хм... Tools -> Torch?
» MikroTik RouterOS
Smito
Можно, вернее, нужно. В /ip firewall mangle пакеты помечаются, в /queue tree создаются правила для ограничения скорости (назначения приоритета). можно использовать и simple queues для ограничения скорости, но они не такие гибкие в настройке ( по-моему).
А я со своим вопросом на счет 2-х pppoe от одного провайдера.. Уже хочу направлять каждую группу на своё подключение ( как тут http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent). Сейчас стоит модем в режиме роутинга, на нём поднято гостевое подключение. За модемом микротик 2.9.27, на микротике рррoe от провайдера.
Если перевести модем в режим бриджа, будет ли возможно на микротике вызвать 3 подключения ( 1 постояное в интернет, 2 гостевое, 3-е по расписанию). Проблема, которую предполагаю - ip шлюза 1 и тот же будет.. Подсажите, возможно ли как-то это сделать на 1-м микротике ( или на 2-х версии 2.9.27), или нужно покупать 3-ю версию?
Попобовать возможности пока нету..
Можно, вернее, нужно. В /ip firewall mangle пакеты помечаются, в /queue tree создаются правила для ограничения скорости (назначения приоритета). можно использовать и simple queues для ограничения скорости, но они не такие гибкие в настройке ( по-моему).
А я со своим вопросом на счет 2-х pppoe от одного провайдера.. Уже хочу направлять каждую группу на своё подключение ( как тут http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent). Сейчас стоит модем в режиме роутинга, на нём поднято гостевое подключение. За модемом микротик 2.9.27, на микротике рррoe от провайдера.
Если перевести модем в режим бриджа, будет ли возможно на микротике вызвать 3 подключения ( 1 постояное в интернет, 2 гостевое, 3-е по расписанию). Проблема, которую предполагаю - ip шлюза 1 и тот же будет.. Подсажите, возможно ли как-то это сделать на 1-м микротике ( или на 2-х версии 2.9.27), или нужно покупать 3-ю версию?
Попобовать возможности пока нету..
AHbKA
шлюз одинаковый = третья версия. в ней шлюзом может быть не только адрес, но и интерфейс
шлюз одинаковый = третья версия. в ней шлюзом может быть не только адрес, но и интерфейс
Еще 1 вопросик. Есть сеть, подключенная через 1 модем. У каждого пользователя свой логин/пароль (pppoe) от провайдера. По вечерам модем виснет от мультикаста ( думаю, именно поэтому). Можно ли перед модемом поставить микротик, чтобы фильтровать лишние пакеты? Если да, то какие порты нужно пробрасывать?
pppoe? т.е. модем в режиме бриджа? тогда поставить мелкотик в бридж и пропускать через него только pppoe-трафик =)
Можно ли в MikroTik RouterOS ограничить пользователям HTTP сервера скоростя?
OOD в шапке вся инфа есть, причем на русском. Вот это почитай http://www.x-drivers.ru/content/view/541/53/
OOD
Ограничить скорость скачивания по http?
Пометить пакет от сервера в /firewall mangle:
/ip firewall mangle add chain=output protocol=tcp src-port=80 action=mark-packet new-packet-mark=http80_dwn
Потом в Queue Tree добавить очередь с ограничением, к примеру, 256 кбпс.
add name="http80_dwn" parent=global-out packet-mark="http80_dwn" limit-at=0 queue=pcq_default priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Вроде так, специалисам просьба поправить.
Добавлено:
Ага, мой ответ запоздал.. =)
Ограничить скорость скачивания по http?
Пометить пакет от сервера в /firewall mangle:
/ip firewall mangle add chain=output protocol=tcp src-port=80 action=mark-packet new-packet-mark=http80_dwn
Потом в Queue Tree добавить очередь с ограничением, к примеру, 256 кбпс.
add name="http80_dwn" parent=global-out packet-mark="http80_dwn" limit-at=0 queue=pcq_default priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
Вроде так, специалисам просьба поправить.
Добавлено:
Ага, мой ответ запоздал.. =)
AHbKA можно еще проще, чтоб без использования мангл, раз у человека только http-сервис на сервере.
/queue simple add name="queue1" target-addresses=192.168.10.1/32 max-limit=128000/128000 disabled=no
... и так для каждого клиента. Или смотреть в сторону PCQ шейпера если нужно равноправное распределение канала.
И в твоем примере скорей всего dst-port=80 вместо src-port=80 .
/queue simple add name="queue1" target-addresses=192.168.10.1/32 max-limit=128000/128000 disabled=no
... и так для каждого клиента. Или смотреть в сторону PCQ шейпера если нужно равноправное распределение канала.
И в твоем примере скорей всего dst-port=80 вместо src-port=80 .
quickgenСпасибо разобрался, а авторизацию пользователя логин+пароль я смотрю там уже сделать нельзя в queue
Хм.. По-моему, если идёт пакет с сервера, то исходящим портом будет 80-й, а если запрос на сервер - то dst-port=80.. И как лучше будет- /ip firewall mangle add chain=output, или /ip firewall mangle add chain=postrouting?
OOD PPPoE или Hotspot?
PPPoE это отдельный логический канал который можно шифровать.
Hotspot это способ авторизации пользователей через обычный браузер по имени пользователя и паролю.
Зависит от того чего ты хочешь добиться. Выбирай.
AHbKA так и есть. Если у него сервер в DMZ зоне и он поставит один Simple Queue на внутрений ip сервера, то добьется того-же результата что и используя подход mangle+queue tree.
Цитата:
Дело не в том как лучше будет, а в большой разнице между этими двумя цепочками.
Через цепочку output пройдут пакеты у которых сурс ип адресс является одним из ип адрессов микротика, то есть пакеты имеют начало в микротике.
Через цепочку postrouting пройдут пакеты у которых ип адресс НЕ является одним из ип адрессов микротика, и для которых назначение указано в рутах(/ip route)
Фактически из вышесказанного следуют следующие примеры:
1. Если делать пинг с микротика например на майл.ру, то отмаркировать такие пакеты можно будет в цепочке output и никак не в postrouting.
2. Если делать пинг с клиентской машины например на майл.ру, то отмаркировать такие пакеты можно будет в цепочке postrouting и никак не в output. (Это когда не используется NAT).
Подробнее тут http://www.mikrotik.com/testdocs/ros/3.0/qos/flow.php
PPPoE это отдельный логический канал который можно шифровать.
Hotspot это способ авторизации пользователей через обычный браузер по имени пользователя и паролю.
Зависит от того чего ты хочешь добиться. Выбирай.
AHbKA так и есть. Если у него сервер в DMZ зоне и он поставит один Simple Queue на внутрений ip сервера, то добьется того-же результата что и используя подход mangle+queue tree.
Цитата:
И как лучше будет- /ip firewall mangle add chain=output, или /ip firewall mangle add chain=postrouting?
Дело не в том как лучше будет, а в большой разнице между этими двумя цепочками.
Через цепочку output пройдут пакеты у которых сурс ип адресс является одним из ип адрессов микротика, то есть пакеты имеют начало в микротике.
Через цепочку postrouting пройдут пакеты у которых ип адресс НЕ является одним из ип адрессов микротика, и для которых назначение указано в рутах(/ip route)
Фактически из вышесказанного следуют следующие примеры:
1. Если делать пинг с микротика например на майл.ру, то отмаркировать такие пакеты можно будет в цепочке output и никак не в postrouting.
2. Если делать пинг с клиентской машины например на майл.ру, то отмаркировать такие пакеты можно будет в цепочке postrouting и никак не в output. (Это когда не используется NAT).
Подробнее тут http://www.mikrotik.com/testdocs/ros/3.0/qos/flow.php
Цитата:
Через цепочку output пройдут пакеты у которых сурс ип адресс является одним из ип адрессов микротика, то есть пакеты имеют начало в микротике.
Через цепочку postrouting пройдут пакеты у которых ип адресс НЕ является одним из ип адрессов микротика, и для которых назначение указано в рутах(/ip route)
как говорит один мой знакомый, не употребляй слово "цитата", пока не сделал Ctrl+C, Ctrl+V. по вышеприведённой ссылке читаем:
Цитата:
the traffic is originated from the router. In this case the IP packets have their source addresses identical to one of the router's IP addresses. <...> Such packets travel through the output chain, then they are passed to the routing facility where an appropriate routing path for each packet is determined and leave through the postrouting chain
т.е. абсолютно все пакеты, не отфильтрованные файрволом, проходят postrouting. и обратное: все приходящие пакеты идут в prerouting, даже те, которые файрволом потом покоцаются
Chupaka Спасибо за поправку. Чтож перечитаю мануал пару раз =) авось чему-то научит?!?!
Честно говоря, не могу вспомнить ту самую ситуацию в которой как раз именно разница между этими цепочками сыграла решающую роль, ну и ладно =)
Честно говоря, не могу вспомнить ту самую ситуацию в которой как раз именно разница между этими цепочками сыграла решающую роль, ну и ладно =)
хм... именно эти цепочки? я в своё время намучался с forward и postrouting - в forward пакеты ходят уже src-снатированные, а в postrouting - ещё с оригинальными адресами, вроде. так вот на forward очереди PCQ особо не слепишь, в которых классификация по src-address =)
Chupaka у меня как раз наоборот =)))) Все Queue Tree построены на цепочке форвард =))
Кстати оффтоп.
Кстати оффтоп.
quickgen
посмотрел на сервак - даунлоад - в форвард, а аплоад - в прероутинг, во! если аплоад тоже в форвард пихать - то он классифицируется как трафик от одного юзера, ибо уже маскарадится =)
кстати, не оффтоп, а в помощь системному администратору
посмотрел на сервак - даунлоад - в форвард, а аплоад - в прероутинг, во! если аплоад тоже в форвард пихать - то он классифицируется как трафик от одного юзера, ибо уже маскарадится =)
кстати, не оффтоп, а в помощь системному администратору
Всегда хотелось увидеть, как настроены роутеры у знающих людей... Может, кто-нибудь поделится скриншотами из винбокса или экспортом настроек?.. Очень интересны firewall filter, mangle, tree queue..
Согласен с Вами AHbKA, было бы не плохо создать некую базу знаний для полного и глубокого понимания. Вроде статьи есть, и не мало, но всё же не достаточно.
www.mikrotik.com/software.html
Цитата:
Цитата:
Try RouterOS immediatelly by using our online demo routers.
You can try to connect via Telnet or download our graphical application Winbox. When connecting in either way, use the address demo.mt.lv or demo2.mt.lv. Username is "demo" and there is no password.
You can also visit the default webpage of our demo routers:
http://demo.mt.lv and http://demo2.mt.lv
А можно ли в этой ОС сменить порт VPN подключения. Тоесть чтоб и я к провайдеру и юзеры конектились не на 1723 (если не ошибаюсь) а на другой порт но по PPTP.
ValeriyZ а провайдер меняет порт? В параметрах PPPTP подключения Микротика такого не наблюдал. А к чему такие варианты со сменой порта PPPTP подключения? В смысле к чему такие сложности?
Провайдер я сам себе 
(тоесть к себе хочу подключится). А сам инет беру не по ВПН. Да в прямых настройках Микротика такого нет, Уже проверил, Но и в Винде тоже нет, но я ж сменил, поэтому и думаю, что знающие Микротика должны знать какое волшебное слово вести, чтоб все было норм...
Теперь к этой винде нужно приконектить Микротик.
OpenVPN она ж тоже не поддерживает. Другой инкапсуляции трафика на один порт вроде нет.
Сложности из работой локальной сети, точнее перехода из отднюй части сети в другую, там порта закрыт.
(тоесть к себе хочу подключится). А сам инет беру не по ВПН. Да в прямых настройках Микротика такого нет, Уже проверил, Но и в Винде тоже нет, но я ж сменил, поэтому и думаю, что знающие Микротика должны знать какое волшебное слово вести, чтоб все было норм... Теперь к этой винде нужно приконектить Микротик.
OpenVPN она ж тоже не поддерживает. Другой инкапсуляции трафика на один порт вроде нет.
Сложности из работой локальной сети, точнее перехода из отднюй части сети в другую, там порта закрыт.
ValeriyZ а как сменил порт на винде? Может редирект в фаерволе это сделает? Конект идет на порт который тебе нужно а редиректится на стандартный.
Цитата:
Может редирект в фаерволе это сделает? Конект идет на порт который тебе нужно а редиректится на стандартный.
Да не хочется городить огород чепухи разной. Чем проще система, тем она быстрее и надежнее работает. По любому можно в конфигах как-то это сделать. Но как???
А если перекидывать с одного на другое то потом только сиди отлавливай ошибки… Я думаю этот вопрос можно решить в лоб. Винду то я знаю уже хорошо, а от Линукс (Микроик) только вчера себе поставил первый раз.
ValeriyZ так все-таки как ты изменил порт подключения в винде? это что стандартная опция? В лоб можно решить стандартно - в микротике нет, а не стандартно редиректом.
Добавлено:
Я имею ввиду вот такой пример редиректа:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=Мой любимый порт action=redirect to-ports=1723 comment="PPTP Redirect" disabled=no
Добавлено:
Я имею ввиду вот такой пример редиректа:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=Мой любимый порт action=redirect to-ports=1723 comment="PPTP Redirect" disabled=no
Да как Забил в поиске regedit -а число 1723 и сменил его на то что я хотел и все.
Цитата:
Ничего это не сменило. Конект на сервер с 1723 есть а на другой порт нет. Значит redirect не работает!
Забил в поиске regedit -а число 1723 и сменил его на то что я хотел и все. Цитата:
Добавлено:
Я имею ввиду вот такой пример редиректа:
/ip firewall nat add chain=dstnat protocol=tcp dst-port=Мой любимый порт action=redirect to-ports=1723 comment="PPTP Redirect" disabled=no
Ничего это не сменило. Конект на сервер с 1723 есть а на другой порт нет. Значит redirect не работает!
Цитата:
Да как Забил в поиске regedit -а число 1723 и сменил его на то что я хотел и все
не знаю, что ты там сменил, но у меня в реестре этот порт нигде не указан =)
Цитата:
Ничего это не сменило. Конект на сервер с 1723 есть а на другой порт нет. Значит redirect не работает!
а ты чем проверяешь? telnet <ip> <port>? а в счётчике в этом redirect-правиле значение не увеличивается?
Нет я проверяю подключением к одному из двух моих серверов. Оба на 2003 винде. Одина на 1723 (стандартный) второй на 1015. Так от и с редирактом конектится на тот сервер что 1723. Или я что-то не то делаю.
В счетчике и пакеты и биты по нулям.
Кстати добавлю чтоб не думали что сервер глючит то на нем сейчас сидит более десятка юзеров на 1015 порте. И все норм уже более чем полгода.
Добавлено:
Я не знал, что такая проблема сменить ВПН порт в винде. Я понимаю что торговаться нельзя и унизительно но в тоже время я в линуксе абсолютно ничего не разбираюсь, то меняю файл реестра для 2003, ХР, и Vista на способ как это сделать на Микротике. Порт меняется автоматом как и у юзеров так и на Win ВПН сервере. Хотя все что нужно сделать под винду я уже написал.
Добавлено:
При коннекте из вне телнетом на Микротик сервер в счетчике количество пакетов увеличивается за один коннект по 3 пакета и соответственно и биты увеличиваются.
Добавлено:
В логах Микротика пишет:
pptp-out1: terminating… - -connection refused
pptp-out1: disconnected
pptp-out1: initializing
В счетчике и пакеты и биты по нулям.
Кстати добавлю чтоб не думали что сервер глючит то на нем сейчас сидит более десятка юзеров на 1015 порте. И все норм уже более чем полгода.
Добавлено:
Я не знал, что такая проблема сменить ВПН порт в винде. Я понимаю что торговаться нельзя и унизительно но в тоже время я в линуксе абсолютно ничего не разбираюсь, то меняю файл реестра для 2003, ХР, и Vista на способ как это сделать на Микротике. Порт меняется автоматом как и у юзеров так и на Win ВПН сервере. Хотя все что нужно сделать под винду я уже написал.
Добавлено:
При коннекте из вне телнетом на Микротик сервер в счетчике количество пакетов увеличивается за один коннект по 3 пакета и соответственно и биты увеличиваются.
Добавлено:
В логах Микротика пишет:
pptp-out1: terminating… - -connection refused
pptp-out1: disconnected
pptp-out1: initializing
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071
Предыдущая тема: Реестр пользователя domin\user был сохранен в то время,
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.