iraklizh

У меня тоже ip раздается dhcp микротика автоматически, фиксируем мак клиента и потом прописываем его статически, на свичах индивидуально vlan для каждого абонента

Спасибо! Теперь более понятно явление!

Ну у конторы бюджета пока нет привести в порядок эту часть, так что пока оставлю вопрос откытым... да а кстати Saab95 по вашему опыту какая апаратура более-менее стабильно работала? Ставить клиентам mikrotiki дороговато... мы конечно маркируем кабель и порт, чтоб слишком уж ретивые не игрались но все равно случается всякое... с абонента требовать знаний не наше дело...

согласен по всем пунктам! спасибо!

Добрый день, часто при просмотре списка клиентов замечаю, что видны mac адреса мобильных устроиств ( в основном мобильных телефонов) которые по идее не должны быть видны за клиентскими роутерами. Клиентские роутеры в основном дешовейшие tplink, blink, tenda и т.д. В основном настройка происходит с нашей стороны. (схема подключений в основном такая: mikrotik+ ethernet+swich+ethernet+client) никаких ppoe . Часто такое происходит, если клиент перепутал (завис роутер иои еще какая причина, перепутал wan порт своего роутера.

ok понял будет конфиг!

так ведь на разных микротиках... на первом правило форварда выше mascarade, на втором правило форварда ниже правила mascarad

Заметил, что правило заработало когда на втором микротике не поднял правило выше маскарада..... обясните плиз если не лень в чем дело ? заранее спасибо!!!

проверю...

Доьрый день. Сеть два микротика 1 -й (wan)Public ip , Lan 192.168.16.1, второй 192.168.16.22 с сетью 172.16.0.0./20. Не могу пробросить порт из игтернета через первый микрот к девайсу в сети 172.16.0.0 второго микротика... делал так: На первом dest nat-> dest port 8080-> in interface (public wan)/action-> netmap 192.168.16.22 dest port 8080... На втором dest nat -> dest port 8080-> in interface 192.168.16.22/action netmap 172.16.0.10 dest port 8080. Ну никак не работает, хотя пакеты идут и на первом и на втором, однако на втором изменил порт микротика с дефолтного на 9381 и winbox ом могу им управлять, пробросил порт как описанно выше и к удивлению winbox работает а другие порты нет... Что делал неправильно, подскажите, заранее благодарен

Добрый день. 1 микротик 1 порт пров (dhcp) второй порт внутренняя сеть 192.168.16.0. (интерфейсу присвоен адресс соотвецтвенно 192.168.16.1), + wifi 2 клиента. в Simple queue 3 проавила (1-ое 85 M отдает на аддресс 192.168.16.22 а два остальных по 5 М клиентам wifi...второй микротик 1 порт 192.168.16.22 поднят нат, dhcp, dns и simple queues которые режут скорость клиентам... на втором если в simple queue открыть каке либо клиентское queue, в разделе трафика видна скорость исх.прих пакетов а на первом микротике ничего подобного не видно. Почему?

Добрый день! Микротик 2011 uas, два прова разруленны через routing tables: второй пров заведен через 2-й микротик, который оптикой подключен к первому. проблемма что иногда абоненты жалуются, что обрывается трафик... смоткю пинг не обрывает, на обоих микротиках прднято simple query с запасом для того чтоб не было дропов со стороны провайдеров. Но в simple query в queue type для каждого юзера указано default small. Какой наиболее оптимальный вариант подобрать? пусть странички открываются медленно главное чтоб трафик им не обрывало... я смотрел общий поток для каждого юзера с выставленными скоростями и трафик волнообразный, допустим юзер с 15 м в simple queue его загрузка не превышает 2 или 3 м но трафик какаято кривая то немного меньше то немного больше...

@Saab95 согласен, у меня выдается на 8 часов, всех абонентов привязываю static mac+ip послу того как dhcp присвоет адрес.

ну вот это лишнее... хотя приблизительно так....:)))

про левые dhcp бывает и такое, поэтому строго ведем привязку mac=ip=user, и в случае проблемм связываемся с конкретным юзером. Бывает что некоторые сверхумные юзеры (когда моргнет инетрнет) занимаются самодиагностикой и меняют на своем роутере wan на lan, уведомления о чужих dhcp у меня настроенно, когда появится лишний комп-настрою dhcp killer-а!

@jffulcrum -нет. все 3 сетевухи отдельно. 1 wan1, вторая lan + сеть для операционки и 3 -wan2( не расшарена ни с кем).-этот конфиг шас работает. в wan2 пакеты уходят. Вот про увеличение мошности процессора и озу на виртуальном микротике не понял что происходит...

еше один странный трабл... хочу в параметрах виртуальной машины микротик увеличить чисор виртуальных спу и увеличить озу. Выключаю виртуалку, меняю параметры и включаю. виртуалка загружается но без сети... возвращяю назад, все ок но... как исправить?

странно прописал мак этой сетевухи + ip (на целевой системе) и заработало. но почему сам не мог пробросить? канал-оптика...

Добрый день. Есь микротик на виртуалке, сервер 2012, hiper-v, 2 сетевухи 1-wan, 2-lan. пришлось добавить 3-ю lan -карту. Виртуальный микротик видит у себя ethernet 3, но пакеты по нему не идут. Присваиваю адрес, не пингуется ни в какую.

В поиске ответов не очень преуспел. Искал показания вендоров в основном юзеры пользуются модемами tp-link, tenda, реже blink. Понятное дело что все эти ведут себя ооченнь и ооочень непонятно. (дома тоже юзал тенду которая минимум раз в день застревла. К слову дома оптика и huawey роутер от провайдера + voip + iptv, c раздачей ip на неделю... а у этих 2880 минут... я стараюсь настраивать 23 часа, либо так, чтоб dhcp на них рефрешился в ночные часы, но иногда юзеры не догадываются ребутнуть роутер либо девайс и давай звонить на отсутствие интернета. А так как я в основном работаю удаленно, через vpn не всегда получается зайти на юзерский девайс.Девайсы мы им не выдаем, в основном новые абоненты сами с девайсами, либо бегут и покупают сами, но это уже не ко мне а к менеджменту... япредлагал нашим самим брать модемы, по оптовой цене, настраивать и выдавать юзерам, чтоб они мозги не выноситли но пока все зря...

Добрый день. Второй день наблюдаю кратковременную проблемму следующего характера... у меня для группы пользователей ограничение в 35M в simple queue через isp1. замечаю что на интерфейсе начинается возрастать скорость типа 72M, 80M и потом падает на 0 т.е. дропается...смотрю траффик в simple queue-там скорость не увеличивается, может это из за правил в firewall .... пробовал отфильтровать того кто генерит такой траффик но тоже безрезультатно... читал разную инфу, и в топике писал McDee, но вот не подобрал пока такой набор правил, чтоб юзерам было комфортно работать... работаю с микротиком удаленно через винбох (порт сменен) # jun/05/2019 10:18:35 by RouterOS 6.43.2 # software id = # # model = 2011UiAS # serial number = /ip firewall layer7-protocol add name=HTTP regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\ 0d -~]* http/[01]\\.[019]" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png add name=JPG_FILE regexp=jpg /ip firewall address-list add address=172.16.0.50-172.16.15.252 list="torrent limit" add address=92.51.126.216/30 list=LAN-EXCEPTION /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=forward dst-address=172.16.0.1-172.16.15.254 \ protocol=udp add action=accept chain=input comment="acces input udp" protocol=udp add action=accept chain=forward comment="Forward Established Connections" \ connection-state=established add action=accept chain=forward comment="Forward Related Connections" \ connection-state=related add action=accept chain=input comment="GRE VPN to Mikrotik" protocol=gre add action=accept chain=input connection-state=related add action=accept chain=input comment="access input icmp allow ping" \ protocol=icmp add action=accept chain=forward comment="acces forward icmp Allow Ping" \ protocol=icmp add action=drop chain=input comment="Drop invalid Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward comment="Drop Invalid forward Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DC:C0 add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DD:00 /ip firewall nat add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=udp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=8291 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.180 to-ports=8291 add action=netmap chain=dstnat comment="cameras vaxtang gelxauri" dst-port=\ 8888 in-interface=ISP1 protocol=tcp to-addresses=172.16.15.31 to-ports=\ 8888 add action=netmap chain=dstnat dst-port=8293 in-interface=ISP2 protocol=tcp \ to-addresses=172.16.0.1 to-ports=8293 add action=masquerade chain=srcnat out-interface=ISP1 add action=masquerade chain=srcnat out-interface=ISP2 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set pptp disabled=yes

Спасибо! понятно! включение add arp for lease этому способствует или ниикак не влияет? Еще такой вопрос ... допустим клиент с мак адресом dd:dd:dd:dd:dd подключился и взял некиий ip, из пула dhcp. Если я его стираю(удаляю ) до истечения времени аренды, он появляется в скоре вновь, уже с другим адресом.. и что интересно следующий адресс по возрастанию. Мне интересно почему так происходит и что происходит с тем адресом который был выдан ранее, почему он не добавляется по истечению времени аренды...

queues работают через второго прова!

Урааа! @McSea Спасибо !!! заработало!!! но что было сделанно .. 1.убрал ip с интерфесов оставил только основной, второй маскарад понадобился всеж, до этого сделал как вы советовали, кроме последних двух строчек. пока оставил так (для теста) на первом микротике да и на втором тоже фарвол покаполностью отключен. т.е. рулы все в disable а добавил forward -accept, input -accept и output-accept/ завтра прикрою с утра хотя думаю что в этом output тоже скрывалась некая причина. отдельно спасибо за мануалы, завтра же засяду за них серьезно, так как плохо пока очень представляю логику работы манглов и т.д. Еше интересен вопрос... если некий внутренний хост с неким ip подпадает под routing rule с mark-ой isp2, и в конечном итоге выходит через isp2, будут ли работать указанные ему ранее simple queue? те остальные хосты которые идут в сеть по isp1 -queue работают... вот это забыл проверить... завтра уже проверю.