» MikroTik RouterOS (часть 3)

A N D R E J
в том то и дело. что там я своего компа не вижу.
в сети dns,dhcp

Я знаю IP своего компа но в очереди его не вижу,
тем не менее скорость на нем как-то режется...

M1chA, о как у тебя всё запущено. Правила на деление скорости создаёшь ты сам, оно там само по себе не появится. Чтобы тебе было проще назначь IP-адреса вручную. И вперёд читать мануалы. Здесь могут подсказать лишь особые нюансы, а не давать пошаговые инструкции по нажатию кнопок.

Цитата:

Как открыть доступ к роутеру из вне (winbox/http)?

ну, самое простое - это не закрывать его, потому что по умолчанию всё разрешено


Цитата:

Когда включал прозрачный прокси на rb450, то внутренние IP палились из вне.

они "палились" только для сайта, к которому совершается http-запрос: прокси вписывает в запрос адрес клиента. для прокси в RouterOS нет возможности отключить эту фишку

RAZORblade

Цитата:

НИРАБОТАЕТ ТОЛКОМ МУЛЬТИЯДЕРНОСТЬ В МИКРОТИКЕ.
отключаю второе ядро - работает стабильно, включаю - пол дня и висяк.
прискорбно.
учтите

4 ядра - 20 дней аптайм
ещё 4 - 13 дней
ещё 2 ядра - 32 дня аптайм
ещё 2 - и ещё 32
(аптайм маленький - ось обновлялась, сейчас почти везде 5.8)
что за проц? Hyper Threading не активен?

sumyst
вообще ничего непонятно... Tools -> Torch в помощь, там всё будет видно, кто куда улетает а дистанс RouterOS понимает именно так, как и должна

A N D R E J
Спасибо за совет, но это не вариант.
Домен. 200 юзеров. До меня просто был Микротик. Сейчас вникаю.
Боле-менее разобрался,только вот на этом пункте застопорился. Потом буду читать HTB.

Всем привет!

Подскажите плиз, смогут ли маршрутизаторы серии RB1000
обслуживать этаж как этажные NAS(4 Гб порта будут использоваться,
1 на этаж, 3 для прямого соединения с другими NAS)?
На них будет поднято на каждом минимум DHCP server, DNS relay, Static routes;
максисмум еще + QoS, NAT (интернет), VPN (между NAS, для обеспечения
одинаковой подсети x.x.x.x/24 на разных этажах).
Сейчас вся сетка в заднии на 100 Мб крутится(CISCO).

Потянет как думаете, не будет затыкаться?


п.с.
домен, около 100 компов на этаже, 4 этажа.

А есть ли в RouterOS аналог arpwatch? Или что-то похожее по функционалу?

Цитата:

Цитата: Цитата:
Как открыть доступ к роутеру из вне (winbox/http)?

ну, самое простое - это не закрывать его, потому что по умолчанию всё разрешено

A N D R E J

Цитата:

по-умолчанию внешний доступ закрыт. Нужно создавать правило брандмауэра для доступа через Winbox и включать порт 8291

так, давайте учиться правильно готовить... берём роутер.


Код: [admin@TestPlace] > /system reset-configuration
Dangerous! Reset anyway? [y/N]:
y
system configuration will be reset

Цитата:

Chupaka, не вводите людей в заблуждение, по-умолчанию внешний доступ закрыт. Нужно создавать правило брандмауэра для доступа через Winbox и включать порт 8291.

Не правы вы. Чупака один из немногих, кто в этой ветке что-нибудь знает. )
По умолчанию, в правилах файрвола НЕТ НИ ОДНОГО ПРАВИЛА! Разрешено всё!

Chupaka, http://wiki.mikrotik.com/wiki/Manual:Default_Configurations#Firewall.2C_NAT_and_MAC_server
Вопросы есть?

так вроде и раньше вопросов не было. я как бы не сам придумывал, а на живом роутере проверил а вы то, что указано лишь для чуть более, чем половины модельного ряда роутербордов, пытаетесь выставить за абсолютную истину. а касательно
Цитата:

Читая эту ветку форума я уже не первый раз замечаю, что вы даёте неправильные советы. Это специально или от незнания?

- вы просто не туда смотрите. советы правильные, а вот вопросы сформулированы неправильно правильный вопрос уже содержит в себе половину ответа. "как открыть доступ"? наймите специалиста, денег на гадалку нет. а вот "сейчас имею правила такие-то, что добавить/удалить, чтобы открыть доступ?" - как будто и всё понятнее стало, и никто шибко умный не будет катить бочки на ответ, построенный не на догадках, а на конкретной конфигурации

"задавайте умные вопросы, получайте умные ответы" (с)

Добавлено:
з.ы. но офенс

Chupaka нужен твой совет (ничего что на ты?).
Есть распределенная филиальная сеть.
Все филиалы оборудованы rb750 и соединены с rb1200 посредствам ipip туннелей.
В туннели анонсируется 0.0.0.0 для филиалов и на 1200 все филиальный сети натятся.
Часть филиалов подключено к тому же провайдеру что и центральный 1200й, с ними проблем вобщем то нет.
Часть филиалов подключено к другим провайдерам и вот тут возникают проблемы. Наблюдается очень медленный доступ к некоторым тяжелым сайтам из филиалов, в частности через раз работают сайты банков итд..
MTU на туннельных интерфейсах стандартный 1480, пытался поиграться с MSS
добился некоторого улучшения ситуации но не до конца.
chain=forward action=change-mss new-mss=1440 passthrough=yes tcp-flags=syn
protocol=tcp.

Что ещё можно предпринять?

Chupaka
проц E7600, в биосе выключил виртуализацию и отключил юсб нафиг.
а так все по дефолту.
видит 2 ядра, виснит через 7-12 часов.
просто висяк до ресета.
нагрузка-минимальная.
непонятна.

sumyst
new-mss=1300 ставился? а вообще, говорят, mturoute.exe -t в помощь

Цитата:

new-mss=1300 ставился? а вообще, говорят, mturoute.exe -t в помощь

Не не ставился. Спасибо попробую.

Там ещё такая незадача. Вот у тех филиалов которые через другого провайдера ходят, проверял скорость скачивания с помощью speedtest.net.
Берем отдельно взятый филиал.
Канал предположим 10 мегабит. В центральном 50 мегабит. Судя по speedtest скорость rx/tx 4/2 мегабита.
Ставлю на филиальном роутере натирование в обход тунеля (напрямую)
скорость 9/9.
Оба устройства не загружены. Канал на центральном роутере тоже.
Отследить в чем причина как-то проблематично.

Добавлено:
Вот сделал с 1го из проблемных хостов:

До одного из хостов за 1200м

$ tracepath -n 172.20.1.98
1: 192.168.99.254 0.155ms pmtu 1500
1: 192.168.99.1 0.751ms
1: 192.168.99.1 0.563ms
2: 192.168.99.1 0.553ms pmtu 1480
2: 192.168.99.1 0.594ms pmtu 1380
2: 172.31.31.2 2.376ms Адрес туннеля
3: 172.20.1.98 4.999ms reached
Resume: pmtu 1380 hops 3 back 253

вот до ya.ru

$ tracepath -n ya.ru
1: 192.168.99.254 0.135ms pmtu 1500
1: 192.168.99.1 0.716ms
1: 192.168.99.1 0.555ms
2: 192.168.99.1 0.543ms pmtu 1480
2: 192.168.99.1 0.583ms pmtu 1380
2: 172.31.31.2 2.335ms
3: 109.126.xx.xxx 3.118ms Публичный IP
4: 109.126.x.xxx 3.454ms
5: 109.126.x.xxx 3.371ms
6: 193.232.136.33 3.118ms
7: 87.250.233.119 135.477ms asymm 14
8: 87.250.233.126 139.955ms asymm 13
9: 213.180.213.63 145.258ms asymm 12
10: 213.180.213.32 141.964ms asymm 13
11: 213.180.213.69 143.475ms asymm 13
12: 87.250.251.3 141.106ms reached
Resume: pmtu 1380 hops 12 back 54


C виндового хоста попробую завтра.

Честно говоря особо сокрального понимания откуда у ноги у проблемы ростут эти действия не принесли.
не совсем понятно откуда взялось 1380

Chupaka
подскажи плиз на мой вопрос выше...

trikachuka
1) у меня как-то опыта работы с RB1xxx нет
2) про трафик молчанка... сколько ж его будет? потому как пару сотен мегабит RB должен переварить на ура, а их там ещё и четыре будет

Цитата:

Chupaka
проц E7600, в биосе выключил виртуализацию и отключил юсб нафиг.
а так все по дефолту.
видит 2 ядра, виснит через 7-12 часов.
просто висяк до ресета.
нагрузка-минимальная.
непонятна.

очень похоже на битую память, попробуйте заменить. И посмотрите нет ли вздутых конденсаторов на материнке.

Bambastick
не. на этой конфиге год пахало 24/7 вин серв 2008 + керио
+ после отключения второго ядра - неделя аптайма уже.

подскажите кто-нибудь, сколько максимально памяти видит микротик?
в матери торчит 2 планки по 2 гб ддр3, микротик видит только 2гб - это нормально?

Добавлено:
И в догонку, кеширование на прозрачном прокси можно на Мике организовать?
Если да-ткните ссылкой как настроить...

RAZORblade

Цитата:

проц E7600, в биосе выключил виртуализацию и отключил юсб нафиг.

Какая виртуализация, какое усб, выше ведь русским языком написали «хипертриденг»(Hyper Threading), или по «умному» виртуальные процессоры, а не возможность выполнения систем виртуализации на проце.trikachuka

Цитата:

Псмогут ли маршрутизаторы серии RB1000
обслуживать этаж как этажные NAS

Что вы под словом NAS понимаете? Микротик как бы машрутизатор, а не сетевое хранилище.

ЗЫЖ У меня работает 1100АН как узел сбора впн соединений с шифрованием (сейчас, пока не втянулись порядка 10—20 одновременно, потом будет больше).

Добавлено:

Цитата:

не. на этой конфиге год пахало 24/7 вин серв 2008 + керио
+ после отключения второго ядра - неделя аптайма уже.

Ну так может вашей маме уже пора… того, в мусор? Явно ведь не серверная мамка то.

Цитата:

подскажите кто-нибудь, сколько максимально памяти видит микротик?
в матери торчит 2 планки по 2 гб ддр3, микротик видит только 2гб - это нормально?

Ничего что я вопросом на вопрос? Зачем вам столько мозгов в маршрутизаторе, весь BGP интернета складировать?

Цитата:

И в догонку, кеширование на прозрачном прокси можно на Мике организовать?

Можно, включить то, что я выделил п/ж (это конфиг из 1100, а там из устройств только флешка, потому никакого кеширования):
/ip proxy> print
enabled: no
src-address: 0.0.0.0
port: 8080
parent-proxy: 0.0.0.0
parent-proxy-port: 0
cache-administrator: webmaster
max-cache-size: none
cache-on-disk: yes
max-client-connections: 600
max-server-connections: 600
max-fresh-time: 3d
serialize-connections: no
always-from-cache: no
cache-hit-dscp: 4
cache-drive: system

BigElectricCat
Вы такой умный, странно что Вас не украли в детстве.
Я в курсе что такое гипертридинг, я просто сказал что конкретно я отрубил, ибо вышеперечисленное нахер ненужно микротику, в современных мамках которым "пора в мусор" ни про какой гипертридинг давно не спрашивают, ибо не 2009 год на дворе, все это по дефолту включено и управляцца через биос не дает, ибо считают что без него людЯМ уже и жить низя.
На вопрос о мозгах отвечу, как вы любите, вопросом - а знаете зачем кот яйца лижет?
Потому-что МОЖЕТ.
Есть в наличии машина такой конфигурации, я должен ее "выкинуть в мусор" и поставить гордый, серверный пень ммх с 16 мозгами, потому что это тру?

Проехали вобщем.
За кеширование спасибо, тока тут он лупит каскад на 8080, а просто прозрачный не кешируется чтоль?


И всетаки, оно больше 2 гб мозга видит или нет?

mturoute принес больше вопросов чем ответов:

Вот mturoute до проблемного сайта

mturoute.exe -t alfabank.ru
mturoute to alfabank.ru, 30 hops max, variable sized packets
* ICMP Fragmentation is not permitted. *
* Speed optimization is enabled. *
* Maximum payload is 10000 bytes. *
1 +- host: 10.10.10.1 max: 1500 bytes | IP rb 750
2 -+++++++--+- host: 172.20.3.1 max: 1480 bytes | Адрес туннеля
3 +- host: 109.126.хх.ххх max: 1480 bytes | Публичный IP rb1200
4 +- host: 109.126.х.ххх max: 1480 bytes
5 +- host: 109.126.х.ххх max: 1480 bytes
6 +- host: 109.126.х.ххх max: 1480 bytes
7 +- host: 87.226.230.197 max: 1480 bytes
8 +- host: 95.167.93.166 max: 1480 bytes
9 +- host: 195.46.172.13 max: 1480 bytes
10 +- host: 213.33.144.222 max: 1480 bytes
11 +- host: 195.218.200.205 max: 1480 bytes

Как только выставил MSS в 1380 все начало работать правильно.
Вопрос почему такое происходит?

RAZORblade

Цитата:

сколько максимально памяти видит микротик?

2Гб. поднятие лимита не планируется. видимо, будет как в случае с многоядрёностью: пока на роутербордах фишка не появится - серьёзно в этой области развиваться не будут

BigElectricCat

Цитата:

Что вы под словом NAS понимаете? Микротик как бы машрутизатор, а не сетевое хранилище.

Network Access Server?


Цитата:

Зачем вам столько мозгов в маршрутизаторе, весь BGP интернета складировать?

если минимальный размер планки 1 Гб, а хочется использовать Dual Channel - приходится ставить 2 Гб, например

RAZORblade

Цитата:

ни про какой гипертридинг давно не спрашивают, ибо не 2009 год на дворе, все это по дефолту включено и управляцца через биос не дает

значит, надо приобретать нормальные решения, которые позволяют его отключить, ибо, по отзывам суппорта, конкретно в случае роутинга HT только вредит - если и не "валит" периодически маршрутер, то производительности уж точно не добавляет, а скорее наоборот


Цитата:

а просто прозрачный не кешируется чтоль?

max-cache-size=unlimited должно хватить, по идее



Добавлено:
sumyst
да, чудеса... Линуксь, видимо, знает больше

Chupaka
Но всё равно спасибо. 1380 вроде как решило проблемы.

Продолжаем отлавливать подводные грабли сети на микротиках =)

==2) про трафик молчанка... сколько ж его будет? потому как пару сотен мегабит RB должен переварить на ура, а их там ещё и четыре будет ==

вот это как раз вопрос, 300-400 компов в здании,
домен в лесУ(больше 2к компов, 2.7к гдето), почтовик виндовый на лес(exchange).
Много широковещательного трафика, по неточным оценкам 5-10%.
Определить сложноточно, т.к. мониторинга
не ведется.
Сетка 100Мб(циски 2950, 2960)...
Вот нужно все починить, сейчас как дорогу делали,
много слоев асфальта, а тех кто делал его, их нет.

Починка заключается в построении системы управления сетью
на основе этажных NAS (VRRP cluster на этаж). 4 этажа.
Использовать собираемся маршрутизатор RB/1100AH или RB/1100AHx2,
8 шт, по кластеру на этаж.
Все маршрутизаторы соеденины по схеме каждый с каждым
и висят на общей инет шине(отдельный сетевой интерфейс, подсеть).
Вариант по цискам с управлением на 3м уровне ОСИ тоже есть,
но там дороже значительно и без кластера, с кластером
очень дорого получается.

Вот и вопрос, справятся ли микротики с нагрузкой (не упадут сервисы
DHCP DNS?) при переисывнии большого файла с компа на 1 этаже со второго?

Цитата:

И всетаки, оно больше 2 гб мозга видит или нет?

по поводу 4гб рама не скажу не пробовал, а по поводу завесов скажу так, у меня один рутор вешался при заполнении памяти примерно в 300мегобайт, то что винда пахала это ничего не значит, винда и с битой памятью может пахать, а вот линукс нет.

Цитата:

винда и с битой памятью может пахать, а вот линукс нет.

Откуда дровишки?

Как раз на оборот, винда при первом удобном случае падает в синяк при аппаратных проблемах когда на этой же машине линукс замечательно живет.
проверено долгим опытом.

Chupaka
спасибо, у Вас как всегда все четко и по-делу.
Вопрос такого плана - где выбрать носитель для кэша и можно ли его (кеш) более детально настроить?
в плане кеширования допустим файлов до определенного размера или файлов только определенного формата, сроки жизни кешируевого материала.

Bambastick
таки ну чтож вы пристали к памяти то битой, ну не валится маршутизатор при одном ядре а при двух валится, тут явно не память виноватая

RAZORblade

Цитата:

И всетаки, оно больше 2 гб мозга видит или нет?

Чупака уже ответил.

Про работу хипертридов: если не отключаются — ставь на ту машину esxi, а под ним поднимай микротик, всё будет шуршать) как надо.

trikachuka

Цитата:

Вот и вопрос, справятся ли микротики с нагрузкой (не упадут сервисы DHCP DNS?) при переисывнии большого файла с компа на 1 этаже со второго?

У меня не падают) хотя куда более скромные запросы, но удовлетворяются куда более слабыми рб-шками: есть несколько филиалов, там 493ж стоят, на них вся кухня настроена: dhcp, dns (большего и не надо), tftp boot тонких клиентов (штук по 10—15), поднятие ир-ир+ип-сек в центральный офис к терминалке. Нагрузка процов не более 30—40% (это когда тонкие клиенты грузятся, а так 10—15).

Кстати, советую взглянуть в сторону свиччипа на РБ, очень полезная вещчь)) для проталкивания через штык только необходимого трафика.

PS: в центральном офисе на входе стоит тоже 493ж, только я свиччип заюзал + анализатор проходящих пакетов на очень шустрой виртуальной машинке))).

BigElectricCat
esxi-из пушки по мухам, 30 юзеров и 15 мегабит инета делит тачка, мультикор и не надо поидее, и так загрузка проца выше 10 процентов не поднимется, просто интересно было.
фиг с ним.

Такой вопрос
схема простая

приход инета по pptp, дальше на машине пптп-сервер и раздача юзерам тоже по пптп.
у всех юзеров по умолчанию 8 приоритет.
Подскажите пожалуйста правило, которое даст на всех приоритет 1 для 80 порта?
Хочется HTTP ускорить.