Jump to content
Калькуляторы

Микротик и с чем его едят Описание, примеры, вопросы, трудности, с которыми придется столкнуться

Всё равно не понял) А по большому сообщению что-то скажете? 

Перенаправление трафика на конкретные URL лучше делать через L7? или еще какие-то способы есть

Edited by xphoenix305

Share this post


Link to post
Share on other sites
16 минут назад, xphoenix305 сказал:

Всё равно не понял)

1.1.1.0/24  в приоритете перед  0.0.0.0/0

 

17 минут назад, xphoenix305 сказал:

Перенаправление трафика на конкретные URL лучше делать через L7? или еще какие-то способы есть

ну если ip статичные то просто маршрутизацией с марк, если имена то L7 тут я не профи.

Share this post


Link to post
Share on other sites
6 минут назад, Constantin сказал:

1.1.1.0/24  в приоритете перед  0.0.0.0/0

догнал) 

 

Адреса то может и статичные у них, но могут быть и 2 и больше одновременно + добавляться, поэтому хочется уже тупо *beeline* url фильтровать. Кроме L7 что еще умеет это? 

Share this post


Link to post
Share on other sites

по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО

 

Share this post


Link to post
Share on other sites
4 часа назад, xphoenix305 сказал:

И еще вопрос, какие есть варианты реализации такой схемы. Необходимо чтобы клиенты на некоторые сайты отправлялись строго через один маршрут. (клиенты на 4g - нельзя чтобы они заходили со своих айпишников напрямую на сайты оператора - вход в ЛК автоматический) Пока видится маркировать все соединения с адресами *beeline.ru* и прописать статичный маршрут с этой меткой на другой микротик (должен ли в этом случае distance быть меньше чем у маршрута по умолчанию?) . Какие еще есть варианты? 

Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда.

Share this post


Link to post
Share on other sites
В 31.08.2019 в 10:03, userok сказал:

Подскажите чем отличается файл бэкапа от файла конфигурации в микротик, почему размеры файлов очень разнятся?

бекап имеет бинарный формат и предназначен для точного востановления на том же экземпляре устройства ( ну или может быть другом экземпляре той же модели )

применение бекапа требует перезагрузки устройства

 

файл конфигурации имеет человекочитаемый формат , доступный для творческого редактирования в случае переноса на устройство немного другой модели ( с другим набором портов и.т.п.) и может применяться на устройстве выборочно и без перезагрузки. ( секциями / строками )

 

 

Share this post


Link to post
Share on other sites
57 минут назад, Constantin сказал:

по L7 самый простой вариант, правилом строишь адрес лист потом пакеты на эти адреса метишь и по роуте марк отправляешь куда нужно. ИМХО

 

а как насчет поля Content во вкладке Advanced в правиле маркировки? щас пробовал крутить, вроде работает. Даже больше чем через L7 (тестил на десятке сайтов, на некоторых почему-то L7 не срабывает) 

39 минут назад, Saab95 сказал:

Конечно есть, сделать туннель в центр сети и завернуть весь абонентский трафик туда.

Не вариант. Клиент должен сидеть со своего айпишника, и качать свой инет. Не тот случай у нас чтобы всё в центр загонять. 

Просто нужно перенаправить определенные url на другой шлюз. Только пока не вкурю получится ли обойтись правилом в одну сторону. prerouting src adr. 192.168.0.0 или нужно еще что-то городить чтобы пакеты обратно со шлюза смогли добраться к клиенту. 

 

Saab что-то скажете насчет вопроса об UDP с предыдущей страницы? 

Edited by xphoenix305

Share this post


Link to post
Share on other sites
12 минут назад, xphoenix305 сказал:

тестил на десятке сайтов, на некоторых почему-то L7 не срабывает

Видимо на HTTPS.

Share this post


Link to post
Share on other sites
2 минуты назад, alibek сказал:

Видимо на HTTPS.

Тоже подозреваю. Но как-то странно. фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало, а вот shop.megafon.ru не поймало.. 

будем тестить опцию Content, но пока с соединениями какой-то бардак. Не пойму как правильно указать адресах src и dst в правилах. 

Share this post


Link to post
Share on other sites
8 минут назад, xphoenix305 сказал:

фильтр "megafon" - на lk.megafon.ru, megafon.ru сработало

Он скорее всего сработал на SNI.

Для HTTPS нужно забыть про контент.

А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту.

Share this post


Link to post
Share on other sites
38 минут назад, alibek сказал:

Для HTTPS нужно забыть про контент.

А поскольку HTTPS используется все шире, нужно вообще забыть про фильтрацию по контенту.

Так как же быть?) Content не работает, и L7 тоже всегда справляется. Неужели HTTPS не побороть? 

Share this post


Link to post
Share on other sites
15 минут назад, xphoenix305 сказал:

Неужели HTTPS не побороть?

Разумеется можно.

Можно просто заблокировать весь HTTPS, это несложно.

Также можно заставить всех пользователей установить левый корневой сертификат и разрешить доступ в интернет только через прокси-сервер.

Share this post


Link to post
Share on other sites

я имею ввиду без подобных костылей и сложностей)  а просто фильтрованием

Edited by xphoenix305

Share this post


Link to post
Share on other sites

Смешной вопрос.

А зачем бы нужен был HTTPS, если бы его можно было читать?

Share this post


Link to post
Share on other sites
В 18.01.2020 в 13:50, Constantin сказал:

ну вот и пускай биллинг создает на мт  нетвач, в котором последней строкой будет самоудаление.

Что-то не могу найти скриптов, да и вообще возможности подключения одного микротика к другому по API , это вообще работает?

 

Создание нетвотча из биллинга осилил, работает так как нужно, осталось дело за подключениями к другим мт.

Share this post


Link to post
Share on other sites

Добрый день, столкнулся с маленьким непониманием типа очереди PCQ.

В данный момент использую такую схему . БС SXT - PTMP . Раньше стандартно ставили simple queue на каждый клиентский IP. Теперь перешел на PCQ по src+dst address + port.  В queue сейчас только 1 правило PCQ_ALL 192.168.90.0/24 5M 20M с типом pcq limit 1k total limit 15k.

Всё работает хорошо. Скорость делится не по адреса, а по соединения, каждый клиент может получить 20мбит. НО при необходимости ограничить отдельного пользователя из этой подсети - создаем дочернее правило с его ip, И основное PCQ_ALL перестает работать! Т.е. во вкладке статистики по скорости видно что основное pcq учитывает скорость только конкретного дочернего правила, при этом забивает на остальную подсеть - и ограничение у них не работает вообще.

Грешу на то что в обоих правилах стоит один type PCQ_ALL, однако пробовал ставить и pfifo на дочернее правило - результат такой же. Причем нет разницы какое правило стоит выше. По логике если дочернее выше - оно должно захватывать трафик с ip, и игнорировать его в родительском.

Получается эта схема не реализуема в simple queues? только через tree?

Если дочернее правило сделать самостоятельным то всё возвращается в работоспособность. Но тогда они оба могут загрузить свои максимумы по каналу, а это критично.

 

Ограничение вместо ip по pppoe интерфейсу клиента тоже не меняет ситуации


/queue type
set 0 pfifo-limit=1000
set 1 pfifo-limit=1000
set 2 kind=pfifo pfifo-limit=1000
add kind=pcq name=Dynamic_PCQ_download pcq-burst-rate=10M pcq-burst-threshold=\
    4M pcq-burst-time=16s pcq-classifier=dst-address pcq-dst-address6-mask=64 \
    pcq-limit=3k pcq-rate=5M pcq-src-address6-mask=64 pcq-total-limit=5k
add kind=pcq name=Dynamic_PCQ_upload pcq-burst-rate=1M pcq-burst-threshold=400k \
    pcq-burst-time=16s pcq-classifier=src-address pcq-dst-address6-mask=64 \
    pcq-limit=3k pcq-rate=500k pcq-src-address6-mask=64 pcq-total-limit=5k
add kind=pfifo name=MikroBILL_PFIFO pfifo-limit=500
add kind=sfq name=MikroBILL_SFQ
add kind=pcq name=MikroBILL_PCQ_DOWN pcq-classifier=dst-address pcq-limit=500 \
    pcq-total-limit=12455
add kind=pcq name=MikroBILL_PCQ_UP pcq-classifier=src-address pcq-limit=500 \
    pcq-total-limit=12455
add kind=pcq name=PCQ_ALL pcq-classifier=\
    src-address,dst-address,src-port,dst-port pcq-dst-address6-mask=64 \
    pcq-limit=1k pcq-src-address6-mask=64 pcq-total-limit=15k
set 16 pfifo-limit=1000
/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32

 

pcq.png

pcq2.png

Edited by xphoenix

Share this post


Link to post
Share on other sites
В 14.02.2020 в 13:16, xphoenix сказал:

/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32

Плохая идея одинаково называть и очередь, и тип "PCQ_ALL".

По классификатору "по src+dst address + port." лимит ставится не на каждого клиента, а на каждое отдельное его соединение. Клиент открывший 100 соединений, получит ёмкость больше, чем клиент открывший 10 соединений.

Насколько помню, если очередь имеет дочерние очереди, она перестаёт сама работать на ограничение отдельных клиентов. Она лишь "забирает трафик" для группы дочерних очередей.
Чтобы работало, Вам надо создать еще одну общую дочернюю очередь и расположить ниже:
/queue simple
add max-limit=5M/20M name=PCQ_ALL queue=PCQ_ALL/PCQ_ALL target=\
    192.168.90.0/24,192.168.91.0/24
add disabled=yes max-limit=1M/3M name=0227 parent=PCQ_ALL target=\
    192.168.90.147/32
add max-limit=5M/20M name=other parent=PCQ_ALL  target=\
    192.168.90.0/24,192.168.91.0/24

Share this post


Link to post
Share on other sites

С чем может быть связан нестабильный трансфер от Hap ac2 к клиенту? На клиенте спидтестом входящий начинает плавно раскачиваться 30-40-60-70-80 мбит... а исходящий (от клиента на Hap ac2) почти сразу в 90 мбит упирается... Канал в инет 100 мбит. Игра с частотами и мощностью дают только более худшие результаты. Используемый диапазон свободен от других точек доступа.

name="wlan2" mtu=1500 l2mtu=1600 arp=enabled interface-type=IPQ4019 mode=ap-bridge
      frequency=5260 band=5ghz-onlyac channel-width=20/40/80mhz-Ceee secondary-channel="" scan-list=default wireless-protocol=802.11
      vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes
      default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0 hide-ssid=no security-profile=default compression=no

set [ find default-name=wlan2 ] band=5ghz-onlyac channel-width=20/40/80mhz-Ceee country=debug disabled=no distance=indoors frequency=5260 \
    installation=indoor mode=ap-bridge multicast-helper=disabled tx-power=20 tx-power-mode=all-rates-fixed wireless-protocol=\
    802.11 wps-mode=disabled

 

И еще вопрос - Virtual интерфейс в режиме station может работать на частоте, отличной от master interface? При падении основного канала нужно подключаться к внешней точке доступа и раздавать от нее инет проводным и беспроводным клиентам, но пока на master interface канал не будет совпадать с внешней точкой - подключения не происходит, а канал на внешней точке может и поменяться...

 

При работе в режиме репитера он так же будет дублировать канал на котором работает ретранслируемая точка доступа?

Вроде даже китайские ретрансляторы за 800 руб. умеют вещать на разных частотах.

Share this post


Link to post
Share on other sites

Подскажите в чем причина не присоединения модема E 3372h-320 версия прошивки 10.0.3.1(H192SP2C983) к Mikrotik RB951Ui-2HnD. В WinBox в Interface он появляется и тут же отваливается. В компьютерах без всяких проблем подключается и работает для передачи Интернета.

Share this post


Link to post
Share on other sites

Попробуйте отключить Wi-Fi адаптер в роутере, или подключить внешнее питание USB модема.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now