Jump to content
Калькуляторы

iraklizh

Пользователи
  • Content Count

    65
  • Joined

  • Last visited

Everything posted by iraklizh


  1. Добрый день, часто при просмотре списка клиентов замечаю, что видны mac адреса мобильных устроиств ( в основном мобильных телефонов) которые по идее не должны быть видны за клиентскими роутерами. Клиентские роутеры в основном дешовейшие tplink, blink, tenda и т.д. В основном настройка происходит с нашей стороны. (схема подключений в основном такая: mikrotik+ ethernet+swich+ethernet+client) никаких ppoe . Часто такое происходит, если клиент перепутал (завис роутер иои еще какая причина, перепутал wan порт своего роутера.
  2. У меня тоже ip раздается dhcp микротика автоматически, фиксируем мак клиента и потом прописываем его статически, на свичах индивидуально vlan для каждого абонента
  3. Ну у конторы бюджета пока нет привести в порядок эту часть, так что пока оставлю вопрос откытым... да а кстати Saab95 по вашему опыту какая апаратура более-менее стабильно работала? Ставить клиентам mikrotiki дороговато... мы конечно маркируем кабель и порт, чтоб слишком уж ретивые не игрались но все равно случается всякое... с абонента требовать знаний не наше дело...
  4. Доьрый день. Сеть два микротика 1 -й (wan)Public ip , Lan 192.168.16.1, второй 192.168.16.22 с сетью 172.16.0.0./20. Не могу пробросить порт из игтернета через первый микрот к девайсу в сети 172.16.0.0 второго микротика... делал так: На первом dest nat-> dest port 8080-> in interface (public wan)/action-> netmap 192.168.16.22 dest port 8080... На втором dest nat -> dest port 8080-> in interface 192.168.16.22/action netmap 172.16.0.10 dest port 8080. Ну никак не работает, хотя пакеты идут и на первом и на втором, однако на втором изменил порт микротика с дефолтного на 9381 и winbox ом могу им управлять, пробросил порт как описанно выше и к удивлению winbox работает а другие порты нет... Что делал неправильно, подскажите, заранее благодарен
  5. так ведь на разных микротиках... на первом правило форварда выше mascarade, на втором правило форварда ниже правила mascarad
  6. Заметил, что правило заработало когда на втором микротике не поднял правило выше маскарада..... обясните плиз если не лень в чем дело ? заранее спасибо!!!
  7. Добрый день. 1 микротик 1 порт пров (dhcp) второй порт внутренняя сеть 192.168.16.0. (интерфейсу присвоен адресс соотвецтвенно 192.168.16.1), + wifi 2 клиента. в Simple queue 3 проавила (1-ое 85 M отдает на аддресс 192.168.16.22 а два остальных по 5 М клиентам wifi...второй микротик 1 порт 192.168.16.22 поднят нат, dhcp, dns и simple queues которые режут скорость клиентам... на втором если в simple queue открыть каке либо клиентское queue, в разделе трафика видна скорость исх.прих пакетов а на первом микротике ничего подобного не видно. Почему?
  8. Добрый день. Прошу совета о поюключении 2-х провайдеров. Mikrotik 2011Uias, firmware 6.43.2, os 6.43.2 задача: настроить балансировку нагрузки и пустить часть юзеров жестко на isp1, других на isp2 Пользовался данной статьей://avg-it.ru/info/articles/mikrotik-dva-provaydera-balansirovka/ но с оговорками (т.е. уже имелся настроенный микротик на работу с одним провайдером, часть интерфейсов была занята (ethr1=wan1, ethr2=lan и т.д. под второго прова был выделен инт ethr 6, ( переименовал интерфейсы ethr1=ISP2, ethr6=ISP1/ # Настроим сети провайдеров: /ip address add address=10.100.1.1/24 interface=ISP1 /ip address add address=10.200.1.1/24 interface=ISP2 # Настроим локальный интерфейс /ip address add address=10.1.1.1/24 interface=LAN # скроем за NAT все что выходит из локальной сети /ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat #Пометим каждое соединение пришедшее снаружи и адресованное нашему роутеру: /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2 #что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение. /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no #добавим default gateway в каждую из промаркированных таблиц маршрутизации: /ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping /ip route add distance=1 gateway=10.200.1.254 routing-mark=rout_ISP2 check-gateway=ping Пользовался данной схемой, + Делим исходящий трафик, используя ECMP (equal cost multipath routing) На мой взгляд самый простой и вкусный вариант разделения траффика: конфигурация с балансировкой канала по ECMP # Настроим сети провайдеров: /ip address add address=10.100.1.1/24 interface=ISP1 /ip address add address=10.200.1.1/24 interface=ISP2 # Настроим локальный интерфейс /ip address add address=10.1.1.1/24 interface=LAN # скроем за NAT все что выходит из локальной сети /ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat #Пометим каждое соединение пришедшее снаружи и адресованное нашему роутеру: /ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1 /ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2 #что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение. /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no /ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no #добавим default gateway в каждую из промаркированных таблиц маршрутизации: /ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping /ip route add distance=1 gateway=10.200.1.254 routing-mark=rout_ISP2 check-gateway=ping #промаркируем весь траффик из локальной сети /ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=mixed #используем ECMP для балансировки траффика из локальной сети /ip route add dst-address=0.0.0.0/0 gateway=10.100.1.254,10.200.1.254 routing-mark=mixed Mikrotik сам поделит трафик по шлюзам, используя round-robin алгоритм. Кстати, в версии 6.Х RouterOS mikrotik поломал check-gateway в ECMP, так что использовать конструкцию /ip route add gateway=10.100.1.254,10.200.1.254 check-gateway=ping можно и логично, но абсолютно бесполезно. Для пометки неживых маршрутов в ECMP нужно создать дополнительные маршруты, которые используют каждый из gateway по-отдельности. С включенным check-gateway разумеется. Помечая маршрут неактивным, mikrotik делает это для всех. Но чтото непонятно а конкретно: У некоторых юзеров перестали открыватся странички, хотя трафик к ним присутствует а общая скорость как будто упалаю На интерфейсах видна активность в принятых и отправленных пакетах, но люди в общем недовольны. Что касается конкретных юзеров в сети так и не смог их пустить по направлению к конкретным провайдерам.
  9. Добрый день Saab95. Перечитал несколько раз вашу статью о simple queue и pcq 

    возник вопрос, если есть второй микротик ... первый микрот это hap а второй uas 2011 на котором dhcp, dns, queue tree для абонентов.

    На первом на который от прова идет 100Mb/сек, настроенно queue tree которое отдает подсети второго микротика 85 Mb/сек. какой тип шейпера указать на первом микротике? сейчас по умолчанию default-small/

     

  10. Добрый день! Микротик 2011 uas, два прова разруленны через routing tables: второй пров заведен через 2-й микротик, который оптикой подключен к первому. проблемма что иногда абоненты жалуются, что обрывается трафик... смоткю пинг не обрывает, на обоих микротиках прднято simple query с запасом для того чтоб не было дропов со стороны провайдеров. Но в simple query в queue type для каждого юзера указано default small. Какой наиболее оптимальный вариант подобрать? пусть странички открываются медленно главное чтоб трафик им не обрывало... я смотрел общий поток для каждого юзера с выставленными скоростями и трафик волнообразный, допустим юзер с 15 м в simple queue его загрузка не превышает 2 или 3 м но трафик какаято кривая то немного меньше то немного больше...
  11. Непонятно почему но случается следующее, что микротик не перегружаясь начинает выдавать по dhcp новые адреса клиентам, в то время, когда ранее выданные адреса закрепленны командой make statik и даже закомментированны и дополнительно включен add arp for lease. если выставлять arp-reply only или proxy-arp, раннее выданные ip закрепляет, но через какоето время перестает их пускать а заодно не выдает новые и получается клиент в пролете... может кто сталкивался и знает как исправить? Заранее Спасибо!
  12. @Saab95 согласен, у меня выдается на 8 часов, всех абонентов привязываю static mac+ip послу того как dhcp присвоет адрес.
  13. ну вот это лишнее... хотя приблизительно так....:)))
  14. про левые dhcp бывает и такое, поэтому строго ведем привязку mac=ip=user, и в случае проблемм связываемся с конкретным юзером. Бывает что некоторые сверхумные юзеры (когда моргнет инетрнет) занимаются самодиагностикой и меняют на своем роутере wan на lan, уведомления о чужих dhcp у меня настроенно, когда появится лишний комп-настрою dhcp killer-а!
  15. @jffulcrum -нет. все 3 сетевухи отдельно. 1 wan1, вторая lan + сеть для операционки и 3 -wan2( не расшарена ни с кем).-этот конфиг шас работает. в wan2 пакеты уходят. Вот про увеличение мошности процессора и озу на виртуальном микротике не понял что происходит...
  16. Добрый день. Есь микротик на виртуалке, сервер 2012, hiper-v, 2 сетевухи 1-wan, 2-lan. пришлось добавить 3-ю lan -карту. Виртуальный микротик видит у себя ethernet 3, но пакеты по нему не идут. Присваиваю адрес, не пингуется ни в какую.
  17. еше один странный трабл... хочу в параметрах виртуальной машины микротик увеличить чисор виртуальных спу и увеличить озу. Выключаю виртуалку, меняю параметры и включаю. виртуалка загружается но без сети... возвращяю назад, все ок но... как исправить?
  18. странно прописал мак этой сетевухи + ip (на целевой системе) и заработало. но почему сам не мог пробросить? канал-оптика...
  19. В поиске ответов не очень преуспел. Искал показания вендоров в основном юзеры пользуются модемами tp-link, tenda, реже blink. Понятное дело что все эти ведут себя ооченнь и ооочень непонятно. (дома тоже юзал тенду которая минимум раз в день застревла. К слову дома оптика и huawey роутер от провайдера + voip + iptv, c раздачей ip на неделю... а у этих 2880 минут... я стараюсь настраивать 23 часа, либо так, чтоб dhcp на них рефрешился в ночные часы, но иногда юзеры не догадываются ребутнуть роутер либо девайс и давай звонить на отсутствие интернета. А так как я в основном работаю удаленно, через vpn не всегда получается зайти на юзерский девайс.Девайсы мы им не выдаем, в основном новые абоненты сами с девайсами, либо бегут и покупают сами, но это уже не ко мне а к менеджменту... япредлагал нашим самим брать модемы, по оптовой цене, настраивать и выдавать юзерам, чтоб они мозги не выноситли но пока все зря...
  20. Добрый день. Второй день наблюдаю кратковременную проблемму следующего характера... у меня для группы пользователей ограничение в 35M в simple queue через isp1. замечаю что на интерфейсе начинается возрастать скорость типа 72M, 80M и потом падает на 0 т.е. дропается...смотрю траффик в simple queue-там скорость не увеличивается, может это из за правил в firewall .... пробовал отфильтровать того кто генерит такой траффик но тоже безрезультатно... читал разную инфу, и в топике писал McDee, но вот не подобрал пока такой набор правил, чтоб юзерам было комфортно работать... работаю с микротиком удаленно через винбох (порт сменен) # jun/05/2019 10:18:35 by RouterOS 6.43.2 # software id = # # model = 2011UiAS # serial number = /ip firewall layer7-protocol add name=HTTP regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\ 0d -~]* http/[01]\\.[019]" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png add name=JPG_FILE regexp=jpg /ip firewall address-list add address=172.16.0.50-172.16.15.252 list="torrent limit" add address=92.51.126.216/30 list=LAN-EXCEPTION /ip firewall filter add action=accept chain=input connection-state=established add action=accept chain=forward dst-address=172.16.0.1-172.16.15.254 \ protocol=udp add action=accept chain=input comment="acces input udp" protocol=udp add action=accept chain=forward comment="Forward Established Connections" \ connection-state=established add action=accept chain=forward comment="Forward Related Connections" \ connection-state=related add action=accept chain=input comment="GRE VPN to Mikrotik" protocol=gre add action=accept chain=input connection-state=related add action=accept chain=input comment="access input icmp allow ping" \ protocol=icmp add action=accept chain=forward comment="acces forward icmp Allow Ping" \ protocol=icmp add action=drop chain=input comment="Drop invalid Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward comment="Drop Invalid forward Connections" \ connection-state=invalid disabled=yes add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DC:C0 add action=drop chain=forward disabled=yes in-interface=LAN src-mac-address=\ 04:95:E6:64:DD:00 /ip firewall nat add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=3389 in-interface=ISP1 protocol=udp \ to-addresses=172.16.15.254 to-ports=3389 add action=netmap chain=dstnat dst-port=8291 in-interface=ISP1 protocol=tcp \ to-addresses=172.16.15.180 to-ports=8291 add action=netmap chain=dstnat comment="cameras vaxtang gelxauri" dst-port=\ 8888 in-interface=ISP1 protocol=tcp to-addresses=172.16.15.31 to-ports=\ 8888 add action=netmap chain=dstnat dst-port=8293 in-interface=ISP2 protocol=tcp \ to-addresses=172.16.0.1 to-ports=8293 add action=masquerade chain=srcnat out-interface=ISP1 add action=masquerade chain=srcnat out-interface=ISP2 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set pptp disabled=yes
  21. Спасибо! понятно! включение add arp for lease этому способствует или ниикак не влияет? Еще такой вопрос ... допустим клиент с мак адресом dd:dd:dd:dd:dd подключился и взял некиий ip, из пула dhcp. Если я его стираю(удаляю ) до истечения времени аренды, он появляется в скоре вновь, уже с другим адресом.. и что интересно следующий адресс по возрастанию. Мне интересно почему так происходит и что происходит с тем адресом который был выдан ранее, почему он не добавляется по истечению времени аренды...