» MikroTik RouterOS

Код: @MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward connection-state=invalid action=drop

1 chain=forward in-interface=ether2 src-address=192.168.0.0/16 action=drop

2 X chain=forward in-interface=ether2 src-address=10.0.0.0/8 action=drop

3 chain=forward in-interface=ether2 src-address=172.16.0.0/12 action=drop

4 chain=forward in-interface=ether2 protocol=tcp dst-port=4662 action=drop

5 chain=forward in-interface=ether2 protocol=tcp dst-port=4672 action=drop

6 chain=forward protocol=tcp dst-port=135-139 action=drop

7 chain=forward protocol=udp dst-port=135-139 action=drop

8 chain=forward protocol=tcp dst-port=1433-1434 action=drop

9 chain=forward protocol=tcp dst-port=445 action=drop

10 chain=forward protocol=udp dst-port=445 action=drop

11 chain=forward protocol=tcp dst-port=593 action=drop

12 chain=forward protocol=tcp dst-port=1024-1030 action=drop

13 chain=forward protocol=tcp dst-port=1080 action=drop

14 chain=forward protocol=tcp dst-port=1214 action=drop

15 chain=forward protocol=tcp dst-port=13263 action=drop

16 chain=input src-address=192.168.3.0/24 action=accept

17 chain=input protocol=tcp dst-port=!51 action=drop

Цитата:

понял следующее что параметр UNLIMITED это залипуха!!!! Если хочешь сделать исключение для определенных узлов все равно нужно указывать скорость или правило с параметром UNLIMITED не работает!!!

в какой-то из третьих версий был сделан интересный шаг в сторону оптимизации: если в simple queue все параметры - дефолтовые, то очередь не устанавливается в систему, дабы не занимать ресурсы. если надо, чтобы она обеспечивала тот самый анлимитед, то проще всего сменить тип очереди - например, с default-small на default

fdboss
не это ли является причиной проблемы?

FreeLSD_md
а что там называется факе-адресами?

Парни я изгалялся как только мог, менял все что мог, убирал анлим, по разному маркировал пакеты, ничего не помогает, короче имел такой секас с этими очередями.
насчет queues tree могу сказать следущее, делал просто маркировал пакеты от сорса к группе адресов, именно пакеты сразу, то есть не как в мануале маркируется вначале коннект, потом в нем пакет, а сразу напрямую пакеты маркировал и строил очереди на ин и на аут отдельно, только вот мне не нравится как эта очередь работает грубо очень.

Кстати есть еще вопросик, кто нибудь встречал описание Packages, то есть какой пакет за какие функции отвечает?

Всем привет,

народ, подскажиет плз, в качестве шлюза/прокси/фаера стоит МТ 3.20:
Аська, месенгер, Скайп работают на ура. Проблема с агентом майл.ру. Не конектится к своему серверу, не пашет. В настройках агента перепробовал все типы соединий, результата нет.

Подскажите плз как узнать какое правило фильтра файрвола (или access правило веб-прокси) закрывает агенту путь? Есть ли какие средства МТ кроме action=log, где ясно видно, что скажем, это соединение дропается, а это - пропускается? И указан номер правила?

Ну блин теперь вообще голимые растройства, в 3.22 еще и фаирвол кривой какой-то.
работает только форвард, да еще и интерфейсы указать нельзя, точнее указать можно только вот работать перестает.

fdboss
как показала многолетняя практика, кривость файрвола - это однозначно повышенная криворукость настраивающего. без примеров подробностей указать невозможно.

ну и, что значит "только вот мне не нравится как эта очередь работает грубо очень"?

уважаемый Chupaka

есть фаирвол, в котором есть некий набор функций, который можно использовать,
берем самый обычный вариант два интерфейса, условно один входящий другой исходящий, есть ряд параметров который можно выбрать input, output, forward.
есть sors и dest адреса и возможность выбрать интерфейс.
задача проста надо закрыть трафик от sors адреса до dest только на input c указанием интерфейса на котором расположен sors.
если ты имеешь прямые руки, скажи как должно выглядеть правило в фаирволе что бы оно работало, я делаю просто.
chain=input action=deny src-address=192.168.1.0/29 dst-address=10.10.1.0/24 in-interface=ether1

и не работает

дай свой вариант ?
только просьба есть без детского лепита, типа нафига тебе нужен input у тебя два интерфейса сделай forward и будет счастье, или в типе не указывай интерфейс.
кстати если в правиле даже выставить форвард но при этом указать интерфейс все равно перестает работать правило.

Цитата:

только просьба есть без детского лепита, типа нафига тебе нужен input у тебя два интерфейса сделай forward и будет счастье

рассмешил, спасибо ))

налицо полнейшее непонимание терминологии файрвола. input - это приходящие на ip-адрес роутера пакеты (либо адресованные лично ему, либо бродкаст, етц.). forward - это маршрутизируемые пакеты; те, которые роутер получает на одном интерфейсе и пересылает на другой. output - это пакеты, генерируемые самим роутером.

советую почитать http://wiki.mikrotik.com/wiki/Packet_Flow - тут всё максимально подробно расписано

з.ы. слово "лепЕт" пишется именно так

Добавлено:

Цитата:

задача проста надо закрыть трафик от sors адреса до dest только на input c указанием интерфейса на котором расположен sors.
если ты имеешь прямые руки, скажи как должно выглядеть правило в фаирволе что бы оно работало, я делаю просто.
chain=input action=deny src-address=192.168.1.0/29 dst-address=10.10.1.0/24 in-interface=ether1

если я правильно понимаю, надо запретить инициирование адресами 192.168.1.0/29, висящими на интерфейсе ether1, подключений к адресам 10.10.1.0/24. тогда надо делать так:

chain=forward in-interface=ether1 src-address=192.168.1.0/29 dst-address=10.10.1.0/24 connection-state=new action=reject

з.ы. а почему там action=deny? wo_Ot

Chupaka

Цитата:

а что там называется факе-адресами?

Зарезервированные локальные адреса на глобальный интерфейс, я так понимаю, с них обращения.

192.168.0.0/16
10.0.0.0/8
172.16.0.0/12

FreeLSD_md
есть ещё такая штука, как bogon-адреса - ещё не выданные никому, типа

1.0.0.0/8
2.0.0.0/8
5.0.0.0/8
и так далее...

если же речь просто о приватных адресах - то в Минске один из основных интернет-провайдеров таким не брезгует - приходят бродкастовые запросы от соседей ))) как минимум на провайдерском канале, не знаю, как у конечных пользователей...

Chupaka

лепет это от слова лепетать, быстро говорить, а лепит это от слова лепит то есть втирает, могз парит, ну или лжет, изварачивается

но это не суть, не будем отклонятся от темы.
посмотрел я ссылку, вот хоть убей не нашел там расшифровку как понимать chain input,
есть как понимать input inter. То что chain input это пакеты адресованные самому интерфейсу незнал. почему то считал что input это все пакеты которые приходят на этот интерфейс, как например на cisco,

по приведеному примеру, вот как только устанавливаю интерфейс, правило перестает работать. даже при условии что стоит форвард.
я это к чему все расказываю в 2.9.27 такое правило работает, а в 3.22 нет



deny это от циски, просто строчку приводил с форума взятую, а там было accept, ну это не важно ты же понял что я имел ввиду, можно читать deny как drop

fdboss
тогда правильно "без детской лепки"


Цитата:

в 2.9.27 такое правило работает, а в 3.22 нет

бридж не используется? если используется, то надо использовать in/out-bridge-port вместо in/out-interface

quickgen
Вопрос.
Почему здесь


Цитата:

/ queue tree
add name="Download" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no
add name="Upload" parent=global-out packet-mark="" limit-at=0 max-limit=0 disabled=no

оба парента global-out??

Chupaka

нет бридж не используется.

Вопрос обращен ко всем:
возможна ли работа (стабильная) на базе XEN полной виртуализации Mikrotik, пытался ли кто сделать подобное ?
И если были случаи поделитесь опытом.

maverick1111 change MSS это динамическое правило для изменения размера данных которые пролезут через туннель (в твоем случае PPPoE). Подробности в гугле.

В моей тогдашней конфигурации было 3 провайдерских канала и мне было крайне сложно строить на 2.9.27 цепочки правил где я бы указывал 3 разных интерфейса вместо одного парента global-out.
А по сути ты не понимаешь как происходит Packet Flow в микротике. Советую эту тему досконально изучить, ибо без нее все остальные операции по настройке фаервола, мангла, queue tree практически невозможны.

Вопрос к профессионалам в роутерос. Прошу помощи в следующей ситуации. Заранее напишу что прочитал и перепробовал много примеров из ВиКи и мануала, Но конкретной информации я так и не нашел.

Вопрос в следующем - EQUAL BANDWIDTH SHARING AMONG USERS (равно распределение канала в инетернет среди пользователей).

Теперь более конкретно - РАВНОЕ РАСПРЕДЕЛЕНИЕ КАНАЛА СРЕДИ ПОЛЬЗОВАТЕЛЕЙ СЕТИ, КОТОРУЮ NAT'ит (МАСКАРАДИТ) PC-маршрутизатор с РоутерОС. Прошу не отсылать на ВиКи и манула - там все прочитал, пытался применить к своей ситуации, но так и не получилось нормально.

Ситуация моя следующая:

1) имеем пользователей локальной сети 192.168.1.0/24
2) имеем следующую схему подключения оборудования (смотреть слева-направо)

локальная сеть 192.168.1.0/24 --- НЕУПРАВЛЯЕМЫЙ СВИТЧ ----- Роутер ОС 2.9.51 ----- ----- ADSL-модем в режиме моста

Интернет пользователи сети получают от провайдера через ADSL-канала со скоростью 2048k down / 1024k up. На РоутерОС стоит клиент pppoe, который и конектится к pppoe серверу ISP через ADSL-бридж. ТАКЖЕ на РоутерОС поднят L2TP-сервер, к которому, через ТОТЖЕ ADSL-канал подключатся пользователи. И всех пользователей (LAN и L2TP) пускает в инет Роутер ОС через ADSL-канал (т.е. делает еще и макарадинг/наттинг).


Вопрос в следующем - как РАВНОМЕРНО распредлеить Интернет канал между ВСЕМИ пользователями (LAN и L2TP) при том что машина с РоутерОС выполняет и НАТ и Шейпинг, хотелось бы использовать PCQ, Simple Queues или Queue Tree - значения не имеет - главное качественный результат.

Прошу знающих людей - помогите примером конфигурации или пните в нужную ссылку. Ничего КОНКРЕТНОГО по такой, казалось бы стандартной ситуации раздачи инета, НЕ НАШЕЛ.

привет народ, есть нестандартная ситуация, кто скалкивался? возможно ли ее реализовать Мтиком или другим ПО
Есть 2 канала выхода в инет -
1канал - 8 мбит входящ, 1 мбит исходящ
2канал - 1 мбит входящ, 1 мбит исходящ
Есть ли возможность объединить 2 канала так, чтобы на выходе получилось
8 мбит входящ и 2 мбит исходящ, т.е. входящ пускать только через 1канал, а исходящие распределить(сложить то бишь) в 1и2канал
Использать в мтике нужно NTh, подскажите, если ето можно реализовать, то как сделать.

mukas если на обоих концах mikrotik, то поможет Bonding - объединение 2-ух физических каналов в один виртуальный. Для приложений все будет прозрачно.

Если микротик только на одном конце, то схема сильно усложняется.

Не знаю как насчет nth (позволяет выхватывать каждый определенный n-пакет - http://wiki.mikrotik.com/wiki/NTH_in_RouterOS_3.x) но мне приходилось решать такую-же примерно ситуацию. Тут есть свои нюансы.

Можно пустить через Load Balancing то есть распределять на 2 и более шлюза. Засада в том что ICQ, FTP и другие приложения не будут верно работать. ICQ будет постоянно реконектиться. Такие сервисы как Rapidshare вообще будут посылать куда подальше. Все из-за того что первый пакет идет с одного IP, второй уже с другого и так далее.

Как решение, выделить нужный(специфический) траффик и пускать только по одному каналу. Все остальное распределить равномерно по обоим каналам.

Другой вариант пускать на разные каналы разное количество юзеров. То есть 10 штук сюда, 15 штук туда.


Других решений не применял.

allip Прочти то что в шапке под ссылкой Делим Интернет или QoS на Mikrotik. Там стандартный пример того как разделить поровну траффик на всех.

Цитата:

allip Прочти то что в шапке под ссылкой Делим Интернет или QoS на Mikrotik. Там стандартный пример того как разделить поровну траффик на всех.

думаю что нет, т.к.
1) не понятно что там за public и local интерфейсы
2) не известно используется ли NAT или нет

очень "невнятный" пример, все слишком поверхностно и не для "чайников"

тем более, согласно http://wiki.mikrotik.com/wiki/Different_limits_for_Local/Overseas_traffic_for_3_bandwitch_rates_using_pcq_and_queue_tree


Цитата:

Important note

This setup will work correctly if local network is not masqueraded. If masquerade is used then the parent for all upload queues must be 'global-out' instead of 'public'. The reason for this is that the pcq_upload classifier is source address. In case of masquerading, the source address is changed to public IP address. If a queue is set to 'public', interface pcq will think that all packets are coming from one source ( public IP ). PCQ must see the source address before masquerading occurs; according to the packet flow diagram from the manual, 'global-out' is before 'src-nat'.

получаем недоразумение, поэтому я и спрашиваю пример кофигурации, т.к. ни в мануале ни в вики конкретно по этому поводу не ничего

Добавлено:
так же, согласно http://wiki.mikrotik.com/wiki/Queue_with_Masquerading_and_Internal_Web-Proxy

получаем очередное недоразумение в плане маркировки пакетов и привязки очередей на нужные интерфейсы.

Говорюж - все это перечитал, иначе б не задавал вопросов, Chupaka - выручай!

mukas
каналы пользовательские, с NAT'ом? тогда невозможно - никакой провайдер в здравом уме не позволит себе принимать пакеты с src-adress'ом другого пользователя (чтобы они возвращались не туда, откуда пришли)

allip

Цитата:

1) не понятно что там за public и local интерфейсы

public - понятно, а local не использовать, вместо него просто по адресам внутренним (lan и l2tp) фильтровать


Цитата:

2) не известно используется ли NAT или нет

где используется?..

там же по-русски написано: сделайте родителем нашей очереди global-out. тогда всё будет чики-пуки. то есть, схема такая: пакеты от пользователя маркируем одной меткой, к пользователю - другой, посылаем на две очереди с родителем global-out и типом PCQ с соответствующим классификатором

кстати, канал 2/1 - это общий, в котором и l2tp-подключения висеть будут, или только интернет?

Цитата:

кстати, канал 2/1 - это общий, в котором и l2tp-подключения висеть будут, или только интернет?

Да этот канал общий, т.е. и на l2tp пользователей и на инет

тогда не помешает, наверное, как-нить l2tp-трафик (самого туннеля, а не внутри него) выделить вместе с интернет-трафиком в соседние подочереди одной очереди, дабы корректнее обрабатывать заполненность канала...

так, просто мысль...

сегодня у директора ДР, дальше думать лень ))

Chupaka
каналы пользовательские но без ната
IP белый
а раздаю уже натом (лишнее думаю)))

Выручайте!
Описание как обьединить каналы... http://pcrouter.ru/ipb/index.php?showtopic=55
не работает, вернее так! Когда один шлюз прописан то все окей! интернет летает как только их 2-ва так все начинает тормозить! пол страници загрузится а вторая половине не хочет....

Добавлено:
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 A S ;;; DG
0.0.0.0/0 r 192.168.8.1 1 pu..
1 ADC 192.168.7.0/24 192.168.7.116 0 pu..
2 ADC 192.168.8.0/24 192.168.8.2 0 pu..
3 ADC 192.168.15.0/24 192.168.15.254 0 lo..
4 ADC 192.168.15.1/32 192.168.15.254 0 <p..

или

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 A S ;;; DG
0.0.0.0/0 r 192.168.7.115 1 pu..
1 ADC 192.168.7.0/24 192.168.7.116 0 pu..
2 ADC 192.168.8.0/24 192.168.8.2 0 pu..
3 ADC 192.168.15.0/24 192.168.15.254 0 lo..
4 ADC 192.168.15.1/32 192.168.15.254 0 <p..

работает

Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 A S ;;; DG
0.0.0.0/0 r 192.168.8.1 1 pu..
r 192.168.7.115 pu..
1 ADC 192.168.7.0/24 192.168.7.116 0 pu..
2 ADC 192.168.8.0/24 192.168.8.2 0 pu..
3 ADC 192.168.15.0/24 192.168.15.254 0 lo..
4 ADC 192.168.15.1/32 192.168.15.254 0 <p..

а так нет!!!

Где искать....

Добавлено:
интерфейс шлюзов один и тот же....

Думаю что все дело в том что у меня оба Шлюза из одного и того же интерфейса (сетевой карты) что можно придумать...

Добавлено:
Поправка... Ping в порядке на все ресурсы а страници не все открываются... пример: однокрассники.ру первая страница открывается, после ввода майла и пороля пишет ошибка узел не доступен!

кто-нибудь может дать действительно РАБОЧИЙ пример

Certain Bandwidth Equal Distribution between Users

и

Unknown Bandwidth Equal Distribution between Users

примеров во в этой ВиКи статье так и НЕ нашел:

http://wiki.mikrotik.com/wiki/PCQ_Examples


P.S. интернет раздается через routeros, т.е. routeros делает masquerade для пользователей, которые находятся во внутренней сети

Добавлено:

Цитата:

тогда не помешает, наверное, как-нить l2tp-трафик (самого туннеля, а не внутри него) выделить вместе с интернет-трафиком в соседние подочереди одной очереди, дабы корректнее обрабатывать заполненность канала...

так, просто мысль...

сегодня у директора ДР, дальше думать лень ))

попытался промаркировать трафик следующим образом, исходя из того что осуществляется маскарадинг пользователей LAN и пользователей L2TP, кореектно ли получилось?

ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=users-con passthrough=yes src-address=192.168.1.0/24

1 chain=prerouting action=mark-packet new-packet-mark=users-down passthrough=yes in-interface=pppoe0 connection-mark=users-con

2 chain=prerouting action=mark-packet new-packet-mark=users-up passthrough=yes in-interface=2LAN connection-mark=users-con

3 chain=prerouting action=mark-connection new-connection-mark=l2tp-con passthrough=yes src-address=4.3.2.0/30

4 chain=prerouting action=mark-packet new-packet-mark=l2tp-down passthrough=yes in-interface=pppoe0 connection-mark=l2tp-con

5 chain=prerouting action=mark-packet new-packet-mark=l2tp-up passthrough=yes in-interface=l2tp0 connection-mark=l2tp-con


Ниже представлена схема раздачи инета. Вопрос - как правильно ораганизовать равное распределение полосы пропускания между ВСЕМИ пользователями (L2TP и LAN) ???




Добавлено:

попытался реализовать вышепредставленную ситуацию с помощью Simple Queues, но не уверен что корректно, гуру роутерос - прошу помощи у вас:

queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0 name="Main" dst-address=0.0.0.0/0 interface=all parent=none direction=both priority=8 queue=pcq-upload/pcq-download limit-at=0/0 max-limit=921000/1843000 total-queue=default-small

1 name="LAN_users" target-addresses=192.168.1.0/24 dst-address=0.0.0.0/0 interface=all parent=Main direction=both priority=8 queue=pcq-upload/pcq-download limit-at=0/0 max-limit=0/0 total-queue=default-small

2 name="L2TP_users" target-addresses=4.3.2.0/30 dst-address=0.0.0.0/0 interface=all parent=Main direction=both priority=8 queue=pcq-upload/pcq-download limit-at=0/0 max-limit=0/0 total-queue=default-small

Добрый день всем. Установил себе микротик 2.9.27. Настроил, подключил на модем, после чего возникла проблема, что не всех пользователей пускает в инет. Некоторых с раза 20, а других вообще пускать не хочет. Думал, проблема с лицензией, взял у друга ОС, и та же фигня...
В чем затор? Совсем не пойму...
Железо Celeron-MMX 366, оперативый 128.
Комп вродь подходит для микротика.
Может кто чего посоветует?

Можно ли организовать такое шейпирование с помощью Queue? если да, ток ткните носом где можно почитать.

Абонентам можно было определить, например, 50 мегабит(маркерованный), а каждому из абонентов полагалось не более 512 кбит (например). Как только суммарно абоненты превосходили 50 мегабит, то каждому скорость урезалась до тех пор, чтобы суммарная скорость не превышала общую - то есть 50 мбит.

allip
не надо разделять пользователей на lan и l2tp. наоборот - всех в кучу надо

Bess12345
а о способе организации доступа в Интернет через этот девайс мы должны догадаться по тому, каким раком звёзды в полночь станут?..

star4ik
конечно. курить PCQ - он для того и предназначен