» MikroTik RouterOS (часть 3)

Цитата:

Chupaka
поскольку passthrough везде "no" - то как только доходим до сработавшего правила, дальнейшая обработка правил прекращается

ну да, букаф довига, только ответа так и не увидел...
это понятно что стоит passthrough=no и дальше обработка прекращается,
тогда почему при таком раскладе пакеты из правил 8,9,10,11 попадают
под дальнейшую маркировку правил 12,14,16,18,20 ??????
passthrough срабатывает только на исходящие правила 13,15,17,19,21,
ставим Да пакеты попадают, ставим НЕТ пакеты не попадают...

Разжился wifi картой CNWL-311 http://www.cnet.com.tw/product/cnwl-311.htm Аппаратно сделана на чипе RaLink RT-2460. В списке поддерживаемого оборудования её, разумеется нет. Но микрот (3.30 level 6) в списке устройств её корректно отображает, но какие пакеты для wifi не ставил ничего не запело, в разделе "беспроводные интерфейсы" она не появляется. Где копать?

Цитата:

почему при таком раскладе пакеты из правил 8,9,10,11 попадают
под дальнейшую маркировку правил 12,14,16,18,20 ??????

т.е. пакет с src-address-list=07.Unlimit-1024 попадает ещё и под правило с in-interface=pppoe-1, где pppoe-1 - канал в Интернет? не должно такого быть. а где это видно, что они попадают?..

aleksvolgin
список устройств, строго говоря, ни о чём не говорит. нужен драйвер. а его на RaLink RT-2460, значит, нет. можно, конечно, попробовать версию v5 - но вряд ли. ещё вариант - сделать supout.rif и отослать разработчикам - вдруг смогут добавить поддержку

Вопрос к гуру.
PPPoE через маршрутизатор не проходит, это понятно.
Тащить VLAN через маршрутизаторы? Или есть другой путь зарулить на PPPoE с другой сети?

Цитата:

Тащить VLAN через маршрутизаторы? Или есть другой путь зарулить на PPPoE с другой сети?

в любом случае, PPPoE не является IP-трафиком, поэтому маршрутизировать его нельзя. надо создавать тоннель, который пробросит трафик второго уровня до сервера

Цитата:

надо создавать тоннель, который пробросит трафик второго уровня до сервера

А какой туннель чтоб на том конце ничего не ставить? С того конца клиент с виндой.

Sergey Sosnovsky
туннель между маршрутизаторами, которые "мешают" прохождению пппое-трафика

Chupaka
с маркировкой пакетов помогли разобраться, теперь все понятно
где и как метить...
есть вопрос про PCQ, а именно по его работе...
два примера:
1. например есть внешний канал в 4М и есть 3 пользователя которым
ограничена скорость в 2М, когда работают 2 пользователя и грузят
весь канал согласно своим ограничениям в 2М, то тут понятно и так же
понятно если будут работать 3 пользователя, они 4М поделят поровну,
теоретически... по 1.33М...
2. та же ситуация но у третьего пользователя ограничение в 1М,
то есть когда работают двое по 2М - понятно делят по полам,
а вот когда будет работать троя, как они будут делить весь канал?
я так понимаю в процентном соотношении по справедливости не поделят,
будет просто неразбериха в канале...кто первый захватил, тот и получит...
так?

vlh
а как в одной PCQ-очереди сделать пользователей с разными ограничениями? а если это несколько очередей - то тут всё зависит только от limit-at, max-limit и priority, PCQ делит полосу поровну только внутри каждой очереди

Chupaka


Цитата:

зачем на один интерфейс вешать несколько подсетей? не верю, что они несмежные %)

нет ты не понял, на этом микроте вообще нет подсетей клиентов, клиенты разруливаются совсем на других роутерах, этот микрот просто вставлен между моей сетью, и интернетом глобальным, то есть как бы в разрыв, как раз для того что ограничивать клиентов, именно по этому на нем не надо разделять трафик на паблик и локал, потому что локала там уже нет, на этот микрот сваливается уже чистый паблик.

vlh

вопрос, так просто ради любопытства, а зачем такие сложности, менять ttl, mss,? делать приоритет TCP над UDP? в плане UDP, его в таком случае проще вообще было отфильтровать, закрыть фаирволом.

Цитата:

Здравствуйте!
Имеется железный микротик 5 портов, лицензия level 4. Модель не помню (корпус металл, бп внешний).
2 дня назад возникла проблема, с которой, не могу справится по сей день.
Микротик блокирует некоторые сайты. qip.ru statoil.ru htmlbook.ru
Ничего общего между сайтами я не нашел. Правил блокирующих хттп нет.
Сеть 192.168.0.0/24. На клиентах шлюз и днс прописан микротик.
Саты пингуются, т.е. днс резолвится.
Если убрать микротик из связки провайдер - клиент, сайты открываются.
1) Пробовал отключать все фильтрующие правила, не помогло.
2) Создавал на свободном интерфейсе новую подсеть, блокировок не было, все открывалось.
Прошу помощи в разрешении вопроса. Все необходимые данные предоставлю.

Попробуй поменять WAN порт с первого на любой другой. На первом порту MTU отличается от всех остальных портов на микротике. Я поменял - косяки с доступом на некоторые сайты отвалились сами собой без всяких шаманств с Change TCP MSS.

Тогда так: можно взять Cisco 350 (только карта) и D-Link DWL-G520 за 300 и 150 руб. соответственно, д-линк официально поддерживается, а с киской что-то не очень ясно, вроде поддержка есть, но здесь она не указана http://wiki.mikrotik.com/wiki/Supported_Hardware#802.11a.2Fb.2Fg_wireless_cards Посоветуйте.

Chupaka
спасибо, понял...
разбирался с маркировкой пакетов и с помощью других вроде
все стало ясно как белый свет, но не тут то было, а именно
следуя тому как движется пакет в Микротике получается что
то что мне рассказали не является правдой...
движение пакета - клиент из локальной сети запрашивает например страничку
ya.ru пакет от клиента попадает в прероутинг, там мы его метим на какой
внешний интерфейс его направить (так как у нас их два), ставим passthrough=yes

Код: add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=yes src-address-list=10.Unlimit-4096

Добрый день всем! Наверное глупейший вопрос, но я пока очень плохо в этом разбираюсь

Есть провайдер. Внешка l2tp, wan (ether1), комп (ether2)

С внешкой всё впорядке (настроил) но -
10.0.0.0/8 - это локальные ресурсы провайдера

Взять к примеру адрес - 10.2.88.20. Отлично пингуется из winbox с интерфейсов l2tp-out1 и ether1. Но ни в какую не хочет с ether2 и компа.

Мне стыдно, но я уже второй день сижу, создавал разные правила firewall. Всё впустую. Потому что я не понимаю сути проблемы. Помогите пожалуйста

ip route print

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 92.50.165.35 1
1 ADS 10.0.0.0/8 10.170.100.1 0
2 ADC 10.170.100.0/24 10.170.100.53 ether1 0
3 ADC 92.50.165.35/32 81.30.211.245 l2tp-out1 0
4 ADC 192.168.88.0/24 192.168.88.1 ether2 0

ip firewall filter print

0 ;;; Added by webbox
chain=input action=accept protocol=icmp

1 ;;; Added by webbox
chain=input action=accept connection-state=established
in-interface=l2tp-out1

2 ;;; Added by webbox
chain=input action=drop in-interface=l2tp-out1

3 ;;; Added by webbox
chain=forward action=jump jump-target=customer
in-interface=l2tp-out1

4 ;;; Added by webbox
chain=customer action=accept connection-state=established

5 ;;; Added by webbox
chain=customer action=accept connection-state=related

6 ;;; Added by webbox
chain=customer action=drop

ip firewall nat print

0 ;;; Added by webbox
chain=srcnat action=masquerade out-interface=l2tp-out1

1 chain=dstnat action=accept protocol=tcp dst-address=10.170.100.53

OleSt
а если на компьютере поднять авторизацию, то все нормально?

Ммм... имеете ввиду кабель напрямую? Да, всё нормально

P.S. Еще одни локальные ресурсы: 79.140.16.0/20 - всё тоже самое что и с 10.0.0.0/8

OleSt
локальная сеть с какими IP?
не вижу в NAT ее настройки...

Цитата:

у вас NAT на мтике?

Да. На компе чисто. железка rb450g

Хм. В нате настроек локалки нет. Я делал через webbox по умолчанию. Адреса для локалки раздает микротик. dhcp 192.168.88.0/24

не увидел, выше сообщение отредактировал...

Добавлено:

Код: chain=srcnat action=masquerade out-interface=l2tp-out1 src-address= ваша сеть

Цитата:

1 chain=dstnat action=accept protocol=tcp dst-address=10.170.100.53

Убрал Это webbox создал.

Цитата:

src-address= ваша сеть

тут пусто. поставил свою подсеть, ничего не изменилось


Добавлено:
Для прямого подключения к компу, провайдер рекомендует делать:
set LocalGateway=10.170.100.1
route -p add 10.0.0.0 mask 255.0.0.0 %LocalGateway% metric 1

но микротик сам прописал:

Цитата:

1 ADS 10.0.0.0/8 10.170.100.1 0

на прямом подключении это работает, через микротик нет... ерунда какая-то

OleSt
NAT на свою сеть обязательно оставьте...
а вот на подключении к провайдеру стоит у вас -
Use Peer DNS
Add Default Route

Цитата:

NAT на свою сеть

Ага. Спасибо


Цитата:

Add Default Route

Это стоит.

Цитата:

Use Peer DNS

- это не нашел в L2TP

2 OleSt
а что здесь вопросы по настройке тика не задаёте http://forum.ufanet.ru/forumdisplay.php?f=100 Там тоже знающие люди есть

Цитата:

а что здесь вопросы по настройке тика не задаёте

Я там смотрел в первую очередь. Не найдя ни одного поста по настройке, решил что люди не пользуются А так да, там есть грамотные.

OleSt
вы я так понимаю путем не настраивали микротик,
а оставили базовую настройку с которой он поставляется...
тогда рисуйте подробную схему своей сети...
и выкладывайте сюда конфиги firewall mangl, firewall nat, interface,
dns, ip routes, ip address...

Почему не пользуются? Пользуются: http://forum.ufanet.ru/showpost.php?p=163874&postcount=3 ветку создал я, а вот лабать пошаговую инструкцию, действительно не для кого. Те кто микротом пользуются и сами с усами

Добавлено:

Цитата:

Почему не пользуются? Пользуются

aleksvolgin Да, я читал ваши посты перед покупкой Я вам написал в личку на уфанет.

Цитата:

Но локальные ресурсы провайдера доступны только с интерфейсов l2tp-out1_ufanet и ether1

- у вас для доступа к локалке отдельно нужно vpn-линк поднимать или у вас локал без vpn?

Отвечаю на ваш вопрос: разумеется да. Но у меня схема такая: один впн линк (рртр) для внешки, другой впн линк для локалки, проще говоря локал без впн нам ещё не сделали (как и l2tp). Ну и разумеется таблица роутинга для доступа к локальным ресурсам.

Честно говоря мне торрент и ретрекер нужен. Локал без vpn есть. При прямом подключении кабеля ретрекер работает. Он и с микротика пингуется. Но вот с ether2-5 никак...

PS. Было так - просто поднимал свободу и всё сразу доступно включая ресурсы.

Цитата:

я правило 7 перемещаю после правила 14 и если пакет движется так как я описал то он должен все равно попасть под это правило, но он перестает
попадать

так там же passthrough=no в 14-м...