Перейти к содержимому
Калькуляторы

Микротик и с чем его едят Описание, примеры, вопросы, трудности, с которыми придется столкнуться

6 минут назад, Constantin сказал:

1.1.1.0/24  в приоритете перед  0.0.0.0/0

догнал) 

 

Адреса то может и статичные у них, но могут быть и 2 и больше одновременно + добавляться, поэтому хочется уже тупо *beeline* url фильтровать. Кроме L7 что еще умеет это? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, xphoenix305 сказал:

И еще вопрос, какие есть варианты реализации такой схемы. Необходимо чтобы клиенты на некоторые сайты отправлялись строго через один маршрут. (клиенты на 4g - нельзя чтобы они заходили со своих айпишников напрямую на сайты оператора - вход в ЛК автоматический) Пока видится маркировать все соединения с адресами *beeline.ru* и прописать статичный маршрут с этой меткой на другой микротик (должен ли в этом случае distance быть меньше чем у маршрута по умолчанию?) . Какие еще есть варианты? 

Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 31.08.2019 в 10:03, userok сказал:

Подскажите чем отличается файл бэкапа от файла конфигурации в микротик, почему размеры файлов очень разнятся?

бекап имеет бинарный формат и предназначен для точного востановления на том же экземпляре устройства ( ну или может быть другом экземпляре той же модели )

применение бекапа требует перезагрузки устройства

 

файл конфигурации имеет человекочитаемый формат , доступный для творческого редактирования в случае переноса на устройство немного другой модели ( с другим набором портов и.т.п.) и может применяться на устройстве выборочно и без перезагрузки. ( секциями / строками )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

57 минут назад, Constantin сказал:

по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО

 

а как насчет поля Content во вкладке Advanced в правиле маркировки? щас пробовал крутить, вроде работает. Даже больше чем через L7 (тестил на десятке сайтов, на некоторых почему-то L7 не срабывает) 

39 минут назад, Saab95 сказал:

Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда.

Не вариант. Клиент должен сидеть со своего айпишника, и качать свой инет. Не тот случай у нас чтобы всё в центр загонять. 

Просто нужно перенаправить определенные url на другой шлюз. Только пока не вкурю получится ли обойтись правилом в одну сторону. prerouting src adr. 192.168.0.0 или нужно еще что-то городить чтобы пакеты обратно со шлюза смогли добраться к клиенту. 

 

Saab что-то скажете насчет вопроса об UDP с предыдущей страницы? 

Изменено пользователем xphoenix305

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 минут назад, xphoenix305 сказал:

тестил на десятке сайтов, на некоторых почему-то L7 не срабывает

Видимо на HTTPS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, alibek сказал:

Видимо на HTTPS.

Тоже подозреваю. Но как-то странно. фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало, а вот shop.megafon.ru не поймало.. 

будем тестить опцию Content, но пока с соединениями какой-то бардак. Не пойму как правильно указать адресах src и dst в правилах. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, xphoenix305 сказал:

фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало

Он скорее всего сработал на SNI.

Для HTTPS нужно забыть про контент.

А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

38 минут назад, alibek сказал:

Для HTTPS нужно забыть про контент.

А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту.

Так как же быть?) Content не работает, и L7 тоже всегда справляется. Неужели HTTPS не побороть? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

15 минут назад, xphoenix305 сказал:

Неужели HTTPS не побороть?

Разумеется можно.

Можно просто заблокировать весь HTTPS, это несложно.

Также можно заставить всех пользователей установить левый корневой сертификат и разрешить доступ в интернет только через прокси-сервер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я имею ввиду без подобных костылей и сложностей)  а просто фильтрованием

Изменено пользователем xphoenix305

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Смешной вопрос.

А зачем бы нужен был HTTPS, если бы его можно было читать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 18.01.2020 в 13:50, Constantin сказал:

ну вот и пускай биллинг создает на мт  нетвач, в котором последней строкой будет самоудаление.

Что-то не могу найти скриптов, да и вообще возможности подключения одного микротика к другому по API , это вообще работает?

 

Создание нетвотча из биллинга осилил, работает так как нужно, осталось дело за подключениями к другим мт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день, столкнулся с маленьким непониманием типа очереди PCQ.

В данный момент использую такую схему . БС SXT - PTMP . Раньше стандартно ставили simple queue на каждый клиентский IP. Теперь перешел на PCQ по src+dst address + port.  В queue сейчас только 1 правило PCQ_ALL 192.168.90.0/24 5M 20M с типом pcq limit 1k total limit 15k.

Всё работает хорошо. Скорость делится не по адреса, а по соединения, каждый клиент может получить 20мбит. НО при необходимости ограничить отдельного пользователя из этой подсети - создаем дочернее правило с его ip, И основное PCQ_ALL перестает работать! Т.е. во вкладке статистики по скорости видно что основное pcq учитывает скорость только конкретного дочернего правила, при этом забивает на остальную подсеть - и ограничение у них не работает вообще.

Грешу на то что в обоих правилах стоит один type PCQ_ALL, однако пробовал ставить и pfifo на дочернее правило - результат такой же. Причем нет разницы какое правило стоит выше. По логике если дочернее выше - оно должно захватывать трафик с ip, и игнорировать его в родительском.

Получается эта схема не реализуема в simple queues? только через tree?

Если дочернее правило сделать самостоятельным то всё возвращается в работоспособность. Но тогда они оба могут загрузить свои максимумы по каналу, а это критично.

 

Ограничение вместо ip по pppoe интерфейсу клиента тоже не меняет ситуации


/queue type
set 0 pfifo-limit=1000
set 1 pfifo-limit=1000
set 2 kind=pfifo pfifo-limit=1000
add kind=pcq name=Dynamic_PCQ_download pcq-burst-rate=10M pcq-burst-threshold=\
    4M pcq-burst-time=16s pcq-classifier=dst-address pcq-dst-address6-mask=64 \
    pcq-limit=3k pcq-rate=5M pcq-src-address6-mask=64 pcq-total-limit=5k
add kind=pcq name=Dynamic_PCQ_upload pcq-burst-rate=1M pcq-burst-threshold=400k \
    pcq-burst-time=16s pcq-classifier=src-address pcq-dst-address6-mask=64 \
    pcq-limit=3k pcq-rate=500k pcq-src-address6-mask=64 pcq-total-limit=5k
add kind=pfifo name=MikroBILL_PFIFO pfifo-limit=500
add kind=sfq name=MikroBILL_SFQ
add kind=pcq name=MikroBILL_PCQ_DOWN pcq-classifier=dst-address pcq-limit=500 \
    pcq-total-limit=12455
add kind=pcq name=MikroBILL_PCQ_UP pcq-classifier=src-address pcq-limit=500 \
    pcq-total-limit=12455
add kind=pcq name=PCQ_ALL pcq-classifier=\
    src-address,dst-address,src-port,dst-port pcq-dst-address6-mask=64 \
    pcq-limit=1k pcq-src-address6-mask=64 pcq-total-limit=15k
set 16 pfifo-limit=1000
/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32

 

pcq.png

pcq2.png

Изменено пользователем xphoenix

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 14.02.2020 в 13:16, xphoenix сказал:

/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32

Плохая идея одинаково называть и очередь, и тип "PCQ_ALL".

По классификатору "по src+dst address + port." лимит ставится не на каждого клиента, а на каждое отдельное его соединение. Клиент открывший 100 соединений, получит ёмкость больше, чем клиент открывший 10 соединений.

Насколько помню, если очередь имеет дочерние очереди, она перестаёт сама работать на ограничение отдельных клиентов. Она лишь "забирает трафик" для группы дочерних очередей.
Чтобы работало, Вам надо создать еще одну общую дочернюю очередь и расположить ниже:
/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32
add max-limit=5M/20M name=other parent=PCQ_ALL  target=\
    192.168.90.0/24,192.168.91.0/24

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

С чем может быть связан нестабильный трансфер от Hap ac2 к клиенту? На клиенте спидтестом входящий начинает плавно раскачиваться 30-40-60-70-80 мбит... а исходящий (от клиента на Hap ac2) почти сразу в 90 мбит упирается... Канал в инет 100 мбит. Игра с частотами и мощностью дают только более худшие результаты. Используемый диапазон свободен от других точек доступа.

name="wlan2" mtu=1500 l2mtu=1600 arp=enabled interface-type=IPQ4019 mode=ap-bridge
      frequency=5260 band=5ghz-onlyac channel-width=20/40/80mhz-Ceee secondary-channel="" scan-list=default wireless-protocol=802.11
      vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes
      default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no security-profile=default compression=no

set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=debug disabled=no distance=indoors frequency=5260 \
    installation=indoor mode=ap-bridge multicast-helper=disabled tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=\
    802.11 wps-mode=disabled

 

И еще вопрос - Virtual интерфейс в режиме station может работать на частоте, отличной от master interface? При падении основного канала нужно подключаться к внешней точке доступа и раздавать от нее инет проводным и беспроводным клиентам, но пока на master interface канал не будет совпадать с внешней точкой - подключения не происходит, а канал на внешней точке может и поменяться...

 

При работе в режиме репитера он так же будет дублировать канал на котором работает ретранслируемая точка доступа?

Вроде даже китайские ретрансляторы за 800 руб. умеют вещать на разных частотах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите в чем причина не присоединения модема E 3372h-320 версия прошивки 10.0.3.1(H192SP2C983) к Mikrotik RB951Ui-2HnD. В WinBox в Interface он появляется и тут же отваливается. В компьютерах без всяких проблем подключается и работает для передачи Интернета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробуйте отключить Wi-Fi адаптер в роутере, или подключить внешнее питание USB модема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

del

Изменено пользователем ERROR_404-2015
сам разобрался

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Доброго времени.

Прошу совета знающих в предстоящем выборе.

Нужен инет на даче в пригороде. За скоростью не гонюсь, но есть нюанс: нужен также udp от РТ, потому как матушка-пенсионерка смотрит несколько каналов типа еда, усадьба и др в прямом эфире и архиве, через dune hd ;). Нашёлся и добрый человек, бывший сосед, переехавший на новый адрес (А); окна на 5-ом этаже выходят куда надо. Оттуда до дачи (Б) 2900м. В зоне Френеля присутствуют: 1200 от точки А есть трёхэтажное здание, 2000м от А ещё двухэтажка, и в 2500м - четырёхпроводная линия ЛЭП (12кВ если не ошибаюсь). Последние 300м. лес, хвойные деревья высотой ~12м. (на севере деревья не очень высоки). В точке Б планирую ставить 18м мачту с растяжками. Рельеф по трассе неровный, возможны перепады +2-3м. По примерным раскладам получается, что сигнал по прямой будет как минимум на 2-3м. выше указанных препятствий. Ну, или мне хочется в это верить)  : если не хватит высоты, то придётся поднимать точку А на крышу 9-тиэтажного дома, но хотелось бы этого избежать.

Осенью '19 сделал мост на работе на паре SXTsq Lite5 на 900м (скриншот), там тоже были подобного рода препятствия, полтора года полёт нормальный, стабильно до 35-40Мбит по спидтесту, 78 канальная, мощность приглушил до 20%. Вторая зимовка, в эту зиму у нас было и -50°, точки запитаны от ups, иначе есть риск что после ухода электричества замерзшие точки не проснутся. Но там не стояла задача пропустить udp.

Вот и подошёл к вопросу: какие точки предпочтительнее выбрать? Тариф будет 40-60Мбит, в точке А будут 3-5 потребителей типа смартфоны семьи, ноут и ТВ приставки. В точке Б примерно то-же самое. Если выбрать SXTsq Lite5 - а сумеют-ли они выдать на трёх километрах такой-же канал, будет-ли стабилен поток udp вещания при ширине канала 20МГц без повышения мощности выше допустим 50ти процентов? Точку надо будет однозначно за окно (наверное глупый вопрос))?

Будет ли преимущество, если взять пару SXTsq 5 ac или QRT5 ? Последние уже существенно дороже, но всё ещё доступны при наличии явных преимуществ (если они есть).

Сам склоняюсь к SXTsq 5 ac, но в сомнениях, прошу помощи, совета более опытных неравнодушных.

Заранее спасибо откликнувшимся!

78Мбит.jpeg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DISC5, пусть и в виде AC, будет дешевле QRT5.

 

Если под UDP вы имеете в виду мультикаст, то у вас 2 варианта решения проблемы:

 

1. В настройках Data Rates убираете все галочки, в настройках HT MCS ставите минимальные допустим 10-12. В этом случае мультикаст пойдет уже не на самой низкой скорости, а на нормальной, и телевизор будет показывать. Но при ухудшении условий возможны обрывы.

 

2. Настраиваете радио как обычно, но данные передаете поверх EoIP туннеля. То есть создаете как обычно бридж в радио, вешаете на него IP адреса между устройствами. Далее создаете EoIP туннель на каждой на соседние IP адреса, создаете еще один бридж, в него с каждой стороны добавляете сетевой порт и EoIP туннель. Соответственно уже на этом бридже с туннелем вешаете еще по IP адресу для управления устройствами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ребята нужна помощь есть видеонаблюдения Hikvision есть провайдер с белым IP надо настроить удаленый просмотр с помощью cloud mikrotik подскажите как это зделать.Через облако hikvision не катит так как чел не доверяет ему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нужно купить RB2011, аккуратно снять корпус, отбить молотком по форме шапки и надеть на голову.

Если не доверяет, пусть не пользуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет дело не в том дело в том что облако hikvision он часто забывал пароль от облака,так что не вариант с облаком.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тогда микротик ему ничем не поможет.

Mikrotik Cloud просто привязывает доменное имя к текущему внешнему IP, более ничего. Память не лечит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.