» MikroTik RouterOS (часть 3)

BigElectricCat
Сам этого не заметил изначально. Вот переделал все по подсказке от Chupaka

[admin@inet_radius] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; mark-conn-down
chain=forward action=mark-connection new-connection-mark=mark-conn passthrough=yes dst-address-list=Clients

1 ;;; mark-icmp-down
chain=forward action=mark-packet new-packet-mark=mark-icmp-down passthrough=no protocol=icmp
in-interface=pppoe-out1 connection-mark=mark-conn

2 ;;; mark-icmp-up
chain=forward action=mark-packet new-packet-mark=mark-icmp-up passthrough=no protocol=icmp
out-interface=pppoe-out1 connection-mark=mark-conn

3 ;;; mark-udp-1513-down
chain=forward action=mark-packet new-packet-mark=mark-udp-1513-down passthrough=no protocol=udp
in-interface=pppoe-out1 src-port=1513 connection-mark=mark-conn

4 ;;; mark-udp-1513-up
chain=forward action=mark-packet new-packet-mark=mark-udp-1513-up passthrough=no protocol=udp
out-interface=pppoe-out1 dst-port=1513 connection-mark=mark-conn

5 ;;; mark-tcp-80-down
chain=forward action=mark-packet new-packet-mark=mark-tcp-80-down passthrough=no protocol=tcp
in-interface=pppoe-out1 src-port=80 connection-mark=mark-conn

6 ;;; mark-tcp-80-up
chain=forward action=mark-packet new-packet-mark=mark-tcp-80-up passthrough=no protocol=tcp
out-interface=pppoe-out1 dst-port=80 connection-mark=mark-conn

7 ;;; mark-tcp-53-down
chain=forward action=mark-packet new-packet-mark=mark-udp-53-down passthrough=no protocol=udp
in-interface=pppoe-out1 src-port=53 connection-mark=mark-conn

8 ;;; mark-udp-53-up
chain=forward action=mark-packet new-packet-mark=mark-udp-53-up passthrough=no protocol=udp
out-interface=pppoe-out1 dst-port=53 connection-mark=mark-conn

9 ;;; mark-tcp-other-down
chain=forward action=mark-packet new-packet-mark=mark-other-down passthrough=no protocol=tcp
in-interface=pppoe-out1 connection-mark=mark-conn

10 ;;; mark-tcp-other-up
chain=forward action=mark-packet new-packet-mark=mark-other-up passthrough=no protocol=tcp
out-interface=pppoe-out1 connection-mark=mark-conn

11 ;;; mark-udp-other-down
chain=forward action=mark-packet new-packet-mark=mark-udp-other-down passthrough=no protocol=udp
in-interface=pppoe-out1 connection-mark=mark-conn

12 ;;; mark-udp-other-up
chain=forward action=mark-packet new-packet-mark=mark-udp-other-up passthrough=no protocol=udp
out-interface=pppoe-out1 connection-mark=mark-conn

[admin@inet_radius] >


И строим цепочку:


[admin@inet_radius] > queue tree print
Flags: X - disabled, I - invalid
0 name="Down" parent=global-out packet-mark="" limit-at=0 queue=pcq-down priority=8 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

1 name="Down-icmp" parent=Down packet-mark=mark-icmp-down limit-at=0 queue=pcq-down priority=1 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

2 name="Down-tcp-other" parent=Down packet-mark=mark-other-down limit-at=0 queue=pcq-down priority=5 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

3 name="Up" parent=global-out packet-mark="" limit-at=0 queue=pcq-up priority=8 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

4 name="Up-icmp" parent=Up packet-mark=mark-icmp-up limit-at=0 queue=pcq-up priority=1 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

5 name="Up-tcp-other" parent=Up packet-mark=mark-other-up limit-at=0 queue=pcq-up priority=5 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

6 name="Down-udp-other" parent=Down packet-mark=mark-udp-other-down limit-at=0 queue=pcq-down priority=8 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

7 name="Up-udp-other" parent=Up packet-mark=mark-udp-other-up limit-at=0 queue=pcq-up priority=8 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

8 name="Down-udp-1513" parent=Down packet-mark=mark-udp-1513-down limit-at=0 queue=pcq-down priority=2 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

9 name="Up-udp-1513" parent=Up packet-mark=mark-udp-1513-up limit-at=0 queue=pcq-up priority=2 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

10 name="Down-tcp-80" parent=Down packet-mark=mark-tcp-80-down limit-at=0 queue=pcq-down priority=4 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

11 name="Up-tcp-80" parent=Up packet-mark=mark-tcp-80-up limit-at=0 queue=pcq-up priority=4 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s

12 name="Down-udp-53" parent=Down packet-mark=mark-udp-53-down limit-at=0 queue=pcq-down priority=3 max-limit=0
burst-limit=0 burst-threshold=0 burst-time=0s

13 name="Up-udp-53" parent=Up packet-mark=mark-udp-53-up limit-at=0 queue=pcq-up priority=3 max-limit=0 burst-limit=0
burst-threshold=0 burst-time=0s
[admin@inet_radius] >


В результате получаем картину еще хуже чем была, icmp пакеты проходят еще с большей задержкой и появляются потери в канале, исходящий канал все 512к у меня, даже если на каждый из типом пакетов выделить max-limit 50k в итоге получиться загрузка 250к, тогда видим более менее стабильную передачу icmp.
Задача сделать динамическое распределение исходящего канала с выделение для icmp 16k и приоритетом трафика

из Down и Up pcq убрать нужно, поставь просто дефолт, а то это правило будет стараться разделить полосу поровну между всеми ИП адресами и на каждое правило создай свой pcq. Down и Up нужно поставить значение максимальной скорости, с параметром 0 динамики не будет.

Помогите настроить 2 провайдера. Схему подключения хочу реализовать так же как предлагается тут Ссылка. Только у меня одно соединения поднимается по pppoe. У меня проблема с тем, что я хочу, что бы микротик поднимал 2 соединения и раздавал интернет по dhcp на мой второй роутер asus rt n13u.b1 с прошивкой dd wrt. И в зависимости от того какой клиент от асуса просит интернет выбирал уже провайдера. Я попытался вбить просто в маркировки пакетов адреса клиентов которые выдает асусовский роутер, но эта попытка не увенчалась у меня успехом. То есть схема простая если лезет в инет 192.168.1.2 подключенный к асусу(192.168.1.1) который по dhcp получил от mikrotik IP - 192.168.88.2 и настройки DNS, то он направляется допустим в pppoe, а если лезет 192.168.1.3 то по той же схеме, но лезет во второго провайдера(от которого параметры доступа простые - статик айпи)

еще мне непонятно, почему mikrotik не видит клиентов подключенных к асусу, роут я прописал 192.168.1.0/24 через шлюз 192.168.88.2. А попингуй не проходит.

есть канал 100 мегабит между офисами, как лучше его зарезервировать на случай падения ?

в каждом офисе есть еще дополнительный канал интерне та от другого провайдера, но он медленный

Господа выручайте.
Имеется следующая схема.
Ros 5.7
RB 1200

По ВПН к 1200му подключено несколько филиалов.
Для клиентов филиалов дефолтом является микротик там установленный. Для этого микротика дефолтом является IP ВПН адрес 1200.
На 1200 нарисована следующая конструкция:

/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9
/ip route add dst-address=0.0.0.0/0 gateway=10.0.3.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=172.16.0.0/12 list=local
/ip firewall address-list add address=192.168.0.0/16 list=local

К RB 1200 в 8й порт подключена прокси LAN интерфейсом. её адрес
10.0.3.2
Соответственно адрес на микротике 10.0.3.1.

В 9й порт подключен второй интерфейс прокси (WAN). На WAN интерфейсе какая либо транзитная сеточка, скажем 10.1.1.0/30.
В качестве прокси используется Керио в режиме простого роутинга (Ната нет).

Моя задача пустить весь исходящий и входящий Интернет трафик через эту прокси. Весь остальной (локальный) трафик не заворачивать на прокси.
Нат выполнять средствами RB 1200 на WAN порту прокси.

Собственно правила выше решают эту проблему, что что с src=local и dst=!local перенаправляется на LAN интерфейс прокси.
Теперь же я ума не приложу как организовать так чтоб весь входящий Интернет трафик шел через WAN интерфейс прокси.

Зачем такие сложности? Нужно оставить функцию прокси (авторизации, фильтрации, подсчета) только в центральном филиале. Другие филиалы не должны иметь доступ в интернет в обход этой прокси.

Подскажите умные вещи пожалуйста?

Chupaka

в Queue Types я увеличил длину очередей для тарифных планов, там как раз есть параметр Limit. Для каждого тарифного плана длину очереди я менял в зависимости от размера параметра Avg. Packet Rate в Queue Tree. Таким образом, мне удалось убрать дропы, которые висели на тарифах. Соответственно на внешнем интерфейсе дропов стало гораздо меньше, куда еще можно посмотреть?

Господа ( и дамы ,ежели есть) подскажите как реализовать на микротике следующее:
во внтуренней сети должны встать два вебсервера с разными локальными ip . Один из этих серверов с мультихостом.
Необходимо реализовать доступ к сайтам извне:
ip adress internet-> webserver 1
site1, site2, site3 -> webserver2
К сожалению сам не нашел как сделать правила для дната на основе имени сайта

batton
есть не нулевая вероятность, что подобное можно реализовать через l-7 (если трафик будет http), но я бы не советовал так поступать.
Всё же лучше или разместить их на один хост или выпустить через разные адреса (я ведь правильно понял что в задаче подразумевается один белый адрес).

Добавлено:
sumyst
сети филиалов какую адресацию имеют?

По идее всё должно быть так (условно):

ПК_Филиала:
Adr 192.168.10.10
Gw 192.168.10.1

Gw_Филиала
Adr1 192.168.10.1
Adr2 10.0.0.10
Gw 10.0.0.1

Gw_Головного
Adr1 10.0.0.1
Ard1 192.168.1.1
Gw (mark: route_to_proxy) Adr_Proxy
Gw Adr_pro

Правильно понял твою схему?

batton
переправить (redirect) на web proxy, а он уже сам разберётся

Добавлено:
faust72rus
подобное нельзя реализовать: L7 ловит данные, а данные идут уже после того, как соединение установлено - когда уже поздно что-то менять

faust72rus
Можно я объясню на более отстраненном примере?
У меня есть микротик в Центральном Офисе.
К этому микротику подключен канал провайдера и этот микротик натит.

Есть филиалы которые подключены по впн к ЦО.

Филиалы включены в доменную сеть и требуется предоставлять пользователям интернет с подсчетом трафика и авторизацией.
Дальше схема которую я сегодня тестировал:

ЛАН2 (филиал) адресация 10.100.103.0/24 --- Микротик2 --- 192.168.168.0/24 --- Микротик1(ЦО) --- ЛАН1
1) для клиентов лан2 гейтвеем является микротик2
2) для микротика 2 гейтвеем является микротик1, соответственно все пакеты летят туда.
3) на для микротика1 гейтвеем являеется гейт провайдера (поскольку интернет)
4) В микротик1 в порт8 воткнут сетевая карта прокси сервера с адресацией 172.24.1.2 (условно ЛАН-Прокси)
5) В микротик 2 в порт9 воткнута сетевая карта прокси сервера с адресацией 172.24.2.2 (условно ВАН-Прокси)
6) Прокси сервер роутит между интерфейсами (не натит)
Правило:
/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9
/ip route add dst-address=0.0.0.0/0 gateway=172.24.1.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=172.16.0.0/12 list=local
/ip firewall address-list add address=192.168.0.0/16 list=local
Маркирует пакеты с назначением не равным локалке и отправляет принудительно на ЛАН интерфейс Прокси сервера.

Соответственно если я с клиента ЛАН2 пингую скажем 8.8.8.8 я увижу эти пакеты на 172.24.1.2
Далее:
7) На прокси сервере гейтвеем указан 172.24.2.1 ( IP адрес на порту 9 микротика) тобешь пакет с назначением 8.8.8.8 должен сраутится на ВАН-Прокси интерфейс
8) На прокси сервере нарисованы 3 статических маршрута до сетей 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 через 172.24.1.1 (IP адрес на порту 8 микротика.)
тоесть все обратные пакеты должны пойти через ЛАН-Прокси интерфейс.

Добавил правило:
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=From_NAT passthrough=yes src-address-list=!local
/ip route add dst-address=0.0.0.0/0 gateway=172.24.2.2 routing-mark=From_NAT
Тоесть все пакеты с соурсом не равным локальным сетям отправляется на 172.24.2.2

Наблюдаю картину. Трейс роут с клиента из ЛАН2 до 8.8.8.8
1) 10.100.103.1 - гейт для этой сети
2) 192.168.168.1 - адрес MIKROTIK1 в транзитной сети
3) 172.24.1.2 - Редирект на LAN адрес прокси. тут все правильно.
4) 192.168.168.1 - вот тут становится непонятно.
дальше звездочки.

Запускаю сниффер на проксе на внутреннем интерфейсе, Вижу входящие пакеты SRC 10.100.103.254 (адрес клиента) -> 8.8.8.8 (все правильно)
Запускаю сниффер на проксе на внешнем интерфейсе, Вижу исходящие пакеты SRC 10.100.103.254 -> 8.8.8.8
Запускаю torch на порту 9 микротика, вижу входящие пакеты SRC 10.100.103.254 -> 8.8.8.8

Запускаю torch на порту 8 микротика вижу и входящие и исходящие пакеты. тоесть SRC 10.100.103.254 -> 8.8.8.8 и 8.8.8.8 - > 10.100.103.254
Вот это уже вводит в замешательство.
Дело в том, что до 8.8.8.8 пакеты точно не доходили (вместо 8.8.8.8 другой публичный адрес где у меня тоже запущен сниффер).
А судя по торч доходили и был ответ. (но почему то на 8й порт)

Пробую немного по другому:
Вынимаю патчкорд из порта 8 микротика, подключаю к патчкорду ноутбук
ноут --- прокси --- микротик --- инет
Назначаю ноутбуку адрес 172.24.1.3 и в качестве шлюза указываю ЛАН адрес прокси.
Тут же начинает все работать. Тоесть пинг до 8.8.8.8 нормально проходит через прокси, нормально натируется, и нормально возвращается в соответствии с правилом From_NAT

Коллеги, как так вообще? Выручайте!

Извиняюсь за сумбур, если что непонятно - объясню, если надо сделаю схемы в визио. Спасибо!

ЗЫ мое правило NAT:
/ip firewall mangle chain=prerouting action=mark-routing new-routing-mark=To_NAT passthrough=yes src-address-list=local dst-address-list=!local in-interface=ether9
/ip firewall nat add chain=srcnat action=masquerade routing-mark=To_NAT

5.8 появилась !

Цитата:

Всё же лучше или разместить их на один хост или выпустить через разные адреса (я ведь правильно понял что в задаче подразумевается один белый адрес).

к сожалению - один из серверов обязательно должен быть виндовый. и второй адрес провайдер не дает.
вот на керио такое делается без проблем а тут....


Цитата:

переправить (redirect) на web proxy, а он уже сам разберётся

я наверно не очень понял - но web proxy вроде не для этого, а скорее наоборот - изнутри -> наружу

Цитата:

4) В микротик1 в порт8 воткнут сетевая карта прокси сервера с адресацией 172.24.1.2 (условно ЛАН-Прокси)
5) В микротик 2 в порт9 воткнута сетевая карта прокси сервера с адресацией 172.24.2.2 (условно ВАН-Прокси)

Точно ничего не напутал? И зачем тебе два порта занимать проксей, может и одного хватит?

Рекомендую тебе немного разрисовать картинку на бумажке, сначала только с одной сетью которая вокруг рб1200 завёрнута ([more=вот что я накидал, но это тип полная:]
И всё равно ошибка с адресами проксей… в общем нарисуй себе карту сетки, чтобы было проще писать правила.




[/more]
). Когда добьёшься той работы, которой ты хочешь — подключать по аналогии один впн, когда с ним будет понятно — продолжаешь со следующим.

PS: Иногда лучше всё начать с начала, чем разбираться в том, что уже накручено.



Добавлено:

Цитата:

я наверно не очень понял - но web proxy вроде не для этого, а скорее наоборот - изнутри -> наружу

У меня наоборот работает, статистику удобнее собирать по запросам, чем парсить логи томката))

Загрузчик тоже обновился

batton

Цитата:

я наверно не очень понял - но web proxy вроде не для этого, а скорее наоборот - изнутри -> наружу

прокси для проксирования. а направление - вещь относительная. считайте Интернет своими клиентами, а ваши серверы - Интернетом принципиально ведь ничего не изменится, зато работать будет так, как хотелось

Комрады помогите советом, есть настроенное правило фаервола с пробросом порта. Необходимо чтобы в определенное время это правило не работало.
Про вкладку Extra>Time - знаю. Задал необходимые мне значения - но, не работает.
Нужно чтобы во все дни недели с 00:00:00 до 23:29:00, правило работало, а в остальной промежуток нет.
Где копать?

fox96
что именно задали? что не работает: правило или только Extra -> Time?

Правило работает всё время, не обращая внимания на заданные параметры в Extra-Time. Можно конечно глушить его в шедулере, но это не наши методы.

Цитата:

возможно используете NAT?

а если использвется NAT без Connectio Tracking нельзя никак?

Мне не удавалось использовать нат без Connections Tracking.

Помогите настроить 2 провайдера. Схему подключения хочу реализовать так же как предлагается тут Ссылка. Только у меня одно соединения поднимается по pppoe. У меня проблема с тем, что я хочу, что бы микротик поднимал 2 соединения и раздавал интернет по dhcp на мой второй роутер asus rt n13u.b1 с прошивкой dd wrt. И в зависимости от того какой клиент от асуса просит интернет выбирал уже провайдера. Я попытался вбить просто в маркировки пакетов адреса клиентов которые выдает асусовский роутер, но эта попытка не увенчалась у меня успехом. То есть схема простая если лезет в инет 192.168.1.2 подключенный к асусу(192.168.1.1) который по dhcp получил от mikrotik IP - 192.168.88.2 и настройки DNS, то он направляется допустим в pppoe, а если лезет 192.168.1.3 то по той же схеме, но лезет во второго провайдера(от которого параметры доступа простые - статик айпи)

еще мне непонятно, почему mikrotik не видит клиентов подключенных к асусу, роут я прописал 192.168.1.0/24 через шлюз 192.168.88.2. А попингуй не проходит.

fox96

Цитата:

Правило работает всё время, не обращая внимания на заданные параметры в Extra-Time

проверил - у меня работает только в указанное время. какая версия? что за протокол, как проверяете?

Цитата:

Помогите настроить 2 провайдера. Схему подключения хочу реализовать так же как предлагается тут Ссылка. Только у меня одно соединения поднимается по pppoe. У меня проблема с тем, что я хочу, что бы микротик поднимал 2 соединения и раздавал интернет по dhcp на мой второй роутер asus rt n13u.b1 с прошивкой dd wrt. И в зависимости от того какой клиент от асуса просит интернет выбирал уже провайдера. Я попытался вбить просто в маркировки пакетов адреса клиентов которые выдает асусовский роутер, но эта попытка не увенчалась у меня успехом. То есть схема простая если лезет в инет 192.168.1.2 подключенный к асусу(192.168.1.1) который по dhcp получил от mikrotik IP - 192.168.88.2 и настройки DNS, то он направляется допустим в pppoe, а если лезет 192.168.1.3 то по той же схеме, но лезет во второго провайдера(от которого параметры доступа простые - статик айпи)

еще мне непонятно, почему mikrotik не видит клиентов подключенных к асусу, роут я прописал 192.168.1.0/24 через шлюз 192.168.88.2. А попингуй не проходит.

Видимо по тому что ваш асус тоже роутер и возможно там нат включен, все клиенты в инет пойдут с публичным ИПом асуса. Вопрос только в том, почему бы не использовать только микротик, без асуса

Цитата:

BambastickDown и Up нужно поставить значение максимальной скорости, с параметром 0 динамики не будет.

не максимальное значение, а примерно 10-15% ниже от максимально пропускной способности канала.
не вводите человека в заблуждение.

vlh
строго говоря, для аплоада можно процент уменьшить, если пров достаточно честно соблюдает лимит - здесь получается прямое ограничение, а не косвенное, как в случае с даунлоадом

Цитата:

BambastickDown и Up нужно поставить значение максимальной скорости, с параметром 0 динамики не будет.


не максимальное значение, а примерно 10-15% ниже от максимально пропускной способности канала.
не вводите человека в заблуждение.

я вообще эту величину подбираю практически... (поставить значение максимальной скорости) подразумевалось о том что необходимо указать какое либо значение в поле макс лимит, а не использовать с параметром 0.

Видимо на мой вопрос, ответить не кому.

wespe75
по-моему, "дропов стало гораздо меньше" - вполне себе приличный результат. ещё можно посмотреть на сетевые карты получше и процы помощнее

Цитата:

в Queue Types я увеличил длину очередей для тарифных планов, там как раз есть параметр Limit. Для каждого тарифного плана длину очереди я менял в зависимости от размера параметра Avg. Packet Rate в Queue Tree. Таким образом, мне удалось убрать дропы, которые висели на тарифах. Соответственно на внешнем интерфейсе дропов стало гораздо меньше, куда еще можно посмотреть?

И к какому значению вы пришли?

Chupaka

сетевые карты стоят Intel 1Gb/s, модель не помню, но стоимость каждой 1500 руб. Что касаемо проца, то можно подумать.