Simply_Kot
Оно. Большое спасибо!
Оно. Большое спасибо!
» MikroTik RouterOS (часть 4)
Доктор, меня все игнорируют! 
Еще раз:
Можно ли заставить идти пинг между R1 и R2 с помощью динамической маршрутизации (OSPF/BGP)?
Сейчас на ISP2_R0 настроено следующее:
Код: /routing ospf network
add area=backbone network=1.1.0.0/16
add area=area2 network=20.30.40.0/24
Еще раз:
Можно ли заставить идти пинг между R1 и R2 с помощью динамической маршрутизации (OSPF/BGP)?
Сейчас на ISP2_R0 настроено следующее:
Код: /routing ospf network
add area=backbone network=1.1.0.0/16
add area=area2 network=20.30.40.0/24
Спецы! Неужели никто не сталкивался с ситуацией когда не пингуются ПК, которые получают адреса по DHCP от контроллера домена? Адреса которые прописаны статикой пингуются. Прошу помощи, очень надо!
468320
Говорят тебе, убирай VLAN, добавляй адрес шлюза из сети 10.110.15.0/24 в bridge-local и проверяй как там у тебя NAT работает: если пинг идёт с роутера, но не идет с компа, значит дело в NAT.
Говорят тебе, убирай VLAN, добавляй адрес шлюза из сети 10.110.15.0/24 в bridge-local и проверяй как там у тебя NAT работает: если пинг идёт с роутера, но не идет с компа, значит дело в NAT.
Joo1z
Так у меня уже заработал Asterisk без всяких манипуляций, люди звонят изнутри и снаружи дозваниваются, ничего кроме добавления vlan1 при этом не делал, все подключены к одному коммутатору. Осталось решить вопрос с пингами.
Так у меня уже заработал Asterisk без всяких манипуляций, люди звонят изнутри и снаружи дозваниваются, ничего кроме добавления vlan1 при этом не делал, все подключены к одному коммутатору. Осталось решить вопрос с пингами.
468320
думаю при наличии конфига микротика, сетевых настроек устройств и схемы подключения все бы решилось быстрее
думаю при наличии конфига микротика, сетевых настроек устройств и схемы подключения все бы решилось быстрее
Joo1z
нет маршрутов на R1,R2
либо статику там настрой
либо включи ospf на них
нет маршрутов на R1,R2
либо статику там настрой
либо включи ospf на них
melboyscout
Цитата:
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=LAN1-Master
set [ find default-name=ether2 ] master-port=LAN1-Master name=LAN2-Slave
set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN3-Slave
set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN4-Slave
set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN5-Slave
set [ find default-name=ether6 ] name=LAN6-Master
set [ find default-name=ether7 ] master-port=LAN6-Master name=LAN7-Slave
set [ find default-name=ether8 ] master-port=LAN6-Master name=LAN8-Slave
set [ find default-name=ether9 ] name=WAN1
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=LAN6-Master name=vlan1 vlan-id=2
/interface bridge port
add bridge=bridge-local interface=LAN1-Master
add bridge=bridge-local interface=LAN6-Master
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
add address=xxx interface=WAN1 network=xxx
add address=10.110.15.243/24 interface=vlan1 network=10.110.15.0
/ip dns
set allow-remote-requests=yes servers=192.67.2.114,194.67.1.154
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat src-address=10.110.15.0/24
add action=netmap chain=dstnat comment=Asterisk dst-port=5060 in-interface=\
WAN1 protocol=udp to-addresses=10.110.15.5 to-ports=5060
/ip route
add distance=1 gateway=xxx
1. При такой схеме Asterisk "заработал": пользователи локальной сети могут позвонить во "внешний мир" и извне с обычных телефонов в офис тоже дозваниваются, а вот ip-телефон из внешнего офиса не может подключиться к Asterisk (ошибка регистрации).
2. С микротика пингуются только адреса серверов, на которых прописана статика. Например контроллер домена 192.168.1.2 и Asterisk 192.168.1.5, а другой интерфейс Asterisk с адресом 10.110.15.5 уже не виден, но адрес микротика на vlan1 10.110.15.243 пингуется. Если зайти на контроллер домена и попинговать с него, то ситуация аналогичная микротику, обычные пк получающие адреса по dhcp от контроллера домена не видны.
Цитата:
думаю при наличии конфига микротика, сетевых настроек устройств и схемы подключения все бы решилось быстрее
/interface bridge
add name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=LAN1-Master
set [ find default-name=ether2 ] master-port=LAN1-Master name=LAN2-Slave
set [ find default-name=ether3 ] master-port=LAN1-Master name=LAN3-Slave
set [ find default-name=ether4 ] master-port=LAN1-Master name=LAN4-Slave
set [ find default-name=ether5 ] master-port=LAN1-Master name=LAN5-Slave
set [ find default-name=ether6 ] name=LAN6-Master
set [ find default-name=ether7 ] master-port=LAN6-Master name=LAN7-Slave
set [ find default-name=ether8 ] master-port=LAN6-Master name=LAN8-Slave
set [ find default-name=ether9 ] name=WAN1
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=LAN6-Master name=vlan1 vlan-id=2
/interface bridge port
add bridge=bridge-local interface=LAN1-Master
add bridge=bridge-local interface=LAN6-Master
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
add address=xxx interface=WAN1 network=xxx
add address=10.110.15.243/24 interface=vlan1 network=10.110.15.0
/ip dns
set allow-remote-requests=yes servers=192.67.2.114,194.67.1.154
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN1
add action=masquerade chain=srcnat out-interface=all-ppp
add action=masquerade chain=srcnat src-address=10.110.15.0/24
add action=netmap chain=dstnat comment=Asterisk dst-port=5060 in-interface=\
WAN1 protocol=udp to-addresses=10.110.15.5 to-ports=5060
/ip route
add distance=1 gateway=xxx
1. При такой схеме Asterisk "заработал": пользователи локальной сети могут позвонить во "внешний мир" и извне с обычных телефонов в офис тоже дозваниваются, а вот ip-телефон из внешнего офиса не может подключиться к Asterisk (ошибка регистрации).
2. С микротика пингуются только адреса серверов, на которых прописана статика. Например контроллер домена 192.168.1.2 и Asterisk 192.168.1.5, а другой интерфейс Asterisk с адресом 10.110.15.5 уже не виден, но адрес микротика на vlan1 10.110.15.243 пингуется. Если зайти на контроллер домена и попинговать с него, то ситуация аналогичная микротику, обычные пк получающие адреса по dhcp от контроллера домена не видны.
468320
На телефонах и Asterisk шлюзом стоит 10.110.15.243??? А sip-сервер с адресом из какой сети?
Вешний офис как связан с текущим, VPN?
На телефонах и Asterisk шлюзом стоит 10.110.15.243??? А sip-сервер с адресом из какой сети?
Вешний офис как связан с текущим, VPN?
Joo1z
Да 10.110.15.243 там шлюз, внешний офис подключен микротик к микротику по l2tp, маршруты между ними прописаны и внешний офис тоже видит только сервера из 192.168.1.0/24.
Да 10.110.15.243 там шлюз, внешний офис подключен микротик к микротику по l2tp, маршруты между ними прописаны и внешний офис тоже видит только сервера из 192.168.1.0/24.
resetsa
Ага, спасиб. тупанул.
468320
Полагаю, что шлюз прописанный вручную (сервера) отличается от того, который присваивается по DHCP.
Ага, спасиб. тупанул.
468320
Полагаю, что шлюз прописанный вручную (сервера) отличается от того, который присваивается по DHCP.
Кто нибудь сталкивался с настройкой ограничения скорости для внутренних пользователей?
Настроил, но ограничения срабатывают только на закачку, на отдачу нет:
Flags: X - disabled, I - invalid, D - dynamic
0 name="Total" parent=none packet-marks="" priority=8/8
queue=default-small/default-small limit-at=0/0 max-limit
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s
1 name="test" target=192.168.10.62/32 parent=none packet-m
priority=8/8 queue=default-small/default-small limit-at=
max-limit=30M/30M burst-limit=0/0 burst-threshold=0/0 bu
Настроил, но ограничения срабатывают только на закачку, на отдачу нет:
Flags: X - disabled, I - invalid, D - dynamic
0 name="Total" parent=none packet-marks="" priority=8/8
queue=default-small/default-small limit-at=0/0 max-limit
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s
1 name="test" target=192.168.10.62/32 parent=none packet-m
priority=8/8 queue=default-small/default-small limit-at=
max-limit=30M/30M burst-limit=0/0 burst-threshold=0/0 bu
sattva
Проверяйте, не включены ли правила с fasttrack.
Проверяйте, не включены ли правила с fasttrack.
1) проверить включен ли fasttrack (определяется правилами firewall, "заворачивается" ли трафик в fasttrack, проверить включено ли - можно через /ip settings print , ищем ipv4-fasttrack-active: no)
2) проверить срабатывает ли очередь для upload трафика (увеличивается ли статистика очереди для DL и UL или только для DL)
3) если RouterOS 6.x версии, то через mangle промаркировать пакеты (чтобы очереди было понятно in или out трафик идет) примерно так (очередь оперирует метками пакетов. для определения направления сначала маркируем соединение на основе всего трафика, уходящего провайдеру через WAN интерфейс, затем маркируем уже все пакеты этого соединения. далее настройки не через print, а через export, так проще под себя поправить и выполнить):
/ip firewall mangle
add action=mark-connection chain=postrouting connection-mark=no-mark \
new-connection-mark=conn_mark_LAN_to_WAN out-interface=\
WAN passthrough=no
add action=mark-packet chain=prerouting connection-mark=conn_mark_LAN_to_WAN \
new-packet-mark=pkt_mark_LAN_to_WAN passthrough=no
а дальше уже в очереди ограничиваем для промаркированных пакетов (ограничиваю не строго, а через burst и тип очереди pcq чтобы можно было ограничить подсетку и в ней настроить ограничения и под каждый адрес подсетки и в сумме канал для всей подсетки. маркировка пакетов поможет определить и направление трафика и ограничивать только трафик на интерфейс провайдера, на случай если есть несколько локальных подсеток и между ними не нужно ограничений):
/queue simple
add burst-limit=25M/25M burst-threshold=15M/15M burst-time=8s/8s \
max-limit=20M/20M name=queue1 packet-marks=\
pkt_mark_LAN_to_WAN queue=\
pcq-upload-default/pcq-download-default target="LAN"
LAN - интерфейс, через который идет трафик от локальных клиентов к провайдеру
WAN - интерфейс через который подключены к провайдеры
по крайней мере у меня такая схема работает на RouterOS v6.35.4
2) проверить срабатывает ли очередь для upload трафика (увеличивается ли статистика очереди для DL и UL или только для DL)
3) если RouterOS 6.x версии, то через mangle промаркировать пакеты (чтобы очереди было понятно in или out трафик идет) примерно так (очередь оперирует метками пакетов. для определения направления сначала маркируем соединение на основе всего трафика, уходящего провайдеру через WAN интерфейс, затем маркируем уже все пакеты этого соединения. далее настройки не через print, а через export, так проще под себя поправить и выполнить):
/ip firewall mangle
add action=mark-connection chain=postrouting connection-mark=no-mark \
new-connection-mark=conn_mark_LAN_to_WAN out-interface=\
WAN passthrough=no
add action=mark-packet chain=prerouting connection-mark=conn_mark_LAN_to_WAN \
new-packet-mark=pkt_mark_LAN_to_WAN passthrough=no
а дальше уже в очереди ограничиваем для промаркированных пакетов (ограничиваю не строго, а через burst и тип очереди pcq чтобы можно было ограничить подсетку и в ней настроить ограничения и под каждый адрес подсетки и в сумме канал для всей подсетки. маркировка пакетов поможет определить и направление трафика и ограничивать только трафик на интерфейс провайдера, на случай если есть несколько локальных подсеток и между ними не нужно ограничений):
/queue simple
add burst-limit=25M/25M burst-threshold=15M/15M burst-time=8s/8s \
max-limit=20M/20M name=queue1 packet-marks=\
pkt_mark_LAN_to_WAN queue=\
pcq-upload-default/pcq-download-default target="LAN"
LAN - интерфейс, через который идет трафик от локальных клиентов к провайдеру
WAN - интерфейс через который подключены к провайдеры
по крайней мере у меня такая схема работает на RouterOS v6.35.4
А есть какое-нибудь ограничение по скорости на IPSEC? Между двумя офисами GRE-туннель может выбрать всю ширину канала. А если задействовать политику шифрования, то 10М и всё. С обеих сторон CCR1016 и CCR1009. Процессоры не заняты, памяти съедены копейки. Есть какое-нибудь волшебное слово, чтоб шифровали сколько смогут.
Или я чего в доке про IPSEC пропустил и там декларировано ограничение канала?
Или я чего в доке про IPSEC пропустил и там декларировано ограничение канала?
w00dpecker
Это бага функционирования драйвера криптопроцессора на платформе Tilera.
Работы по устранению ведутся.
Это бага функционирования драйвера криптопроцессора на платформе Tilera.
Работы по устранению ведутся.
Simply_Kot
Спасибо. Бум ждать апдейтов.
А где про это почитать? А если вместо IPSEC, например, OpenVPN задействовать? Или там криптопроцессор тот же будет?
Спасибо. Бум ждать апдейтов.
А где про это почитать? А если вместо IPSEC, например, OpenVPN задействовать? Или там криптопроцессор тот же будет?
w00dpecker
Можно отключить аппаратную шифрование и задействовать программное.
Читать, конечно же, на официальном форуме по ссылке:
http://forum.mikrotik.com/viewtopic.php?f=2&t=94625
и вот текущее положение дел
http://forum.mikrotik.com/viewtopic.php?f=21&t=107422&p=534818&hilit=IPSEC+CCR1036+aes+256+cbc#p534818
Можно отключить аппаратную шифрование и задействовать программное.
Читать, конечно же, на официальном форуме по ссылке:
http://forum.mikrotik.com/viewtopic.php?f=2&t=94625
и вот текущее положение дел
http://forum.mikrotik.com/viewtopic.php?f=21&t=107422&p=534818&hilit=IPSEC+CCR1036+aes+256+cbc#p534818
Simply_Kot
Цитата:
как это сделать?
Цитата:
отключить аппаратную шифрование и задействовать программное
как это сделать?
zBear
Использовать на обеих концах aes-***-ctr
Использовать на обеих концах aes-***-ctr
Поясните, пожалуйста, для тех, кто уже совсем с головой не дружит...
http://forum.mikrotik.com/viewtopic.php?f=21&t=107422&p=534818&hilit=IPSEC+CCR1036+aes+256+cbc#p534818
Цитата:
То есть самый шустрый алгоритм на данный момент это многопоточный аппаратный.
Надо в proposal указать не aes-*-cbc, а aes-*-gcm? А если результат не устроит, тогда aes-*-ctr и будет вместо 10M хотя бы 75М... до 75M в зависимости от прочих правил-служб жаждущих проца...
Так?
http://forum.mikrotik.com/viewtopic.php?f=21&t=107422&p=534818&hilit=IPSEC+CCR1036+aes+256+cbc#p534818
Цитата:
The problem is the hardware encryption driver (on CCR that means aes-*-cbc encryption) encrypts/sends packets out of order. This results in the client seeing packet loss, duplicate acks, out of order packets, etc, which cause performance issues with TCP (some benchmarking/real world traffic shows about 50% of packets are retransmits and duplicate acks). How much depends on a variety of things (like application, tcp window, latency, etc). Because of this, I actually use software encryption (aes-256-ctr) instead because I see about 10x faster single-threaded transfers. Here are some example numbers:
Software/single stream: 75Mbps
Software/multiple stream: 150Mbps (single cpu core maxed)
Hardware/single stream: ~7.5Mbps
Hardware/multiple stream: >500Mbps
Note: Same tests performed. Only difference is toggling (default in /ip ipsec proposal) between CBC (hardware) and CTR (software). Also, you often have to flush installed SAs after changing this on both sides to get the session to actually switch over.
То есть самый шустрый алгоритм на данный момент это многопоточный аппаратный.
Надо в proposal указать не aes-*-cbc, а aes-*-gcm? А если результат не устроит, тогда aes-*-ctr и будет вместо 10M хотя бы 75М... до 75M в зависимости от прочих правил-служб жаждущих проца...
Так?
w00dpecker
Если нужно одновременно передавать много маленьких потоков со со скоростью до 7.5Mbps - то аппаратный, если надо передавать один поток, но с максимальной скоростью (до 75Mbps), то программный
Если нужно одновременно передавать много маленьких потоков со со скоростью до 7.5Mbps - то аппаратный, если надо передавать один поток, но с максимальной скоростью (до 75Mbps), то программный
Simply_Kot
А если надо RDP сессию с печатью по сети? По идее, сейчас с aes-256-cbc на каждого клиента открывается одна SA... Я так понимаю, при многопоточном шифровании будет по одному SA на соединение...
А если поднимаются RDP сессии и монтируются расшаренные папки между офисами, тогда чего ждать?
Эксперименты в рабочее время КРАЙНЕ не привестствуются, а в нерабочее характер нагрузки не торт
А если надо RDP сессию с печатью по сети? По идее, сейчас с aes-256-cbc на каждого клиента открывается одна SA... Я так понимаю, при многопоточном шифровании будет по одному SA на соединение...
А если поднимаются RDP сессии и монтируются расшаренные папки между офисами, тогда чего ждать?
Эксперименты в рабочее время КРАЙНЕ не привестствуются, а в нерабочее характер нагрузки не торт
Simply_Kot
я думал чекбокс есть
я думал чекбокс есть
w00dpecker
Советую для начала собрать статистику - какой трафик идет в рабочее время и сколько соединений используется. И исходя из этой информации уже принимать какие-то решения.
Советую для начала собрать статистику - какой трафик идет в рабочее время и сколько соединений используется. И исходя из этой информации уже принимать какие-то решения.
скрипты с официального вики работают для резервного копирования, но с отправкой с gmail на gmail проблемы, постоянный AUTH failed
это у гугла какие то особые требования возникли или я что то неверно делаю?
это у гугла какие то особые требования возникли или я что то неверно делаю?
И всё-таки я повторю вопрос...
Есть два роутера. К одному приходит 2 провайдера, к другому 1.
Как с роутера, у которого 2 провайдера поднять 2 GRE туннеля с каждого интерфейса до роутера с одним провайдером?
Инициатором должен быть тот роутер, у которого 2 провайдера. У меня всегда пакеты бегут через маршрут в таблице main, с наименьшей метрикой (дистанцией).
Вариант с разбрасыванием входящих соединений на тот интерфейс с которого пришёл запрос работает, если инициатором туннеля будет второй шлюз... но это не совсем устраивает.
Есть два роутера. К одному приходит 2 провайдера, к другому 1.
Как с роутера, у которого 2 провайдера поднять 2 GRE туннеля с каждого интерфейса до роутера с одним провайдером?
Инициатором должен быть тот роутер, у которого 2 провайдера. У меня всегда пакеты бегут через маршрут в таблице main, с наименьшей метрикой (дистанцией).
Вариант с разбрасыванием входящих соединений на тот интерфейс с которого пришёл запрос работает, если инициатором туннеля будет второй шлюз... но это не совсем устраивает.
Цитата:
Как с роутера, у которого 2 провайдера поднять 2 GRE туннеля с каждого интерфейса до роутера с одним провайдером
а GRE туннель совсем не сморит на локальный адрес туннеля ?
Всем привет.
Сеть, роутером Микротик стоит.
Пытаюсь настроить изнутри подключение на внешний адрес по rdp.
Как я понимаю, наружу порты в микротике не открыты, так как не подключается.
Подскажите настройки, пожалуйста, или укажите, если в чем-то не прав
Сеть, роутером Микротик стоит.
Пытаюсь настроить изнутри подключение на внешний адрес по rdp.
Как я понимаю, наружу порты в микротике не открыты, так как не подключается.
Подскажите настройки, пожалуйста, или укажите, если в чем-то не прав
aladdin79
В конфигурации по умолчанию на внешний интерфейс пакеты NATируются.
Для начала пришлите вывод команды /export, и приблизительное описание сети. Тогда уже будем разбираться.
В конфигурации по умолчанию на внешний интерфейс пакеты NATируются.
Для начала пришлите вывод команды /export, и приблизительное описание сети. Тогда уже будем разбираться.
Страницы: 1234567891011121314151617181920212223
Предыдущая тема: Запрет на загрузку, при установке сервера терминалов.
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.