» MikroTik RouterOS

Организация доступа:
модем - микротик - локалка
На микротике идет маскарадинг на модем.
все, больше настроек нет.
А и чуть не забыл, настроено, чтобы микротик транслировал на модем только свой IP.
Больше я ничего не вводил. address list не создавал.

Bess12345
т.е. модем в режиме роутера? а за модемом какое подключение к провайдеру? возможно, надо TCP MSS уменьшить правилом Mangle...

Цитата:

конечно. курить PCQ - он для того и предназначен

ответ исчерпывающий а можно примерчик?

простите ради бога, если кого разочаровал тем, что не преподнёс на блюдечке с золотой каёмочкой...

вот и примерчик: http://wiki.mikrotik.com/wiki/PCQ

спасибо, теперь стало все понятно

подключение PPTP без IPsec
используется подключение PPTP
тип авторизации используется CHAP2
шифоравание данный не используется
Нужны маршруты для использования локальной сетью
В качестве сервера не используется доменное имя или IP
используется мультикаст.
И если указать IP провайдера, то модем можно ставить в режим моста.

Добавлено:
Я вообще не понимаю в чем проблема. У меня один товарищ настроил с этого дистрибутива и у него все работает... Я в начале настраивал по мануалам на русском, потом все настроил точно так же как у него на компе. он мне сбросил бэкап, я этот бэкап установил на виртуальную машину, и в точности все сделал. Да вот все равно не всех пользователей пускает. Может необходимо создать адрес лист?

Цитата:

allip
не надо разделять пользователей на lan и l2tp. наоборот - всех в кучу надо

если не затруднит - можно конкретные примеры на mangle и queue tree - что маркируем, какие интерфейсы используем?

Bess12345
попробовать http://www.mikrotik.by/index.php?showtopic=56

allip
маркируем всё то же, только метки пакетов одинаковые делаем, а не lan'у - своё, а l2tp - своё

Цитата:

allip
маркируем всё то же, только метки пакетов одинаковые делаем, а не lan'у - своё, а l2tp - своё

спасибо, попробую.

Chupaka, хочу узнать твое мнение по поводу следующего варианта:

маркировка пакетов вот такая

ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=users-con passthrough=yes src-address=192.168.1.0/24

1 chain=prerouting action=mark-packet new-packet-mark=users-up passthrough=no src-address=192.168.1.0/24 connection-mark=users-con

2 chain=prerouting action=mark-packet new-packet-mark=users-down passthrough=no src-address=!192.168.1.0/24 connection-mark=users-con

3 chain=forward action=mark-packet new-packet-mark=users-download passthrough=no dst-address=192.168.1.0/24 connection-mark=users-con

4 chain=forward action=mark-packet new-packet-mark=users-upload passthrough=no dst-address=!192.168.1.0/24 connection-mark=users-con


скорость интернет канала распределяется следующим образом через Queue Tree, использую интерфейсы global-in и global-out, тип очередей sfq для global-in и global-out, pcq-upload и pcq-download (из мануала) - для равномерного распределения скорости на upload'е и download'е для LAN и pppoe интерфейсов.

queue tree pr
Flags: X - disabled, I - invalid
0 name="GLOBAL_IN" parent=global-in packet-mark="" limit-at=0 queue=hotspot-default priority=8 max-limit=2764000 burst-limit=0 burst-threshold=0
burst-time=0s

1 name="GLOBAL_OUT" parent=global-out packet-mark="" limit-at=0 queue=hotspot-default priority=8 max-limit=2764000 burst-limit=0 burst-threshold=0
burst-time=0s

2 name="users_upload" parent=GLOBAL_IN packet-mark=users-up limit-at=0 queue=pcq-upload priority=8 max-limit=921000 burst-limit=0 burst-threshold=0
burst-time=0s

3 name="total_download" parent=GLOBAL_IN packet-mark=users-down limit-at=0 queue=pcq-upload priority=8 max-limit=1843000 burst-limit=0 burst-threshold=0
burst-time=0s

4 name="users_download" parent=GLOBAL_OUT packet-mark=users-download limit-at=0 queue=pcq-download priority=8 max-limit=1843000 burst-limit=0
burst-threshold=0 burst-time=0s

5 name="total_upload" parent=GLOBAL_OUT packet-mark=users-upload limit-at=0 queue=pcq-download priority=8 max-limit=921000 burst-limit=0 burst-threshold=0
burst-time=0s

будет ли при такой маркировке пакетов и при таком Queue Tree равномерное распределение интернет канала или есть недочеты ?

allip
уххх, какая интересная схема с двойным шейпингом...

кажется, у total_download и total_upload надо поменять местами типы очередей - не?.. и зачем шейпить дважды одно и то же?..

Цитата:

кажется, у total_download и total_upload надо поменять местами типы очередей - не?

все опирается на рисунок который я давал выше и информацию из мануала (стр.417 Virtual Interfaces):

- global-in - represents all the input interfaces in general (INGRESS queue). Please note that
queues attached to global-in apply to traffic that is received by the router, before the packet
filtering. global-in queueing is executed just after mangle and dst-nat

- global-out - represents all the output interfaces in general. Queues attached to it apply before the ones attached to a specific interface.

Вот исходя из этих соображений и писались правила и queue tree.


Цитата:

и зачем шейпить дважды одно и то же?..

правило #0 - здесь я задаю ограничение на весь ВХОдящий трафик, т.е. который ПРИХОДИТ на LAN интерфейс и который ПРИХОДИТ на pppoe0 интерфейс, также, потом, допишу и l2tp интерфейс.

правило #1 - а здесь я задаю ограничение на весь ИСХодящий трафик, т.е. который ВЫХОДИТ с LAN интерфейса и который ВЫХОДИТ с pppoe0 интерфейса, также, впоследствии, допишу и l2tp интерфейс.

правило #2 - здесь я ограничиваю ИСХОдящий канал для пользователей на LAN интерфейсе и делю его поровну между пользователями при помощи pcq-upload и маркировки users-up (т.к. пакетики с этой маркировкой содержат src-address - что и нужно для pcq-upload)

правило #3 - здесь я ограничиваю ВХОДящий канал для пользователей на pppoe0 интерфейсе и делю его поровну между пользователями при помощи pcq-upload и маркировки users-down (т.к. пакетики с этой маркировкой содержат src-address НЕ равный диапазону адресов пользователей локальной сети - что и нужно для pcq-upload)

правило #4 - здесь я ограничиваю трафик который идет к пользователям с LAN интерфейса и делю его поровну при помощи pcq-download и маркировки users-download (т.к. пакетики с этой маркировкой содержат dst-address равный диапазону адресов пользователей локальной сети - что и нужно для pcq-download). Значение max-limit в этом правиле уменьшиться (в предыдущих правилах тоже, кроме правил для global-in и global-out итерфейсов), для того чтобы дать часть скорости для l2tp пользователей.

правило #5 - здесь я ограничиваю трафик который идет от пользователей и выходит с pppoe0 интерфейса и делю его поровну при помощи pcq-download и маркировки users-upload (т.к. пакетики с этой маркировкой содержат dst-address НЕ равный диапазону адресов пользователей локальной сети - что и нужно для pcq-download). Значение max-limit в этом правиле уменьшиться, для того чтобы дать часть скорости для l2tp пользователей.

вот собственно и объяснение.

и почему я шейпю дважды? - объясни если не трудно.

Цитата:

и почему я шейпю дважды?

уххх... http://wiki.mikrotik.com/wiki/Packet_Flow - советую ознакомиться (вынес даже в шапку )

по ссылке видим, что у нас получается: сначала мы маркируем пакеты в prerouting, потом отрабатывают очереди global-in, потом пакеты маркируются в forward'е - и после этого попадают во второй шейпер на global-out

з.ы. какое-то сложное объяснение всего... почему бы просто не промаркировать пакеты в forward'е двумя метками: "к пользователю" и "от пользователя" (всё равно, кто пользователь - лан или л2тп) - и потом пустить на две соответствующие очереди, подвешенные к global-out?

Цитата:

з.ы. какое-то сложное объяснение всего... почему бы просто не промаркировать пакеты в forward'е двумя метками: "к пользователю" и "от пользователя" (всё равно, кто пользователь - лан или л2тп) - и потом пустить на две соответствующие очереди, подвешенные к global-out?

извиняюсь за тупизну , не дорубаю я...

если не составит труда - глянь еще раз на мое творение:

маркирую трафик вот так

ip firewall mangle pr
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=mark-connection new-connection-mark=users-connections passthrough=yes

1 chain=forward action=mark-packet new-packet-mark=to-LAN passthrough=no dst-address=192.168.1.0/24

2 chain=forward action=mark-packet new-packet-mark=to-L2TP passthrough=no dst-address=4.3.2.0/30

3 chain=forward action=mark-packet new-packet-mark=from-LAN passthrough=no src-address=192.168.1.0/24

4 chain=forward action=mark-packet new-packet-mark=from-L2TP passthrough=no src-address=4.3.2.0/30


создаю следующее QUEUE TREE


queue tree pr
Flags: X - disabled, I - invalid
0 name="Upload" parent=pppoe0 packet-mark="" limit-at=0 queue=hotspot-default priority=8 max-limit=921000 burst-limit=0 burst-threshold=0 burst-time=0s

1 name="from_LAN" parent=Upload packet-mark=from-LAN limit-at=0 queue=pcq-upload priority=8 max-limit=665000 burst-limit=0 burst-threshold=0 burst-time=0s

2 name="from_L2TP" parent=Upload packet-mark=from-L2TP limit-at=0 queue=pcq-upload priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s

3 name="Download" parent=global-out packet-mark="" limit-at=0 queue=hotspot-default priority=8 max-limit=1843000 burst-limit=0 burst-threshold=0 burst-time=0s

4 name="to_LAN" parent=Download packet-mark=to-LAN limit-at=0 queue=pcq-download priority=8 max-limit=1587000 burst-limit=0 burst-threshold=0 burst-time=0s

5 name="to_L2TP" parent=Download packet-mark=to-L2TP limit-at=0 queue=pcq-download priority=8 max-limit=256000 burst-limit=0 burst-threshold=0 burst-time=0s


при таком конфиге будет равное распределение скорости или есть косяки????

Лентяи которым надо поровну канал делить!
Для кого я 12 сраниц назад распинался?

Ребят, подскажите - МТ на 2x Dual Xeon загибается при 250 сессиях pptp. в то же время core2duo 3ghz отрабатывет до 400 сессий

allip
что-нить типа

chain=forward action=mark-packet new-packet-mark=to-users passthrough=no dst-address=192.168.1.0/24

chain=forward action=mark-packet new-packet-mark=to-users passthrough=no dst-address=4.3.2.0/30

chain=forward action=mark-packet new-packet-mark=from-users passthrough=no src-address=192.168.1.0/24

chain=forward action=mark-packet new-packet-mark=from-users passthrough=no src-address=4.3.2.0/30


name="Download" parent=global-out packet-mark=to-users queue=pcq-download max-limit=1843000

name="Upload" parent=global-out packet-mark=from-users queue=pcq-upload max-limit=921000

не?..

acidburnnet
а что подсказать? загибается или нет?.. а сессии шифрованные? а ограничение скоростей есть? какое?

кто может подсказать, как сделать что бы торрент нормально работал, и не писал что сеть ограничена файерволом или ещё чем то и нет входящих соединений. Если брать к примеру Utorrent, то значёк соединения вместо зелённого - желто-оранжевый с восклицательным знаком. Кто то писал что надо что то с днс сделать. Можно пример
мой ип: 10.0.1.10
мт/днс ип: 10.0.1.1

спасибо!

Stupido
днс ни при чём. надо пробросить порт извне, для того, чтобы из интернета можно было к компу твоему подключиться. читать dst-nat

Привет вопрос такой есть, в микротике как реализован роутинг сети, в Null0
или другими словами как реализовать следующее на ROS
ip route 10.10.10.0 255.255.255.0 Null0

Chupaka


Цитата:

тогда не помешает, наверное, как-нить l2tp-трафик (самого туннеля, а не внутри него) выделить

можно глупый вопрос? - как выделить этот трафик, если l2tp туннель находится внутри соединения pppoe?

Chupaka


Код:
Flags: X - disabled, I - invalid, D - dynamic
0 ;
chain=srcnat action=masquerade src-address=10.0.1.0/24 out-interface=NET

1 chain=dstnat action=dst-nat to-addresses=10.0.1.100
dst-address=79.*.*.*

2 X chain=srcnat action=src-nat to-addresses=87.*.*.*
src-address=10.0.1.100

3 chain=dstnat action=dst-nat to-addresses=10.0.1.99 to-ports=22
protocol=tcp src-address=217.*.*.* dst-address=81.*.*.*

Stupido

chain=dstnat action=dst-nat to-addresses=10.0.1.10 to-ports=23742 protocol=tcp in-interface=ether2 dst-port=23742


eth1 локалка
eth2 смотрит на модем

если модем в режиме роутера и с натом то в нём тоже надо сделать прокидывание порта
если удп протокол то тоже надо подправить

GawkV

спасибо! добавил два правила, но не работает почему то

7 chain=dstnat action=dst-nat to-addresses=10.0.1.28 to-ports=23742
protocol=tcp in-interface=NET dst-port=23742

8 chain=dstnat action=dst-nat to-addresses=10.0.1.28 to-ports=23742
protocol=udp in-interface=NET dst-port=23742

NET - внешний интерфейс

Доброго дня!
Ситуация такая
Со стороны ДФЛ есть сеть 192.168.200.0/24 за микротиком 192.168.0.0/24.
Микротик подключен к интернету чрез АДСЛ модем т.е на микротике подниматься PPPoE сессия.
Между микротиком и DFL через интернет поднимается IPSEC сетки друг друга видят все ОК.

Изначально поднялся IPSEC но сетки друг друга не видели пока я на микротике в правиле NAT не исключил сеть 192.168.200.0/24 таким образом

[pavel@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Added by webbox
chain=srcnat action=masquerade src-address=192.168.0.0/24 dst-address=!192.168.200.0/24
src-address-list="" out-interface=pppoe-out1

Может это и не правильно, но работает... как правильно подскажите????

И второй момент как в данной конфигурации для сети за микротиком сделать следующее:

1. Все запросы с сети 192.168.0.0/24 завернуть в VPN канал?
или
2. Оставить все как есть т.е 192.168.0.0/24 выходит в Интернет через PPPoE, но например на Public адрес в интернете нужно чтоб запрос шел через VPN на DFL.
или
3. И еще за DFL есть сеть 192.168.201.0/24 как сделать чтоб 192.168.0.0/24 ее видела.

Если надо могу таблицу марштутизации выложить но тма все то что система добавила автоматом.

Спасибо

Цитата:

Привет вопрос такой есть, в микротике как реализован роутинг сети, в Null0

/ip route add dst-address=10.10.10.0/24 type=blackhole (или unreachable, кому как)

Chupaka


Цитата:

что-нить типа

chain=forward action=mark-packet new-packet-mark=to-users passthrough=no dst-address=192.168.1.0/24

chain=forward action=mark-packet new-packet-mark=to-users passthrough=no dst-address=4.3.2.0/30

chain=forward action=mark-packet new-packet-mark=from-users passthrough=no src-address=192.168.1.0/24

chain=forward action=mark-packet new-packet-mark=from-users passthrough=no src-address=4.3.2.0/30


name="Download" parent=global-out packet-mark=to-users queue=pcq-download max-limit=1843000

name="Upload" parent=global-out packet-mark=from-users queue=pcq-upload max-limit=921000

не?..

однако, как все просто оказывается, теперь возникает следующий вопрос - как проверить правильность работы вышеприведенных правил в RouterOS 2.9.51 ??? где можно посмотреть статистику по значениям pcq-limit и pcq-total-limit ???

Stupido
явно они перебиваются вот этим:

1 chain=dstnat action=dst-nat to-addresses=10.0.1.100
dst-address=79.*.*.*

просто перетащить их повыше...

Добавлено:

Цитата:

где можно посмотреть статистику по значениям pcq-limit и pcq-total-limit ???

статистику? наверное, особо негде. косвенные указания даёт значение "Dropped" в очереди. если пакеты дропаются - значит, превышен либо лимит, либо тотал-лимит. если памяти хватает - я не жалею, ставлю значения побольше

Chupaka

В Filter Rules могу перетаскивать, а в NAT не даёт. Что делать ???

Chupaka


Цитата:

если памяти хватает - я не жалею, ставлю значения побольше

свободной оперативной памяти ~ 700 Мб, процессор 1500Мгц, pcq-limit=50, pcq-total-limit=2000 - вообщем стандартные значения по мануалу. На сколько можно увеличить???

Stupido
отсортировать по порядку (первый столбец)

allip
ну, у меня limit в районе 128 обычно (для круглости ), total-limit - 16384 (ну, кушать же не просит). а вообще надо смотреть по ситуации, нагрузке и целям