xphoenix305 Опубликовано 20 января, 2020 · Жалоба 6 минут назад, Constantin сказал: 1.1.1.0/24 в приоритете перед 0.0.0.0/0 догнал) Адреса то может и статичные у них, но могут быть и 2 и больше одновременно + добавляться, поэтому хочется уже тупо *beeline* url фильтровать. Кроме L7 что еще умеет это? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 20 января, 2020 · Жалоба по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 января, 2020 · Жалоба 4 часа назад, xphoenix305 сказал: И еще вопрос, какие есть варианты реализации такой схемы. Необходимо чтобы клиенты на некоторые сайты отправлялись строго через один маршрут. (клиенты на 4g - нельзя чтобы они заходили со своих айпишников напрямую на сайты оператора - вход в ЛК автоматический) Пока видится маркировать все соединения с адресами *beeline.ru* и прописать статичный маршрут с этой меткой на другой микротик (должен ли в этом случае distance быть меньше чем у маршрута по умолчанию?) . Какие еще есть варианты? Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 20 января, 2020 · Жалоба В 31.08.2019 в 10:03, userok сказал: Подскажите чем отличается файл бэкапа от файла конфигурации в микротик, почему размеры файлов очень разнятся? бекап имеет бинарный формат и предназначен для точного востановления на том же экземпляре устройства ( ну или может быть другом экземпляре той же модели ) применение бекапа требует перезагрузки устройства файл конфигурации имеет человекочитаемый формат , доступный для творческого редактирования в случае переноса на устройство немного другой модели ( с другим набором портов и.т.п.) и может применяться на устройстве выборочно и без перезагрузки. ( секциями / строками ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix305 Опубликовано 20 января, 2020 (изменено) · Жалоба 57 минут назад, Constantin сказал: по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО а как насчет поля Content во вкладке Advanced в правиле маркировки? щас пробовал крутить, вроде работает. Даже больше чем через L7 (тестил на десятке сайтов, на некоторых почему-то L7 не срабывает) 39 минут назад, Saab95 сказал: Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда. Не вариант. Клиент должен сидеть со своего айпишника, и качать свой инет. Не тот случай у нас чтобы всё в центр загонять. Просто нужно перенаправить определенные url на другой шлюз. Только пока не вкурю получится ли обойтись правилом в одну сторону. prerouting src adr. 192.168.0.0 или нужно еще что-то городить чтобы пакеты обратно со шлюза смогли добраться к клиенту. Saab что-то скажете насчет вопроса об UDP с предыдущей страницы? Изменено 20 января, 2020 пользователем xphoenix305 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 января, 2020 · Жалоба 12 минут назад, xphoenix305 сказал: тестил на десятке сайтов, на некоторых почему-то L7 не срабывает Видимо на HTTPS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix305 Опубликовано 20 января, 2020 · Жалоба 2 минуты назад, alibek сказал: Видимо на HTTPS. Тоже подозреваю. Но как-то странно. фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало, а вот shop.megafon.ru не поймало.. будем тестить опцию Content, но пока с соединениями какой-то бардак. Не пойму как правильно указать адресах src и dst в правилах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 января, 2020 · Жалоба 8 минут назад, xphoenix305 сказал: фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало Он скорее всего сработал на SNI. Для HTTPS нужно забыть про контент. А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix305 Опубликовано 20 января, 2020 · Жалоба 38 минут назад, alibek сказал: Для HTTPS нужно забыть про контент. А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту. Так как же быть?) Content не работает, и L7 тоже всегда справляется. Неужели HTTPS не побороть? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 января, 2020 · Жалоба 15 минут назад, xphoenix305 сказал: Неужели HTTPS не побороть? Разумеется можно. Можно просто заблокировать весь HTTPS, это несложно. Также можно заставить всех пользователей установить левый корневой сертификат и разрешить доступ в интернет только через прокси-сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix305 Опубликовано 20 января, 2020 (изменено) · Жалоба я имею ввиду без подобных костылей и сложностей) а просто фильтрованием Изменено 20 января, 2020 пользователем xphoenix305 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 20 января, 2020 · Жалоба Смешной вопрос. А зачем бы нужен был HTTPS, если бы его можно было читать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix305 Опубликовано 25 января, 2020 · Жалоба В 18.01.2020 в 13:50, Constantin сказал: ну вот и пускай биллинг создает на мт нетвач, в котором последней строкой будет самоудаление. Что-то не могу найти скриптов, да и вообще возможности подключения одного микротика к другому по API , это вообще работает? Создание нетвотча из биллинга осилил, работает так как нужно, осталось дело за подключениями к другим мт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xphoenix Опубликовано 14 февраля, 2020 (изменено) · Жалоба Добрый день, столкнулся с маленьким непониманием типа очереди PCQ. В данный момент использую такую схему . БС SXT - PTMP . Раньше стандартно ставили simple queue на каждый клиентский IP. Теперь перешел на PCQ по src+dst address + port. В queue сейчас только 1 правило PCQ_ALL 192.168.90.0/24 5M 20M с типом pcq limit 1k total limit 15k. Всё работает хорошо. Скорость делится не по адреса, а по соединения, каждый клиент может получить 20мбит. НО при необходимости ограничить отдельного пользователя из этой подсети - создаем дочернее правило с его ip, И основное PCQ_ALL перестает работать! Т.е. во вкладке статистики по скорости видно что основное pcq учитывает скорость только конкретного дочернего правила, при этом забивает на остальную подсеть - и ограничение у них не работает вообще. Грешу на то что в обоих правилах стоит один type PCQ_ALL, однако пробовал ставить и pfifo на дочернее правило - результат такой же. Причем нет разницы какое правило стоит выше. По логике если дочернее выше - оно должно захватывать трафик с ip, и игнорировать его в родительском. Получается эта схема не реализуема в simple queues? только через tree? Если дочернее правило сделать самостоятельным то всё возвращается в работоспособность. Но тогда они оба могут загрузить свои максимумы по каналу, а это критично. Ограничение вместо ip по pppoe интерфейсу клиента тоже не меняет ситуации /queue type set 0 pfifo-limit=1000 set 1 pfifo-limit=1000 set 2 kind=pfifo pfifo-limit=1000 add kind=pcq name=Dynamic_PCQ_download pcq-burst-rate=10M pcq-burst-threshold=\ 4M pcq-burst-time=16s pcq-classifier=dst-address pcq-dst-address6-mask=64 \ pcq-limit=3k pcq-rate=5M pcq-src-address6-mask=64 pcq-total-limit=5k add kind=pcq name=Dynamic_PCQ_upload pcq-burst-rate=1M pcq-burst-threshold=400k \ pcq-burst-time=16s pcq-classifier=src-address pcq-dst-address6-mask=64 \ pcq-limit=3k pcq-rate=500k pcq-src-address6-mask=64 pcq-total-limit=5k add kind=pfifo name=MikroBILL_PFIFO pfifo-limit=500 add kind=sfq name=MikroBILL_SFQ add kind=pcq name=MikroBILL_PCQ_DOWN pcq-classifier=dst-address pcq-limit=500 \ pcq-total-limit=12455 add kind=pcq name=MikroBILL_PCQ_UP pcq-classifier=src-address pcq-limit=500 \ pcq-total-limit=12455 add kind=pcq name=PCQ_ALL pcq-classifier=\ src-address,dst-address,src-port,dst-port pcq-dst-address6-mask=64 \ pcq-limit=1k pcq-src-address6-mask=64 pcq-total-limit=15k set 16 pfifo-limit=1000 /queue simple add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\ 192.168.90.0/24,192.168.91.0/24 add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\ 192.168.90.147/32 Изменено 14 февраля, 2020 пользователем xphoenix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 10 марта, 2020 · Жалоба В 14.02.2020 в 13:16, xphoenix сказал: /queue simple add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\ 192.168.90.0/24,192.168.91.0/24 add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\ 192.168.90.147/32 Плохая идея одинаково называть и очередь, и тип "PCQ_ALL". По классификатору "по src+dst address + port." лимит ставится не на каждого клиента, а на каждое отдельное его соединение. Клиент открывший 100 соединений, получит ёмкость больше, чем клиент открывший 10 соединений. Насколько помню, если очередь имеет дочерние очереди, она перестаёт сама работать на ограничение отдельных клиентов. Она лишь "забирает трафик" для группы дочерних очередей. Чтобы работало, Вам надо создать еще одну общую дочернюю очередь и расположить ниже: /queue simple add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\ 192.168.90.0/24,192.168.91.0/24 add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\ 192.168.90.147/32 add max-limit=5M/20M name=other parent=PCQ_ALL target=\ 192.168.90.0/24,192.168.91.0/24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 22 июня, 2020 · Жалоба С чем может быть связан нестабильный трансфер от Hap ac2 к клиенту? На клиенте спидтестом входящий начинает плавно раскачиваться 30-40-60-70-80 мбит... а исходящий (от клиента на Hap ac2) почти сразу в 90 мбит упирается... Канал в инет 100 мбит. Игра с частотами и мощностью дают только более худшие результаты. Используемый диапазон свободен от других точек доступа. name="wlan2" mtu=1500 l2mtu=1600 arp=enabled interface-type=IPQ4019 mode=ap-bridge frequency=5260 band=5ghz-onlyac channel-width=20/40/80mhz-Ceee secondary-channel="" scan-list=default wireless-protocol=802.11 vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no security-profile=default compression=no set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=debug disabled=no distance=indoors frequency=5260 \ installation=indoor mode=ap-bridge multicast-helper=disabled tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=\ 802.11 wps-mode=disabled И еще вопрос - Virtual интерфейс в режиме station может работать на частоте, отличной от master interface? При падении основного канала нужно подключаться к внешней точке доступа и раздавать от нее инет проводным и беспроводным клиентам, но пока на master interface канал не будет совпадать с внешней точкой - подключения не происходит, а канал на внешней точке может и поменяться... При работе в режиме репитера он так же будет дублировать канал на котором работает ретранслируемая точка доступа? Вроде даже китайские ретрансляторы за 800 руб. умеют вещать на разных частотах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Oleg66 Опубликовано 28 июля, 2020 · Жалоба Подскажите в чем причина не присоединения модема E 3372h-320 версия прошивки 10.0.3.1(H192SP2C983) к Mikrotik RB951Ui-2HnD. В WinBox в Interface он появляется и тут же отваливается. В компьютерах без всяких проблем подключается и работает для передачи Интернета. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 июля, 2020 · Жалоба Попробуйте отключить Wi-Fi адаптер в роутере, или подключить внешнее питание USB модема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ERROR_404-2015 Опубликовано 22 февраля, 2021 (изменено) · Жалоба del Изменено 6 марта, 2021 пользователем ERROR_404-2015 сам разобрался Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gmm_ Опубликовано 20 марта, 2021 · Жалоба Доброго времени. Прошу совета знающих в предстоящем выборе. Нужен инет на даче в пригороде. За скоростью не гонюсь, но есть нюанс: нужен также udp от РТ, потому как матушка-пенсионерка смотрит несколько каналов типа еда, усадьба и др в прямом эфире и архиве, через dune hd ;). Нашёлся и добрый человек, бывший сосед, переехавший на новый адрес (А); окна на 5-ом этаже выходят куда надо. Оттуда до дачи (Б) 2900м. В зоне Френеля присутствуют: 1200 от точки А есть трёхэтажное здание, 2000м от А ещё двухэтажка, и в 2500м - четырёхпроводная линия ЛЭП (12кВ если не ошибаюсь). Последние 300м. лес, хвойные деревья высотой ~12м. (на севере деревья не очень высоки). В точке Б планирую ставить 18м мачту с растяжками. Рельеф по трассе неровный, возможны перепады +2-3м. По примерным раскладам получается, что сигнал по прямой будет как минимум на 2-3м. выше указанных препятствий. Ну, или мне хочется в это верить) : если не хватит высоты, то придётся поднимать точку А на крышу 9-тиэтажного дома, но хотелось бы этого избежать. Осенью '19 сделал мост на работе на паре SXTsq Lite5 на 900м (скриншот), там тоже были подобного рода препятствия, полтора года полёт нормальный, стабильно до 35-40Мбит по спидтесту, 78 канальная, мощность приглушил до 20%. Вторая зимовка, в эту зиму у нас было и -50°, точки запитаны от ups, иначе есть риск что после ухода электричества замерзшие точки не проснутся. Но там не стояла задача пропустить udp. Вот и подошёл к вопросу: какие точки предпочтительнее выбрать? Тариф будет 40-60Мбит, в точке А будут 3-5 потребителей типа смартфоны семьи, ноут и ТВ приставки. В точке Б примерно то-же самое. Если выбрать SXTsq Lite5 - а сумеют-ли они выдать на трёх километрах такой-же канал, будет-ли стабилен поток udp вещания при ширине канала 20МГц без повышения мощности выше допустим 50ти процентов? Точку надо будет однозначно за окно (наверное глупый вопрос))? Будет ли преимущество, если взять пару SXTsq 5 ac или QRT5 ? Последние уже существенно дороже, но всё ещё доступны при наличии явных преимуществ (если они есть). Сам склоняюсь к SXTsq 5 ac, но в сомнениях, прошу помощи, совета более опытных неравнодушных. Заранее спасибо откликнувшимся! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 20 марта, 2021 · Жалоба DISC5, пусть и в виде AC, будет дешевле QRT5. Если под UDP вы имеете в виду мультикаст, то у вас 2 варианта решения проблемы: 1. В настройках Data Rates убираете все галочки, в настройках HT MCS ставите минимальные допустим 10-12. В этом случае мультикаст пойдет уже не на самой низкой скорости, а на нормальной, и телевизор будет показывать. Но при ухудшении условий возможны обрывы. 2. Настраиваете радио как обычно, но данные передаете поверх EoIP туннеля. То есть создаете как обычно бридж в радио, вешаете на него IP адреса между устройствами. Далее создаете EoIP туннель на каждой на соседние IP адреса, создаете еще один бридж, в него с каждой стороны добавляете сетевой порт и EoIP туннель. Соответственно уже на этом бридже с туннелем вешаете еще по IP адресу для управления устройствами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reactor30 Опубликовано 8 апреля, 2021 · Жалоба Ребята нужна помощь есть видеонаблюдения Hikvision есть провайдер с белым IP надо настроить удаленый просмотр с помощью cloud mikrotik подскажите как это зделать.Через облако hikvision не катит так как чел не доверяет ему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 8 апреля, 2021 · Жалоба Нужно купить RB2011, аккуратно снять корпус, отбить молотком по форме шапки и надеть на голову. Если не доверяет, пусть не пользуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reactor30 Опубликовано 8 апреля, 2021 · Жалоба Нет дело не в том дело в том что облако hikvision он часто забывал пароль от облака,так что не вариант с облаком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 8 апреля, 2021 · Жалоба Тогда микротик ему ничем не поможет. Mikrotik Cloud просто привязывает доменное имя к текущему внешнему IP, более ничего. Память не лечит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...