madbed96 Posted April 18, 2016 · Report post Микротик ccr-1036 (36, мать их, ядер), стоит четкое правило mangle forward tcp port 80 mark connection=InternetSurfTraffiс выше стоит еще одно правило метить весь трафик кроме трафика по порту tcp port 80 меткой AllTraffic. По факту происходит следующее - траффик по порту 80 метится и праавильной меткой, и неправильной меткой, бывает не метится вовсе (10% всего по 80 порту). Как побороть эту хрень, может я что-то не так делаю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 18, 2016 · Report post замените на роутер Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 19, 2016 · Report post замените на роутер На что заменить? Вы хотите сказать эта штука, которая стоит 1000 баксов не справляется со своими обязанностями? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted April 19, 2016 · Report post 0. Winbox → System → Package Посмотреть что-бы там не оказалось двух разных прошивок одновременно. Да,да "штука, которая стоит 1000 баксов" имеет такой забавный глюк. Если две прошивки одновременно - сделать uninstall любой прошивки на Ваш выбор. 1. Обновить или сделать downgrade до → http://download2.mikrotik.com/routeros/6.32.4/all_packages-tile-6.32.4.zip для начала. 2. Сбросить "к чертям" настройки с галкой "no default configuration". 3. Теперь настраивайте как Вам надо. Как побороть эту хрень, может я что-то не так делаю? Зачем Вам метить весь трафик? Imho, надо сделать так: 1. Пометить весь трафик 80 (у вас не указано dst или src в вопросе.) Снять галку "Passthrough". 2. Весть оставшийся трафик и будет Ваш AllTraffic -80 port. Избегайте любыми методами правил " правило метить весь трафик кроме трафика" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted April 19, 2016 · Report post в первом правиле стоит passthrough ??? подозреваю что стоит ) уберите ее Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 20, 2016 (edited) · Report post Пробовал и ставить и убирать, пробовал в различных вариациях в течение 3х дней, ничего не получается 80 порт взял для примера, правила написаны в основном для игр и инернет серфинга, но абсолютное большинство пакетов метится неправильно, отчего не работает правильно ограничение скорости /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \ new-connection-mark=AllTraffic protocol=tcp add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \ new-connection-mark=AllTraffic protocol=udp add action=mark-connection chain=forward comment=HTTPS disabled=yes dst-port=\ 443 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment="\CD\E5\EF\EE\ED\FF\F2\ED\FB\ \E9, \ED\EE \F7\E0\F1\F2\EE \E8\F1\EF\EE\EB\FC\E7\F3\E5\EC\FB\E9 \EF\EE\F0\ \F2" disabled=yes dst-port=5228 new-connection-mark=\ VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=WorldOfTanks disabled=yes \ dst-port=32800-32900 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=20000-20020 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=9290 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=443 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=4380 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment="DNS Request" disabled=yes \ dst-port=53 new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment=PING disabled=yes \ new-connection-mark=VeryHighPriorityTraffic protocol=icmp add action=mark-connection chain=forward comment=HTTP-ALT disabled=yes \ dst-port=8080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Counter-Strike disabled=yes \ dst-port=27000-27100 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5223,5100,2099,5938 new-connection-mark=VeryHighPriorityTraffic \ protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\ 8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=HTTP disabled=yes dst-port=\ 80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \ new-connection-mark=VeryHighPriorityTraffic src-address-list=\ CLASS-A-SITES add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \ dst-address-list=CLASS-A-SITES new-connection-mark=\ VeryHighPriorityTraffic add action=mark-connection chain=forward comment="Limit Video Streaming" \ disabled=yes layer7-protocol=Video new-connection-mark=\ VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=GIF_FILE disabled=yes \ layer7-protocol=GIF_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=PNG_FILE disabled=yes \ layer7-protocol=PNG_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=SWF_FILE disabled=yes \ layer7-protocol=SWF_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=Skype disabled=yes \ layer7-protocol=Skype new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=PING disabled=yes \ new-connection-mark=VeryHighPriorityTraffic protocol=icmp add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic \ disabled=yes new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=InternetSurfTraffic \ disabled=yes new-packet-mark=HighPriority add action=mark-packet chain=forward connection-mark=AllTraffic disabled=yes \ new-packet-mark=LowPriority Heeelp Please(( Edited April 20, 2016 by madbed96 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted April 20, 2016 · Report post "сделайте правильные настройки™", "поставьте более другую версию роутерос", "поставьте больше микротиков". на этом возможности диагностики и устранения проблем микротика заканчиаются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 20, 2016 · Report post Тема висит два дня. Сааба не видно. Вот как я люблю такие моменты. Как только тема "хочу купить ASR", так сразу через 10 минут уже висит сообщение "возьмите семьдесят два микротика", а как "я уже взял и не работает элементарная классификация пакетов", так всё, тишина. p.s. и она в другом разеделе, уже сделали для смертников отдельную камеру - http://forum.nag.ru/forum/index.php?showforum=73 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Artur-t Posted April 20, 2016 (edited) · Report post упростите конфиг для проверки /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC new-connection-mark=AllTraffic passthrough=yes add action=mark-connection chain=forward comment=HTTP dst-port=80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp passthrough=yes add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=AllTraffic new-packet-mark=LowPriority passthrough=no и посмотрите на счетчик пакетов И маркируя пакеты таким образом вы нормально не сможете сделать правильный шейпер в queue tree Edited April 20, 2016 by Artur-t Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2016 · Report post Не надо маркировать соединения, маркируйте пакеты и все заработает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 20, 2016 · Report post А можно темку в загончик переместить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 20, 2016 · Report post Не надо маркировать соединения, маркируйте пакеты и все заработает. Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2016 · Report post Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough? Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 22, 2016 · Report post Не надо маркировать соединения, маркируйте пакеты и все заработает. Сделано Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил. В итоге получается, смотря на очередь, что низкоприоритетного траффика примерно 50-60 мегабит в секунду, когда высокоприоритетный не доходит до 5 мбит\с. Вот конфа с тика /ip firewall layer7-protocol add name=Skype regexp="^..\\x02............." add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$" add name=rdp regexp="rdp\r\ \nrdpdr.*cliprdr.*rdpsnd" add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\ 0d -~]* http/[01]\\.[019]" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png add name=skype regexp="^..\\x02............." add name=gif regexp="GIF8(7|9)a" add name=jpeg regexp="\\xff\\xd8" add name=Video regexp="[FC]WS[\\x01-\\x09]|FLV\\x01\\x05\\x09" add name=SWF_FILE regexp=SWF add name=Css regexp="^\\xff\\xff\\xff\\xff.*cstrikeCounter-Strike" add name=torrentsites regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|ente\ rtane|demonoid|btjunkie|mininova|flixflux|torren\\\r\ \n tz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zooz\ le|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflu\\\r\ \n x|seedpeer|fenopy|gpirate|commonbits).*\\\$" set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall address-list add address=10.1.0.0/16 list=allow_ip add address=10.1.0.0/24 list=GROUP-A add address=10.1.0.0/24 list=GROUP-B add address=10.1.0.0/24 list=GROUP-D add address=10.1.0.0/24 list=GROUP-C add address=95.172.70.0/24 comment=League list=CLASS-A-SITES add address=192.168.0.0/16 list=ShaperExclude add address=87.240.128.0/18 comment=VK list=CLASS-A-SITES add address=192.168.0.0/16 disabled=yes list=ShaperExclude add address=93.186.224.0/21 comment=VK list=CLASS-A-SITES add address=93.186.232.0/21 comment=VK list=CLASS-A-SITES add address=95.142.192.0/20 comment=VK list=CLASS-A-SITES add address=62.105.149.64/26 comment=Odnoklassniki list=CLASS-A-SITES add address=81.176.227.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.30.0/25 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.140.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.143.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.156.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=89.111.19.141 comment=Odnoklassniki list=CLASS-A-SITES add address=89.249.18.249 comment=Odnoklassniki list=CLASS-A-SITES add address=109.238.244.96/27 comment=Odnoklassniki list=CLASS-A-SITES add address=195.68.188.128/25 comment=Odnoklassniki list=CLASS-A-SITES add address=195.218.169.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=195.222.187.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=195.239.106.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=212.44.139.64/26 comment=Odnoklassniki list=CLASS-A-SITES add address=213.33.198.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=176.113.48.224/28 list=testIP add address=92.233.10.0/24 comment=League list=CLASS-A-SITES add address=92.223.10.134 list=CLASS-A-SITES add address=128.140.170.61 comment="Warface Game Server" list=CLASS-A-SITES add address=178.22.91.201 comment="Warface Game Server" list=CLASS-A-SITES add address=195.211.20.142 comment="Warface Game Server" list=CLASS-A-SITES add address=172.217.0.0/16 comment=Youtube list=CLASS-A-SITES add address=5.255.255.0/24 comment=Yandex list=CLASS-A-SITES add address=217.20.147.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=217.20.152.0/21 comment=Odnoklassniki list=CLASS-A-SITES add address=92.223.10.123 comment=Tanki list=CLASS-A-SITES add address=8.8.8.8 comment="Google DNS" list=CLASS-A-SITES add address=92.223.8.0/24 comment=login.p1.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.32.0/22 comment=login.p2,5,7.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.0.0/22 comment=login.p3.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.38.0/23 comment=login.p4.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.4.0/22 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.8.0/22 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.12.0/23 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.14.0/24 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.15.0/24 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES /ip firewall mangle add action=mark-packet chain=forward comment=HTTP dst-port=80 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward comment=HTTP dst-port=80 \ new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=HTTP-ALT dst-port=8080 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward comment=HTTPS dst-port=443 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward dst-port=443 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=WorldOfTanks dst-port=\ 32800-32900 new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=20000-20020 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=9290 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=4380 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment="DNS Request" dst-port=53 \ new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=PING new-packet-mark=\ HighPriority passthrough=no protocol=icmp add action=mark-packet chain=forward comment=Counter-Strike dst-port=\ 27000-27100 new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=CLASS-A-SITES new-packet-mark=\ HighPriority passthrough=no src-address-list=CLASS-A-SITES add action=mark-packet chain=forward comment=CLASS-A-SITES dst-address-list=\ CLASS-A-SITES new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment="Limit Video Streaming" \ disabled=yes layer7-protocol=Video new-packet-mark=HighPriority \ passthrough=no protocol=tcp add action=mark-packet chain=forward comment=GIF_FILE disabled=yes \ layer7-protocol=GIF_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=PNG_FILE disabled=yes \ layer7-protocol=PNG_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=SWF_FILE disabled=yes \ layer7-protocol=SWF_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=Skype layer7-protocol=Skype \ new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=ALLTRAFFIC new-packet-mark=\ LowPriority packet-mark=no-mark passthrough=no add action=mark-packet chain=forward comment=ALLTRAFFIC disabled=yes \ dst-port=!80,443,8080 new-packet-mark=LowPriority passthrough=no \ protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5223,2099,5938 new-connection-mark=VeryHighPriorityTraffic \ protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5100 new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\ 8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp /queue type add kind=pfifo name="PackageQueue(2000)" pfifo-limit=2000 add bfifo-limit=400000000 kind=bfifo name="BytesQueue(400M)" /queue tree add limit-at=90M max-limit=95M name=DOWNLOAD parent=clients priority=1 queue=\ "PackageQueue(2000)" add name=VeryHighPriority packet-mark=HighPriority parent=DOWNLOAD priority=1 \ queue="PackageQueue(2000)" add limit-at=70M max-limit=72M name=LowPriority packet-mark=LowPriority \ parent=DOWNLOAD queue="PackageQueue(2000)" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 22, 2016 · Report post У вас в конфиге много лишнего, на деле все эти приоритеты в таком виде не нужны, достаточно разбить трафик на порты 0-1000 и пустить по высокому приоритету, а выше по низкому. А можно просто установить тип буфера PCQ для всех, и трафик сам будет выравниваться в пределах своего потока. Если абоненты будут жаловаться на скорость, то надо расширять магистральные каналы, либо уменьшать тарифы, а не пытаться трафик маркировать и ставить приоритеты, т.к. большинство программ все равно будут использовать те порты, которые вы в приоритет не поставили, или наоборот, торренты начнут качать по высокоприоритетным потокам и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 22, 2016 · Report post Даже если из этого всего оставить только ВЭБ и и игровой трафик, он все равно не метитсЯ, отсмотрел несколько пользователей с полной загрузкой своего канала, люди смотрели фильмы, общая загрузка трафиком по 80 порту была порядка 30 Мбит/с, хотя в очереди на высокоприоритетный трафик загрузка опять же не доходила до 5.может есть способ как-то по другому резать торренты только в моменты полной загрузки нашего магистрального канала? И я не очень понимаю, как pcq поможет в нашем случае? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 22, 2016 · Report post Лучше канал расширьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...