vlagilen

Имеется железка MIkrotik 951 + des dlink L3 коммутатор(от провайдера). Есть две проблемы, которые не могу решить уже долгое время, а точнее не пойму в чем суть. 1) Провайдер выделяет управляемый коммутатор dlink. В этот коммутатор втыкается множество приставок от провайдера для IPTV. Так же в один из портов воткнут Mikrotik (для интернета, IPoE). Все работает, но Mikrotik цепляет странный трафик от приставок и этот трафик крутится только на одном порту (ether1), получается что он как бы сканирует свич. Если запустить утилиту "Torch", то явно видны адреса приставок и сервера куда они ходят. Жить не мешает. Как заблокировать этот трафик, чтобы он не отображался на микротике? 2) Второй момент, пожалуй самый важный. Переодически провайдер рубит соединение, ссылаясь на то что микротик флудит (что то вроде dhcp атак со стороны микротика) и пытается не получить адрес у провайдера а назначить свой. Предположим что на бридже(в локалке) у микротика прописан адрес 192.168.0.1, вот его он и пытается подсунуть свичу, хотя бридж никак не связан с портом через который ходит в интернет. Это происходит в хаотичном порядке, может месяц без проблем работать, а может в день по несколько раз, что приводит к блокировке учетки на неопределенное время. По городу у меня несколько учеток и везде стоят микротики, где то этой проблемы не вылазило ниразу, а где то жить не дает, полагаю что это зависит от настроек провайдерского свича, но если поставить обычный маршрутик (dlink, tplink), то этих проблем нет. Как с этим бороться и что это может быть?

Все получилось, bridge + vlan. Спасибо. По итогу получил все 3-и dhcp адреса от провайдера.

24 порт служит для связи свича и routeros RouterOs -> D-Link Switch (все работает) На RouterOS создаю нужные vlan вешаю на них dhcp сервер(а), далее такие же в vlan прописываю на d-link и назначаю порты на которых раздавать ту или иную сеть. vlan 400 - 192.168.101.0/24 (на свиче раздаются по 4,5 порты) vlan 600 - 192.168.102.0/24 (на свиче раздаются на 7-й порт) D-Link Switch -> RouterOS (не работает) Делаю все тоже самое наоборот На первый порт свича приходит шнурок от провайдера, адрес от которого мне нужно получить на vlan 500 RouterOS. Создаю dhcp-Client и указываю vlan500 - тишина. Может я не правильно себе все это представляю? На первом порту(как и на остальных) свича по идее должен же бить какой-то mac-address ? Используя его RouterOS на своей стороне должна получить dhcp адрес от провайдера? Или нет? RouterOS [admin@MikroTik] > ip dhcp-client print Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 X vlan500 yes no [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan400 1500 enabled 400 ether1 1 R vlan500 1500 enabled 500 ether1 2 R vlan600 1500 enabled 600 ether1

Взял dlink dgs1224t. Если на порту выставляю tag то до свича не достучаться. У вас же наоборот на 25 порту стоит routeros. Если ставлю untag то все нормально. Получить dhcp адреса так же не выходит, а если и выходит то регистрируется адрес routeros, а нужно dlink mac.

С микротиком не получается с tag, untag. Если и регистрируется, то только со своего mac адреса (routeros). Возьму попробую с dlink. Со стороны routeros у вас какие настройки? Я так понимаю получить dhcp адрес не стоит у вас такой задачи.

Пробовал отдельно вешать dhcp client на vlan и так же этот vlan в бридж и уже бриджу dhcp-client, не хочет получать адрес. Еще не ясно что должно отвечать за dhcp? Сервер с RouterOS или switch (пока mikrotik) ? У микротика есть возможность dhcp (но не хочет получать на vlan), но вот есть ли dhcp на dlink свиче? По идее должен dhcp адреса получать сам сервер с RouterOS, но как ему это передать? Mikrotik switch [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan1 1500 enabled 100 ether1 # Провайдер 1 (dhcp) 1 R vlan2 1500 enabled 200 ether2 # Провайдер 2 (dhcp) 2 R vlan3 1500 enabled 300 ether3 # Провайдер 3 (dhcp) 3 R vlan4 1500 enabled 400 ether4 # Связь switch - server с RouterOS Server x86 RouterOS [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan1 1500 enabled 100 ether1 1 R vlan2 1500 enabled 200 ether1 2 R vlan3 1500 enabled 300 ether1 3 R vlan4 1500 enabled 400 ether1 В таком виде ничего не работает. Как мне получить dhcp адреса на vlan(1,2,3) интерфейсах на стороне RouterOS сервера, используя mac адреса switch железки. Получалось получить один адрес на vlan 3 RouterOS. Но в этом случае использовался mac адрес самой RouterOS, он он у нее один. В каких случаях использовать "Use service tag"?

Подскажите как реализовать связь. Стоит сервер(x86) с RouterOS к нему подключен маршрутизатор mikrotik(951) 5-и портовый выступающий в роли свича (потом, если все получится, заменю на многопортовый d-link управляемый L2). С улицы приходит 3 канала интернета (1 провайдер). Интернет получаю посредством dhcp IPoE. Все эти три шнурка втыкаю в mikrotik (1, 2, 3 порты) На сервере где крутится routeros всего один физический порт(1гб), через который я все это дело и хочу гонять и отдавать обратно на свитч локальным клиентам. Раньше vlan если и использовал, то только чтобы отделить одну группу портов от другой. Сейчас нужно создать кучу виртуальных портов и все это дело завязать на сервере. Ума не приложу как все это сделать, перечитал кучу статей, но так ничего и не выходит. На сервере должно получится что то вроде: vlan 1 - (dhcp адрес от первого провайдера(шнурка)) vlan 2 - (dhcp адрес от второго шнурка) vlan 3 - (dhcp адрес от 3-го шнурка) vlan 4 - связь между сервером и свичем Ну и видимо vlan 5 - dhcp сервер уже собственный который будет раздавать локальные адреса в локальную сеть на самом свиче, в данном случае на mikrotik. В примерах приводится статические адреса, т.е. с обоих сторон я создаю vlan интерфейсы со статическими адресами, а у меня 3 шнурка с dhcp и привязкой по mac адресу. Свич не может получать dhcp, это нужно делать серверу, которому в свою очередь нужно правильно расписать vlan и задать на каждый отдельный mac. В голове каша.

На атоме freepbx + asterisk + запись не тянуло более 5 одновременных, вернее тянуло, но лаги были ощутимые. Загрузка ЦП подскакивала. Атомы разные бывают, но не думаю что настолько, мой был жутко лагающим. В целом понял, спасибо. Оставлю как есть, но маршрутизатор нужно менять :)

Есть действующий сервер(i5) на котором крутится asterisk. Хочу обновить железо и прикупить более дорогую железку от Mikrotik. 1) Mikrotik Cloud Core Router 1016-12G 2) Либо попроще RB1100AHx2 Пробовал запускать образ для mips с asterisk через metarouter на 951 модели, но особо не ковырял, создал учетки, побаловался и все. Идея реализации мне понравилась, но пишут что в таком виде больше 5-10 клиентов стабильной работы врядли потянет. Да и на самой железке помимо asterisk еще будет крутиться куча всего. Собственно вопрос, может кто пробовал данную схему? Задачи касательно asterisk: 1) Число трубок порядка ~30 2) Порядка 5-8 транков. 3) Возможность писать аудио записи на внешний носитель (usb flash как вариант) Сейчас все это крутится на i5, пробовал первое время на atom, celeron... не тянут, нагрузка на ЦП и потом все это дело загибается. На данный момент для моих задач хватило бы RB1100AHx2, но если его не будет хватать для Asterisk, то есть смысл прикупить модель дороже и крутить все на одной железке, отказавшись от i5. Но есть подозрения, что ни та ни другая не потянет :)

Еще столкнулся с такой проблемой как отказоустойчивость. Если комп находится в сети и на него прописать все эти манглы и маршруты, то все работает. Потом через какое-то время маршрут route mark перестает работать, пока я не отключу в маршрутах route mark (или маршрут целиком) и заного не включу.

Нужно выходить через VPN клиенту MT, а попадать на клиента MT нужно через физический интерфейс (по схеме 1.1.1.1) VPN туннель поднимается посредством внешний адресов выданным провайдером №1 (1.1.1.1 <-VPN-> 2.2.2.2). Так же со стороны сервера 2.2.2.2 приходит второй провайдер 3.3.3.3 и наш микротик посредством VPN канала получает со своей стороны выход через 3.3.3.3, а следовательно клиент микротика тоже ходит через 3.3.3.3, собственно что нам и нужно было. Если клиент MT будет ходить через 1.1.1.1, то проблем с перенаправлением портов нет. ---- - выход клиента MT в интернет ---- - доступ на клиента MT на порт 8443 ------------------------------ В итоге вроде все получилось. direct указал на основном канале, статическом. В mark connection убрал dst.port и убрал правило mangle rule (за что оно отвечает ?) и с ними и без них все завелось. Если мне нужны не только TCP ? Если я создам еще mark connection + mark route, но уже для UDP соединений и пропишу все это еще одним маршрутом, будет работать? Огромное Спасибо!

Я list оставляю пустым. У меня статический адрес так же является и локальным для провайдера, нет распределения на локальный и внешний. Сделал все как вы описали(вроде): [admin@MikroTik] /ip firewall mangle> print # x.x.x.x - статический внешний ip через который необходимо попадать из вне 0 chain=prerouting action=mark-connection new-connection-mark=uni passthrough=yes protocol=tcp dst-address=x.x.x.x dst-port=8443 1 chain=prerouting action=mark-routing new-routing-mark=direct passthrough=yes src-address=192.168.7.5 connection-mark=uni [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic # pptp-connect - vpn подключение через которое необходимо ходить # ether1 - статический канал от провайдера 0 chain=srcnat action=masquerade out-interface=pptp-connect 1 chain=srcnat action=masquerade out-interface=ether1 2 chain=dstnat action=dst-nat to-addresses=192.168.7.5 protocol=tcp dst-address=x.x.x.x dst-port=8443 Далее таблица маршрутов. Где 172.17.10.1 это шлюз vpn подключения(сервера). При поднятии VPN я не получаю внешнего адреса как такогого, а только локальный который выдает сервер "172.17.10.5". Собственно поэтому со внехи через шлюз vpn доступа нет т.к. нет адреса, он плавающий(адрес) и крутится со стороны сервера. Необходимо чтобы локальный компьютер "192.168.7.5" использовал для выхода в интернет VPN шлюз, а доступ из вне был через ether1. Зайти на железку используя внешний адрес ether1 на порты 80, 8291 получается без проблем, но вот на порт 8443 локального устройста(192.168.7.5) нет. И правильно ли я сделал Route rule? Что не так?

В routing mark в таблице маршрутов вы указываете direct? Какие адреса содержатся в "tomsk" ? И почему вы указываете отрицательное значение? Единственное что в "src-address-list" я указал тот самый единственный локальный адрес. Интернет на локальный комп ,при указании маршрута с маркировкой, идет с vpn как и должно, но вот со статики на этот локальный так и не заходит. Железка нормально ведь отвечает со статики и порты работают ее родные (80, 8291), а в локалку ни в какую не перенаправляет. Бред.

Сделал как у вас, не работает. Немного разобрался почему не хочет работать. Суть в том что физически в маршрутик входиь только ОДИН кабель, на этом порту прописываем статику которую предоставляет провайдер и получаем доступ в просторы интернета с узким каналом и внутри провайдерскую сеть. Внутри этой сети поднимаю vpn (так называемый ранее широкий канал). Следовательно что шлюз у статики и vpn разный. Доступ из вне необходимо имень через "узкую" статику". Если маршруты прописаны со статики то все работает, но вот если прописать маршрут с vpn, до доступа на статику нет потому что маршрут будет резервным. Если физически два кабеля будут заходить в железку, то проблем нет(проверял). Так все таботает. # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 1 A S 0.0.0.0/0 127.0.0.1 1 pptp_connect "Routing mark: mark_ip" в этом случае сам маршрутизатор доступен, но перенаправлять порты отказывается на локальный компьютер # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 pptp_connect 1 1 A S 0.0.0.0/0 127.0.0.1 1

Не понятна логика данного маршрутизатора. До этого был DFL как ему объясняешь так он и делает. А микротик при активном подключении даже если приоритет у канала стоит меньше он же доступен со внехи и зайти на него можно, но он ни в какую не хочет принимать перенаправление портов на локальные железки до тех пор пока эти железки не будут пользовать этим же маршрутом. Печаль

Не подскажите пример с маркировками? Прочитал много инфы по этому поводу, но так и не могу понять как все это дело работает через маркировку.

Есть Mikrotik и два провайдера. 1) Первый провайдер имеет статический адрес, но узкий канал 1мб. 2) У второго все хорошо со скоростью, но из вне адреса у него нет. Необходимо чтобы пользователь сети (предположим что он единственный и на нем крутится web сервер) выходил в просторы интернета через широкий канал, а на него можно было зайти из вне, через узкий канал по 80 порту. Если я сажу пользователя на узкий канал, то проблем нет, он выходит и на него можно без проблем зайти, но вот если прописать маршруты так чтобы второй канал(узкий) был резервный, то из вне не могу до него достучаться, это и логичн т.к. маршрут со статический адресом становится не активным, до тех пор пока не отвалится первый канал. Пробовал и через маркировку, все равно привязка идет к маршруту. 192.168.0.14 адрес того самого единственного клиента [admin@MikroTik] /ip firewall mangle> print Flags: X - disabled, I - invalid, D - dynamic 0 chain=prerouting action=mark-routing new-routing-mark=mark_wan passthrough=yes protocol=tcp src-address=192.168.0.14 172.17.0.2 - первый провайдер со статмческий ip. Вся переадресация (port mapping) идет с этого адреса на локальный компьютер (192.168.0.14). 172.17.0.1 - второй провайдер с широким каналом и без возможности зайти на него из вне. Используется по умолчанию и если он падает, то второй провайдер поднимается и можно зайти на 192.168.0.14 локальный 80-й порт компьютера. # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 172.17.0.1 1 1 A S 0.0.0.0/0 172.17.0.2 2

Так речь не идет об устройствах со старыми протоколами. Даже те что в офисе стоят (их порядка ~20 (Apple)), два из них Macbook Pro 2009 г. и ось не старая, но и не самая последняя. Так вот эти пару компов поддерживают N из коробки, но если выставить на микротике только N, они ее видят, но подключаться не хотят. Есть конечно вариант снести на них ОСь и поставить с нуля, но зачем ?! Вероятность того что после этого заработает... не уверен. А потом в дальнейшем если возникнет подобная ситуация уже на других компах, тоже сносить все под ноль(прошу заметить на рабочих компах, а не домашних, не так просто будет остановить рабочий процесс), когда на других точках все работает? Очевидно что проблема не в этих компах. Может быть есть производитель карточек с которым микротик не состыкуется?

Вашу позицию я понял. Если без лагов, то резать скорость, но тогда не смогут подключаться некоторые клиенты и наоборот, все упирается в "кривые" драйвера, но по мне так это не проблема клиентов. По мне так, если клиент пришел, то он должен безпроблемно подключиться и пользоваться сетью, если у него конечно не древний девайс только с поддержкой B/G. Не говорить же ему "обновите сначало драйвера на вашем телефоне/компьютере", помойму это бред, учитывая что с железками стоимостью <1000 р. таких проблем нет. Как же тогда другие производители с этим борются? Я вот не могу понять, если я выставлю в том же dir 300 только N стандарт, то у меня все подключаются без проблем(привет кривые драйвера), ровно так же как и выставить другие режимы. В mikrotik'e если выставить только N, то часть клиентов(у который есть поддержка N) просто видит сеть(хотя бы это уже говорит о том что клиент поддерживает этот стандарт), но при попытке подключиться получают ошибку и будет ее получать до тех пор пока не включить поддержку "B" стандарта. Как так? Что же в микротике такого, что так привередливо к драйверам? Почему у других производителей нет таких проблем? Или я что то не так делаю?

All rates fixed стоит 16. Этот параметр понижать? Или лучше выставить в Card Rates? Дело в том что проблемы с WiFi только в одном офисе, до этого стояли unifi, ничего не лагало, возвращаться нет желания. [admin@MikroTik] /interface wireless registration-table> print # INT... RADIO-NAME MAC-ADDRESS AP SIGNAL... TX-RATE UPTIME 0 wlan2 D4CA6DBE1ACF D6:CA:6D:BE:1A:CF yes -56dBm... 130.... 8m51s 1 wlan1 10:40:F3:94:2D:4C no -65dBm... 117.... 8m48s 2 wlan1 E0:F8:47:2B:32:48 no -48dBm... 57.7... 8m48s 3 wlan1 00:21:E9:E7:59:C2 no -52dBm... 11.0... 8m45s 4 wlan1 E4:CE:8F:17:9F:32 no -64dBm... 144.... 8m44s 5 wlan1 7C:6D:62:E4:45:94 no -50dBm... 6.0Mbps 8m39s 6 wlan1 D4CA6DBE1ACF D4:CA:6D:BE:1A:CF yes -61dBm... 115.... 8m31s 7 wlan1 7C:D1:C3:CD:5D:C2 no -66dBm... 1.0Mbps 1m30s

Да конечно, первым делом сбрасываю. Фильтров никаких нет. Ошибки со стороны провайдера не исключены, тестировал связь последние несколько дней, с клиентами(pptp) более удаленных, связь стабильней. Больше склоняюсь что проблемы со стороны провайдера, поменяю порты на свиче провайдера и еще раз все перенастрою. L2TP попробую.

Так длинк и не лагает, а микротик при всех своих возможностях на моей памяти имеет самый тугой wifi, задержки по 4000+ в локальной сети, жесть, и это при дефольтных настройках. Если начинаешь резать частоты, то отваливаются девайсы со "старыми драйверами", хотя на тех же драйверах на другом железе все летает и это не проблема старого железа, а скорее камень в огород mikrotik. Перешел с unifi точек на mikrotik, выслушал от начальства уже много негатива. Стоит такой же дома, проблем нет, но там и количество клиентов меньше.

Там случайно модуль wlan не Realtek? Вполне возможно. Больше удивляет что у dlink за 1000 рублей WiFi лучше работает.

До этого стояло DFL (сервер) - Mikrotik 951 (клиент) Сейчас Mikrotik (сервер) - Mikrotik (клиент) Затык поймать не так просто, он может пару раз в день, а может 15. Запустил пинги(100ms). Из 595 пакетов потери 9%. При этом сессия pptp не рвется. Но это видать попал на затык, потом прогонял несколько тысяч пакетов, все было нормально. Как найти причину? В основных логах кроме подключения и отключения кого либо больше ничего нет. У клиента настройки не менялись. Переходить на L2TP не вариант, было же все нормально пока был не Mikrotik, значит проблема где то в нем, в настройках сервера кроме MTU и MRU ничего нет, вот и предположил.

Система MacOS, обновления прилетают автоматом. Есть два ноута (Macbook и Macbook Pro 2009 годов) проблемы именно с этим годом, последнюю ОП не ставил, железу тяжело будет. Ноутбук тот что с Windows обновляли и ставили последние дрова с офф сайта, не помогло.