shaper Posted October 31, 2017 · Report post вышестоящий провайдер выделил белую подсеть ХХХ.ХХХ.122.192/27, шлюз сети ХХХ.ХХХ.122.193 у провайдера. задача: пробросить сквозь микротик пользователям подсети 10.0.122.192/27 один к одному. На роутере мониторить полосу, трафик и возможность блокировки по каждому белому IP. сделано: 1. IP-Adresess на внешем интерфейсе повесил все адреса: ХХХ.ХХХ.122.194 - ХХХ.ХХХ.122.222 - 28 штук 2. IP-Adresess на внутреннем интерфейсе ( шлюз 10.0.122.193 и подсеть 10.0.122.192/27) 3. IP-firewall-NAT сделал два правила netmap между сетями 1:1 4. IP-Routes прописал маршрут все работает. Вопросы: 1. на какой сети резать скорость: внутренней или внешней? 2. каким образом лучше блокировать трафик? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted October 31, 2017 · Report post 1. Входящий на внешнем, исходящий на внутреннем ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted October 31, 2017 · Report post 18 минут назад, EDA_SPB сказал: 1. Входящий на внешнем, исходящий на внутреннем ;) т.е надо создавать две записи в Queues на канал? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted October 31, 2017 · Report post Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 1, 2017 · Report post 16 часов назад, Saab95 сказал: Ваша задача в корне не верная. Если провайдер выделил белую сеть, то можно раздать ее напрямую абонентам. А провайдера просите смаршрутизировать ее вам на IP роутера, если он это не может, то анонсите ему адреса через прокси-арп. Тогда все прозрачно и нет проблем с шейперами - абоненты у себя видят белые адреса напрямую и никакой нат не нужен. 1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал. 2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted November 2, 2017 · Report post Послушайте Сааба, дайте пользователям белые адреса, а остальные вопросы - по мере поступления решайте... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted November 2, 2017 · Report post В 31.10.2017 в 20:57, shaper сказал: т.е надо создавать две записи в Queues на канал? /queue type add kind=pcq name=pcq_40_down pcq-classifier=dst-address \ pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \ pcq-total-limit=64000 add kind=pcq name=pcq_40_up pcq-classifier=src-address \ pcq-dst-address6-mask=64 pcq-rate=41M pcq-src-address6-mask=64 \ pcq-total-limit=64000 add kind=pcq name=pcq_55_down pcq-classifier=dst-address \ pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \ pcq-total-limit=64000 add kind=pcq name=pcq_55_up pcq-classifier=src-address \ pcq-dst-address6-mask=64 pcq-rate=57M pcq-src-address6-mask=64 \ pcq-total-limit=64000 /queue tree add name=Total_download parent=global-out priority=1 add name=Total_upload parent=global-out priority=1 add name=queue_40_up packet-mark=mark_40_up parent=Total_upload \ priority=1 queue=pcq_40_up add name=queue_40_down packet-mark=mark_40_down parent=\ Total_download priority=1 queue=pcq_40_down add name=queue_55_up packet-mark=mark_55_up parent=Total_upload \ priority=1 queue=pcq_55_up add name=queue_55_down packet-mark=mark_55_down parent=\ Total_download priority=1 queue=pcq_55_down /ip firewall address-list add address=10.10.1.1 list=list_40 add address=10.10.1.2 list=list_40 add address=10.10.1.3 list=list_55 add address=10.10.1.4 list=list_55 /ip firewall mangle add action=mark-packet chain=forward comment=list_40_up \ new-packet-mark=mark_40_up passthrough=no src-address-list=\ list_40 add action=mark-packet chain=forward comment=list_40_down \ dst-address-list=list_40 new-packet-mark=mark_40_down \ passthrough=no add action=mark-packet chain=forward comment=list_55_up \ new-packet-mark=mark_55_up passthrough=no src-address-list=\ list_55 add action=mark-packet chain=forward comment=list_55_down \ dst-address-list=list_55 new-packet-mark=mark_55_down \ passthrough=no Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 3, 2017 · Report post В 01.11.2017 в 16:58, shaper сказал: 1. дело в том, что для этой пачки адресов провом ограничена скорость. Поэтому мне необходимо назначить каждому IP свою скорость, чтобы какой-нибудь юзер на своем IP не положил весь канал. 2. и, в случае генерации исходящего трафика (вирус словил и пр) необходима блокировка трафика. 1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу. 2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен. Если стоит задача просто дать всем любую скорость, но что бы кто-то один не забрал весь канал так еще проще - создаете одно простое правило, указав в нем подсеть, которую выдал провайдер. Сделаете ей тип шейпера PCQ с классификаторами по адресу абонента, естественно буфера побольше. Лучше сделать 2 правила PCQ, одно на исходящий, второе на входящий, тогда можно указать соответственно адрес источника и адрес назначения, что бы правило ограничивало трафик только по IP абоненту, а не по связки IP абонента и IP сервера в интернете. А всякие там деревья очередей уже отжили себя. Т.к. на больших объемах трафика, более 1гб, создают большую нагрузку на оборудование, да и не очень удобно управлять трафиком, то есть нет возможности изменять скорости индивидуально по разным критериям, обязательно нужно трафик маркировать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted November 3, 2017 · Report post 54 минуты назад, Saab95 сказал: нет возможности изменять скорости индивидуально по разным критериям а это как? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 3, 2017 · Report post 19 часов назад, maxkst сказал: Послушайте Сааба, дайте пользователям белые адреса, а остальные вопросы - по мере поступления решайте... не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 3, 2017 · Report post 8 часов назад, Saab95 сказал: 1. Так раздаете абонентам белые адреса, на микротике создаете простое правило шейпера, где указываете его IP и ограничение скорости на прием/передачу. 2. В этом случае создаете правило блокировки, где на вкладке advanced указываете src-address-list, в него и помещаете белые IP тех, кому доступ должен быть запрещен. 1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил. 2. Да. сделал через адрес-лист. "Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 7, 2017 · Report post В 03.11.2017 в 11:54, sheft сказал: а это как? Допустим при деревьях очередей жестко задаются скорости каждой тарифной группы. То есть имея скорости 5М, 10М и 50М, можно только перекидывать абонентов между группами, либо менять скорость всей группе сразу. Если нужно одному абоненту указать отличную от имеющихся скоростей - требуется создать еще одну группу с нужной скоростью. Когда скорость ограничивается простыми правилами, можно любому абоненту указать какую угодно скорость, при этом не требуется более ничего изменять в других настройках. Вообще с такими проблемами сталкиваются в больших сетях, когда абонентов более 1000 хотя бы. Если смотреть по настройкам вида кривые инструкции, в таких случаях требуется 1000 разрешающих правил файрвола на доступ, 1000 правил манглов. В 03.11.2017 в 20:05, shaper сказал: 1. оставил НАТ. Я просил совета, как лучше резать скорость. Проще и изящнее. Создал правило шейпера на внутреннем адреса на вход/выход - по одному правилу на IP - покритикуйте, если накосячил. 2. Да. сделал через адрес-лист. "Когда человек не понимает суть проблемы, он пытается много объяснять и пишет много формул, поняв же, оставляет всего одну" (Нильс Хенрик Давид Бор) Так вам и ответили. Что надо выдавать реальные адреса абонентам - это самое верное и правильное решение. Тут в плюсах и снижение нагрузки на оборудование, и простота отладки. Форум на то и есть, что бы направить на верный путь, а не подсказывать как забить гвоздь кирпичом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 7, 2017 · Report post Благодарю всех за помощь и потраченное время. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted November 7, 2017 · Report post В 11/3/2017 в 11:47, shaper сказал: не хочу я давать им белые адреса. На оборудовании адреса прописываются статически. Вдруг мне надо будет сменить им маршрут - загнать в другой канал и пр. Нет возможности добраться до оборудования физически и по времени. Выдам белые - останусь без манёвра. Ну параллельно с белыми адресами из публичного влана выдайте еще и серые адреса из влана управления, не понял я суть фразы :остаться без маневра: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 8, 2017 · Report post 18 часов назад, maxkst сказал: Не понял я суть фразы :остаться без маневра: может понадобится передать адрес другому пользователю (естественно, забрать у предыдущего). Адреса прописаны на оборудовании статически. И доступа к нему может не быть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted November 8, 2017 · Report post dhcp же Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 9, 2017 · Report post 13 часов назад, myth сказал: dhcp же Ага, давно так делаем с временем аренды 5-10 минут. Тут и адрес всегда поменять можно, и отобрать. Выдача поштучно без потерь, хоть 0 адрес можно выдать, хоть 255. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 9, 2017 · Report post тут... до меня делали.... в пользовательском ВЛАНе аж ТРИ сети: белая и две серых. И пару неуправляемых железок посередине. Не готов пока разгребать. а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted November 9, 2017 · Report post никак. Адрес то будет выдаваться тот же самый Кроме того, есть статические записи для dhcp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 9, 2017 · Report post связка по маку? А как защитится от дубля? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted November 9, 2017 · Report post дубля чего? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 9, 2017 · Report post мака Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted November 9, 2017 · Report post никак. Равно как и со статическими адресами Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted November 9, 2017 · Report post а можно в одном ВЛАНе поднять два DHCP сервера для разных подсетей. На одном "прибить" связки MAC+IP, на другом - для "проходимцев", случайно поставивших получение адреса (с маршрутом на страничку "НИИИИЗЯ!!!!)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted November 9, 2017 · Report post Не надо поднимать два DHCP сервера, на микротике он может раздавать любые настройки - для этого в нетворках создаете записи для нужных сетей (шлюз там и т.п.) И основную оставляете раздачу серых адресов, на которые делаете перенаправление. А те, маки которых известны, просто забиваете их статикой и выдаете адреса из другого пула, например белых адресов. Однако самое правильное это управляемое оборудование поставить и сделать схему влан на абонента. 2 часа назад, shaper сказал: а если машинка в сети с терминальной сессией? как отразится на сеансе постоянная выдача адреса? Когда аренда заканчивается у абонента никто адрес не забирает, у него есть время на повторный запрос, вдруг по какой-то причине сервер не успеет ответить сразу. Поэтому никаких обрывов не происходит, а просто переподтверждение аренды. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...