Alexey_G

Пользователи
  • Публикаций

    14
  • Зарегистрирован

  • Посещение

Информация о Alexey_G

  • Звание
    Абитуриент
  • День рождения
  1. Проблема действительно была в перемаркировке. Только цепочка была не forward, а postrouting. Спасибо!
  2. Fasttrack был отключен давно: /ip settings pr ip-forward: yes send-redirects: yes accept-source-route: no accept-redirects: no secure-redirects: yes rp-filter: no tcp-syncookies: no max-neighbor-entries: 8192 arp-timeout: 30s icmp-rate-limit: 10 icmp-rate-mask: 0x1818 route-cache: yes allow-fast-path: yes ipv4-fast-path-active: no ipv4-fast-path-packets: 0 ipv4-fast-path-bytes: 0 ipv4-fasttrack-active: no ipv4-fasttrack-packets: 0 ipv4-fasttrack-bytes: 0
  3. Добрый день. Настраиваю Queue Tree и столкнулся со следующей проблемой: трафик не попадает в очередь. Конфигурация: /ip firewall address-list add address=192.168.17.201 list=srv_ippbx add address=172.17.16.0/24 list=net_vpn_usr add address=172.17.17.0/24 list=net_vpn_usr /ip firewall mangle add action=mark-packet chain=prerouting dst-address-list=net_vpn_usr new-packet-mark=igw-down-uvpn-ippbx passthrough=yes src-address-list=srv_ippbx /queue type add kind=pcq name=igw-down-uvpn-ippbx pcq-classifier=dst-address pcq-dst-address6-mask=64 pcq-src-address6-mask=64 /queue tree add max-limit=48M name=igw-down parent=global add max-limit=10M name=igw-down-uvpn parent=igw-down add limit-at=1M max-limit=5M name=igw-down-uvpn-ippbx packet-mark=igw-down-uvpn-ippbx parent=igw-down-uvpn priority=7 queue=igw-down-uvpn-ippbx Пакеты маркируются, это подтверждают как счетчики правила, так и логи. Указанное правило маркировки стоит последним, так что перемаркировываться эти пакеты тоже не должны. Но трафика в очереди нет. Как понять причину?
  4. Тема закрыта, провайдер резал у себя исходящие пакеты.
  5. Что-то стало проясняться, пакеты уходят с интерфейса Default маршрута, у которого не установлен Routing Mark. Вывел лог этого правила: add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes log=yes log-prefix=out_log Вижу следующее: 10:07:07 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:12 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:17 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 10:07:23 firewall,info out_log output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.130->CCC.CCC.1.72, len 60 Есть такой маршрут (без Routing Mark): /ip route add distance=1 gateway=YYY.YYY.1.208 Хотя нет, понятнее не стало, поставил логирование и второго правила (которое работает): add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes log=yes log-prefix=out_log2 Вижу тоже самое: 10:22:36 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:37 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:38 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 10:22:39 firewall,info out_log2 output: in:(none) out:vl-4-ISP2, proto ICMP (type 0, code 0), XXX.XXX.62.131->CCC.CCC.1.72, len 60 Как определить путь пакетов?
  6. Есть MT, на который заведены каналы двух провайдеров. Одним из провайдеров выделено 2 белых IP из одной подсети. Проблема следующая: по одному IP все работает (XXX.XXX.62.131), а по второму нет (XXX.XXX.62.130). Настройки: /ip address add address=XXX.XXX.62.131/27 interface=vl-5-ISP1 network=XXX.XXX.62.128 add address=XXX.XXX.62.130/27 interface=vl-5-ISP1 network=XXX.XXX.62.128 /ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=XXX.XXX.62.130 in-interface=vl-5-ISP1 new-connection-mark=conn-ISP1-1 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark dst-address=XXX.XXX.62.131 in-interface=vl-5-ISP1 new-connection-mark=conn-ISP1-2 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=vl-4-ISP2 new-connection-mark=conn-ISP2 passthrough=yes add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn-ISP1-1 passthrough=yes per-connection-classifier=src-address-and-port:2/0 src-address-list=local-all add action=mark-connection chain=prerouting connection-mark=no-mark dst-address-type=!local new-connection-mark=conn-ISP2 passthrough=yes per-connection-classifier=src-address-and-port:2/1 src-address-list=local-all add action=mark-routing chain=prerouting connection-mark=conn-ISP1-1 dst-address-list=!private-ip new-routing-mark=route-ISP1-1 passthrough=yes src-address-list=private-ip add action=mark-routing chain=prerouting connection-mark=conn-ISP1-2 dst-address-list=!private-ip new-routing-mark=route-ISP1-2 passthrough=yes src-address-list=private-ip add action=mark-routing chain=prerouting connection-mark=conn-ISP2 dst-address-list=!private-ip new-routing-mark=route-ISP2 passthrough=yes src-address-list=private-ip add action=mark-routing chain=output connection-mark=conn-ISP1-1 new-routing-mark=route-ISP1-1 passthrough=yes add action=mark-routing chain=output connection-mark=conn-ISP1-2 new-routing-mark=route-ISP1-2 passthrough=yes add action=mark-routing chain=output connection-mark=conn-ISP2 new-routing-mark=route-ISP2 passthrough=yes /ip firewall nat add action=src-nat chain=srcnat out-interface=vl-5-ISP1 routing-mark=route-ISP1-1 to-addresses=XXX.XXX.62.130 add action=src-nat chain=srcnat out-interface=vl-5-ISP1 routing-mark=route-ISP1-2 to-addresses=XXX.XXX.62.131 add action=masquerade chain=srcnat out-interface=vl-4-ISP2 /ip route add check-gateway=arp distance=1 gateway=XXX.XXX.62.129 pref-src=XXX.XXX.62.130 routing-mark=route-ISP1-1 add check-gateway=arp distance=1 gateway=XXX.XXX.62.129 pref-src=XXX.XXX.62.131 routing-mark=route-ISP1-2 add distance=1 gateway=YYY.YYY.1.208 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.206 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.207 routing-mark=route-ISP2 add distance=1 gateway=YYY.YYY.1.209 routing-mark=route-ISP2 В /ip/firewall/connections вижу, что соединения маркируются правильно: - для XXX.XXX.62.130 маркируются conn-ISP1-1 - для XXX.XXX.62.131 маркируются conn-ISP1-2. Подскажите в какую сторону копать?
  7. Сами MT соеденены одним каналом. При туннельном режиме придется вообще в правилах прописать 0.0.0.0/0, т.к. весь трафик с MT2 будет проходить через MT1. Попробую в обоих режимах настроить и протестировать. Насколько я понял, если в src-address/dst-address прописать 0.0.0.0/0, то весь трафик, подпадающий под это условие уйдет в IPSec туннель, вне зависимости от настроек маршрутизации? Если так, то мне только транспортный режим подходит. Кстати, нашел почему не работала первоначальная конфигурация: /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 Т.е. IPSec внутри туннеля, а надо снаружи: /ip ipsec policy add dst-address=192.168.23.5/32 sa-dst-address=192.168.23.5 sa-src-address=192.168.23.6 src-address=192.168.23.6/32
  8. Спасибо, так заработало Сетей за MT1 и MT2 много, если в туннельном режме настраивать, то правила для каждого пересечения сетей прописывать или можно одним policy обойтись? Вроде такого: /ip ipsec policy add src-address=192.168.0.0/26 dst-address=192.168.0.0/26 action=encrypt tunnel=yes sa-src-address=192.168.23.5 sa-dst-address=192.168.23.6 А так, конечно не хочется производительность снижать.
  9. Хотите просто зашифровать туннель - для RouterOS выше 6.30 есть настройка IPSEC непосредственно в настройках туннеля. Просто добавьте свойство "ipsec-secret=ключ" к свойствам ipip туннеля. Да, хочу шифровать туннель. Но при попытке создания туннеля с ipsec-secret - ошибка: /interface ipip add local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 ipsec-secret=123 cannot enable fastpath together with ipsec yet Пробовал отключить fastpath в /ip settings - не помогло.
  10. Есть следующая схема: 192.168.17.0/24 - MT1 - VLAN провайдера - MT2 - 10.17.18.64/26 Настройки: MT1: /interface vlan add interface=lacp name=vl-101-lacp vlan-id=101 add interface=lacp name=vl-1480-lacp vlan-id=1480 /ip address add address=192.168.17.254/24 interface=vl-101-lacp network=192.168.17.0 add address=192.168.23.5/30 interface=vl-1480-lacp network=192.168.23.4 add address=192.168.23.9/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.5 name=ipip-tun-1 remote-address=192.168.23.6 /routing ospf instance set [ find default=yes ] metric-other-ospf=30 redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.10/32 secret=111 /ip ipsec policy add dst-address=192.168.23.10/32 sa-dst-address=192.168.23.10 sa-src-address=192.168.23.9 src-address=192.168.23.9/32 MT2: /interface vlan add interface=ether1 name=vl-1480-1 vlan-id=1480 add interface=ether3 name=vl-rpc3-1018 vlan-id=1018 /ip address add address=10.17.18.126/26 interface=vl-rpc3-1018 network=10.17.18.64 add address=192.168.23.6/30 interface=vl-1480-1 network=192.168.23.4 add address=192.168.23.10/30 interface=ipip-tun-1 network=192.168.23.8 /interface ipip add !keepalive local-address=192.168.23.6 name=ipip-tun-1 remote-address=192.168.23.5 /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 /routing ospf interface add interface=ipip-tun-1 network-type=point-to-point /routing ospf network add area=backbone network=192.168.23.8/30 /ip ipsec peer add address=192.168.23.9/32 secret=111 /ip ipsec policy add dst-address=192.168.23.9/32 sa-dst-address=192.168.23.9 sa-src-address=192.168.23.10 src-address=192.168.23.10/32 Маршруты в удаленную сеть на MT1: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 10.17.18.64/26 192.168.23.10 110 Маршруты в удаленную сеть на MT2: /ip route> pr DST-ADDRESS PREF-SRC GATEWAY DISTANCE ADo 192.168.17.0/24 192.168.23.9 110 Теперь ставлю эксперимент, на МТ1: /ip ipsec peer set 0 secret="1" Сети 192.168.17.0/24 - 10.17.18.64/26 доступны, 192.168.23.10 - 192.168.23.9 нет. Связь же должна пропасть или не прав? Получается трафик 192.168.17.0/24 - 10.17.18.64/26 не шифруется? Как шифровать трафик в канале провайдера?
  11. Добрый день Есть несколько MT, соединенных в сеть. На всех настроен RIP для динамической маршрутизации. При этом есть необходимость фильтрации маршрутов в зависимости от подключенного MT. Например: Центральный MT (MTC) /export compact # may/13/2016 13:55:29 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mtc-11 vlan-id=11 add interface=ether1 name=vl-mtc-12 vlan-id=12 add interface=ether1 name=vl-mtc-13 vlan-id=13 /tool user-manager customer set admin access=own-routers,own-users,own-profiles,own-limits,config-payment-gw /ip address add address=10.10.10.1/24 interface=ether1 network=10.10.10.0 add address=192.168.1.1/24 interface=vl-mtc-11 network=192.168.1.0 add address=192.168.2.1/24 interface=vl-mtc-12 network=192.168.2.0 add address=192.168.3.1/24 interface=vl-mtc-13 network=192.168.3.0 /routing filter add action=accept chain=rip-out prefix=192.168.1.0/24 add action=accept chain=rip-out prefix=192.168.2.0/24 add action=discard chain=rip-out /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.1 ether1 0 1 ADC 192.168.1.0/24 192.168.1.1 vl-mtc-11 0 2 ADC 192.168.2.0/24 192.168.2.1 vl-mtc-12 0 3 ADC 192.168.3.0/24 192.168.3.1 vl-mtc-13 0 4 ADr 192.168.10.0/24 10.10.10.2 120 5 ADr 192.168.20.0/24 10.10.10.2 120 6 ADr 192.168.30.0/24 10.10.10.2 120 7 ADr 192.168.100.0/24 10.10.10.3 120 8 ADr 192.168.200.0/24 10.10.10.3 120 9 ADr 192.168.250.0/24 10.10.10.3 120 MT1: /export compact # may/13/2016 13:58:35 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mt1-101 vlan-id=101 add interface=ether1 name=vl-mt1-102 vlan-id=102 add interface=ether1 name=vl-mt1-103 vlan-id=103 /ip address add address=10.10.10.2/24 interface=ether1 network=10.10.10.0 add address=192.168.10.1/24 interface=vl-mt1-101 network=192.168.10.0 add address=192.168.20.1/24 interface=vl-mt1-102 network=192.168.20.0 add address=192.168.30.1/24 interface=vl-mt1-103 network=192.168.30.0 /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.2 ether1 0 1 ADr 192.168.1.0/24 10.10.10.1 120 2 ADr 192.168.2.0/24 10.10.10.1 120 3 ADC 192.168.10.0/24 192.168.10.1 vl-mt1-101 0 4 ADC 192.168.20.0/24 192.168.20.1 vl-mt1-102 0 5 ADC 192.168.30.0/24 192.168.30.1 vl-mt1-103 0 6 ADr 192.168.100.0/24 10.10.10.3 120 7 ADr 192.168.200.0/24 10.10.10.3 120 8 ADr 192.168.250.0/24 10.10.10.3 120 MT2: /export compact # may/13/2016 14:00:32 by RouterOS 6.35.2 # software id = 0XYZ-CFZR # /interface vlan add interface=ether1 name=vl-mt2-1001 vlan-id=1001 add interface=ether1 name=vl-mt2-1002 vlan-id=1002 add interface=ether1 name=vl-mt2-1003 vlan-id=1003 /ip address add address=10.10.10.3/24 interface=ether1 network=10.10.10.0 add address=192.168.100.1/24 interface=vl-mt2-1001 network=192.168.100.0 add address=192.168.200.1/24 interface=vl-mt2-1002 network=192.168.200.0 add address=192.168.250.1/24 interface=vl-mt2-1003 network=192.168.250.0 /routing rip set redistribute-connected=yes redistribute-static=yes /routing rip interface add receive=v2 /routing rip network add network=10.10.10.0/24 /ip route> print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADC 10.10.10.0/24 10.10.10.3 ether1 0 1 ADr 192.168.1.0/24 10.10.10.1 120 2 ADr 192.168.2.0/24 10.10.10.1 120 3 ADr 192.168.10.0/24 10.10.10.2 120 4 ADr 192.168.20.0/24 10.10.10.2 120 5 ADr 192.168.30.0/24 10.10.10.2 120 6 ADC 192.168.100.0/24 192.168.100.1 vl-mt2-1001 0 7 ADC 192.168.200.0/24 192.168.200.1 vl-mt2-1002 0 8 ADC 192.168.250.0/24 192.168.250.1 vl-mt2-1003 0 Как можно ограничить передачу маршрутов, так, чтобы 192.168.1.0/24 пришел только на MT1, а 192.168.2.0/24 на MT2?
  12. Бридж создавался для тестов. Убрал VL_ISP2 из бриджа, соединение установилось, благодарю за помощь.
  13. Добрый день. Имеется RB2011UiAS-RM, не удается поднять PPPoE соединение до провайдера, MT не видит приходящих пакетов PADO. Конфигурация: /export compact # RouterOS 6.35.1 /interface vlan add interface=ether6 name=VL_ISP1 vlan-id=4 add interface=ether6 name=VL_ISP2 vlan-id=5 add interface=if-lacp name=VL_ISP1_2 vlan-id=4 add interface=if-lacp name=VL_DMZ vlan-id=142 add interface=if-lacp name=VL_LOCAL vlan-id=140 add interface=if-lacp name=VL_TECH vlan-id=143 /interface bridge add name=br-manage protocol-mode=none add name=brTest protocol-mode=none add name=internet protocol-mode=none /interface bridge port add bridge=br-manage interface=VL_TECH add bridge=br-manage interface=ether10 add bridge=internet interface=VL_ISP2 add bridge=internet interface=ether9 add bridge=brTest interface=VL_ISP1 add bridge=brTest interface=VL_ISP1_2 add bridge=br-manage interface=ether8 /interface pppoe-client add add-default-route=yes interface=VL_ISP2 name=INTERNET_ISP2 password=\ pwd user=usr /ppp profile set *0 change-tcp-mss=default /interface bonding add mode=802.3ad name=if-lacp slaves=ether1,ether2 /ip address add address=192.168.168.62/26 interface=VL_TECH network=192.168.168.0 Лог MT: may/10 17:11:17 pppoe,ppp,info INTERNET_ISP2: initializing... may/10 17:11:17 pppoe,ppp,info INTERNET_ISP2: connecting... may/10 17:11:17 pppoe,debug,packet VL_ISP2: sent PADI to FF:FF:FF:FF:FF:FF may/10 17:11:17 pppoe,debug,packet session-id=0x0000 may/10 17:11:17 pppoe,debug,packet host-uniq=0x1e70002 may/10 17:11:17 pppoe,debug,packet service-name= may/10 17:11:18 pppoe,debug,packet VL_ISP2: sent PADI to FF:FF:FF:FF:FF:FF may/10 17:11:18 pppoe,debug,packet session-id=0x0000 may/10 17:11:18 pppoe,debug,packet host-uniq=0x1e70002 may/10 17:11:18 pppoe,debug,packet service-name= may/10 17:11:20 pppoe,debug,packet VL_ISP2: sent PADI to FF:FF:FF:FF:FF:FF may/10 17:11:20 pppoe,debug,packet session-id=0x0000 may/10 17:11:20 pppoe,debug,packet host-uniq=0x1e70002 may/10 17:11:20 pppoe,debug,packet service-name= may/10 17:11:21 pppoe,debug,packet VL_ISP2: sent PADI to FF:FF:FF:FF:FF:FF may/10 17:11:21 pppoe,debug,packet session-id=0x0000 may/10 17:11:21 pppoe,debug,packet host-uniq=0x1e70002 may/10 17:11:21 pppoe,debug,packet service-name= may/10 17:11:21 pppoe,ppp,info INTERNET_ISP2: terminating... Показания снифера с того же MT: No. Time Source Destination Protocol Length Info 35 23.460215 Routerbo_7a:00:00 Broadcast PPPoED 32 Active Discovery Initiation (PADI) 36 23.462285 Ericsson_00:58:d4 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 37 23.462418 Ericsson_00:c9:bd Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 38 23.462471 Ericsson_00:c9:bc Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 39 23.462600 Ericsson_00:c9:b1 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 40 23.462699 Ericsson_00:a2:0e Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 41 23.462718 Ericsson_00:a2:03 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 42 23.462762 Ericsson_00:93:33 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 43 23.462788 Ericsson_00:a2:0f Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 44 23.462869 Ericsson_00:93:3f Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 45 23.462914 Ericsson_00:93:3e Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 46 23.463419 Ericsson_00:58:c8 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' 47 23.569462 Ericsson_00:58:d3 Routerbo_7a:00:00 PPPoED 60 Active Discovery Offer (PADO) AC-Name='*' В чем может быть проблема, где подкрутить?
  14. Добрый день. Имеется два маршрутизатора RB1100AHx2 и RB2011iL. Между ними проброшен OVPN туннель. Скорость внешнего канала 30 Мб/с Внутри тоннеля скорость не поднимается выше 1,7 Мб/с. Что можно поковырять, чтобы увеличить скорость?