MikroTik RouterOS (часть 2)

Автор: gamespb
Дата сообщения: 14.04.2010 17:49

ShokoAsahara
у меня на роутборарде при установке с пакетом xen перегружался по кругу, пришлось пере устанавливать заново, хорошо роутобоард на x86 .

Автор: Chupaka
Дата сообщения: 14.04.2010 17:53

Цитата:

роутобоард на x86

(O_o) это что ещё за чудо?

Автор: gamespb
Дата сообщения: 14.04.2010 20:38

Chupaka
прикалываещся, над ошибкой ?

http://www.mikrotik.com/pdf/what_is_routerboard.pdf

моего в списке нет, он оч. старый RB230

Автор: Chupaka
Дата сообщения: 14.04.2010 20:55

gamespb
не прикалывался - просто был очень удивлён )) я их не застал, и о них как-то стыдливо умалчивают %) вот уж век живи - век учись

Автор: sergartemyev
Дата сообщения: 15.04.2010 09:57

Задача, перевести клиентов - 50 человек на proxy на основе железного микротика, например RB/800PI.
Как я понял с нормальной авторизацией по логину и паролю, кэшем и билингом нужно ставить HOTSPOT, web proxy, карту памяти для кэша, программу билинга.
Вопросы, всё ли так, будут ли тормоза,какие могут быть "подводные камни"?

Автор: SurinMax
Дата сообщения: 15.04.2010 11:08

Вопрос в следующем.
Возможно ли на микротик связать с AD, чтобы пользователей он от туда брал и пропускал нужных в инет, т.е. фактически сделать из него проксю и интеграцией в AD?
Покапался в инете, ничего толкового не нашел, возможно просто пропустил. Если кто то такое уже делал, прошу поделиться опытом, дайте ссылку на тему, где это можно прочитать.
Большое спасибо.

Автор: ghost298
Дата сообщения: 16.04.2010 09:59

Вот создал небольшой подробный мануальчик для доступа к mikrotik из вне с динамическим IP адресом. С картинками и примерами. Надеюсь кому нибудь пригодиться.
DynDNS в Mikrotik

Или можно почитать здесь Ссылка

Автор: vlh
Дата сообщения: 16.04.2010 11:29

подскажите как пометит пакеты в бридже?
Use IP Firewall включен...
пробую в Mangle так:

Код: add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
ftp in-interface=wan-2 new-packet-mark=ftp_down \
passthrough=yes
add action=mark-packet chain=forward comment="" disabled=no in-interface=\
ether-1 new-packet-mark=ftp_upl passthrough=yes src-address-list=\
ftp

Автор: Chupaka
Дата сообщения: 16.04.2010 12:24

vlh
а бридж-то где?

если wan-2 и ether-1 - его порты, то надо использовать in-bridge-port вместо in-interface

Автор: vlh
Дата сообщения: 16.04.2010 12:49

Chupaka
спасибо попробовал, пока не могу ни чего сказать так как ни кто ни чего не качает,
потом проверю...
а вот как пометить все пакеты которые не попадают под IP из address-list?

Код: add action=mark-packet chain=forward comment="" disabled=no !dst-address-list=\
ftp in-Bridge-Port=wan-2 new-packet-mark=other_down \
passthrough=yes
add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
ether-1 new-packet-mark=other_upl passthrough=yes !src-address-list=\
ftp

Автор: Chupaka
Дата сообщения: 16.04.2010 12:53

vlh
dst-address-list=!ftp

Автор: vlh
Дата сообщения: 16.04.2010 13:19

Chupaka
не понял...
в смысле надо только dst-address-list=!ftp
а src-address-list=!ftp не надо?
сейчас начали качать с IP который попадает под address-list и правило срабатывает
так же сделал эти правила вторыми в списки Mangle:

Код: add action=mark-packet chain=forward comment="" disabled=no !dst-address-list=\
ftp in-Bridge-Port=wan-2 new-packet-mark=other_down \
passthrough=yes
add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
ether-1 new-packet-mark=other_upl passthrough=yes !src-address-list=\
ftp

Автор: Chupaka
Дата сообщения: 16.04.2010 13:33

vlh
эти правила нельзя добавить. нет такого параметра - "!dst-address-list"

если указано dst-address-list=something, то правило ловит пакеты, предназначенные кому-либо в адрес-листе. если dst-address-list=!something - то пакеты, предназначенные тому, кого в адрес-листе нет. всё просто. дальше - по обстоятельствам

Автор: vlh
Дата сообщения: 16.04.2010 14:01

что то я не понимаю...
хорошо, задам по другому вопрос:
метим пакеты для FTP:

Код: add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
ftp in-Bridge-Port=wan-2 new-packet-mark=ftp_down \
passthrough=yes
add action=mark-packet chain=forward comment="" disabled=no in-Bridge-Port=\
ether-1 new-packet-mark=ftp_upl passthrough=yes src-address-list=\
ftp

Автор: Chupaka
Дата сообщения: 16.04.2010 15:39

Цитата:

а разве оно не трактуется как

Код: [admin@MikroTik] /ip firewall filter> ad !dst-address-list=preved
expected end of command (line 1 column 4)

Автор: vlh
Дата сообщения: 16.04.2010 19:25

Chupaka

Цитата:

[admin@MikroTik] /ip firewall filter> ad !dst-address-list=preved
expected end of command (line 1 column 4)

не я конечно понимаю, что Вы могли подумать
что я совсем уж ни как... но не до такой же степени....

я почти всю голову себе сломал

я в роде в предыдущих примерах так и писал...
спасибо за ответ...

Автор: Vedmich
Дата сообщения: 17.04.2010 08:48

Chupaka добрый день, созрел вопрос такого характера:
- есть ARP-List примерно состоящий из 300 пользователей, можно ли как-то экспортировать этот список (команда export не отработала почему-то), и использую полченные данные используя скрипт создать правила для firewall где будет фильтрация IP+MAC.
За ранее спасибо.

Автор: ShokoAsahara
Дата сообщения: 18.04.2010 13:12

Я настроил ВПН. Пользователи подключаются, сидят в интернете. Но как мне сделать, что бы появлялись у них предупреждения об оплате интернета ? Выкидывало на страницу например каждые 5 или 10 минут ??

Автор: vlh
Дата сообщения: 18.04.2010 16:59

будет ли работать такая схема для приоритета трафика,
пакеты вроде попадают, но не уверен что это правильно:

Код: /queue type
add kind=pcq name=Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
add kind=pcq name=Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000

Автор: Chupaka
Дата сообщения: 18.04.2010 19:38

vlh
как намекает мануал,
Цитата:

priority (1..8) : Prioritize one child queue over other child queue. Does not work on parent queues (if queue has at least one child). One is the highest, eight is the lowest priority. Child queue with higher priority will have chance to reach its limit-at before child with lower priority and after that child queue with higher priority will have chance to reach its max-limit before child with lower priority. Priority have nothing to do with bursts.

посколько везде limit-at и max-limit выставлены в ноль, priority здесь нечего делать

Vedmich
экспорт не отработал? прикольно... а что говорит?

правила - можно как-то так попробовать:

Код:
/ip arp
:foreach i in=[find !dynamic] do=[/ip firewall filter add <bla-bla-bla> src-mac-address=[get $i mac-address] src-address=[get $i address]]

Автор: vlh
Дата сообщения: 18.04.2010 21:42

Chupaka

Цитата:

посколько везде limit-at и max-limit выставлены в ноль, priority здесь нечего делать

понятно что пока мне не побороть это...
тогда наверное пока сделаю шейпер на всех...
то есть метим все пакеты которые проходят через wlan-2 и ether-1
далее создаем тип с rate=0 то есть вся полоса будет делится поровну:

Код: /queue type
add kind=pcq name=Download pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
add kind=pcq name=Upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000

Автор: Chupaka
Дата сообщения: 18.04.2010 22:15

Цитата:

правильно ли будет параметр parent=wlan-2 в том плане что если шейпим через NAT то там выставляем globl-out а здесь надо указывать интерфейс?

очереди интерфейса (смотрим Packet Flow в шапке) работают с уже натированными пакетами, поэтому в ней нельзя различить адреса пользователей

Добавлено:
это к вопросу использования PCQ

Автор: vlh
Дата сообщения: 19.04.2010 20:50

Chupaka

Цитата:

очереди интерфейса (смотрим Packet Flow в шапке) работают с уже натированными пакетами, поэтому в ней нельзя различить адреса пользователей

а если у меня нет NAT?
тогда нужно указывать интерфейсы, а не globl-out?

Автор: Chupaka
Дата сообщения: 19.04.2010 21:10

vlh
я вообще предпочитаю только global использовать - так понятнее, что и где происходит

Автор: kuzyara
Дата сообщения: 20.04.2010 15:28

здравствуйте! знакомлюсь с микротиком, очень привлек постыми настройками динамического шейпера.

Хочется узнать можно ли делать графики скоростей не только всего канала, но и каждого пользователя(небольшой пионерлан).
На эту тему слышал только по верхушкам, есть конкретный пример? а под abills?

Буду благодарен за ссыль.

Автор: GawkV
Дата сообщения: 20.04.2010 16:09

что значит график скорости?
статистика по пользователю?

Автор: besoff
Дата сообщения: 22.04.2010 02:21

А как ограничить количество сессий создаваемое каждым юзвером в сети, с помощью огне стенки в микротике?

Автор: Chupaka
Дата сообщения: 22.04.2010 02:57

Цитата:

как ограничить количество сессий создаваемое каждым юзвером в сети

параметр connection-limit. действует, к сожалению, только на tcp-сессии

Автор: besoff
Дата сообщения: 22.04.2010 10:20

Спасибо, понял(((

Автор: uraso
Дата сообщения: 22.04.2010 10:24

Привет всем.
Большая просьба помочь в настройке сети.
У меня такая ситуация : микротик RB750G . Выход в нет через PPoE.
Порт 1 -WAN в нет
Порт 2 -Lan - к нему подключена ТД NANO2 - на раздачу интернета
Порт3- Lan - к нему подключены домашние компютеры 3шт, с открытыми папками ....

Задача такая - чтоб те пользователи, кто получает нет из порта 2 получали только интернет
а доступа к домашней сети, (порту 3) не имели. А я мог из со своего компа, порта 3 зайти допустим на ту же точку доступа и проверить ее работу... Желательно чтоб оба интерфейса были в одной подсети....

» MikroTik RouterOS (часть 2)