MetrS

Сбросил микротик, удалил конфигурацию и настроил заново. Все завелось без проблем. Видимо, глюк.

С какими настройками я еще мог там намудрить? Облазил всё. Может откатиться на прошлую прошивку? Пока настроил на обычном Wireless, проблем нет, но и роуминга бесшовного нет. Видимо, CapsMan таки подменяет сертификат. Веб сервера нет, выключен.

Здравствуйте уважаемые коллеги! Столкнулся с такой проблемой: при настройке системы CapsMan клиенты wi-fi видят при серфинге страниц ошибку сертификата: http://prntscr.com/j6bq1z и http://prntscr.com/j6bq6h Настройка самая простая, без сертификата (none в wireless): http://prntscr.com/j6bqpd Затем, в CapsMan: http://prntscr.com/j6brvu Точки доступа провизионятся и появляются, к сети подключаются клиенты отлично (2.4 и 5.0 ггц), ип адрес получают - но интернет страницы не открываются. Сайты пингуются, именя резолвятся, внутренние компьютеры пингуются (все в одном бридже). делал ревок сертификатов, пробовали с ними и без них, ничего... Хелп! Модель роутера: RouterBOARD 962UiGS-5HacT2HnT Версия ROS: 6.41.4

Проблема решилась по совету с старой темы форума forum.mikrotik.com : нужно выставить скорость интерфейса в 100 мегабит, а был гигабит. Не знаю в чем проблема, но скорость вернулась и волосы стали мягкими и шелковистыми. http://prntscr.com/gqai05

Доброго времени суток, Уважаемые коллеги! Печалит меня следующая ситуация: на одном из провайдеров режется исходящая скорость с 80 до 40 мегабит в секунду. Входящая в норме. Как тестировал: BTest между двумя микротиками в разных городах, Speedtest, торренты (раздача). Шейперов нет, правила firewall,mangle отключал, прошивка последняя 6.40.3 на обоих микротиках. Устройства перезагружались перед тестами. Модель "проблемного" микротика CCR1036-8G-2S+, использование памяти не более 10%, проц на нуле. MTU интерфейса 1500, автосогласование скорости, рекомендованные провайдером настройки. Тесты скорости мимо микротика отличные (на ноутбуке) скорость 90/90. Нагрузка канала при тестировании на микротике минимальная, тесты проводились в различное время суток, нагрузка иногда, отсутствовала полностью. На микротике есть 2 EoIP туннеля с IPSec шифрацией (2 провайдера на микротике, на каждом интерфейсе свой туннель). Туннели отключал на время тестирования. Был глюк на прежней прошивке со скоростью L2tp - у клиентов была малая скорость исходящая от микротика - решилась после прошивки на 6.40.3. И также на прежней прошивке была та проблема, о которой сейчас описываю в этом посте. С МТU игрался на интерфейсе с 1420-1480, не помогло. Подскажите пожалуйста, как еще можно решить проблему?

Вопрос снят, в этой директории есть файлик fail.html - творим что хотим.

Нашел файл Ubiquiti UniFi\data\sites\default\portal\index.html Код: <form name="input" id="submit-form" method="post" action="login"> <input type="hidden" name="by" value="voucher" /> <div class="well"> <div class="input-group"> <span class="input-group-addon"> <img src="img/lock-mobile.png" /></span> <input type="text" class="form-control" id="voucher" name="voucher" placeholder="Vaucher"> </div> <div class="checkbox switch-on"> <label> <input type="checkbox" checked checked="checked" name="accept-tou"> </label> <a href="#" id="clickme" style="color:white; border-bottom: dotted 1px white; text-decoration: none;">Условия (Terms of use)</a> </div> <button type="submit" name="byvoucher" class="btn btn-sample btn-block">Send</button> </div> Как я понял, после нажатия на Send, отправляются данные на проверку в БД, при успехе идет редирект на лэндинг-страницу, а вот при неудаче - в никуда, снова на ввод ваучера. И как узнать что ваучер не валидный?

Вариант1: залезть в код странички и дописать вывод ошибки с текстом на ввод использованного ваучера... Вариант2: наклеить на номерок на ваучере скретч-наклейку подходящего размера, ваучер со стертым скретч-слоем - использованный ваучер Про Вариант1 можно поподробнее? Какая страница за это отвечает? Вариант2 огонь! Спасибо! Хотелось бы совместить оба варианта.

Всем привет! Возник следующий вопрос: как "допилить" систему выдачи ваучеров, чтобы при вводе уже использованного одноразового ваучера, пользователю писалось о том, что данный ваучер уже был введен? Сейчас просто моргает экран после Send кода ваучера и ...всё... Система такая, что ваучеры выдаются гостям, а те оставляют ваучеры после ввода и не выкидывают, другие пытаются снова ввести, ошибочно полагая, что это система не работает. была идея писать на ваучерах о их одноразовости, но это не особо поможет - человеческий фактор...

То бишь, я должен целиком положиться на софтописателей, принять как аксиому, что все их поделия используют криптостойкие алгоритмы шифрования? Нет уж, я лучше зашифрую тоннель целиком и буду спать спокойно (относительно конечно) Кстати, всегда интересовал вопрос: как можно проверить что твой туннель зашифрован. Что там в wireshark-е изменится?

Оно? Потом отпишитесь, опупея закончилась или нет. Пока вижу существенное улучшение по скорости. OSPF пока не завелся, подожду до выходных - буду тесты гонять сначала с одним провайдером, затем с двумя. http://prntscr.com/eve8vy всем спасибо!

2 дефолтных роута с разной метрикой (10 и 20). Шлюзы настроены рекурсивно, каждый ип гугла пингуется со своего шлюза провайдера. Как в этой статье: https://vasilevkirill.com/MikroTik/1/ искать по строке "8.8.8.8 recursive via 1.1.1.1" Снаружи доступны все 2 провайдера, интернетные интерфейсы объединены в правилах firewall под одной группой. В mangle настроены правила приема пакетов (если пакет пришел с ether1 то уйдет с него же). Это была подготовка для балансировки каналов. С использованием PCC или ECMP, но сейчас идет тупо работа пользователей через один канал, если он падает, то инет идет через второго провайдера с метрикой 20. Туннели идут через между внешними интерфейсами нужных провайдеров. Кажется, понял, нашел ошибку - сделал еще роуты до нужных провайдеров с нужных провайдеров. Например, СПБ: Доступ на Провайдер4 через шлюз Провайдера2, раньше непонятно как он шел, возможно даже через Провайдера1. Спасибо за указание ошибки.

Схема: Роуты СПБ: /ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S ;;; ether1 dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=1 scope=30 target-scope=10 routing-mark=Avelacom 1 S ;;; , dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=2 scope=30 target-scope=10 routing-mark=Avelacom 2 A S ;;; ether2 dst-address=0.0.0.0/0 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=1 scope=30 target-scope=10 routing-mark=Obit 3 S ;;; , dst-address=0.0.0.0/0 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=2 scope=30 target-scope=10 routing-mark=Obit 4 A S ;;; EOIP1 dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP1 5 A S ;;; EOIP2 dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 reachable via eoip2 check-gateway=arp distance=1 scope=30 target-scope=10 routing-mark=to-EOIP2 6 A S ;;; ( 2 ) dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 95.143.X.XX ether1 check-gateway=ping distance=10 scope=30 target-scope=10 7 S ;;; ( 2 ) dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 95.161.XXX.XXX ether2 check-gateway=ping distance=20 scope=30 target-scope=10 8 A S ;;; ( ) dst-address=8.8.4.4/32 gateway=95.161.XXX.XXX gateway-status=95.161.XXX.XXX reachable via ether2 distance=1 scope=10 target-scope=10 9 A S ;;; ( ) dst-address=8.8.8.8/32 gateway=95.143.X.XX gateway-status=95.143.X.XX reachable via ether1 distance=1 scope=10 target-scope=10 10 ADC dst-address=10.10.1.0/24 pref-src=10.10.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 11 ADC dst-address=10.10.2.0/24 pref-src=10.10.2.2 gateway=eoip1 gateway-status=eoip1 reachable distance=0 scope=10 12 ADC dst-address=10.10.3.0/24 pref-src=10.10.3.2 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 13 ADC dst-address=95.143.4.76/30 pref-src=95.143.X.XX gateway=ether1 gateway-status=ether1 reachable distance=0 scope=10 14 ADC dst-address=95.161.177.132/30 pref-src=95.161.XXX.XXX gateway=ether2 gateway-status=ether2 reachable distance=0 scope=10 15 X S ;;; EOIP1 ( ) dst-address=192.168.0.0/23 gateway=10.10.2.1 gateway-status=10.10.2.1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 16 X S ;;; EOIP2 ( ) dst-address=192.168.0.0/23 gateway=10.10.3.1 gateway-status=10.10.3.1 inactive check-gateway=arp distance=2 scope=30 target-scope=10 17 A S ;;; EOIP1 ( SPB VPN) dst-address=192.168.6.0/24 gateway=10.10.2.1 gateway-status=10.10.2.1 reachable via eoip1 check-gateway=arp distance=1 scope=30 target-scope=10 Роуты МСК: /ip route print detail Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 0 A S ;;; 2ProvRecurse ( Starlink Starlink ether1-wan1) dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Starlink 1 S ;;; 2ProvRecurse ( Starlink, to-Starlink Toptelecom) dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Starlink 2 A S ;;; PCC EoIP dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 reachable via eoip2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun2 3 A S ;;; PCC EoIP dst-address=10.10.1.0/24 gateway=10.10.2.2 gateway-status=10.10.2.2 reachable via eoip1 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=toSPB_tun1 4 A S ;;; 2ProvRecurse ( Toptelecom Toptelecom ether2-wan2) dst-address=0.0.0.0/0 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 check-gateway=ping distance=1 scope=30 target-scope=10 routing-mark=Toptelecom 5 S ;;; 2ProvRecurse ( Toptelecom, to-Toptelecom Starlink) dst-address=0.0.0.0/0 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 check-gateway=ping distance=2 scope=30 target-scope=10 routing-mark=Toptelecom 6 A S ;;; ( ) dst-address=0.0.0.0/0 gateway=8.8.8.8 gateway-status=8.8.8.8 recursive via 77.50.XXX.1 ether1-wan1 check-gateway=ping distance=10 scope=30 target-scope=30 7 S ;;; ( ) dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 176.192.XX.XXX ether2-wan2 check-gateway=ping distance=20 scope=30 target-scope=30 8 A S ;;; 2ProvRecurse ( 8.8.4.4 Toptelecom , ) dst-address=8.8.4.4/32 gateway=176.192.XX.XXX gateway-status=176.192.XX.XXX reachable via ether2-wan2 distance=1 scope=10 target-scope=10 9 A S ;;; 2ProvRecurse ( 8.8.8.8 Starlink , ) dst-address=8.8.8.8/32 gateway=77.50.XXX.1 gateway-status=77.50.XXX.1 reachable via ether1-wan1 distance=1 scope=10 target-scope=10 10 X S ;;; ( 0) dst-address=10.10.1.0/24 gateway=10.10.3.2 gateway-status=10.10.3.2 inactive check-gateway=arp distance=2 scope=30 target-scope=10 11 X S ;;; dst-address=10.10.1.0/24 gateway=eoip1 gateway-status=eoip1 inactive check-gateway=arp distance=1 scope=30 target-scope=10 12 ADC dst-address=10.10.2.0/24 pref-src=10.10.2.1 gateway=eoip2 gateway-status=eoip1 reachable distance=0 scope=10 13 ADC dst-address=10.10.3.0/24 pref-src=10.10.3.1 gateway=eoip2 gateway-status=eoip2 reachable distance=0 scope=10 14 ADC dst-address=77.50.XXX.0/24 pref-src=77.50.XXX.86 gateway=ether1-wan1 gateway-status=ether1-wan1 reachable distance=0 scope=10 15 ADC dst-address=176.192.XX.XXX/29 pref-src=176.192.XX.XXX gateway=ether2-wan2 gateway-status=ether2-wan2 reachable distance=0 scope=10 16 ADC dst-address=192.168.0.0/23 pref-src=192.168.1.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 17 ADC dst-address=192.168.4.0/24 pref-src=192.168.4.11 gateway=bridge1 gateway-status=bridge1 reachable distance=0 scope=10 Я делал и через backbone и отдельные зоны называл. Падает СПБ EOIP1. Про default-originate я не в курсе если честно на mikrotik-ах.

Туннели сами по себе по дефолтным настройкам очень стабильны. Никогда не падали. Падёж начинается только при OSPF. Добавляю подсеть туннеля 10.10.2.0/24 с двух сторон в OSPF-Networks и на СПБ роутере начинается отвал через 10-20 сек. А ведь даже еще не дошел до добавления подсети офисов.

http://prntscr.com/ev1dic да, есть.

Жесть какая Что это может быть? Куда копать?

Спасибо, сделал. Особой разницы пока не заметил. http://prntscr.com/ev0d5y http://prntscr.com/ev0dbb Добавил еще на двух туннелях PCC, соединения разделяются 50 на 50 по одному и второму. Пока нагрузка равномерная, но скорость все равно хромает. То в одном направлении, то в другом. К сожалению, не владею ни цисками ни знаниями по ним. Но за совет спасибо!

Это как? Например, на СПБ роутере прописать прямой IP МСК роутера к подсети МСК? Спасибо, почитаю. Играюсь сегодня. Ставить разные на туннелях МТU? Или обязательно одинаковые на противоположных концах? У меня на любом туннеле (кроме SSTP)на СБП роутере сдыхает туннель без конца: http://prntscr.com/euznmm http://prntscr.com/euznqj на МСК держит, не падает. Сравнивал настройки - не могу понять в чем дело. МТU одинаковые на бридже, туннеле. Прошивка одинаковая.

Извиняюсь за глупый вопрос: а где искать L2TPv3 в микротике? Очень куцая инфа в гугле

Расскажите пожалуйста чайнику, как прокол выбора маршрутов влияет на скорость линка? MetrS L2TPv3 ethernet pseudowire? Или L2TP клиент-серверный? Опыт использования говорит в пользу L2TPv3, который дает L2 поверх L3. Ethernet pseudowire без соединений, динамическая маршрутизация работает нормально, link-detect всегда считает, что тунельный интерфейс в состоянии UP, реальная связь там не важна, соединение всегда отваливается по "dead interval" Как вариант, с помощью статических маршрутов можно прибить гвоздями каждый тунель к конкретному провайдеру. Работа openvpn поверх tcp позволяет компенсировать небольшие потери трафика в канале, но сильно просаживает скорость. На тилеровских процессорах свежие ядра ведут себя странно, спонтанные падения на девките под нагрузкой, причина пока не ясна, возможно, вешается матрица ускорения фильтрации и маршрутизации трафика. По работе их ковыряю. Кристалл топовый. Для своих я забил на мудохание с микротиками и сделал самосборы на младших атомах с загрузочной флешкой с минимальным образом линукса, собранным cross-emerge'ем. Пропускная способность - 162~164Kpps без тунелирования. Для справки: Cisco 2821 не менее 100Kpps, до 128Kpps без тунелей в зависимости от фазы луны. Пускать встроенные в микротики тестеры скорости занятие неблагодарное: поскольку это софтроутер, то разница между замерами "изнутри" и под внешней нагрузкой сильно различается. Я привел свои цифры под внешней нагрузкой, RFC2544, генератор Spirent SPT-N4U c двумя платами по 12 гигабитных комбо портов. L2TP клиент-серверный

Может что-то не так? Тип сети OSPF вообще менять не надо, там все само определяется и исправно работает. Обрывы происходят по какой-то другой причине - например нарушение очередности следования пакетов. L2TP поверх интернета работает быстрее, чем EoIP поверх интернета. Отваливается туннель только на одном роутере, в СПБ. В МСК все чисто по логам. Не победил пока. В инетах пишут что дублируются маршруты, поэтому и валится туннель. Тестил разные провайдеры, МТU... не помогло. Сегодня продолжаю изыскания. L2TP также отваливалось с OSPF как и EOIP, а также отваливается при добавлении статичного роута. Я тестил напрямую до сервера, выносил его голой ж... мордой в интернет - скорость была на уровне скорости интернет-канала, а значит дело в криво настроенных туннелях или специфике работы в микротике.

Получилось настроить OSPF через SSTP, маршрутами обменивается без падения. Скорость ужасная - 10-20 мегабит. В любую сторону. Делится при 2 потоках. В общем, остаюсь пока на EOIP.

Ага простое такое сравнение туннелей=) Ставьте L2TP и все будет отлично работать. Для маршрутизации нужно OSPF использовать - с ним скорость будет самая высокая. Однако если есть задержка на линке, а файлы копируются виндой в один поток - высоких скоростей не будет. Есть проблема с OSPF через EOIP и L2tp: падает линк если тип сети не nbma. Измучился. Маршруты на секунду появляются, затем в логах ospfv2 neighbor state change from full to down, туннель передергивается. Курю эту проблему. МСК-СПБ btest между микротиками tcp 83 мегабита, а через проводник 20-25 мегабит СПБ-МСК btest между микротиками tcp 80 мегабит, через проводник 70-80 мегабит ситуация одинаковая на всех 4 провайдерах и 2 туннелях. Скорость делится пополам :( при запуске 2 потоков.

Ага простое такое сравнение туннелей=) Ставьте L2TP и все будет отлично работать. Для маршрутизации нужно OSPF использовать - с ним скорость будет самая высокая. Однако если есть задержка на линке, а файлы копируются виндой в один поток - высоких скоростей не будет. Можно ли как-то исправить ситуацию и поправить копирование в один поток? Пробовал копировать не через туннель, выносил компьютер в МСК офисе в DMZ - копировал с СПБ на него в шару на уровне 10 мегабайт в секунду. Значит венда не причем? тупо туннель? В любом случае, попробую OSPF over EoIP и L2TP с OSPF, спасибо!

Какие цифры приемлемы?