Jump to content
Калькуляторы

Большая проблема с mangle у Mikrotik Неправильно метит пакеты

Микротик ccr-1036 (36, мать их, ядер), стоит четкое правило mangle forward tcp port 80 mark connection=InternetSurfTraffiс выше стоит еще одно правило метить весь трафик кроме трафика по порту tcp port 80 меткой AllTraffic. По факту происходит следующее - траффик по порту 80 метится и праавильной меткой, и неправильной меткой, бывает не метится вовсе (10% всего по 80 порту). Как побороть эту хрень, может я что-то не так делаю?

Share this post


Link to post
Share on other sites

замените на роутер

На что заменить? Вы хотите сказать эта штука, которая стоит 1000 баксов не справляется со своими обязанностями?

Share this post


Link to post
Share on other sites

0. Winbox → System → Package Посмотреть что-бы там не оказалось двух разных прошивок одновременно. Да,да "штука, которая стоит 1000 баксов" имеет такой забавный глюк. Если две прошивки одновременно - сделать uninstall любой прошивки на Ваш выбор.

1. Обновить или сделать downgrade до → http://download2.mikrotik.com/routeros/6.32.4/all_packages-tile-6.32.4.zip для начала.

2. Сбросить "к чертям" настройки с галкой "no default configuration".

3. Теперь настраивайте как Вам надо.

 

Как побороть эту хрень, может я что-то не так делаю?

 

Зачем Вам метить весь трафик?

 

Imho, надо сделать так:

1. Пометить весь трафик 80 (у вас не указано dst или src в вопросе.) Снять галку "Passthrough".

2. Весть оставшийся трафик и будет Ваш AllTraffic -80 port.

 

 

Избегайте любыми методами правил " правило метить весь трафик кроме трафика"

Share this post


Link to post
Share on other sites

Пробовал и ставить и убирать, пробовал в различных вариациях в течение 3х дней, ничего не получается

80 порт взял для примера, правила написаны в основном для игр и инернет серфинга, но абсолютное большинство пакетов метится неправильно, отчего не работает правильно ограничение скорости

/ip firewall mangle

add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \
   new-connection-mark=AllTraffic protocol=tcp
add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \
   new-connection-mark=AllTraffic protocol=udp
add action=mark-connection chain=forward comment=HTTPS disabled=yes dst-port=\
   443 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment="\CD\E5\EF\EE\ED\FF\F2\ED\FB\
   \E9, \ED\EE \F7\E0\F1\F2\EE \E8\F1\EF\EE\EB\FC\E7\F3\E5\EC\FB\E9 \EF\EE\F0\
   \F2" disabled=yes dst-port=5228 new-connection-mark=\
   VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=WorldOfTanks disabled=yes \
   dst-port=32800-32900 new-connection-mark=VeryHighPriorityTraffic \
   protocol=udp
add action=mark-connection chain=forward disabled=yes dst-port=20000-20020 \
   new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward disabled=yes dst-port=9290 \
   new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward disabled=yes dst-port=443 \
   new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward disabled=yes dst-port=4380 \
   new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward comment="DNS Request" disabled=yes \
   dst-port=53 new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward comment=PING disabled=yes \
   new-connection-mark=VeryHighPriorityTraffic protocol=icmp
add action=mark-connection chain=forward comment=HTTP-ALT disabled=yes \
   dst-port=8080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Counter-Strike disabled=yes \
   dst-port=27000-27100 new-connection-mark=VeryHighPriorityTraffic \
   protocol=udp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=5223,5100,2099,5938 new-connection-mark=VeryHighPriorityTraffic \
   protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \
   protocol=udp
add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\
   8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=HTTP disabled=yes dst-port=\
   80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \
   new-connection-mark=VeryHighPriorityTraffic src-address-list=\
   CLASS-A-SITES
add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \
   dst-address-list=CLASS-A-SITES new-connection-mark=\
   VeryHighPriorityTraffic
add action=mark-connection chain=forward comment="Limit Video Streaming" \
   disabled=yes layer7-protocol=Video new-connection-mark=\
   VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=GIF_FILE disabled=yes \
   layer7-protocol=GIF_FILE new-connection-mark=VeryHighPriorityTraffic
add action=mark-connection chain=forward comment=PNG_FILE disabled=yes \
   layer7-protocol=PNG_FILE new-connection-mark=VeryHighPriorityTraffic
add action=mark-connection chain=forward comment=SWF_FILE disabled=yes \
   layer7-protocol=SWF_FILE new-connection-mark=VeryHighPriorityTraffic
add action=mark-connection chain=forward comment=Skype disabled=yes \
   layer7-protocol=Skype new-connection-mark=VeryHighPriorityTraffic
add action=mark-connection chain=forward comment=PING disabled=yes \
   new-connection-mark=VeryHighPriorityTraffic protocol=icmp
add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic \
   disabled=yes new-packet-mark=VeryHighPriority passthrough=no
add action=mark-packet chain=forward connection-mark=InternetSurfTraffic \
   disabled=yes new-packet-mark=HighPriority
add action=mark-packet chain=forward connection-mark=AllTraffic disabled=yes \
   new-packet-mark=LowPriority

 

 

Heeelp Please((

Edited by madbed96

Share this post


Link to post
Share on other sites

"сделайте правильные настройки™", "поставьте более другую версию роутерос", "поставьте больше микротиков". на этом возможности диагностики и устранения проблем микротика заканчиаются.

Share this post


Link to post
Share on other sites

Тема висит два дня. Сааба не видно. Вот как я люблю такие моменты. Как только тема "хочу купить ASR", так сразу через 10 минут уже висит сообщение "возьмите семьдесят два микротика", а как "я уже взял и не работает элементарная классификация пакетов", так всё, тишина.

 

p.s. и она в другом разеделе, уже сделали для смертников отдельную камеру - http://forum.nag.ru/forum/index.php?showforum=73

Share this post


Link to post
Share on other sites

упростите конфиг для проверки

/ip firewall mangle

add action=mark-connection chain=forward comment=ALLTRAFFIC new-connection-mark=AllTraffic passthrough=yes

add action=mark-connection chain=forward comment=HTTP dst-port=80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp passthrough=yes

add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic new-packet-mark=VeryHighPriority passthrough=no

add action=mark-packet chain=forward connection-mark=AllTraffic new-packet-mark=LowPriority passthrough=no

и посмотрите на счетчик пакетов

 

И маркируя пакеты таким образом вы нормально не сможете сделать правильный шейпер в queue tree

Edited by Artur-t

Share this post


Link to post
Share on other sites

Не надо маркировать соединения, маркируйте пакеты и все заработает.

Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough?

Share this post


Link to post
Share on other sites

Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough?

 

Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил.

Share this post


Link to post
Share on other sites

Не надо маркировать соединения, маркируйте пакеты и все заработает.

Сделано

Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил.

В итоге получается, смотря на очередь, что низкоприоритетного траффика примерно 50-60 мегабит в секунду, когда высокоприоритетный не доходит до 5 мбит\с.

Вот конфа с тика

/ip firewall layer7-protocol
add name=Skype regexp="^..\\x02............."
add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$"
add name=rdp regexp="rdp\r\
   \nrdpdr.*cliprdr.*rdpsnd"
add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\
   0d -~]* http/[01]\\.[019]"
add name=GIF_FILE regexp=gif
add name=PNG_FILE regexp=png
add name=skype regexp="^..\\x02............."
add name=gif regexp="GIF8(7|9)a"
add name=jpeg regexp="\\xff\\xd8"
add name=Video regexp="[FC]WS[\\x01-\\x09]|FLV\\x01\\x05\\x09"
add name=SWF_FILE regexp=SWF
add name=Css regexp="^\\xff\\xff\\xff\\xff.*cstrikeCounter-Strike"
add name=torrentsites regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|ente\
   rtane|demonoid|btjunkie|mininova|flixflux|torren\\\r\
   \n    tz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zooz\
   le|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflu\\\r\
   \n    x|seedpeer|fenopy|gpirate|commonbits).*\\\$"


set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip firewall address-list
add address=10.1.0.0/16 list=allow_ip
add address=10.1.0.0/24 list=GROUP-A
add address=10.1.0.0/24 list=GROUP-B
add address=10.1.0.0/24 list=GROUP-D
add address=10.1.0.0/24 list=GROUP-C
add address=95.172.70.0/24 comment=League list=CLASS-A-SITES
add address=192.168.0.0/16 list=ShaperExclude
add address=87.240.128.0/18 comment=VK list=CLASS-A-SITES
add address=192.168.0.0/16 disabled=yes list=ShaperExclude
add address=93.186.224.0/21 comment=VK list=CLASS-A-SITES
add address=93.186.232.0/21 comment=VK list=CLASS-A-SITES
add address=95.142.192.0/20 comment=VK list=CLASS-A-SITES
add address=62.105.149.64/26 comment=Odnoklassniki list=CLASS-A-SITES
add address=81.176.227.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=81.177.30.0/25 comment=Odnoklassniki list=CLASS-A-SITES
add address=81.177.140.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=81.177.143.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=81.177.156.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=89.111.19.141 comment=Odnoklassniki list=CLASS-A-SITES
add address=89.249.18.249 comment=Odnoklassniki list=CLASS-A-SITES
add address=109.238.244.96/27 comment=Odnoklassniki list=CLASS-A-SITES
add address=195.68.188.128/25 comment=Odnoklassniki list=CLASS-A-SITES
add address=195.218.169.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=195.222.187.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=195.239.106.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=212.44.139.64/26 comment=Odnoklassniki list=CLASS-A-SITES
add address=213.33.198.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=176.113.48.224/28 list=testIP
add address=92.233.10.0/24 comment=League list=CLASS-A-SITES
add address=92.223.10.134 list=CLASS-A-SITES
add address=128.140.170.61 comment="Warface Game Server" list=CLASS-A-SITES
add address=178.22.91.201 comment="Warface Game Server" list=CLASS-A-SITES
add address=195.211.20.142 comment="Warface Game Server" list=CLASS-A-SITES
add address=172.217.0.0/16 comment=Youtube list=CLASS-A-SITES
add address=5.255.255.0/24 comment=Yandex list=CLASS-A-SITES
add address=217.20.147.0/24 comment=Odnoklassniki list=CLASS-A-SITES
add address=217.20.152.0/21 comment=Odnoklassniki list=CLASS-A-SITES
add address=92.223.10.123 comment=Tanki list=CLASS-A-SITES
add address=8.8.8.8 comment="Google DNS" list=CLASS-A-SITES
add address=92.223.8.0/24 comment=login.p1.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.32.0/22 comment=login.p2,5,7.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.0.0/22 comment=login.p3.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.38.0/23 comment=login.p4.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.4.0/22 comment=login.p6.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.8.0/22 comment=login.p6.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.12.0/23 comment=login.p6.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.14.0/24 comment=login.p6.worldoftanks.net list=\
   CLASS-A-SITES
add address=92.223.15.0/24 comment=login.p6.worldoftanks.net list=\
   CLASS-A-SITES


/ip firewall mangle
add action=mark-packet chain=forward comment=HTTP dst-port=80 \
   new-packet-mark=HighPriority passthrough=no protocol=tcp
add action=mark-packet chain=forward comment=HTTP dst-port=80 \
   new-packet-mark=HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward comment=HTTP-ALT dst-port=8080 \
   new-packet-mark=HighPriority passthrough=no protocol=tcp
add action=mark-packet chain=forward comment=HTTPS dst-port=443 \
   new-packet-mark=HighPriority passthrough=no protocol=tcp
add action=mark-packet chain=forward dst-port=443 new-packet-mark=\
   HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward comment=WorldOfTanks dst-port=\
   32800-32900 new-packet-mark=HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward dst-port=20000-20020 new-packet-mark=\
   HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward dst-port=9290 new-packet-mark=\
   HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward dst-port=4380 new-packet-mark=\
   HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward comment="DNS Request" dst-port=53 \
   new-packet-mark=HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward comment=PING new-packet-mark=\
   HighPriority passthrough=no protocol=icmp
add action=mark-packet chain=forward comment=Counter-Strike dst-port=\
   27000-27100 new-packet-mark=HighPriority passthrough=no protocol=udp
add action=mark-packet chain=forward comment=CLASS-A-SITES new-packet-mark=\
   HighPriority passthrough=no src-address-list=CLASS-A-SITES
add action=mark-packet chain=forward comment=CLASS-A-SITES dst-address-list=\
   CLASS-A-SITES new-packet-mark=HighPriority passthrough=no
add action=mark-packet chain=forward comment="Limit Video Streaming" \
   disabled=yes layer7-protocol=Video new-packet-mark=HighPriority \
   passthrough=no protocol=tcp
add action=mark-packet chain=forward comment=GIF_FILE disabled=yes \
   layer7-protocol=GIF_FILE new-packet-mark=HighPriority passthrough=no
add action=mark-packet chain=forward comment=PNG_FILE disabled=yes \
   layer7-protocol=PNG_FILE new-packet-mark=HighPriority passthrough=no
add action=mark-packet chain=forward comment=SWF_FILE disabled=yes \
   layer7-protocol=SWF_FILE new-packet-mark=HighPriority passthrough=no
add action=mark-packet chain=forward comment=Skype layer7-protocol=Skype \
   new-packet-mark=HighPriority passthrough=no
add action=mark-packet chain=forward comment=ALLTRAFFIC new-packet-mark=\
   LowPriority packet-mark=no-mark passthrough=no
add action=mark-packet chain=forward comment=ALLTRAFFIC disabled=yes \
   dst-port=!80,443,8080 new-packet-mark=LowPriority passthrough=no \
   protocol=udp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=5223,2099,5938 new-connection-mark=VeryHighPriorityTraffic \
   protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=5100 new-connection-mark=VeryHighPriorityTraffic protocol=udp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp
add action=mark-connection chain=forward comment=Warface disabled=yes \
   dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \
   protocol=udp
add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\
   8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp

/queue type
add kind=pfifo name="PackageQueue(2000)" pfifo-limit=2000
add bfifo-limit=400000000 kind=bfifo name="BytesQueue(400M)"
/queue tree
add limit-at=90M max-limit=95M name=DOWNLOAD parent=clients priority=1 queue=\
   "PackageQueue(2000)"
add name=VeryHighPriority packet-mark=HighPriority parent=DOWNLOAD priority=1 \
   queue="PackageQueue(2000)"
add limit-at=70M max-limit=72M name=LowPriority packet-mark=LowPriority \
   parent=DOWNLOAD queue="PackageQueue(2000)"

Share this post


Link to post
Share on other sites

У вас в конфиге много лишнего, на деле все эти приоритеты в таком виде не нужны, достаточно разбить трафик на порты 0-1000 и пустить по высокому приоритету, а выше по низкому. А можно просто установить тип буфера PCQ для всех, и трафик сам будет выравниваться в пределах своего потока. Если абоненты будут жаловаться на скорость, то надо расширять магистральные каналы, либо уменьшать тарифы, а не пытаться трафик маркировать и ставить приоритеты, т.к. большинство программ все равно будут использовать те порты, которые вы в приоритет не поставили, или наоборот, торренты начнут качать по высокоприоритетным потокам и т.п.

Share this post


Link to post
Share on other sites

Даже если из этого всего оставить только ВЭБ и и игровой трафик, он все равно не метитсЯ, отсмотрел несколько пользователей с полной загрузкой своего канала, люди смотрели фильмы, общая загрузка трафиком по 80 порту была порядка 30 Мбит/с, хотя в очереди на высокоприоритетный трафик загрузка опять же не доходила до 5.может есть способ как-то по другому резать торренты только в моменты полной загрузки нашего магистрального канала?

И я не очень понимаю, как pcq поможет в нашем случае?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.