Перейти к содержимому
Калькуляторы

Микротик и с чем его едят Описание, примеры, вопросы, трудности, с которыми придется столкнуться

Помогите решить проблему...

Я блокирую абонентов путем добавления в Address List "Blocked".

в NAT создано правило DSTNAT с адресом сервера со страницей блокировки...

Проблема в том, что при удалении IP адреса из Blocked листа - сохраняются

"established" соединения с сервером блокировки. Как следствие - при попытке

обновления страницы в браузере абонента - так же отображается страница блокировки.

Помогает только перезапуск браузера...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Используйте для переадресации на страничку web proxy

 

/ip firewall address-list
add address=10.10.10.10 list=balance_negative
/ip firewall filter
add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=balance_negative
/ip firewall nat
add action=redirect chain=dstnat dst-address=!10.0.0.0/8 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy
set enabled=yes port=8123
/ip proxy access
add action=deny redirect-to=10.0.0.10

 

Тут в конце адрес 10.0.0.10 - адрес сервера на который нужно переадресовывать, а внутренняя сеть 10.0.0.0/8.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

san1980

если частоты стандартного wifi то отвалилась по причине зашумленности - 99%

Изменено пользователем YuriyZhan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Saab95, супер, спасибо!

 

Теперь столкнулся с другой проблемой. У меня 3 белых IP из разных подсетей. Пытаюсь сделать проброс 80 порта на внутренний IP со всех внешних. Вот настройки:

/ip firewall address-list
add address=10.2.10.2 comment=Server list=client
/ip firewall filter
dd chain=input protocol=icmp
add chain=input comment=established connection-state=established
add chain=input comment=relared connection-state=related
add chain=forward comment=established connection-state=established
add chain=forward comment=relared connection-state=related
add action=drop chain=forward comment="default configuration" \
   connection-state=invalid
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark \
   in-interface=ether8-Main new-connection-mark=Main passthrough=no
add action=mark-routing chain=output connection-mark=Main \
   new-routing-mark=toMain passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
   in-interface=ether6-Reserv new-connection-mark=Reserv \
   passthrough=no
add action=mark-routing chain=output connection-mark=Reserv \
   new-routing-mark=toReserv passthrough=no
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether8-Main src-address-list=client
add action=masquerade chain=srcnat out-interface=ether6-Reserv src-address-list=client
add action=netmap chain=dstnat comment=WebServer connection-mark=Main \
   dst-port=80,222,443 in-interface=ether8-Main protocol=tcp \
   to-addresses=10.2.10.2
add action=netmap chain=dstnat comment=WebServer connection-mark=Reserv \
   dst-port=80,222,443 in-interface=ether6-Reserv protocol=tcp \
   to-addresses=10.2.10.2
/ip route
add check-gateway=ping distance=5 gateway=66.55.33.1 routing-mark=toMain
add check-gateway=ping distance=5 gateway=72.27.5.1 routing-mark=toReserv
add distance=1 gateway=66.55.33.1,72.27.5.1

 

Проблема совершенно мне не понятна... 2 белых IP: 66.55.33.21 и 72.27.5.21. Проверяю из разных мест. Закономерность такая: 1 IP работает, другой - нет. Со временем рабочий IP меняются (то по одному открываются то по второму)

 

Смотрю tcpdump на WebServer'e - запросы приходят и уходят:

16:07:37.671165 IP bill.chihpih.ru.29159 > 10.2.10.2.http: Flags , seq 387934355, win 65535, options [mss 1460], length 0

16:07:37.671249 IP 10.2.10.2.http > bill.chihpih.ru.29159: Flags [s.], seq 1029265372, ack 387934356, win 65535, options [mss 1460], length 0

 

Смотрю tcpdump на удаленном сервере, с которого обращаюсь - нет входящих пакетов:

16:06:02.155778 IP bill.chihpih.ru.43248 > 66.55.33.21.pool.tratata.ru.http: Flags , seq 231362447, win 65535, options [mss 1460], length 0

 

Целый день сижу - ничего не получается... Помогите, пожалуйста!

Изменено пользователем BlackSnow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Начните с того, что сделайте проброс по тому внешнему адресу, для которого вы не трогаете маршрут по умолчанию.

 

Вообще, если у вас несколько каналов от провайдера, выгоднее на каждый поставить по отдельному микротику - тогда внешний адрес будет только один и не возникнет проблем с доступом извне, соответственно НАТ на этих микротиках, а на центральном он уже не нужен - там можете сводить каналы и разделять по клиентам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все решилось настройкой отсюда: http://wiki.mikrotik.com/wiki/Manual:PCC (ECMP и NTH не подошли)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах?

 

Он усредняет данные в течении 5 минут. Соответственно запустите тест скорости минут на 15, что бы канал был загружен с постоянной скоростью, тогда увидите свои правильные цифры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Народ, подскажите, мож кто сталкивался.

В двух разных местах стоят два RB450G (680мгц).

В двух этих местах процы осбо не граужены.

И там и там вхъодящий линк через радио, и больше 100 мбит прокачивает.

 

Это напрямую в комп воткнуть, больше 100 прокачивает. А при включении NAT скорость упирается в 60 мбит. Ну, может 70.

Т. е. так вроде работает, и жалоб особо нет. Но если выключить все шейперы, то скорость со всех клиентов упиается в 60-70... и догрузка спидтестом не спасает. Нагрузки по PPS особой нет... В пределах нормы...

На одном прошивка 6.18, на другом 6.16.

Что может быть? RB450 такой слабенький? пробовать повышать/понижать прошивку?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отдельно без клиентов пробовали подключать свой компьютер, возможно у оператора ограничение на количество сессий или еще чего.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах?

 

Он усредняет данные в течении 5 минут. Соответственно запустите тест скорости минут на 15, что бы канал был загружен с постоянной скоростью, тогда увидите свои правильные цифры.

 

понял! Просто хотим пустить тест между двумя релейками оконеченными микротиками, в итоге получить график загрузки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отдельно без клиентов пробовали подключать свой компьютер, возможно у оператора ограничение на количество сессий или еще чего.

Ну, комп напрямую. Больше 100 мбит. Когда как, спидтест.нет до 150-ти показывает.

Через нат даже ночью, в 70 упирается.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня стоит 450g, через три ната и радио, дома поднимаю около 85 мбит. Прошивка 5.26

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

CCR1009-8G-1S - ГЛЮЧИЛ НА 6.18. Уходил в себя и помогал только ребут путем выдергивания провода питания.

Обновился до 6.22 - и получил еще больше глюков - НО хотя бы стал сам ребутаться.... но чаще)

nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut

down

nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu

re

nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut

down

nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu

re

nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut

down

nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu

re

 

Сегодня отправил автосуппорт.риф разрабам... погляжу что скажут.

 

У кого есть сей зверь и на какой прошивке у вас работает СТАБИЛЬНО?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

CCR1009-8G-1S - ГЛЮЧИЛ НА 6.18. Уходил в себя и помогал только ребут путем выдергивания провода питания.

Обновился до 6.22 - и получил еще больше глюков - НО хотя бы стал сам ребутаться.... но чаще)

 

У кого есть сей зверь и на какой прошивке у вас работает СТАБИЛЬНО?

 

Все микротики работают стабильно, проблемы у тех, кто его не правильно настроил, или использует не правильные схемы предоставления услуг.

 

Правильные схемы это PPPoE, IPoE.

Не правильные - привязка по маку, все вланы в центр и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, с каких это пор объединение вланов в мост или какие либо другие операции стали критично влиять на работу системы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Интересно, с каких это пор объединение вланов в мост или какие либо другие операции стали критично влиять на работу системы?

 

Ну так по ним может бегать мусорный трафик.

 

Один человек как-то писал на форуме, что у него стоит линк на SXT и иногда он отваливается, в него непосредственно была подключена локальная сеть с нескольких домов. После совета установить перед SXT другого микротика RB750 и разделения каналов с домов и подключения каждого к своему порту, отключаться стал только один порт, а остальное продолжало работать. Виновником оказался флудящий порт на коммутаторе.

 

Соответственно если у вас сеть на L3, то никакие флудящие порты не могут повлиять на ее работу. В случае L2, любой вредоносный трафик пойдет по всей сети через все устройства в центр, создавая различного рода проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все микротики работают стабильно, проблемы у тех, кто его не правильно настроил, или использует не правильные схемы предоставления услуг.

...

Правильные схемы это PPPoE, IPoE.

Не правильные - привязка по маку, все вланы в центр и т.п.

/me привязывает в DHCP по MAC-адресу отдельные офисные группы компов на каждого корпоративного клиента (в отдельной LAN с общим выходом через отдельный шлюз на отдельном порту -- и никак иначе). Юзерам удобно, все прозрачно и без проблем... а какие проблемы следует здесь ожидать? Сами поставят IP вручную? Флаг в руки, шлюз-то не увидят...

 

И еще делаю виртуальные радиоточки с бриджеванием на соответствующий порт -- для мобильных клиентов (ноуты, смартфоны, планшеты) соответствующего им офиса, тоже со статичной привязкой в DHCP по MAC, чтоб сразу в свою локалку попадали. Как правило на смартфонах адреса получаются автоматом, опять же удобно один раз вписать и больше не париться. И опять же -- у каждой виртуальной радиоточки шифрование и свой пароль -- чужие в локалку клиента не лезут, "светить" свои пароли им тоже нет резона.

 

И уже на отдельные IP с иерархией по группе LAN/клиента строятся простые очереди -- с ограничением скоростей каждому и всем суммарно. Удобно всех контролировать -- кто канал выжрал, кто на какой адрес попал и где засада -- в локалке или выше (IT-аутсорсинг, локальное администрирование тоже предлагаем).

 

Ну а если клиент скромничает и прячется за свой закрытый роутер -- законное право, но помочь разрулить можем лишь до его WAN-порта.

Изменено пользователем Ansy

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно сеть строить на управляемом оборудовании, что бы привязывать не к маку, а к порту. Например используя CRS, можно раскидать сеть 192.168.0.0/24 по его портам таким образом, что на каждом будет работать только один адрес, при это легко отделяется телефония, принтеры и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах?

как это правильно делать, т.е. чем отличается all rates fixed и card rates?

post-115647-070388300 1417254941_thumb.png

Изменено пользователем kinord

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах?

как это правильно делать, т.е. чем отличается all rates fixed и card rates?

 

Начать надо со сброса начальной конфигурации, настройки всех абонентов в WDS, уменьшении мощности до 18дбм и ниже (all rates fixed). Если у вас перекосы по поляризациям, то на базе нужно включить одноканальный режим, либо ограничить скрости по верхним, что бы оборудование зря на них не переключалось, т.к. в таких случаях получается ситуация - канальные скорости высокие, а из-за большого количества ошибок, реальная пропускная способность очень низкая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

уменьшении мощности до 18дбм и ниже (all rates fixed)

 

это сделано

 

Если у вас перекосы по поляризациям, то на базе нужно включить одноканальный режим

 

т.е. МИМО зарубить на корню? может поискать проблему в другом месте?

 

либо ограничить скрости по верхним

 

Можно на примере картинки (ниже) пояснить какие уровни нужно прикрутить? У меня на передачу от БС все хорошо с канальными скоростями, а вот на прием проседает.

post-115647-053204200 1417258539_thumb.png

Изменено пользователем kinord

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах?

как это правильно делать, т.е. чем отличается all rates fixed и card rates?

 

Во первых установите уровни мощности на удаленных клиентах таким образом, чтобы на своей базе по RX получить примерно -60dB

Затем нужно разобраться с двумя клиентами, которые по TX у вас высвечиваются как -68 и -79, т.е. либо они далеко расположены, либо нужно юстировать, в общем добиться на них хорошего сигнала по приему, не превышая при этом уровня TX на базе выше 20 dBm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Во первых установите уровни мощности на удаленных клиентах таким образом, чтобы на своей базе по RX получить примерно -60dB

 

А удаленно как сделать это не завалив СРЕ?

Нажимаю safe mode меняю мощность, при этом СРЕ меняет мощность, к безе цепляется, но в винбоксе отваливается, соответственно восстанавливает старое значение мощности

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

All rate fixed > ваш уровень . Без safe mode. Отвалится секунд на 20

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.