Подскажите как правильно заставить в МТ 3.22 сайт КОНТАКТ ходить только по 1 интерфейсу (каналу), а то у меня после балансировки отказалось показывать Видео, Музыка в Контакте ну и на ексе ещё.
» MikroTik RouterOS (часть 3)
Цитата:
после балансировки
под словом "балансировка" можно подразумевать с десяток различных способов. поэтому не помешало бы объяснить, что было сделано для того, чтобы нарушить нормальную работу
Chupaka
помогай, буду разбираться с балансировкой PCC
начну с Policy routing первые правила понятны, метим
соединения в Input, а потом метим пакеты для роутинга в Output,
как бы понятно, дальше не понятно для чего эти правила:
Код: add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local
помогай, буду разбираться с балансировкой PCC
начну с Policy routing первые правила понятны, метим
соединения в Input, а потом метим пакеты для роутинга в Output,
как бы понятно, дальше не понятно для чего эти правила:
Код: add chain=prerouting dst-address=10.111.0.0/24 action=accept in-interface=Local
add chain=prerouting dst-address=10.112.0.0/24 action=accept in-interface=Local
Вопрос немного не в тему, но все таки....
Как заставить винду коннектится по pptp к микротику без шифрования?
В свойствах соединения, в безопасности выставляем не использовать шифрование. Все равно подключается с шифрованием. В профиле ppp на микротике запрешаем шифрование, да, теперь все ок, винда подключается без шифрования, но теперь не подключаются те клиенты, у которых шифрование явно не отключено. Т.е. в профиле на микротике шифрование все таки нужно включить, а на винде как-то выключить, т.к. я на подключенных абонентах у которых стоят маршрутизаторы или фря, шифрование не используется даже на профиле с шифрованием.
Как заставить винду коннектится по pptp к микротику без шифрования?
В свойствах соединения, в безопасности выставляем не использовать шифрование. Все равно подключается с шифрованием. В профиле ppp на микротике запрешаем шифрование, да, теперь все ок, винда подключается без шифрования, но теперь не подключаются те клиенты, у которых шифрование явно не отключено. Т.е. в профиле на микротике шифрование все таки нужно включить, а на винде как-то выключить, т.к. я на подключенных абонентах у которых стоят маршрутизаторы или фря, шифрование не используется даже на профиле с шифрованием.
понедельник... и я снова с вами. нннннепереключайтесь 
Цитата:
правильно - "пакетам, покидающим роутер" там подпись идёт под блоком с правилами, это фраза про output.
Цитата:
если есть разные подсети в локалке, и эти подсети ходят друг в друга через этот маршрутизатор, то правила accept нужны для того, чтобы не пометить роутинг этим пакетам. без ник, например, приходит пакет от 10.111.0.1 к 10.112.0.1. правила PCC метят ему роутинг через один из интернет-каналов - и отправляют к провайдеру, где он благополучно дропается. а если не метить - то по таблице main они уйдут на нужный интерфейс
Цитата:
эммм... так пакеты всегда ходят одинаково =) для проходящих насквозь пакетов (без всяких проксей и хотспотов) - что-то типа "Input Interface - Connection Tracking - Mangle Prerouting - Destination NAT - Global-In/Global-Total - TTL-=1 - Mangle Forward - Filter Forward - Accounting - Mangle Postrouting - Global-Out/Global-Total - Source NAT - Interface HTB - Output Interface"
Цитата:
у нас в профиле PPP стоит use-encryption=no, клиенты при дефолтовых настройках подключаются с шифрованием. если в винде поставить в Безопасности "Дополнительные настройки" и оставить только протокол MS-CHAP, то при подключении RouterOS показывает отсутствие шифрования, винда всё равно пишет MPPE128...
Цитата:
Then we will assign proper routing-mark to the packets leaving the router. (Затем мы присвоим надлежащую метку маршрутизации пакетам, оставляя маршрутизатор.)?
правильно - "пакетам, покидающим роутер"
там подпись идёт под блоком с правилами, это фраза про output. Цитата:
дальше не понятно для чего эти правила
если есть разные подсети в локалке, и эти подсети ходят друг в друга через этот маршрутизатор, то правила accept нужны для того, чтобы не пометить роутинг этим пакетам. без ник, например, приходит пакет от 10.111.0.1 к 10.112.0.1. правила PCC метят ему роутинг через один из интернет-каналов - и отправляют к провайдеру, где он благополучно дропается. а если не метить - то по таблице main они уйдут на нужный интерфейс
Цитата:
был бы тебе очень признателен если бы ты рассказал как при этой балансировки
движется пакет в Микротике...то есть вышел пакет от пользователя - зашел
в LAN Микротика попал в прероутинг и далее...
эммм... так пакеты всегда ходят одинаково =) для проходящих насквозь пакетов (без всяких проксей и хотспотов) - что-то типа "Input Interface - Connection Tracking - Mangle Prerouting - Destination NAT - Global-In/Global-Total - TTL-=1 - Mangle Forward - Filter Forward - Accounting - Mangle Postrouting - Global-Out/Global-Total - Source NAT - Interface HTB - Output Interface"
Цитата:
Как заставить винду коннектится по pptp к микротику без шифрования?
у нас в профиле PPP стоит use-encryption=no, клиенты при дефолтовых настройках подключаются с шифрованием. если в винде поставить в Безопасности "Дополнительные настройки" и оставить только протокол MS-CHAP, то при подключении RouterOS показывает отсутствие шифрования, винда всё равно пишет MPPE128...
Chupaka
Цитата:
специально проверил при use-encryption=no винда по умолчанию не коннектится, xp выдает ошибку - неверный тип шифрования данных
Цитата:
у нас в профиле PPP стоит use-encryption=no, клиенты при дефолтовых настройках подключаются с шифрованием. если в винде поставить в Безопасности "Дополнительные настройки" и оставить только протокол MS-CHAP, то при подключении RouterOS показывает отсутствие шифрования, винда всё равно пишет MPPE128...
специально проверил при use-encryption=no винда по умолчанию не коннектится, xp выдает ошибку - неверный тип шифрования данных
Здравствуйте!
Провайдер запустил IPTV, требуют купить DIR-100, создать VLAN 222, включить multicast и будет счастье. Можно ли обойтись без DIR-100 и настроить телевидение на Mikrotik 750G с 4.13? Подскажите пожалуйста, если можно, то как.
Попробовал так:
1. В Switch - VLAN. Создал правило для VLAN ID: 222 на порт WLAN (входящая линия).
2. В Interfaces - VLAN. Так же создал правило для 222 на порт WLAN. (по нему идет небольшой трафик)
3. В Routing - PIM - Interface. Сделал правило для all.
4. В Routing - PIM - RP. Создал правило на адрес моего интернет шлюза.
В результате в IGMP Groups появилось несколько групп.
5. В Routing - IGPM Proxy - Interface. Добавил правило на VLAN (upstream) и правило на all.
Ну и в результате моих несознательных действий ничего конечно не произошло
Провайдер запустил IPTV, требуют купить DIR-100, создать VLAN 222, включить multicast и будет счастье. Можно ли обойтись без DIR-100 и настроить телевидение на Mikrotik 750G с 4.13? Подскажите пожалуйста, если можно, то как.
Попробовал так:
1. В Switch - VLAN. Создал правило для VLAN ID: 222 на порт WLAN (входящая линия).
2. В Interfaces - VLAN. Так же создал правило для 222 на порт WLAN. (по нему идет небольшой трафик)
3. В Routing - PIM - Interface. Сделал правило для all.
4. В Routing - PIM - RP. Создал правило на адрес моего интернет шлюза.
В результате в IGMP Groups появилось несколько групп.
5. В Routing - IGPM Proxy - Interface. Добавил правило на VLAN (upstream) и правило на all.
Ну и в результате моих несознательных действий ничего конечно не произошло
Как настроить предотвращение атаки DHCP Snooping?
Цитата:
специально проверил при use-encryption=no винда по умолчанию не коннектится, xp выдает ошибку - неверный тип шифрования данных
у меня версия 3.28...
Код: /ppp profile
add change-tcp-mss=no comment="" dns-server=8.8.8.8,8.8.4.4 \
local-address=192.168.0.1 name=traff-users only-one=no use-compression=no \
use-encryption=no use-vj-compression=no
/interface pptp-server server
set authentication=mschap1,mschap2 default-profile=traff-users enabled=yes \
keepalive-timeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
а есть документация на русском языке?
Добавлено:
извиняюсь, сам нашел
может кому ещё понадобится
http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/
Добавлено:
извиняюсь, сам нашел
может кому ещё понадобится
http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/
Chupaka
спасибо, но пока нет времени с ней разбираться, потом тебя будем мучить
подскажи лучше ни как не пойму почему пакеты не попадают под правила...
решил переделать мангл, раньше работало так:
в прероутинге я метил пакеты для QoS, а в форварде метил для PСQ..
решил переделать на то что бы метить соединения а потом пакеты,
переделал прероутинг, все работает, потом переделал форварт работать перестало, то есть шейпер работает а под QoS ни чего не попадает, вот
кусок правила:
Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no
спасибо, но пока нет времени с ней разбираться, потом тебя будем мучить
подскажи лучше ни как не пойму почему пакеты не попадают под правила...
решил переделать мангл, раньше работало так:
в прероутинге я метил пакеты для QoS, а в форварде метил для PСQ..
решил переделать на то что бы метить соединения а потом пакеты,
переделал прероутинг, все работает, потом переделал форварт работать перестало, то есть шейпер работает а под QoS ни чего не попадает, вот
кусок правила:
Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no
Цитата:
http://notme.org.ua/manual-po-nastrojke-mikrotik-na-russkom-yazyke/
хм... глянул только мельком... это, случаем, не машинный перевод? фразы уж больно какие-то заумные:
Цитата:
Редирект
подобен стандартному dstnat, но работает как masquerade выполняет действие srcnat то
есть также как и masquerade при выполнении действия srcnat не указывается to-address IP
адрес исходящего интерфейса, в редиректе не указывается IP адрес входящего
интерфейса.
vlh
всё просто. переход на последовательную маркировку соединений, а потом пакетов - ошибка =) метка соединения только одна, и если её переопределять сначала в прероутинге, потом в форварде - то просто создаётся больше правил, а соответственно и больше нагрузка на роутер по их обработке. более того, как в данном случае, уже невозможна работа правил, основанных на метке возвращающихся пакетов - потому что метка уже была переопределена на другую в форварде, например
так что варианта два - либо не использовать маркировку соединений вообще, либо использовать только для одного из двух шагов шейпинга, при этом выкурить до просветления все предыдущие мои посты насчёт меток соединений/пакетов. если курить много влом, то основной тезис: ни в коем случае не надо маркировать содеинение для всех пакетов этого соединения. маркировка должна быть только для первого пакета
Chupaka
много буков
ничего не понял кроме как:
что так как у меня двойная маркировка (PCQ, QoS) то можно
для QoS в прероутинге промаркировать соединения и пакеты, а в форварде
для PCQ промаркировать только пакеты?
Цитата:
у меня что маркируются соединения для всех пакетов?
Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no
много буков
ничего не понял
кроме как: что так как у меня двойная маркировка (PCQ, QoS) то можно
для QoS в прероутинге промаркировать соединения и пакеты, а в форварде
для PCQ промаркировать только пакеты?
Цитата:
ни в коем случае не надо маркировать содеинение для всех пакетов этого соединения. маркировка должна быть только для первого пакета
у меня что маркируются соединения для всех пакетов?
Код: add action=mark-connection chain=prerouting comment="www unlimit" connection-bytes=0-500000 disabled=no dst-port=80 new-connection-mark=conn_www_unlimit passthrough=yes protocol=tcp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface=LAN new-packet-mark=www_unlumut_out passthrough=no
add action=mark-packet chain=prerouting comment="" connection-mark=conn_www_unlimit disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=www_unlimit_in passthrough=no
Как соединить 2 сети 192.168.1.0/24 и 192.168.2.0/24?
Комп с 2 сетёвками 192.168.1.1 и 192.168.2.1 - должен быть шлюзом для этих подсетей.
Всё, решено.
Ничего настраивать не надо, протупил в начале установки, указав ошибочный ip.
Комп с 2 сетёвками 192.168.1.1 и 192.168.2.1 - должен быть шлюзом для этих подсетей.
Всё, решено.
Ничего настраивать не надо, протупил в начале установки, указав ошибочный ip.
Цитата:
так как у меня двойная маркировка (PCQ, QoS) то можно
для QoS в прероутинге промаркировать соединения и пакеты, а в форварде
для PCQ промаркировать только пакеты?
я бы делал наоборот: соединения оставил на откуп PCQ. а для QoS можно действовать на основе src-port - как и предлагается в небезызвестной презенташке
Цитата:
у меня что маркируются соединения для всех пакетов?
да =) потому как первое правило - "поставить метку на соединение независимо от того, была она там или нет"
Цитата:
смущает то что на метке соединения и LAN вроде должны быть одинаковые цифры
как я уже сказал - в идеале не должны. соединение лучше всего маркировать лишь по первому пакету, а он около полтиника байт несёт =) здесь же разбежка может получаться из-за того, что используется connection-bytes=0-500000 - т.е. первые полмегабайта пакетов соединения перемаркировываются каждый раз заново (хоть и одной и той же меткой), а остальные пакеты используют существующую метку в последующих правилах %)
Chupaka
с трудом но понятно,
не удачно привел пример...
вот например для UDP сдесь все правильно метится?
Код: add action=mark-connection chain=prerouting comment="udp unlimit" disabled=no new-connection-mark=conn_udp_unlimit passthrough=yes protocol=udp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
с трудом но понятно,
не удачно привел пример...
вот например для UDP сдесь все правильно метится?
Код: add action=mark-connection chain=prerouting comment="udp unlimit" disabled=no new-connection-mark=conn_udp_unlimit passthrough=yes protocol=udp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
наверно уже обсуждалось, но пока не нашел.
как можно метить скажем трафик icq и пересылать его через определенный шлюз?
а то у меня несколько шлюзов и в итоге icq часто переподключается.
спасибо.
как можно метить скажем трафик icq и пересылать его через определенный шлюз?
а то у меня несколько шлюзов и в итоге icq часто переподключается.
спасибо.
Как запретить перезагрузку по Ctrl+Alt+Del?
снять клавиатуру
Помогите разобраться с mangle
Есть машина( с трюмя сетевушками, одна смотрит в локалку и две на шлюзы) .. так вот
Что надо: Перенаправить http трафик на отдельный шлюз
Что делаю:
IP -> Firewall -> Mangle -> New
закладка General
chain preprouting
src adr. ипы от куда 192.168.1.0/24
Protocol - TCP
Dst Port - 80
закладко Action
Action - mark routing
New Routing Mark: - HTTP Traffic
потом в IP -> Routes -> Routes -> New
Destination 0.0.0.0/0
Gateway шлюз через который пойдёт, например хх.ххх.хх.ххх
Mark: HTTP Traffic
все верно?
Есть машина( с трюмя сетевушками, одна смотрит в локалку и две на шлюзы) .. так вот
Что надо: Перенаправить http трафик на отдельный шлюз
Что делаю:
IP -> Firewall -> Mangle -> New
закладка General
chain preprouting
src adr. ипы от куда 192.168.1.0/24
Protocol - TCP
Dst Port - 80
закладко Action
Action - mark routing
New Routing Mark: - HTTP Traffic
потом в IP -> Routes -> Routes -> New
Destination 0.0.0.0/0
Gateway шлюз через который пойдёт, например хх.ххх.хх.ххх
Mark: HTTP Traffic
все верно?
Да, простят меня модераторы.
Имеем МК 3,27, входящий канал 100М. Настроен pptp, канал пустой никого нет. Подключаюсь с win xp, по тестам вижу не более 12М, запускаю торенты, суммарно не выше 16М. Подключаюсь под тем же самым учетным данным с win 7. По тем же тестам вижу 60М, по террентам 40. Такая же, в лучшую сторону, картина если подключаюсь freebsd 8.1. Что еще очень интересно, на xp в диспетчере задач отображается скорость подключения на vpn соединении 12М, а на win 7 100М. Ваши мысли по этому поводу....
Имеем МК 3,27, входящий канал 100М. Настроен pptp, канал пустой никого нет. Подключаюсь с win xp, по тестам вижу не более 12М, запускаю торенты, суммарно не выше 16М. Подключаюсь под тем же самым учетным данным с win 7. По тем же тестам вижу 60М, по террентам 40. Такая же, в лучшую сторону, картина если подключаюсь freebsd 8.1. Что еще очень интересно, на xp в диспетчере задач отображается скорость подключения на vpn соединении 12М, а на win 7 100М. Ваши мысли по этому поводу....
Цитата:
вот например для UDP сдесь все правильно метится?
нет. правильно - это когда, например, connection-state=new
они актуальны, видимо, в условиях жёсткой нехватки ресурсов роутера. ограничивают максимальную длину пакетной очереди для каждой подочереди и максимальную суммарную длину всех очередей. на PC я не заморачиваюсь, увеличиваю limit раза в два-три от дефолта и делаю total-limit=limit*макс.число_активных_клиентов
Добавлено:
Цитата:
как можно метить скажем трафик icq и пересылать его через определенный шлюз?
для начала - сформулировать, что такое "трафик ICQ". можно попробовать, например, определять его по protocol=tcp dst-port=5190. навесить нужный routing-mark - и будет счастье
Цитата:
а то у меня несколько шлюзов и в итоге icq часто переподключается
использовать PCC - проблему снимет кардинально
rambo15
Цитата:
все верно?
да
Chupaka
так и делаю.
IP -> Firewall -> Mangle -> New
закладка General
chain preprouting
src adr. 192.168.100.0/24 (моя сеть)
Protocol - TCP
Dst Port - 5190
закладко Action
Action - mark routing
New Routing Mark: - icq
галочка сотит еще на - passthrough
потом в IP -> Routes -> Routes -> New
Destination 0.0.0.0/0
Gateway шлюз через который пойдёт, например 192.168.13.1 (тот шлюз через который я хочу отправлять icq трафик)
Mark: icq
ПОСЛЕ всего этого у меня ВЕСЬ трафик начинает почему то идти через 192.168.13.1
так и делаю.
IP -> Firewall -> Mangle -> New
закладка General
chain preprouting
src adr. 192.168.100.0/24 (моя сеть)
Protocol - TCP
Dst Port - 5190
закладко Action
Action - mark routing
New Routing Mark: - icq
галочка сотит еще на - passthrough
потом в IP -> Routes -> Routes -> New
Destination 0.0.0.0/0
Gateway шлюз через который пойдёт, например 192.168.13.1 (тот шлюз через который я хочу отправлять icq трафик)
Mark: icq
ПОСЛЕ всего этого у меня ВЕСЬ трафик начинает почему то идти через 192.168.13.1
Цитата:
ПОСЛЕ всего этого у меня ВЕСЬ трафик начинает почему то идти через 192.168.13.1
а роутинг метится точно только для 5190? весь по-любому не должен
Цитата:
нет. правильно - это когда, например, connection-state=new
то есть ты хочешь сказать что в эти:
Код:
add action=mark-connection chain=prerouting comment="udp unlimit" disabled=no new-connection-mark=conn_udp_unlimit passthrough=yes protocol=udp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
vlh
в идеале - так:
Код:
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-connection chain=prerouting comment="udp unlimit" disabled=no new-connection-mark=conn_udp_unlimit passthrough=yes protocol=udp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
в идеале - так:
Код:
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-connection chain=prerouting comment="udp unlimit" disabled=no new-connection-mark=conn_udp_unlimit passthrough=yes protocol=udp src-address-list="(PCQ_QoS_Unlim)"
add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_unlimit_out passthrough=no protocol=udp connection mark=conn_udp_unlimit
add action=mark-packet chain=prerouting comment="" disabled=no in-interface="PABLIC-3 (U)" new-packet-mark=udp_unlimit_in passthrough=no protocol=udp connection mark=conn_udp_unlimit
Chupaka
это столько нужно правил что бы пометить UDP трафик
для одной группы? обалдеть...
наверное я останусь на старом конфиге где для этого нужно всего два правила:
Код: 21 ;;; udp unlimit
chain=prerouting action=mark-packet new-packet-mark=udp_unlimit_out
passthrough=no protocol=udp src-address-list=(PCQ_QoS_Unlim) in-interface=LAN
22 chain=prerouting action=mark-packet new-packet-mark=udp_unlimit_in
passthrough=no protocol=udp in-interface=PABLIC-3
это столько нужно правил что бы пометить UDP трафик для одной группы? обалдеть...
наверное я останусь на старом конфиге где для этого нужно всего два правила:
Код: 21 ;;; udp unlimit
chain=prerouting action=mark-packet new-packet-mark=udp_unlimit_out
passthrough=no protocol=udp src-address-list=(PCQ_QoS_Unlim) in-interface=LAN
22 chain=prerouting action=mark-packet new-packet-mark=udp_unlimit_in
passthrough=no protocol=udp in-interface=PABLIC-3
Нужен совет.
Был офис с одной сетью 192.168.1.0/24
Разделили на 2 офиса, надо их объединить.
Есть оптика 100 МБ на концах медиоконтейнерах.
Задача 1:
Объединить на наибольшей скорости с шифрованием.
Задача 2:
Объединить без шифрования, но чтобы были доступны сетевые папки и не надо было перемешать пк из одного класса в другой и желательно не менять маску.
Прочитал статью Объединяем офисы с помощью Mikrotik
Для 2 варианта можно EthernetOverIP использовать, но он уже должен быть на другом протоколе.
Что подскажите?
Был офис с одной сетью 192.168.1.0/24
Разделили на 2 офиса, надо их объединить.
Есть оптика 100 МБ на концах медиоконтейнерах.
Задача 1:
Объединить на наибольшей скорости с шифрованием.
Задача 2:
Объединить без шифрования, но чтобы были доступны сетевые папки и не надо было перемешать пк из одного класса в другой и желательно не менять маску.
Прочитал статью Объединяем офисы с помощью Mikrotik
Для 2 варианта можно EthernetOverIP использовать, но он уже должен быть на другом протоколе.
Что подскажите?
Цитата:
или ты хочешь и тут развеять мои сомнения по поводу правильности
этих правил?
никак нет. я просто говорю, что их ещё можно оптимизировать по производительности. а работать и эти будут
Цитата:
которое метит пакеты маркой udp_unlimit_ou на основании соединения conn_udp_unlimit
прости но такого соединения еще нет, оно же выше по прероутингу еще не помечено ....
что ты меня путаешь, понимаю выходные на носу :0
ну что, эта песня хороша, начинай сначала... добро пожаловать в первый класс
метки пакета и роутинга на вновь пришедшем пакете девственно чисты (no-mark). метка соединения - это немножко другое. каждый пакет попадает в первую очередь в Connection Tracking, и если он принадлежит уже установленному соединению - то метка соединения на него устанавливается прямо здесь, ещё до срабатывания любых правил файрвола. т.е. если мы на первый пакет соединения повесили метку - то эта метка будет автоматически появляться у всех пакетов данного соединения (причём как исходящих, так и входящих)
поэтому логика вышеприведённых правил такова: если соединение уже помечено (что будет у 99% пакетов), то сразу вешаем метку пакета - и уходим. если же нет - то метим соединение на основе адрес-листа (что само по себе не очень быстро), и повторяем процедуру размечивания пакета. да, 1% пакетов будет обрабатываться чуть дольше, зато 99% пролетят со свистом
как-то так
Добавлено:
Цитата:
чтобы <...> не надо было перемешать пк из одного класса в другой
какого класса? О_о
Цитата:
Для 2 варианта можно EthernetOverIP использовать, но он уже должен быть на другом протоколе
на каком протоколе?!? о чём тут речь?
а EoIP можно использовать в обоих случаях, просто в первом к нему ещё надо прикрутить IPSec
Цитата:
я просто говорю, что их ещё можно оптимизировать по производительности
хорошо, тогда вопрос если у меня на 450g проц загружен примерно на 25% и
изредка на 50% то можно этому верить, что загрузки ни какой нет и оптимизировать правила нет необходимости, то есть разницы в производительности (открытии страниц и т.д.) будет не заметно?
и если по вечерам внешний канал бывает загружен на 100% а проц по прежнему 25% то
оптимизация правил тоже ни чего не даст? я понимаю, что если канал загружен то что тут сделаешь, но вдруг
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495969798
Предыдущая тема: Firewall *nix: iptables, ipfw, pf etc...
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.