BlackSnow Опубликовано 10 ноября, 2014 · Жалоба Помогите решить проблему... Я блокирую абонентов путем добавления в Address List "Blocked". в NAT создано правило DSTNAT с адресом сервера со страницей блокировки... Проблема в том, что при удалении IP адреса из Blocked листа - сохраняются "established" соединения с сервером блокировки. Как следствие - при попытке обновления страницы в браузере абонента - так же отображается страница блокировки. Помогает только перезапуск браузера... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 10 ноября, 2014 · Жалоба Используйте для переадресации на страничку web proxy /ip firewall address-list add address=10.10.10.10 list=balance_negative /ip firewall filter add action=drop chain=forward dst-address=!10.0.0.0/8 src-address-list=balance_negative /ip firewall nat add action=redirect chain=dstnat dst-address=!10.0.0.0/8 protocol=tcp src-address-list=balance_negative to-ports=8123 /ip proxy set enabled=yes port=8123 /ip proxy access add action=deny redirect-to=10.0.0.10 Тут в конце адрес 10.0.0.10 - адрес сервера на который нужно переадресовывать, а внутренняя сеть 10.0.0.0/8. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuriyZhan Опубликовано 10 ноября, 2014 (изменено) · Жалоба san1980 если частоты стандартного wifi то отвалилась по причине зашумленности - 99% Изменено 10 ноября, 2014 пользователем YuriyZhan Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackSnow Опубликовано 13 ноября, 2014 (изменено) · Жалоба Saab95, супер, спасибо! Теперь столкнулся с другой проблемой. У меня 3 белых IP из разных подсетей. Пытаюсь сделать проброс 80 порта на внутренний IP со всех внешних. Вот настройки: /ip firewall address-list add address=10.2.10.2 comment=Server list=client /ip firewall filter dd chain=input protocol=icmp add chain=input comment=established connection-state=established add chain=input comment=relared connection-state=related add chain=forward comment=established connection-state=established add chain=forward comment=relared connection-state=related add action=drop chain=forward comment="default configuration" \ connection-state=invalid /ip firewall mangle add action=mark-connection chain=prerouting connection-mark=no-mark \ in-interface=ether8-Main new-connection-mark=Main passthrough=no add action=mark-routing chain=output connection-mark=Main \ new-routing-mark=toMain passthrough=no add action=mark-connection chain=prerouting connection-mark=no-mark \ in-interface=ether6-Reserv new-connection-mark=Reserv \ passthrough=no add action=mark-routing chain=output connection-mark=Reserv \ new-routing-mark=toReserv passthrough=no /ip firewall nat add action=masquerade chain=srcnat out-interface=ether8-Main src-address-list=client add action=masquerade chain=srcnat out-interface=ether6-Reserv src-address-list=client add action=netmap chain=dstnat comment=WebServer connection-mark=Main \ dst-port=80,222,443 in-interface=ether8-Main protocol=tcp \ to-addresses=10.2.10.2 add action=netmap chain=dstnat comment=WebServer connection-mark=Reserv \ dst-port=80,222,443 in-interface=ether6-Reserv protocol=tcp \ to-addresses=10.2.10.2 /ip route add check-gateway=ping distance=5 gateway=66.55.33.1 routing-mark=toMain add check-gateway=ping distance=5 gateway=72.27.5.1 routing-mark=toReserv add distance=1 gateway=66.55.33.1,72.27.5.1 Проблема совершенно мне не понятна... 2 белых IP: 66.55.33.21 и 72.27.5.21. Проверяю из разных мест. Закономерность такая: 1 IP работает, другой - нет. Со временем рабочий IP меняются (то по одному открываются то по второму) Смотрю tcpdump на WebServer'e - запросы приходят и уходят: 16:07:37.671165 IP bill.chihpih.ru.29159 > 10.2.10.2.http: Flags , seq 387934355, win 65535, options [mss 1460], length 0 16:07:37.671249 IP 10.2.10.2.http > bill.chihpih.ru.29159: Flags [s.], seq 1029265372, ack 387934356, win 65535, options [mss 1460], length 0 Смотрю tcpdump на удаленном сервере, с которого обращаюсь - нет входящих пакетов: 16:06:02.155778 IP bill.chihpih.ru.43248 > 66.55.33.21.pool.tratata.ru.http: Flags , seq 231362447, win 65535, options [mss 1460], length 0 Целый день сижу - ничего не получается... Помогите, пожалуйста! Изменено 13 ноября, 2014 пользователем BlackSnow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 ноября, 2014 · Жалоба Начните с того, что сделайте проброс по тому внешнему адресу, для которого вы не трогаете маршрут по умолчанию. Вообще, если у вас несколько каналов от провайдера, выгоднее на каждый поставить по отдельному микротику - тогда внешний адрес будет только один и не возникнет проблем с доступом извне, соответственно НАТ на этих микротиках, а на центральном он уже не нужен - там можете сводить каналы и разделять по клиентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BlackSnow Опубликовано 14 ноября, 2014 · Жалоба Все решилось настройкой отсюда: http://wiki.mikrotik.com/wiki/Manual:PCC (ECMP и NTH не подошли) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 16 ноября, 2014 · Жалоба Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 ноября, 2014 · Жалоба Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах? Он усредняет данные в течении 5 минут. Соответственно запустите тест скорости минут на 15, что бы канал был загружен с постоянной скоростью, тогда увидите свои правильные цифры. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhntv_smart Опубликовано 24 ноября, 2014 · Жалоба Народ, подскажите, мож кто сталкивался. В двух разных местах стоят два RB450G (680мгц). В двух этих местах процы осбо не граужены. И там и там вхъодящий линк через радио, и больше 100 мбит прокачивает. Это напрямую в комп воткнуть, больше 100 прокачивает. А при включении NAT скорость упирается в 60 мбит. Ну, может 70. Т. е. так вроде работает, и жалоб особо нет. Но если выключить все шейперы, то скорость со всех клиентов упиается в 60-70... и догрузка спидтестом не спасает. Нагрузки по PPS особой нет... В пределах нормы... На одном прошивка 6.18, на другом 6.16. Что может быть? RB450 такой слабенький? пробовать повышать/понижать прошивку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 24 ноября, 2014 · Жалоба Отдельно без клиентов пробовали подключать свой компьютер, возможно у оператора ограничение на количество сессий или еще чего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 24 ноября, 2014 · Жалоба Кто нибудь может подсказать логику построения графиков (tools/graphing) - включил графики, указал интерфейсы, все рисуется, но скорость в графиках гораздо ниже, чем фактическая. Или график отображает объем информации а не скорость на интерфейсах? Он усредняет данные в течении 5 минут. Соответственно запустите тест скорости минут на 15, что бы канал был загружен с постоянной скоростью, тогда увидите свои правильные цифры. понял! Просто хотим пустить тест между двумя релейками оконеченными микротиками, в итоге получить график загрузки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fhntv_smart Опубликовано 24 ноября, 2014 · Жалоба Отдельно без клиентов пробовали подключать свой компьютер, возможно у оператора ограничение на количество сессий или еще чего. Ну, комп напрямую. Больше 100 мбит. Когда как, спидтест.нет до 150-ти показывает. Через нат даже ночью, в 70 упирается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 24 ноября, 2014 · Жалоба У меня стоит 450g, через три ната и радио, дома поднимаю около 85 мбит. Прошивка 5.26 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
indimion36 Опубликовано 27 ноября, 2014 · Жалоба CCR1009-8G-1S - ГЛЮЧИЛ НА 6.18. Уходил в себя и помогал только ребут путем выдергивания провода питания. Обновился до 6.22 - и получил еще больше глюков - НО хотя бы стал сам ребутаться.... но чаще) nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut down nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu re nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut down nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu re nov/16/2014 01:02:13 system,error,critical router was rebooted without proper shut down nov/16/2014 01:02:13 system,error,critical System rebooted because of kernel failu re Сегодня отправил автосуппорт.риф разрабам... погляжу что скажут. У кого есть сей зверь и на какой прошивке у вас работает СТАБИЛЬНО? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 ноября, 2014 · Жалоба CCR1009-8G-1S - ГЛЮЧИЛ НА 6.18. Уходил в себя и помогал только ребут путем выдергивания провода питания. Обновился до 6.22 - и получил еще больше глюков - НО хотя бы стал сам ребутаться.... но чаще) У кого есть сей зверь и на какой прошивке у вас работает СТАБИЛЬНО? Все микротики работают стабильно, проблемы у тех, кто его не правильно настроил, или использует не правильные схемы предоставления услуг. Правильные схемы это PPPoE, IPoE. Не правильные - привязка по маку, все вланы в центр и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
indimion36 Опубликовано 27 ноября, 2014 · Жалоба Интересно, с каких это пор объединение вланов в мост или какие либо другие операции стали критично влиять на работу системы? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 ноября, 2014 · Жалоба Интересно, с каких это пор объединение вланов в мост или какие либо другие операции стали критично влиять на работу системы? Ну так по ним может бегать мусорный трафик. Один человек как-то писал на форуме, что у него стоит линк на SXT и иногда он отваливается, в него непосредственно была подключена локальная сеть с нескольких домов. После совета установить перед SXT другого микротика RB750 и разделения каналов с домов и подключения каждого к своему порту, отключаться стал только один порт, а остальное продолжало работать. Виновником оказался флудящий порт на коммутаторе. Соответственно если у вас сеть на L3, то никакие флудящие порты не могут повлиять на ее работу. В случае L2, любой вредоносный трафик пойдет по всей сети через все устройства в центр, создавая различного рода проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ansy Опубликовано 27 ноября, 2014 (изменено) · Жалоба Все микротики работают стабильно, проблемы у тех, кто его не правильно настроил, или использует не правильные схемы предоставления услуг. ... Правильные схемы это PPPoE, IPoE. Не правильные - привязка по маку, все вланы в центр и т.п. /me привязывает в DHCP по MAC-адресу отдельные офисные группы компов на каждого корпоративного клиента (в отдельной LAN с общим выходом через отдельный шлюз на отдельном порту -- и никак иначе). Юзерам удобно, все прозрачно и без проблем... а какие проблемы следует здесь ожидать? Сами поставят IP вручную? Флаг в руки, шлюз-то не увидят... И еще делаю виртуальные радиоточки с бриджеванием на соответствующий порт -- для мобильных клиентов (ноуты, смартфоны, планшеты) соответствующего им офиса, тоже со статичной привязкой в DHCP по MAC, чтоб сразу в свою локалку попадали. Как правило на смартфонах адреса получаются автоматом, опять же удобно один раз вписать и больше не париться. И опять же -- у каждой виртуальной радиоточки шифрование и свой пароль -- чужие в локалку клиента не лезут, "светить" свои пароли им тоже нет резона. И уже на отдельные IP с иерархией по группе LAN/клиента строятся простые очереди -- с ограничением скоростей каждому и всем суммарно. Удобно всех контролировать -- кто канал выжрал, кто на какой адрес попал и где засада -- в локалке или выше (IT-аутсорсинг, локальное администрирование тоже предлагаем). Ну а если клиент скромничает и прячется за свой закрытый роутер -- законное право, но помочь разрулить можем лишь до его WAN-порта. Изменено 27 ноября, 2014 пользователем Ansy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 ноября, 2014 · Жалоба Нужно сеть строить на управляемом оборудовании, что бы привязывать не к маку, а к порту. Например используя CRS, можно раскидать сеть 192.168.0.0/24 по его портам таким образом, что на каждом будет работать только один адрес, при это легко отделяется телефония, принтеры и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kinord Опубликовано 29 ноября, 2014 (изменено) · Жалоба Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах? как это правильно делать, т.е. чем отличается all rates fixed и card rates? Изменено 29 ноября, 2014 пользователем kinord Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 ноября, 2014 · Жалоба Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах? как это правильно делать, т.е. чем отличается all rates fixed и card rates? Начать надо со сброса начальной конфигурации, настройки всех абонентов в WDS, уменьшении мощности до 18дбм и ниже (all rates fixed). Если у вас перекосы по поляризациям, то на базе нужно включить одноканальный режим, либо ограничить скрости по верхним, что бы оборудование зря на них не переключалось, т.к. в таких случаях получается ситуация - канальные скорости высокие, а из-за большого количества ошибок, реальная пропускная способность очень низкая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kinord Опубликовано 29 ноября, 2014 (изменено) · Жалоба уменьшении мощности до 18дбм и ниже (all rates fixed) это сделано Если у вас перекосы по поляризациям, то на базе нужно включить одноканальный режим т.е. МИМО зарубить на корню? может поискать проблему в другом месте? либо ограничить скрости по верхним Можно на примере картинки (ниже) пояснить какие уровни нужно прикрутить? У меня на передачу от БС все хорошо с канальными скоростями, а вот на прием проседает. Изменено 29 ноября, 2014 пользователем kinord Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 30 ноября, 2014 · Жалоба Коллеги, подскажите пожалуйста по картинке что сделать, что бы улучшить ситуацию на прием. Уменьшать мощность на клиентах? как это правильно делать, т.е. чем отличается all rates fixed и card rates? Во первых установите уровни мощности на удаленных клиентах таким образом, чтобы на своей базе по RX получить примерно -60dB Затем нужно разобраться с двумя клиентами, которые по TX у вас высвечиваются как -68 и -79, т.е. либо они далеко расположены, либо нужно юстировать, в общем добиться на них хорошего сигнала по приему, не превышая при этом уровня TX на базе выше 20 dBm Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kinord Опубликовано 30 ноября, 2014 · Жалоба Во первых установите уровни мощности на удаленных клиентах таким образом, чтобы на своей базе по RX получить примерно -60dB А удаленно как сделать это не завалив СРЕ? Нажимаю safe mode меняю мощность, при этом СРЕ меняет мощность, к безе цепляется, но в винбоксе отваливается, соответственно восстанавливает старое значение мощности Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pandel Опубликовано 30 ноября, 2014 · Жалоба All rate fixed > ваш уровень . Без safe mode. Отвалится секунд на 20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...