» MikroTik RouterOS (часть 3)

Chupaka

Цитата:

если кратко, процесс идёт так: "mangle prerouting - global-in - mangle forward - mangle postrouting - global-out"

вроде это понятно, что форвард идет после прероутинг, тогда как же метить пакеты для QoS и PCQ что бы они друг другу не мешали?
вообще нормально это можно реализовать на мтике, потому что с кем я не переписывался,
говорят, что нормально не получалось и поэтому лучший вариант вынести QoS на отдельный
мтик, то есть инет - мтик QoS - мтик PCQ со всеми firewall и т.д. - клиенты.
в данный момент решил проблему перенаправив TCP 80 на другой канал, но есть не большая проблема, шейпер у меня отдельно режет TCP 80 и остальной трафик клиента и у него получается, что он может качать торрентом и забивать свой канал скажем 1М и в то же время открывать странички со скоростью то же 1М, конечно это хорошо, но хотелось бы что бы у него этого не происходило если не хочет настроить свой торрент.
понимаю, что это как то надо делать в Queue Tree деревья, можно примерчик для группы IP.

Цитата:

вроде это понятно, что форвард идет после прероутинг

я рад, что это понятно, но я совершенно не это писал =) главное - что форвард идёт между глобал-ин и глобал-аут. т.е. в форварде надо маркировать уже по пользователям (для PCQ, например) - и эти PCQ-очереди создавать в global-out

хорошо, тогда по порядку...
начнем с маркировки, например эти правила мешают друг другу?
QoS

Код: add action=mark-packet chain=prerouting comment=udp disabled=no new-packet-mark=udp passthrough=no protocol=udp

Всем привет, помогите пожалуйста разобраться, возможно ли реализовать
такое и как это сделать, а то уже неделю ковыряюсь и всё никак.
Можно ссылками или вкратце. В общем картина такова:


Подробнее: есть два провайдера:
LAN_1:
подключение витой парой (FTTB),
адресация статическая (есть и DHCP, но не нужно его тут):
ip: 10.0.3.0/24
mask: 255.255.255.0
gateway: 10.0.3.1
DNS: 62.122.184.92, 62.122.184.81
интернет через VPN (PPTP) коннектом к 10.0.3.1

LAN_2:
подключение витой парой (FTTB),
адресация DHCP:
ip: 10.116.158.0 или 10.116.0.0
mask: 255.255.0.0
gateway: 10.116.0.1
DNS: 77.232.128.1, 77.232.135.1
интернет автоматом, аутентификацией по MAC адресу (называется - "Прямой интернет")

Требуется:
настроить дома (HOME) сервер, оборудованный двумя сетевыми карточками и
PCI Wi-Fi адаптером NETGEAR (WG311 v3) на базе MikroTic (далее MT) таким образом, что бы:

1) PFS поднимал VPN соединение провайдера LAN_1 на интернет;
2) при подключении компов pc1-pc3 из LAN_1 по VPN к MT им стал доступен интернет
от провайдера LAN_1 локальные ресурсы LAN_2, но и свои ресурсы остались доступны;
3) если возможно, при подключении компа pc4 из LAN_2 к MT ему стали бы доступны
локальные ресурсы LAN_1, но и свои остались доступны, как и свой интернет (отдавать
инет этому подключившемуся не требуется);
4) подключившимся по Wi-Fi ноутам nb1 и nb2 по DHCP выдавались IP (из какого диапазона
вроде как разницы нету, хотя...) и прочие параметры сети, и, если возможно, без поднятия
VPN был бы доступен интернет от провайдера LAN_1 и ресурсы обоих сетей (LAN_1 и LAN_2);
или же после поднятия VPN к MT ноутбукам стали бы доступны локальные ресурсы LAN_1 и
LAN_2 и интернет от LAN_1, но и подключенные устройства в WI-FI сети остались бы доступны.

Цитата:

идет udp пакет через prerouting по метился дальше в global-in мы ему
дали приоритет, потом он попадает в forward тут он пере-маркировывается в другую метку
и дальше через global-out в HTB для шейпера на ограничение скорости....
правильно ли я понял движение пакета?

да, именно так...

Ocakypa
реализовать - возможно. а в чём конкретно проблема? после недели сношений начинать с чистой страницы уже не модно. лучше рассказать, что сделано, чего ожидали и как получилось - а тут уже укажут, где может быть ошибка. пока что это похоже на ТЗ с обращением к оплачиваемому специалисту

Chupaka
Цитата:

да, именно так...

тогда почему в этом мануале на 34 странице на которой показано движение
пакета QoS, forward перечеркнут?

vlh
потому что на 34-й странице описана именно приоритезация на входе, по типам трафика, в обведённых блоках. а вычеркнуты те, которые уже использовались на 21-й странице

Chupaka
Цитата:

потому что на 34-й странице описана именно приоритезация на входе, по типам трафика, в обведённых блоках. а вычеркнуты те, которые уже использовались на 21-й странице

тогда где ошибка тут у меня, вроде все как ты говоришь....
QoS помечен прероутингом, в Queue Tree через global-in и global-out,
PCQ помечен форвардом в Queue Tree через globol-out и Lan
правил после маркировки пакетов для PCQ больше ни каких нет.

вечер добрый, извините что вклиниваюсь =)
проблема такая, не могу создать отправку сообщения на email, код скрипта

Код: /tool e-mail send to=mymail@gmail.com body="test email" subject=([/system identity get name].Backup) file=email.backup from="mikrotik@gmail.com"

Цитата:

QoS помечен прероутингом, в Queue Tree через global-in и global-out,
PCQ помечен форвардом в Queue Tree через globol-out и Lan
правил после маркировки пакетов для PCQ больше ни каких нет.

ссылка показывает страницу, превью - вообще фигню какую-то... это не тот пост, в котором правила mangle только для prerouting? тогда не помешал бы полный набор правил...

в целом по цитате - что значит "QoS <...> в Queue Tree через global-in и global-out"? _только_ -in! в -out - уже PCQ пойдёт, нарезка по клиентам!

ImFanya
надо добавить параметр tls=yes

Chupaka
спасибо, я ковырялся в PfSense - не получилось, да и сказали что наврядли получится... потом порекомендовали MikroTik, вот я и интересуюсь, получится в нем реализовать задуманное.

отписался на другом форуме, но там не так много посещений, как тут, поэтому сделаю пост своей проблемы тут тоже
есть 2 канала, оба pppoe
один работает хорошо, вот второй подключаться не хочет
в логах пишет вот что

хотя если кабель воткнуть в компьютер, то подключается и работает без проблем
первый(рабочий)канал-ethernet, второй-adsl(модем в режиме бридж)

2 Ocakypa
я в ответ на твой вопрос на конфе пфсенса сразу хотел микротик посоветовать, но воздержался, дабы не нарваться в очередной раз на санкции модеров из-за "навязчивой рекламы платного ПО".

Вот только от планов прикрутить сюда файловый сервер придётся отказаться - невозможно здесь это.

aleksvolgin
ну не файловый сервер а файлопомойка для себя же, - неужто нельзя, допустим, FTP сервером организовать и разрешить полный доступ, допустим, по определенному IP?

Цитата:

неужто нельзя, допустим, FTP сервером организовать и разрешить полный доступ, допустим, по определенному IP?

там только полный доступ и есть. конктерный IP можно разрешить правилами файрвола

2 Ocakypa
Если я правильно понял вы хотите сделать роутер+файлопомойка на одной ОС - так вот это невозможно. Если только через ESXi (это один комп и ...дцать ОС).

Цитата:

Если только через ESXi

либо KVM в RouterOS

помогите решить проблему. Хотспот на RB750 ROS4.9 включен в локальную сеть через свич, периодически рвется связь между локальными компьютерами. при отключенном хотспоте связь восстанавливается. на компьютерах статический IP.

Chupaka

Цитата:

ссылка показывает страницу, превью - вообще фигню какую-то

это ты про что?

Цитата:

это не тот пост, в котором правила mangle только для prerouting? тогда не помешал бы полный набор правил...

полный список правил Manglе?

Цитата:

целом по цитате - что значит "QoS <...> в Queue Tree через global-in и global-out"? _только_ -in! в -out - уже PCQ пойдёт, нарезка по клиентам!

тут я вообще ни чего не понял, что ты имел ввиду....
хорошо, ты можешь подробно объяснить пусть не всю таблицу Packet Flow но хотя бы как идет пакет например для приоритета
трафика, то есть по каким пункам и что в этих пунктах мы с ним можем делать,
и как дальше он идет для шейпера на ограничения скорости...
может в твоих предыдущих ответах и есть все эти ответы, но они настолько короткие
и без объяснений, что понять их сложно....
я понимаю что для того что бы спокойно все настраивать нужно понимать таблицу
движения пакетов в мтике, но подробного описания я не нашел и ни кто толком не может объяснить или просто не хочет...

Цитата:

периодически рвется связь между локальными компьютерами. при отключенном хотспоте связь восстанавливается

убрать Address Pool из настроек хотспота


Цитата:

это ты про что?

когда жму "тут" - открывается третья страница с начала. когда навожу мышку на вопрос в квадратных скобках - вылазит пост со скриншотом и словами "я наверное тебя уже задолбал" и даже на скриншоте никакого конфига нет


Цитата:

полный список правил Manglе?

конечно, потому как посередине роутера пакет можно перемаркировать - и получить не совсем ожиданный результат. читать ниже =)


Цитата:

как идет пакет например для приоритета трафика, то есть по каким пункам и что в этих пунктах мы с ним можем делать

итак, приходит к нам пакет. попадает в mangle prerouting, где его можно разукрасить метками. потом он попадает в первое дерево - global-in. там либо проскакивает насквозь, либо задерживается, либо дропается - за подробностями в ман по Queues обращаться. собсна, здесь и предлагается делать приоритет по типу трафика

пройдя global-in, пакет обрабатывается сначала forward mangle, затем postrouting mangle, где все предыдущие метки можно сменить, после чего попадает в global-out. здесь и предлагается нарезать трафик на пользователя посредством PCQ: в forward метим пакеты в соответствии с тарифным планом пользователя, в global-out нарезаем

Цитата:

либо KVM в RouterOS

- пробовали? Как работает? Экзотично что-то слишком...

Цитата:

- пробовали? Как работает? Экзотично что-то слишком...

лично я - не пробовал =) на MUM 2010 в Польше показывали винду, которая в RouterOS вертелась

Chupaka
Цитата:

итак, приходит к нам пакет. попадает в mangle prerouting, где его можно разукрасить метками. потом он попадает в первое дерево - global-in. там либо проскакивает насквозь, либо задерживается, либо дропается - за подробностями в ман по Queues обращаться. собсна, здесь и предлагается делать приоритет по типу трафика

пройдя global-in, пакет обрабатывается сначала forward mangle, затем postrouting mangle, где все предыдущие метки можно сменить, после чего попадает в global-out. здесь и предлагается нарезать трафик на пользователя посредством PCQ: в forward метим пакеты в соответствии с тарифным планом пользователя, в global-out нарезаем

спасибо, вот теперь хоть как то все становится яснее...
уточнение... для приоритета трафика в глобал -ин это входящий трафик, а исходящий где приоритет делается?

Цитата:

когда жму "тут" - открывается третья страница с начала. когда навожу мышку на вопрос в квадратных скобках - вылазит пост со скриншотом и словами "я наверное тебя уже задолбал" и даже на скриншоте никакого конфига нет

ща сам посмотрел, даже не знаю откуда этот квадрат с не моим скриншотом влез,
извини...
хотел тебе показать эту страницу где я приводил правила для приоритета: тут
смотри опять вставляю в форум ссылку, а она добавляет этот квадрат с чужой превьюшкой, что проблемы с форумом...?
ссылку тогда так: http://forum.ru-board.com/topic.cgi?forum=8&topic=38493&start=40
опять хрень какая то, скопировал сюда адрес, а он сам стал гипер-ссылкой и опять этот квадрат с вопросом добавляет
короче, третья страница, чуть ниже середины мои правила для приоритета.

Цитата:

для приоритета трафика в глобал -ин это входящий трафик, а исходящий где приоритет делается?

аналогично - сначала в глобал-ин (другими очередями!) приоритет по классам, в -аут - нарезка скоростей по тарифу


Цитата:

третья страница, чуть ниже середины мои правила для приоритета

угу, вот там правил форварда нет, а на самом деле они есть =) но вроде после предыдущего описания всё должно было проясниться... =)

Chupaka
Цитата:

аналогично - сначала в глобал-ин (другими очередями!) приоритет по классам, в -аут - нарезка скоростей по тарифу

так тут главное не запутаться
как мтик понимает что мы хотим пометить исходящий трафик или входящий?
например тут с помощью src-port=80 и dst-port=80, где src - это исходящий
трафик а dst входящий?

Код: add action=mark-packet chain=prerouting comment=www disabled=no new-packet-mark=www_in passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 new-packet-mark=www_out passthrough=no protocol=tcp

vlh

на самом деле, если я сам не ошибаюсь , Chupaka хочет до тебя донести следующее:

1) маркируем пакеты в mangle prerouting;
1.1) src-port= 80 - это то, что приходит в роутер из Интернета
1.2) dst-port = 80 - это то, что уходит из роутера в Интернет
2) задаем приоритеты в queue tree на интерфейсе global-in, используя маркировки из mangle prerouting;
3) маркируем пакеты в mangle forward;
3.1) out-interface = pppoe-out1 - это клиентский upload
3.2) in-interface = pppoe-out1 - это клиентский download
4) задаем скорость в queue tree на интерфейсе global-out, используя маркировки из mangle forward;

это если уж совсем кратко описать алгоритм действий


Добавлено:
vlh

а схема сети такая?

192.168.0.0/24 ---> Router OS (NAT, QoS) ---> Internet

Цитата:

как мтик понимает что мы хотим пометить исходящий трафик или входящий?

можно использовать, например, in/out-interface или src/dst-address

2 Ocakypa
Для вас рабочим вариантом может стать следующий (с учётом замечаний высказанных Chupaka): mikrotik 3.30+KVM на нём установленный FreeNAS в качестве файлопомойки. С FreeNAS'ом надеюсь вы знакомы.

хорошо, тогда надо пробовать...
хотя бы два приоритета...
и сразу вопрос, у меня есть правила chain=prerouting для направления групп на разные интерфейсы,
правила prerouting для QoS в мангле должны стоять перед этими правилами или после правил для роутинга?
метим TCP трафик на 80 порту для сайтов:

Код: add action=mark-packet chain=prerouting comment=www disabled=no new-packet-mark=www_in passthrough=no protocol=tcp src-port=80
add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 new-packet-mark=www_out passthrough=no protocol=tcp

Цитата:

add action=mark-packet chain=prerouting comment=other disabled=no new-packet-mark=out_other Out. interface=Lan passthrough=no

в prerouting ты можешь указать только in-interface, out-interface в prerouting ROS тебе не даст выставить, порабы посмотреть на http://wiki.mikrotik.com/wiki/File:IP_final.png - нижняя часть картинки, там где нарисованы блоки - это и есть последовательность прохождения пакета через ROS

далее советую прочитать хорошую статью от NetworkPro http://wiki.mikrotik.com/wiki/NetworkPro_on_Quality_of_Service

ну и прочитать про приоритеты - презентация http://mum.mikrotik.com/presentations/US09/Valens-MUM2009USA.pdf

сразу все встанет на свои места

а если не охота разбираться, то купи скрипт от Butch Evans ( http://blog.butchevans.com/2009/11/140/ )

http://store.wispgear.net/p260/RouterOS-QOS-Advanced-Implementationproduct_info.html?osCsid=a7fjvsoscljh8j67b93s8qm653

QoS в RouterOS ОЧЕНЬ непростая штука, хотя это и не кажется на первый взгляд...