[Saab95]

Ещё столкнулся с одной проблемой. Роутеры установлены так:

МТ1---радио---МТ2---провод---МТ3---провод---МТ4---радио---МТ5

Радио < 10 км, провод пара метров. На МТ3 простой бридж портов.

Тесты скорости 1-2, 1-3 и 1-4 выдают одинаково, примерно 50 мбит.

Также и 2-5, 3-5, 4-5 примерно 50 мбит.

А вот 1-5 не выдаёт больше 20 мбит. Т.е. когда трафик проходит последовательно по двум радиомостам, падает скорость. У меня пока нет никаких идей, почему так происходит.

 

Перейдите с L2 сети на L3, настроив все антенны в режим роутера, после этого тест скорости покажет так же 50 мегабит транзитом.

 

Кроме всего при не достаточном частотном разносе, каналы могут мешать друг другу.

[SSD]

 

При настройки нужно пробовать и NV2, и Nstreme, выбрать тот, в котором лучше работает.

 

Попробую потестить.

 

Ещё столкнулся с одной проблемой. Роутеры установлены так:

МТ1---радио---МТ2---провод---МТ3---провод---МТ4---радио---МТ5

Радио < 10 км, провод пара метров. На МТ3 простой бридж портов.

Тесты скорости 1-2, 1-3 и 1-4 выдают одинаково, примерно 50 мбит.

Также и 2-5, 3-5, 4-5 примерно 50 мбит.

А вот 1-5 не выдаёт больше 20 мбит. Т.е. когда трафик проходит последовательно по двум радиомостам, падает скорость. У меня пока нет никаких идей, почему так происходит.

Туннель сделайте поверх канала.

[nukunuku]

Перейдите с L2 сети на L3, настроив все антенны в режим роутера

Но мне не нужна там маршрутизация, я хочу сделать на вланах.

С МТ1 до МТ5 идут вланы. В одном из них прокинуто рррое от провайдера (порты доступа на МТ1 и МТ5, провод провайдера в МТ1, соединение поднимается после МТ5). Bandwidth test я делаю в админском влане, каждому бриджу на каждом МТ назначен ip. Проблемы со скоростью одинаково проявляются и в скорости проброшенного рррое, и в админском влане.

Может ли быть проблема в том, что на бриджах вланов я не задавал admin-mac?

 

Туннель сделайте поверх канала.

А чем будет отличаться туннель от влана? Я так понимаю, для этого мне придётся отказаться от вланов и сделать прямую маршрутизацию с ip, а поверх поднять eoip.

Изменено 8 июля, 2014 пользователем nukunuku

[SSD]

Перейдите с L2 сети на L3, настроив все антенны в режим роутера

Но мне не нужна там маршрутизация, я хочу сделать на вланах.

С МТ1 до МТ5 идут вланы. В одном из них прокинуто рррое от провайдера (порты доступа на МТ1 и МТ5, провод провайдера в МТ1, соединение поднимается после МТ5). Bandwidth test я делаю в админском влане, каждому бриджу на каждом МТ назначен ip. Проблемы со скоростью одинаково проявляются и в скорости проброшенного рррое, и в админском влане.

Может ли быть проблема в том, что на бриджах вланов я не задавал admin-mac?

 

Туннель сделайте поверх канала.

А чем будет отличаться туннель от влана? Я так понимаю, для этого мне придётся отказаться от вланов и сделать прямую маршрутизацию с ip, а поверх поднять eoip.

Можете использовать тот же еоип, а в нем гонять свои влан без проблем.

[Diamont]

Наверняка обсуждалось, но всеже...Микротик работает как рррое сервер на ether1. Все подключившиеся клиенты переадресовываются на веб-заглушку (192.168.0.7), которая находится в локальной сети за натом. При этом веб-сервер заглушки видит везде ip микротика, а должен видеть (1.1.1.0) рррое клиентов. Как исправить? Фильтров нет. Вывод ната:

 

0 chain=srcnat action=masquerade

 

1 chain=dstnat action=netmap to-addresses=192.168.0.7 to-ports=80 protocol=tcp src-address=1.1.1.0/24

[Saab95]

Наверняка обсуждалось, но всеже...Микротик работает как рррое сервер на ether1. Все подключившиеся клиенты переадресовываются на веб-заглушку (192.168.0.7), которая находится в локальной сети за натом. При этом веб-сервер заглушки видит везде ip микротика, а должен видеть (1.1.1.0) рррое клиентов. Как исправить? Фильтров нет. Вывод ната:

 

0 chain=srcnat action=masquerade

 

1 chain=dstnat action=netmap to-addresses=192.168.0.7 to-ports=80 protocol=tcp src-address=1.1.1.0/24

 

На заглушку нужно через вебпрокси переадресовывать, а не натом. Здесь внутренняя подсеть 192.168.0.0/16, в ней находится и оборудование, и клиенты, клиента с адресом 192.168.20.4 добавляем в список должников, если он захочет зайти на любой сайт или узел вне внутренней подсети, его переадресуют на страничку, которая расположена на сервере 192.168.0.2. Если ограничение по подсети не делать, то переадресация будет идти по кругу и не заработает=)

 

/ip firewall address-list add address=192.168.20.4 list=balance_negative
/ip firewall filter add action=drop chain=forward dst-address=!192.168.0.0/16 src-address-list=balance_negative
/ip firewall nat add action=redirect chain=dstnat dst-address=!192.168.0.0/16 protocol=tcp src-address-list=balance_negative to-ports=8123
/ip proxy set enabled=yes port=8123
/ip proxy access add action=deny redirect-to=192.168.0.2

[nukunuku]

Можете использовать тот же еоип, а в нем гонять свои влан без проблем.

Каждому интерфейсу задал /30 адрес, включил для соответствующих подсетей ospf, прокинул eoip для провайдерского pppoe (без vlan). Но скорость такая же низкая =(

С роутингом без туннелей ведёт себя аналогично предыдущему конфигу L2 с vlan. По радио скорость 40-50мбит, по проводам 100мбит, а когда через два радиолинка последовательно, то 10-20мбит.

Изменено 10 июля, 2014 пользователем nukunuku

[Adim]

подскажите стабильную прошивку на Mikrotik RB951Ui-2HnD и от ссылки не откажусь)))

а то что то прошиваю а там то одного нет то другого ...запарился

[koshak83]

подскажите стабильную прошивку на Mikrotik RB951Ui-2HnD и от ссылки не откажусь)))

а то что то прошиваю а там то одного нет то другого ...запарился

 

6.13 пока самая стабильная из новых. В 14й и 15й- одно лечат другое колечат. Ждем 16ю на днях, вроде обещяют что все наконец пофиксили и добавили вафлю АС.

Для mipsbe:

инсталлер 6.13

http://download2.mikrotik.com/routeros/6.13/netinstall-6.13.zip

прошивка 6.13

http://download2.mikrotik.com/routeros/6.13/routeros-mipsbe-6.13.npk

Если нужны другие версии, просто меняйте их номера каталога и самого файла на нужные в ссылках.

 

ЗЫ: На мой ботский вопрос выше, про правила фаерволла- так никто и не ответил... Жаль. =\

Изменено 11 июля, 2014 пользователем koshak83

[nukunuku]

add chain=forward src-address-list="LAN Bogon's IP" dst-address-list="LAN Bogon's IP" action=drop \

comment="[ - CUSTOMER PROTECTION - ] Block LAN Bogon's IP"

Это правило блокирует только трафик из определённых выше подсетей в эти же подсети. Чтобы работало аналогично шести правилам, надо сделать

add chain=forward src-address-list="LAN Bogon's IP" action=drop
add chain=forward dst-address-list="LAN Bogon's IP" action=drop

[koshak83]

add chain=forward src-address-list="LAN Bogon's IP" dst-address-list="LAN Bogon's IP" action=drop \

comment="[ - CUSTOMER PROTECTION - ] Block LAN Bogon's IP"

Это правило блокирует только трафик из определённых выше подсетей в эти же подсети. Чтобы работало аналогично шести правилам, надо сделать

add chain=forward src-address-list="LAN Bogon's IP" action=drop
add chain=forward dst-address-list="LAN Bogon's IP" action=drop

 

Спасибо за ответ.

Правильно ли я понял что в одном правиле блокировку и по входу и по выходу делать нельзя?

Изменено 12 июля, 2014 пользователем koshak83

[Adim]

Mikrotik RB951Ui-2HnD при настройке часто отключается приходится заново переподключатся...проблема винбокса или самого роутера????

[nukunuku]

Правильно ли я понял что в одном правиле блокировку и по входу и по выходу делать нельзя?

Сделать-то можно, но получится правило, работающее только при соблюдении обоих условий. Чем больше параметров задано в правиле, тем больше «И»-условий ограничивают правило.

 

Mikrotik RB951Ui-2HnD при настройке часто отключается приходится заново переподключатся...проблема винбокса или самого роутера????

У меня похожая ерунда происходит, если я подключаюсь к МТ по mac и в компе присутствует несколько активных сетевых адаптеров.

Изменено 13 июля, 2014 пользователем nukunuku

[chipoza]

Подскажите плиз, а пофиксили ipsec м\у 5-й и 6-й версиями в последних прошивках? или так и не конектит?

[Stuffy]

Необходимо расположить рядом(в полуметре) SXT Lite5 и RB951G-2HnD. До скольки оптимально снизить Tx Power, чтобы они не вышли из строя?

[xabarov]

Необходимо расположить рядом(в полуметре) SXT Lite5 и RB951G-2HnD. До скольки оптимально снизить Tx Power, чтобы они не вышли из строя?

Хоть друг на друга положите - ничего им не будет. Работают то в разных диапазонах частот.

[Diamont]

Хоть друг на друга положите - ничего им не будет. Работают то в разных диапазонах частот.

Я как то положил два роутера друг на друга. Разные фирмы, разные частоты. Долго думал, почему ужасно лагает вафля. Пока не догадался разнести их на пол метра. Минимум! Это вам не свичи в стеке))

[RDEM]

кто может рассказать как на микротиках настроить vlan-per-user, или хотя бы ссылочкой кто в меня закинет.

[Saab95]

кто может рассказать как на микротиках настроить vlan-per-user, или хотя бы ссылочкой кто в меня закинет.

 

Вот вам ссылочка - http://www.lanmart.ru/blogs/ip-unnumbered-mikrotik-eltex/

[pandel]

подскажите существует ли возможность как то заблокировать мак адрес юзера сидящего за роутером? на интерфейс микротика прилетает мак роутера, а дальше нечего не видно (

[Saab95]

подскажите существует ли возможность как то заблокировать мак адрес юзера сидящего за роутером? на интерфейс микротика прилетает мак роутера, а дальше нечего не видно (

 

На бридже, в который объединены порты, создайте правило на Input где укажите нужный мак роутера и сделаете ему блокировку.

[RDEM]

Настроил свою сеть+хотспот по мануалу с ланмарта, каждый крайний роутер в свой влан, в центре все вланы в бридж, как и написано в той статье, только вот при настройке самого вайфая на роутере не увидел разницу в галочке Default Forward, что вкл, что выкл, я все равно со своего телефона в любом сканере сети вижу другие устройства, кто подключен к той же вайфай точке. Как же все же сделать, что бы все эти сканеры не видели другие устройства, так же что бы они не могли общатся друг с другом. А то какой смысл от всей проделанной работы с этими влан на точку.

[pandel]

подскажите существует ли возможность как то заблокировать мак адрес юзера сидящего за роутером? на интерфейс микротика прилетает мак роутера, а дальше нечего не видно (

 

На бридже, в который объединены порты, создайте правило на Input где укажите нужный мак роутера и сделаете ему блокировку.

 

 

дело в том, что сам роутер мне блокировать не нужно, необходимо запретить доступ одному ПК, подключенному к этому роутеру

[Saab95]

дело в том, что сам роутер мне блокировать не нужно, необходимо запретить доступ одному ПК, подключенному к этому роутеру

 

Так роутер и не будет заблокирован, будет заблокирован только указанный мак.

[pandel]

Т.е.роутер транслирует все маки интерфейсов которые к нему подключены? Я видел только один мак самого роутера