Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (05-01-2012 00:59):  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

   

ShriEkeR



Moderator		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
MikroTik RouterOS (часть 1), MikroTik RouterOS (часть 2)
Официальный сайт: http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике
 
 
последняя устаревшая версия: 4.17
последняя стабильная версия: 5.11

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
    Настройка подключения L2TP IPSec VPN между Windows 7 и Микротиком
    Дополнение к настройке L2TP IPsec
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Перевод официального документа о QoS, очередях и шейпере.
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.  
    Mikrotik-Qos Приоритезация по типу трафика и деление скорости
    • Всего записей: 6382 | Зарегистр. 27-09-2004 | Отправлено: 21:25 23-08-2010 | Исправлено: Chupaka, 14:25 19-12-2011
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    vlh
     

    Цитата:
    у вас какое количество ограничений по скорости?
    например для того что бы одной части клиентов ограничить скорость
    в 1М, потребуется всего два правила в форварде, два правила в
    queue type, и два правила в queue tree...
    при чем не важно сколько будет клиентов, правил все равно будет столько..
    если для другой части клиентов нужна другая скорость то умножьте
    все на два...  

     
    если бы все по жизни было так просто, то рай бы был на земле, я писал надо ограничить каждую сеть /29 на определенную скорость, где вы прочитали что мне надо группу ограничивать? тут не надо домысливать и что то менять, есть конкретная задача, а не что то вроде, а как мне ограничить кучу клиентов на энную скорость. что бы для более ясного понимания вот задача, есть 100 клиентов, каждый имеет по подсетке /29, требуется конкретно каждого клиента (соответственно каждую подсеть /29) ограничить 128 кбит/с,
    расскажите мне как это сделать двумя правилами
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 12:46 14-10-2010 | Исправлено: fdboss, 12:48 14-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    fdbossтребуется конкретно каждого клиента (соответственно каждую подсеть /29) ограничить 128 кбит/с,  

    немного одно противоречит другому, не находите?
    то есть имеется например одна подсеть из 6 клиентов, вам надо
    каждому клиенту этой сети дать по 128 или на всю сеть?
    если каждому то не вижу разницы ограничить всем ста клиентам,
    а если на каждую сеть, в адресс листе придется создать примерно 32 списка,
    в форварде 64 правила (вход и выход), в queue type два правила,
    queue tree 64 правила..... о как
    только не понятно, зачем такие выкрутасы?
     
    Chupaka
    вот схема движения пакетов:
     

     
    как идет пакет из внешнего канала вроде смутно но понятно,
    не понятно как он идет от пользователя в мир, то есть он так же заходит
    в input interface? потом мангле прироутинг и дальше в глобал ин,
    а потом в форвард?
    если так, то не понятно где и как в мангле пометить пакеты в  
    прероутинге на выход...
    расскажи как идут пакеты на выход от пользователя...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 13:24 14-10-2010 | Исправлено: vlh, 13:24 14-10-2010
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    немного одно противоречит другому, не находите?
    то есть имеется например одна подсеть из 6 клиентов, вам надо

     
    реально улыбнуло, нет у меня нету подсетей из клиентов
    у меня есть клиенты у каждого из которых имеется по 1 подсетке /29
     
    если хочется понять то перечитайте все с самого начала, по второму кругу не охото писать все.
     
    и я не просил совета, или объяснения сколько, чего и где мне надо будет создавать.  
     
    я спрашивал у Chupaka как правильнее будет создавать правила мангла, что бы снизить загрузку проца микрота, при определенных условиях.
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 13:29 14-10-2010 | Исправлено: fdboss, 13:35 14-10-2010
    Sergey Sosnovsky



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Опять я взялся за модем Life. И опять не могу настроить.
    МК 3.30, этой версией модем huawei E1550 поддерживается.
     
    Serial terminal вижу модем.
    Создал интерфейс.
     

    Цитата:
     
    [admin@MikroTik] /interface ppp-client> print
    Flags: X - disabled, R - running  
     
     2 X  name="life3" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2  
          data-channel=2 info-channel=2 apn="INTERNET.LIFE.COM.BY" pin=""  
          user="" password="" profile=default phone="*99***#" dial-command="ATDT"  
          modem-init="AT+CGDCONT=1,"IP","INTERNET"" null-modem=no  
          dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=chap  
     

     

    Цитата:
     
    [admin@MikroTik] /interface ppp-client> info 2
                status: "ready"
            pin-status: "READY"
         functionality: "minimum"
             gprs-mode: "B - EDGE"
          manufacturer: "huawei"
                 model: "E1550"
              revision: "11.608.13.02.00"
         serial-number: "358811030424616"
      current-operator: "BeST BY"
        signal-strengh: -95
     

     
    Вот что в логе, когда включаю интерфейс.

    Цитата:
     
    12:50:14 async,ppp,info life3: initializing modem...  
    12:50:14 async,ppp,info life3: dialing out...  
     

    В окне PPP пишет Link established.
     
    Но аутентификация не проходит. Пользователь, и пароль пустые, аут. только CHAP посмотрел в виндовом соединении.
     
    Не понимаю куда копать!
     
     
     
    Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 13:58 14-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    fdboss
    прочитал, у нас с вами одна проблема, мы до конца не понимаем Packet Flow,
    и что самое плохое ни где не могу найти подробного описания движения
    пакетов в Packet Flow, ссылку что приводит Chupaka она конечно
    хорошая, но там не очень подробно все расписано, а без этого возникают
    вопросы которые мы с вами и задаем...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 14:06 14-10-2010
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    прочитал, у нас с вами одна проблема, мы до конца не понимаем Packet Flow,
    и что самое плохое ни где не могу найти подробного описания движения
    пакетов в Packet Flow, ссылку что приводит Chupaka она конечно
    хорошая, но там не очень подробно все расписано, а без этого возникают
    вопросы которые мы с вами и задаем...
     

     
    я бы так не сказал, вы пытаетесь понять схему прохождения пакетов, у меня не такой задачи, тем более эта схема есть в доке, тут все просто, если у вас мало шейпов 5, 10, 20
     
    то можно и не заморачивать в какой цепочке  маркировать пакеты и как это делать, при таком раскладе можно как угодно делать, проще всего тупо маркировать пакеты и все, без всяких connection-mark, и по большому счету не важно форвард или прероутиг,
     
    у меня совсем другая вещь у меня охриненное количество шейпов, вследствие чего большая загрузка проца, вот тут уже важно где, маркировать и как маркировать пакеты, но на мой взгляд, схема не ответит на этот вопрос, так как в схеме не сказано где маркировать и как маркировать пакеты при условии большого количества манглов, и высокой загруки проца., мне может помочь только опыт, то есть человек который в живую прочувствовал, при каких условиях загрузка проца минимальна будет. я воспринимаю слова "вкурить до просветления" это собрать стенд и затестить разные варианты исходя из схемы, но это больше похоже на изобретение велосипеда, и к огромному сожалению я просто не имею такой возможности.      
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 14:31 14-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    все /29 приходят на один интерфейс, поэтому такой вариант не катит

    эммм... курсы в Институте по созданию искусственных проблем?..
     

    Цитата:
    часть правил можно и не писать

    причём только ту часть, которая касается local_traf. если оставить только предложенное - то опять же теряется смысл connection-mark, и лучше сразу маркировать пакеты. подробности - чуть ранее
     

    Цитата:
    чем chain=forward, при этой задачи лучше chain=prerouting?

    например, тем, что при использовании натирования входящий трафик в prerouting имеет dst-address=адрес_натирования
     

    Цитата:
    я  конкренто не могу понять почему микрот реагирует на количество записей в мангле, по идее если правило стоит но попаданий нет то такое правило не может грузить проц, но в микроте почему то не так

    все правила проверяются по порядку до совпадения. поэтому чем больше правил, тем больше правил проверяется в худшем случае. именно поэтому в моём примере сначала идут правила, которые метят пакеты уже помеченных соединений - и на этом их работа заканчивается, обрабатывается следующий пакет. а уж если пакет открывает новое соединение - то работает второй блок правил, в котором метятся соединения и пакеты под них - для того, чтобы остальные пакеты данного соединения обрабатывались первым блоком правил, на основании уже существующей метки соединения
     
    Добавлено:

    Цитата:
    мне может помочь только опыт, то есть человек который в живую прочувствовал, при каких условиях загрузка проца минимальна будет

    где бы такого найти... я, если не хватает мощности, просто делаю апгрейд железа... да, я ленивый =)
     

    Цитата:
    я воспринимаю слова "вкурить до просветления" это собрать стенд и затестить разные варианты исходя из схемы

    насколько помню, там это было ответом на вопрос, в каком месте лучше что-то маркировать... поэтому и отправил в Packet Flow - ибо в разных цепочках пакеты даже выглядят не всегда одинаково. к нагрузке на проц это никакого отношения не имело
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 14:37 14-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    fdbossтут все просто

    может быть, если вам все понятно, то может вы подскажете
    как пометить пакеты для шейпера PCQ и для QoS например  
    для нескольких групп, эта двойная маркировка меня уже достала...
    отдельно шейпер PCQ работает с ним проблем нет, а вот теперь
    пытаюсь прикрутить QoS для приоритета трафика, мечу его в прероутинге
    так как в форварде метиться пакеты для PCQ, и ни как не могу понять как пометить исходящие пакеты для групп... src и dst в прероутинге не работают,
    так как и in.interface LAN тоже не катит...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 14:47 14-10-2010
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    насколько помню, там это было ответом на вопрос, в каком месте лучше что-то маркировать... поэтому и отправил в Packet Flow - ибо в разных цепочках пакеты даже выглядят не всегда одинаково. к нагрузке на проц это никакого отношения не имело  

     
    сори значит немного не допонили друг друга
    Цитата:
    где бы такого найти... я, если не хватает мощности, просто делаю апгрейд железа... да, я ленивый =)  

     
    ну ладно прибедняться, у тебя же опыт не слабый в микротах.
     
     
     

    Цитата:
    например, тем, что при использовании натирования входящий трафик в prerouting имеет dst-address=адрес_натирования  

     
    не, не, не, я же не писал про то что у меня еще и нат стоит, никакого ната нет.
    поэтому вопрос открыт  
    чем chain=forward, при этой задачи лучше chain=prerouting? естетсвенно в моем случае.
     

    Цитата:
    эммм... курсы в Институте по созданию искусственных проблем?..  

     
    то есть, не совсем понял данный комент.
     
    Добавлено:

    Цитата:
    как пометить пакеты для шейпера PCQ и для QoS например  
    для нескольких групп, эта двойная маркировка меня уже достала...
    отдельно шейпер PCQ работает с ним проблем нет, а вот теперь
    пытаюсь прикрутить QoS для приоритета трафика, мечу его в прероутинге
    так как в форварде метиться пакеты для PCQ, и ни как не могу понять как пометить исходящие пакеты для групп... src и dst в прероутинге не работают,
    так как и in.interface LAN тоже не катит...

     
    брр..для начала надо знать что хочется получить, и второе как вы понимает QOS только своими словами, если вы делаете просто приоритет трафика между двумя группами пользователей, то создайте просто древо в queues tree и все, зачем вам два раза метить пакеты.
    если уж по большому счету взять то QOS, это так сказать просто глобальное обозначение, и по сути PCQ это инструмент для реализации QOS, ну это конечно ИМХО
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 14:55 14-10-2010 | Исправлено: fdboss, 15:17 14-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    fdboss
    брр..для начала надо знать что хочется получить, и второе как вы понимает QOS только своими словами, если вы делаете просто приоритет трафика между двумя группами пользователей, то создайте просто древо в queues tree и все, зачем вам два раза метить пакеты.  

    нет не приоритет трафика между группами, а приоритет трафика например
    TCP над UDP на всем канале...то есть сначала входящий и исходящий трафик
    должен распределится по приоритету например TCP-1 UDP-8, а потом еще и
    на резаться по скорости для каждого клиента...
     
    P.S.
    вот по этой схеме: Packet_Flow
    рисунок - Routing - from Ethernet to Ethernet interface пакет который приходит
    к пользователю из интернета он попадает в input interface и далее по цепочки и выходит
    через output interface? я правильно понимаю, а вот пакет который идет от пользователя
    в интернет он тоже попадает в input interface и далее по цепочки?
    если да то он попадает в прероутинг где у меня метятся пакеты на выход, но под это правило
    ни чего не попадает...
    то есть как пометить исходящие пакеты в прероутинге от пользователя или от группы пользователей?
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 15:21 14-10-2010 | Исправлено: vlh, 15:36 14-10-2010
    fdboss

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    а вот пакет который идет от пользователя
    в интернет он тоже попадает в input interface и далее по цепочки?  

     
    насколько я понимаю в схеме рассматривается прохождение пакета, не просто туды сюды,
    а глобально, нет интерфейса инпут и оутпут, все зависит от того с какой точки ты смотришь,
    интерфейс он одновременно и инпут и оутпут, то есть тот интерфейс который смотрит с мир для пакета в мир является аутпутом, но тотже интерфейс в мир  для обратного пакета является инпутом, так что пакет при любом раскладе какой бы он не был попадает на инпут.  
     
    сейчас Chupaka меня поправит если я еще не достиг просветления , насколько я вообще понял микрот не отталкивается от физических интерфейсов, в микроте ты как бы по середине,  
     
    а что касается того что что то куда то в мангле не попадает, это надо смотреть все мангл целиком от 1 до последнего правила, если мангл написан верно, а попаданий нет, значит он просто не в том месте стоит.
    Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 15:44 14-10-2010 | Исправлено: fdboss, 16:03 14-10-2010
    dandul

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Доброго времени! Нужна помощь.
    Крутится тик 3,30, на нем dhcp-сервер по макам раздает адреса, которым в арп-листе разрешен доступ, естественно шейп шейпит. Как прикрутить правильно User Manager чтоб управлять уже существующими пользователями/адресами которые есть в арп-листе. Нужно енабл/дисабл по дате и все. . Или как-то отключать по дате по-другому. Биллинг не предлагать, буду позже ставить.
    Заранее сенкс
    Всего записей: 3 | Зарегистр. 11-06-2009 | Отправлено: 15:55 14-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

    Цитата:
    src и dst в прероутинге не работают

    прекрасно работают... у меня, по крайней мере...
     

    Цитата:
    чем chain=forward, при этой задачи лучше chain=prerouting? естетсвенно в моем случае

    например, тем, что я использовал в правилах out-interface - в прероутинге он ещё, естественно, неизвестен
     

    Цитата:
    то есть, не совсем понял данный комент

    зачем на один интерфейс вешать несколько подсетей? не верю, что они несмежные %)
     

    Цитата:
    а что касается того что что то куда то в мангле не попадает, это надо смотреть все мангл целиком от 1 до последнего правила, если мангл написан верно, а попаданий нет, значит он просто не в том месте стоит

    присоединяюсь к мнению предыдущего оратора
     

    Цитата:
    которым в арп-листе разрешен доступ

    поподробнее можно? ARP-лист никакого отношения к разрешению/запрещению доступа не имеет, строго говоря...
     

    Цитата:
    Биллинг не предлагать

    UserManager - это и есть биллинг. насколько он адаптирован под DHCP - не знаю, но теоретически можно заставить его выдавать адреса только тем, у кого всё в порядке со всякими балансами...
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 16:34 14-10-2010
    dandul

    Newbie    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    поподробнее можно? ARP-лист никакого отношения к разрешению/запрещению доступа не имеет, строго говоря...  

    Имеет, если в интерфейсе, который смотрит в сеть, стоит ARP - reply only. Соответственно записи в арп-листе только статистические и доступ только им разрешен. Их можно енебл/дисебл. ДХЦП-сервер в свою очередь по макам присваивает определенный адрес (make statik). Если этот адрес есть в арп и включен, то идет инет к клиенту.  Получаеться авторизация по маку.  

    Цитата:
    UserManager - это и есть биллинг.

    Я понимаю что UserManager - это и есть биллинг, я имел ввиду сторонний типа нодени или абилса или самописного. Я где-то читал что через юзер манагер можно сделать авторизацию по мак-адресу. Можете подсобить как правильно настроить юзер манагер, что-то читаю мануал на сайте тика и не пойму что мне нужно, через хот-спот, дхцп и т.д. А я в нем сам уже поковыряюсь.
    Всего записей: 3 | Зарегистр. 11-06-2009 | Отправлено: 17:21 14-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    dandul
    при авторизации DHCP в качестве имени пользователя отсылается MAC-адрес. вот и набить ЮзерМанагер маками, а потом поставить поменьше время аренды. валидный юзер получает адрес - и работает (не забыть Add ARP for Leases в DHCP), невалидный - адрес не получает, связи нет
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 17:34 14-10-2010
    vlh

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Chupaka
    прекрасно работают... у меня, по крайней мере..

    тогда посмотрите что не так...
    с верху вниз:

    Код:
    1. add action=change-ttl chain=prerouting comment="" disabled=no new-ttl=set:128
    2. add action=mark-routing chain=prerouting comment="Mark routing smtp1" disabled=no dst-port=25 new-routing-mark=smtp_routing passthrough=no protocol=tcp src-address=192.168.0.0/24
    3. add action=mark-routing chain=prerouting comment="" disabled=no dst-port=25 new-routing-mark=smtp_routing passthrough=no protocol=tcp src-address=192.168.16.0/24
    4. add action=mark-routing chain=prerouting comment="" disabled=no dst-port=25 new-routing-mark=smtp_routing_server passthrough=no protocol=tcp src-address=172.16.16.2
    5. add action=mark-routing chain=prerouting comment="Mark routing ftp" disabled=no dst-address-list=wlc new-routing-mark=ftp_rout passthrough=no
    6. add action=mark-routing chain=prerouting comment="Mark routing for Server" disabled=no new-routing-mark=server_route passthrough=no src-address-list=Server
    7. add action=mark-routing chain=prerouting comment="Mark routing for Limit" disabled=no new-routing-mark=Limit_pcq passthrough=no src-address-list="(Limit)"
    8. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 1024" disabled=no new-routing-mark=Unlim_1024 passthrough=no src-address-list=07.Unlimit-1024
    9. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 2048" disabled=no new-routing-mark=Unlim_2048 passthrough=no src-address-list=08.Unlimit-2048
    10. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 3072" disabled=no new-routing-mark=Unlim_3072 passthrough=no src-address-list=09.Unlimit-3072
    11. add action=mark-routing chain=prerouting comment="Mark routing for Unlimit 4096" disabled=no new-routing-mark=Unlim_4096 passthrough=no src-address-list=10.Unlimit-4096
    12. add action=mark-packet chain=prerouting comment=icmp disabled=no in-interface=pppoe-1 new-packet-mark=icmp_in_unl passthrough=no protocol=icmp
    13. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=icmp_out_unl passthrough=no protocol=icmp
    14. add action=mark-packet chain=prerouting comment=www connection-bytes=0-1000000 disabled=no in-interface=pppoe-1 new-packet-mark=www_in_unl passthrough=no protocol=tcp src-port=80
    15. add action=mark-packet chain=prerouting comment="" disabled=no dst-port=80 in-interface=LAN new-packet-mark=www_out_unl passthrough=no protocol=tcp
    16. add action=mark-packet chain=prerouting comment=tcp disabled=no in-interface=pppoe-1 new-packet-mark=tcp_in_unl passthrough=no protocol=tcp
    17. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=tcp_out_unl passthrough=no protocol=tcp
    18. add action=mark-packet chain=prerouting comment=udp disabled=no in-interface=pppoe-1 new-packet-mark=udp_in_unl passthrough=no protocol=udp
    19. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=udp_out_unl passthrough=no protocol=udp
    20. add action=mark-packet chain=prerouting comment=other disabled=no in-interface=pppoe-1 new-packet-mark=other_in_unl passthrough=no
    21. add action=mark-packet chain=prerouting comment="" disabled=no in-interface=LAN new-packet-mark=other_out_unl passthrough=no
    22. add action=change-mss chain=forward comment="" disabled=no new-mss=1380 protocol=tcp tcp-flags=syn tcp-mss=1381-65535

    ну и дальше идут правила для маркировки пакетов в форварде для шейпера,
    думаю они пока не нужны...
    пакеты для групп 07.Unlimit-1024 - 10.Unlimit-4096 не попадают под правила
    на выход 13, 15, 17, 19, 21... попадают только на вход...
    что совсем не понятно это то что если в правилах 8-11 поставить passthrough=yes то пакеты начинают попадать под все правила с 12 по 21, вроде как и должно быть разрешаем обрабатывать пакеты
    дальше по цепочки, а вот если поставить passthrough=no то пакеты попадают только под правила
    которые метят на вход, вот и не понятно почему мы же запрещаем обработку пакетов дальше по цепочки...
    Всего записей: 770 | Зарегистр. 21-11-2009 | Отправлено: 18:00 14-10-2010 | Исправлено: vlh, 18:51 14-10-2010
    aleksvolgin

    Advanced Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    ИМХО
    Цитата:
    phone="*99***#" modem-init="AT+CGDCONT=1,"IP","INTERNET"
    - лишнее. У меня там пусто. Проверьте ещё
    Цитата:
    apn="INTERNET.LIFE.COM.BY"
    точно такое название? Чёто как-то заююченно больно.
    Цитата:
    только CHAP посмотрел в виндовом соединении
    - это тоже зря, лучше все алго вкл.
    Всего записей: 1601 | Зарегистр. 19-02-2006 | Отправлено: 18:56 14-10-2010
    cambit

    Full Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Простите, возможно не совсем в тему - вопрос следующий-
    Микротик - это по сути роутерная надстройка над линуксом. Ядро системы - линукс. А вот именно какой? какой репозиторий подойдет? суть проблемы в установке дополнительных пакетов rpm (например GCC) на этот линукс (не путать с npk-пакетами микротика).
    Всего записей: 601 | Зарегистр. 09-06-2008 | Отправлено: 19:53 14-10-2010
    Chupaka



    Silver Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    vlh
    очень много букаф и полное отсутствие желания вчитываться в список правил для дофига пакетов, но ответ вроде как содержится в вопросе - поскольку passthrough везде "no" - то как только доходим до сработавшего правила, дальнейшая обработка правил прекращается
     
    cambit
    ядро системы - кернел. никаких репозиториев и систем управления пакетами - только npk
    Всего записей: 3719 | Зарегистр. 05-05-2006 | Отправлено: 08:21 15-10-2010
    Sergey Sosnovsky



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ура заработало, вот так:

    Цитата:
     
    2 X  name="life3" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2  
          data-channel=0 info-channel=2 apn="INTERNET.LIFE.COM.BY" pin=""  
          user="" password="" profile=default phone="*99***#" dial-command="ATDT"  
          modem-init="AT+CGDCONT=1,"IP","INTERNET"" null-modem=no  
          dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=chap  
     

    Поменял только  data-channel=0, но по терминалу к 0 каналу не мог подключится. Поэтому и не пробовал.
    Другие значения в modem-init не работают.
    Вообщем работает, интернет по PPPoE раздается, для дома нормально.
    Позже скручу как-нибудь вместе с каналом DSL.  
    Белорусский LIFE, модем E1550, MT 3.30.
    Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 10:26 15-10-2010
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS (часть 3)
    ShriEkeR (05-01-2012 00:59):


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru