» MikroTik RouterOS (часть 2)

Chupaka, спасибо за ответ. Схема запутанная потому, что уже вроде по-всякому было перепробовано Упрощено по вашему совету, исправлена пара очень глупых ошибок, теперь вроде бы все работает. Большое спасибо.

как правильно зафильтровать пакеты на одном из интерфейсов не попавшие в правило нат
по аналогии с pf'ным
block out on $if2 from !($if2) to any

dreamer2

Код: ip firewall filter add chain=forward out-interface=WAN in-interface=!WAN action=drop

Цитата:

ip firewall filter add chain=forward out-interface=WAN in-interface=!WAN action=drop

как то так не пробовал?

пока нет, но так же убьется все улетающее через интерфейс и пришедшее с других?
или в цепочке форвард пакеты после nat'а сюда не заматчатся?

о каком NAT'е речь?

обычный, в srcnat, но натит по условию src адреса
остальное хочется убить на выходе


т.е. как в моем примере выше, все что выходит через интерфейс не от нашего адреса дропнуть

полезная ссылка из шапки: http://wiki.mikrotik.com/wiki/Packet_Flow

как видим, Src-NAT расположен уже после всех фильтров, поэтому зафильтровать его не получится. надо просто не допускать до него трафик, который не будет натироваться

Добавлено:
зафильтровать - в смысле, в Filter Forward скопировать условия, по которым работает Src-NAT, сделать этим пакетам accept, а остальным - drop

Цитата:

зафильтровать - в смысле, в Filter Forward скопировать условия, по которым работает Src-NAT, сделать этим пакетам accept, а остальным - drop

но тогда по идее должно хватать одного правила drop !natsrcaddr в форварде

сделал так, проверю, спасибо

Цитата:

тогда по идее должно хватать одного правила drop !natsrcaddr в форварде

именно так. я писал про общий случай для сложного сетапа

Цитата:

Что-то подзатихли посты по поводу IPTV.

Уважаемые форумчане, пожалуйста помогите в решении следующей проблемы. Пытаюсь настроить IGMP forwarding для IPTV на микротиковском роутере, но ничего не выходит.

Собственно имеется:
[admin@MikroTik] > ip address print
# ADDRESS NETWORK BROADCAST INTERFACE
0 172.22.28.19/24 172.22.28.0 172.22.28.255 ether1 - WAN
1 192.168.0.31/24 192.168.0.0 192.168.0.255 ether2 - LAN

IGMP proxy настроен:
[admin@MikroTik] > routing igmp-proxy interface print
Flags: X - disabled, I - inactive, D - dynamic, U - upstream
# INTERFACE THRESHOLD
0 U ether1 1 - WAN
1 ether2 1 - LAN

В IP Firewall одно активное правило:
[admin@MikroTik] > ip firewall nat print
0 chain=srcnat action=masquerade out-interface=ether1

После запуска IP-TV player'a с компьютера находящегося в локальной сети, иными словами после отправки запроса на присоединение к требуемой мультикаст группе, вижу следующую картину. На ether1(WAN) из внешней сети идет большой поток udp пакетов, который НЕ ФОРВАРДИТСЯ на ether2(LAN). Более того
[admin@MikroTik] > routing igmp-proxy mfc print
# GROUP SOURCE INCOMING-INTERFACE OUTGOING-INTERFACES
0 233.99.64.1 172.25.0.66

Но ни INCOMING-INTERFACE, ни OUTGOING-INTERFACES не указаны. Особенно странно, что INCOMING-INTERFACE не определился как ether1.


Предположил, что проблемы с TTL приходящих UDP пакетов. Но как показал Wireshark при прямом подключении (без роутера) ttl=22.

Может у кого есть какие-нибудь идеи, советы, предложения?

nonstops
/routing igmp-proxy export приведите.
И в Torch перепроверьте TTL пакетов от провайдера, действительно ли TTL=22. А то некоторые режут до TTL=1.

Iliasla

Да, часто режут TTL. Тем не менее в моем случае TTL=22, что показывает Wireshark при подключении без роутера. Кстати, мне не удалось увидеть значение TTL в Torch. У меня RouterOS 3.30.
[admin@MikroTik] > tool torch ether1 src-address=172.25.0.66
SRC-ADDRESS TX RX TX-PACKETS RX-PACKETS
172.25.0.66 0bps 4.3Mbps 0 405

До того как я узнал точное значение ttl, я увеличивал ttl в mangle, но положительного результата это естественно не дало.


УРА!!!! Мне удалось настроить IGMP Proxy. Установил alternative-subnets для upstream ether1 в правильное значение:

[admin@MikroTik] > routing igmp-proxy export
/routing igmp-proxy
set query-interval=2m5s query-response-interval=10s quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=172.25.0.0/24 comment="" disabled=no interface=ether1 \
threshold=1 upstream=yes
add comment="" disabled=no interface=ether2 threshold=1 upstream=no


Теперь соответственно, что и должно быть
[admin@MikroTik] > routing igmp-proxy mfc print
# GROUP SOURCE INCOMING-INTERFACE OUTGOING-INTERFACES
0 233.99.64.1 172.25.0.66 ether1 ether2


Для тех, у кого не работает IPTV проверяйте правильность установки параметра alternative-subnets для upstream etherX. В alternative-subnets нужно указывать источник udp пакетов, а не локальную сеть, в которую будут форвардится эти пакеты и не multicast группы, к которым присоединяетесь. И еще убедитесь что провайдер не режет TTL.

Iliasla, Chupaka

Цитата:

Надо натить PPPoE интерфейс, ведь интернет-траффик идёт по нему. Добавьте его, пока он включён.
А ether1 служит только для связи с модемом и работы PPPoE поверх него.

Спасибо, всё заработало.

Возник ещё один вопрос, в настройках web-proxy.
Хочу использовать кеширование, включаю:
cache-on-disk, выделяю к примеру несколько гиг, но как-то эффекта не замечаю, загружаю одни и те же странички с картинками, типо фишки.нет, кеш заполняется, но странички грузяться всё с той же скоростью инет канала(до 2мбит).
always-from-cache - как я понял, при обращении к прокси клиентом, подгружает запрашиваемы файлы из кэша, если они там есть? Но при включение этой опции, особо разницы не заметил...
cache-hit-dscp - на что влияет этот параметр, есть смысл его менять?

Пипл хелп.

Есть две площадки:
1. Подсеть 10.15.0.0/16, шлюз на микротике 3.2 = LAN: 10.15.254.254; VLAN: 172.16.1.1; WAN: XX, Внешка, VLAN 172.16.0.0/16
2. Подсеть 10.10.0.0/16, шлюз на микротике 2.9 = LAN: 10.10.254.254; VLAN: 172.16.1.2, VLAN 172.16.0.0/16
Между подсетями есть VLAN (адреса выше) провайдера, все маршруты обновляются по RIP.


В первой подсети был сервер и имел адрес 10.15.1.20, теперь он физически перехал на другую площадку (в подсеть 10.10.0.0) скажите каким образом можно сохранить его старый адрес, т.е. у него на любой сетевухе должен быть этот адрес и из любой подсети он доступен по этому адресу.

Это возможно?

____________________

Сам разобрался:
На второй площадке (10.10.0.0) создал подсеть 10.15.1.16/29 и запихал туда сервер.

Подскажите как можно ограничить доступ из LANa через NAT на определенный список сайтов по их доменному имени.

spat0820
ВЕБ прокси документация поможет в этом вопросе.

вопроС:
есть роутер ПиСи микротик, 1 карточка смотрит в локалку,
2 смотрят в нет, то есть имеем два канала разных провайдеров,
причом у этих провайдеров пиринговая война, канал между ними
зарезан одним из монополистов.
Это нужно(2 таких канала) для обеспечения нормальной работы одного
из удаленных офисов, который как раз в силу апстЫятельстФ
может подключиццо только к беспредельному монополисту.
Подключения типа "аля мост", ну просто кабель
в разъем и там и там и руками вбиваем все айпишники,
которые есть в договоре.


И собсвенно вопрос:
как распределить ДНС запросына двух каналах?
У одного провайдера свои ДНС у другого свои...
(OpenDNS не в счет)


ПЫ.ЭС.

поддерживает ли микротик 2 ядра(3.30),
(атлончик 5000, 1Гб оперативы)?

isa 2006sp1 to mokrotik 4.6 site to site vpn нипель

lan1<>isa-----isp-----mikrotik<>lan2

Туннель ipsec поднимается, трафик ходит только в одну сторону lan1 > lan2, обратно судя по трейсам mikrotik не энкапсулирует не смотря на наличие ipsec policy и правил в разделе nat.

Руководствовался этой статьёй: Ссылка

Подскажите кто скрещивал isa и mikrotik по ipsec tunnel, как делали, может где ман есть, а то Google засранец помогать отказывается.

люди уже все перепробовал как в статьях и ссылках, но не получается скорость ограничить.
сделал впн сервер, соединяешься по впн, инет есть, но как мне скорость ограничить каждому впн-клиенту ???? помогите плиззз...

ShokoAsahara
Если по простому, то настрой профили в разделе PPP

/ppp profile
add change-tcp-mss=default comment="" name=1024/128 only-one=yes rate-limit=\
128000/1024000 use-compression=yes use-encryption=required \
use-vj-compression=yes

rate-limit=128000/1024000 - вот и есть эта скорость, получается 128кбит исходящий и 1024кбит входящий

После чего, просто когда создаешь новый аккаунт в Secrets ставишь этот профиль и всё готово.

При подключении автоматически создается правило в Queue

а правильно я понял что отсутствие информации по форварду днс зоны и гуглящийся ответ на форумах мт - "You can't do easily that in RouterOS, there is no native functionality for it." актуальны сейчас и действительно ни одна из версий форварда не умеют?

2 dreamer2
Те версии которые я видел (до 4.6) не умеют.

При необходимости можно на микторике, используя новую возможность Metarouter, запустить Openwrt и там видимо можно установить полноценный bind или другой dns сервер. Но на сайте микротик подготовленный образ OpenWRT есть только для MIPS платформы.
http://wiki.mikrotik.com/wiki/Metarouter#Importing_image

MMV

там написано "Currently MetaRouter can be used for the RB400 series boards to create virtual machines, but more hardware platforms will be added in future. "
значит ли это что дело не только в образе под мипс, а и то что сама фича не работает нигде кроме RB?

gooel
а если по взрослому ограничивать скорость PPPoE клиентам это
заносим их в Адресс лист (IP которые они получают),
далее метим в Мангле на интерфейсах пакеты для группы из Адресс листа,
поднимаем NAT для сети который выдает PPPoE сервер,
далее в Queue Type создаем правила и потом в Queu Tree очереди...
я правильно понял?

и еще вопрос:
что означает в Queu Type при создании правила PCQ пункты Limit и Total Limit?
читал справку, но как то не вкулил, если можно как то на пальцах объяснить...

Limit - размер очереди одного потока
Total Limit - размер очереди общего потока

Грубо говоря, Limit для одного клиента, Total Limit для всех вместе.

gooel
это в справке написано, но ни как не могу понять,
например если у меня на этом канале примерно 40 онлайн клиентов,
как рассчитать сколько нужно Limit и Total Limit?
у меня появляются Dropped, я догадываюсь, что канал слабоват,
просто думал что может как то этим поиграться....

Мужики, ткните где почитать, что мне купить для организации линка на 400 метров с помощью этого , блин микротик

хотел поинтересоваться у знатоков по поводу радиокарточек новых мануалы покурил понял что турбо режим им уже не подвластен и плюс на одной карте две тарелки хотелось бы про это новшество узнать по подробнее мало ли там свои заковырки хитрые настройки и реально ли на такой карточке выжать 200 Mbit как пишут

всем привет! вобщем так и не заработал у меня банк клиент... как правильно сделать проброс vpn коннектов на определённый канал? с балансировкой PCC. начал сначала.

Цитата:

хотел поинтересоваться у знатоков по поводу радиокарточек новых мануалы покурил понял что турбо режим им уже не подвластен и плюс на одной карте две тарелки хотелось бы про это новшество узнать по подробнее мало ли там свои заковырки хитрые настройки и реально ли на такой карточке выжать 200 Mbit как пишут

не знаю как на R52Nh, скоро попробую а на R52n, у мя 243/243 мбита в радио (12,7 км)

по прокачке больше 100 мбит получаю по ДЦ

по поводу новых, нужно ждать 5 версию МТ, там она развернется, хотя на столе работает нормально

JackNE
Возник ещё один вопрос, в настройках web-proxy
Клиенты настроены, чтобы коннектиться этот прокси? Если нет - то можно сделать "прозрачный прокси": в Firewall надо прокинуть через redirect порт 80 (и другие http) на порт прокси - клиенты ничего не заметят, кроме ускорения работы интернета

lyamoto
как распределить ДНС запросы на двух каналах?
А нафига? Вы хотите использовать ресурсы обоих провайдеров?
В любом случае есть смысл поднять в головном офисе свой собственный DNS на BIND-е (хоть даже под виндой). Или Microsoft DNS. Две форвард-зоны, по одной на каждого провайдера, и кэш остального. В Микротике же использован сильно урезанный простой кэширующий DNS.
Два ядра Микротик поддерживает, но встречаются проблемы стабильности. К тому же IP Firewall - однопоточное приложение, ему мощное единственное ядро нужно (см. обсуждения на форуме микротика, да и тут вроде было).

Road Runner J
В указанной статье расписано довольно кратко. Главный ман - http://wiki.mikrotik.com/wiki/Category:Manual

dreamer2
действительно ни одна из версий форварда не умеют?
Не умеет.

gooel
Грубо говоря, Limit для одного клиента, Total Limit для всех вместе.
Неправильно. Читайте маны. Для начала - описание базовых принципов HTB, затем - как в HTB реализуются ограничения.
http://wiki.mikrotik.com/wiki/Manual:HTB#CIR
http://wiki.mikrotik.com/wiki/Manual:Queue#limit-at
http://wiki.mikrotik.com/wiki/Manual:Queue_Size

vlh
как рассчитать сколько нужно Limit и Total Limit?
Можно ориентироваться на правило из презентации "HTB Implementation on RouterOS QoS":
Limit At = Total bandwidth / max hosts (макс. к-во одновременно работающих)
Max-limit = Total bandwidth / min hosts (мин. к-во одновременно работающих)

icome
http://www.routerboard.com/ Или, например Радиомаршрутизатор встроенный в антенну RIC/522CN, Радиомаршрутизатор RB/411POHn и соотв. комплектуха к ним (на сайте широкий список).

Smertnick
турбо режим им уже не подвластен и плюс на одной карте две тарелки хотелось бы про это новшество узнать
Технологии объединения радиоканалов уже несколько лет - Mikrotik Nstreme. Протокол проприетарный, с другими устройствами не работает. Зато на совесть сделан.