» MikroTik RouterOS (часть 3)

Еще есть такая проблема - клиенты VPN сидят на том же интерфейсе, на котором и интернет. Немного неясно, как применять <Parent>. Я понял, что нужно создать общие up/down в queue tree с параметром max limit=20M. А у клиентов в queue types ставить pcq rate=0. И в дереве queue tree разным клиентам добавлять разные приоритеты, и они будут соотв. образом делить канал. В описании сказано, как жестко фиксировать скорость клиентам, причем делить их по приоритетам, когда сумма скоростей > возможной. А вот как сделать в моем случае, не совсем ясно.

как ограничить скорость для определенного диопазона ип адресов у нас около 300 компов и писать каждый ип ручками как то не очень хочется. нашел руководство только для отдельных ип а чисто для диопазона адресов нету. как пошагово это настроить чтоб например 169.254.0.1-169.254.254.254 скорость у всех этих ип была не больше 50кб/с. и еще аовпрос в последнее время пошла проблемма ктото рассылает спам и яндексы маилы запрашивают ввод кода подтверждения. нашел статью где блокируется спам и создается спам лист но чтото ничего не работает. т.е. по факту спам есть но в микротике ничего не отлавливается.

Добрый день, подскажите возможно ли каким-то образом на каждую страницу добавлять html код, выглядеть это будет как небольшой баннер сверху страницы.

Спасибо.

Цитата:

Еще есть такая проблема - клиенты VPN сидят на том же интерфейсе, на котором и интернет

т.е. трафик суммируется? или клиенты в ограничение не попадают, и лимитирован только "полезный" трафик?


Цитата:

как ограничить скорость для определенного диопазона ип адресов

Цитата:

чтоб например 169.254.0.1-169.254.254.254 скорость у всех этих ип была не больше 50кб/с

http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ#PCQ_Rate_Examples


Цитата:

нашел статью где блокируется спам и создается спам лист но чтото ничего не работает

ничего нет - ничего и не работает. где статья-то? форум телепатов в другом разделе

gooel
нельзя

Маршруты заданные провайдером
route -f
route add 10.0.0.0 mask 255.255.0.0 10.0.47.254 -p
route add 10.5.0.0 mask 255.255.248.0 10.0.47.254 -p
route add 192.168.6.0 mask 255.255.255.0 10.0.47.254 -p
route add 91.214.48.0 mask 255.255.252.0 10.0.47.254 -p
route add 193.238.72.0 mask 255.255.252.0 10.0.47.254 -p
Прописал их в ip-routers
Ниже прилагаются скриншоты амого mikrotik

Можно ли через микротик объединить несколько интернетов чтобы торренты качать?

Кстати
обратил внимание в путях прописан какой-то путь
0.0.0.0/0 на адрес 192,168,0,254

начал менять тут у себя
как я понял - там получается если инет поднят , то идёт отсылка по этой прописи

http://aboutmikrotik.info/publ/dokumentacija/mikrotik_routeros_commandline_interface_blockspam/6-1-0-25 вот сылка на статью про блок спам сделал все по ней и результат 0

Имеется интерфейс ether1 с фиксированным IP класса А. Он подключен к интернету (через локальную сеть напрямую). Имеются клиенты VPN из этой же локальной сети (адреса класса B), которые подключаются через меня. Т.е. src-nat запущен на ether1. Скорость ether1 - 100Mbit, скорость интернета, предоставляемого для ether1 - 20Mbit.

Подскажите web-интерфейс "RouterOS User Manager" возможно подредактировать?

Убрать не востребованные разделы, кнопки, картинки "микротик", перевести на русский и прочее.

Спасибо.

Цитата:

Можно ли через микротик объединить несколько интернетов чтобы торренты качать?

http://wiki.mikrotik.com/wiki/PCC#Application_Example_-_Load_Balancing
для торрентов использовать классификатор both-addresses-and-ports

bigsmoke88
я бы connection-limit=30,32 уменьшил до 5,32 или ниже - обычному юзеру выше крыши... да и вообще ща кто-нить пользуется SMTP? =)

gooel
нельзя

Цитата:

Smito1
не работает ни в активном, ни в пассивном режиме?

эм прости а что значит активный и пассивный режим для фтп?

Цитата:

а что значит активный и пассивный режим для фтп?

http://ru.wikipedia.org/wiki/FTP#PASSIVE_MODE

прошу помощи у бывалых
имеется микротик настроена выдача инета в локалку по маку
задача выдать на определенные маки доступ только по pop и smtp для получения и отправки почты, посоветуйте как правильно создать разрешающее правило. сеть с динамическими ИП. Желательно с помощью winbox.
заранее всех благодарю за помощь.

tramontanakan
добавить правила, где указать Src. MAC Address=нужный мак, Protocol=tcp, Dst. Port=!22,25, Action=drop
для надёжности можно ещё Src. MAC Address=нужный мак, Protocol=!tcp, Action=drop

спасибо за оперативность.
а имеется ли возможность создать групу и добавлять в нее пользователей ??
я так понимаю что это правило которое запрещает выход в сеть кроме указанных портов,
но у меня не всем выдается нет в сеть
если так то как возможно указать доступ к почтовым протоколам всем на указанный почтовый сервер

а что ответят мне ???

tramontanakan
не имея представления о текущих правилах, трудно советовать что-то конкретное. группу чего?


Цитата:

а что ответят мне ???

2.9.27 - очень старая и краденая =) что говорит v3 + routing-test?

Имеется ли возможность указать диапазон (список) адресов в таблице route? Например, если указан маршрут по умолчанию (0.0.0.0/0) через одну сеть, а на некоторые сайты (список) нужно ходить через другую сетевую?

chlp
создай список в адресс листе, пометь пакеты в прероутинге на роутинг
и в роутах направь эту марку на нужный интерфейс...
Chupaka
подскажи по твоему мнению, какие очереди лучше использовать в QoS на
приоритет трафика по типу (TCP, UDP и т.д.), по умолчанию FIFO или же
лучше например PCQ?
и почему ты так считаешь?

Цитата:

на приоритет трафика по типу

FIFO вполне достаточно. хотя можно и с PCQ извращаться - тогда ещё, теоретически, при делении по типам будет даже и по юзерам немного выравниваться трафик

У меня ситуация такая:
- интерфейс ether2 смотрит в локальную сеть примерно 10.0.0.0/13, и в которой имеются клиенты VPN (PPTP)
- интерфейс ether3 (адрес по DHCP) смотрит в локальную сеть 10.0.0.0/8, через который идет подключение к интернету посредством VPN (L2TP).
Я создал список адресов клиентов local. Теперь нужно как-то отделить пересекающиеся подсети, т.е. добавить маршруты пути к клиентам local через ether2 (т.к. 10.0.0.0/8 включает в себя 10.0.0.0/13).
Таблица route:

Цитата:

0 A S dst-address=0.0.0.0/0 gateway=10.3.4.1 interface=ether2 gateway-state=reachable distance=1 scope=30 target-scope=10 routing-mark=to_ether2

Таблица mangle:

Цитата:

1 chain=input action=mark-connection new-connection-mark=ether2_conn passthrough=yes src-address-list=local in-interface=ether2 // Помечаю соединения, приходящие от клиентов с адресами local на ether2

2 chain=output action=mark-routing new-routing-mark=to_ether2 passthrough=yes dst-address-list=local connection-mark=ether2_conn // Помечаю маршрут, по которому нужно отдавать пакеты клиентам с адресами local

Хочу выслушать критику данной конструкции. Может чего упустил из виду.

Цитата:

я бы connection-limit=30,32 уменьшил до 5,32 или ниже - обычному юзеру выше крыши... да и вообще ща кто-нить пользуется SMTP? =)

тогда подскажи как это грамотней сделать без SMTP

Цитата:

тогда подскажи как это грамотней сделать без SMTP

в каком смысле "без СМТП"? если он не нужен - то просто его совсем заблокировать, безо всяких лимитов

Всем здравствуйте. У меня пара вопросов к гуру. Подскажите пожалуйста, как можно в микротике привязать IP к Маку (где-то читал на форуме, но перелистать три части темы уже не по силам). И второй вопрос: в данный момент на Микротике подключено около 1000 абонентов, в пике общая скорость на интерфейсе достигает до 150 мб/с (планируется докупить канал до 200 мб/с) и проц загружается до 99%. Как разгрузить роутер? Собрать более мощный (сейчас роутер на базе Cel 1700 1gb Ram) или же запустить второй Микротик и разбросать клиентов по разным машинам?

Mikro4ip

Я, вообще, удивляюсь как у тебя такая машина справляется с таким потоком. Однозначно менять комп.

На данный момент я реализовал в Queue Tree приоритетное разделение полосы между клиентами. Создал родительские правила на весь траффик (отдельно up/down) с параметром max-limit, и потом дочерние по каждому клиенту (отдельно up/down) с указанием limit-at. Теперь возникает вопрос, куда здесь запихнуть приоритет по содержанию (http, p2p, udp stream)? Пакеты в mangle по содержанию пометил.

Demon спасибо за совет, а какую конфигурацию лучше использовать. Я имею ввиду проц память, если учитывать рост клиентов до 2000 человек?

Первый вопрос повис в воздухе. Как привязать ИП к МАКу?

Цитата:

Chupaka

вопрос к тебе как к знатоку, ROS 3.2 и ROS 3.3, между этими двумя системами, не было никаких изменений в принципе маркировки пакетов?

перешел с 3.2 на 3.3 загрузка CPU с 15%, выросла до 80-90%, без изменения конфига, полагаю это произошло из за mangle, в 3.22 добавляя правила для маркировки пакетов, которое еще не работает, то есть пакеты не маркирует, (в правиле мангла указан адрес лист, которого еще нет в адрес листах) микрот не реагировал на это, то есть можно было воткнуть 50 правил маркировки, и при этом загрузка не менялась, а вот в 3.3 почему то даже если правило не работает, не маркирует пакеты,(адрес листа еще нет, в адрес листах) то загрузка все равно увеличивается не замечал такого.?
По идее если правило не маркирует пакеты но присутствует в мангле, то загрузка проца не должна повышаться, ?

и еще один момент, в мангле я не маркирую коннекшн, знаю что не правильно, знаю что это влияет на загрузку проца, но почему то 3.2 нормально реагировал на это, а вот 3.3 как то не очень. Этот момент как то настораживает, нет ли каких проблем у версии 3.3 с манглом.?


Добавлено:
Chupaka

и еще есть несколько вопросов, по маркировке connection.
предположим есть микрот с 3 входящими портами(клиентскими) и 1 исходящим портом (интернет), скажем есть 100 пользователей у каждого по /29 адресов, то есть получается что бы микрот не грузился надо маркировать connection для каждого пользователя и внутри connection маркировать пакеты пользователя на ин и аут, так ?? , то есть в теории получим 100 маркировок connection и соотвественно 200 маркировок пакетов или я что то не правильно понимаю.??

и второй перечитывая форум, наткнулся на вот такое сообщение от тебя

Цитата:

Neym
самое главное заблуждение при составлении вышеприведённых правил: connection - существо на самом деле двунаправленное. то есть "chain=prerouting action=mark-connection new-connection-mark=tornado-out passthrough=yes src-address=10.10.0.13 dst-address-list=od-ix" метит соединение, по которому пакетики бегают уже в обе стороны: как от клиента к серверу, так и обратно. соответственно, src-address можно убрать, а метку заменить на просто "tornado"

дальше как раз наоборот: когда помечаем пакеты коннекшена "tornado", то для пакетов с src-address=10.10.0.13 ставим метку "tornado-out", а для dst-address=10.10.0.13 - соответственно "tornado-in". после этого всё должно заработать

исходя из твоих слов connection-mark попадает трафик как ин так и аут, но для меня не понятно каким образом, что должно являться критерием для маркировки connection, ??, есть сорс и дест который по идее должен определять правила поведения маркировки, по твоим словам если я укажу в правиле "chain=prerouting action=mark-connection new-connection-mark=internet passthrough=yes dst-address-list=client5" то в это правило попадет трафик client5 и ин и аут? для меня непонятно каким образом, если четко указано что попадать должны пакеты только DST то есть адресованные клиенту.

или все таки если брать выше приведенный пример для 100 абонентов создавать всего два connection-mark один на ин второй на аут
"chain=prerouting action=mark-connection new-connection-mark=in passthrough=yes src-address=0.0.0.0/0"
"chain=prerouting action=mark-connection new-connection-mark=out passthrough=yes dst-address=0.0.0.0/0"
и внутри этих двух маркировок connection, маркировать пакеты всех 100 клиентов??

Цитата:

Как привязать ИП к МАКу?

в фильтре файрвола добавить правил, которые разрешают нужные связки (src-address=1.2.3.5 src-mac-address=00:00:11:11:22:22 action=accept), затем всё остальное в этом направлении - drop (только не перестараться и не дропнуть обратные пакеты)


Цитата:

ROS 3.2 и ROS 3.3, между этими двумя системами, не было никаких изменений в принципе маркировки пакетов?

наверное, вопрос о 3.20 и 3.30. нет, ничего такого принципиального не было


Цитата:

нет ли каких проблем у версии 3.3 с манглом.?

поскольку уже давно есть v4, которыми я пользуюсь, и на подходе v5 - предлагаю их и опробовать. но в целом - о такого рода проблемах даже не слышал


Цитата:

предположим есть микрот с 3 входящими портами(клиентскими) и 1 исходящим портом (интернет), скажем есть 100 пользователей у каждого по /29 адресов, то есть получается что бы микрот не грузился надо маркировать connection для каждого пользователя и внутри connection маркировать пакеты пользователя на ин и аут, так ?? , то есть в теории получим 100 маркировок connection и соотвественно 200 маркировок пакетов или я что то не правильно понимаю.??

тут ключевой вопрос - что ставить целью... если цель - промаркировать соединения каждого адреса индивидуально - то да, много разных меток получится... внимание, вопрос: а зачем?


Цитата:

или все таки если брать выше приведенный пример для 100 абонентов создавать всего два connection-mark один на ин второй на аут

читаем выше:

Цитата:

connection - существо на самом деле двунаправленное

надо различать концепции метки пакета и метки соединения. метка пакета для каждого нового пакета должна устанавливаться с нуля. но когда мы промаркировали первый пакет соединения - то все последующие пакеты (как в ту сторону, так и обратно) будут автоматически маркироваться этой меткой соединения. поэтому если маркировать соединение для каждого пакета - то в 95% случаев теряется весь смысл происходящего - проще напрямую маркировать непосредственно пакеты. connection-mark - он для того и создан, чтобы можно было единственный раз соединение пометить - и потом пользоваться этой меткой для маркировки пакетов. говорят, такой подход чутка снижает нагрузку на процессор