» MikroTik RouterOS (часть 3)

уважаемый Chupaka
подскажи плз, можно как-то отключить ConnTrack если используешь NAT?

BigElectricCat спасибо за ответ.
2 порта от прокси необходыми поскольку это требования прокси. Там керио, и ему для подсчета и блокирования трафика необходимо четко указать что является ЛАН что ВАН интерфейсами.
Картинку нарисую через 2 часа. Надеюсь поможет.

Добавлено:
Похоже я нашел в чем проблема, но не понял как с этим бороться:


/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9
/ip route add dst-address=0.0.0.0/0 gateway=10.1.1.2 routing-mark=route_to_proxy
/ip firewall address-list add address=10.0.0.0/8 list=local
/ip firewall address-list add address=172.16.0.0/13 list=local
/ip firewall address-list add address=192.168.0.0/16 list=local

Модифицировал по совету, и исключил транзитную сеть на WAN интерфейсе прокси из списка local
172.24.2.0 не принадлежит local.

Сейчас работает вот такая схема:


Ссылка на картинку если сюда не грузится http://saveimg.ru/pictures/03-11-11/0e9a71ab12f0d1641aa6ed541cd9b8f2.jpg

Делаю трассировку до 8.8.8.8 с клиента TESTB
1 <1мс <1мс <1мс 10.100.103.1
2 <1мс <1мс <1мс 192.168.168.1
3 <1мс <1мс <1мс 10.1.1.2 (Это прокси, роутинг отработал)
4 <1мс <1мс <1мс 192.168.168.1 Вот тут становится совершенно не понятно, откуда взялся этот хоп?
5 * * * *

Похоже петля, но почему это происходит не понятно совершенно.

И ещё один момент. Когда я вынимаю патчкорд из порта ether9 то 4 <1мс <1мс <1мс 192.168.168.1 исчезает

Понятно что проблемы с роутингом, не разумлю как исправить.

Доброго всем дня!
Имеется рутер версия 5,7, на нём адаптеры лан1 лан2 и ван. Ван смотрит на прова с ИПом 99.99.99.37/27, лан1 смотрит в юзеров со шлюзом (ипы белые) 88.88.88.254/24. Хочется прикрутить к лан2 виланов (можно и к лан1 прикрутить, что скорей всего одно и тоже так как лан1 и лан2 включены в один свитч)и для клиентов использовать туже под сеть что и на лан1 88.88.88.0/24. Ипы разбросаны по клиентам в разнобой, так что разбить 88.88.88.0/24 на под сети это тяжёлая задача (придётся обежать человек 200). Вилан с другой стороны планирую поднимать на РБ450.

wespe75
цена ни о чём не говорит. гораздо интереснее, например, поддержка MSI-X

star4ik

Цитата:

можно как-то отключить ConnTrack если используешь NAT?

можно перенести NAT на другую машину. NAT использует для своей работы ConnTrack



Добавлено:
Bambastick
виланы точно нужны и настроены на свитче?.. тогда просто бриджевать

Между микротиками неупровляемые свичи, при подняти виланов с обоих сторон, работает(проверял устанавливая серые ипы в виланы). При попытке сбриджевать вилан с лан1 начинают пропадать юзеры.(ИП лан1 переносил на бридж) Собственно сейчас бридж активен и портом ему добавлен лан1 88.88.88.254/24 установлен на бридж.

Bambastick
вилан на лан2 висит?

Да

странно... а что значит "пропадают юзеры"? пинг? арп-пинг?

Пропадает пинг переодически на разные хосты, ощущение такое как будто броадкаст шторм начинается. Даже из винбокса периодически выкидывает.
Хм сейчас попробовал создать просто вилан с айди 100 на лан2 и как только добавляю его портом к бриджу начинает сетка падать. По сути получается кольцо, только почему вилан пропускает фреймы не имеющие айди?

sumyst:

Цитата:

4 <1мс <1мс <1мс 192.168.168.1 Вот тут становится совершенно не понятно, откуда взялся этот хоп?
5 * * * *

от сюда:

Цитата:

/ip firewall mangle add chain=prerouting src-address-list=local dst-address-list=!local action=mark-routing new-routing-mark=route_to_proxy in-interface=!ether9

Если у тебя запросы от керио исходятидут через 8 порт — то он попадает в это правило… следовательно вот твоё кольцо.


Добавлено:
ЗЫЖ а картинка все равно не видна и не качается (

BigElectricCat

не совсем понял про какие запросы идет речь.
клиент с src скажем 10.10.10.10 отправляет пакет на 8.8.8.8
они редиректятся на керио IP за портом8.
керио их раутит на порт 9
они проходят нат... ответы от 8.8.8.8 пойдут уже с src 8.8.8.8 и не попадают под правило.

Хотя попой чую что Вы правы.
Как исправить ситуацию то?
Спасибо.

UPD, хотя понял, заработался.
Имелось ввиду ответы от керио?

Если так то как поправить?
Я исключал IP керио из списка local

делал ему ip 172.24.1.2
local 172.16.0.0/13

Но в таком случае он перестает пинговаться с клиентов. трейс с тестБ хоста доходит до микротикаА и все.
Хотя с самого микротикаА он пинговался.

Chupaka погуглил "поддержка MSI-X " выдает только ноутбуки Микростаровские. Что есть такое - MSI-X ?

wespe75
http://ru.wikipedia.org/wiki/Message_Signaled_Interrupts
и туда же - количество очередей на сетевухе

Насколько я смог понять какие то фреймы прорываются через вилан и происходит кольцевание на бридже

sumyst, абстрагируйся от ип адресов, они удобны для деления сетей, но у тебя адрес не главное, потому, что ты делишь сеть интерфейсами.

смотри, из того, что ты написал я понял такое:
1. запросы клиентов приходят с различных интерфейсов: порты 1-8, 10—13 и впн-ки (точнее ото всех, окромя 9-го порта).
2. ты эти запросы отправляешь на керио (воткнутый в 8 и 9 порты) по 8-му порту микротика.
3. из керио запросы во внешку отправляются через 9-й порт микротика.
4. микротик с 9-го порта все запросы отправляет на ?? (на какой интерфейс/адрес то маршрутизация?).
верное у меня понимание?

Надобно сделать двойную маркировку маршрутов:
1. от клиентов к прокси.
2. от прокси к провайдеру интернет
(и наоборот не забыть, естественно).

А так у тебя получается — пакеты от провайдера отправляются на лан-конец проксика (т.е. на 8-й порт).

Bambastick
может, вместо вилана лучше EoIP-тоннель поднять?

Цитата:

может, вместо вилана лучше EoIP-тоннель поднять?

Поднял, ресурсов проца кушает обильно

Добавлено:
Сделал стенд, получается такая картинка, через вилан качаю 95мегабит 80% загрузка проца, через EoIP-тоннель максимум 75мегабит при 100% загрузки проца.

Добавлено:
Кто поставил 5.8? явных чудес не всплыло?

Добавлено:
EoIP-тоннель работает только с ИД 0 менял ИД на 1 с обоих сторон перестаёт работать, можноли много создавать тоннелей с одинаковым ИД?

есть канал 100 мегабит между офисами, как лучше его зарезервировать на случай падения ?

в каждом офисе есть еще дополнительный канал интерне та от другого провайдера, но он медленный

подскажите что лучше сделать ?

bounding + active backup ?

Цитата:

Кто поставил 5.8? явных чудес не всплыло?

У меня на стенде пока не было, погонять надо с неделю—другую.

Bambastick
ну, тоннель, ессесно, побольше, чем вилан, кушать будет... чтобы меньше кушало, народ MPLS/VPLS использует


Цитата:

Кто поставил 5.8? явных чудес не всплыло?

на пользовательском роутере 4 часа полёт нормальный. завтра придётся выкатить в продакшн на инет из-за критического глюка в NetFlow в предыдущих версиях - вот там и посмотрим %)

Добавлено:
Dimsoft
картинка не открывается (Temporarily unavailable). может, лучше routing failover, чем bonding?..

BigElectricCat согласен.
Но вот же я делал второе правило (есть в моем первом посте)
"
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=From_NAT passthrough=yes src-address-list=!local
/ip route add dst-address=0.0.0.0/0 gateway=172.24.2.2 routing-mark=From_NAT
Тоесть все пакеты с соурсом не равным локальным сетям отправляется на 172.24.2.2
"
Тоесть это была попытка отправить пакеты с провайдера на ВАН прокси.

Что-то видать не так сделал.
Что - ума не приложу

"2. от прокси к провайдеру интернет"

А как сделать маркировку от прокси к провайдеру в интернет? Поскольку прокся не натит
src-dst пакета не меняется. Я так понимаю что в моем случае такой пакет должен попадать в таблицу main
т.к. в первом правиле указано in-interface=!ether9

пипл. месяца 3 наверное а может и больше работает микротик3.30. Вчера вечером перестали открываться сайты, но icq и skype работали... . (видимо через свои DNS). После перезагрузки машин инет вовсе отвалился. Захожу через winbox - все нормально просматриваю, могу поменять настройки, фильтры, но попытка удаленной перезагрузки не получается. Поднялся к самому компу, после ввода пароля он мне показал ошибки подключения через винбокс. (какие, скажу только в понедельник), что-то похожее на "подключение с адреса 10.10.0... неудалось......"
Сделал system-reboot все нормально перезагрузилось, но инет не вернулся. Сейчас из дома пробую. Адрес пингуется (2мс TTL=59). Но через винбокс по IP зайти не удается... MAC не помню, но через инет думаю всеравно не получится...
В чем может быть проблема????
Собственно говоря необходимо расширение сети, уже заказал комплект RB/SXT-5D - 4 шт, RB/MRTG - 1шт, RB/750GL - 1шт Выбор роутера (router)
Но возникает вопрос, глюк микротика, или у провайдера проблемы (узнаю на неделе)?

sumyst, попробуй сначала исключить прокси и запустить работу сетки (с натом на микротике), а потом начинай усложнять вводя проксик и впн-ки.
Т.е. сначала я бы снёс всё, потом создал бы правила по защите микторика от стороннего проникновения, а дальше игрался бы с маршрутизацией, пока не добился бы нужной.

Только потом подключил бы проксик и сначала сделал бы чтобы проксик мог выходить в интернет (сохраняя все остальные настройки), когда всё получится — начал бы маркировать трафик и пробовать по маленьку переводить по одному порту маршрутизацию пакетов на проксик.

ramzes83, телепаты в отпуске, у меня как-то старая 2-я версия полгода провисела на убитом винте (умер) только по тому, что стоял хороший бесперебойник под ней.

BigElectricCat
Защитой и прочим занимаются совсем другие железки. От микротика требуется только ВПН и вот это извращение с заворотом траффика.
В простых то конфигурациях все работает. Сам прокси кстати в инет выходит.
И тестовый клиент в инет выходит когда я вынимаю патчкорд из 8го порта микротика, подключаю клиента напрямую к прокси и указываю прокси в качестве гейтвея.
Думаю загвоздка именно в первом правиле который отправляет трафик на прокси.

В понедельник добавлю рисунок, к сожалению тот фотохостинг сдох.

sumyst, сделай правило под каждый интерфейс (т.е. вместо того, чтобф ставить !ether9 ставь например vpn-in1, отдельно и погляди 8) на чём получается затык.

Подскажите пожалуйста:
Чтобы через консоль отключить пункт, скажем, в правиле фаервола пишу
ip firewall filter unset value-name=src-port

Каким образом можно указать в параметр value-name несколько значений?

Цитата:

может, лучше routing failover, чем bonding?.

Chupaka

там L2 сеть - DHCP + PXE на сервере с одной стороны, тонкие клиенты с другой.
в версиях 4.x нормально грузился с локального tftp, в 5.x "сломалось"

Dimsoft

Цитата:

в версиях 4.x нормально грузился с локального tftp, в 5.x "сломалось"

это сейчас о чём было?.. что сломалось?..

Цитата:

в версиях 4.x нормально грузился с локального tftp, в 5.x "сломалось"

Загрузка с локального тфтп в 5.5 точно работает (стоит 493g в удалённом офисе), 5.8 в понедельник проверю (х86).


Добавлено:
Вопрос у меня назрел к уважаемой аудитории.

Какой рб более производителен при терминировании шифрованного впн трафика: RB1100AH (MPC8533 1,066ГГц) или RB1200 (PPC460GT 1 ГГц)? Ориентировочная нагрузка 100—600 Мбит, разносить по разным железкам не хочется.

Вопрос назрел в виду отсутствия на Украине 1100АН последних 6 месяцев, а с 15 числа вроде как должны завезти 1200-е. Есть ли смысл пинать поставщиков привезти 1100АН?

Как то дилер мне объяснял, что РБ1100АН на 30% производительней чем 1200, сам не проверял.