madbed96 Posted April 18, 2016 Микротик ccr-1036 (36, мать их, ядер), стоит четкое правило mangle forward tcp port 80 mark connection=InternetSurfTraffiс выше стоит еще одно правило метить весь трафик кроме трафика по порту tcp port 80 меткой AllTraffic. По факту происходит следующее - траффик по порту 80 метится и праавильной меткой, и неправильной меткой, бывает не метится вовсе (10% всего по 80 порту). Как побороть эту хрень, может я что-то не так делаю? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted April 18, 2016 замените на роутер Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 19, 2016 замените на роутер На что заменить? Вы хотите сказать эта штука, которая стоит 1000 баксов не справляется со своими обязанностями? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted April 19, 2016 0. Winbox → System → Package Посмотреть что-бы там не оказалось двух разных прошивок одновременно. Да,да "штука, которая стоит 1000 баксов" имеет такой забавный глюк. Если две прошивки одновременно - сделать uninstall любой прошивки на Ваш выбор. 1. Обновить или сделать downgrade до → http://download2.mikrotik.com/routeros/6.32.4/all_packages-tile-6.32.4.zip для начала. 2. Сбросить "к чертям" настройки с галкой "no default configuration". 3. Теперь настраивайте как Вам надо. Как побороть эту хрень, может я что-то не так делаю? Зачем Вам метить весь трафик? Imho, надо сделать так: 1. Пометить весь трафик 80 (у вас не указано dst или src в вопросе.) Снять галку "Passthrough". 2. Весть оставшийся трафик и будет Ваш AllTraffic -80 port. Избегайте любыми методами правил " правило метить весь трафик кроме трафика" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted April 19, 2016 в первом правиле стоит passthrough ??? подозреваю что стоит ) уберите ее Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 20, 2016 (edited) Пробовал и ставить и убирать, пробовал в различных вариациях в течение 3х дней, ничего не получается 80 порт взял для примера, правила написаны в основном для игр и инернет серфинга, но абсолютное большинство пакетов метится неправильно, отчего не работает правильно ограничение скорости /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \ new-connection-mark=AllTraffic protocol=tcp add action=mark-connection chain=forward comment=ALLTRAFFIC disabled=yes \ new-connection-mark=AllTraffic protocol=udp add action=mark-connection chain=forward comment=HTTPS disabled=yes dst-port=\ 443 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment="\CD\E5\EF\EE\ED\FF\F2\ED\FB\ \E9, \ED\EE \F7\E0\F1\F2\EE \E8\F1\EF\EE\EB\FC\E7\F3\E5\EC\FB\E9 \EF\EE\F0\ \F2" disabled=yes dst-port=5228 new-connection-mark=\ VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=WorldOfTanks disabled=yes \ dst-port=32800-32900 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=20000-20020 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=9290 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=443 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward disabled=yes dst-port=4380 \ new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment="DNS Request" disabled=yes \ dst-port=53 new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment=PING disabled=yes \ new-connection-mark=VeryHighPriorityTraffic protocol=icmp add action=mark-connection chain=forward comment=HTTP-ALT disabled=yes \ dst-port=8080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Counter-Strike disabled=yes \ dst-port=27000-27100 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5223,5100,2099,5938 new-connection-mark=VeryHighPriorityTraffic \ protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\ 8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=HTTP disabled=yes dst-port=\ 80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \ new-connection-mark=VeryHighPriorityTraffic src-address-list=\ CLASS-A-SITES add action=mark-connection chain=forward comment=CLASS-A-SITES disabled=yes \ dst-address-list=CLASS-A-SITES new-connection-mark=\ VeryHighPriorityTraffic add action=mark-connection chain=forward comment="Limit Video Streaming" \ disabled=yes layer7-protocol=Video new-connection-mark=\ VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=GIF_FILE disabled=yes \ layer7-protocol=GIF_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=PNG_FILE disabled=yes \ layer7-protocol=PNG_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=SWF_FILE disabled=yes \ layer7-protocol=SWF_FILE new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=Skype disabled=yes \ layer7-protocol=Skype new-connection-mark=VeryHighPriorityTraffic add action=mark-connection chain=forward comment=PING disabled=yes \ new-connection-mark=VeryHighPriorityTraffic protocol=icmp add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic \ disabled=yes new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=InternetSurfTraffic \ disabled=yes new-packet-mark=HighPriority add action=mark-packet chain=forward connection-mark=AllTraffic disabled=yes \ new-packet-mark=LowPriority Heeelp Please(( Edited April 20, 2016 by madbed96 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted April 20, 2016 "сделайте правильные настройки™", "поставьте более другую версию роутерос", "поставьте больше микротиков". на этом возможности диагностики и устранения проблем микротика заканчиаются. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vurd Posted April 20, 2016 Тема висит два дня. Сааба не видно. Вот как я люблю такие моменты. Как только тема "хочу купить ASR", так сразу через 10 минут уже висит сообщение "возьмите семьдесят два микротика", а как "я уже взял и не работает элементарная классификация пакетов", так всё, тишина. p.s. и она в другом разеделе, уже сделали для смертников отдельную камеру - http://forum.nag.ru/forum/index.php?showforum=73 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Artur-t Posted April 20, 2016 (edited) упростите конфиг для проверки /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC new-connection-mark=AllTraffic passthrough=yes add action=mark-connection chain=forward comment=HTTP dst-port=80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp passthrough=yes add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=AllTraffic new-packet-mark=LowPriority passthrough=no и посмотрите на счетчик пакетов И маркируя пакеты таким образом вы нормально не сможете сделать правильный шейпер в queue tree Edited April 20, 2016 by Artur-t Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2016 Не надо маркировать соединения, маркируйте пакеты и все заработает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted April 20, 2016 А можно темку в загончик переместить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 20, 2016 Не надо маркировать соединения, маркируйте пакеты и все заработает. Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2016 Я тоже предполагал сразу маркировать пакеты, но не прижилась почему-то эта мысль. А как быть с порядком маркировки и галочкой Passthrough? Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 22, 2016 Не надо маркировать соединения, маркируйте пакеты и все заработает. Сделано Вообще правила нужно располагать в правильном порядке и галочку Passthrough вообще не использовать. Если нужно отловить трафик на 80 порту, то нужно создать правило, которое берет нужный трафик и маркирует его, далее другое и до того момента, когда все что надо промаркируется, все что осталось это будет весь остальной трафик. После пары дней тестирования нужно посмотреть на счетчики и поместить те, которые больше всего вверх, что бы трафик сразу вылетал из цепочки правил. В итоге получается, смотря на очередь, что низкоприоритетного траффика примерно 50-60 мегабит в секунду, когда высокоприоритетный не доходит до 5 мбит\с. Вот конфа с тика /ip firewall layer7-protocol add name=Skype regexp="^..\\x02............." add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$" add name=rdp regexp="rdp\r\ \nrdpdr.*cliprdr.*rdpsnd" add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x\ 0d -~]* http/[01]\\.[019]" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png add name=skype regexp="^..\\x02............." add name=gif regexp="GIF8(7|9)a" add name=jpeg regexp="\\xff\\xd8" add name=Video regexp="[FC]WS[\\x01-\\x09]|FLV\\x01\\x05\\x09" add name=SWF_FILE regexp=SWF add name=Css regexp="^\\xff\\xff\\xff\\xff.*cstrikeCounter-Strike" add name=torrentsites regexp="^.*(get|GET).+(torrent|thepiratebay|isohunt|ente\ rtane|demonoid|btjunkie|mininova|flixflux|torren\\\r\ \n tz|vertor|h33t|btscene|bitunity|bittoxic|thunderbytes|entertane|zooz\ le|vcdq|bitnova|bitsoup|meganova|fulldls|btbot|flixflu\\\r\ \n x|seedpeer|fenopy|gpirate|commonbits).*\\\$" set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4 /ip firewall address-list add address=10.1.0.0/16 list=allow_ip add address=10.1.0.0/24 list=GROUP-A add address=10.1.0.0/24 list=GROUP-B add address=10.1.0.0/24 list=GROUP-D add address=10.1.0.0/24 list=GROUP-C add address=95.172.70.0/24 comment=League list=CLASS-A-SITES add address=192.168.0.0/16 list=ShaperExclude add address=87.240.128.0/18 comment=VK list=CLASS-A-SITES add address=192.168.0.0/16 disabled=yes list=ShaperExclude add address=93.186.224.0/21 comment=VK list=CLASS-A-SITES add address=93.186.232.0/21 comment=VK list=CLASS-A-SITES add address=95.142.192.0/20 comment=VK list=CLASS-A-SITES add address=62.105.149.64/26 comment=Odnoklassniki list=CLASS-A-SITES add address=81.176.227.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.30.0/25 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.140.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.143.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=81.177.156.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=89.111.19.141 comment=Odnoklassniki list=CLASS-A-SITES add address=89.249.18.249 comment=Odnoklassniki list=CLASS-A-SITES add address=109.238.244.96/27 comment=Odnoklassniki list=CLASS-A-SITES add address=195.68.188.128/25 comment=Odnoklassniki list=CLASS-A-SITES add address=195.218.169.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=195.222.187.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=195.239.106.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=212.44.139.64/26 comment=Odnoklassniki list=CLASS-A-SITES add address=213.33.198.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=176.113.48.224/28 list=testIP add address=92.233.10.0/24 comment=League list=CLASS-A-SITES add address=92.223.10.134 list=CLASS-A-SITES add address=128.140.170.61 comment="Warface Game Server" list=CLASS-A-SITES add address=178.22.91.201 comment="Warface Game Server" list=CLASS-A-SITES add address=195.211.20.142 comment="Warface Game Server" list=CLASS-A-SITES add address=172.217.0.0/16 comment=Youtube list=CLASS-A-SITES add address=5.255.255.0/24 comment=Yandex list=CLASS-A-SITES add address=217.20.147.0/24 comment=Odnoklassniki list=CLASS-A-SITES add address=217.20.152.0/21 comment=Odnoklassniki list=CLASS-A-SITES add address=92.223.10.123 comment=Tanki list=CLASS-A-SITES add address=8.8.8.8 comment="Google DNS" list=CLASS-A-SITES add address=92.223.8.0/24 comment=login.p1.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.32.0/22 comment=login.p2,5,7.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.0.0/22 comment=login.p3.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.38.0/23 comment=login.p4.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.4.0/22 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.8.0/22 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.12.0/23 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.14.0/24 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES add address=92.223.15.0/24 comment=login.p6.worldoftanks.net list=\ CLASS-A-SITES /ip firewall mangle add action=mark-packet chain=forward comment=HTTP dst-port=80 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward comment=HTTP dst-port=80 \ new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=HTTP-ALT dst-port=8080 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward comment=HTTPS dst-port=443 \ new-packet-mark=HighPriority passthrough=no protocol=tcp add action=mark-packet chain=forward dst-port=443 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=WorldOfTanks dst-port=\ 32800-32900 new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=20000-20020 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=9290 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward dst-port=4380 new-packet-mark=\ HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment="DNS Request" dst-port=53 \ new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=PING new-packet-mark=\ HighPriority passthrough=no protocol=icmp add action=mark-packet chain=forward comment=Counter-Strike dst-port=\ 27000-27100 new-packet-mark=HighPriority passthrough=no protocol=udp add action=mark-packet chain=forward comment=CLASS-A-SITES new-packet-mark=\ HighPriority passthrough=no src-address-list=CLASS-A-SITES add action=mark-packet chain=forward comment=CLASS-A-SITES dst-address-list=\ CLASS-A-SITES new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment="Limit Video Streaming" \ disabled=yes layer7-protocol=Video new-packet-mark=HighPriority \ passthrough=no protocol=tcp add action=mark-packet chain=forward comment=GIF_FILE disabled=yes \ layer7-protocol=GIF_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=PNG_FILE disabled=yes \ layer7-protocol=PNG_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=SWF_FILE disabled=yes \ layer7-protocol=SWF_FILE new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=Skype layer7-protocol=Skype \ new-packet-mark=HighPriority passthrough=no add action=mark-packet chain=forward comment=ALLTRAFFIC new-packet-mark=\ LowPriority packet-mark=no-mark passthrough=no add action=mark-packet chain=forward comment=ALLTRAFFIC disabled=yes \ dst-port=!80,443,8080 new-packet-mark=LowPriority passthrough=no \ protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5222 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5223,2099,5938 new-connection-mark=VeryHighPriorityTraffic \ protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=5100 new-connection-mark=VeryHighPriorityTraffic protocol=udp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9080 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=9081 new-connection-mark=VeryHighPriorityTraffic protocol=tcp add action=mark-connection chain=forward comment=Warface disabled=yes \ dst-port=60000-65000 new-connection-mark=VeryHighPriorityTraffic \ protocol=udp add action=mark-connection chain=forward comment=LoL disabled=yes dst-port=\ 8393-8400 new-connection-mark=VeryHighPriorityTraffic protocol=tcp /queue type add kind=pfifo name="PackageQueue(2000)" pfifo-limit=2000 add bfifo-limit=400000000 kind=bfifo name="BytesQueue(400M)" /queue tree add limit-at=90M max-limit=95M name=DOWNLOAD parent=clients priority=1 queue=\ "PackageQueue(2000)" add name=VeryHighPriority packet-mark=HighPriority parent=DOWNLOAD priority=1 \ queue="PackageQueue(2000)" add limit-at=70M max-limit=72M name=LowPriority packet-mark=LowPriority \ parent=DOWNLOAD queue="PackageQueue(2000)" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 22, 2016 У вас в конфиге много лишнего, на деле все эти приоритеты в таком виде не нужны, достаточно разбить трафик на порты 0-1000 и пустить по высокому приоритету, а выше по низкому. А можно просто установить тип буфера PCQ для всех, и трафик сам будет выравниваться в пределах своего потока. Если абоненты будут жаловаться на скорость, то надо расширять магистральные каналы, либо уменьшать тарифы, а не пытаться трафик маркировать и ставить приоритеты, т.к. большинство программ все равно будут использовать те порты, которые вы в приоритет не поставили, или наоборот, торренты начнут качать по высокоприоритетным потокам и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
madbed96 Posted April 22, 2016 Даже если из этого всего оставить только ВЭБ и и игровой трафик, он все равно не метитсЯ, отсмотрел несколько пользователей с полной загрузкой своего канала, люди смотрели фильмы, общая загрузка трафиком по 80 порту была порядка 30 Мбит/с, хотя в очереди на высокоприоритетный трафик загрузка опять же не доходила до 5.может есть способ как-то по другому резать торренты только в моменты полной загрузки нашего магистрального канала? И я не очень понимаю, как pcq поможет в нашем случае? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted April 22, 2016 Лучше канал расширьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...