MikroTik RouterOS (часть 3) - [6] :: В помощь системному администратору :: Компьютерный форум Ru.Board

Перейти из форума на сайт.

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
ShriEkeR (05-01-2012 00:59):	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

ShriEkeR

Moderator

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com

Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

Официальная документация:

http://wiki.mikrotik.com/wiki/Category:Manual

для версии 3.х http://www.mikrotik.com/testdocs/ros/3.0/

для версии 2.9.х http://www.mikrotik.com/docs/ros/2.9/

RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)

Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page

Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
Дополнение к настройке L2TP IPsec

Обсуждение ROS:
Раздел форума PCRouter, посвященный MikroTik RouterOS
Раздел форума DriverMania. Много полезного.

Статьи:
Перевод официального документа о QoS, очередях и шейпере.
Краткий FAQ по настройке (первоисточник).
Объединяем офисы с помощью Mikrotik
Делим Интернет или QoS на Mikrotik (первоисточник).
Установка и настройка ABillS + Mikrotik на Gentoo Linux.
Mikrotik-Qos Приоритезация по типу трафика и деление скорости

Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011

hatny

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

vlh

Цитата:

то есть значит если я например хочу группу направить на один из внешних интерфейсов,
и больше с ней ни чего не делать, то надо ставить NO, а если я еще например хочу ограничить скорость для этой группы или еще что, то надо ставить YES?
если это так, значит двигаемся дальше, теперь форвард, если я пометил пакеты
для группы на вход In.interface=PPPoE для шейпера а потом на выход In.interface=Lan
и дальше с этими пакетами в Мангле больше ни чего не делаем, то во втором правиле на выход ставим NO это понятно, а вот в первом на вход, наверное тоже NO потому что с пакетами на вход вроде все уже закончилось или нет?

YES- передаеш для дальнейшей маркировки...
NO- изымаеш пакеты из разметки...

Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 14:38 12-09-2010

vlh Advanced Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору изымаешь из разметки, то есть если NO пакеты вообще ни куда не попадают? сразу на выход? или они выходят из Мангл, а дальше в шейпер....
	Всего записей: 770 \| Зарегистр. 21-11-2009 \| Отправлено: 14:40 12-09-2010 \| Исправлено: vlh, 14:44 12-09-2010

hatny

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:

изымаешь из разметки, то есть если NO пакеты вообще ни куда не попадают?
сразу на выход?
или они выходят из Мангл, а дальше в шейпер....

далше в шейпер...

Добавлено:
vlh
Предпочитаю экомить людям время, выложив конфиг, для реального анализа, а уж потом, просить совета или помощи...
Экстрасэнсы - сами понимаете где....

Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 14:53 12-09-2010

erne Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору hatny а можно чуть подробнее, особенно про время активной сессии?
	Всего записей: 8 \| Зарегистр. 23-08-2007 \| Отправлено: 15:06 12-09-2010

hatny

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

erne

Цитата:

а можно чуть подробнее, особенно про время активной сессии?

Ну, блин, как малые дети...

В профиле, лимит - окончание сессии через сколько часов, минут, секунд...
задаецца время - через которое разорвется соединение клиента...

Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 15:14 12-09-2010

vlh

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

hatny
Цитата:

Предпочитаю экомить людям время, выложив конфиг, для реального анализа, а уж потом, просить совета или помощи

таких правил столько сколько групп:

Код:

add action=mark-routing chain=prerouting comment="Mark routing for Limit 01" disabled=\
no new-routing-mark=Limit_01 passthrough=yes src-address-list=01.Limit

далее MSS:

Код:

add action=change-mss chain=forward comment="" disabled=no new-mss=1380 protocol=tcp \
tcp-flags=syn tcp-mss=1381-6553

далее форвард, метим для шейпера:

Код:

add action=mark-packet chain=forward comment="Mark packet for 01.Limit" disabled=no \
dst-address-list=01.Limit in-interface=pppoe new-packet-mark=01LimitDown \
passthrough=no
add action=mark-packet chain=forward comment="" disabled=no in-interface=ether4 \
new-packet-mark=01LimitUpl passthrough=no src-address-list=01.Limit

таких правил столько же сколько и групп....ниже ни чего нет.
больше в Мангле правил нет....

Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:36 12-09-2010

hatny

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

vlh
Не вижу маркировки пакетов, а только роуты...

Добавлено:
vlh
посмотри на предыдущей странице выложенный мною вариант (рабочая часть)
может почерпнеш для себя...

Добавлено:
vlh

Цитата:

далее MSS:

Код:add action=change-mss chain=forward comment="" disabled=no new-mss=1380 protocol=tcp \
tcp-flags=syn tcp-mss=1381-6553

Я делал так:

Код:

/ ip firewall mangle
add chain=forward in-interface=inet_1 protocol=tcp tcp-flags=syn \
action=change-mss new-mss=clamp-to-pmtu comment="" disabled=no
add chain=forward out-interface=inet_1 protocol=tcp tcp-flags=syn \
action=change-mss new-mss=clamp-to-pmtu comment="" disabled=no

Всего записей: 13 | Зарегистр. 04-07-2009 | Отправлено: 15:57 12-09-2010

vlh

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

hatny
Цитата:

Не вижу маркировки пакетов, а только роуты...

а в форфарде это что по твоему?

Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 16:14 12-09-2010

Chupaka

Silver Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:

пинг на vpn-сервер пропадает

прописать статикой маршрут на VPN-сервер через шлюз локальной сети, чтобы пакеты тоннеля не лезли в сам тоннель

vlh
у пакета есть две независимые метки - метка пакета и метка роутинга. поэтому для начала надо определиться, что мы хотим получить на выходе Mangle Prerouting. а дальше уже составлять правила, учитывая, что они проверяются последовательно сверху вниз, и если очередное правило, например, срабатывает и маркирует роутинг, то проверяется значение passthrough. если оно yes, то к пакету применяется метка - и правила просматриваюся дальше (где может быть добавлена ещё и метка пакета). если no - то пакет в текущем состоянии выбрасывается из Mangle Prerouting и идёт дальше по Packet Flow

Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 17:21 12-09-2010

vlh

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Chupaka
теперь вроде понятно, идем дальше...
значит пометили пакеты в прероутинге, далее если мне больше в прероутинге
ничего делать с ними не нужно то ставим NO, и пакет пошел дальше по цепочки,
а теперь мой случай, у меня для шейпера промаркировано в форварде, а что для шейпера
можно и в прероутинге маркировать? и это более грамотнее...?

Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 18:19 12-09-2010 | Исправлено: vlh, 18:20 12-09-2010

Chupaka

Silver Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:

у меня для шейпера промаркировано в форварде а что для шейпера
можно и прероутинге маркировать?

аргх!.. повторяю ещё раз конечную цель:

- маркируем в прероутинге типы трафика;
- шейпим их в глобал-ин;
- маркируем (перемаркировываем) в форварде/построутинге тарифы пользователей;
- шейпим их в global-out/interface;

Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 18:22 12-09-2010

erne

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Chupaka

Цитата:

описать статикой маршрут на VPN-сервер через шлюз локальной сети, чтобы пакеты тоннеля не лезли в сам тоннель

Если так (vpn-сервер: 10.10.10.13; шлюз: 10.2.16.254)

Код:

/ip route add dst-address=10.10.10.13 gateway=10.2.16.254

то ничего не меняется.

Да и кажется, это правило получается избыточным.
http://i.piccy.info/i5/36/08/480836/route.jpg

hatny
идею я то понял

Но знать бы что за профиль и где задается этот самый лимит.

Всего записей: 8 | Зарегистр. 23-08-2007 | Отправлено: 22:35 12-09-2010

Ocakypa Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Подскажите, можно ли MikroTik заставить работать с Wi-Fi адаптером NETGEAR wg311v3 ?
	Всего записей: 9 \| Зарегистр. 14-04-2006 \| Отправлено: 03:25 13-09-2010

DLMJ

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:

идею я то понял
Но знать бы что за профиль и где задается этот самый лимит.

ppp profile а дальше в используемом тобой профиле есть вкладка Limits в ней
Session Timeout.

Всего записей: 44 | Зарегистр. 05-02-2009 | Отправлено: 08:38 13-09-2010

Chupaka

Silver Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

erne
фигня какая-то... т.е. в свойствах пптп-подключения указан адрес сервера 10.10.10.13, и потом тот же адрес получается в тоннеле?..

Цитата:

Да и кажется, это правило получается избыточным

о чём я и говорю: в активном правиле шлюзом является пптп-подключение, поэтому пакеты тоннеля уходят в тоннель, круг замкнулся

Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 09:31 13-09-2010

vlh

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Chupaka

Код:

- маркируем в прероутинге типы трафика;
- шейпим их в глобал-ин;
- маркируем (перемаркировываем) в форварде/построутинге тарифы пользователей;
- шейпим их в global-out/interface;

хороший план, на словах почти все понятно...
у меня в форварде метятся пакеты для шейпера как у тебя в плане, а вот подскажи на словах для чего может быть использован еще и построутинг, понимаю что у тебя написано,
но что нельзя все метить в форварде?
примерчик как говорится на пальцах..... можно?

Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 11:35 13-09-2010

Chupaka

Silver Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Цитата:

но что нельзя все метить в форварде?

построутинг можно не трогать, если не надо. а то, что шейпится в глобал-ин, может быть помечено в прероутинге и только в прероутинге

Всего записей: 3731 | Зарегистр. 05-05-2006 | Отправлено: 13:43 13-09-2010

sergartemyev

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Mikrotik 750.
C недавнего времени начал держать соединения в состоянии established с таймаутом 24 часа.
Причём он запоминает открытые сокеты и держит их открытыми эти же 24 часа, закрывать получается только вручную.
А так как коннектов открыто много, то через некоторое время сеть начинает жутко тормозить.
В фильтрах ничего нет. Загрузка по портам минимальна.
В чём может быть проблема?

Всего записей: 61 | Зарегистр. 27-02-2008 | Отправлено: 14:01 13-09-2010

lexsi

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Нужна консультация, правильно ли функционирует RB493AH.
(базовая конфигурация ether1 имеет ip 192.168.88.1/24)
1. Назначаю ip address на интерфейсе ether2 192.168.0.1/24
2. к ether2 подключаю pc с ip 192.168.0.2

PC не пингает 192.168.0.1 и роутер не пингает 192.168.0.2

Порт ether1 функционирует как положено.( и в бридже с вланом, и как транковый)

Порты ether2-9 работают только как тупой свичь (если выставить ether2 мастером для ether8-9), то PC подключены в эти порты, друг друга видят.

Если мастером не назначать порт а сделать через бридж, то PC не видят друг друга.
int bri add
int bri port add bridge=bridge1 inter=ether2
int bri port add bridge=bridge1 inter=ether3
…………..
int bri port add bridge=bridge1 inter=ether9

есть у кого идеи?

Всего записей: 14 | Зарегистр. 29-10-2003 | Отправлено: 17:15 13-09-2010

Chupaka Silver Member	Редактировать \| Профиль \| Сообщение \| ICQ \| Цитировать \| Сообщить модератору lexsi у ether2 не выставлен мастер-порт? а если проверить arp-ping? в случае бриджа - появляются ли маки в хостсах?
	Всего записей: 3731 \| Зарегистр. 05-05-2006 \| Отправлено: 17:25 13-09-2010

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
ShriEkeR (05-01-2012 00:59):

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC