Artur-t

упростите конфиг для проверки /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC new-connection-mark=AllTraffic passthrough=yes add action=mark-connection chain=forward comment=HTTP dst-port=80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp passthrough=yes add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=AllTraffic new-packet-mark=LowPriority passthrough=no и посмотрите на счетчик пакетов И маркируя пакеты таким образом вы нормально не сможете сделать правильный шейпер в queue tree

Huawei me60 умеет через virtual-ethernet

А вы по tcp тестили? Если да, попробуйте еще раз протестить с mss 1400 ради интереса.

The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device. Что бы стало еще легче :)

fasttrack-connection кажется появился начиная с версии прошивки 6,29 ? если не ошибаюсь Да, а в версии 6.33 убрали некоторые ограничение связанные с его использованием.

reinhard Когда будите делать понмните, что все что вы промаркеруете как fast-connection у вас работать только через main table.

reinhard Если у вас все по DHCP он провайдеров, то расказываю что можно сделать :) делаете проверку на доступнасть интерета внутри двух VRF дефолт для клиентов должен быть в main table (переключение скриптом в вашем случае, но можно из без него сделать это) и делаете в фаерволе 2 правила /ip fi fi add action=fasttrack-connection chain=forward connection-mark=no-mark connection-state=established,related disabled=yes routing-table=main src-address=192.168.0.0/16 (адреса абоненов которым нужен достув в интерент) /ip fi fi add add chain=forward connection-state=established,related нагрузка упадет значительно

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций. У вас соедение с провайдером через туннельный интерфейс?

Странное у вас представление о маршрутизаторе. Если вам на нем шейпить не надо то FastTrack отличная штука.

http://download2.mikrotik.com/news/news_65.pdf c FastTrack должен 200 прожевать легко

наименьший из всех костылей /ip route rule add src-address=y.y.y.y dst-address=x.x.x.x action=lookup-only-in-table table=vrf1 src-address=y.y.y.y dst-address=x.x.x.x адреса откуда и куда строится туннель

ну в вашем случае не понятно с какого src адреса трафик попадет в table isp1.inet.0 если я не ошибаюсь это будет lo0.0 если он будет c lo0.0 добавте lo.0 в группу trust предварительно повесив на него ip (127.0.0.1 не пойдет) проверить src можно так запустите ping 8.8.8.8 и в другом cli show security flow session protocol icmp destination-prefix 8.8.8.8 можно как вариант повесить instance-j на импорт статик роут src адрес у исходящего трафика будет как у интерфейса в сторону провайдера

самый простой вариант создайте lt интерфейс между inet.0 и любым из routing-instance и укажите в него дефолт http://www.juniper.net/documentation/en_US/junos14.2/topics/usage-guidelines/services-configuring-logical-tunnel-interfaces.html ну либо перелейте через rib group маршруты между routing-instances http://kb.juniper.net/InfoCenter/index?page=content&id=kb16133&actp=search

awax Ой не факт что на эту карзину Ростелеком покупал лицензию на ONT стороннего вендора. Если у них лицензии нету то максимум можно подключить 1 ONT не Хуавей и я сомневаюсь что вам это позволят. Если на эту карзину Ростелеком включает Делинки то все должно быть хорошо, но если в рекомендованом оборудовнии всего 2 позиции на них может быть эклюзивный софт и вам не позволят подключатся на другом типе оборудовании даже того же вендора.

Аксиома Эскобара в действии. Но у вас за Микротик большеплюсов. Цена дешевле, опыт есть, роутер не нужен.

Я когда это в первый раз увидел пошел RFC читать, думал меня глючит.

В начале Queue Tree затем Simple Queue

AbyssMoon Так вот, если приходить на белый IP первого провайдера (основной), то все работает, и доступ на микротик и nat правила работают, кидая пакеты в LAN. Если же приходить на белый IP второго ISP ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=193.169.***.*** dst-port=8080 ;;; web allow chain=dstnat action=dst-nat to-addresses=192.168.30.2 to-ports=80 protocol=tcp dst-address=10.244.***.*** dst-port=8080 Только вот на втором провайдере серые адреса.

Sergeylo http://www.stubarea51.net/2015/07/10/mikrotik-ccr1072-1g-8s-review-part-1-hardware-specs-and-design-use-cases/

uxcr Либо запрашивать у китайцев :), либо посмотреть на железке. Например для ME60 плата BSUF100 держит 4095999 значений в fib.

Как вариан еще есть Huawei ME60 с платой VSUF160 для ната.

rdntw Ну я не слово не писал про стабильность :) я написал что это самое красивое решение в данной ситуации. Я лично не тестил как TE работает на микротике. А так для данной схемы от ТЕ нужен самый базовый функционал, так что существует вероятность, что MT без проблем вытянет.

Вообще самое не кастыльное и правельное решение это TE. Делаете 2 тунеля по разным путям а дальше статикой балансите как душе угодно. http://mum.mikrotik.com/presentations/US11/us11-megis-lb.pdf (стр. 30) Если делать только через OSPF в голову приходит только 1 идея. Делаете 2 ospf инстанса и анонсируете 2 лупбэка (в каждом инстансе 1 линк + свой лупбэк). А дальше самое веселое :) Выставляем scope на 2 лупбэка. routing filter add action=accept set-scope=41 chain=ospf-i1-in pref=x.x.x.x/32 routing filter add action=accept set-scope=41 chain=ospf-i2-in pref=y.y.y.y/32 Дальше просто прописывает нужные подсети в эти лупбэки. что-то вроде: 10.0.0.0/24 via x.x.x.x 10.0.0.0/24 via x.x.x.x 10.0.0.0/24 via y.y.y.y Если 1 линк дохнет то рекурсивный маршрут просто пропадет из-за привил роут фильтра. Но TE красивее в данном случае :)

Очень плохо курили мануалы. Ospf решает задачу элементарно.

Не понятно что вы хотитие сделать :) Во первых, если вы пытаетесь фильтровать входящие маршруты по OSPF они не куда не денутся из LSDB и другие маршрутизаторы добавят эти маршруты себе в rib. Во вторых, если вы хотите не отдавать маршруты вам нужна цепочка out-filter. P.S. Только что опроверил правило in-filter в ospf все работает. routing add action=discard chain=test-in prefix=10.40.0.0/24 prefix-length=24 protocol=ospf