r1sh

я могу быть уверен только в том, что нет интернета) а почему именно его нет я не могу сказать, по этому задал вопрос на форуме:) В гугле выдаёт apn: internet.mts.ru user: mts pass: mts меня смущает, что если я сделаю Disable \ Enable интерфейса ppp-client то он пишет "disconnected" и в логе не видно чтобы он подключался.   ppp я настроил, привёл конфиг выше, не работает.

Добрый день. Возникла сложность с настройкой 4G модема от МТС на RB951, с Мегафоном проблем как-то не было... Конфа следующая: [admin@MikroTik] > /export # jan/02/1970 00:31:20 by RouterOS 6.44.3 # software id = JXEE-CCXP # # model = 951G-2HnD # serial number = 642E07E61CFA /interface wireless set [ find default-name=wlan1 ] ssid=MikroTik /interface lte apn set [ find default=yes ] apn=internet.mts.ru name=internet /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /port set 0 name=usb1 /interface ppp-client add apn=internet.mts.ru default-route-distance=2 dial-on-demand=no disabled=no \ info-channel=1 name=ppp-out1 password=mts phone=*99# port=usb1 user=mts /interface detect-internet set detect-interface-list=all Модем определяется: [admin@MikroTik] > /interface ppp-client info 0 modem-status: ready pin-status: no password required functionality: full manufacturer: OK model: E3372 revision: 21.315.01.00.143 serial-number: 861821038914807 current-operator: MTS RUS (cellid: ce6cd03, lac: 4471) imsi: 250014422217149 access-technology: Evolved 3G (LTE) signal-strengh: -69 dBm frame-error-rate: n/a Но видимо не подключается. Подскажите, что я делаю не так?

блин я в поле Network в IP\Addresses писал маску.....это фиаско) всё заработало, спасибо)

Добрый день. Один из наших офисов разместили на территории заказчика. Они дают нам статический IP из внутренней сети: 10.40.200.2/16 GW 10.40.0.1 На уровне физики это выглядит как патчкорд из патч-панели Прописываю настройки на ноутбуке , пингую 8.8.8.8 - всё отлично. Беру Микротик RB951G-2HnD, стираю конфиг, прописываю IP адрес 10.40.200.2/16 на ether1 В IP\Routing прописываю маршрут для 0.0.0.0 gw 10.40.0.1 - пишет gateway unreachable Если прописать маршрут для 10.40.0.0/16 gw ether1, то шлюз пингуется, но через шлюз Микротик пакеты не пересылает. При этом если от этого же шлюза получить IP адрес по DHCP - всё работает без проблем, как и на ноутбуке. Подскажите пожалуйста, в чем может быть проблема?

всем спасибо!) с проблемой разобрался)

у рдп есть локальный IP, между офисами ipsec туннели телефонию телефонисты тоже завернули через ipsec хотя сервак смотрит наружу с белым IP x_X

Звучит здраво, подскажите где можно почитать про грамотную реализацию PCQ? А если например 10 пользователей работают по Rdp и качают какие-то легкие Excel файлы на шару, допустим им нужно на всех вместе 4-5мб\с, плюс полоса под voip, допустим 0.5Мб\с , стабильно 1мб\с смотрит директор видеорегистратор а все остальное можно делить между торрентами и браузерами сотрудников. Т.е. важно не то чтобы у каждого была своя полоса, а чтобы она была в первую очередь на rdp и voip, а потом на всё остальное. А то сотрудник поставит качаться файл с яндекс-диска, попробует по rdp поработать, у него забита его полоса - он начнёт жаловаться мол так и так не могу работать, плохой интернет, такое может быть?

пользователей 20шт, в дальнейшем будет 30-35, понятное дело под 30-35 юзеров будем расширять канал, но проблема всё равно останется. PCQ я изначально делал, но это не работает, потому что когда два пользователя, например один пользователь занял 5-6мб\с, при этом кто-то звонит по IP телефонии и кто=то другой работает в 1С, еще директор запустил программу просмотра Видеонаблюдения с камер кто-то начал скачивать документацию под 200-300 метров с сервера по vpn туннелю и у пользователей начинаются "подтормаживания" как они выражаются. Я предположил что это связано с приоритетом обработки трафика. Чтобы торренты и браузеры обрабатывались в последнюю очередь а звук и rdp трафик в первую, после рабочего трафика типа icmp, snmp и winbox с ssh. Канал давно бы расширили, но в БЦ провайдер-монополист с конскими ценами на опту - 15к за 10мб\с По этому прежде чем расширять канал я решил собрать инфу о том какой тип трафика сколько потребляет от общей полосы и исходя из этого уже действовать дальше

вот это первое, что я проверил - нет, выключен

О, спасибо за поправку, теперь пакеты не попадают под него:) Вернее как, в ветке forward не попадают а в ветке prerouting попадают: 16:25:49 firewall,info UNMARKED prerouting: in:bridge out:(unknown 0), src-mac e0:d5:5e:4c:70:5e, proto TCP (ACK), 192.168.33.39:60923->151.236.74.7:443, NAT (192.168.33.39:60923->213.33.252.110:60923)->151.236.74.7:443, len 40 16:25:49 firewall,info UNMARKED prerouting: in:bridge out:(unknown 0), src-mac e0:d5:5e:4c:70:5e, proto TCP (ACK), 192.168.33.39:60923->151.236.74.7:443, NAT (192.168.33.39:60923->213.33.252.110:60923)->151.236.74.7:443, len 40 Я собственно почему начал исследовать это правило: я создал дерево, ограничил ширину канала для unmarked трафика до 1мб\с и мне начали жаловаться, что интернет тормозит, браузер сайты не открывает и тд и тп. При этом обьём данных, прошедший по маркировке Browsing - 2.3Гб, а по unmarked - 2.6Гб за сегодняшний день.

Обратил внимание, что пакеты TCP SYN маркируются а пакеты TCP с двумя флагами: ACK и FIN или ACK и RST.

Разобраться-разобрался но есть проблема)) Я в итоге пришёл к маркировке пакетов в Mangle и использованию tree. Но я столкнулся со следующей проблемой: Вmangle я маркирую исходящий трафик на 80 и 443 порт: add action=mark-connection chain=prerouting comment="Mark Web browser" dst-port=80,443 new-connection-mark=outside_web passthrough=yes protocol=tcp tcp-flags="" add action=mark-connection chain=prerouting dst-port=80,443 new-connection-mark=outside_web passthrough=yes protocol=udp tcp-flags="" add action=mark-connection chain=forward dst-port=80,443 new-connection-mark=outside_web passthrough=yes protocol=tcp tcp-flags="" add action=mark-connection chain=forward dst-port=80,443 new-connection-mark=outside_web passthrough=yes protocol=udp tcp-flags="" add action=mark-packet chain=prerouting connection-mark=outside_web new-packet-mark=outside_web_pck passthrough=no При этом я решил отловить трафик, который никак не промаркирован: add action=mark-packet chain=forward comment="All other" log=yes log-prefix=UNMARKED new-packet-mark=no_mark out-interface=ether1 packet-mark=no-mark passthrough=no src-address=192.168.33.0/24 В tree я создал родителя и два правила для трафика 80,443 и unmarked: /queue tree add max-limit=10M name="Total - rx" parent=global add name="Browser - rx" packet-mark=outside_web_pck parent="Total - rx" add name="Umarked - rx" packet-mark=no-mark parent="Total - rx" Но при этом я вижу в логе что пакеты на 443 порт не промаркированы: 11:01:00 firewall,info UNMARKED forward: in:bridge out:ether1, src-mac ac:9e:17:2f:83:18, proto TCP (ACK,FIN), 192.168.33.45:63200->78.46.57.120:443, len 40 11:01:00 firewall,info UNMARKED forward: in:bridge out:ether1, src-mac ac:9e:17:2f:83:18, proto TCP (ACK,RST), 192.168.33.45:63200->78.46.57.120:443, len 40 11:01:01 firewall,info UNMARKED forward: in:bridge out:ether1, src-mac 3c:2c:30:9e:e8:49, proto TCP (ACK,RST), 192.168.33.30:51957->138.201.36.251:80, len 40 11:01:01 firewall,info UNMARKED forward: in:bridge out:ether1, src-mac 3c:2c:30:9e:e8:49, proto TCP (ACK,RST), 192.168.33.30:51968->82.202.213.163:80, len 40 Подскажите, почему?

а, всё разобрался)

Теперь дошёл до QoS. Сначала я маркирую подключения, потом маркирую пакеты. И по маркировке пакетов уже выставляю и приоритет: /ip firewall mangle add action=mark-connection chain=prerouting comment="Mark To Server" dst-address-list=SERVERS dst-port=1541,1560-1590,3389,9100,139,445,22 new-connection-mark=servers_1C passthrough=yes protocol=tcp src-address=192.168.33.0/24 tcp-flags="" add action=mark-connection chain=prerouting dst-address-list=SERVERS dst-port=1541,1560-1590 new-connection-mark=servers_1C passthrough=yes protocol=udp src-address=192.168.33.0/24 add action=mark-packet chain=prerouting connection-mark=servers_1C new-packet-mark=servers_1C_pck passthrough=yes /queue simple add max-limit=10M/10M name=PARENT target=192.168.33.0/24 add name=Mark_Servers_1C packet-marks=servers_1C_pck parent=PARENT priority=2/2 target=192.168.33.0/2 add dst=192.168.10.0/24 limit-at=5M/5M max-limit=10M/10M name=to_servers parent=PARENT target=192.168.33.0/24 add max-limit=7M/7M name=to_all parent=PARENT queue=pcq-burst-upload/pcq-burst-download target=192.168.33.0/24 Но при этом в графе Traffic в свойствах очереди Mark_Servers_1C нет ни одного пакета. Что я делаю не так?)

В итоге сделал с родителем: add max-limit=20M/20M name=PARENT target=192.168.88.0/24 add dst=192.168.10.0/24 limit-at=10M/10M max-limit=20M/20M name=to_servers parent=PARENT target=192.168.88.0/24 add max-limit=20M/20M name=to_all parent=PARENT queue=pcq-burst-upload/pcq-burst-download target=192.168.88.0/24

У меня эт оне заработало, весь трафик шёл через child1, через child2 ничего не шло, что странно. Сработало вот это, пока смотрю насколько корректно: /queue simple add dst=192.168.10.0/24 limit-at=5M/5M max-limit=20M/20M name=SERVER target=192.168.88.0/24 add max-limit=20M/20M name=TOTAL target=192.168.88.0/24 Я правильно понимаю, что limit-at - означает гарантированную минимальную скорость трафика несмотря на занятость канала? а max-limit - верхний порг

благодарю за ответ) еще пока не понимаю как гарантированно зарезервировать пропускную способность для трафика по VPN. Нашёл статью https://wiki.mikrotik.com/wiki/Tips_and_Tricks_for_Beginners_and_Experienced_Users_of_RouterOS Можно ли это сделать таким способом? /queue simple add max-limit=20M/20M name=GLOBAL target=192.168.88.0/24 add dst=192.168.10.0/24 max-limit=10M/10M name=child1 parent=GLOBAL target=192.168.88.0/24 add name=child2 parent=GLOBAL target=192.168.88.0/24 Я так понимаю, сначала задаётся общий канал потом задаётся канал только для трафика от 192.168.88.0/24 до 192.168.10.0/24 потом задаётся "остальной" канал для 192.168.88.0/24

Решил начать с QoS, я так понимаю сначала нужно маркировать трафик в mangle потом в queue задать приоритет для маркированного трафика Нашёл несколько статей: https://wiki.mikrotik.com/wiki/Traffic_Priortization,_RouterOS_QoS_Implemetation https://habr.com/ru/post/330362/ Только в wiki пакеты маркируются в форварде а на хабре в прероутинге, я так понимаю логичнее это делать в пре-роутинге Потом задам для dst.ip определенную ширину канала

Добрый день. Есть офис, канал 10мб\с, работает 15 человек, в офисе стоит микротик RB2011UIAS-2HND-IN Есть сервер в цоде с RouterOS в виртуалке , канал 100мб\с Между ними ipsec site-to-site В офисе понятное дело, сотрудники что-то качают из интернетов, периодически забивают канал, видимо нынче 10мб\с - это архаизм, но так живём, что поделать. Подскажите, можно ли выделить для трафика ipsec гарантированную скорость 3-4мб\с и приоритет по трафику, а всему остальному трафику "во вне" сделать ограничение в 6-7мб\с ? Заранее благодарен.

Самый простой вариант, который я нашёл: Подключить к микротику lte-модем, к модему антенны crc9 или переходним crc9-sma male и уже к нему антенну. Но Wi-Fi антенну не подключить, видимо нужно выбирать: либо антенны Wi-Fi либо ipsec. Еще нашёл оборудование Termit, подскажите как оно по качеству?

Добрый день. Посоветуйте пожалуйста, есть ли железка, которая умеет: - Подключаться к интернету по LTE - Раздавать Wi-Fi - Маршрутизировать трафик (умеет nat, pat, routing) - Организовывать Ipsec туннели - Можно подключать внешние антенны для LTE - Можно подключать внешние антенны для Wi-Fi Для 10 пользователей. В идеале нужен универсальный комбайн, но можно организовать все это из нескольких устройств. В приоритете безотказная работа из серии "один раз настроил и забыл". Заранее благодарен за советы.

Добрый день! Пытаюсь настроить LTE модем Мегафон на данном девайсе. Сделал Enable интерфейса ppp-out1, в info интерфейса отображается информация о модеме: https://yadi.sk/i/iZJvlziQNM-YSg В routes добавил маршрут: /ip route add distance=1 gateway=ppp-out1 В правилах NAT добавил /ip firewall nat add action=masquerade chain=srcnat out-interface=ppp-out1 Но интернета нет а в правилах NAT вылазит сообщение "# ppp-out1 not ready" Если подключить модем напрямую в ноутбук интернет есть. Подскажите, что я делаю не так?

нет, консолью тоже не хочу. У нас 30 филлиалов, хочется красивое решение, с минимальным задействованием пользователей, только в случае факапа. tftp, как я написал, не кашерно вешать на свою локальную машину и выставлять наружу. А сервера у нас за циской ЦОДа и кол-во настроек там ограничено. Сейчас 21 век, разве нет никаких более красивых решений?

tftp не совсем кашерно делать проброс порта на мою локальную машину... версия софта Cisco Adaptive Security Appliance Software Version 9.2(4)20 Device Manager Version 7.7(1)150 sh доступно вариантов куча но по сути там всё сводится к тому, что либо нужно менять локально либо через tftp

Добрый день. Посоветуйте, можно ли как-то кашерно, без задействования пользователей дистанционно изменить IP и default gw для cisco asa 5505. я нахожусь за натом, на cisco захожу по внешнему ip. Я пробовал: через winscp скопировать конфиг - не получилось через pscp подключиться - выдаёт ошибку tclsh не запускается Какие еще могут быть варианты?