» MikroTik RouterOS (часть 3)

MAVrADMIN

Цитата:

бродкаст проходит... вижу я это по тому факту, что в фаерволе получаю кучу зарезанных ответов от серверов из сетиN на адрес микротика... а микротик их режет и не задумывается

на адрес микротика - а если отключить маскарад? хотя бы именно для этих пакетов...

Bambastick

Цитата:

в очереди показывает 450мегабит, а на адаптере 500мегабит

по идее, очередь показывает второй уровень OSI, а адаптер - первый, это + 14 байт на каждый пакет (два мак-адреса + 2 байта ethernet-протокол). не сходится?..

Цитата:

по идее, очередь показывает второй уровень OSI, а адаптер - первый, это + 14 байт на каждый пакет (два мак-адреса + 2 байта ethernet-протокол). не сходится?..

в тот момент было около 70к ппс на 50мегабит не дотягивает. Беда в том что эта величина не постоянная, бывает меньше разница. Мой пров поставил мне окно по езернету в 500мегабит, чтобы не выпрыгнуть и не нарваться на дроп в шейпере приходится ставить 445мбит. При 445мбитах в шейпере 480мбит на адаптере в основном, но иногда поднимается до 500, а на 505 меня уже дропают.

Цитата:

если отключить маскарад

если отключить маскарадинг, то ответов от серверов вообще не будет, так как в удаленных сетях разрешены запросы только с определенных сетей... т.е. шнурок приходит в микротик... а чтоб не прописывать на каждой машине по 2 ИП(своей сети и разрешенной удаленной) - сделан маскарадинг

Заметил интересную ситуацию. Настроена очередь PCQ, за ней примерно 900 живых хостов, остальные ИПы не используются. Соответственно на протяжении всего дня количество PCQ очередей колеблется от 300 до 900, но в часы пик это количество вырастает до 1600 на 5-10минут и опять приходит в норму. Как выявить что это?

Подскажите как сделать:
На внешнем интерфейсе несколько IP-адресов.
Необходимо поднять несколько VPN, каждый VPN должен выходить в инет со своим внешним IP.

Грубо говоря на WAN есть 2 IP: 111.111.111.111 и 222.222.222.222.
Клиенты VPN1 получают внутренние адреса 192.168.111.2-192.168.111-100.
Клиенты VPN2 получают внутренние адреса 192.168.222.2-192.168.222-100.

Нужно что-бы клиенты VPN1 зайдя на сайт my-ip.ru видели 111.111.111.111 а клиенты VPN2 222.222.222.222.
Заранее спасибо.

Цитата:

Грубо говоря на WAN есть 2 IP: 111.111.111.111 и 222.222.222.222.

Шлюзы у адресов разные? Тогда маркировать и роутить через нужные шлюзы

Шлюзы разные. Если не сильно напрягу - скиньте пару ссылок на то, как это сделать Я в этом не очень силен.

jfx
MAVrADMIN
ну, вообще, касательно поставленной задачи, надо просто правило маскарада заменить на src-nat с указанием в to-addresses нужного адреса. а вот если ещё и на разные шлюзы разрулить надо - тогда тут нужен policy routing и подробности =)

Chupaka
Спасибо, с src-nat получилось как надо.

Добавлено:
Хотя не совсем IP отдается какой нужно, но все маршруты идут только через 1 шлюз. Все-таки нужно и с шлюзами менять что-то.
Про policy routing расскажите поподробней пожалуйста.

jfx
научите меня так читать...

Цитата:

подробности

!!!

Добавлено:
jfx
навскидку:
/ip route add gateway=1.1.1.1 routing-mark=gw1
/ip route add gateway=2.2.2.2 routing-mark=gw2
/ip route rule add src-address=192.168.111.0/24 action=lookup table=gw1
/ip route rule add src-address=192.168.222.0/24 action=lookup table=gw2

Спасибо.

Обнаружил интересный глюк микротика:
[more=Скриншот]

[/more]
Вкратце — при нестабильной связи получаются очень любопытные данные из теста пропускной способности, в моём случае на передачу 7,1Gbps и 2592,1 Gbps за 10 с.

Подскажите плиз как изменить приоритет ВПН подключений?
(скорость для впн клиентов 256к\256к).
По умолчанию 8, а нужно повыше задать...


П.С.
Или делать через маркировку пакетов и уже "там" все делать?

trikachuka
лучше, конечно, через маркировку. но если авторизация по радиусу - можно вместе с max-limit отдавать и всё остальное (limit-at, priority)

Доброго всем дня! подскажите плз, на адаптере образуются ошибки, чем глянуть что за ошибки?
Подскажите програмку под винду чем можно попинговать с записью логов и с постройкой графиков отображающих задержки и потери? Необходимо пару суток помониторить около 10ти адресов и дать результаты прову.

Bambastick
мот PingPlotter какой?

а где ошибки видны?

ошибки на интерфейсе который смотрит на прова в RX Errors

подскажите микротик RB450G перестал подключаться к провайдеру по pppoe
настройки не менялись, микротик просто не видит pppoe серверов
подключаю в тот же порт windows с pppoe monitor - вижу два pppoe сервера и сессия нормально поднимается.

куда копать ?

странно, переключил из 3 порта в 5 и заработало

Добрый день,
есть RB750G, кто может подсказать реализацию "whitelist" по mac'у для локалки (адреса статические)?

MoJo
ARP-записи вбить статикой, поставить ARP в reply-only на интерфейсе

ребята подскажите как ограничить злодеям число подключений в сети ?
дабы не сильно нагружали канал.

спасибо.

slech
параметр connection-limit в правилах файрвола

хочу разобраться с приоритезацией трафика, для начала хочу отделить icmp от всего трафика и выдать ему 1-й приоритет.

Правильно ли я построил цепочку?


[admin@inet_radius] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; mark-conn-down
chain=forward action=mark-connection new-connection-mark=mark-conn-down
passthrough=yes dst-address-list=Clients

1 ;;; mark-conn-up
chain=forward action=mark-connection new-connection-mark=mark-conn-up
passthrough=yes src-address-list=Clients

2 ;;; mark-icmp-down
chain=forward action=mark-packet new-packet-mark=mark-icmp-down
passthrough=no protocol=icmp connection-mark=mark-conn-down

3 ;;; mark-other-down
chain=forward action=mark-packet new-packet-mark=mark-other-down
passthrough=no connection-mark=mark-conn-down

4 ;;; mark-icmp-up
chain=forward action=mark-packet new-packet-mark=mark-icmp-up
passthrough=no protocol=icmp connection-mark=mark-conn-up

5 ;;; mark-other-up
chain=forward action=mark-packet new-packet-mark=mark-other-up
passthrough=no connection-mark=mark-conn-up

[admin@inet_radius] >



[admin@inet_radius] > queue tree print
Flags: X - disabled, I - invalid
0 name="Down" parent=global-out packet-mark="" limit-at=0 queue=pcq-down
priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

1 name="Down-icmp" parent=Down packet-mark=mark-icmp-down limit-at=0
queue=pcq-down priority=1 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s

2 name="Down-other" parent=Down packet-mark=mark-other-down limit-at=0
queue=pcq-down priority=8 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s

3 name="Up" parent=global-out packet-mark="" limit-at=0 queue=pcq-up
priority=8 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

4 name="Up-icmp" parent=Up packet-mark=mark-icmp-up limit-at=0 queue=pcq-up
priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

5 name="Up-other" parent=Up packet-mark=mark-other-up limit-at=0
queue=pcq-up priority=8 max-limit=0 burst-limit=0 burst-threshold=0
burst-time=0s
[admin@inet_radius] >

всех приветствую
с недавних пор в логах микротика стали появляться такие вот ошибки

manager error info... failed to detect payment timeout: unable to open database file
manager error info... failed to cleanup session.acctSessionld: unable to open database file
manager error info... failed to cleanup log.acctSessionld: unable to open database file
manager error info... failed to cleanup incomplete users: unable to open database file

микротик при этом работает, раздает интернет. Но вот попытка сделать бекап, была неудачной. Если сделать ребут удаленно, то микротик пропадает из сети и его нужно выключать полностью из электросети, после чего перегружать заново, чтобы он заработал. Версия ОС 4.11 лицензия.
Какой ждать беды и почему появляются такие ошибки, кто-нибудь сталкивался?

подскажите сделал балансировку 2-х каналов по статье папа-админ:

ip firewall mangle add chain=forward in-interface=usi action=mark-connection new-connection-mark=usi_c passthrough=yes
ip firewall mangle add chain=forward in-interface=raid action=mark-connection new-connection-mark=raid_c passthrough=yes
ip firewall mangle add chain=prerouting src-address=192.168.0.0/16 connection-mark=usi_c action=mark-routing new-routing-mark=usi_r passthrough=yes
ip firewall mangle add chain=prerouting src-address=192.168.0.0/16 connection-mark=raid_c action=mark-routing new-routing-mark=raid_r passthrough=yes
ip route add routing-mark=usi_r gateway=212.x.x.x
ip route add routing-mark=raid_r gateway=raid
ip firewall address-list add address=212.33.225.212 list=to_raid comment="route via raid"
ip firewall address-list add address=212.120.160.130 list=to_usi comment="route via usi"
ip firewall mangle add chain=prerouting connection-state=new dst-address-list=to_raid action=mark-routing new-routing-mark=raid_r
ip firewall mangle add chain=prerouting connection-state=new dst-address-list=to_usi action=mark-routing new-routing-mark=usi_r
ip firewall mangle add chain=output connection-state=new dst-address-list=to_raid action=mark-routing new-routing-mark=raid_r
ip firewall mangle add chain=output connection-state=new dst-address-list=to_usi action=mark-routing new-routing-mark=usi_r

из вне все ОК, а изнутри пока основной канал работает все ок, когда он падает происходит переход все хорошо, но при восстановлении канала (поднятия pppoe) все равно продолжает трафик идти по второму каналу

wespe75
на диске место есть?

Dimsoft
половина непонятна, но может
Код: /ip route print detail

Цитата:

расскажет подробности в момент возникновения проблемы?..

Chupaka

видимо "долго думает", подождал 3 минуты и tracert с клиента пошел по нужному маршруту

Нужна проверка на ошибки. Есть канал 6M/512k нужно обеспечить стабильный пинг, voip и зарезать торрентов. Вот начал


[admin@inet_radius] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; mark-conn-down
chain=forward action=mark-connection new-connection-mark=mark-conn-down
passthrough=yes dst-address-list=Clients

1 ;;; mark-conn-up
chain=forward action=mark-connection new-connection-mark=mark-conn-up
passthrough=yes src-address-list=Clients

2 ;;; mark-icmp-down
chain=forward action=mark-packet new-packet-mark=mark-icmp-down
passthrough=no protocol=icmp connection-mark=mark-conn-down

3 ;;; mark-icmp-up
chain=forward action=mark-packet new-packet-mark=mark-icmp-up
passthrough=no protocol=icmp connection-mark=mark-conn-up

4 ;;; mark-tcp-other-down
chain=forward action=mark-packet new-packet-mark=mark-other-down
passthrough=no protocol=tcp connection-mark=mark-conn-down

5 ;;; mark-tcp-other-up
chain=forward action=mark-packet new-packet-mark=mark-other-up
passthrough=no protocol=tcp connection-mark=mark-conn-up

6 ;;; mark-udp-other-down
chain=forward action=mark-packet new-packet-mark=mark-udp-other-down
passthrough=no protocol=udp connection-mark=mark-conn-down

7 ;;; mark-udp-other-up
chain=forward action=mark-packet new-packet-mark=mark-udp-other-up
passthrough=no protocol=udp connection-mark=mark-conn-up

8 ;;; mark-udp-1513-down
chain=postrouting action=mark-packet new-packet-mark=mark-udp-1513-down
passthrough=no protocol=udp src-port=1513 connection-mark=mark-conn-down

9 ;;; mark-udp-1513-up
chain=postrouting action=mark-packet new-packet-mark=mark-udp-1513-up
passthrough=no protocol=udp dst-port=1513 connection-mark=mark-conn-up

[admin@inet_radius] >



[admin@inet_radius] > queue tree print
Flags: X - disabled, I - invalid
0 name="Down" parent=global-out packet-mark="" limit-at=0 queue=pcq-down priority=8
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

1 name="Down-icmp" parent=Down packet-mark=mark-icmp-down limit-at=0 queue=pcq-down
priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

2 name="Down-tcp-other" parent=Down packet-mark=mark-other-down limit-at=0 queue=pcq-down
priority=4 max-limit=4000000 burst-limit=0 burst-threshold=0 burst-time=0s

3 name="Up" parent=global-out packet-mark="" limit-at=0 queue=pcq-up priority=8
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

4 name="Up-icmp" parent=Up packet-mark=mark-icmp-up limit-at=0 queue=pcq-up priority=1
max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

5 name="Up-tcp-other" parent=Up packet-mark=mark-other-up limit-at=0 queue=pcq-up
priority=4 max-limit=300000 burst-limit=0 burst-threshold=0 burst-time=0s

6 name="Down-udp-other" parent=Down packet-mark=mark-udp-other-down limit-at=0
queue=pcq-down priority=6 max-limit=512000 burst-limit=0 burst-threshold=0
burst-time=0s

7 name="Up-udp-other" parent=Up packet-mark=mark-udp-other-up limit-at=0 queue=pcq-up
priority=6 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

8 name="Down-udp-1513" parent=Down packet-mark=mark-udp-1513-down limit-at=0
queue=pcq-down priority=2 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

9 name="Up-udp-1513" parent=Up packet-mark=mark-udp-1513-up limit-at=0 queue=pcq-up
priority=2 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s
[admin@inet_radius] >

Chupaka
на диске свободного места 240 Гб
ошибка появляется с периодичностью приблизительно каждые 30 минут.

Всем доброго дня!
Подскажите пожалуйста знатоки микротика, публикую почтовый сервак как обычно через dst-nat. Завернул обратно из локалки, за что вам всем спасибо. Но теперь возникла еще одна грабля. При прохождении пакета снаружи внутрь адрес источника меняется на внутренний адрес микротика. И мой почтовый сервак думает что все письма идут из локалки и весело их пропускает.

Как правильно написать правило чтобы исходный адрес клиента не подменялся на адрес микротика?