен свич)

FreeLSD_md
имелось в виду, что по слэйвовым интерфейсам даже статистику пакетную посмотреть нельзя. а так - конечно порты работают

Chupaka
Хм, действительно. Интересная задача ) Про виртуализацию роутеров пока думать не будем..

Помогите пож-та найти ошибку в моих настройках...

Задача:
Есть канал 50 Мбит. Есть 10 обычных юзеров + 1 шеф.

Тарфик нужно разделить следующим образом:

10 пользователей имеют в своем распоряжении 30 Мбит на всех
- если в сети один пользователь он может занять все 30 Мбит
- если в сети два пользователя они имеют по 15 Мбит
- и т.д.
- если в сети все 10 пользователей, каждый получит не более 3 Мбит

шеф всегда должен иметь в своем распоряжении 40 Мбит
- если в сети шеф и 2 пользователя, то шеф получит 40 Мбит, а пользователи по 5 Мбит [40 + 2*5 = 50]
- если в сети шеф и 10 пользователий, то шеф получит 40 Мбит, а пользователи по 1 Мбит [40 + 10*1 = 50]

Как я это настраивал:

Для начала определил список адресов для обычных пользователей:


Затем создал правило маркировки подключения для этих пользователей:


и маркировку пакетов в рамках этого подключения:


Аналогично создал правило маркировки подключения для оператора (шеф):


и маркировку пакетов в рамках этого подключения:


В итоге получилась следующая картина:


Далее создал два типа PCQ:


И создал следующее дерево очередей:


Вот как распеределены интерфейсы:


В итоге когда я пытаюсь проверирь лимитирование скорости (на speedtest.net), я вижу, что все очереди остаются в зеленом состоянии, а скорость никак не ограничивается:


Подскажите что я делаю не так?

zaharmd
согласно последнему скину у вас трафик не попадает под очереди?
limit.at у пользователей поставьте по 30Мбит\с.
и потом, хотелось бы узнать схему сети и что еще настроено на роутере.

vlh

Сетка - 192.168.10.0/24

На рутере три интерфейса: LAN, ISP, WiFi (подключен к WiFi AP - 192.168.12.0/24, рутинг между LAN и WiFi запрещен)

В правилах NAT есть несколько dst-nat (для почтовых серверов), один src-nat (маскарадинг), и еще одно правило, которое заруливает запросы на 80-порт на web-proxy (настроенный на этом же MikroTik-е).

Еще есть пару VPN подключений (для удаленных работников).




Добавлено:
vlh

Цитата:

limit.at у пользователей поставьте по 30Мбит\с.

Разве это не означает, что я оставлю им гарантированный 30Мбит канал?

Нужно, чтобы они получали не более чем 30Мбит на всех, но при этом, если оператору понадобится широкий канал (до 40Мбит), их канал начнет сужаться, вплоть до 10Мбит на всех.

Цитата:

один src-nat (маскарадинг)

вот с этого места подробнее, у вас между локалкой и внешкой NAT?
если да то вы во первых не на тех интерфейсах ловите пакеты в queue tree,
а во вторых срочно переделывайте правила в мангле для маркировки трафика,
метьте не соединения, а пакеты на вход и выход.


Цитата:

Разве это не означает, что я оставлю им гарантированный 30Мбит канал?

возможно, я не правильно понял, что вы хотите в итоге получить, но так же
я не увидел где как у вас выставлен приоритет.
в вашем примере вы пытаетесь нарезать скорость, а сами хотите еще и
то что бы у шефа был приоритет перед остальными...

vlh


Цитата:

вы во первых не на тех интерфейсах ловите пакеты в queue tree,

А на каких нужно?

Вот как выглядит NAT во внешний мир:


Для приоритета операторского трафика перед пользовательским, я выставил следующие настройки:

Цитата:

Вот как выглядит NAT во внешний мир:

не ну я конечно видел в глаза как он выглядит, но все равно
спасибо что напомнили


Цитата:

Для приоритета операторского трафика перед пользовательским, я выставил следующие настройки:

я думаю, что так не сработает.... вы хотите нарезать канал и тут же сделать
приоритет...
пометьте пакеты в прероутинге для шефа и для всех остальных пользователей,
пользователей можно занести в адресс-лист, потом метим пакеты для шефа
и пользователей в форварде, далее делаем в queue tree делаем дерево и ловим метки от прероутинга в global-in на вход и на выход и выставляем приоритет для шефа 1 для пользователей 8, потом делаем дерево и ловим метки с форварда в LAN и global-out это для нарезки скорости...
дерзайте, думаю логику вы поняли...

P.S.
ссылку которую я вам давал, ее не надо тупо копировать, там во первых не используется NAT а
во вторых есть ошибка, ссылка дана для понимания вопроса...

vlh

Цитата:

пометьте пакеты в прероутинге для шефа и для всех остальных пользователей,
пользователей можно занести в адресс-лист

Вот что я сделал. Проверьте пож-та, если это правильно.

Код:
1 ;;; users' packets
chain=prerouting src-address-list=Office VLAN action=mark-packet new-packet-mark=users-pre passthrough=no

2 chain=prerouting dst-address-list=Office VLAN action=mark-packet new-packet-mark=users-pre passthrough=no

3 chain=forward src-address-list=Office VLAN action=mark-packet new-packet-mark=users passthrough=no

4 chain=forward dst-address-list=Office VLAN action=mark-packet new-packet-mark=users passthrough=no

5 ;;; operator's packets
chain=prerouting src-address=192.168.10.62 action=mark-packet new-packet-mark=op-pre passthrough=no

6 chain=prerouting dst-address=192.168.10.62 action=mark-packet new-packet-mark=op-pre passthrough=no

7 chain=forward src-address=192.168.10.62 action=mark-packet new-packet-mark=op passthrough=no

8 chain=forward dst-address=192.168.10.62 action=mark-packet new-packet-mark=op passthrough=no

zaharmd

Цитата:

chain=prerouting dst-address-list=Office VLAN action=mark-packet new-packet-mark=users-pre passthrough=no

вот такие правила в прероутинге как скажет Chupaka ни разу не сработают, потому что у вас NAT, и dst-address-list не будет работать...
и потом у вас их будет два, а значит под второе ни чего не попадет и значит
весь входящий трафик будет ловится одним правилом...
далее у вас одинаковые марки на вход и на выход, вы их как будете различать при построении деревьев tree?

P.S.
у вас NAT, по этому пометить в прероутинге входящие пакеты для разных групп или ip в локальной сети
наверное не получится, без NAT нет проблем... если вынести NAT...
подождите, может кто подскажет как это сделать с NAT...

Доброго всем времени.
Настроил, как смог шейпер, укажите плз на возможные косяки такого конфига и как их обойти, а то есть подозрение, что работает эта схема не корректно.
Или может у кого есть рабочий конфиг, буду благодарен за исходники, всё остальное под себя настрою сам. Задача - приоретизация трафика, канал - адсл 6\0.5

/interface>
0 R ether1 ether 1500
1 R ether2 ether 1500
2 R byfly pppoe-out 1480

/ip firewall nat>
0 chain=srcnat action=masquerade src-address=192.168.2.0/24 out-interface=byfly

/ip proxy>
enabled: yes
src-address: 0.0.0.0
port: 3128
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: "webmaster"
max-cache-size: none
cache-on-disk: no
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: primary-master

/ip firewall mangle>
4 ;;; http_services
chain=prerouting action=mark-connection new-connection-mark=http_serv_con passthrough=yes protocol=tcp
dst-port=23,53,80,443,3128,5190,3389,4899,8291 connection-bytes=0-1000000

5 chain=prerouting action=mark-connection new-connection-mark=http_serv_con passthrough=yes protocol=udp
dst-port=53,67,68,123

6 chain=prerouting action=mark-packet new-packet-mark=http_serv passthrough=yes connection-mark=http_serv_con

7 ;;; http_dowloads_services
chain=prerouting action=mark-connection new-connection-mark=download_serv_con passthrough=yes protocol=tcp
dst-port=20,21,80,443 connection-bytes=1000000-0

8 chain=prerouting action=mark-packet new-packet-mark=down_serv passthrough=no connection-mark=download_serv_con

9 ;;; p2p
chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes protocol=udp dst-port=10000

10 chain=prerouting action=mark-connection new-connection-mark=p2p passthrough=yes protocol=udp
src-address=192.168.2.0/24 src-port=10000

11 chain=postrouting action=mark-connection new-connection-mark=p2p passthrough=yes protocol=tcp
src-address=!178.124.154.104 src-address-list=users1 dst-port=!20,21,23,53,80,443,3128,5190,3389,4899,8291

12 chain=prerouting action=mark-packet new-packet-mark=p2p passthrough=no connection-mark=p2p

/queue type>
5 name="PCQ_down" kind=pcq pcq-rate=6000000 pcq-limit=20 pcq-classifier=dst-address pcq-total-limit=500

6 name="PCQ_up" kind=pcq pcq-rate=512000 pcq-limit=20 pcq-classifier=src-address pcq-total-limit=500

/queue tree> pr
0 name="down" parent=ether1 packet-mark="" limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

1 name="up" parent=ether2 packet-mark="" limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s

2 name="http_serv_" parent=up packet-mark=http_serv limit-at=32000 queue=PCQ_up priority=1 max-limit=512000
burst-limit=0 burst-threshold=0 burst-time=0s

3 name="p2p_" parent=up packet-mark=p2p limit-at=0 queue=PCQ_up priority=8 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s

4 name="http_serv" parent=down packet-mark=http_serv limit-at=512000 queue=PCQ_down priority=1 max-limit=6000000
burst-limit=0 burst-threshold=0 burst-time=0s

5 name="p2p" parent=down packet-mark=p2p limit-at=0 queue=PCQ_down priority=8 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

7 name="down_serv" parent=down packet-mark=down_serv limit-at=0 queue=PCQ_down priority=4 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

8 name="down_serv_" parent=up packet-mark=down_serv limit-at=0 queue=PCQ_up priority=4 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

Всем привет!

Нужна помощь...

Есть инет, получаемый по оптике, на порту Микротика eth2 стоит внешний айпишник (178.хх.хх.хх), всё работает, все довольны.
Появилась нужда прописать PTR запись для почтового сервака в организации на этот айпи, но к сожаления пров по каким то причинам не может сделать этого. Предлагает создать только pptp туннель по этому каналу с его внутренним впн сервером (10.хх.хх.хх) для получения ип на который есть возможность прописать ptr. Сказано, сделано. PPTP туннель (TEST_VPN) поднят, получен ip (92.xx.xx.xx) но.. интернета через этот туннель нет.. и уже третий день не могу разобраться в чём проблема.
Для теста был сделан маршрут типа: для 94.100.191.203 (он же mail.ru) gw TEST_VPN, пингов на 94.100.191.203 не с роутера не с внутренней сетки нету, если создаешь этот впн туннель на любом компе в локальной сетке, всё работает без проблем. Так же если вместо впн сервера прова, настроить на любой другой впн... то всё работает, и с роутера и с локалки. мистика...

Буду очень признателен за ваши ответы.

Цитата:

пингов на 94.100.191.203 не с роутера

При пинговании с роутера интерфейс выбирался? Проверь пинг, выставив в свойствах пинга интерфейс TEST_VPN.

Цитата:

При пинговании с роутера интерфейс выбирался? Проверь пинг, выставив в свойствах пинга интерфейс TEST_VPN.

Да конечно, выбирал интерфейс и тот который смотрит в инет и сам туннель. Эффекта 0 (

У меня как-то подобное было… давно правда, забыл уже как решил, так что, будем решать сначала.
mixxxer1
Отключи сначала все лишние правила роутинга, чтобы на штыке был поднят интерфейс интрнет и поднят PPTP до провайдера. В свойствах соединения PPTP отключи создание автоматического маршрута. Потом бери пинг и указывая конкретный интерфейс проверяй тот же маил.ру.

PS: И посмотри в фаирволе не дропаются ли пакетики, а то такое тоже бывает .

Доброго времени суток!
помогите разобраться, почему не могут соедениться 2 мтика 3,30
настроил open vpn server по wiki что на сайте мтика

в итоге имею если поставить рядом 2 мтика
первый 10.80.20.200/16
второй 10.80.20.201/16
то open vpn соединение проходит, трафик ходит

если разнести удаленно
первый 10.80.20.200/16
второй 192.168.21.200/24
мтики друг друга видят, пинги между ними ходят, vpn соединение между ними поднимается, а вот open vpn не в какую не хочет

лог сервера
[light@linux] >
echo: ovpn,info TCP connection established from 10.80.20.200
echo: ovpn,info TCP connection established from 10.80.20.200
echo: ovpn,info TCP connection established from 10.80.20.200
echo: ovpn,info TCP connection established from 10.80.20.200

лог клиента
echo: ovpn,info ovpn: initializing...
echo: ovpn,info ovpn: dialing...
echo: ovpn,info ovpn: terminating... - peer disconnected
echo: ovpn,info ovpn: disconnected
и т.д.

порт опен впна на пути ничем не блокируется, фаерволы в обоих микротиках пустые т.е. все разрешено

Народ, подскажите пож., можно ли как-то задать таймаут реконнекта впн-соединения (к провайдеру, т.е. на микротике впн клиент)? К примеру чтоб реконнект после разрыва был не мгновенный, а через 60 сек? Версия 3.20

Здравствуйте, прошу помощи. Уже опускаются руки
Настроил по мануалу pptp между микротиками. С микротиков виртуальные интерфейсы пингуются нормально (192.168.5.1 и 192.168.5.1). Как я понимаю после строк
/ip route add dst-address=192.168.10.0/24 gateway=192.168.5.1 pref-src=192.168.5.2
/ip route add dst-address=192.168.2.0/24 gateway=192.168.5.2 pref-src=192.168.5.1
Так как 1ый микротик имеет адрес 192.168.2.25 и второй 192.168.10.10 мне нужно на клиентах просто указать route add 192.168.10.0 mask 255.255.255.0 192.168.2.25 для компов у первого микротика и с изменениями у второго. Но ни чего не работает. Может я что-то не понял или не прописал? Я уверен что что-то не то именно с маршрутизацией, так как мост между микротиками работает. Помогите пожалуйста, а то я уже не знаю что делать

elgriton
трассировка в помощь

с компа "tracert адрес" в командной строке

Судя по трасерту пакеты уходят на внешку, через pppoe-out1. Может надо выставить gateway в настройках маршрута на микротиках? Я правда пробовал, ничего не менеятся. Причем сами микротики за другим сеть видят и пингуют компы в другой подсети нормально. Немогу понять где можно накосячить. Судя по мануалу там всего-то две команды, блин.

elgriton
а маркировки роутинга у вас нигде нет?

Да вроде нет. Я ничего лишнего не делал. Все только то что в мануале в wiki микротика про объединение офисов.

помогите разобраться. Не устанавливает соединения ESTABLISHED по порту 4899.

Делаю проброс порта:

Код:
filter chain=forward src-address=1.1.1.1 dst-address=2.2.2.2 protocol=tcp dst-port=4899 action=accept

nat chain=dstnat in-interface=ether1 src-address=1.1.1.1 protocol=tcp dst-port=4899 action=dst-nat to-addresses=2.2.2.2 to-ports=4899

insmac
много букаф... 1.1.1.1 и 2.2.2.2 расположены на разных интерфейсах мелкотика? ответные пакеты действительно идут через этот же роутер?

Вместо RB750G теперь делают RB750GL
Памяти в 2 раза больше, процессор медленней, дешевле на $10

По мне более сбалансированный продукт получился для SOHO.
Греться должен меньше, а память позволит больше на него функционала накрутить.

А вам как новый девайс?

Цитата:

Chupaka
много букаф... 1.1.1.1 и 2.2.2.2 расположены на разных интерфейсах мелкотика? ответные пакеты действительно идут через этот же роутер?

1.1.1.1 - источник пакета из вне

2.2.2.2 - ип адрес во внутренней сети

на 2.2.2.2 шлюз для 1.1.1.1 указан микротик