» MikroTik RouterOS (часть 2)

muk as
надо делать балансировку между тремя "виртуальными" каналами по 10 Мбит

Light_AS
не то, чтобы избыточны... уж как-то почти всё легальное разрешают )))

flexman
если пакеты не метятся - то смотреть, такие ли порты используются, что ли...

Diza

Цитата:

но он все вланы в итоге один

эммм?..

а в целом - что с чем бриджевалось? конкретные конфиги обсуждать легче, чем абстрактные описания...

[ Chupaka ]

Что в твоем понятии виртуальными? можно привести конфиг правленый для того примера что на сайте?
ибо у меня белые ипшники, и прописать 2 раза один и тот же ипшник для 1 шлюза будет неверно.

muk as
насколько белые? О_о если у каждого юзера белые - то балансировать можно только исходящий, входящий будет валиться так, как в БГП прописано

а "виртуальные" - это значит, что балансируется три канала, только в двух из них шлюзом указывается один и тот же шлюз

белые от серва до провайдера, а юзеры по нату.

вот привожу пример конфига, следуя вашим указаниям, проверьте верно ли я понял вашу 2 фразу?


Код:
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2

/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn_1
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn_2
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn

add chain=output connection-mark=wlan1_conn_1 action=mark-routing new-routing-mark=to_wlan1_1
add chain=output connection-mark=wlan1_conn_2 action=mark-routing new-routing-mark=to_wlan1_2
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2

add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local

add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \
action=mark-connection new-connection-mark=wlan1_conn_1 passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \
action=mark-connection new-connection-mark=wlan1_conn_2 passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \
action=mark-connection new-connection-mark=wlan2_conn passthrough=yes

add chain=prerouting connection-mark=wlan1_conn_1 in-interface=Local action=mark-routing new-routing-mark=to_wlan1_1
add chain=prerouting connection-mark=wlan1_conn_2 in-interface=Local action=mark-routing new-routing-mark=to_wlan1_2
add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1_1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1_2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=3 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan2 action=masquerade

muk as
да, как-то перестарался я с описанием %)

достаточно просто увеличить число PCC-правил до трёх, как и сделано, только убрать префиксы _1 и _2 =) т.е. два правила ловят wan1, одно - wan2. соответственно, wan1 получает в два раза больше запросов

и контрольный конф), так сказать добить, значит поидее все проще, необходимо лишь добавить одно правило и все то?
( PCC для балансировки каналов с различной пропускной спобностью )
пример для wlan1=20mbit wlan2=10mbit
отличия от данного примера http://wiki.mikrotik.com/wiki/Manual:PCC выделены жирным


Код:
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2

/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn

add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2

add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local

add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \
action=mark-connection new-connection-mark=wlan2_conn passthrough=yes

add chain=prerouting connection-mark=wlan1_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan1
add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan2 action=masquerade

muk as
да, именно так =)

Есть впн сервер на microtik из интернета я к нему подключаюсь но получается только то что весь трафик идет через сервер где mikrotik
а надо чтобы клиент подключившийся из интернета имел доступ к локалке и наобарот локалка к клиенту
Что нужно менять

prejevalski
есть подозрение, что надо снять галочку "Использовать шлюз по умолчанию в удалённой сети", а потом в скрипт при подключении дописать добавление маршрута на локалку. к микротику это никакого отношения не имеет

Подскажите пожалуйста какое правило должно быть чтобы микротик не дропал EOIP тунель между офисами

prejevalski
как минимум надо разрешить протокол GRE. возможно, из TCP что-нибудь используется - Tools -> Torch в руки

Подскажите новичку:
Приобрел Routerboard 750G. Помогите сделать следующее:
Есть 2 канала интернет, 1- основной Укртелеком (ADSL), 2- VPN соединение с кабельным провайдером (заходит витая пара). Необходимо сделать failover, т.е. когда перестает работать ADSL включается резервный канал, а как только он поднимается переключение на него. В сети нашёл скрипты которые якобы делают эту процедуру, но не совсем уверен то ли это, что мне нужно:

/ip route
add dst-address=213.180.204.3/32 gateway=192.168.1.1 scope=10 target-scope=10
add dst-address=93.158.134.3/32 gateway=192.168.2.1 scope=10 target-scope=10
add gateway=213.180.204.3 routing-mark=ISP1 scope=30 target-scope=30 check-gateway=ping
add gateway=93.158.134.3 routing-mark=ISP2 scope=30 target-scope=30 check-gateway=ping
add distance=10 gateway=93.158.134.3 routing-mark=ISP1 scope=30 target-scope=30 check-gateway=ping
add distance=10 gateway=213.180.204.3 routing-mark=ISP2 scope=30 target-scope=30 check-gateway=ping

Это необходимо добавить в таблицу маршрутизации?

Спасибо за помощь.

fox96
хех, а если не секрет - где "в сети"? потому что авторство моё %)

для описанного случая подойдёт такая комбинация:


Код:
/ip route
add dst-address=213.180.204.3/32 gateway=192.168.1.1 scope=10 target-scope=10
add gateway=213.180.204.3 scope=30 target-scope=10 check-gateway=ping
add gateway=VPN2 distance=10

Chupaka
Спасибо, как попробую отпишусь. Надеюсь на вашу помощь, если не разберусь.
ЗЫ.На форуме микротика, если не ошибаюсь.

Цитата:

и контрольный конф), так сказать добить, значит поидее все проще, необходимо лишь добавить одно правило и все то?
( PCC для балансировки каналов с различной пропускной спобностью )
пример для wlan1=20mbit wlan2=10mbit
отличия от данного примера http://wiki.mikrotik.com/wiki/Manual:PCC выделены жирным

Код:
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=10.111.0.2/24 network=10.111.0.0 broadcast=10.111.0.255 interface=wlan1
add address=10.112.0.2/24 network=10.112.0.0 broadcast=10.112.0.255 interface=wlan2

/ ip firewall mangle
add chain=input in-interface=wlan1 action=mark-connection new-connection-mark=wlan1_conn
add chain=input in-interface=wlan2 action=mark-connection new-connection-mark=wlan2_conn

add chain=output connection-mark=wlan1_conn action=mark-routing new-routing-mark=to_wlan1
add chain=output connection-mark=wlan2_conn action=mark-routing new-routing-mark=to_wlan2

add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local

add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/0 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/1 \
action=mark-connection new-connection-mark=wlan1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=Local per-connection-classifier=both-addresses:3/2 \
action=mark-connection new-connection-mark=wlan2_conn passthrough=yes

add chain=prerouting connection-mark=wlan1_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan1
add chain=prerouting connection-mark=wlan2_conn in-interface=Local action=mark-routing new-routing-mark=to_wlan2

/ ip route
add dst-address=0.0.0.0/0 gateway=10.111.0.1 routing-mark=to_wlan1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 routing-mark=to_wlan2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.111.0.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.112.0.1 distance=2 check-gateway=ping

/ ip firewall nat
add chain=srcnat out-interface=wlan1 action=masquerade
add chain=srcnat out-interface=wlan2 action=masquerade

muk as
не понимаю, почему по примеру вики both-addresses работает. вся фишка в том, что на вышеназванных ресурсах адрес сервера может меняться (или серверов несколько), и следующий запрос может идти по другому каналу (натируясь на другой адрес), поэтому сервером отвергается. выход - либо тотальный src-addresses, либо пытаться выделять такие "проблемные" ресурсы, и их обрабатывать по src-addresses, а всё остальное - по both-addresses

следующий запрос, если идет на другой серв и натится на другой канал, то в этом случае должна вылезти, например, с контакта - страница авторизации, а в аське, например, реконнект. хотя такого не замечал в викишном конфиг-примере, но такое - да, есть некая вероятность, что произойдет.

Но первый то раз мы же можем зайти - как на первую страница контакта, так и в первый раз в аську.
И вот пример в вики это позволяет делать это, а вышепреведенный измененный конфиг - нет. даже впервый раз не пускает! (. т.е. не пускает на ресурсы вообще, даже в первый раз! (при чем пробовал и роутер(микротик) перезагружать и комп(нат клиент инета) и входить так сказать с чистого листа - и все равно - фиг)

сорри.

в какую сторону смотреть уже и не знаю
в фаерволе мтика все правила выключены,
мтик 3.30 х86 172.25.1.242
вин 2003 172.25.1.200
вин хп 172.25.1.10
впн юзеры в мтике 172.16.0.0/24

подключаюсь по pptp к мтику из winxp - все хорошо инет стабильно работает сутками

создаю в вин 2003 (винда чистая только поставленная) в интерфейсах вызова по требованию pptp подключение, в статических маршрутах задаю маршрут с нулями, инет появляется все как надо работает но через какоето время (промежутки разные 5-20 мин) все отваливается перестает пинговаться как мтик так и все в инете, зато другие ресурсы в сети видны

что может быть такое

Привет всем, может кто-то сталкивался с такой проблемой: Ставлю Микротик 3.20, перегружаюсь и захожу с винбокса, далее в меню выбираю перезагрузку Микротика, и после перезагрузки комп пишет boot disc failure.

Народ подскажите какое правило можно накатать чтобы к портам 1-6 tcp было максимум 1 подключение остальное дропалось?

думаю как-то так:

add chain=поток protocol=tcp dst-port=1-6 connection-limit=1,32 action=drop

поток = input\output\forward - выбрать то надобности


Вопрос по DHCP-server(arp=static):
У клиента в одном девайсе есть 2 интерфейса (lan + wi-fi), возможно ли сделать что бы DHCP-server выдавал один и тот же ip на 2 разных mac ?

Цитата:

возможно ли сделать что бы DHCP-server выдавал один и тот же ip на 2 разных mac ?

возможно. но только если использовать RADIUS =) потому как встроенная база не позволяет создать две записи с одинаковым адресом

Не стандартная задача.... Можно ли сделать так, что бы пинги на МК версии 3,30 хаотично терялись.

пара вопросов:
1. При обновлении RО на RB с 4.5 на 4.9 если на нем включены
такие настройки как суперченел и Турбо G они не переключаются
на стандартные?
точка стоит далеко, очень не хочется потом нестись к ней и настраивать
заново...
2. Можно ли и если да то как ограничить количество ррс на клиента?

Вопрос по "кряканию" микротика:
в параметр id, скрипта ./keyrun, нужно вписывать software_id который выдаёт микротик? или что? если да , то нормально ли то, что генерация ключа составляет вот уже 18 часов а результата пока нет, параметры ПК 2,5 Ггц, 1 Гиг оперативного мозга.
Спасибо.

Demon

Цитата:

хаотично

курим параметр файрвола "random"

vlh
что такое ppc? pps? в файрволе "limit" попробовать. к сожалению, по аналогии с pcq (сразу на каждого пользователя одним правилом) - получится, видимо, только для аплоада ("dst-limit")

aserCBR
здесь это не обсуждается

помогите плиз немогу найти мануалы. раньше ставил микротик ломал генто сейчас хочу сделать еще один сервак но напроч забыл как взломать микротик и инструкций не сохранил. микротик 3,20. нужно сгенерировать ид до 6 лицензии но непомню как вообще это делать

Chupaka

Нормалек.... Работает... Сейчас мы устроим неплательщикам......

thx.
Подскажите ещё в одном вопросе плиз. Есть vpn сервер с пользователями и в Simple queue на каждого правило с ограничением скорости! В статистике правила есть сколько скачал пользователь.

можно ли как-нить сделать так что бы при достижении определённого кол-ва down или upload скорость уменьшалась до 0 или логин (vpn) вообще блокировался (disable).