» MikroTik RouterOS (часть 3)

Цитата:

Нужно обеспечить видимость роутеров друг другу через EoIP

зачем?!? ведь у роутеров прямая видимость!


Цитата:

Что я делаю не так?

зачем придумывать 192.168.100.1 и 192.168.100.2, если есть 192.168.88.1 и 192.168.88.2?..

Добавлено:
Osmosis_Johnes

Цитата:

где что еще можно глянуть???

трассировку. можно и нужно.

Ребята пару страниц назад задал вопрос, извините продублирую..

на роутуре шейпится интернет между пользователями , можно ли как то сделать что-бы например сайт youtube.com не попадал под шейп ? т.е. что бы для всех данный сайт открывался на максимально возможной скорости .

BlackLabel
Если только использовать список всех возможных IP-адресов серверов Ютьюба, т.к. по доменному имени, ИМХО, не получится.

korsakoff72RU
ну тогда на примере одного ИП адреса как реализовать хотя-бы подскажите .

BlackLabel
Ну, если в общих чертах, то пометить раздельно трафик разного типа (исходя из ваших хотелок), в том числе отдельно пометить исходящий/входящий трафик до интересующего вас IP, но в сумме желательно пометить весь трафик, проходящий через ваш внешний интерфейс в IP/Firewall/Mangle. Затем в Queue/Queue Tree завернуть помеченный трафик в соответствующие очереди согласно меткам пакетов, задать гарантированную, максимальную ширины полос пропускания, приоритеты (опять же согласно вашим хотелкам).
Об этом тут уже много раз говорилось. Почитайте тему, почитайте материалы на wiki.mikrotik.com (по Queue, HTB) там и статьи с примерами есть и русский раздел есть, в котором я выкладывал несколько переводных статей как раз по этой теме. Самое главное, ИМХО, изучите статью по Packet Flow, ибо без неё тяжко придётся с пониманием процесса. Сделайте сначала чего-нибудь сами, не получится - выложите настройки, будем поглядеть - это во-первых. Во-вторых, вы абсолютно ни каких данных о своей текущей конфигурации не предоставили - тут же не сообщество телепатов: при разных конфигах может потребоваться разный подход.
Вот, пожалуй, самая путёвая статья по шейпингу и QoS, которая мне попадалась:
http://wiki.mikrotik.com/wiki/NetworkPro_on_Quality_of_Service

Chupaka:

Цитата:

трассировку. можно и нужно.

вот сделал трассировку на микротике на ya.ru:

192.168.2.253 timeout timeout 980
192.168.2.253 timeout timeout 980
192.168.2.253 timeout timeout 981
192.168.2.253 timeout timeout 981
192.168.2.253 timeout timeout 980

т.е. нет переадресации на внешний провайдерский ip-шник. Как это исправить, подскажите пожалуйста?

Osmosis_Johnes
а пинг? а что за 192.168.2.253? а какой должен быть шлюз? а много мне ещё глупых вопросов задавать прежде чем все поймут, что я не телепат?

Chupaka

Цитата:

а пинг? а что за 192.168.2.253? а какой должен быть шлюз? а много мне ещё глупых вопросов задавать прежде чем все поймут, что я не телепат?

Я уже писал на предыдущей странице:
Когда пингую ip например яндекса, то пишет следущее:
87.250.251.3 timeout
87.250.251.3 timeout
87.250.251.3 timeout
192.168.2.253 host unreachable
87.250.251.3 timeout

192.168.2.253 - это как раз сервер микротик, который и должен быть шлюзом по всей видимости...

Osmosis_Johnes
т.е. 192.168.2.235 - это микротик провайдера?

подскажите, пожалуйста! грубо говоря, есть канал 70 мегабит на ~ 800 пользователей. неудивительно, что иногда может наступать предел загрузки. есть ли возможность хоть немного оптимизировать загрузку канала посредством создания очередей следующим образом: самый высокий приоритет будет у меня (собственно для доступа к самому МТ, который установлен удаленно), средний приоритет у обычных пользователей (которые не забивают сутками канал, а в основном серфят по сайтам) и самый низкий приоритет у даунлоадеров (которые постоянно забивают канал)? если это возможно, то как лучше реализовать? а то перелопатил кучу мануалов, в голове пока такая каша, что непонятно с чего начать и как лучше поступить в данной ситуации. заранее спасибо за ответы.

iwroteaboutyou
даже если банально загнать весь входящий трафик в очередь с max-limit=60-65M и типом PCQ - станет гораздо легче дышать, пакеты теряться практически не будут

Chupaka

Цитата:

т.е. 192.168.2.235 - это микротик провайдера?

есть комп на котором установлен микротик, я его обозвал сервер-микротик, у него две сетевухи: одна для lan 192.168.2.253, другая сетевуха wan, в ней прописан ip провайдера и воткнут кабель напрямую от свича провайдера.

Chupaka


Цитата:

даже если банально загнать весь входящий трафик в очередь с max-limit=60-65M и типом PCQ - станет гораздо легче дышать, пакеты теряться практически не будут

т.е. надо создать simple queue?

Цитата:

т.е. надо создать simple queue?

нет, Queue Types и потом Queue Tree.

vlh, Chupaka


Цитата:

загнать весь входящий трафик в очередь с max-limit=60-65M и типом PCQ

Цитата:

Queue Types и потом Queue Tree

тогда возникают еще вопросы:
1. что лучше выставить в Queue Type в значении Limit и Total limit? где-то читал, что эти значения можно высчитать вроде (или лучше оставить дефолтные значения?)
2. правильно ли я ставлю галочку в Dst. adress (сбалансировать надо только входящий трафик)
3. при создании Queue Tree в строке Parent лучше оставить Global in или конкретно указать интерфейс uplink?
4. если пока планируется использование только данной очереди, значение Priority ставим любое?
5. нужно ли выставлять Limit at и Burst значения?

Извиняюсь за дотошность и благодарю за помощь!
скрин прилагаю:

http://img194.imageshack.us/img194/496/testkzm.jpg

iwroteaboutyou
почитайте:
PCQ
PCQ Examples
так же есть и на русском:
Russian
если что не поймете, выкладывайте что не получается.

vlh
спасибо большое за ссылки! много полезного. постепенно в голове наступает какая-то систематизация.
теперь попробую сам себя поправить.
что касается Queue Tree:
4. priority не имеет значения
5. в Limit at особого смысла нет, т.к. опираемся на Max Limit
Так ли это?

а теперь вопросы, на которые я так и не придумал пока ответа:
1. как же всетаки определить оптимальные значения Limit и Total limit в Queue Type для конкретного случая?
2. имеет ли смысл в данной ситуации использовать Burst значения?

привет всем:
проблема с mangle в mikrotik v 3.11
есть две машины
1. 10.10.10.111
2. 10.10.10.112

и микротик
lan1 10.10.10.29
lan2 192.168.66.5/24 (провайдер)

и другой микротик в другом городе 192.168.22.22 (провайдер)

ну вот когда из сетки 10.10.10.0/24 подключаюсь к 192.168.22.22 то там виден ип аддресс 192.168.66.5 (srcnat)

мне надо что бы когда я подключаюсь из аддресса 10.10.10.111 то видна была не 192.168.66.5 а 192.168.66.10 , а в случии 10.10.10.112 192.168.66.20

...
что я сделал...
поставил ешё два аддресса на интерфейс lan2 192.168.66.10 и 20

и делаю мангле

chain=prerouting action=mark-routing new-routing-mark=net111 passthrough=yes src-address=10.10.10.111

chain=prerouting action=mark-routing new-routing-mark=net112 passthrough=yes src-address=10.10.10.112


и в роуте написал статистически маршруты с исполованием net111 и net 112..
то есть если destination 192.168.22.22 и route_mark net111 , to prefsource 192.168.66.10 gateway 192.168.66.10
destination 192.168.22.22 и route_mark net112 , to prefsource 192.168.66.20 gateway 192.168.66.20

но mangle-ы или маршруты всё равно не работают нормально.....

но такой же механизм в mikrotik 2.9 работает безпроблем... думаю проблема в верссии и в Route List Rules

ANTRAMABANAKAN
А не проще сделать ещё одно srcnat правило в NAT с нужными параметрами?

Цитата:

есть комп на котором установлен микротик, я его обозвал сервер-микротик, у него две сетевухи: одна для lan 192.168.2.253, другая сетевуха wan, в ней прописан ip провайдера и воткнут кабель напрямую от свича провайдера

трассировка была с этой машины? что у неё в ip routes прописано? адрес провайдера пингуется?


Цитата:

при создании Queue Tree в строке Parent лучше оставить Global in или конкретно указать интерфейс uplink?

никакого uplink. максимум - downlink, т.к. работаем только с трафиком, идущим к пользователю - его нет на аплинке. а в целом я предпочитаю global-очереди

Chupaka

Цитата:

никакого uplink. максимум - downlink, т.к. работаем только с трафиком, идущим к пользователю - его нет на аплинке. а в целом я предпочитаю global-очереди

то есть все таки поставить global in?

http://img197.imageshack.us/img197/7192/test2su.jpg

этих значений достаточно или надо выставлять Packet Marks, Priority и Limit at?

я исползую маскарадинг...
а там по моему микротик само собой решает каким адресом заменить локалный аддрес..

Цитата:

то есть все таки поставить global in

ну, я предпочитаю global-out, но многое зависит от ситуации

Packet mark - то, чем входящие пакеты метятся в файрволе

ANTRAMABANAKAN
а вы не используйте маскарадинг и не создавайте себе геморрой. просто добавьте два srcNAT-правила

spasib Chupaka. rabotaet

Chupaka

Цитата:

трассировка была с этой машины? что у неё в ip routes прописано? адрес провайдера пингуется?

вот трассировка и пинг с самой машины микротик:
сам себя:
tool> traceroute
address: 192.168.2.253
ADDRESS STATUS
1 192.168.2.253 1ms 1ms 1ms

такая же картина с провайдерским ip-шником

ПИНГ:
tool> ping
address: 192.168.2.253
current: 0bps
average: 0bps

current: 2.0Gbps
average: 2.0Gbps

current: 402.6Mbps
average: 1207.8Mbps

current: 3.5Gbps
average: 551.7Mbps

current: 1577.0Mbps
average: 1881.7Mbps

current: 3.9Gbps
average: 2.2Gbps
-------------------------
то же самое с провайдерским

tool> ping
address: 109.xxx.xxx.xxx
current: 0bps
average: 0bps

current: 3.5Gbps
average: 3.5Gbps

current: 402.6Mbps
average: 1968.4Mbps

current: 402.6Mbps
average: 1446.5Mbps

current: 1577.0Mbps
average: 1479.1Mbps

current: 3.1Gbps
average: 2.6Gbps

current: 3.1Gbps
average: 3.4Gbps

current: 2.0Gbps
average: 806.8Mbps
-----------------------

ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE INTERFACE
0 ADC 109.xxx.xxx.xxx/27 109.xxx.xxx.xxx ether2
1 ADC 192.168.2.0/24 192.168.2.253 ether1
2 A S ;;; added by setup
0.0.0.0/0 r 192.168.2.253 ether1
3 S 0.0.0.0/0 r 109.xxx.xxx.xxx ether2

Osmosis_Johnes
так вроде Интернет недоступен - вот его и надо трассировать

а /tool ping-speed вообще никуда не вкрался, надо использовать обычный /ping

Добрый день уважаемые спецы.
Имею такую сеть на предприятии: 20-30 компов, 1 шлюз на микротике 3.30 (до этого был 2.9) - спутниковый интернет.

раньше был инет лимитный и стояла билинговая программа на фре. теперь инет безлимитный и учет трафика как бы отпал, но возникла необходимость распределять нагрузки по приоритетам. собственно потому я выбрал микротик.

После этого начались проблемы следующего характера, при попытке открыть любую страничку в интернете соединение не устанавливается, браузер пишет что страница не доступна или связь прервана (на разных по разному) или же страничка начинает грузиться но вся покоцанная или нет картинок или их только половина загрузилась или оформление вообще не загрузилось и есть только текстовая часть сайта. если жать обновить несколько раз, то в итоге страничка загружается. и так со всеми программами, аська цепляется раз через 5-10, почта в thebat уходит тоже с далеко не первого пинка. Хотя бывают редко случаи, что все открывается нормально но не надолго. Проблема точно в шлюзе, т.к. если подключиться напрямую к спутниковому терминалу, то все грузится хорошо.

Есть еще одна замечательная программа Трафик Компрессор, если с ее помощью открывать странички, то вообще нет никаких глюков, но не поставлю же я ее каждому юзеру в сети, тем более она платная.

раньше стоял комп на пне 3 с МТ 2.9, но т.к. глюки эти сильно достали решил сменить комп, поставил на 4 пне и с МТ 3.3 но все осталось по прежнему.

192.168.33 - моя сеть
10.30.128 - прова

теперь конфиги:


Цитата
/interface ethernet
set 0 arp=enabled auto-negotiation=no cable-settings=default comment="" \
disable-running-check=yes disabled=no full-duplex=no mac-address=\
00:17:31:57:7C:C5 mtu=1446 name=INET speed=100Mbps
set 1 arp=enabled auto-negotiation=no cable-settings=default comment="" \
disable-running-check=yes disabled=no full-duplex=no mac-address=\
00:01:02:FA:C4:AB mtu=1500 name=LAN speed=100Mbps


фаер:
/ip firewall address-list
тут прописаны юзеры
1я 6я и 8я группы.
1я высший приоритет


/ip firewall filter
add action=drop chain=input comment="Drop NETBIOS" disabled=no dst-port=\
137,138 protocol=udp
add action=drop chain=forward comment="" disabled=no dst-port=137,138 \
protocol=udp
add action=accept chain=input comment="Web Stat in" disabled=yes dst-port=80 \
in-interface=INET protocol=tcp
add action=accept chain=forward comment="MAIL - IN" disabled=no dst-address=\
192.168.33.200 dst-port=25 protocol=tcp
add action=accept chain=input comment="Added by webbox" disabled=no protocol=\
icmp
add action=accept chain=input comment="" connection-state=established \
disabled=no in-interface=INET
add action=accept chain=input comment="" connection-state=related disabled=no \
in-interface=INET
add action=drop chain=input comment="" disabled=no in-interface=INET
add action=jump chain=forward comment="" disabled=no in-interface=INET \
jump-target=customer
add action=accept chain=customer comment="" connection-state=established \
disabled=no
add action=accept chain=customer comment="" connection-state=related \
disabled=no
add action=drop chain=customer comment="" disabled=no


/ip firewall mangle
add action=mark-packet chain=forward comment=---1--- disabled=no \
new-packet-mark=1-u out-interface=INET passthrough=no src-address-list=\
1-grp
add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
1-grp new-packet-mark=1-d out-interface=LAN passthrough=no
add action=mark-packet chain=forward comment=---6--- disabled=no \
new-packet-mark=6-u out-interface=INET passthrough=no src-address-list=\
6-grp
add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
6-grp new-packet-mark=6-d out-interface=LAN passthrough=no
add action=mark-packet chain=forward comment=Other disabled=no \
new-packet-mark=8-u out-interface=INET passthrough=no src-address-list=\
!1-grp,6-grp
add action=mark-packet chain=forward comment="" disabled=no dst-address-list=\
!1-grp,6-grp new-packet-mark=8-d out-interface=LAN passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="NAT - 1" disabled=no \
out-interface=INET src-address-list=1-grp
add action=masquerade chain=srcnat comment="NAT - 6" disabled=no \
out-interface=INET src-address-list=6-grp
add action=masquerade chain=srcnat comment="NAT - 8" disabled=no \
out-interface=INET src-address-list=8-grp
add action=dst-nat chain=dstnat comment="MAIL - IN" disabled=no dst-address=\
10.30.128.115 dst-port=25 in-interface=INET protocol=tcp to-addresses=\
192.168.33.200 to-ports=25



/queue tree
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=down parent=LAN priority=8
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=250k name=upload parent=INET priority=8

/queue type
set default kind=pfifo name=default pfifo-limit=50
add kind=pcq name=down pcq-classifier=dst-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000
add kind=pcq name=upload pcq-classifier=src-address pcq-limit=50 pcq-rate=0 \
pcq-total-limit=2000

/queue tree
add burst-limit=200k burst-threshold=100k burst-time=10s disabled=no \
limit-at=0 max-limit=0 name=1-grp-d packet-mark=1-d parent=down priority=\
2 queue=down
add burst-limit=400k burst-threshold=280k burst-time=30s disabled=no \
limit-at=50k max-limit=240k name=6-grp-d packet-mark=6-d parent=down \
priority=6 queue=down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=8-grp-d packet-mark=8-d parent=down priority=8 queue=\
down
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=1-grp-u packet-mark=1-u parent=upload priority=2 queue=\
upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=6-grp-u packet-mark=6-u parent=upload priority=6 queue=\
upload
add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 \
max-limit=0 name=8-grp-u packet-mark=8-u parent=upload priority=8 queue=\
upload


ДНС прова, а вообще пробовал разные ДНС
/ip dns
set allow-remote-requests=yes cache-max-ttl=1w cache-size=2048KiB \
max-udp-packet-size=512 primary-dns=10.1.1.1 secondary-dns=0.0.0.0

шлюз (спутниковый модем)
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\
10.30.128.113 scope=30 target-scope=10

вышеописанные глюки в любой группе

Скриншоты
http://www.mikrotik.by/index.php?act=attach&type=post&id=61
http://www.mikrotik.by/index.php?act=attach&type=post&id=62
http://www.mikrotik.by/index.php?act=attach&type=post&id=63

Nemnon
Попробуй отключить правила в /queue и посмотреть как работает инет, у меня была похожая проблема криво настроил /queue

Nemnon
Может дело в MSS?
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu tcp-flags=syn
protocol=tcp

Chupaka

Цитата:

так вроде Интернет недоступен - вот его и надо трассировать
 
а /tool ping-speed вообще никуда не вкрался, надо использовать обычный /ping

я же говорю, когда я пингую простым пингом локальный свой же адрес и провайдерский, то все нормально, когда начинаю пинговать адрес внешний относительно провайдерского, то картина такая:
77.88.21.3 timeout
77.88.21.3 timeout
192.168.2.253 92 byte host unreachable (3:1) time=979 ms
77.88.21.3 timeout
77.88.21.3 timeout
192.168.2.253 92 byte host unreachable (3:1) time=979 ms
77.88.21.3 timeout
77.88.21.3 timeout

100% packets lost.

что значит свой локальный адрес unreachable? почему так?