Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

   

cyb_x



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
 
 
Официальный сайт : http://www.mikrotik.com
 
Данная тема создана для обмена информацией по вопросам и проблемам настройки MikroTik RouterOS
Тема в варезнике

 
 
 
Официальная документация:
  • http://wiki.mikrotik.com/wiki/Category:Manual
  • для версии 3 http://www.mikrotik.com/testdocs/ros/3.0/
  • для версии 2.9 http://www.mikrotik.com/docs/ros/2.9/
  • для версии 2.8 http://www.mikrotik.com/docs/ros/2.8/
  • RouterOS Packet Flow: http://wiki.mikrotik.com/wiki/Packet_Flow (важно знать для понимания сути происходящего в файрволе и шейпере)
     
    Обмен опытом пользователей MikroTik RouterOS: http://wiki.mikrotik.com/wiki/Main_Page
     
     
    Обсуждение ROS:
    Раздел форума PCRouter, посвященный MikroTik RouterOS
    Раздел форума DriverMania. Много полезного.
     
    Статьи:
    Краткий FAQ по настройке (первоисточник).
    Объединяем офисы с помощью Mikrotik
    Делим Интернет или QoS на Mikrotik (первоисточник).
    Установка и настройка ABillS + Mikrotik на Gentoo Linux.
    • Всего записей: 81 | Зарегистр. 18-10-2004 | Отправлено: 19:58 14-01-2006 | Исправлено: ShriEkeR, 15:58 02-09-2009
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Smito
    2 default gateway'я быть не может.
     
    2All:
     
    Наконец-то дошли руки и поднял DCHP server на МТ. Возникли вопросы...
     
    Т.к. интересует только статическая аренда адресов то возникает вопрос: есть ли способ в "/ip dhcp-server lease" заюзать лист связок IP-MAC из "/ip arp"
     
    + так и не понял значение след. опций:
     

     

     
    У кого какие мысли?
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 22:00 20-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Smito  
    2 default gateway'я быть не может.

    чё это? один шлюз сети, другой инета...
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 22:23 20-03-2008 | Исправлено: Smito, 00:13 21-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito убери галочку с дефаулт роуте! Тут уже не все так просто становится.  
    Тебе надо маркировать в /ip firewall mangle chain=prerouting пакеты от твоих клиентов и потом направлять на этот маршрут.
    Т.е. в твоем случае /ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=mark-routing new-routing-mark=vpn-clients passthrough=no comment="VPN Inet" disabled=no
    Далее это правило используешь в /ip route вот таким макаром:
    /ip route add dst-address=0.0.0.0/0 gateway=172.16.1.1 routing-mark=vpn-clients comment="" disabled=no
     
    Более того, тебе надо будет или создать правила маршрутизации чтобы 192.168.1.0/24 видели 172.16.1.1 или тупо замаскарадить 192.168.1.0/24 подсеть под IP 172.16.91.41, т.е. так: /ip firewall nat add chain=srcnat src-address=192.168.1.0/24 action=src-nat to-addresses=172.16.91.41 disabled=no
     
    Конечно правильней маршрутизацию настроить на обеих сторонах, но это уже твоя домашняя работа.      
     
    Fader Хорошая штука - Add arp for leases. Принцип применения прост - ставишь интерфейс в режим reply-only, соответственно если нету в арпе на микротике записи о какой-то станции то она микротик просто не увидит, обратное тоже верно(В режиме ARP=reply-only будут работать только статические привязки, микротик не будет прописывать у себя все привязки подряд). Теперь ставишь эту галочку в DHCP и только те станции которые у тебя в Leases прописаны, динамически будут прописываться в арпе у микротика при получении ипшника по DHCP. Естественно от подмены Мас+IP не защитишься таким образом.  
    Насчет второй опции мануал ничего внятного не говорит, а я с ним опыта работы не имею.  
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 00:14 21-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    quickgen
    ой как выручил, а мне говорили наоборот дефоулд роут поставить, попробую отпишусь, с меня пиво )

    Цитата:
    Конечно правильней маршрутизацию настроить на обеих сторонах, но это уже твоя домашняя работа.

    ))позвонить провайдеру и сказать сделайте что я скажу )))
     
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 01:09 21-03-2008 | Исправлено: Smito, 01:19 21-03-2008
    bazzzilio



    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Прошу хелпу по шейперу очередной раз Имею такую ситуёвину: в Mangle маркирую соединение и пакеты коннекта к собсно тачке с Микротиком ч-з Винбокс (Срс - я, дст - шлюз, порт 8291). В Simple Queues создаю правило - для этих пакетов трафик всегда unlimited. Ниже правило для меня - ограничение скорости. И, что самое интересное, ЭТО работало. Т.е., если от меня не было другого трафика, то верхнее правило отображало трафик Winbox-а, а нижнее стояло по нулям. Позавчера был в командировке, со вчерашнего дня картинка такая - пару кб/с на правиле Winbox-a и килобит 40 - на нижнем правиле. Через Torch вижу, что весь трафик на шлюз порт 8291. Где грабли искать? Абсолютно не хочется, чтобы служебный трафик обрезал полосу в Инет...
    Всего записей: 388 | Зарегистр. 24-10-2005 | Отправлено: 10:09 21-03-2008
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen
    Чесно говоря, смысл от этой опции мне так и не ясен. Как и применение в моем случае
    Но все равно спасибо
     
    Я так понял, что заюзать готовый лист из /ip arp мне не удастся.
     
    Опишу ситуацию: век жили на статике. После поднятия DHCP хотелось чтобы народ продолжал юзать именно те же айпишники которые у них были прописаны. Можно сказать что DHCP у нас не панацея, а как приятное дополнение. Так-скать защита от чайников.
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 11:07 21-03-2008
    duh_S

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    скажите плз а умеет ли микротик делать лоад балансинг с несколькими внешними каналами?
    Всего записей: 66 | Зарегистр. 28-08-2007 | Отправлено: 15:06 21-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito заработало? =)
     
    Fader Если бы у тебя Lan был в режиме Reply-only и не стояла галочка на Add arp for leases - то в ARP-е у микротика было пусто!
     
    Ну так а что тебе мешает? =) У тебя интерфейс Lan в каком режиме Enabled или Reply-only?  Не пойму одного... ты нынешних статических клиентов переводишь на автоматическое получение ip?
     
    А заюзать /ip arp легко. Берешь делаешь экспорт /ip arp в файл. Копируешь из него данные в эксель, там делаешь из этой каши скрипт для /dhcp-server leases, сохраняешь это все в файл скрипта и импортируешь в микротик. Все =)  
     
    bazzzilio У тебя скорей всего в правиле passthrough=yes, а надо passthrough=no
     
    Вообще юзай вот такой метод, цепочку меняй на усмотрение свое.
     
    Маркируешь сначала конекты(должно быть passthrough=yes)
    / ip firewall mangle  
    add chain=forward src-address=x.MYLAN-IPS.x/x action=mark-connection new-connection-mark=all-cons-up passthrough=yes comment="" disabled=no  
    add chain=forward dst-address=x.MYLAN-IPS.x/x action=mark-connection new-connection-mark=all-cons-down passthrough=yes comment="" disabled=no
     
    А вот теперь маркируешь пакеты.
     
    / ip firewall mangle
    add chain=forward src-address=ТВОЙ IP dst-address=IP Mikrotika dst-port=8291 connection-mark=all-cons-up action=mark-packet new-packet-mark=MY-MIKROTIK-Connect passthrough=no comment="" disabled=no
     
     
     
    duh_S да, умеет. Например вот так _http://www.mikrotik.com/testdocs/ros/2.9/ip/route.php или _http://wiki.mikrotik.com/wiki/Load_Balancing
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 15:26 21-03-2008 | Исправлено: quickgen, 15:39 21-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    quickgen да спасибо, ток не втыкаю почему сеть не пашет, весь роутинг прописал... и стати пинг с сервака не пашет, с клиента всё ок...
    впринципи осталось сделать переадресацию для дц, для торента и усё )
     
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 19:35 21-03-2008 | Исправлено: Smito, 19:37 21-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Smito пинг с микротика пахать и не будет, потому что дефаулт роут для него  
    10.10.91.1! Зато трафик клиентов идет на шлюз 172.16.1.1 поэтому и пинг есть.
     
    Прими к сведению одну аксиому - чем меньше правил в цепочке, тем меньше нагрузка на процессор и тем больше пропускная способность.  
     
    Чтобы не городить такие "маштабные" таблицы рутинга, можешь сделать все через address-list фаервола:
     
    Например создаешь адрес-лист с названием 91.1-routes и помещаешь туда все твои ипшники. Создаешь еще один адрес-лист и называешь его например client-ips, помещаешь туда клиентский диапазон(192.168.1.0/24).
     
    Далее по типу ранее созданных правил делаешь следующее:
     
    /ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=91.1-routes action=mark-routing new-routing-mark=91.1-routes passthrough=no comment="91.1-routes" disabled=no
     
    Поместить это правило надо обязательно выше чем уже созданное.
     
    А вот тебе на замену того самого первого созданного правила другое:
     
    /ip firewall mangle add chain=prerouting src-address-list=client-ips dst-address-list=!91.1-routes action=mark-routing new-routing-mark=vpn-routes passthrough=no comment="vpn-routes" disabled=no
     
    Заметь обязательно знак инверсии тут - dst-address-list=!91.1-routes  
    Фактически это правило означает следующее - Все клиентские соединения которые НЕ НАХОДЯТСЯ в списке 91.1-routes идут по такому-то(в /ip routes уже указываешь) маршруту.
     
    Ну и замаскарадить тоже надо это дело:
     
    /ip firewall nat add chain=srcnat src-address-list=client-ips dst-address-list=!91.1-routes action=src-nat to-addresses=172.16.91.41 disabled=no
    /ip firewall nat add chain=srcnat src-address-list=client-ips dst-address-list=91.1-routes action=src-nat to-addresses=10.10.91.41 disabled=no
     
    Далее в /ip routes у тебя будут всего-лишь три правила(один дефолтовый для маршрутизатора, 2 клиентских с метками), вместо твоих 20 =)
     
    Пробуй =)
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 20:46 21-03-2008 | Исправлено: quickgen, 20:53 21-03-2008
    Smito

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    спасибо попробую, впринципи можна на клиентах вбить сам роутинг если что...
    Всего записей: 67 | Зарегистр. 19-03-2008 | Отправлено: 01:56 22-03-2008
    ZloiLexa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Приветствую форумчан! Люди у меня такая проблема! Есть сеть, в которой часть клиентов на кабеле, часть на WI-FI. На микротике поднят ВПН. Клиенты сидящие на кабеле, подключаются по ВПН без проблем, а вот тем, кто на радио-канале сидит пишется ошибка 800 "не возможно соединиться с сервером..." и тд. Может у кого подобная проблема возникала? Как решить?
    Всего записей: 37 | Зарегистр. 19-03-2008 | Отправлено: 14:47 22-03-2008
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ZloiLexa
    Исчерпывающая информация
     
    2All:
     
    Столкнулся с вопросом - как раздать статические маршруты в DHCP Options. В мануале ничего. Из спецификации я мало что понял, нашел тока более менее вменяемое описалово но для циски.
     
    Надоумте как это сделать в МТ?
     
    В моем случае нужно раздать по одному маршруту для каждой сети:
     
    route 192.168.32.0/24 192.168.34.220
    route 192.168.34.0/24 192.168.32.220
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 11:35 23-03-2008
    Dmitry_Kerby

    Junior Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    Fader
    я действовал по такому описанию
    http://www.opennet.ru/openforum/vsluhforumID6/8569.html
    вот такой код
    [admin@MT] /ip dhcp-server option> p
     # NAME      CODE VALUE
     0 option1      249  0x15ACAC00A8A8A8A8
     
    + разрешил в нетворк применение этой опции
    у юзера ХР - появился маршрут
    172.172.0.0   255.255.248.0 168.168.168.168
     
    преобразование в шестнадцатиричную систему
    http://chxo.com/scripts/hex2string.php
     
    З.Ы. У меня стоит версия 3.3
    Всего записей: 52 | Зарегистр. 15-09-2001 | Отправлено: 16:07 23-03-2008 | Исправлено: Dmitry_Kerby, 16:09 23-03-2008
    ZloiLexa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    to: Fader
    Вы мне скажите какую информацию нужно дать. Юзаю микротик всего неделю, так что я полный чайник в этом вопросе. Уж извините.
    Всего записей: 37 | Зарегистр. 19-03-2008 | Отправлено: 20:58 23-03-2008
    SVNa



    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Привет всем, нужна помощь с Queues, вожусь с им уже месяц, делаю по мануалу http://www.x-drivers.ru/content/view/541/53/ всё нормально работает кроме параметра limit-at.
    А вчасности не загорается желтым при привышении этого порога, загорается желтым только когда скорость составляет больше 50% от парога max-limit.
    Помогите разобраться пожалуйста!  
    Всего записей: 36 | Зарегистр. 15-01-2005 | Отправлено: 23:25 23-03-2008
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    ZloiLexa
    Те кто на радиоканале - действительно роутер видят? Пингуют его?
     
    Dmitry_Kerby
    на выходе получилось так:

    Но не заработало, к сожалению. ver. 2.9.27
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 00:11 24-03-2008
    ZloiLexa

    Junior Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fader
    Конечно видят. Они ходят в инет напрямую без ВПН.  
    Немного проясню ситуацию.  
    Изначально в сетке стоял сервак, через который народ гулял в инет. Неделю назад поставил роутер и запустил народ через него. После этого занялся пере подключением клиентов на ВПН, но столкнулся с проблемой описанной выше.
    Всего записей: 37 | Зарегистр. 19-03-2008 | Отправлено: 08:35 24-03-2008
    quickgen

    Member    		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Fader а ты в /dhcp-server network выбрал эту опцию?
     
    SVNa limit-at это гарантированная скорость. Этот параметр надо задать. Вот отрывок из мануала, где ясно сказано что желтым класс станет когда скорость будет !выше! параматра limit-at и равно или меньше чем max-limit.
     
     
    _http://www.mikrotik.com/testdocs/ros/3.0/qos/queue.php
     
    Each HTB class can be in one of 3 states, depending on data rate that it consumes:
    green - a class the actual rate of which is equal or less than limit-at. At this state, the class is attached to self slot at the corresponding priority at its level, and is allowed to satisfy its CIR limitation regardless of what limitations its parents have. For example, if we have a leaf class with limit-at=512000 and its parent has max-limit=limit-at=128000, the class will still get its 512kbps! All CIRs of a particular level are satisfied before all MIRs of the same level and any limitations of higher levels.  
    yellow - a class the actual rate of which is greater than limit-at and equal or less than max-limit (or burst-limit if burst is active). At this state, the class is attached to the inner slot of the corresponding priority of its parent's inner feed, which, in turn, may be attached to either its parent's inner slot of the same priority (in case the parent is also yellow), or to its own level self slot of the same priority (in case the parent is green). Upon the transition to this state, the class 'disconnects' from self feed of its level, and 'connects' to its parent's inner feed.  
    red - a class the actual rate of which exceeds max-limit (or burst-limit if burst is active). This class cannot borrow rate from its parent class.
    Всего записей: 217 | Зарегистр. 30-08-2005 | Отправлено: 14:24 24-03-2008
    Fader



    Advanced Member    		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
    quickgen

    Цитата:
    Fader а ты в /dhcp-server network выбрал эту опцию?

    Разумеется
    Всего записей: 898 | Зарегистр. 03-01-2004 | Отправлено: 17:08 24-03-2008
       

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106

    Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » MikroTik RouterOS
    ShriEkeR (15-09-2009 14:27): лимит страниц. продолжаем в MikroTik RouterOS (часть 2)


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.B0ard
    © Ru.B0ard 2000-2024

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru