Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    Demon

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    swz1968
     
    Переведи модем в бридж, подыми pppoe на микротике и многие твои вопросы решатся
    Всего записей: 612 | Зарегистр. 03-10-2001 | Отправлено: 10:38 26-03-2011
    chert90

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Настроил IPTV на MT3.30. Теперь немогу настроть чтобы бегали пакеты между 2 и 3 интефейсом. Устроенно так:  
     
    ether1 - Провайдер (pptp)
    wlan0 -  WiFi (10.10.5.0/24)
    ether2 - локальная сетка (10.10.5.0./24)
     
    До IPTV было настроенно через bridge всё работало НОРМ, но как только поднял IPTV-> IGMP-> между ether1 и ether2. Пришлось отключить bridge, так как с bridge роутер вис. Как теперь мне без bridge застваить что бы из wifi виделась сеть на ether2, ну и обратно соответственно. Сейчас если подниму bridge всё заработает но iptv нет. (((
    Всего записей: 58 | Зарегистр. 31-10-2002 | Отправлено: 15:24 26-03-2011
    jw

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Кто настраивал VPN с Android до Mikrotik? Пробовал разные версии Андроида и Микротика, подключение PPTP, L2TP без IPSEC и в любом случае в логах микротика появляются записи типа
    1) waiting for call
    2) terminating
    3) disconnecting
    и все, ничего не подключается.  
    с компа Win XP по pptp заходит без проблем.
    Как правильно настроить соединение,чтобы оно заработало?
    Всего записей: 33 | Зарегистр. 08-01-2006 | Отправлено: 22:10 26-03-2011
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Кто настраивал VPN с Android до Mikrotik?... Как правильно настроить соединение,чтобы оно заработало?
    OpenVPN использовать религия не позволяет?
    Всего записей: 1623 | Зарегистр. 19-02-2006 | Отправлено: 23:51 26-03-2011
    jw

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    OpenVPN использовать религия не позволяет?

    Настройка замороченная с сертификатами... Но и после нее ничего не работает
    Всего записей: 33 | Зарегистр. 08-01-2006 | Отправлено: 10:58 27-03-2011 | Исправлено: jw, 15:32 27-03-2011
    TiRex06



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Подтолкните НАЧИНАЮЩЕГО
     
    Поставил роутерОС на машину. Маршрутизатор для трех изолированных сетей.
    Три интерфейса.
    Из самого маршрутизатора пингуются все компьютеры всех сетей.
    Из компьютеров всех сетей пингуются только все интерфейсы маршрутизатора, НО   НЕ пингуются компьютеры других сетей.  
    Куда дальше двигаться ? Файрвол? или что. Таблица маршрутизации есть стандартная для факта наличия 3х сетей.
    Подскажите, плиз.
    Всего записей: 9 | Зарегистр. 25-03-2006 | Отправлено: 18:56 27-03-2011
    chert90

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    TiRex06
     
    Подними bridge.
    Всего записей: 58 | Зарегистр. 31-10-2002 | Отправлено: 10:11 28-03-2011 | Исправлено: chert90, 10:12 28-03-2011
    konart2

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую всех посетителей этой ветки!  
    С микротиком знаком и работаю уже давно. Возникли вопросы следующего характера:  
    Наблюдается ли падение производительности сети и в целом, если микротик ставить на Vmware ESX(i) ?  
    На каких гипервизорах он ещё способен жить без проблем?
    Всего записей: 61 | Зарегистр. 12-11-2009 | Отправлено: 10:55 28-03-2011
    partizan885

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Есть 2 офиса: Офис А 172.26.0.0/16 выход в инет через Cisco, Офис Б 172.25.0.0/24 внешняя серая сеть типа 10.0.0.0, затем PPTP выход в инет. Между Cisco и mikrotik поднят IPSEC. Тунель работает нормально, только одно но: из сети офиса А в сеть офиса Б все пингуется и работает, а наоборот нет, т.е из офиса Б не пингуется офис а.
    Tracerout из А доходит до внешнего PPTP и всё... в чем может быть засада???
    Всего записей: 3 | Зарегистр. 19-01-2007 | Отправлено: 10:42 30-03-2011
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет народ.
     
    может кто нибуть подсказать как настроить NAT, если клиент приходит не на изернет а на VLAN, почему то если вешаешь клиента на изернет то в нате пакеты перехватываются, а если на изернет прикручиваешь влан, переносишь гейт на него, то нат перестает перехватывать пакеты.
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 16:41 30-03-2011
    zvirko



    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте, есть 2 канала интернет inet1, inet2 + локалка + микротик  
    1. Можно ли настроить так чтобы когда пропадал inet1 автоматически включался inet2?  
    2. Некоторые пользователи постоянно должны работать на inet2
    Как это сделать?
    Всего записей: 5 | Зарегистр. 14-10-2009 | Отправлено: 16:07 31-03-2011
    semik1993semik

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Здравствуйте.
    Если есть возможность, то прошу помочь настроить MikroTik RB750. Я простой пользователь, и настройка данного устройства вызвала затруднение, хотя два дня добросовестно читаю форумы и т.д.  
     Суть вопроса: Есть  модем ZyXel P660HT2EE (192.168.1.1) режим routing к нему подключен комп1  и WiFi  мост типа точка-тока. С другой стороны  моста  есть  MikroTikRB750 и switch D-link DGS + 9 компов. WiFi мост прозрачен.  
     
    Возможно ли настроить MikroTik так чтобы, не изменяя режим работы модема , 9-ти компам делить скорость интернета и установить приоритет трафика.  
     
    Заранее спасибо, готов отблагодарить материально
    Всего записей: 1 | Зарегистр. 03-04-2011 | Отправлено: 20:26 03-04-2011
    tiuman

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Копаете в нужном направлении, но информации недостаточно. Например, что у вас с внешним интерфейсом - NAT на нём настроен?

    извините что так долго не отписывался...
    NAT настроен как сказать. щас покажу все.
     
    У нас есть 3 клуба,
    1 клуб есть 2 местных провайдера и их подсети со скоростью 20mbps и 100mbps выход в инет через ростелеком канал на 3 мб/с
    2 клуб есть 1 местный провайдер с доступом в их подесть.  Ростелеком выделенка на первый клуб без доступа в инет
    3 клуб есть 2 местных провайдера с доступом в их подсеть. Ростелеком выделенка на первый клуб без доступа в инет
     
    2 отсальных клуба получают инет с 1 клуба в котором есть Ростелеком.
    доступ до первого клуба с 2 других клубов осуществляется выделенной линией предоставленной Ростелеком его интерфейс rostelVPN. по этой линии настроены ipip тунели на два остальных клуба. все обращения на Интренет с клуба 2 и 3 по статистической маршрутизации приходят через ipip тунели в шлюз клуба 1, чтобы все компы клубов имели свой индивидуальны IP.  
     
     
    /interface ethernet
    set 0 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
        disable-running-check=yes disabled=no full-duplex=yes mac-address=\
        00:13:D3:9A:A7:AA mtu=1500 name=helios speed=10Mbps местный провайдер
    set 1 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
        disable-running-check=yes disabled=no full-duplex=yes l2mtu=1600 \
        mac-address=00:22:B0:03:B4:B4 mtu=1528 name=rostel speed=100Mbps Собстенно ростелеком
    set 2 arp=proxy-arp auto-negotiation=yes cable-settings=default comment="" \
        disable-running-check=yes disabled=no full-duplex=yes mac-address=\
        00:E0:4C:50:2C:B7 mtu=1500 name=local speed=100Mbps Локалка
    set 3 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
        disable-running-check=yes disabled=no full-duplex=yes mac-address=\
        00:E0:42:46:04:5A mtu=1500 name=adsl speed=100Mbps местный провайдер
    set 4 arp=enabled auto-negotiation=yes cable-settings=default comment="" \
        disable-running-check=yes disabled=no full-duplex=yes mac-address=\
        00:14:D1:15:D6:8B mtu=1500 name=rostelVPN speed=100Mbps
    /interface ipip
    add comment="" disabled=no local-address=192.167.167.10 mtu=1528 name=blitz3 \
        remote-address=192.167.167.2 тунель до клуба 1
    add comment="" disabled=no local-address=192.167.167.10 mtu=1528 name=blitz2 \
        remote-address=192.167.167.6 тунель до клуба 2
     
    СОбственно Ip адреса клубов тут ниче интересного нету. едиственное что можно отметить что в клубе 1 используется подсеть 192.168.100.Х во 2 клубе 192.168.6.X в третьем 192.168.5.X
     
     
    /ip address
    add address=192.168.100.100/24 broadcast=192.168.100.255 comment=LOCAL disabled=no interface=local network=192.168.100.0
    add address=95.167.25.38/30 broadcast=95.167.25.39 comment="" disabled=no interface=rostel network=95.167.25.36
    add address=88.82.169.185/23 broadcast=88.82.169.255 comment="" disabled=no interface=helios network=88.82.168.0
    add address=10.172.69.248/22 broadcast=10.172.71.255 comment="" disabled=no interface=adsl network=10.172.68.0
    add address=192.167.167.10/30 broadcast=192.167.167.11 comment="" disabled=no interface=rostelVPN network=192.167.167.8
    add address=192.168.5.233/24 broadcast=192.168.5.255 comment="Tunel Blitz3 rostel" disabled=no interface=blitz3 network=192.168.5.0
    add address=192.168.6.233/24 broadcast=192.168.6.255 comment="Tunel blitz2 rostel" disabled=no interface=blitz2 network=192.168.6.0
     
     
    Статистическая таблица маршрутизации ВВ это городской бекбон, а STCM это подсети второго провайдера.
     
     
       
    /ip route
    add check-gateway=ping comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=95.167.25.37 scope=30 target-scope=10 Шлюз ростелекома.
    add disabled=no distance=1 dst-address=10.1.117.224/27 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=10.4.1.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=10.144.65.0/24 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=10.160.0.0/11 gateway=10.172.68.1 scope=30 target-scope=10
    add comment="" disabled=no distance=1 dst-address=10.160.117.236/32 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=77.242.0.0/21 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=77.242.4.4/30 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=79.133.86.128/25 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=80.72.29.96/27 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=80.73.64.0/19 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=80.73.80.0/24 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=80.81.216.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=82.179.48.0/21 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=82.179.56.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=84.237.104.0/21 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=87.226.235.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=87.226.236.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=88.82.160.0/19 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=91.185.224.0/20 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=91.185.240.0/21 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=91.185.248.0/24 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=91.185.249.0/24 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=91.193.176.0/22 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=91.211.76.0/22 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=94.231.16.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=94.231.18.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=94.231.20.0/24 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=94.245.128.0/18 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=94.245.155.0/27 gateway=10.172.68.1 scope=30 target-scope=10
    add comment=BB disabled=no distance=1 dst-address=109.197.200.0/21 gateway=88.82.168.1 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=172.18.11.5/32 gateway=10.172.68.1 scope=30 target-scope=10
    add comment="" disabled=no distance=1 dst-address=192.167.167.0/24 gateway=192.167.167.9 scope=30 target-scope=10
    add comment=STCM disabled=yes distance=1 dst-address=192.168.0.0/16 gateway=10.172.68.1 scope=30 target-scope=10
    add comment="" disabled=no distance=1 dst-address=192.168.0.0/24 gateway=192.168.31.232 scope=30 target-scope=10
    add comment=STCM disabled=no distance=1 dst-address=213.129.32.0/19 gateway=10.172.68.1 scope=30 target-scope=10
     
    Вот правила нат
     
     
    /ip firewall nat
    add action=masquerade chain=srcnat comment=BLITZ1 disabled=no src-address=\
        192.168.100.0/24 Натируются пакеты из локалки
    add action=masquerade chain=srcnat comment=BLITZ2 disabled=no src-address=\
        192.168.6.0/24 Натируются пакеты пришедшие из 2 клуба
    add action=masquerade chain=srcnat comment=BLITZ3 disabled=no src-address=\
        192.168.5.0/24 Натируются пакеты пришедшие из 3 клуба
     
     
    dst-address-list=!bbstcm  тут адрес листы подсетей местных провайдеров чтобы не маркировать трафик идущий к местным провайдерам правильно ли я это сделал? и в общем правильно ли промаркированы? Люди говорят что connection-bytes=0-500000 определяет Веб download от Веб серфинга правильно ли я это сделал?
     
     
    /ip firewall mangle
    add action=mark-connection chain=prerouting comment="icmp MC" disabled=no dst-address-list=!bbstcm new-connection-mark=icmp passthrough=yes protocol=icmp time=\
        0s-1d,sun,mon,tue,wed,thu,fri,sat
    add action=mark-packet chain=prerouting comment="icmp MP" connection-mark=icmp disabled=no new-packet-mark=icmp passthrough=no
    add action=mark-connection chain=prerouting comment="winbox MC" disabled=no dst-address-list=!bbstcm dst-port=8291 new-connection-mark=winbox passthrough=yes protocol=tcp
    add action=mark-packet chain=postrouting comment="winbox MP" connection-mark=winbox disabled=no new-packet-mark=wibnox passthrough=no
    add action=mark-connection chain=prerouting comment="web MC" connection-bytes=0-500000 disabled=no dst-address-list=!bbstcm dst-port=80,445 new-connection-mark=web passthrough=yes \
        protocol=tcp
    add action=mark-packet chain=prerouting comment="web MP" connection-mark=web disabled=no new-packet-mark=web passthrough=no
    add action=mark-connection chain=prerouting comment="dns MC" disabled=no dst-address-list=!bbstcm dst-port=53 new-connection-mark=dns passthrough=yes protocol=udp
    add action=mark-packet chain=prerouting comment="dns MP" connection-mark=dns disabled=no new-packet-mark=dns passthrough=no
    add action=mark-connection chain=prerouting comment="other MC" disabled=no dst-address-list=!bbstcm new-connection-mark=other passthrough=yes
    add action=mark-packet chain=prerouting comment="other MP" connection-mark=other disabled=no new-packet-mark=other passthrough=no
    add action=change-mss chain=forward comment="Odnoklassniki.ru MTU" disabled=no new-mss=1360 protocol=tcp tcp-flags=syn tcp-mss=1453-65535
     
     
    А тут куча просто вопросов...
    например parent=global-in поставил чтобы на все клубы работала очередь так как два других клуба используют ipip тунели. а локалка первого клуба на ethernet-е.
    тут говорят надо обязательно поставить в total-ах MAX-limit минус 10% от пропускной способности канала у нас на Инет 3 mbps но если я это поставлю то пропускная способность с клуба №1 на сети местных провайдеров опуститься до 2,7 mbps, из за этого я сделал MAXLimit только в маркированных очередях в Тоталах оставил по Нулям.(а в mangle поставил dst-address-list = !адресс лист местных провайдеров) правильно ли я это сделал чтобы запустить в очередь только интернет ???
     
     
     
     
    /queue tree
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="total download" parent=global-in priority=1
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="1 icmp" packet-mark=icmp parent="total download" priority=1 queue=down
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="2 winbox" packet-mark=wibnox parent="total download" priority=2 queue=down
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="4 web" packet-mark=web parent="total download" priority=3 queue=down
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="3 dns" packet-mark=dns parent="total download" priority=3 queue=down
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="6 other" packet-mark=other parent="total download" priority=6 queue=down
     
     
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=0 name="total upload" parent=rostel priority=8
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="1 icmp up" packet-mark=icmp parent="total upload" priority=1 queue=upload
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="2 winbox up" packet-mark=wibnox parent="total upload" priority=2 queue=upload
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="4 web up" packet-mark=web parent="total upload" priority=4 queue=upload
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="3 dns up" packet-mark=dns parent="total upload" priority=3 queue=upload
    add burst-limit=0 burst-threshold=0 burst-time=0s disabled=no limit-at=0 max-limit=2700k name="6 other up" packet-mark=other parent="total upload" priority=6 queue=upload
     
     
    еще один вопрос если у нас во всех клубах 130 компов в час пик в онайлне около 60 компов. как правильно настроить PCQ
     
    и надо ли пользоваться PCQ для маркированных пакетов по типу трафика??
     
    например пользователь ivan999 говорит об обратном надо пользоваться pfifo или я не понял его токие намеки?? вот ссылка на его пост
    http://forum.nag.ru/forum/index.php?showtopic=62340&view=findpost&p=569715
     
     
     
     
    /queue type
    set default kind=pfifo name=default pfifo-limit=50
    set ethernet-default kind=pfifo name=ethernet-default pfifo-limit=50
    set wireless-default kind=sfq name=wireless-default sfq-allot=1514 sfq-perturb=5
    set synchronous-default kind=red name=synchronous-default red-avg-packet=1000 red-burst=20 red-limit=60 red-max-threshold=50 red-min-threshold=10
    set hotspot-default kind=sfq name=hotspot-default sfq-allot=1514 sfq-perturb=5
    add kind=pcq name=down pcq-classifier=dst-address pcq-limit=1500 pcq-rate=0 pcq-total-limit=150000000
    add kind=pcq name=upload pcq-classifier=src-address pcq-limit=1500 pcq-rate=0 pcq-total-limit=150000
    set default-small kind=pfifo name=default-small pfifo-limit=10
     
     
     
    Всего записей: 39 | Зарегистр. 02-11-2007 | Отправлено: 06:20 06-04-2011 | Исправлено: tiuman, 06:31 06-04-2011
    tiuman

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    все спят?
    Всего записей: 39 | Зарегистр. 02-11-2007 | Отправлено: 18:46 06-04-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    вот и словил я нечто подобное сетевого флуда,
    на Микротик зайти через винбокс не получается, только
    телнетом и то с затруднением, смотрим что происходит,
    проц загружен на 100% а трафика всего 20Мбит,
    далее смотрю в IP-Firewall-Connections у одного клиента
    куча соединений (9000) причем в пике нагрузке их общее
    количество бывает всего 3000, и что самое интересное, что
    IP клиента стоит в Dst.Address (172.16.0.5) и это при том что
    используется NAT (Masquerade). Что сделал, создал правило
    для блокировки пакетов с этого ip в Dst.Address, все прекратилось,
    так же с этого ip было замечено много запросов к DNS, и это при
    том что все клиенты работают через сервер, то есть на сервере настроена
    маршрутизация и у клиентов DNS прописан сервера и DNS Микротика они
    вообще не должны видеть, что и всегда видел в статистике, обращение только
    самого сервера к DNS.
    я так понимаю это сетевой флуд или компьютер клиента заражен вирусом,
    правильно ли я понимаю, что если заблокировать пакеты сеть 172.16.0.0.\24 в
    Dst.Address, я в последствии не получу больше такого и эта блокировка
    ни как не повлияет на работу интернета или еще каких служб.
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 13:37 07-04-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    что за машина? флудящий трафик был UDP? в пятой версии по моей просьбе таки добавили в dst-limit режим src-address, поэтому сейчас можно ограничивать исходящую пакетную нагрузку для каждого пользователя поотдельности - что и не помешает сделать для удп- (в частности днс-) трафика
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 15:45 07-04-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    машинка 450G  4.10, да трафик был UDP и UDP на 53 порт.
    я вот только не понял это был входящий или исходящий трафик
    от пользователя, потому что между 450 и пользователями стоит
    сервер с ТИ с маршрутизацией без NAT, в нем не видно что
    от или к пользователю есть какая то активность, то есть монитор
    скорости показывает 0. интернет в данный момент у пользователя
    не работает, разбирается с вирусами. Так как у клиентов прописан
    DNS ip сервера, то на 450 естественно я вижу обращения к DNS только
    самого сервера, а тут запросы от самого пользователя.
    так не понятно эти правила решат мою проблему:

    Код:
    21   chain=forward action=drop protocol=udp dst-address=172.16.0.0\24  
         in-interface=LAN src-port=53  
     
    22   chain=forward action=drop protocol=udp dst-address=172.16.0.0\24

    пока не хочется переходить на 5 версию и потом на сколько я понял это
    не нагрузка была от пользователя, то есть торентом или еще чем, а
    флуд или еще что...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 16:30 07-04-2011 | Исправлено: vlh, 16:30 07-04-2011
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    сервер с ТИ с маршрутизацией без NAT, в нем не видно что  
    от или к пользователю есть какая то активность, то есть монитор  
    скорости показывает 0

    зачем нам ТИ, если в ROS есть Tools -> Torch?
     

    Цитата:
    эти правила решат мою проблему

    нет, по идее: если пакет от пользователя, то нужен src-address, а не dst-
     

    Цитата:
    пока не хочется переходить на 5 версию  

    почему?
     
    з.ы. кстати, пора обновлять шапку... убежал вверх =)
    Всего записей: 3752 | Зарегистр. 05-05-2006 | Отправлено: 16:36 07-04-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    нет, по идее: если пакет от пользователя, то нужен src-address, а не dst-

    если поставить src-address то соответственно весь трафик за блокируется,
    я сделал правила о которых писал и вся нагрузка упала, под правила какое то
    время попадали пакеты потом прекратились, сделал конкретно под свой компьютер такие правила интернет работает вроде ни чего такого не заметил, но
    под правила иногда несколько пакетов попадает.
     

    Цитата:
    если в ROS есть Tools -> Torch?

    смотрел и там его ip был как в src так и в dst, смотрел на интерфейсе LAN.
    думаешь стоит на 5 переходить? стабильная? или ты как рекламный агент
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 16:58 07-04-2011
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    обновился до 5.0 и получил не работающий скрипт отправки
    бекапа на мыло и не понятные сообщения в логах:

    Цитата:
    10:17:38 radvd,debug skip Router Advertisement sending on PABLIC: no prefixes to sen
    d

    и такие сообщения идут по всем интерфейсам.
    что это?
     
    P.S.
    а как работает Dst.Limit? можно вводить всю подсеть и что указывать в Action?
     
    P.P.S.
    разобрался, в логах был включен radvd а лог e-mail был выключен,
    отправка бекапа не работала из-за того что поменялась структура,
    было server=94.100.177.3:25 а стало server=94.100.177.3
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 10:31 08-04-2011 | Исправлено: vlh, 11:15 08-04-2011
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2025

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru