» MikroTik RouterOS (часть 2)

что вполне логично. они никогда не портировали мелкие багфиксы в предыдущие ветки. только если что-нибудь серьёзное вылезет. как в 2.9.51: UM "counter overflow", "security fix", r8169 "could crash the router" =)

Chupaka
вот же писуны! становитесь уже читунами! решение обсуждается прямо на этой странице, до последнего сообщения!

вижу что решение не заработало у владельцев топика...
если можно вот из этого примера: http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways
что нужно добавить?
потому что есть только одни обсуждения, а реального варианта не нашел...

vlh
и в конце было русским по белому написано, ЧТО ИМЕННО надо сделать, чтобы оно заработало...

а в примере в вики - разные шлюзы, у вас же одинаковые. поэтому - ставим v3.23 или выше, с routing-test - и всё работает. а дальше читаем, например, http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways

Вы наверное не внимательны - версия у меня RO 3.6
routing-test - что это такое?
все равно не понял где написано по русски
Думаю, что в примере с wiki в rule в место geteway надо указать geteway interface,
просто сейчас не на чем проверить....

Цитата:

Вы наверное не внимательны - версия у меня RO 3.6

обновиться религия не позволяет или геронтофилия?..

но - да, gateway interface именно в случае с PPPoE спасёт

Chupaka

Спасибо огромное. Все заработало

а что в 3.6 нет возможности решить мой вопрос, надо обязательно 4.4 ставить?
тем более за неё придется заплатить...
и что значит - спасет?
что есть более правильное решение чем это?
поделитесь...

vlh
А какого уровня у вас лицензия, обычно же норм апгрейд с 3 на 4 версию проходит.

Ограничиваю количество цокетов на клиента
chain=forward action=drop tcp-flags=syn protocol=tcp
src-address=172.31.27.0/24 connection-limit=200,32

Вопрос, а как проверить, что это правильно отрабатывается? Ведь в разделе Connections отображаются все соединения, которые прошли и не прошли. Т.е. где поссмотреть количество сокетов от клиента, которые попали на нат?

лицензия 4 уровня.
посмотрел, вроде можно до 4 обновится..
но суть то не в этом, а в том, что на 3.6 это разве нельзя реализовать?

Добавлено:
странно как то.... обновился до 4.4, посмотрел на лицензию
там все по нулям.... обновил лицензию.... стала 5 уровня.
и что можно обновляться до 5 версии RO.
так и должно быть?

Цитата:

так и должно быть?

да, переход на v4 - бесплатный для всех, у кого есть любая лицензия, даже если в лицензии указано "Upgradable to v3"

Demon
на Dst-NAT попали все, на Src-NAT вроде ничего дойти не должно =)

если action=drop для первого же пакета, то вроде и в соединениях не должно ничего появляться - помню, мы в свой время в chain=input блокировали широковещательные адреса именно для того, чтобы они глаза в Connections не мозолили

Chupaka
спасибо, с шлюзами думаю разберусь..
подскажи пожалуйста еще вопрос из этого мануала:
http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways
вроде все работает для одного пользователя, а вот если их скажем 50,
что придется для каждого прописывать эти 4 правила?
/ queue simple
add name="main" target-addresses=ip пользователя max-limit=256000/512000
/ queue simple
add name="http" parent=main packet-marks=http max-limit=240000/500000 priority=1
add name="p2p" parent=main packet-marks=p2p max-limit=64000/64000 priority=8
add name="other" parent=main packet-marks=other max-limit=128000/128000 priority=4

а у кого например 1000 пользователей и они поделены по группам, которые имеют разные ограничение по скорости... то 4000 правил?
может есть более грамотное решение?

"Simple Queues are for simple setups" (c) Janis Megis

для нескольких тысяч - строго PCQ: http://wiki.mikrotik.com/wiki/PCQ

спасибо, посмотрел... вроде все просто, но как мне это прикрутить
к моим группам в адрес листе с разной скоростью...
я так понимаю, что нужно для каждого будет создать всего одно правило - ну это уже легче.
Простым шейпером я хотел как то ограничить торенщиков, которые весь канал забивают...
вот PCQ с этим как справляется?

P.S.
по моему там тоже придется создавать не меньше правил...
подсчитаем:
пометить пакет (у меня 11 тарифов - значит=11 правил)
/ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=all passthrough=no

два на ограничения скорости на вход/выход (итого 22 правила)
/queue type add name="PCQ_download" kind=pcq pcq-rate=64000 pcq-classifier=dst-address
/queue type add name="PCQ_upload" kind=pcq pcq-rate=32000 pcq-classifier=src-address

еще два (22 правила)
/queue tree add parent=global-in queue=PCQ_download packet-mark=all
/queue tree add parent=global-out queue=PCQ_upload packet-mark=all

и заключительное, для кого все это (если пользователей 200, значит так и будет 200)
/queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.1/24

и того: 255
проверьте арифметику...
и все таки интересует как оно будет с торентами работать...

наверное я туплю....
а можно в последнем правиле писать группу IP, например через запитую
/queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.1,192.168.0.10,192.168.0.116

тогда наверное это совсем все меняет...

Уважаемый all, подскажите, как поведет себя MikroTik на многоядерной машине.
Насколько я понял, оно не умеет параллелить на несколько ядер (камней) один процесс.
А что произойдет, если я планирую пустить хорошую нагрузку на PC-роутер с Тиком на борту. Роутер предполагается использовать для NAT, шейпинга (средствами radius-атрибутов), терминация PPPoE, сбор и отправка NetFlow

Получу ли я для 4 этих процессов распределение по 4 ядрам?

Или он все кинет на одно ядро?

Добавлено:
vlh

Цитата:

и заключительное, для кого все это (если пользователей 200, значит так и будет 200)
/queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.1/24

Это зачем?
Принцип такой: Создаете по адрес-листу для каждого тарифа. Манглом при помощи address-list помечаете пакеты, которые идут от соответствующих пользователей.

Для каждого адрес-листа в мангле создаете метку. Для каждой метки создаете правили pcq.

Я вашу задачу так понимаю.

Поправьте, если не так.

Цитата:

Принцип такой: Создаете по адрес-листу для каждого тарифа. Манглом при помощи address-list помечаете пакеты, которые идут от соответствующих пользователей.

то есть в Srс.Address List указываем группу?


Цитата:

Для каждого адрес-листа в мангле создаете метку.

немного не понял...


Цитата:

Для каждой метки создаете правили pcq.

как быть если у меня один канал 4М и на нем две группы 512 и 1024
еще канал 5М и тоже две группы с разной скоростью
а третий 20М и группы без ограничения по скорости...

xmf8d
гораздо более полную поддержку многоядерности обещают только в пятой или шестой версии... пока что предлагают использовать процессоры с меньшим числом ядер, но с большей частотой

Chupaka
Chupaka, спасибо А все же: в описанной мною задаче будет параллелить или будет все валить на одно ядро?

vlh

Цитата:

немного не понял...

packet-mark для каждой группы абонентов.
У вас стоит задача зашейпить трафик в соответствии с тарифами?
В каждый адрес-лист вы засовываете всех абонов одного тарифа.
На основе этого листа для каждого тарифа создаете packet-mark
На основе каждого packet-mark создаете 2 правила pcq - на аплоад и на загрузку.

Цитата:

У вас стоит задача зашейпить трафик в соответствии с тарифами?

да
значит так..

Это для одного тарифа (группы из адрес листа):

/ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=Group_1 passthrough=no
(в этом правиле надо еще Src.Address List=название группы из адрес листа)

эти правила для ограничения на скорость:

/queue type add name="PCQ_download" kind=pcq pcq-rate=64000 pcq-classifier=dst-address
/queue type add name="PCQ_upload" kind=pcq pcq-rate=32000 pcq-classifier=src-address

/queue tree add parent=global-in queue=PCQ_download packet-mark=Group_1
/queue tree add parent=global-out queue=PCQ_upload packet-mark=Group_1

правильно ли я понял, что указанная скорость будет делится на всех в этой группе,
или каждый получит эту скорость пока канала будет хватать?

если что не правильно, поправьте..... сам могу только ночью проверять, пока клиентов мало....

Цитата:

каждый получит эту скорость пока канала будет хватать?

Все верно. Каждый получит указанную скорость.

xmf8d
в данный момент один процесс - одно ядро

как забанить скайп?

bigsmoke88
говорят, только через L7-фильтры: http://wiki.mikrotik.com/wiki/L7

запутался я совсем..
направляем группы на разные интерфейсы:
http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways
далее балансировка:
http://wiki.mikrotik.com/wiki/PCQ_Examples
что то как то все очень просто...

vlh
"направляем на разные интерфейсы" - это и есть балансировка. а PCQ - это шейпинг

Chupaka

Цитата:

один процесс - одно ядро

PPPoE, NAT и шейпинг - это разные процессы? Собственно, вот в чем вопрос.

насколько я знаю, обычно всё упирается в шейпинг; а он использует одно ядро. на НАГе интересная статейка вот тут: http://nag.ru/news/17045/

Chupaka
Собственно, от туда ноги моих вопросов и растут. Трафик меньше, чем в статье, потому и встает вопрос, а можно ли утилизировать все ресурсы.

Есть у кого-нибудь боевой опыт? Протестировать нет возможности. Только планируется покупка железа + модернизация ядра.
NAT и шейпинг - запараллелятся на ядра?

Всех с наступающим !!!
Подскажите как на Мт 3,22 сделать такое: есть 2 юзера которым нужно создать 1 профиль к примеру "Vasya" нужно чтоб они могли по данному профилю конектится к МТ при этом чтоб 1 мб раздавался на 2 чел.
Спс.

добрый день, почему может быть такая бяка, навернулась мамка, поставил новую, ставлю заново микротик, ребечю а он зараза пишет loading system with inird
и виснит, пробовал менять и память, и жёсткий, и всеравно ерунда какая то, до этого грузился за 2 сек