» MikroTik RouterOS (часть 2)

nmts
Вам тут не техподдержка, тон попроще.
такая конфигурация уже не раз обсуждалась, будьте добры прочитать...

Уважаемый all, есть машинка CoreQuad 3Gц, 2xIntel Pci-express Gbit Lan. Мультикор включен, все лишнее в биос выключено (включая УСБ). Терминирует pptp-l2tp сессии. по Radius отдаются атрибуты speed_in, speed_out, есть несколько глобальных PCQ simple queue в которых упорядочиваются пакетики помеченные Mangle по access_list. В access_list IP адреса попадают опять же по отданным атрибутам от радиуса filter_in и filter_out. MSS меняется глобально. Трафику проходит через рутер около 100-180 Мбит, pps около 18000-25000. До 600-700 l2tp-pptp клиентов все работает более менее, при превышении порога 800 начитают идти Rx errors по интерфейсам, пинги до рутера подскакивают до 30-40мс, хотя загрузка процессора не превышает 50-60%. Пробовал как и 3.30 так и 4.5, на смежном форуме народ пишет :
"1200 simple queues is madness. I think, you should move to PCQ: create 2 pcq queues for each profile limit (upload and download), remove 'Rate' from the Profiles and add 'Address List'. then mark packets according to dynamic address-lists and send them to appropriate queues"
Как понял тут предлагается уйти от simple queues на каждое pptp подключение. выдавать Радиусом поле access_list (не ужто такой атрибут счас поддерживается?), потом Mangle маркировать пакеты для каждого класса подключения, и засовывать пакетики 50 клиентов у который допустим 1 Мбит в одну PCQ очередь 50Мбит с параметром dst_ip, 80 клиентов 512к в другую очередь PCQ 40мбит. Но тогда получится что при незаполнении PCQ очереди клиенты получат возможность выбрать всю доступную полосу, что не хотелось бы. Может другой вариант оптимизации есть или я что-нибудь недопонял?
Еще интересно все-таки сколько Mikrotik должен "тянуть" одновременных подключений по pptp, какой протокол его меньше "грузит" - pptp или l2tp (ppoe применить возможности нет)

Цитата:

А назад как? Где маркировать? forward? postrouting?

http://wiki.mikrotik.com/wiki/Packet_Flow - ссылка хоть и из шапки, но если курить грамотно - вставляет хорошо вдруг поможет или просто понравится...


Цитата:

на смежном форуме народ пишет

меня уже цитировать стали под ником "народ" - как приятно ))) хотя официальный форум можно было бы и не называть "смежным" %)


Цитата:

выдавать Радиусом поле access_list

не access, а address. либо от Радиуса, либо в профиле - такое поддерживается давно. про PCQ хорошая иллюстрация: http://wiki.mikrotik.com/wiki/PCQ#PCQ_Rate_Examples - всю доступную никто не заберёт


Цитата:

начитают идти Rx errors по интерфейсам

по ppp-интерфейсам, или даже по ethernet? 25 килопакетов для eth не должно составлять трудности...

Подскажите пожалуйста. Роутер RB750

Нужно сделать два WAN порта. Провайдер от свича завел два кабеля. И настройки абсолютно идентичные, отличается только адрес. Маска, шлюз, днс сервера одинаковы. Нужно их завязать в этом роутере, но вот в чем проблема.

Когда вставляешь первый кабель, он получает адрес по DHCP, всё нормально, интернет есть. Вставляешь второй, второй порт получает адрес отличный на единицу от первого, после чего интернет есть, но второй порт становится неактивный, я так понимаю из-за того что одинаковые адреса

1 ADC 172.16.120.0/22 172.16.120.11 ether1
2 DC 172.16.120.0/22 172.16.120.10 ether2

Есть решение этой проблемы? Спасибо

Добавлено:
* вернее, не адреса одинаковые, а подсети.

ошибки проявляются именно по ethernet ( и только на RX
была мысль что L2TP клиенты есть с вирусами, и что они DDOSят UDP пакетами рутер, но практического подтверждения не нашел этой теории (

gooel
а шлюзы одинаковые? тогда просто при создании дефолтовых маршрутов через терминал указывать gateway=адрес_шлюза%ether1 и gateway=адрес_шлюза%ether2, соответственно. после этого не трогать данные маршруты в Винбоксе =)

з.ы. нужна версия v4 или v3 с установленным пакетом routing-test


Цитата:

ошибки проявляются именно по ethernet

и Rx Rate всё равно всего лишь пару десятков тысяч пакетов?.. ну, теоретически загрузка процессора может "помогать", можно попробовать для теста на статические очереди пересесть...

Стала задача экономии... ставить аналоги вместо циски их максимальная железка с Mikrotik OS подходит.
Есть такой вопрос, при настройке циску ребутать не надо и всё применяеться быстро и сразу.
Кто работал с миктротик, в каких случаях её надо ребутать или на ней тоже всё всегда сразу применяеться? А то на форуме видел совет типа перезагрузите маршрутизатор - насторожило.

Master_Alex
не надо ребутать... при нормальной работе =)

RB433AH
настройка точки доступа, какой вариант лучше..
настроил в режиме бридж, то есть wlan и lan добавил в бридж ... назначил
ему IP и потом настроил сам wlan (карта R52H)...
все это работает.... но есть мнение что бридж это зло и надо
настраивать простую маршрутизацию...
попробовал и не получилось, а именно:
назначил IP для lan (10.10.10.1), для wlan (10.10.11.1), настроил wlan и клиентскую точку,
соединение по Wi-Fi установилось...но на этом и все
теперь я так понимаю нужно прописать еще маршруты?
да, со стороны клиента компьютеры имеют IP 172.16.0.0/24, а со стороны RB433AH 172.16.0.0/24

Цитата:

со стороны клиента компьютеры имеют IP 172.16.0.0/24, а со стороны RB433AH 172.16.0.0/24

найти хотя бы одно отличие?..

и почему 10.10.10.1, если компьютеры имеют адреса из совершенно другого сегмента?..

1.отличий нет, потому как по обе стороны оборудования сетки из одной
подсети.....и в данный момент это работает только на другом оборудовании.

2.значит достаточно на wlan и lan прописать IP из подсети 172.16.0.0/24
и все заработает?

Есть RB1000. 2 прова на вход. Есть удалённый RB750G, 2 прова на входе. Хочу поднять 4 l2tp туннеля между ними, чтобы исключить возможность пропадания связи из за отключения любого из провайдеров. Вариант создавать таблицы маршрутизации и маркировать пакеты по входящим интерфейсам не подходит, так как не знаю, как заставить OSPF рисовать маршруты сразу во всех таблицах маршрутизации, а не только в main.
Есть идеи как реализовать такую конфигурацию?

makstex
соединить офисы ? в каждом офисе есть основной и запасной каналы?
попробовать не l2tp а что то другое на физ. уровне, не?

Цитата:

отличий нет, потому как по обе стороны оборудования сетки из одной
подсети

тогда о маршрутизации не может быть и речи. маршрутизация производится только между разными подсетями

makstex
а зачем OSPF? для четырёх каналов можно и ручками прописать

gamespb
Нет физ уровней. С нормальным провом всё было бы ок.

Chupaka
Ну это не единственные роутеры в сети, на самом деле их около 20 по всем филиалам, поэтому OSPF.

makstex
я говорю, эти вручную вбить в нужные таблицы. а остальные пусть по OSPF распространяются

vlh
Я тоже самое настраивал так. Например

WLAN: 10.10.10.1
На этом порте включил DHCP сервер с пулом адресов 10.10.10.2-10.10.10.100
В итоге получилось, что клиент получал адрес вроде такого
IP: 10.10.10.2/24
gw: 10.10.10.1
dns" 10.10.10.1

Далее, когда пользователи подсоеденены, их трафик с помощью NAT отправлял на интерфейс с интернетом. Вот так:
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no out-interface=ether1 \
src-address=10.10.10.2-10.10.10.100

Всё вроде работает, не знаю правда, лучше ли это бриджа или хуже.

gooel

мне не нужен NAT.... нужно видеть MAC компьютеров,
так же не нужен DHCP, потому как статика..

Chupaka

получается что в такой конфигурации работать не будет, надо
обязательно разные подсети? или бридж...

хорошо, упростим задание... значит eth1 - 192.168.0.1/24 (за ним подсеть из того же диапазона и так же находится
сервер для раздачи интернета).
wlan - 10.10.10.1/24 (за ним точка доступа - 10.10.10.2/24 и подсеть из этого же диапазона).
как прописать маршрут, то есть от куда куда, что бы компьютеры из подсети 10.10.10.0/24 смогли видеть сервер
(192.168.0.2) то есть имели выход в интернет?

и чем плох бридж от простой маршрутизации?

Цитата:

как прописать маршрут

внимательно на всём пути проследить, чтобы каждая маршрутизирующая точка (включая оконечные компьютеры) знала маршрут в соответствующем направлении


Цитата:

и чем плох бридж от простой маршрутизации?

отнюдь. бридж абсолютно прозрачен, не меняет структуру сети. это есть гуд. бридж по умолчанию пропускает бродкасты - это где гуд, где нет, лечится правилами файрвола

Chupaka
проблема в том, что на пути есть точки (Nanostation2) на которых не пропишешь маршруты...
значит остается - бридж...
тогда как запретить например в бридже (wlan1, wlan2, lan) трафик между wlan2 и lan?

vlh
/interface bridge filter

Вопрос конечно не в тему, ну, да простят меня модераторы.....
Есть провайдер,который якобы ограничивает количество сессий. Вопрос, как это проверить?

Цитата:

Цитата:
начитают идти Rx errors по интерфейсам

по ppp-интерфейсам, или даже по ethernet? 25 килопакетов для eth не должно составлять трудности...

Цитата:

Цитата:
ошибки проявляются именно по ethernet

и Rx Rate всё равно всего лишь пару десятков тысяч пакетов?.. ну, теоретически загрузка процессора может "помогать", можно попробовать для теста на статические очереди пересесть...

Переехал на статические очереди. Процессору полегчало на 10%, но проблему кардинально не решило. И еще я видимо ввел в заблуждение - увеличивается не Rx Error, а Rx Drops

Цитата:

Есть провайдер,который якобы ограничивает количество сессий. Вопрос, как это проверить?

попробовать поднять вторую/третью/четвёртую сессию )))

Такой вопрос возможно здлеать такую функию в сети БЕЗ БИЛИНГА, чтоб юзера у которого закончились средства на счету - уведомляло его по НТТР как только он захочет войти на сайт чтоб перенаправляло на уведомления о неуплате...??? Или Мт не умеет подобное...

aKdidas
перенаправлять - раз плюнуть, редирект на прокси и там action=deny redirect-to=URL
единственное... откуда средства на счету, если биллинга нет? О_о

Помогите в решении проблемы не допонимания.

Короче есть 2 микротика, на 1 интренте сеть вайфай, на 2 сеть и вайфай.
Я хочу что бы к 1 микротику могли подключаться клиенты по вайфай и ко 2 микротику тоже. Но эти 2 микротика надо связать между собой по вайфай. Какие режимы работы вайфай необходимо выбрать на этих миротиках?? И подскажите что еще для этого нужно добавить, ну бридж или еще чтот) Я так понял что на одном AP bridge на другом wds slave надо настроить? но что то не конектяться так...

Доброго Всем времени суток.
Недавно стал щасливым обладателем роутера routerboard 750G.
Имею подключение к Билайн интернет дома (PPTP или L2TP).
И сразу столкнулся с проблемой: на форумах билайна ее описывают как "залипание интернета". Иначе говоря, интернет пропадает(страницы не грузятся), но пинги ходят без проблем, т.е. watchdog в этом случае не помощник. Возникла необходимость написания скрипта для проверки данной неприятности. Единственное, что пока приходит в голову это: telnet (удаленный сервер IP) 80 (Возможно есть другой способ?). Но, т.к. я столкнулся с роутером совсем недавно, возникло несколько вопросов: после выполнения команды /system telnet (удаленный сервер IP) 80, как его выключить, возможно из другого скрипта, но как? Ведь если его не выключить, скрипт не продолжит выполнение. Как проверить истинность подключения telnet-а к удаленному ресурсу?
Буду рад любой помощи. Возможно это уже обсуждалось, тогда дайте ссылочку, где почитать.

Chupaka

Цитата:

Есть провайдер,который якобы ограничивает количество сессий. Вопрос, как это проверить?

попробовать поднять вторую/третью/четвёртую сессию )))

По словам ограничение в 1000 сессий....

Demon
1000 сессий с одинаковым именем/паролем, или 1000 одновременных установленных подключений с одной сессии? второе - это надо умудриться их сначала создать