» MikroTik RouterOS (часть 2)

Господа хорошие посмотрите п-ста мои логи м.б.кто чего присоветует.
проблема та же.Рвется соединение пптп микротик-микротик
Клиент:
15:22:50 system,info,account user admin logged in from 10.0.0.55 via telnet
15:23:36 system,info log rule added by admin
15:23:45 pptp,ppp,info pptp-out1: terminating... - keepalives timed out
15:23:45 pptp,ppp,info pptp-out1: disconnected
15:23:45 pptp,ppp,info pptp-out1: initializing...
15:23:45 pptp,ppp,info pptp-out1: dialing...
15:24:15 pptp,ppp,info pptp-out1: terminating... - could not connect - timed out

15:24:15 pptp,ppp,info pptp-out1: disconnected
15:24:15 pptp,ppp,info pptp-out1: initializing...
15:24:15 pptp,ppp,info pptp-out1: dialing...
15:24:45 pptp,ppp,info pptp-out1: terminating... - could not connect - timed out

Сервер:
00:54:39 pptp,info TCP connection established from 10.0.0.20
00:54:39 pptp,ppp,info <pptp-0>: waiting for call...
00:54:39 pptp,ppp,info <pptp-0>: authenticated
00:54:39 pptp,ppp,info <pptp-0>: connected
00:54:39 pptp,ppp,info,account admin logged in, 10.0.0.20
01:10:14 pptp,ppp,info,account admin logged out, 935 77 13101 7 219
01:10:14 pptp,ppp,info <pptp-admin>: terminating... - disconnected
01:10:14 pptp,ppp,info <pptp-admin>: disconnected
01:10:14 pptp,info TCP connection established from 10.0.0.20
01:10:14 pptp,ppp,info <pptp-0>: waiting for call...
01:10:14 pptp,ppp,info <pptp-0>: authenticated
01:10:14 pptp,ppp,info <pptp-0>: connected
01:10:14 pptp,ppp,info,account admin logged in, 10.0.0.20
01:11:26 system,info,account user admin logged in from 10.0.0.55 via telnet

Скорее всего из-за простоя.

keepalives timed out

Добавлено:
komar90

Да вот тоже думал.Но даже если в опциях пптп сервера- keepalives timed out ставлю 99999 или просто отключаю ее ситуация блин к хорошему не меняется.Ппц пол года назад микротик ставил и делал впн с микра на микр ниче подобного не было.напасть прямо какая то.
Тут один спец предположил такой вариант:
на точке доступа должно быть правило разрешающее входящие соединения по протоколу GRE, а на клиенте правило разрешающее исходящие пакеты этого же протокола

Только я не понял немного на 1723 порт чтоли разрешить прием и исход...?

Братцы прошу кто чем может.Намучался блин уже ис ним думаю мож проще будет ужо на фряхе все это поднять.Планировалось просто изначально сделать пптп и мост на нем.Хз просто выйдет ли сие на Freebsd

komar90
Что бы с гре не связываться используй L2TP

PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола GRE. Второе соединение на TCP-порту 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

Попробуй действительно L2TP

Добавлено:
Для L2TP необходимо только     

1701/TCP, 1701/UDP

свой вопрос снимаю
таки написал скрипт, после нудного и долгого гугления
вот - вдруг кому пригодится - работает на микротике 2,9,27

:local resolvedIP [:resolve "Your_DynDns.name"];
:local ID [/interface pptp-client find name="pptp-out-connection"];
:local currentIP [/interface pptp-client get $ID connect-to];
:if ($resolvedIP != $currentIP) do={/interface pptp-client set $ID connect-to=$resolvedIP;}

удачи господа админы )

А при большом кол-ве сессий 1000-1500 на микротик, что является предпочтительным для использования с точки стабильности и нагрузки на процессор- pptp или L2TP?

Chupaka
"перенаправлять - раз плюнуть, редирект на прокси и там action=deny redirect-to=URL"

Это на WEB Proxi ??? Если можно, раскажите поподробнее как перенаправить вручную должника на веб страничку . Допустим на ХР уже стоит WEB SERVER...

uraso

Код: /ip firewall nat add chain=dstnat src-address=redirected_client protocol=tcp dst-port=80 action=redirect to-ports=my_proxy_port
/ip proxy access
add action=deny disabled=no redirect-to=http://my.local.server

Подскажите верный способ отделить трафик UA-IX. Есть цель сделать скорость доступа для пользователей в мир, например, 1мбит, а по UA-IX 5мбит.

Спасибо.

Добавлено:
Список адресов уже нашел.
http://www.colocall.net/uaix/

Остался технический вопрос, как проще?

маркируем пакетики в Mangle Prerouting, направляем в нужную таблицу с дефолтовым маршрутом, например

Добавлено:
или добавить нужные маршруты в отдельную таблицу, а потом через Routing Rules сначала просматривать её, а потом уже - main

Думаю это можно в шапку приколотить - будет весьма полезно http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/

Chupaka
а можно пожалуйста командами написать, если не затруднит.

Например подсеть 192.168.1.0/24 входит в UA-IX и её нужно отфильтровать.

По этому варианту "добавить нужные маршруты в отдельную таблицу, а потом через Routing Rules сначала просматривать её, а потом уже - main"

gooel
/ip route add dst-address=192.168.1.0/24 gateway=gateway routing-mark=ua-ix
/ip route rule add action=lookup table=ua-ix

возможно, для v3 придётся установить пакет routing-test вместо routing - в последнем немного иной порядок работы с rules, насколько помню

Всем доброго времени суток.
После долгих и нудных ковыряний (MikroTik 2.9.27) обнаружил весьма полезную настройку в разделе NAT.
Завернул «Пинг» пользователей на роутер, и получил весьма интересную картину – пинги минуя шейпинг стали проходить до 10-ти раз быстрее…
Плюс ко всему, с клиентского компа перестает работать трассировка маршрута (в моем случае это оказалось полезным)
Может кто из Вас задумывался над решением такого рода задачи….

ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=ICMP action=dst-nat to-addresses=x.x.x.x comment="NO TRACERT & GOLD PING" disabled=no

где x.x.x.x - адрес шлюза
Косяков с этим заворотом мною, пока, не обнаружено…

hatny
если уж действовать нечестно - то по возможности честнее. я бы ещё добавил icmp-options=8:0-255, чтобы редиректить только эхо-запросы. мало ли, что там ещё гулять может

а что значит "перестаёт работать трассировка"?

Сразу выдает типа: трассировка завершена, с выдачей конечного адреса

Если добавить поправку, тогда трассировка проходит...

Chupaka

Цитата:

ip firewall nat add chain=dstnat dst-address=0.0.0.0/0 protocol=ICMP action=dst-nat to-addresses=x.x.x.x comment="NO TRACERT & GOLD PING" disabled=no

после таких махинаций могут быть "побочные ефекты" ?

прописал просто как выше - может кажетса но начало как буд то скорее страницы листать...

Поевилась такая проблема!
под вечер выростает пинг до инета!
в в фарволе прописал только разрешение на групы и после запрет на всё!
в макет когда пинга выростает процесор микротика не загружен!
Что можно ещё зделать?

Доброго времени суток. Есть желание слезть с simple queues в пользу queue tree. Но не могу разобраться с парент интерфейсами. Подключение в миру через pppoe, затем NAT, юзеры лезут через pptp. Пробовал все и по-разному - даунлоад шейпится, аплоад - никак.

prgold
а если убрать - страницы опять медленнее листаются? =)

Добавлено:
pjilya
а загрузка канала при этом какая? а pathping показывает высокий пинг, начиная с какого хопа?

AppleNet
покажите, что делаете - и вам скажут, что неправильно. готовых примеров, например, у меня нет

Да все по знакомой презентации про QOS. Могу вывалить конфу. Только где-то на микротиковском форуме (вроде даже с вашим присутствием) читал, что на одном роутере с авторизацией по PPTP аткого не замутить. Что-то там из-за ната, то толком не въехал - поздно уже было.

[more]/ip firewall mangle
add action=mark-packet chain=prerouting comment=ICMP disabled=no new-packet-mark=ICMP passthrough=no protocol=icmp
add action=mark-packet chain=prerouting comment="HTTP 80" disabled=no dst-port=80 new-packet-mark=HTTP_80 passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=POP3 disabled=no dst-port=110 new-packet-mark=POP3 passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=SMTP disabled=no dst-port=25 new-packet-mark=SMTP passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=IMAP disabled=no dst-port=143 new-packet-mark=IMAP passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment=SSL disabled=no dst-port=443 new-packet-mark=SSL passthrough=no protocol=tcp
add action=mark-packet chain=prerouting comment="\C3\EE\EB\FB\E5 \F1\F2\F0\E0\ED\E8\F7\EA\E8" connection-bytes=1-512000 disabled=no new-packet-mark=0bytes \
passthrough=yes
add action=mark-packet chain=prerouting comment=P2P disabled=no new-packet-mark=p2p p2p=all-p2p passthrough=no
add action=mark-packet chain=prerouting comment="P2P Bittorrent" disabled=no layer7-protocol=bittorrent new-packet-mark=bittorrent passthrough=no
add action=mark-packet chain=prerouting comment="" disabled=no new-packet-mark=no-mark passthrough=yes
add action=mark-connection chain=forward comment="mark 128 connection" disabled=no new-connection-mark=alexnet-128 passthrough=yes src-address-list=\
alexnet-128
add action=mark-packet chain=forward comment="" connection-mark=alexnet-128 disabled=no new-packet-mark=alexnet-128 passthrough=no
add action=mark-connection chain=forward comment="mark 256 connection" disabled=no new-connection-mark=alexnet-256 passthrough=yes src-address-list=\
alexnet-256
add action=mark-packet chain=forward comment="" connection-mark=alexnet-256 disabled=no new-packet-mark=alexnet-256 passthrough=no
add action=mark-connection chain=forward comment="mark 512 connection" disabled=no new-connection-mark=alexnet-512 passthrough=yes src-address-list=\
alexnet-512
add action=mark-packet chain=forward comment="" connection-mark=alexnet-512 disabled=no new-packet-mark=alexnet-512 passthrough=no
add action=mark-connection chain=forward comment="mark 512 connection" disabled=no new-connection-mark=alexnet-1024 passthrough=yes src-address-list=\
alexnet-1024
add action=mark-packet chain=forward comment="" connection-mark=alexnet-1024 disabled=no new-packet-mark=alexnet-1024 passthrough=no
add action=log chain=forward comment="Check for unmarked traffic" disabled=yes log-prefix=""

/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=PRIO packet-mark="" parent=global-total priority=5
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=PRIO_1 packet-mark="" parent=PRIO priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="HTTP 80" packet-mark=HTTP_80 parent=PRIO_1 priority=1 queue=\
default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=POP3 packet-mark=POP3 parent=PRIO_1 priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=SMTP packet-mark=SMTP parent=PRIO_1 priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=IMAP packet-mark=IMAP parent=PRIO_1 priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=SSL packet-mark=SSL parent=PRIO_1 priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=PRIO_8 packet-mark="" parent=PRIO priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=P2P packet-mark=p2p parent=PRIO_8 priority=8 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=0BYTES packet-mark=0bytes parent=PRIO_1 priority=1 queue=default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Bittorrent packet-mark=bittorrent parent=PRIO_8 priority=8 queue=\
default
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Total_download parent=global-out priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=512_down packet-mark=alexnet-512 parent=Total_download priority=8 \
queue=PCQ_down_512k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=Total_upload parent=global-out priority=1
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=512_up packet-mark=alexnet-512 parent=Total_upload priority=8 \
queue=PCQ_up_64k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=128_down packet-mark=alexnet-128 parent=Total_download priority=8 \
queue=PCQ_down_128k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=128_up packet-mark=alexnet-128 parent=Total_upload priority=8 \
queue=PCQ_up_32k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=256_down packet-mark=alexnet-256 parent=Total_download priority=8 \
queue=PCQ_down_256k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=256_up packet-mark=alexnet-256 parent=Total_upload priority=8 \
queue=PCQ_up_64k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=1M_down packet-mark=alexnet-1024 parent=Total_download priority=8 \
queue=PCQ_down_1M
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=1M_up packet-mark=alexnet-1024 parent=Total_upload priority=8 \
queue=PCQ_up_128k
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name=ICMP packet-mark=ICMP parent=PRIO_1 priority=1 queue=default

/queue type
set default kind=pfifo name=default pfifo-limit=50
set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
set wireless-default kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
add kind=pcq name=PCQ_down_128k pcq-classifier=dst-address pcq-limit=50 pcq-rate=128000 pcq-total-limit=2000
add kind=pcq name=PCQ_up_64k pcq-classifier=src-address pcq-limit=50 pcq-rate=64000 pcq-total-limit=2000
add kind=pcq name=PCQ_down_256k pcq-classifier=dst-address pcq-limit=50 pcq-rate=256000 pcq-total-limit=2000
add kind=pcq name=PCQ_down_512k pcq-classifier=dst-address pcq-limit=50 pcq-rate=512000 pcq-total-limit=2000
add kind=pcq name=PCQ_down_1M pcq-classifier=dst-address pcq-limit=50 pcq-rate=1000000 pcq-total-limit=2000
add kind=pcq name=PCQ_up_128k pcq-classifier=src-address pcq-limit=50 pcq-rate=128000 pcq-total-limit=2000
add kind=pcq name=PCQ_up_32k pcq-classifier=src-address pcq-limit=50 pcq-rate=32000 pcq-total-limit=2000
set default-small kind=pfifo name=default-small pfifo-limit=10[/more]

AppleNet
спасибо за кучу мусора... но я всё же в ней увидел то, что вас заинтересует: вам надо использовать разные метки для аплоада и даунлоада. иначе у вас весь аплоад считается даунлоадом, вроде =)

Спасибо, попробую. Мусор заспойлил

Загруса минимальна 5 пользователей! 10 мигабит
пинга с самого микротика нармальная и до него! а через него задержки и привишения интервала!

pjilya
это значит, что входящий канал банально забит, и провайдерское оборудование просто шейпит трафик до нужной скорости - увеличивая задержки или отбрасывая пакеты

Chupaka


Цитата:

это значит, что входящий канал банально забит, и провайдерское оборудование просто шейпит трафик до нужной скорости - увеличивая задержки или отбрасывая пакеты

В таких случаях, 75% делаю гаранированную скорость и 90% ограничиваю...

канал не забит! так как на старом сервере Ти всё нармально в этот мамент!
такое ощущение что кто то из вирусных машинок мишает остальным!

Есть подозрение, что кто-то досит, как это можно проверить ? И вообще что может вызвать постоянную загрузку процессора ? Simple queues нету, раньше работало всё нормально в данной конфигурации, сейчас при нагрузке примерно больше 20 мегабит загрузка проца составляет 100% Кто сталкивался ?

pjilya
а если лимиты в очередях увеличить?

Добавлено:
FreeLSD_md
проверить - для начала Torch'ем