» MikroTik RouterOS

У пользователей статически прописаны IP адреса, только одна подсеть(пока)


Это имелось ввиду в сообщении

Цитата:

можно, но надо пользователям всегда одну и туже сеть(адрес) выдавать

Спецы!, помогите советом
есть мать, радиокарта, сеттвевуха и микротик - хочу создать АР
объеденяю радиокарту и сеттевуху в мост - назначаю мосту айпи - все работает как нужно. Далее хочу фильтровать транзитный трафик - рассуждаю - если трафик не адресован нам - то попадает в цепочку форвард.
В версии 2.9 транзитный трафик через мост у меня действительно попадал в форвард цепочку фаервола (что и ожидалось) - и я его рубал как хотел. (с версией 2.9 работает все замечательно)
А в версии 3.2 ( и 4бета) в форвард цепочку ничего не попадает. Для проверки создаю разрешающие правила для инпут форвард и оутпут - Счетчик пакетов растет только на инпут и оутпут.
Для форвард есть отдельно фильтр bridge-filfres, создаю разрешающую цепочку - там трафик бежит по мосту, а вот порубать его нет возможности, так как нельзя в этом меню использовать айпишники в качестве источника или получателя пакетов.
Может че надо включить в новых версиях микротика, чтоб форвард трафик появился в фаерволе (ip-firewall-filtre)? Не хочется понижатся до версии 2.9... в официальной документации вроде как ничо не нашел по этому поводу..
Заранее спасибо

Доброго времени суток! Если кто-то сталкивался с проблемой, не пройдите мимо - поделитесь опытом ))))
Суть дела такова - есть Mikrotik RouterBoard 133, первый интерфейс смотрит в инет, второй в локальную сеть, третий на выделенный канал с головным офисом, на втором и третьем интерфейсах подсети вида 10.хх.хх.0/24. Нужно сделать так, чтобы вся локальная сеть (второй интерфейс) могла выходить в инет и имела связь с головным офисом.
Основная проблема возникла при подключении третьего интерфейса, до этого инет прекрасно раздавался клиентам и все было хорошо, но после подключения и прописывания необходимых DNS начались странности - то пропускает только в инет, то только к головному офису, притом иногда даже откат настроек не помогает, только после перезагрузки переключается опять на раздачу инета.
Бьюсь уже второй день, коим собственно и исчисляется мой стаж настройки Mikrotik'ов)))) Работа стоит - начальство гневается )))) Если кто-то может помочь советом - буду очень признателен!!!

kaats
/interface bridge settings set use-ip-firewall=yes

Читал на pcrouter.ru, но там или не ответили толком или я не понял.
Вообщем такой вопрос простой.
Микротик 3.20
Есть 2 совершено разные провайдера, подключение к ним через pppoe и pptp.
На микротике самом поднимаем 2 соединения (клиенты).
Как потом объеденить эти 2 канала в один? То есть 2 канала по 10 мегабит, в итоге получить один канал на 20Мб.
И в локалку потом отдавать интернет.
В итоге будем на микротике иметб 3 интерфейса, 2 смотрят в интернет а один в локалку.
Как писал выше надо 2 интерфейса (что смотрят в инет) объеденить в один.
Читал еще тут
http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways
http://wiki.mikrotik.com/wiki/Load_Balancing_Persistent
Но вроде не совсем то.

Всем привет! Прошу помоши тех кто хорошо знаком с микротиком обрисую ситуацию
Инет приходит по Wi-Fi мосту 10мб(мост больше не тянет) из свича провайдера. Провайдер даёт целую подсеть 92.255.*.*/24 на интернет сервер на сервере WIN 2003 НАТ и Трафик инспектор локал 192.168.20.0/22 клиенты авторизируются через ТИ и он же нарезает им скорость и настроено в НАТ сопоставление белых адресов с серыми 4м клиентам
В связи с нехваткой пропускной способности моста был поставлен ещё один Wi-Fi мост из свича провайдера правда на более слабом оборудовании и пропускает только 5Мб
Задачи по приоритетности
1. Убрать НАТ из винды и пренести его на микротик(450плата версия Микротика 3.20)
2. Настроить на микротике проброс белых адресов четырём клиентам
3. Подключить 2 Wi-Fi мост к микротику и часть нагрузки отправить на него
Что я понял прочитав этот форум что из винды я удаляю внешний интерфейс из НАТ присваиваю ему IP из серого диапазонанапример 10.10.10.2(сейчас адрес белый) и пихаю его в микротик на микротике делаю локал 10.10.10.1 в нате микротика делаю маскарад на белый адрес
Что незнаю и непонял
1 КАК через него пробросить белые адреса
2 как подрубить 2 Wi-Fi мост к микротику и часть нагрузки отправить на него если подсети одинаковые и шлюз одинаковый если я пропишу на микротике 2ой белый адрес и воткну его получиться закольцовка или я неправ?
3 имеет ли микротик возможность отправки всех пакетов через мост2 например а получать по мосту 1?
Если да то этот вариант мне тоже подойдёт при условии задач 1 и 2

Уважаемы специалисты! Нужен Ваш совет.
Есть роутер (3.20) в которого только одна задача объединить два канала в «один». Объединение работает. Соотношение нагрузки 1 к 2.
Тоесть 3 сетевухи:
/ip address
add address=192.168.28.2/24 broadcast=192.168.28.255 comment=Inet_Modem_1 disabled=no interface=ether1 network=192.168.28.0
add address=192.168.1.3/24 broadcast=192.168.1.255 comment=Inet_Modem_2 disabled=no interface=ether2 network=192.168.1.0
add address=172.168.0.1/24 broadcast=172.168.0.255 comment=Output disabled=no interface=ether3 network=172.168.0.0

метим:
/ip firewall mangle
add action=mark-connection chain=prerouting comment= Inet_1 connection-state=new disabled=no in-interface=ether3 new-connection-mark= Inet_1 nth=3,1 passthrough= yes
add action=mark-routing chain=prerouting comment="" connection-mark=Inet_1 disabled=no in-interface=ether3 new-routing-mark= Inet_1 passthrough=no

add action=mark-connection chain=prerouting comment= Inet_2 connection-state=new disabled=no in-interface=ether3 new-connection-mark= Inet_2 nth=2,1 passthrough=yes
add action=mark-routing chain=prerouting comment="" connection-mark= Inet_2 disabled=no in-interface=ether3 new-routing-mark= Inet_2 passthrough=no

add action=mark-connection chain=prerouting comment= Inet_3 connection-state=new disabled=no in-interface=ether3 new-connection-mark= Inet_3 nth=1,1 passthrough=yes
add action=mark-routing chain=prerouting comment="" connection-mark= Inet_3 disabled=no in-interface=ether3 new-routing-mark= Inet_3 passthrough=no

и направляем так чтобы в случае отваливание одного из каналов все переключалось на другой рабочий:
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=172.168.0.0/24

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark= Inet_2 scope=255 target-scope=10
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark= Inet_3 scope=255 target-scope=10
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.28.1 routing-mark= Inet_2 scope=30 target-scope=10
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark= Inet_1 scope=30 target-scope=10
add check-gateway=arp comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.28.1 routing-mark= Inet_3 scope=255 target-scope=10
add check-gateway=arp comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.28.1 routing-mark= Inet_1 scope=255 target-scope=10


Вся схема работает почти замечательно (не считая того что нагрузка не делится 1 к двум, а на Inet_2 идет больше чем на Inet_1 и Inet_3).
Далее хочу направить определенный трафик на определенный интерфейс. Тоесть к примеру чтобы ICMP шел на тот интерфейс который я выберу. Что я делаю. К существующим правилам добавляю еще эти:

/ip firewall mangle
add action=mark-connection chain=prerouting comment="ICMP" disabled=no new-connection-mark=ICMP passthrough=yes protocol=icmp
add action=mark-packet chain=prerouting comment="" connection-mark=ICMP disabled= no new-packet-mark=ICMP passthrough=yes protocol=icmp
add action=mark-routing chain=prerouting comment="" connection-mark=ICMP disabled= no new-routing-mark=ICMP packet-mark=ICMP passthrough=yes

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=ICMP scope=30 target-scope=10

и не работает. Пакеты в Mangle вроде метятся но когда включаю роут пингы сразу тухнут.
Вопрос: Что не так? или Где я напутал? Или эти правила в такой последовательности работать не будут?

Заранее всем дочитавшим все это до конца большее спасибо

попробуй вкачестве шлюзов указывать не ип а интерфейс, сам не пробывал, небыло необходимости, но вроде где то читал..

Есть две сети 192.168.0.х и 192.168.10.х, соединены микротиком. Инет раздается пользователям из сети 192.168.0.х . Как сделать ограничение скорости на интернет, а сами ресурсы сети (видеосервера, радио и т.д.) были на нормальной скорости ????
Уточню - инет раздается через хотспот.

Здравствуйте есть компютер с матерю DG43 NB при попытке установить на нее микротик выдается сообщение что не найдены винчестеры, пытался поставить на IDE винт, флешку. Подскажите как можна инсталировать микротик не меняя мать.

romychk
самый простой поставить микротик на другом компе потом переткнуть винт в нужный.
есть еще нет инстал. все есть на сайте микротика

Добавлено:
ShokoAsahara
ресурсы сети...... интернет, это большой ресурс
если про "вэб странички" ограничить, то большенство из них использует 80 тцп порт.
надо пометить такие соединетия и потом в очередях понизить или приоритет или ограничить скорость. хм... с видеосервера, это типа прямо со странички хм... тогда это не просто. надо как то распознать, что это именно кино пошло. ясно что видео/аудио форматов пока ограниченное количество, извини мне слабо.

Добавлено:
ValeriyZ
ицэмпэ надо с одного интерфейса? и он проходящий или от маршрутизатора?
у меня на любой запрос, ответ уходит в шлюз по умолчанию если я его специально не отловлю и направлю в нужный. а у тебя ответ может пойти в любой из учавствующих в балансинге. ИМХО

Цитата:

попробуй вкачестве шлюзов указывать не ип а интерфейс, сам не пробывал, небыло необходимости, но вроде где то читал..

Не помогло, результат тотже…


gamespb
Да хочу ICMP направить на определенный интерфейс. Эта сетевуха подключена сразу в АДСЛ модем. Сейчас он прыгает куда его балансировка закинет. От я тоже хочу отловить и направить в ту сетевуху куда нужно а он гад не идет…

Но я хочу чтоб была и балансировка и возможно было перенаправить. Или так нельзя?

На другом компе ставил, воткнул винт в нужный не грузится

ValeriyZ
мне хватает

add action=mark-routing chain=prerouting comment="" connection-mark=ICMP disabled= no new-routing-mark=ICMP packet-mark=ICMP passthrough=yes
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=ICMP scope=30 target-scope=10

этого
относительно тсп

Добавлено:
romychk
если на оригиинале грузилось, и иде на нужной мамке реализовано не на рэйдовском чипе то должно. но похоже что иммено на чипе неизвестном микротику иде и реализованно. полное название мамы какое

ShokoAsahara
Маркируй ток инетовские пакеты, а пакеты из сети пропускай, и ставь ограничение ток на промаркированые пакеты

gamespb

У меня это правило не метит не одного пакета. На мой взгляд нужно еще action=mark-connection и action=mark-packet. Но если даже и с ними то все метится но не перенаправляется.
А у вас балансировка по каналам есть? Правила (мангле) в балансировке у Вас стоят до правил что метят пинги?

ValeriyZ
балансировки у меня нет, есть два канала от провайдеров. но на протоколе tcp хватает одного правила в mangle(работает). пришлось его(правило) писать так как у меня все ответные пакеты уходили в интерфейс с маршрутом по умолчанию. я не понимаю почему так происходит..
казалось бы соединение хотят установить с другого интерфейса, но ответные пакеты от микротика все равно уходят на шлюз по умолчанию(ну пока конкретно не пометишь и в маршрутах не укажешь куда надо)

GawkV и gamespb
Спасибо, что уделили время для меня. Действительно - здесь единственный нормальный форум.

По теме - внутренние ресурсы имеют адреса вида 192.168.х.х. Я не совсем понял что значит промаркировать а потом ограничить. Кто нибудь напишите командами, если не сложно. Еще проблема - есть такой чат NASSI, как сделать чтобы после микротикаон также работал вместе с общим чатом, еслион только в одной сети работает ??? Заранее спасибо !

ShokoAsahara
промаркеровать пакеты это значит присвоить им определённую метку, например выделить пакеты которые имеют 80 порт на получателе, это в основном http трафик. Маркируются пакеты в ip-firewall-mangle. Потом на основе цепочек промаркированных пакетов можно управлять очередью в queues. как это всё делать хорошо написано в шапке.
для ленивых http://www.mikrotik.by/index.php?showtopic=9

слушай а можно промаркировать пакеты только интернета и только внутренней сети ?? и как все таки седлать чат ?? там порты моджно пробросить ? кто нибудь командами может написать ?

можно маркировать любые пакеты которые проходят через роутер которые приходят на ротер и пакеты самого роутера, почитай документацию.... это полезно, а про чат не могу тебе сказать, никогда его не видел, скорее всего он мультикастовый, если так то попробуй посмотреть в сторону бриджа

как использовать нетинсталл подскажите пожалуйста

Наверно как и обычную загрузку по сети....

а есть где нибудь иструкция ни в меня на мамке нет выхода на диск а, ни в мамке где я хочу поставить микротик тоже нет выхода на диск а

romychk
диск А это FDD для микротика он не нужен

romychk
А CD уже отменили??

просто если грузится с СД (где залит имидж) инсталяция не идет не находится винчестер, а когда я запустил нетинстал вижу кнопку МАКЕ ФЛОППИ а маке СД нет, подскажите как воспользоваться нет инсталл, или как вообще можна его поставить в биосе пробовал менять но винта все равно не видно

Цитата:

Имеется машина с процессором AMD K6-2/450. Максимальная пропускная способность сети ~80mbit (или 40mbit дуплексом). Интересует вопрос - если заменить процессор на AMD K6-2+/450 (имеющий L2 кэш), то вырастет ли пропускная способность сети? Изменение частоты (300-550) особой роли не играет. Шина 100mhz. Сетевые карты RTL-8139.

Загрузка процессора 100% при ~80mbit. Частота процессора влияет слабо. Например на 300МГц пропускная спопобность ~70mbit, на 550МГц ~85mbit. Частота процессора особо не влияет на скорость.
Эту скорость я мерял без правил (т.е. без клиентов vpn, mangle, port forwarding и queue) - только snat и весь forward accept.

Цитата:

Загрузка процессора 100%

вот и ответ

romychk
флопик нужен если на сетевой карте нет загрузчика. если сетевуха на самой мамке то в BIOS мамки надо включить загрузку с нее.

chlp
этож сколько правил и клиентов надо иметь что бы так загрузить