ShriEkeR Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору     MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2) Официальный сайт: http://www.mikrotik.com   Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS Тема в варезнике     последняя устаревшая версия: 4.17 последняя стабильная версия: 5.11       Официальная документация: http://wiki.mikrotik.com/wiki/Category:Manual для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/ для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/ RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)   Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page   Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком Дополнение к настройке L2TP IPsec   Обсуждение ROS: Раздел форума PCRouter, посвященный MikroTik RouterOS Раздел форума DriverMania. Много полезного.   Статьи: Перевод официального документа о QoS, очередях и шейпере. Краткий FAQ по настройке (первоисточник). Объединяем офисы с помощью Mikrotik Делим Интернет или QoS на Mikrotik (первоисточник). Установка и настройка ABillS + Mikrotik на Gentoo Linux.   Mikrotik-Qos Приоритезация по типу трафика и деление скорости Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

nkbss Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: nkbss   т.е. если что-нибудь одно убрать, то ничего не работает? занятно =) я бы разработчикам отписался - явно же баг, диапазоны-то перекрываются...   Да. Только что снова пробовал. При удалении любого диапазона Alternative Subnets в IGMP Proxy (0.0.0.0/0 или 232.0.1.0/24) ИПТВ не работает. Менять местами можно. Причина мне неизвестна. Всего записей: 48 | Зарегистр. 31-07-2009 | Отправлено: 20:53 17-01-2011

GawkV Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: одскажите можно ли настроить mikrotik 4.16 так чтобы он рабботал как dns сервер, но все запросы в домене firma.ru разрешал на контроллере домена влокальной сети, а остальные в интернет к dns выданному провайдером а днс домена использовать религия не позволяет?? зачем придумывать всякого рода извращения? Всего записей: 221 | Зарегистр. 09-06-2006 | Отправлено: 00:52 18-01-2011

FreeLSD_md Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток... Прошу помочь решить проблему:   Статический внешний айпи - НАТ - локалка.  Акцентирую внимание на то, что маршрутизатор настроен с помощью инструмента src-nat, а не маскарадинг, как это часто бывает... Не удаётся отсылать почту, почтовые клиенты только принимают письма. В фаерволе запретов на смпт 25 порт нету. Неоходимо ли его пробрасывать отдельно, и как сделать таким образом, что бы почтовые клиенты работали у всех из локалки на этом же 25-м порту... Подробности конфигурации, по надобности предоставлю, Спсибо.   Добавлено: Думаю, полезно будет сразу привести из фаервола форвард секцию ... Код:  > ip firewall filter print   Flags: X - disabled, I - invalid, D - dynamic    0   chain=forward action=drop connection-state=invalid    1   chain=forward action=drop src-address=192.168.0.0/16 in-interface=ether2    2   chain=forward action=drop src-address=10.0.0.0/8 in-interface=ether2    3   chain=forward action=drop src-address=172.16.0.0/12 in-interface=ether2    4   chain=forward action=drop protocol=tcp in-interface=ether2 dst-port=4662    5   chain=forward action=drop protocol=tcp in-interface=ether2 dst-port=4672    6   chain=forward action=drop protocol=tcp dst-port=135-139    7   chain=forward action=drop protocol=udp dst-port=135-139    8   chain=forward action=drop protocol=tcp dst-port=1433-1434    9   chain=forward action=drop protocol=tcp dst-port=445   10   chain=forward action=drop protocol=udp dst-port=445   11   chain=forward action=drop protocol=tcp dst-port=593   12   chain=forward action=drop protocol=tcp dst-port=1024-1030   13   chain=forward action=drop protocol=tcp dst-port=1080   14   chain=forward action=drop protocol=tcp dst-port=1214   15   chain=forward action=drop protocol=tcp dst-port=13263   16   chain=forward action=accept protocol=tcp dst-port=25   17   chain=forward action=accept protocol=udp dst-port=25     правила №16 и №17 были добавлены для решения проблемы, но это не помогло... Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 01:15 18-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: чтобы он рабботал как dns сервер вообще сервера там нет - обычный кэширующий клиент. но народ извращается определением пакетов по контенту (содержащих нужный домен) и натированием его на адрес нужного сервера   Цитата: правила №16 и №17 были добавлены для решения проблемы а эти правила считают пакетики? конкретно - 16-е Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 08:54 18-01-2011

FreeLSD_md Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka да, за 1 попытку отослать письмо, насчитывает 3 пакета, 144 байта... По 17-му правилу(протокол udp) всё по нулям, по всей видимости, заявленное использование udp протокола не имеет место при отслылке сообщений чисто текстового характера.   Прошу прощения, по невнимательности упустил, оттуда и проблема:   Когда решил проверить возможность подключения к smtp серверу по telnet  на тот самый 25 порт конечно же показало, что нету возможности подключения, и, просто для галочки, решил проверить другой порт smpt сервера, любезно предоставленный почтовым сервисом, подключиться удалось без проблем.      Как оказалось пров верхнего уровня просто на нет блокирует у всех 25-ый порт с целью предотвращения рассылки спама из своей сети, чтоб ему было!   Chupaka   А вообще правила верно составлены ? Всего записей: 711 | Зарегистр. 10-10-2006 | Отправлено: 11:05 19-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: а теперь ситуация 4 абонента могут раскачивать свой родительский шейп больше чем установленные лимиты, то есть больше чем 1024К а можно документальное подтверждение в студию?.. не должно быть такого   какя версия используется? Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 17:06 19-01-2011

Dimsoft Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору планируется аппаратная схема   необходимо поднять: pppoe1 для телефонии (желательно с отдельного медиаконвертера) pppoe2 для интернета канал безлимитный 8 мегабит pppoe3 для интернета резрвный канал помегабайтный 10-100 мегабит   микротики планирую объединить по vrrp     система останется работоспособной при отказе: - ИБП №3 (нормально отработает vrrp) - микротик №4 (нормально отработает vrrp) - коммутатор №7 (нормально отработает vrrp) но как ли системе оставаться работоспособной при выходе из строя: - только конвертера №1 - пропадания pppoe среды1 Всего записей: 2790 | Зарегистр. 17-11-2003 | Отправлено: 21:08 19-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Dimsoft схема не совсем понятна... хотя что я говорю - совсем непонятна. вот эти два облака вверху - это чё? любое pppoe-подключение может быть установлено через любой из двух аплинков?   на каждом мелкотике поднимается vrrp где? судя по схеме - отдельным проводом, где он хоть и отработает, а сервер этого никак не увидит   в целом по схеме: если уж извращаться, то извращаться надёжно. объединяйте 3120 в стек, _каждый_ RB подключайте к нему двумя проводами (в разные юниты) бондингом (как показала практика, D-Link + MikroTik гораздо лучше в такой схеме общаются по static, а не LACP - время сходимости гораздо меньше), на котором и делайте vrrp. тогда в случае пропадания одного свитча все агрегированные линки упадут до состояния "работает только один канал", в случае пропаданя одного из роутербордов сработает vrrp   вопрос с аплинками остаётся открытым Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 03:42 20-01-2011

Dimsoft Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka 3120 по 10G в стеке (там нарисовано ) vrrp между LAN портами   два облака это два линка разваренных из одного 4-х жильного оптического кабеля. в каждом присутствует pppoe среда провайдера. поднимать pppoe соединение можно через любой, но если мешать pppoe для телефонии и интернет, то провайдер не гарантирует надежную телефонию.   линки между микротиками думал использовать так:   порты в больших кружках в в бридж в нормальном режиме микротик, который по vrrp главный поднимает 1 канал с красного порта, а второй с синего     мучаюсь сомнениями потому, что есть главный потребитель pppoe для телефонии - ATC Panasonic TDA30  с одним ethernet портом - как её резервировать - не знаю Всего записей: 2790 | Зарегистр. 17-11-2003 | Отправлено: 06:36 20-01-2011 | Исправлено: Dimsoft, 06:38 20-01-2011

fdboss Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka конечно можно вот например касательно примера который я привел   а вот другой пример где уже родительский шейп ведет себя точно так же, то есть отдает больше чем у него стоит.     микрот версии 3.3 а да чуть не забыл пакеты маркирую в прероутинге, вот пример одна строка потому как все маркируются одинаково chain=prerouting action=mark-packet new-packet-mark=unlimit_512_1_mir_in passthrough=no src-address=0.0.0.0/0 dst-address-list=unlimit_512_1   вроде как логика говорит мне, что пакеты нужно отмаркировать дважды, первый раз отмаркировать все пакеты на адреса инлимитчиков для головного шейпа kachalshiki_in, потом отмаркировать каждого инлимитчака отдельно, при этом по идее должна создаться одна очередь на головном шейпе kachalshiki_in, и вторая очередь на каждом анлимитчике. но создавая правила мангла например вот так. Код: 1 chain=prerouting action=mark-packet new-packet-mark=kachki_all_in passthrough=yes src-address=0.0.0.0/0 dst-address-list=kachki_in   2 chain=prerouting action=mark-packet new-packet-mark=unlimit_512_1_mir_in passthrough=no src-address=0.0.0.0/0 dst-address-list=unlimit_512_1 3 ....... 4 ....... 5 правила маркировки одинаково выглядят для все инлимитчиков   шейпирование все равно не работает клиенты могут выйти за пределы установленные.     здесь полагаю это связанно с тем что микрот ремаркирует пакеты промаркированные 1 правилом, правилами 2,3,4,5 и в queue tree они попадают уже отмаркироваными этими правилами. отсюда вопрос как можно в принципе построит такое шейпирование?   Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 07:57 20-01-2011 | Исправлено: fdboss, 10:54 20-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору fdboss у меня всё нормально отрабатывает =) правда, я всё это в global-out делаю - за global-in не скажу...   и - да, у пакета может быть только одна метка, несколько установить невозможно, так задумано Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 12:24 20-01-2011

fdboss Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Chupaka Цитата: у меня всё нормально отрабатывает =) правда, я всё это в global-out делаю - за global-in не скажу...   а что глобал аут и глобал ин как то отличаются по принципу работы?? Цитата: и - да, у пакета может быть только одна метка, несколько установить невозможно, так задумано так шутка юмора в том что даже если не перемаркировывать пакеты, а просто в материнском шейпе unlimit_in выставить в packet marks маркировки пакетов всех анлимитчиков, он позвалянт это сделать то все равно не работает, то есть получается что маркировка не причем.   вот сдедал тоже самое в глобал аут         не пашет, мистика какая то.   а ось у тебя какая ??   и еще вопрос у тебя пакетыки показывает в материнском шейпе, то есть который у меня kachalshiki_in             Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 12:49 20-01-2011 | Исправлено: fdboss, 13:03 20-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору Цитата: в материнском шейпе unlimit_in выставить в packet marks маркировки пакетов всех анлимитчиков а то, что выставлено в родительских очередях, вроде как роли не играет   Цитата: ось у тебя какая ?? в данный момент 5.0rc4, но и на 3.28 ничего необычного не было   Цитата: пакетыки показывает в материнском шейпе конечно Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 13:10 20-01-2011

fdboss Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: в данный момент 5.0rc4, но и на 3.28 ничего необычного не было   вот с такими вещами я уже сталкивался. очень интересная весч была   стоял микрот версией 3.22 загрузка цпу была что то около 30%, перезалил ось на 3.3 без смены железа, и конфига включаю загрузка цпу выросла до 50% просто на ровном месте   может на 3.28 это работает а вот на 3.3 может уже и не работать     да, блин, мистика какая то, уже мозги плавятся. Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 13:19 20-01-2011

Chupaka Silver Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору наверное, 3.30, а не 3.3... тогда не вижу проблемы откатиться на 3.28 и проверить Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 13:20 20-01-2011

fdboss Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: наверное, 3.30, а не 3.3... тогда не вижу проблемы откатиться на 3.28 и проверить есть проблема 3.22 была проблема с регулярками, поэтому и пришлось 3.30 ставить, в 3.28 неизвестно есть такие проблемы или нет. Чето не пруха с апгрейдами одно лечится другое калечится   я извиняюсь за такой большой скрин       вот сделал на 3.22 не работает     Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 13:29 20-01-2011 | Исправлено: fdboss, 14:37 20-01-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

ShriEkeR (05-01-2012 00:59):

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование