Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» MikroTik RouterOS (часть 3)

Автор: aleksvolgin
Дата сообщения: 18.10.2010 17:58

Цитата:
Но вот с ether2-5 никак...
- правильно, потому, что машинко не знает куда роутить эти пакеты

Цитата:
Было так - просто поднимал свободу и всё сразу доступно включая ресурсы.
- и у меня так-же, если положить впн интерфейс локалки, но извините тогда у меня входящая скорость с torrents.ufanet.ru (и других локальных ресурсов) не 10 МБит, а входящая по тарифу, что ессно меня не устраивает.
Автор: OleSt
Дата сообщения: 18.10.2010 18:01
Хм. Ладно, будем ещё думать
Автор: aleksvolgin
Дата сообщения: 18.10.2010 18:16

Цитата:
будем ещё думать
- вы схемку сперва нарисуйте что куда откуда, она вам шибко поможет
Удачи.
Автор: vlh
Дата сообщения: 18.10.2010 18:21

Цитата:
так там же passthrough=no в 14-м...

да мало того, я его 14 даже пробовал отключать,
все равно под правило 7 которое поставлено после него
ни чего не попадает...возвращаю на свое место то есть после 6
опять пакеты попадают...
бред какой то...
Автор: Chupaka
Дата сообщения: 18.10.2010 19:39
vlh
не надо ограничиваться двумя позициями. камасутра учит, что его надо ставить после каждого - и смотреть, после какого работать перестаёт. значит, предыдущее перехватывает пакеты. ждём результатов
Автор: vlh
Дата сообщения: 18.10.2010 21:14
Chupaka
ты прав, мне уже помогли, но все оказалось настолько просто,
ведь предыдущее правило ловит пакеты для TCP вот оно и ловит
мой на TCP 80... крыша уже едет от всего

смотри есть еще вопросик, мне в queue tree нужно периодически
менять некоторые значения нескольких правил например max-limit
и limit-at и естественно в ручную не очень хочется...
хочется сделать какой нибудь список который потом копировать в терминал
что бы он записывал новые правила с новыми значениями...
но так как через терминал нельзя вбить правило которое уже есть
то наверное надо как то удалять которое есть а потом записать новое
с новым значением...
подскажи как это реализовать...
Автор: Chupaka
Дата сообщения: 19.10.2010 02:37
vlh
а не проще уже существующее правило менять?
/queue tree set blablabla max-limit=новый_лимит

потом это в скрипты, а скрипты - в scheduler
Автор: chert90
Дата сообщения: 19.10.2010 09:54
Подскажите mikrotik поддерживает шифровнаие aes. Надо wifi wpa2ccmp. сейчас мт 3.30 x86 wpa2-psk.
Автор: vlh
Дата сообщения: 19.10.2010 09:58
Chupaka
спасибчик...
странно не все правила так можно поменять...
вот например название toorent_client_in принимает,
а вот если хочу поменять правило с названием 1024InUnl
то выделяет символ "I" красным не пойму в чем дело...

P.S.
разобрался, надо название поменять....
Автор: excentro
Дата сообщения: 19.10.2010 11:08
Не могу заставить openvpn на микротике 750G выдавать клиенту default route. Я так понимаю микротик такого не умеет. Как на стороне клиента прописать что бы шлюзом ставал микротик?
Автор: vlary
Дата сообщения: 19.10.2010 11:11
vlh А потому как правила могут иметь цифровые номера или буквенные названия. Поскольку 1024InUnl начинается с цифирей, mikrotik рассматривает его как номер, и буква I в этот контекст не вписывается. Название I1024InUnl - пойдет.
Автор: Chupaka
Дата сообщения: 19.10.2010 11:29

Цитата:
mikrotik поддерживает шифровнаие aes. Надо wifi wpa2ccmp

идём в Wireless - Security Profiles, находим там всё, что нужно


Цитата:
разобрался, надо название поменять....

возможно, было бы достаточно название взять в кавычки

Автор: besoff
Дата сообщения: 19.10.2010 13:01
Доброго времени суток всем, не могли бы вы мне подсказать во что:

У меня есть два канала один дешевый, но не качественный, а другой качественный (его мало) но жуть какой дорогой

Не могли бы вы подсказать как с помощью маркирования пакетов или перенаправленный их, разделить трафик торрента и всего р2р на дешевый канал , а игрушки и все остальное на другой буду вам очень признателен.

Нет получаю по шлюзу с обоих каналов

Чупака вариант с портами не получился((((



Заранее вам огромное спасибо, Я думаю этот вопрос будет много кому интересен!

Спасибо!


Сильно не пинать)
Автор: Chupaka
Дата сообщения: 19.10.2010 13:07

Цитата:
Чупака вариант с портами не получился((((

что ещё за вариант с портами?
Автор: besoff
Дата сообщения: 19.10.2010 13:30
Я у Вас консультировался по этому вопросу в аське Вы мне посоветовали реализовать данную задачу при помощи пере направления портов.
Автор: Chupaka
Дата сообщения: 19.10.2010 14:31
besoff
выбор канала на основе портов? это единственный метод. а что именно было сделано и что не получилось?
Автор: besoff
Дата сообщения: 19.10.2010 14:57

Как я сделал:

Код
/ip firewall mangle> print
....
4;;; http https
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
dst-port=80,8080,443,3128,8008,8090
5;;; mail TCP
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
dst-port=21,25,57,109,110,143,220,587,995,20
6;;; mail UDP
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=udp
dst-port=21,25,57,109,110,143,220,587,995,20
7;;; ICQ
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp dst-port=5190
....

И тд по списку…

Код
ip route print detail
0 A S dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.XXX interface=1_channel gateway-state=reachable distance=1 scope=255
target-scope=10 routing-mark=marked

1 A S dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.XXX interface=2_channel gateway-state=reachable distance=1 scope=255
target-scope=10

Веб, аська, почта работают через 1ый канал, как и хотелось бы, однако игры (пробовал CS, Garena, Warcraft) отказываются работать.
Также не получается пустить по нормальному каналу icmp.
Для игр пытался делать следующие правила в mangle:

Код
9;;; CS routing udp
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=udp
dst-port=27000-27200,7001,7002,6003,19000,19001
10;;; CS routing tcp
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
dst-port=27000-27200,7001,7002,6003,19000,19001
13;;; garena routing udp
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=udp
dst-port=1513,1514,8688,7456,6112-6119,4000,6200
14;;; garena routing tcp
chain=prerouting action=mark-routing new-routing-mark=marked passthrough=no protocol=tcp
dst-port=1513,1514,8688,7456,6112-6119,4000,6200
Автор: Chupaka
Дата сообщения: 19.10.2010 15:40
besoff
да, так и надо. что значит "отказываются работать"? правила пакеты считают?
Автор: besoff
Дата сообщения: 19.10.2010 15:49
Да просто за http трафиком идет вместе и торент, при переставлении http трафика на разные каналы за ним вместе переставляется и торент
Автор: Chupaka
Дата сообщения: 19.10.2010 16:01
besoff
ну, обычно торрент по пятизначным портам работает. в любом случае: выбирать, куда направить соединение, нужно до того, как оно будет установлено. это значит - до того, как по нему пойдут данные. поэтому содержимое пакетов особо-то и не проанализируешь
Автор: besoff
Дата сообщения: 19.10.2010 16:06
А при закрытом 5 значном порте куда щимится трафик

Добавлено:
Я так понял что все данные торента идут через 80 порт?

Добавлено:
Помогите дельным советом
Автор: yoght
Дата сообщения: 19.10.2010 20:41
Здравствуйте. Вопрос:
У меня два провайдера - оптика и АДСЛ (pppoe-opti и pppoe-vt).
Оба подключаются через pppoe.
как оптику сделать основным каналом, чтобы когда пинги не проходят через pppoe-opti, трафик маршрутился через pppoe-vt, и когда пинги через pppoe-opti снова ходят нормально, трафик возвращался на pppoe-opti
Автор: Chupaka
Дата сообщения: 19.10.2010 21:04
besoff
чтобы закрыть торренты и другие скайпы на 80 порту - надо использовать прокси

yoght
http://wiki.mikrotik.com/wiki/Advanced_Routing_Failover_without_Scripting
Автор: besoff
Дата сообщения: 19.10.2010 22:42
А немоглибы немного по понятнее... а то маны это хороше, но понимать схему реализации задачи это немного другое...

Поясните немного поподробней
Буду весьма признателен...
Сильно не пинайте)


Добавлено:

Цитата:
besoff
да, так и надо. что значит "отказываются работать"? правила пакеты считают?


Все щитает но к примеру клиент гарены при таком варианте не хочет конектица
Автор: Chupaka
Дата сообщения: 20.10.2010 06:15
besoff
поподробнее: по ману настраиваем Transparent Proxy, после этого через 80 порт смогут ходить только HTTP-запросы. все левые программы, которые туда щемятся, пойдут лесом


Цитата:
Все щитает но к примеру клиент гарены при таком варианте не хочет конектица

Tools -> Torch в руки - и смотреть, какой порт ещё забыт, или что там вообще происходит в этот момент
Автор: chert90
Дата сообщения: 20.10.2010 08:17
МТ 3.30(PС) есть 3 интерфейса. 2 лан и 1 влан. Через 1-ый лан провайдер раздаёт инет+ип тв. Настроен бридж: инет бегает как на лан так и на вайфай, Но как только по фай вай ИЛИ лану начинаешь смотреть ИП тв. Всё гибнет (вайфай дисконект от роутера) ))). как это побороть? Заранее спасибо.
Автор: grinch
Дата сообщения: 20.10.2010 12:33
Прошу помочь с такой проблемой. Имеется МикроТик 3.20, настроены simple queue на пользователей, внешний канал 200мбит. Периодически получается что при отведенных клиенту напр. 10мбит он получает только 6-7 мбит при том что канал занят только процентов на 70-75. Что интересно, если скорость поставить 7 мбит, то клиент получает не больше 5, если 15мбит, то не больше 10. Загрузка процессора при этом не превышает 30%. В какую сторону копать?
Автор: Chupaka
Дата сообщения: 20.10.2010 15:22
grinch
для начала - в сторону длины очередей
Автор: Mikro4ip
Дата сообщения: 20.10.2010 17:03
Chupaka

а где смотреть длину очередей, если честно я раньше с таким вопросом не сталкивался.
Автор: Chupaka
Дата сообщения: 20.10.2010 17:11
Mikro4ip
Queue -> Types

Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798

Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.