» MikroTik RouterOS

Цитата:

alex_1986

распакуй в винде, запакуй в tar (возможно уже в tar) архив (7zip к примеру может), заливай этот tar куда нужно, Midnight Commander заходит внутрь tar архивов

Возможно понадорбится выполнить команду chmod +x ./configure (сделать файл запускаемым)

Настраивай конфиг внимательно, иначе можно всю сеть положить Изменения в конфиге подхватываются н лету.

Также имеет значение с какими параметрами запускается прога

Распаковываешь командой в линуксе: tar jxvf имя-файла.tar.bz2
Архив распакуется в ту же директорию где он сам лежит. Ну а там уже делаешь компиляцию командами которыми я давал раньше.
Как и сказал usr721, Midnight Commander может распаковать этот архив встроеными средствами.

Под виндой лучше не распаковывать - атрибуты файлов не сохраняются.

Всем огромное спасибо!буду пробывать.
Удаляюсь на выходные так как инет только на работе.

Создаю подключение VPN к серверу 80.237.46.24,
до соединения - сервер 80.237.46.24 пингуется
после соединения VPN, сервер 80.237.46.24 перестает пинговаться,
и соотвественно VPN соединение падает через 1 минуту.
Что можно сделать?

Цитата:

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
1 ;;; DLM-Net
10.202.10.66/26 10.202.10.64 10.202.10.127 dlm_net

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.202.10.64/26 10.202.10.66 dlm_net
1 A S 10.202.0.0/16 r 10.202.10.65 dlm_net
2 A S ;;; DLM VPN Server
80.237.46.24/32 r 10.202.10.65 1 dlm_net

Вот какой становится таблица маршрутов в тот момент когда соединение VPN утсновлено:

Цитата:

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 10.202.10.64/26 10.202.10.66 dlm_net
1 A S 10.202.0.0/16 r 10.202.10.65 dlm_net
2 S ;;; DLM VPN Server
80.237.46.24/32 r 10.202.10.65 1 dlm_net
3 ADC 80.237.46.24/32 83.146.115.77 dlm_vpn

т.е. ранее прописанный статический маршрут до vpn сервера становится не активным.

Noka Это вся таблица рутов? У тебя должен быть маршрут по умолчанию, то есть:

add dst-address=0.0.0.0/0 gateway=10.202.10.65 comment="Default Gateway" disabled=no

Остальные правила смысла не имеют, так как идут на маршрут по умолчанию.

Смотри где заваливается traceroute - картина должна проясниться.

quickgen
прости за тупой вопрос просто я как неделю назад проставил линукс. Неполучается скомпилировать.Распаковываю тар архив открываю Midnight Commander выполняю команду chmod +x ./configure неполучается, выполняю просто ./configure тоже неполучается.Опиши плиз поподробней если это возможно.
Или под виндой альтернативной проги нет?

Народ, возник вопрос - как ограничить трафик р2р качалок? Маркировка соединения в mangle по единственному признаку all-p2p не приводит абсолютно ни к какому результату, а как еще - не доганяю. Причем на это р2р никак не реагирует также queue.

Товарищи, если не лень.Кто нибуть может на своем примере показать как настроить в винбоксе контроль за траффиком, и какие сайты посещал конкретный ОДИН копм? Я седня микротик первый раз увидел,он уже установлен прошлым админом,и тут это не настроено..а я не знаю как...

Господа подскажите как закрыть доступ с локалки через микротик в нет на обновление виндовс

bazzzilio
Действительно немного замудрено, но попробуй например это.

stas83
NewClass
Народ, смотрите шапку, гугл наконец. Не ленитесь.

Fader
Биг сенкс, по этому ману уже пробовал резать http-шный трафик. Вроде и получалось, и пакеты маркировались, и очереди работали, а потом заметил, что друг-коллега качает с Рапиды, занимает весь канал, и не щурится. Походу, порт не совпал Обрезание поставил на всё - тупо: Simple Queue, Burst-limit, Max-limit, Burst-threshold, Burst-time. Все, вроде, довольны. Значения, ессессно, у всех несколько отличаются
А тут была идея такая - p2p-траффик вытянуть в отдельную Simple Queue, дать Max-limit only, но включать только на рабочее время. Т.о. клиент не ограничивается в серфинге, несмотря на ведущуюся закачку. Просто Max-limit устанавливается поменьше, и все. В нерабочее время/выходные правило отключается, закачка идет на весь канал. Но попытка маркировки пакетов в Mangle по признаку, предлагаемому
Цитата:

попробуй например это

(аналогично в Winbox выбирается галочками, а я таки виндузятник, хотя FreeBSD устанавливал-настраивал по-мелочи) не дает никакого эффекта - трафик на правилах не считается, соединения не маркируются, соотв. и пакеты тоже. По портам и пунктам назначения тоже не угадаешь. Потому вопрос - А каким, собсно, образом Mikrotik должен определить, что данное соединение нужно отнести к p2p, да еще и к какой p2p-сети?
Ну и заодно вопрос не по этой проблеме... Реализуется ли сабжем динамическое распределение полосы между клиентами? В
Цитата:

Делим Интернет или QoS на Mikrotik

вроде написано, что можно, но рабочего не видели... Идея обычная - я в сети один - мне всё. Появился второй - меня сразу на мою полосу. Если можно - с примерами настройки, плз...

bazzzilio
В свое время сам задавался точно такими же вопросами, но так и закинул: не довел до конца желаемое. Попробуй задать свой вопрос тут. Форум поживее этого.

alex_1986 распаковываешь архив с помощью MC(права не теряются, так что можешь обойтись без chmod). Убедись что у тебя компилер GCC в системе есть. Далее ./configure и после make & make install . Если где-то ругается то пользуй гугл, скорей всего не хватает каких-то библиотек.
Ничего особенного.

bazzzilio Если трафик шифруется да еще и по 80-му порту идет - тут уже фильтры не помогут.
Скорей всего тебе надо рассмотреть нижеследующий подход:

Допускаем что у нас ограниченный канал и нам надо приоритизировать определенные классы трафика. Допускаем что нормальный вес странички находится в пределах 500KB.

0. Маркируем все соединения в цепочке форвард.
1. Маркируем ICMP трафик. В Queue Tree даем ему приоритет 1, гарантируя ему определенную скорость и устанавливая максимальную скорость.
2. Маркируем первые 500KB tcp трафика. В Queue Tree даем им приоритет 2, гарантируя ему определенную скорость и устанавливая максимальную скорость.
3. Маркируем весь остальной tcp трафик. В Queue Tree даем ему приоритет 6, гарантируя ему определенную скорость и устанавливая максимальную скорость.
4. Маркируем udp трафик. В Queue Tree даем ему приоритет 4, гарантируя ему определенную скорость и устанавливая максимальную скорость.
5. Маркируем весь остальной трафик. В Queue Tree даем ему приоритет 8, гарантируя ему определенную скорость и устанавливая максимальную скорость.


Если говорить человеческим языком:
1. Мы гарантировали хорошее время отклика.
2. Странички откроются быстро и с максимальной скоростью.
3. Все tcp-соединения, превышающие размер 500KB считаются закачками и поэтому получают строго ограниченную скорость, тем самым на влияя на качество открытия страничек.

Вот пример того как это реализовать:


Цитата:

/ ip firewall mangle
add chain=forward dst-address-list=Clients action=mark-connection new-connection-mark=Download passthrough=yes comment="" disabled=no
add chain=forward src-address-list=Clients action=mark-connection new-connection-mark=Upload passthrough=yes comment="" disabled=no

add chain=forward protocol=tcp connection-mark=Download connection-bytes=0-500000 action=mark-packet new-packet-mark=tcp-browse-dl passthrough=no comment="Download" disabled=no
add chain=forward protocol=tcp connection-mark=Download action=mark-packet new-packet-mark=tcp-other-dl passthrough=no comment="" disabled=no
add chain=forward protocol=icmp connection-mark=Download action=mark-packet new-packet-mark=icmp-dl passthrough=no comment="" disabled=no
add chain=forward protocol=udp connection-mark=Download action=mark-packet new-packet-mark=udp-dl passthrough=no comment="" disabled=no
add chain=forward connection-mark=Download action=mark-packet new-packet-mark=other-dl passthrough=no comment="" disabled=no

add chain=forward protocol=tcp connection-mark=Upload connection-bytes=0-500000 action=mark-packet new-packet-mark=tcp-browse-ul passthrough=no comment="Upload" disabled=no
add chain=forward protocol=tcp connection-mark=Upload action=mark-packet new-packet-mark=tcp-other-ul passthrough=no comment="" disabled=no
add chain=forward protocol=icmp connection-mark=Upload action=mark-packet new-packet-mark=icmp-ul passthrough=no comment="" disabled=no
add chain=forward protocol=udp connection-mark=Upload action=mark-packet new-packet-mark=udp-ul passthrough=no comment="" disabled=no
add chain=forward connection-mark=Upload action=mark-packet new-packet-mark=other-ul passthrough=no comment="" disabled=no

Цитата:

/ queue tree
add name="Download" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no
add name="Upload" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no

add name="tcp-browse-dl" parent=Download packet-mark=tcp-browse-dl limit-at=0 priority=2 max-limit=0 disabled=no
add name="tcp-other-dl" parent=Download packet-mark=tcp-other-dl limit-at=0 priority=6 max-limit=0 disabled=no
add name="icmp-dl" parent=Download packet-mark=icmp-dl limit-at=0 priority=1 max-limit=0 disabled=no
add name="udp-dl" parent=Download packet-mark=udp-dl limit-at=0 priority=4 max-limit=0 disabled=no
add name="other-dl" parent=Download packet-mark=other-dl limit-at=0 priority=8 max-limit=0 disabled=no

add name="tcp-browse-ul" parent=Upload packet-mark=tcp-browse-ul limit-at=0 priority=2 max-limit=0 disabled=no
add name="tcp-other-ul" parent=Upload packet-mark=tcp-other-ul limit-at=0 priority=6 max-limit=0 disabled=no
add name="icmp-ul" parent=Upload packet-mark=icmp-ul limit-at=0 priority=1 max-limit=0 disabled=no
add name="udp-ul" parent=Upload packet-mark=udp-ul limit-at=0 priority=4 max-limit=0 disabled=no
add name="other-ul" parent=Upload packet-mark=other-ul limit-at=0 priority=8 max-limit=0 disabled=no

Цифры limit-at и max-limit указываешь свои. Кстати такая схема работает для каждого нового TCP соединения, главное чтобы правила шли в указаной очереди.

Чтобы еще и поровну на всех делилось, создаешь 2 типа queue:
add name="PCQ-Download" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=2000
add name="PCQ-Upload" kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=src-address pcq-total-limit=2000

Далее указываешь в каждом правиле Queue Tree тип queue соответственно PCQ-Dowload или PCQ-Upload.

stas83 тебе надо настроить редирект соединений на 80-й порт на машину с установленым SQUID и тогда ты получешь нужный тебе функционал. Микротик таким функционалом не обладает.

NewClass узнаешь на какой ip делается запрос и блокируешь этот запрос в фаерволе. Как блокировать написано в мануале и на форуме неоднократно.

quickgen ничего что parent одинаковый в последнем скрипте?

Цитата:

add name="Download" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no
add name="Upload" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no

Лично у мя эти настройки не работают. Ищу причину
-----------
Нашёл траблу
Первая часть кода будет иметь вид:

Цитата:

/ ip firewall mangle
add chain=forward dst-address-list=Clients action=mark-connection new-connection-mark=Download passthrough=yes comment="" disabled=no
add chain=forward src-address-list=Clients action=mark-connection new-connection-mark=Upload passthrough=yes comment="" disabled=no

add chain=forward protocol=tcp connection-mark=Download connection-bytes=0-500000 action=mark-packet new-packet-mark=tcp-browse-dl passthrough=no comment="Download" disabled=no
add chain=forward protocol=tcp connection-mark=Download action=mark-packet new-packet-mark=tcp-other-dl passthrough=no comment="" disabled=no
add chain=forward protocol=icmp connection-mark=Download action=mark-packet new-packet-mark=icmp-dl passthrough=no comment="" disabled=no
add chain=forward protocol=udp connection-mark=Download action=mark-packet new-packet-mark=udp-dl passthrough=no comment="" disabled=no
add chain=forward connection-mark=Download action=mark-packet new-packet-mark=other-dl passthrough=no comment="" disabled=no

add chain=forward protocol=tcp connection-mark=Upload connection-bytes=0-500000 action=mark-packet new-packet-mark=tcp-browse-ul passthrough=no comment="Upload" disabled=no
add chain=forward protocol=tcp connection-mark=Upload action=mark-packet new-packet-mark=tcp-other-ul passthrough=no comment="" disabled=no
add chain=forward protocol=icmp connection-mark=Upload action=mark-packet new-packet-mark=icmp-ul passthrough=no comment="" disabled=no
add chain=forward protocol=udp connection-mark=Upload action=mark-packet new-packet-mark=udp-ul passthrough=no comment="" disabled=no
add chain=forward connection-mark=Upload action=mark-packet new-packet-mark=other-ul passthrough=no comment="" disabled=no

Eugeny_S У меня 2 провайдера, поэтому и выставлено parent=global-out. Но даже при одном работает как надо и при этом не указывается явный интерфейс.
Естественно в address-list Clients должна быть прописана например сеть которая маскарадится, ну например 192.168.0.0/24 .
Правда я так и не понял что изменилось у тебя в коде =)

quickgen, y тебя в коде
Цитата:

connection-mark=Dowload

а надо
Цитата:

connection-mark=Download

Я так понял для роутера global-out, это и загрузка и аплоад, поэтому должно быть именно так. Скрипт действительно работает с вышеуказанной поправкой Dowload.

Eugeny_S точно. не заметил синтактической ошибки =) Пасиб. Исправил.

На роутере есть куча абсолютно разных статических маршрутов. Задача: определенным айпишникам в локалке нужно разрешить следовать по этим маршрутам, другим - запретить. Тупо дропать/разрешать в фаерволле форварды на destination всех этих маршрутов для всех актуальных айпишников в локалке неэффективно, громозко, не грамотно вобщем.

Fader

Цитата:

Задача: определенным айпишникам в локалке нужно разрешить следовать по этим маршрутам, другим - запретить

Это вопрос такой? Я-то не знаю, но из чистого любопытства (хотя и оффт здесь) - а зачем такое массовое действо может понадобиться? (может оно мне тоже надо )

5555555
И не говори, сам не ожидал. Но оказывается - может понадобиться. У меня пару подсетей, по административным причинам некоторым нужно разрешить, некоторым - запретить. А маршруты эти представляют собой халявный трафик и если тупо дать доступ всем - будет плохо бо ADSL канал не резиновый.

Fader только фаервол и поможет. В данном случае самый подходящий подход: блокировать все кроме разрешенных.
Способ с наименьшим количеством правил и самый красивый:
Делаешь address-list со списком разрешенных подсетей IP(ну или несколько списков) делаешь соответствующие правила в форварде. Дальше тупо блокируешь форвард.
Другого способа я не знаю =)

Fader поддерживаю quickgen. Тем более, если групповыми политиками (домен если) - то получится довольно гибко, удобно и быстро.

У кого есть опыт установки RouterOS на брендовые серверные железки?
Хочу установить его на сервак (2xPSU, 2xHDD SAS/SATA RAID-1, Mirrored DDR-ECC).
Как RouterOS разберется с RAID-контроллером? Или в крайнем случае с одним винтом, но SAS?

zaharmd

Цитата:

У кого есть опыт установки RouterOS на брендовые серверные железки?

у меня стоит в ibm-овском сервере стоечном. но я сделал проще, купил компакт-флеш на ИДЕ и воткнул, а родной сказик стоит под логи и кэш.

Цитата:

Как RouterOS разберется с RAID-контроллером? Или в крайнем случае с одним винтом, но SAS?

лучше на сайте микротика HCL поглядеть.

zaharmd RAID не поддерживался и поддерживаться не будет Микротиком, т.е. даже наличие драйверов под линукс не спасет.
Выбор ограничен лишь USB, IDE и SATA.

Кстати именно по этой причине не могу завести Микротик под VMWare ESX Server 3.5, ибо ESX не создает виртуальные IDE =(

подскажите в чём проблема, ставлю 2.9.27 после инсталляции и ребута, выводит только Loading E и больше ничего не происходит.

quickgen

Цитата:

Выбор ограничен лишь USB, IDE и SATA.

Т.е. можно установить на USB Stick ???

Можно версия 3 и више

Хм, попробовал поставить официальную, тоже самое((