» MikroTik RouterOS (часть 3)

Chupaka
Цитата:

а это где видно?.. вроде как должно корректно отрабатывать...

это видно в Queue Tree в правилах QoS, а именно: мой компьютер находится в группе
10.Unlimit-4096 и имеет ограничения по скорости на вход 4М на выход 1М, компьютеры
которые находятся в группе 07.Unlimit-1024 имеют ограничения на вход 1М на выход 400к,
так вот если сделать с моего компьютера тест скорости то на вход нормально, а вот на
выход 400к.... и так же видно что в Queue Tree в правилах для групп 2,3,4 на выход
перестают попадать пакеты, то есть там одни нули по всем приоритетам...
в данный момент решил проблему добавлением в правилах для группы 07.Unlimit-1024
на выход добавил для какой именно группы эти правила, то есть:

Код: add action=mark-packet chain=prerouting comment="" disabled=yes dst-port=80 \
in-interface=ether4 new-packet-mark=www_out_dom passthrough=no protocol=tcp \
src-address-list=07.Unlimit-1024

Chupaka
Версия 4.11. Может дать доступ к микротику и будет проще понять, чего я там не так наворотил?

Как включить loopback, чтобы можно было смотреть свои сайты за NAT?

Redisych
при чём тут loopback и чего именно надо добиться?

хорошо, будем разбираться по порядку, думаю мои большие топики ни кто
не может усвоить, долго читать
подскажите почему к правилу для роутинга

Код: add action=mark-routing chain=prerouting comment=\
"Mark routing for Unlimit 1024" disabled=no new-routing-mark=Unlim_1024 \
passthrough=no src-address-list=07.Unlimit-1024

есть ли какой нибудь быстрый способ скопировать из
адресс листа, группы 1 и 2 в группу 3 все IP?

Приветствую всех. Пока что ньюб в сабже не серчайте
Есть следующая вопрос. Имеется микротик 3.22, установлен на отдельную машинку - назовем ее "роутер".
2 интерфейса: 1 на интернет (локалка 192.168.56.0), 2 на инет (10.10.10.0). Интернет раздает сервер 10.10.10.1, на котором крутится ТИ.
Цель - получить роутером инет с сервера с ТИ, а затем раздать определенным макам.
Доступ на сервер - по маку, все прописано, но интернета на роутере нету (через консоль пинги на сайты не проходят, через winbox аналогично). Шлюз и днс (ими является адрес самого сервера с ТИ - 10.10.10.1) на роутере прописаны. В тоже время сам сервер с ТИ пингуется отлично, как и компы из локалки.
подскажите что сделано не так?
ps во время теста пингов интернет на сервере работал (проверял с домашней машины)

Здравствуйте с какой вирт машины видит установленную wi-fi карту????

Цитата:

с какой вирт машины

- c той, которая позволяет пробрасывать PCI устройства в ВМ, т.е. это XEN и возможно KVM (хотя в последнем не уверен).

извините за не грамотность.
Хотел сделать раздачу инета через pptp, но почему-то, ping timeout между local и remote address. в чем может быть проблема. Хотя заходит через заданный пароль без капризов. файерволов нет натов нет роуте ниче не добавлял. на свежеустановленном микротике делал с мануала из официального сайта точно так же.


или я туплю???

Добавлено:

Цитата:

- c той, которая позволяет пробрасывать PCI устройства в ВМ, т.е. это XEN и возможно KVM (хотя в последнем не уверен).

а USB wi-fi карты какая ВМ может пробрасывать в вм?

Добавлено:
XEN и KVM оказывается работают только под линукс... а мне надо было чтоб из под винды микротик запускать... и чтобы увидило wi-fi карту такое возможно???

Вопрос для знающих IPTV:
Есть большой умный свич в котором живет IPTV. К свичу подключен Микротик на котором настроен IGMP Proxy и раздает IPTV пользователям подключенным к Микротику. Сейчас нужно к этому (первому) Микротику подключить длинный кабель, в конце которого будет стоять еще один (второй) Микротик. Ко второму Микротику будут подключены PPTP или PPPOE юзеры. Хочу, чтобы эти пользователи тоже могли смотреть IPTV. Подскажите пожалуйста, как правильно пользователям которые подключены ко второму Микротику дать IPTV которое «живет» в свиче?

Подскажите из опыта, как ведет себя микротик на материнских платах интел 845, 865? Работает ли со всеми встроенными сетевыми?
От себя скаже, что на матери интел 815 с процессором PIII/866 при загрузке сети 90мбит (реалтек 8139) загрузка процессора 100%. Думаю вот заменить на более мощный. Не знаю, поможет только ли?

извините за не грамотность.
Хотел сделать раздачу инета через pptp, но почему-то, ping timeout между local и remote address. в чем может быть проблема. Хотя заходит через заданный пароль без капризов. файерволов нет натов нет роуте ниче не добавлял. на свежеустановленном микротике делал с мануала из официального сайта точно так же.


или я туплю???

Прочитал мануал QoS_Megis.pdf. Очень хороший и полезный документ. Понял как приоритезировать траффик (стр. 32-36). Но с моим знанием английского возник вопрос. Имеется канал 20мбит, 3 клиента vpn 4мбит (высокий приоритет) и 4 клиента vpn 2мбит (низкий приоритет). Возможно ли сделать так, чтобы при отсутствии кого-либо, остальные получали "добавку" к скорости? Т.е. в идеале, если подключен один клиент, он получал все 20мбит.

Цитата:

реалтек 8139

- рекомендую заменить сие чудо на 3СОМ, а лучше на интел (559).

Та я уже понял, прочитав обзор 2002 года на ixbt.

Добрый день. Нуждаюсь в совете.
Имеется следующая ситуация: у нас в городская сеть на скоростях 100Мбит и без какого-либо лимита, выход во «внешнюю» сеть в основном через vpn (или ipip\gre туннели). Но. В последнее время в город стал активно просачиваться ТТК, но он предоставляет доступ только через физическое подключение.
Сейчас домашняя сеть рулится через mini-itx сервер с убунтой на борту. Встроенная сетевая карта смотрит в «город», дискретная «внутрь». Если подключать ттк, то нужно будет находить и подключать еще одну сетевую, а это уже нереально (usb варианты как-то не рассматриваю).
Поэтому склоняюсь к варианту поставить что-то в «голову» сети, после долгих просмотров выявились варианты d-link dir-320\asus wl500gp с альтернативными прошивками, но мощностей этих роутеров всяко не хватит на постоянные 100Мбит + внутренняя сеть на гигабите. Были варианты planet\tp-link, но все это как-то не лежит.
Остановился пока на микротике rb 750\750g, поэтому хочется совета от тех, кто реально их использовал. Оправдана ли будет покупка g версии с гигабитом (в принципе, дома 3 компьютера, ноут, постоянно подцепленный кабелем, все это на длинке des-1008d)? Сколько реально из него можно выжать? В конечном счете, если разница в 1к рублей не оправдана, то можно взять 750g только как агрегатор 2-х провайдеров, а руление сетью оставить на сервере.

имеем микротик 750G 5 портов
1-й - серверная наша
2-й порт - АТС вышестоящего провайдера , у него в серверной тоже стоит микротик в бридже (это другой микротик).
3-й порт - антенка в бридже
4-й порт - куча маршрутизаторов
5-й порт - свободен
задача, настроить IP фильтрацию (с такого то интерфэйса, на такой то интерфэйс разрешать такие то подсети туда и обратно остальное запрещать)
настроить роутинг на каждом порту свой IP
сделать пропуск pppoe на все интерфэйсы


как пробовали
1) настраивали роутинг
2) фильтрация:
а) все порты в бридж и фильтрацию по типу:
add action=accept chain=forward comment="" disabled=no in-interface=Server src-address=192.168.15.0/24 mac-protocol=ip dst-address=192.168.21.0/24 out-interface=21ATS
add action=accept chain=forward comment="" disabled=no in-interface=21ATS src-address=192.168.21.0/24 mac-protocol=ip dst-address=192.168.15.0/24 out-interface= Server
проблемы - не видел пакеты между интерфэйсами, соответственно фильтрация не работала

б) всовывали порты в бридж, включали IP firewall
в бридже разрешали pppoe, в ip firewall разрешали необходимые нам подсети с такого то интерфэйса на такой то.
проблемы - ip firewall не видел пакетов по интерфэйсам потому что все интерфэйсы привязаны к бриджу, соответственно фильтрация не работала.

вопрос: как ещё можно прокинуть пппое траффик между интерфэйсами, с роутингом, и с фильтрацией по IP адресам на каждом интерфэйсе отдельно?
есть идеи?
погуглил, может какой нить broadcast relay? или c TTL поигратся? ... если такой вариант возможен то подскажите как настроить?
или ещё как вариант pppoe relay но с микротиком он вроде как не вяжется... или... я ошибаюсь?

Возник вопрос
У меня тут в mikrotik нужно было поднять vpn соединение на pptp протоколе (вроде бы правильно написал)
Но возникла следующая проблема ...
Когда подымается pptp протокол , то через несколько секунд - он обрывается (не понятно по какой причине,пишет что нестабильный линк) и начинает подымать по новому
Как самому микротику не дать разрывать само соединение ???
может где-то правило надо написать ???

Ни кто не сталкивался с такой проблемой:
требуется заблокировать доступ к примеру к twitter.com, но там "динамический" IP, я уже 6 разных адресов насчитал:
128.242.240.20
128.242.240.116
128.242.245.84
128.242.245.180
168.143.162.36
168.143.171.180
есть ли возможность как то блокировать не по ИП, а по хост-имени (twitter.com) ???
а то сменят ИП, и опять отслеживай и дописывай в список

и ещё вопросик:
это будет лучше, чем какой нибудь realtek ??? (25-30 юзеров, входящий 1Гб) http://www.intel.com/products/desktop/adapters/pro1000gt/pro1000gt-overview.htm

p.s. забыл совсем можно ли в МТ сохранять логи посещения с внутренних ИП (с какого ИП куда заходили, в идеале конечно получать не посещаемые ИП, а хост-имена... но этого наверно сложнее добиться ? )

Цитата:

это будет лучше, чем какой нибудь realtek ??? (25-30 юзеров, входящий 1Гб)

Я от думаю поменять свои все на DGE-530T для того, что бы розгрузить проц. Где-то я встречал инфу что они тоже неплохие. Или Интел в этом плане лучше?
Сейчас стоят 5 штук на 100 Мб - DFE-520TX, DFE-528TX, RTL-8139 и встроенная «Marvell 88E8001 Gigabit Ethernet Controller».
Подскажите, с какой начинать замену? Где самое слабое звено?

Цитата:

Хотел сделать раздачу инета через pptp, но почему-то, ping timeout между local и remote address

на примере можно? кого откуда куда пингуетм?


Цитата:

Возможно ли сделать так, чтобы при отсутствии кого-либо, остальные получали "добавку" к скорости? Т.е. в идеале, если подключен один клиент, он получал все 20мбит.

http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ#PCQ_Rate_Examples


Цитата:

постоянные 100Мбит + внутренняя сеть на гигабите.
Остановился пока на микротике rb 750\750g

RB750 - это SOHO, 100 Мбит за натом он может и не прокачает через себя...
хотя http://www.routerboard.com/pdf/routerboard_performance_tests.pdf более оптимистичен


Цитата:

Когда подымается pptp протокол , то через несколько секунд - он обрывается (не понятно по какой причине,пишет что нестабильный линк)

прописать маршрут к vpn-серверу через локальный шлюз


Цитата:

есть ли возможность как то блокировать не по ИП, а по хост-имени (twitter.com) ???

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy


Цитата:

можно ли в МТ сохранять логи посещения с внутренних ИП (с какого ИП куда заходили, в идеале конечно получать не посещаемые ИП, а хост-имена... но этого наверно сложнее добиться ? )

в MT сохранять - нельзя. можно на другой машине собирать либо NetFlow, либо логи веб-прокси

Stupido

Можно добавить в DNS статичную запись

Код: twitter.com 127.0.0.1

Цитата:

прописать маршрут к vpn-серверу через локальный шлюз

можете пояснить ???
а то я ничего не понял ...

если Вы имели ввиду прописать путь к самому серверу VPN , чтобы поднять тоже VPN соединение ???
так оно у меня уже прописано ...

у нас тут были даны статические маршруты от провайдера
я их и прописал в IP-Routing
иначе , если прописать в IP-Adrresses , то Ip от провайдера MikroTik отказывается получать ...

Evgen0001
статический недефолтовый маршрут к vpn-серверу присутствует? и что появляется при подключении vpn до его отключения?

вот
может ещё что-то выложить ???

Подскажите могу я в замен dir-320, поставить данную ось на (комп) celeron-700. Надо чтобы wi-fi раздавал на 8 компов и инет соответсвенно. Функционала от dir-320 не хватает и тормозит при хорошей работе 8 клиентови и еще надо, что бы multicasr Ходил (ип-тв). выбор правильный? что посоветуете?. заранее спасибо))

Благодарю за ответ с шейпером. Я смотрел уже эти картинки и не совсем понял - а если пользователи "неравные"? Дележ скорости можно задать как-то приоритетом? Например, если все те же пользователи 2/2 и 4/4, то при канале 20мбит и наличии всего 2х подключенных скорость делилась "по честному", и "4/4-пользователь" получил бы 13,333 а "2/2-пользователь" 6,666 - это сделать приоритетом или как-то еще?

Chupaka

спасибо!


Цитата:

Цитата:есть ли возможность как то блокировать не по ИП, а по хост-имени (twitter.com) ???

http://wiki.mikrotik.com/wiki/How_to_Block_Websites_%26_Stop_Downloading_Using_Proxy

таким способом получается, что я заблокирую всем, а мне требуется только определённые ИП/МАК. Возможно ли такое ?


Цитата:

Цитата:можно ли в МТ сохранять логи посещения с внутренних ИП (с какого ИП куда заходили, в идеале конечно получать не посещаемые ИП, а хост-имена... но этого наверно сложнее добиться ? )

в MT сохранять - нельзя. можно на другой машине собирать либо NetFlow, либо логи веб-прокси

можно ссылку на более подробное описание ?
Спасибо!

Evgen0001
лог - это хорошо. но я пока только о маршрутах говорю


Цитата:

Надо чтобы wi-fi раздавал на 8 компов и инет соответсвенно. Функционала от dir-320 не хватает и тормозит при хорошей работе 8 клиентови и еще надо, что бы multicasr Ходил (ип-тв)

если есть куда вайфай всунуть - то выбор нормальный. по поводу мультикаста - http://wiki.mikrotik.com/wiki/Manual:Multicast_detailed_example#Multicast_and_Wireless

chlp
ммм... можно создать две очереди, и в каждой делать PCQ между пользователями, а балансировка между ними уже будет по общим правилам. тут уж, правда, надо прикинуть среднее число активных пользователей в каждой группе - динамически всякие max-limit можно регулировать разве что периодически скриптом


Цитата:

таким способом получается, что я заблокирую всем, а мне требуется только определённые ИП/МАК. Возможно ли такое ?

вот эти ип/мак перенаправлять на проксю. если хочется сложнее - можно проксю повесить на несколько портов, перенаправлять юзеров на порты в зависимости от группы, а в правилах прокси отталкиваться ещё и от Local Port


Цитата:

можно ссылку на более подробное описание ?

ммм... описание чего?
например: http://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow