» MikroTik RouterOS (часть 3)

rb750G обновился до 5.2 ночью отвалились интерфейсы ?! хочу откатиться до более стабильной версии,

Подскажите , что посоветуете!!

rosalin
Сброс настроек не помогает получить контроль над железкой?

faust72rus
сбросил , перешел на 4.17 , посмотрим , что да как

faust72rus
Блин опять все повторилось , отваливание интерфейсоф и зависание

Добавлено:
Ребята какие пакеты можно отключить 5 версия ()

I _ advanced-tools
I _ calea
I _ dhcp
I _ gps
I _ hotspot
I _ ipv6
I _ Icd
I _ mpls
I _ multicast
I _ ntp
I _ ppp
I _ routerboard
I _ routing
I _ security
I _ system
I _ ups
I _ user-manager
I_ wireless

Isorkin

Цитата:

если пометить icmp пакеты через mark connection а потом уже mark packet, то в queue tree вместе с icmp пакетами попадают пакеты UDP и TCP

У меня такая же хрень на 3х и 4х. Указывайте протоколы не только в правилах маркировки соединений, но и в правилах маркировки пакетов также.

Маркировка соединений вообще нужна в случае использования Source NAT, т.к. после него пакеты уходят в интернет с обратным адресом роутера, и приходящие ответы имеют в адресе назначения адрес роутера, а не адреса внутренних компов (за NAT). В итоге без контроля соединений невозможно определить кому предназначены ответные пакеты.
Но тут возникает другая задача - при шейпинге траффика нужно каким-то образом определять, в какую сторону идёт траффик по соединению, наружу или внутрь локальной сети. Это особенно важно для нессимметричных каналов связи, как ADSL.

обновил до 5.2 - жесть, проработал несколько часов - завис,
ребут, работает несколько часов - завис....
они там что издеваются? одно делают другое калечат,
точки то же как то странно себя ведут, а именно по
показателям, предполагаю, что врут....

Iliasla
не могли бы вы для общего развития объяснить, про NAT,
а именно я понимаю, что пакет уходит во внешку и роутер
подменяет локальный адрес своим, а вот обратно как
пакет попадает тому кто его запросил, ведь удаленный сервер
отвечает именно на адрес роутера? где хранится информация,
что пакет пришел именно "Пети" а не Васи"...

vlh
NAT при работе использует технологию Connection Tracking, создавая таблицы, в которых размещает соединения и их свойства. Поэтому NAT достаточно ресурсоёмок.
В RouterOS технологию Connection Tracking можно отключить (командой в терминалке) - при этом NAT перестанет функционировать, а нужно это для высоконагруженных простых роутеров, соединяющих большие подсети - исключаются лишние затраты памяти и ресурсов CPU.

Iliasla
спасибо, вроде понятно, что создается некая таблица в которой
помечается кому в локальной сети вернуть ответ с удаленного
сервера...
а вот про то что можно отключить Connection Tracking и NAT
перестанет работать, но как же если он нужен, то есть через
один IP пустить несколько локальных машин, вот что то это как то не понял..
если не нужен NAT, то его можно и не включать, просто не создавать
правила и все...

vlh
Правила можно не создавать, но трекинг всё равно будет работать для внутренних целей роутера.
Если роутер не используется как пограничный для выхода в интернет, а используется как внутренний, например в больших домовых или корпоративных сетях, NAT может быть не нужен.
Различие в производительности можете посмотреть в табличке http://www.routerboard.com/pdf/routerboard_performance_tests.pdf

rosalin
Там же по названиям понятно на 100% правильность не претендую, но:
I _ advanced-tools - оставьте, полезные утилиты
I _ calea - сэшээйский вариант СОРМа, не нужен
I _ dhcp - сервер и клиент
I _ gps - хз..
I _ hotspot - для создания точек доступа в интернет по абонементам, для гостиниц и т.п.
I _ ipv6 - протокол IP 6-й версии (используете?)
I _ Icd - для LCD-экранов (он у Вас есть?)
I _ mpls - для межпровайдерского обмена http://ru.wikipedia.org/wiki/MPLS
I _ multicast - требуется для IPTV (IGMP Proxy)
I _ ntp - сервер времени
I _ ppp - обычно нужен, PPTP, L2TP и т.д.
I _ routerboard - мониторинг параметров, настройка и обновление загрузчика аппаратных роутеров (см. system)
I _ routing - продвинутые протоколы роутинга (STP, RIP, OSPF, BGP и др.)
I _ security - нужен для управления юзерами и пр.
I _ system - управление системой (см. routerboard), оставьте
I _ ups - поддержка бесперебойников APC
I _ user-manager - обычно исп. для HotSpot-а
I_ wireless - поддержка беспроводной связи, радиокарт

Chupaka

Цитата:

это невозможно по принципу работы сетей

Ну если не настроена блокировка входящего трафика, можно и увидеть кое-что, NAT же не блокирует ничего. ))

еще проблемы с версией 5.0, при загрузки канала в 20-30Мбит\с
загрузка процессора примерно 50-70% если при этом начать что то
качать с локальных ресурсов провайдера, то процессор упирается
в 100% закачка с локальных ресурсов больше 40-50Мбит\с не
поднимается. хотя интернет при этом работает нормально.
откатился на 4.10 при таком же раскладе загрузка канала 20-30Мбит\с,
процессор 20-30% далее качаем с локалки процессор в 80-90% закачка
80Мбит\с....
что то мне все больше перестает нравится это железо....
так же вставлена флешь, на какой то версии ее было видно, но при
каком то обновлении она пропала, решил, что контакты наверное отходят,
после обновления до 5.0 она сама появилась, откат на 4.10 - опять пропала...

Цитата:

Iliasla
Ну если не настроена блокировка входящего трафика, можно и увидеть кое-что, NAT же не блокирует ничего.

но а разве согласно OSI роутер это L3, а на этом уровне MAC не работает...
не так ли?

vlh
Они могли бы просканировать IP из популярных диапазонов. Или вообще эти IP засветились бы своим траффиком, как знать, как там настроен микротик..

По поводу ROS 5 - есть мысль установить в ней использование только одного ядра процессора, может косяк тут
/system hardware print
/system hardware set multi-cpu=no
Насчёт флешки - переформатировать под текущей 4-й версией, если не видна.
Может, вообще отключена была просто. /system stores

ТС писал, что ему показали МАС адреса, вот и интересно как через L3
они могли их увидеть...
у меня 450G там наверное всего одно ядро.. (cpu-count: 1)

Цитата:

Насчёт флешки - переформатировать под текущей 4-й версией, если не видна.

если она не видна то как?


Цитата:

Может, вообще отключена была просто. /system stores

ее там нет, что бы что то с ней сделать...
мне с флешкой не критично, просто как факт....

Iliasla
Спасибо!

vlh
Ну по проблеме ТС - чего гадать - пусть конфиг показывает..

450G одноядерный, но именно что принудительно указать RoS только одно ядро. Это из категории бубнов и плясок, конечно, но всё может быть.

Отформатить там где видна, именно под RouterOS =)
Хотя, может, флешка кривая, плохосовместимая. Мне CF-ки такие попадались, с одними переходниками IDE/CF работали - с другими глючили..

Цитата:

Chupaka
вариант: ограничивать отдельно веб-порты и отдельно всё остальное. торренты с большего не будут пересекаться с вебом, а если вдруг торрент сядет на 80 порт - то всё равно без ограничения не останется, только чуть большего

то есть если я поставлю ограничение TCP сессий скажем 70 и отмечу
что кроме 80 порта, то клиент запустивший у себя торрент который
забьет у него все 70 сессий спокойно при этом сможет открывать веб
странички?
если так то это гуд...

Есть вопрос.

Имеем два офиса, между ними IPSec туннель, первый имеет подсеть 10.3.2.0/24, второй 10.255.0.0/24. Во втором офисе стоит Mikrotik, который также принимает входящие L2TP соединения и выдает им адреса из подсети 10.255.255.0/24. Политика IPSec настроена таким образом, чтобы шифровать пакеты из подсети 10.3.2.0/24 в подсеть 10.255.0.0/16, т.е. правило теоретически охватывает обе подсети 10.255.0.0/24 и 10.255.255.0/24. Однако на практике шифруется только трафик между 10.3.2.0/24 и 10.255.0.0/24. Трассировка с L2TP входящего соединения показывает, что пакеты для сети 10.3.2.0/24 уходят в Интернет (через шлюз по-умолчанию Mikrotikа), а не в туннель. Где еще поплясать с бубном, чтобы заставить пакеты со входящих L2TP соединений уходить в IPSec туннель ?

Добавлено:
Нашел решение сам. Нужно было добавить исключение на трансляцию адресов для сети 10.3.2.0 на интерфейсе, который смотрит в Интернет. Похоже IPSec правила отрабатывают уже после того, как пакет с L2TP соединения прошел трансляцию.

разбираюсь и пишу себе большую шпаргалку

Адрес mikrotik lan 192.168.1.254
Адрес mikrotik WAN 10.10.10.2
Адрес модема 10.10.10.1 модем в режиме моста бридж
Соединение pppoe подымает mikrotik
интернет работает и раздаётся по ip адресам
списки клиентов
заполняю адрес листы
address-list
Business_class_client
Client_300k
Client_500k
Client_1000k
Client_2000k
Client_4000k
Client_6000k
метим трафик клиентов
пока метим 2 типа клиентов 300 и 1000
Mangle
[more=Mangle читать дальше..]/ip firewall mangle add chain=forward src-address-list=Client_300k action=mark-connection new-connection-mark=client_300k_conn passthrough=yes comment="mark client_300k traffic" disabled=no
/ip firewall mangle add chain=forward connection-mark=client_300k_conn action=mark-packet new-packet-mark=client_300k_traffic passthrough=no comment="" disabled=no
/ip firewall mangle add chain=forward src-address-list=Client_1000k action=mark-connection new-connection-mark=client_1000k_conn passthrough=yes comment="mark client_1000k traffic" disabled=no
/ip firewall mangle add chain=forward connection-mark=client_1000k_conn action=mark-packet new-packet-mark=client_1000k_traffic passthrough=no comment="" disabled=no\
/ip firewall mangle add chain=forward action=log log-prefix="" comment=" Check for unmarked traffic" disabled=no[/more]

Queue Tree
[more=Queue Tree читать дальше..]/queue tree add name="Total_download" parent=global-out packet-mark="" limit-at=0 queue=default priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
/queue tree add name="300k_dn" parent=Total_download packet-mark=client_300k_traffic limit-at=0 queue=PCQ_down_300k priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
/queue tree add name="1000k_dn" parent=Total_download packet-mark=client_1000k_traffic limit-at=0 queue=PCQ_down_1000k priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
/queue tree add name="Total_upload" parent=byfly packet-mark="" limit-at=0 queue=default priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
/queue tree add name="128k_up" parent=Total_upload packet-mark=client_300k_traffic limit-at=0 queue=PCQ_up_128k priority=4 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no
/queue tree add name="512k_up" parent=Total_upload packet-mark=client_1000k_traffic limit-at=0 queue=PCQ_up_512k priority=4 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s disabled=no[/more]

Создадим PCQ
PCQ_down_300k
PCQ_down_1000k
PCQ_up_128k
PCQ_up_512k
в итоге получили двух клиентов
1) Client_300k скачка 300к отдача 128к
2) Client_1000k скачка 1000к отдача 512к
3) остальные по аналогии

далее надо придумать как
1) обеспечить хороший пинг на игровые сервера независимо от тарифа
2) промаркировать и расставить приоритеты трафика
3) настроить фаервол как настраивать пока не определился или разрешить все остальное запретить и ли запретить много чего а все остальное разрешить
4) Byfly имеет гостевые ресурсы скорость доступа на которые больше
задача дать например клиенту Client_1000k внешнюю скорость 1000к на внутренние Byfly 2000k

например наброска приоритетов
1 ping dns
2 games RDP SSH
3 http 200k VoIP skype
4 http>500k
5 online video
6 и весь остальной не маркированый
7 закачки FTP mail
8 P2P
пишу тут может кто поможет реальными советами и примерами
Mikrotik настройка шейпера приоритетов скорости https://docs.google.com/document/d/11ePoIpv65RuJ9-zJFiblJYga1mP53YJVwyfzihwH-2o/edit?hl=ru&authkey=CP_Dk9cM

Гуру подскажите почему не работает этот скрипт , он должен пинговать сайт
http://www.changeip.com/ и следить за сменой IP адреса. Я его руками запускаю, после отключения Микротика и смены динамического IP, счетчик сработки скрипта увеличивается , а на сайте в логах пусто. Только после запуска их родной утилиты HOMINGBEACON 3.0.0.9 Dynamic DNS Providers и ее сработки вижу в логах что IP успешно изменен. То есть скрипт не видит смены адреса и следовательно мой радмин не работает. В shedule скрипт /system script run ChangeIP срабатывет, счетчик увеличивается, но впустую, так как основной скрипт не работает.

:global ddnsuser "log"
:global ddnspass "pass"
:global ddnshost "name.freeWWW.biz"
:global ddnsinterface "tp.kyivstar.ua"

:global ddnssystem ("mt-" . [/system package get [/system package find name=system] version] )
:global ddnsip [ /ip address get [/ip address find interface=$ddnsinterface] address ]
:global ddnslastip

:if ([:len [/interface find name=$ddnsinterface]] = 0 ) do={ :log info "DDNS: No interface named $ddnsinterface, please check configuration." }

:if ([ :typeof $ddnslastip ] = "nothing" ) do={ :global ddnslastip 0.0.0.0/0 }

:if ([ :typeof $ddnsip ] = "nothing" ) do={

:log info ("DDNS: No ip address present on " . $ddnsinterface . ", please check.")

} else={

:if ($ddnsip != $ddnslastip) do={

:log info "DDNS: Sending UPDATE!"
:log info [ :put [/tool dns-update name=$ddnshost address=[:pick $ddnsip 0 [:find $ddnsip "/"] ] key-name=$ddnsuser key=$ddnspass ] ]
:global ddnslastip $ddnsip

} else={

# :log info "DDNS: No changes necessary."

}

}

Iliasla

Цитата:

Ну если не настроена блокировка входящего трафика, можно и увидеть кое-что, NAT же не блокирует ничего. ))

это что ещё за блокировка входящего, и что такого НАТ не блокирует? вы развивайте тему, пожалуйста, а то мало ли, IEEE не в курсе...


Цитата:

450G одноядерный, но именно что принудительно указать RoS только одно ядро. Это из категории бубнов и плясок, конечно

говорят, при multi-cpu=no работает совершенно другой кернел (без поддержки SMP), поэтому это не особо-то и бубен. единственное - на роутербордах даже меню такого нет, /system hardware


Цитата:

Гуру подскажите почему не работает этот скрипт

а если его в Терминал вставить (обрамив "{" и "}") - всё работает и ошибок не показывает?

Chupaka
Блокировка несанкционированных подключений/траффика извне, для защиты внутренней сети. Дело в том что во многих программных файрволлах и в "мыльницах" включение NAT сопровождается скрытым включением блокирующих правил в файрволле, отчего у человека создаётся ложное впечатление, будто NAT одновременно блокирует несанкционированный входящий траффик.
Хм.. точно менюшка /system hardware заблокирована.. вот засада

garbals
Да Вы вроде всё уже определили ))
1) Игры - рассматриваем траффик игр, чувствительных к задержкам, и ставим им приоритет повыше
3) Файрволл - придерживайтесь политики разрешения. Запретите только несанкционированные входящие, а также исходящий траффик на 25-й порт (тут надо осторожно, т.к. он используется не только вирями но и для отправки почты - можно предложить всем пользоваться для отправки Вашим почтовым сервером), NetBios и т.п. популярные порты, также торрент uTP и возможно DHT.
4) Можно использовать скрипт включения/выключения соотв. правил по планировщику, или задать время работы в самих правилах.

з.ы. Правило 6 лучше задвинуть после 7-го, т.к. в 6-е правило будет попадать, скажем, шифрованный торрент-траффик и т.п.
Как вариант решения - анализировать правилами размер пакетов и интенсивность в pps. В принципе аналогично можно разбирать исходящий на 25-й порт, по количеству соединений на 1 IP в секунду и выносить решение о блокировке, но тут возможны ложные блокировки. Ну и все эти анализы будут тратить ресурсы CPU.

tadam
Попробуйте после каждой строки вставлять вывод на терминал какого-либо сообщения (в т.ч. печать переменных), таким образом можно увидеть, на каком шаге скрипт затыкается. Сначала после первого, затем сдвигайте его вниз по мере прохождения.
Возможно просто где-то опечатка в строке или с именем внешнего интерфейса нестыковка.

Люди подскажите кто как решил вопрос с видением лоагирование, кто куда ходил!
Просто ФСБ просит писать логи лоагированиев. например они должны выглядить вот так,
192.168.0.59 -> 188.227.69.85 10.10.2010
Кто как это арелезавал?

Цитата:

tadam
Попробуйте после каждой строки вставлять вывод на терминал какого-либо сообщения (в т.ч. печать переменных), таким образом можно увидеть, на каком шаге скрипт затыкается. Сначала после первого, затем сдвигайте его вниз по мере прохождения.
Возможно просто где-то опечатка в строке или с именем внешнего интерфейса нестыковка.

спасибо, пробуем....

pjilya
мы используем это - netflow
там на много больше чем вы просите...

Я пробовал прогу netflow!
Но что то она жутка тормазит и очень много весят логи!
А логи нужно хранить 3 года! Там просто не реальные цыфры получаются по обёму!
Я пытался как то найти в ней где можно указать что только записовать но не нашол!
Может подскажите есть ли возможность что бы писать только логи кто куда?
Заранее спасибо!

видать у вас большой объем трафика проходит и клиентов
не мало...
у нас лог на один день занимает ~120кбайт. для 5 интерфейсов...

Да совершенно верно! Загрузка канала 300мигабит/с 1000 машинак в сети!
Как решают этот вапросс с такими нагрузками?

и большой лог при таких объемах делал ManageEngine NetFlow Analyzer?
вроде как не очень уж у вас большой объем...

Ребята вернусь к вопросу , о
Настройка подключения L2TP IPSec VPN между Windows 7 Windows XP и Микротиком.

Моя версия ПО 5.2, клиентская тачка Windows XP, 7

все делаю по мануалу из шапки . все работает но !!!!

с отключенным IPSec на клиенте
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters]
"ProhibitIpSec"=dword:00000001


У кого нибудь получилось настроить без отключения,
посоветуйте плиз !!!!

pjilya
На форуме Нага делились вопрос хранения, и наиболее приемлемый способ - хранить "сырой" лог с месяц-три, потом его сжимать до минимального содержания (как Ваш пример) и хранить оставшийся срок. Иначе просто нереально.

А нет ли у когонибуть готового решения которое будет это делать автоматом?
Готов за такое решения заплатить!