» MikroTik RouterOS (часть 3)

подскажите можно ли настроить mikrotik 4.16 так чтобы он рабботал как dns сервер, но все запросы в домене firma.ru разрешал на контроллере домена влокальной сети, а остальные в интернет к dns выданному провайдером

Цитата:

nkbss
т.е. если что-нибудь одно убрать, то ничего не работает? занятно =) я бы разработчикам отписался - явно же баг, диапазоны-то перекрываются...

Да. Только что снова пробовал. При удалении любого диапазона Alternative Subnets в IGMP Proxy (0.0.0.0/0 или 232.0.1.0/24) ИПТВ не работает. Менять местами можно. Причина мне неизвестна.

Цитата:

одскажите можно ли настроить mikrotik 4.16 так чтобы он рабботал как dns сервер, но все запросы в домене firma.ru разрешал на контроллере домена влокальной сети, а остальные в интернет к dns выданному провайдером

а днс домена использовать религия не позволяет??
зачем придумывать всякого рода извращения?

Доброго времени суток...
Прошу помочь решить проблему:

Статический внешний айпи - НАТ - локалка.
Акцентирую внимание на то, что маршрутизатор настроен с помощью инструмента src-nat, а не маскарадинг, как это часто бывает...
Не удаётся отсылать почту, почтовые клиенты только принимают письма. В фаерволе запретов на смпт 25 порт нету. Неоходимо ли его пробрасывать отдельно, и как сделать таким образом, что бы почтовые клиенты работали у всех из локалки на этом же 25-м порту... Подробности конфигурации, по надобности предоставлю, Спсибо.

Добавлено:
Думаю, полезно будет сразу привести из фаервола форвард секцию ...

Код: > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=drop connection-state=invalid
1 chain=forward action=drop src-address=192.168.0.0/16 in-interface=ether2
2 chain=forward action=drop src-address=10.0.0.0/8 in-interface=ether2
3 chain=forward action=drop src-address=172.16.0.0/12 in-interface=ether2
4 chain=forward action=drop protocol=tcp in-interface=ether2 dst-port=4662
5 chain=forward action=drop protocol=tcp in-interface=ether2 dst-port=4672
6 chain=forward action=drop protocol=tcp dst-port=135-139
7 chain=forward action=drop protocol=udp dst-port=135-139
8 chain=forward action=drop protocol=tcp dst-port=1433-1434
9 chain=forward action=drop protocol=tcp dst-port=445
10 chain=forward action=drop protocol=udp dst-port=445
11 chain=forward action=drop protocol=tcp dst-port=593
12 chain=forward action=drop protocol=tcp dst-port=1024-1030
13 chain=forward action=drop protocol=tcp dst-port=1080
14 chain=forward action=drop protocol=tcp dst-port=1214
15 chain=forward action=drop protocol=tcp dst-port=13263
16 chain=forward action=accept protocol=tcp dst-port=25
17 chain=forward action=accept protocol=udp dst-port=25

Цитата:

а днс домена использовать религия не позволяет??

GawkV
mikrotik-ов два и между ними vrrp
при падении сервиса dns на контроллере домена который прописан у клиентов первым, но при ответе самого сервера windows не использует настроенный второй DNS
если из первого сетевой шнурок выдернуть или его выключить - то да windows использует второй.
хочется назначить в качестве DNS сервера vrrp интерфейс mikrotik

Цитата:

чтобы он рабботал как dns сервер

вообще сервера там нет - обычный кэширующий клиент. но народ извращается определением пакетов по контенту (содержащих нужный домен) и натированием его на адрес нужного сервера


Цитата:

правила №16 и №17 были добавлены для решения проблемы

а эти правила считают пакетики? конкретно - 16-е

Chupaka
да, за 1 попытку отослать письмо, насчитывает 3 пакета, 144 байта...
По 17-му правилу(протокол udp) всё по нулям, по всей видимости, заявленное использование udp протокола не имеет место при отслылке сообщений чисто текстового характера.

Прошу прощения, по невнимательности упустил, оттуда и проблема:

Когда решил проверить возможность подключения к smtp серверу по telnet на тот самый 25 порт конечно же показало, что нету возможности подключения, и, просто для галочки, решил проверить другой порт smpt сервера, любезно предоставленный почтовым сервисом, подключиться удалось без проблем.

Как оказалось пров верхнего уровня просто на нет блокирует у всех 25-ый порт с целью предотвращения рассылки спама из своей сети, чтоб ему было!

Chupaka

А вообще правила верно составлены ?

привет

народ кто нибудь может объяснить, вот такую ситуацию.

есть вот такой конфиг


Код: name=download parent=global-in limit-at=100M priority=8 max-limit=100M

name=unlimit_in parent=download limit-at=3072k priority=8 max-limit=3072k

name=kachalshiki_in parent=unlimit_in limit-at=1024k priority=8 max-limit=1024k

name="unlimit_512_1_in" parent=kachalshiki_in packet-mark=unlimit_512_1_in limit-at=512k queue=un_512_in priority=8 max-limit=512k
name="unlimit_512_2_in" parent=kachalshiki_in packet-mark=unlimit_512_2_in limit-at=512k queue=un_512_in priority=8 max-limit=512k
name="unlimit_512_3_in" parent=kachalshiki_in packet-mark=unlimit_512_3_in limit-at=512k queue=un_512_in priority=8 max-limit=512k
name="unlimit_512_4_in" parent=kachalshiki_in packet-mark=unlimit_512_4_in limit-at=512k queue=un_512_in priority=8 max-limit=512k


name=un_512_in kind=pcq pcq-rate=0 pcq-limit=50 pcq-classifier=dst-address pcq-total-limit=7000

Цитата:

а теперь ситуация 4 абонента могут раскачивать свой родительский шейп больше чем установленные лимиты, то есть больше чем 1024К

а можно документальное подтверждение в студию?.. не должно быть такого

какя версия используется?

планируется аппаратная схема


необходимо поднять:
pppoe1 для телефонии (желательно с отдельного медиаконвертера)
pppoe2 для интернета канал безлимитный 8 мегабит
pppoe3 для интернета резрвный канал помегабайтный 10-100 мегабит

микротики планирую объединить по vrrp

система останется работоспособной при отказе:
- ИБП №3 (нормально отработает vrrp)
- микротик №4 (нормально отработает vrrp)
- коммутатор №7 (нормально отработает vrrp)
но как ли системе оставаться работоспособной при выходе из строя:
- только конвертера №1
- пропадания pppoe среды1

Dimsoft
схема не совсем понятна... хотя что я говорю - совсем непонятна. вот эти два облака вверху - это чё? любое pppoe-подключение может быть установлено через любой из двух аплинков?

на каждом мелкотике поднимается vrrp где? судя по схеме - отдельным проводом, где он хоть и отработает, а сервер этого никак не увидит

в целом по схеме: если уж извращаться, то извращаться надёжно. объединяйте 3120 в стек, _каждый_ RB подключайте к нему двумя проводами (в разные юниты) бондингом (как показала практика, D-Link + MikroTik гораздо лучше в такой схеме общаются по static, а не LACP - время сходимости гораздо меньше), на котором и делайте vrrp. тогда в случае пропадания одного свитча все агрегированные линки упадут до состояния "работает только один канал", в случае пропаданя одного из роутербордов сработает vrrp

вопрос с аплинками остаётся открытым

Chupaka
3120 по 10G в стеке (там нарисовано )
vrrp между LAN портами

два облака это два линка разваренных из одного 4-х жильного оптического кабеля.
в каждом присутствует pppoe среда провайдера. поднимать pppoe соединение можно через любой, но если мешать pppoe для телефонии и интернет, то провайдер не гарантирует надежную телефонию.

линки между микротиками думал использовать так:


порты в больших кружках в в бридж
в нормальном режиме микротик, который по vrrp главный поднимает 1 канал с красного порта, а второй с синего

мучаюсь сомнениями потому, что есть главный потребитель pppoe для телефонии - ATC Panasonic TDA30 с одним ethernet портом - как её резервировать - не знаю

Chupaka конечно можно вот например касательно примера который я привел
а вот другой пример где уже родительский шейп ведет себя точно так же, то есть отдает больше чем у него стоит.

микрот версии 3.3
а да чуть не забыл пакеты маркирую в прероутинге, вот пример одна строка потому как все маркируются одинаково
chain=prerouting action=mark-packet new-packet-mark=unlimit_512_1_mir_in passthrough=no src-address=0.0.0.0/0 dst-address-list=unlimit_512_1

вроде как логика говорит мне, что пакеты нужно отмаркировать дважды, первый раз отмаркировать все пакеты на адреса инлимитчиков для головного шейпа kachalshiki_in, потом отмаркировать каждого инлимитчака отдельно, при этом по идее должна создаться одна очередь на головном шейпе kachalshiki_in, и вторая очередь на каждом анлимитчике.
но создавая правила мангла например вот так.

Код: 1 chain=prerouting action=mark-packet new-packet-mark=kachki_all_in passthrough=yes src-address=0.0.0.0/0 dst-address-list=kachki_in

2 chain=prerouting action=mark-packet new-packet-mark=unlimit_512_1_mir_in passthrough=no src-address=0.0.0.0/0 dst-address-list=unlimit_512_1
3 .......
4 .......
5 правила маркировки одинаково выглядят для все инлимитчиков

fdboss
у меня всё нормально отрабатывает =) правда, я всё это в global-out делаю - за global-in не скажу...

и - да, у пакета может быть только одна метка, несколько установить невозможно, так задумано

Chupaka
Цитата:

у меня всё нормально отрабатывает =) правда, я всё это в global-out делаю - за global-in не скажу...

а что глобал аут и глобал ин как то отличаются по принципу работы??

Цитата:

и - да, у пакета может быть только одна метка, несколько установить невозможно, так задумано

так шутка юмора в том что даже если не перемаркировывать пакеты, а просто в материнском шейпе unlimit_in выставить в packet marks маркировки пакетов всех анлимитчиков, он позвалянт это сделать то все равно не работает, то есть получается что маркировка не причем.

вот сдедал тоже самое в глобал аут


не пашет, мистика какая то.

а ось у тебя какая ??

и еще вопрос у тебя пакетыки показывает в материнском шейпе, то есть который у меня kachalshiki_in

Цитата:

в материнском шейпе unlimit_in выставить в packet marks маркировки пакетов всех анлимитчиков

а то, что выставлено в родительских очередях, вроде как роли не играет


Цитата:

ось у тебя какая ??

в данный момент 5.0rc4, но и на 3.28 ничего необычного не было


Цитата:

пакетыки показывает в материнском шейпе

конечно

Цитата:

в данный момент 5.0rc4, но и на 3.28 ничего необычного не было

вот с такими вещами я уже сталкивался. очень интересная весч была
стоял микрот версией 3.22 загрузка цпу была что то около 30%, перезалил ось на 3.3
без смены железа, и конфига включаю загрузка цпу выросла до 50% просто на ровном месте
может на 3.28 это работает а вот на 3.3 может уже и не работать


да, блин, мистика какая то, уже мозги плавятся.

наверное, 3.30, а не 3.3... тогда не вижу проблемы откатиться на 3.28 и проверить

Цитата:

наверное, 3.30, а не 3.3... тогда не вижу проблемы откатиться на 3.28 и проверить

есть проблема 3.22 была проблема с регулярками, поэтому и пришлось 3.30 ставить, в 3.28 неизвестно есть такие проблемы или нет. Чето не пруха с апгрейдами одно лечится другое калечится

я извиняюсь за такой большой скрин


вот сделал на 3.22 не работает

fdboss
не скромный вопрос, а что вы метите в прероутинге в Dst.Address.List?
наверное не локальные адреса?

Цитата:

fdboss
не скромный вопрос, а что вы метите в прероутинге в Dst.Address.List?
наверное не локальные адреса?

а какая разница что метить, локальные, не локальные
вопрос то не в том почему что то шейпится а что то нет, или почему шейпится всё,
вопрос в том, что не получается организовать очередь на материнском шейпе, в результате чего он не выполняет той функции которую должен выполнять.

fdboss
я так уточнил, только в прероутинге Dst.Address.List если указать
локальные адреса, то под это правило ни чего не попадет, если у вас NAT.
материнский шейп насколько я понял должен ограничивать ширину канала,
а сама нарезка скорости это уже в листьях дерева...

Цитата:

fdboss
я так уточнил, только в прероутинге Dst.Address.List если указать
локальные адреса, то под это правило ни чего не попадет, если у вас NAT.
материнский шейп насколько я понял должен ограничивать ширину канала,
а сама нарезка скорости это уже в листьях дерева...

ну из картинок то видно что пакеты попадают в манге, и еще раз повторяю вопрос не в том что то то не попадает в мангл, там все пучком все что надо попадает куда надо, никаких натов нету, чистый роутинг,
вопрос в том что не организовывается очередь в материнском шейпе

Добрый день подскажите как реалтзовать на МТ 3,22 авторизацию по МАКАдресу или IP и чтоб в Queues можно было делать нарезку трафика, есть где то мануал по настройке пошаговой ? Спасибо.

fdboss
Обновляйтесь. В более новых версиях исправлены минимум три проблемы так или иначе затрагивающее очереди.

Цитата:

вопрос в том что не организовывается очередь в материнском шейпе

а почему вы думаете что она там должна организовываться?
очереди должны организовываться на листьях дерева...

Цитата:

а почему вы думаете что она там должна организовываться?
очереди должны организовываться на листьях дерева...

да ну вы наверное считаете что материнские шейпы так для красоты что бы картинка ярче была, она там обязана организовываться иначе все это не имеет ничего общего с QOS,


Chupaka

может у тебя есть какие ни будь мысли почему может не работать.

fdboss
Повторяю: Обновите версию.

Цитата:

там обязана организовываться иначе все это не имеет ничего общего с QOS,

так у нас шейпер или Qos? хотя разницы ни какой для дерева приоритетов и
шейпера...
на сколько я понял из данной статьи он (материнские шейпы) должен ограничивать только ширину канала и ни как не делать очереди.
HTB


Цитата:

faust72rus Повторяю: Обновите версию.

а у вас что в родительских правилах создаются очереди?

Цитата:

так у нас шейпер или Qos? хотя разницы ни какой для дерева приоритетов и
шейпера...
на сколько я понял из данной статьи он (материнские шейпы) должен ограничивать только ширину канала и ни как не делать очереди.
HTB

мда уважаемый познания ваши откровенно удивляют, то есть для вас шейп и QOS это одно и тоже, поздравляю, если что любое ограничение это и есть создание очереди,




Цитата:

Повторяю: Обновите версию.

эту мысль я понял мне просто интересно в 3.22 3.30 не пашет в 3.28 по утверждению Chupaka работает вот это меня сильно настораживает.