» MikroTik RouterOS (часть 4)

KurskFORUM
NAT - это 3-й и 4-й уровни (сетевой и транспортный) модели OSI,
а HTTP GET-запрос находится на 7-м (уровень приложений).
И вместе им никогда не встретиться.
Почитай в педовикии про модель OSI, узнаешь много интересного.

[more] Я пытаюсь ограничить использование ТОR, посредством закидывания в address-list адресов из
https://www.dan.me.uk/torlist/
Для этого раз в час запускается следующий скрипт, утянутый с вики микротика


Код: /tool fetch dst-path=TOR-NODES-LIST.txt mode=https url="https://www.dan.me.uk/torlist/"

:if ( [/file get [/file find name=TOR-NODES-LIST.txt] size] > 0 ) do={
# Remove exisiting addresses from the current Address list
/ip firewall address-list remove [/ip firewall address-list find list=TOR-NODES-LIST]

:global content [/file get [/file find name=TOR-NODES-LIST.txt] contents] ;
:global contentLen [ :len $content ] ;

:global lineEnd 0;
:global line "";
:global lastEnd 0;

o {
        :set lineEnd [:find $content "\n" $lastEnd ] ;
        :set line [:pick $content $lastEnd $lineEnd] ;
        :set lastEnd ( $lineEnd + 1 ) ;
        #If the line doesn't start with a hash then process and add to the list
        :if ( [:pick $line 0 1] != "#" ) do={

            :local entry [:pick $line 0 ($lineEnd -1) ]
            :if ( [:len $entry ] > 0 ) do={
                /ip firewall address-list add list=MY-IP-LIST address=$entry
            }
        }
    } while ($lineEnd < $contentLen)
}

KurskFORUM
vlary

Теоретически можно подняться до 7-го уровня, завернув трафик в WebProxy. И уже там попробовать каких-нибудь параметров пособирать.

а какой чип Flash вообще используется в Микротике ?
я тут подумывал использовать OpenWRT в MetaROUTE, но бросил идею из за глючности самого OpenWRT для микротика и были сомнения как раз плана сокращения времени жизни флэша в роутере

а может и не заморачиваться, купить запасной, слить в него копию текущего и не бояться мучать встроенную по полной, бэкапы конфигураций все равно каждый день делаются

меня конкретно интересует что стоит в RB2011UiAS...

Народ помогите создать nat для такой конфигурации
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU
0 ether1-gateway ether 1500 1598
1 RS ether2-master-local ether 1500 1598
2 S ether3-slave-local ether 1500 1598
3 S ether4-slave-local ether 1500 1598
4 RS ether5-slave-local ether 1500 1598
5 XS wlan1 wlan 1500 1600
6 R bridge-local bridge 1500 1598
7 R ;;; /
lte1 lte 1500
8 R pptp-out1 pptp-out 1400

Как сделать открытый NAT для одного единственного приложения а именно GTA 5?

Arney

Если интернет приходит по LTE, то:
/ip firewall nat add chain=srcnat action=masquerade out-interface=pptp-out1

Добавлено:
fakintosh

Выясняете какие именно серверы и порты используются.
После этого делаете NAT только на эти сервера/порты.

Simply_Kot
Сервера узнать нет возможности, так как может рандомно подключиться куда то, а может при подключении вылететь в одиночку с сетевой ошибкой, а так же при создании сессии по приглашениям, то же нет возможности посмотреть адрес сервера, но тут скорее всего локально делается сессия, и есть несколько человек которые с строгим NAT и в сессию по приглашениям ко мне зайти не могут.

Делал на порт dst-nat - так же был умеренный нат хотя для торрента dst-nat работает.

fakintosh
Если с серверами такая засада - то остается выяснить какие порты GTA5 использует. И вот их уже и NATить.

Но если и с портами непонятно, то по какому признаку определять, что это именно GTA5?

Здравствуйте. RB951Ui-2HnD к нему подключено 2 ПК и 3-5 устройств WiFi, год уже пользуюсь роутером и провайдером МТС.
Проблемы возникла месяца 2 назад, тариф 40 мбит/с, а скорость через спидтест и 2ip не выше 8 мбит/с, и высокий пинг до любых хостингов, кроме мтс. Звонил в тех поддержку - сделали, сказали ошибки на оборудовании. Проработало все максимум неделю, стало снова 8 мбит/с, позвонил ничего не решили сказали Ваши проблемы, с Вашим оборудованием. После этого скорость упала просто до катастрофических 20-300 кбит/с, не всегда спидтест загрузить могу. Подключил напрямую к ноуте - скорость 8мбит/с, сбросил настройки роутера, настроил заново - скорости нет, ничего не загружается. Сейчас опять все подключено к ноутбуку напрямую. В чем может быть проблема? Какую информацию с роутера необходимо предоставить?

TI_ProJecT

Первым делом проверьте загрузке процессора и трафик на интерфейсе MTC
Есть подозрение на DNS-флуд

Simply_Kot



И всё равно в игре умеренный NAT, без микротика - Открытый NAT и ип белый 9 лет уже как.
Изучал англоязычный форум микротика, там тоже но с Xbox такая же фигня

TI_ProJecT

Нужны:
1. Загрузка процессора
/system resource cpu print
2. Если загрузка процессора более 10 %, то нужен профиль загрузки
/tool profile
3. Список активных интерфейсов
/in print stats-detail
4. Правила фильтра
/ip firewall filter export


Добавлено:
fakintosh
Итак, просто следуя официальной информации должно быть открыто 7 портов:

порты TCP: 80, 443
порты UDP: 6672, 61455, 61457, 61456 и 61458

Simply_Kot

Из списка NAT после ребута роутера пропадает или 80 или 443 порт, даже в In Interface принудительно указал WAN порт - результат тот же.

Конечно пропадают!
Они же заняты сервисами самого MT.

Или смените порты web-интерфейса.
/ip service set port=8080 [find name=www]
/ip service set port=8443 [find name=www-ssl]

Или, если им не пользуетесь, отключите его совсем.
/ip service set disabled=yes [find name=www]
/ip service set disabled=yes [find name=www-ssl]

web-интерфейс выключил, 80 и 443 не пропадают, а Умеренный NAT так же остался

fakintosh

Можно экспорт глянуть?
/ip fi nat export

Simply_Kot
[more=экспорт]
Код: /ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=192.168.89.0/24
add action=dst-nat chain=dstnat dst-address=80.233.252.212 dst-port=7834 protocol=tcp to-addresses=192.168.88.192 to-ports=7834
add action=dst-nat chain=dstnat dst-address=80.233.252.212 dst-port=7834 protocol=udp to-addresses=192.168.88.192 to-ports=7834
add action=dst-nat chain=dstnat dst-address=80.233.252.212 dst-port=9996 protocol=udp to-addresses=192.168.88.192 to-ports=9996
add action=netmap chain=dstnat dst-port=10000 in-interface=WAN log=yes protocol=tcp to-addresses=192.168.88.191 to-ports=10000
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=80 in-interface=WAN protocol=tcp to-addresses=192.168.88.192 to-ports=80
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=443 in-interface=WAN protocol=tcp to-addresses=192.168.88.192 to-ports=\
443
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=61458 in-interface=WAN protocol=udp to-addresses=192.168.88.192 to-ports=\
61458
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=61456 in-interface=WAN protocol=udp to-addresses=192.168.88.192 to-ports=\
61456
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=6672 in-interface=WAN protocol=udp to-addresses=192.168.88.192 to-ports=\
6672
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=61457 in-interface=WAN protocol=udp to-addresses=192.168.88.192 to-ports=\
61457
add action=dst-nat chain=dstnat comment="GTA 5" dst-address=80.233.252.212 dst-port=61455 in-interface=WAN protocol=udp to-addresses=192.168.88.192 to-ports=\
61455

fakintosh
Ошибок не вижу.

/interfaces print
/ip routes print

Кстати, у вас upnp включен?
Фаервол на компьютере может блокировать эти порты?
На компьтере не стоит ничего, что могло бы занимать эти порты?

Simply_Kot

[more=/ interface print]
Код: /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R WAN ether 1500 1598 4074 00:17:08:44:72:40
1 RS ether2 ether 1500 1598 4074 4C:5E:0C:21:B2:35
2 S ether3 ether 1500 1598 4074 4C:5E:0C:21:B2:36
3 S ether4 ether 1500 1598 4074 4C:5E:0C:21:B2:37
4 S ether5 ether 1500 1598 4074 4C:5E:0C:21:B2:38
5 S ether6-master-local ether 1500 1598 2028 4C:5E:0C:21:B2:39
6 S ether7-slave-local ether 1500 1598 2028 4C:5E:0C:21:B2:3A
7 S ether8-slave-local ether 1500 1598 2028 4C:5E:0C:21:B2:3B
8 S ether9-slave-local ether 1500 1598 2028 4C:5E:0C:21:B2:3C
9 S ether10-slave-local ether 1500 1598 2028 4C:5E:0C:21:B2:3D
10 S sfp1 ether 1500 1598 4074 4C:5E:0C:21:B2:33
11 S wlan1 wlan 1500 1600 4C:5E:0C:21:B2:3E
12 R bridge-local

fakintosh

Как бы тогда не очень понятно.
Единственное что смущает - это использование upnp параллельно с пробросом портов. Однако в остальнное правильно.
0. У вас ip постоянный, так сто вместо маскарадинга лучше использовать srcnat
1. Попробуйте отключить upnp.
2. Попробуйте удалить правила для GTA и включить upnp. Правила должны создаваться при запкске gta динамически.
3. Ну и попробуйте поменять на копьютнрн mtu на 1473

TI_ProJecT
Не знаю как в МТС'е, но у моего провайдера заявление о несоответствующей скорости договору, с патчиком напрямки от ихнего домового оборудование - означает как минимум вызов монтажников на место... для подтверждения неиправности и дальнейшего устранения ...

Simply_Kot

Если upnp отключить то в самой игре опять написано что upnp заблокирован, но наверное это самой игре не критично должно быть.
А в каком месте поменять маскарадинг на srcnat и что в нём писать?
Создалось правило только на 6672 порт
Сменил mtu - не помогло

[more] [/more]

fakintosh
Когда upnp включен - вручную написанные правила проброса портом нужно удалить.

Simply_Kot
[more] [/more]

Ничего не изменилось

Уважаемые гуру дайте плс ссылку на мануал, как настроить Mikrotik RB951Ui-2HnD на несколько подстей. Задача простая - 1 порт WAN (PPPoE к провайдеру). Остальные порты отдельные подстети, между которыми нет доступа. Заранее спасибо.

One13
1. на WAN порт DHCP клиент, для сети провайдера (если надо)
2. PPPoE клиента с логин паролем
3. на LAN_2 выставить 1-ю п/сеть
4. на LAN_3 выставить 2-ю п/сеть
5. IP->Firewall маскарад SRC первой п/сети и DST второй подсети с знаком "!"
6. аналогично п/п 5 для второй подсети

Спасибо буду пробовать на выходных.

в v6.36RC убрали поддержку wireless-fp и предлагают использовать wireless-rep или wireless-cm2
http://forum.mikrotik.com/viewtopic.php?f=21&t=107422

я ещё на v6.32.4, но заранее хочу перейти с wireless-fp на wireless-cm2
как правильно это сделать?
отключить в пакетах wireless-fp и тут же включить wireless-cm2, и потом рестарт или как?

zBear

Я переходил так:
1. Закидываем в Files wireless-cm2.
2. Отключаем wireless-fp
3. Перезагрузка

Все настройки подхватились. 30 секунд на все манипуляции.

После того как все заработало удалил wireless-fp.

Добавлено:
fakintosh

Прошу прощения был оторван от сети.

По поводу замены маскарада:

Было:
add action=masquerade chain=srcnat comment="default configuration" out-interface=WAN

Заменить на:
add action=src-nat to-addresses=80.233.252.212 chain=srcnat comment="default configuration" out-interface=WAN

Вообще ситуация довольно странная. Получается, что сам GTA просит маршрутизатор пробросить только один порт.

Может проблема в настройка upnp?
/ip upnp export