[Trueno]

Имеем сеть предприятия на много компьютеров.

Два интернет-канала. Именно два.

Нужно, чтобы трафик на 80, 443, 8080 порты ходил через один канал.

Остальной трафик - через другой.

На данный момент там стоит машина на базе виндовс сервер 2003, и программа Трафик инспектор, в которой эта возможность есть.

Скорость работы Трафик Инспектора печалит, винда глючит.

 

Задача - найти аппаратное решение.

Собственно, смотрю в сторону Микротик.

Задача в том, чтобы правильно это настроить.

Как мне уже подсказали, нужно промаркировать эти пакеты сначала.

Вобщем, гуру Микротика, помогите пожалуйста)

[Saab95]

Создаете маршрут по умолчанию на один канал, через который должны ходить все пакеты.

 

Создаете маршрут на другой канал и пишите ему Routing Mark например Canal_WEB, в Mangle этот трафик переводите на этот же Routing Mark, создав 3 правила, по одному на каждый порт.

 

 

[Trueno]

Метрики надо как-то выставлять?

Я так понимаю, в микротике метрика это Дистейшен?

В таком случае, по умолчанию каналу ставить метрику ниже, а тому, через который гоняем веб - выше?

[Saab95]

Я обычно одинаковые ставлю. Если вы Routing Mark пропишите она перестанет быть неактивной.

[Ilya Evseev]

Нужно, чтобы трафик на 80, 443, 8080 порты ходил через один канал.

Собственно, смотрю в сторону Микротик.

Задача в том, чтобы правильно это настроить.

http://wiki.mikrotik.com/wiki/Per-Traffic_Load_Balancing

[Trueno]

Эх мучался полночи и людей столько же без инета держал.

Вобщем, кратко - нифига не получается, вообще.

Взял новый 750жл.

В 3 порт вставил оператор_1

В 4 порт вставил оператор_2

В 5 порт вставил витуху в сервак.

 

Включаю Микротик. Он говорит, дефолт конфигурейшн, итд, удаляю дефолт.

Назначаю 5 порту ай-пи 10.10.10.1 (пробовал и другие).

4 порту и 3 порту назначаю тоже нужные айпишники.

Настрораживает то, что роутер даже не пингуется!! По 10.10.10.1. Винбокс пускает по мас-адресу,по ай-пи -- глухо.

В правилах фаервола пусто, что мешает??

 

Создаю правила (маршруты).

0.0.0.0.... на шлюз порт3, такое же на шлюз порт 4.

На роутере инет появляется!

Через консоль пингуем сайты - работает!

Включаю нат.

Захожу в Фаервол-Нат, там добавляю правило scr-nat, в исходящем интерфейсе пишу порт3, выбираю маскарадинг... - нифига не появляется инет.

Делаю такое же правило для исходящего интерфейса порт4, такой же эффект:((((

 

Ребята, где подвох?

Почему не работает НАТ и почему роутер даже не пингуется?

Может где-то зарыты какие-то глубокие запреты?

В Фаерволе правил нет вообще. Пробовал создавать правило, разрещающее всё - до задницы:(

Изменено 13 июля, 2012 пользователем Trueno

[Ilya Evseev]

Он говорит, дефолт конфигурейшн, итд, удаляю дефолт.

Зря.

Восстановите конфигурацию по умолчанию, убедитесь в её работоспособности, разберитесь в ней, а потом _постепенно_ её изменяйте.

[Trueno]

Ilya Evseev, да пробовал я и так (в самый первый раз) - эффект тот же.

Такое ощущение, что фаер где-то блочит.

Хотя у меня работает такой же микротик (держит тунель) и там всё пингуется и работает.

Настраивал его неделю назад.

Интересно мнение Saab95

[Trueno]

Вот сижу читаю статьи про базовую настройку.

Там почти везде написано, что нужно создавать какие-то разрешающие правила в фаерволе.

У меня же в IP -> Firewall -> Filter Rules ничего нет. Разве в таком случае (нет ни запрещающих, ни разрешающих правил) фаер не должен пропускать всё?

[pppoetest]

Смотря какая дефолтная политика

[Trueno]

Ура! Ура! Ура! Заработало!

Всё таки я где-то наверное натупил, когда ночью настраивал.

Надо ночью спать.

Заново настроил - пока всё ок)

Спасибо всем за подсказки:-)

[Ilya Evseev]

Смотря какая дефолтная политика

Несложная, осмысленная и документированная:

http://wiki.mikrotik.com/wiki/Manual:Default_Configurations

[Trueno]

В продолжении темы.

Всё работает, маркированый трафик маркером mark1 отправлятся на нужный интерфейс, весь другой трафик - идет на основной шлюз.

Задача такова.

Трафик mark1, а это http, https порты, повысить максимально по приоритету.

 

Как это сделать самым простым способом и не нужно ли заново его маркировать?

[Ilya Evseev]

Как это сделать самым простым способом

http://wiki.mikrotik.com/wiki/Manual:Connection_Rate#Application_Example_-_Traffic_Prioritization

?Quick Start for Impatient

 

и не нужно ли заново его маркировать?

не нужно.

[Trueno]

Ilya Evseev, не ругай плз, но я там не особо понял:(

Всё на английском и так много букф...

[Ilya Evseev]

Ilya Evseev, не ругай плз, но я там не особо понял:(

Всё на английском и так много букф...

За такой ответ не ругать надо, а сразу орден давать! с пожизненной пенсией

[Trueno]

Не, пенсия нынче маленькая, да и рановато мне ещё.

Ок, зайду с другой стороны.

Нашел в Queues -> Queues Tree такую штуку, как если создать новое правило, то в Parent можно указать интерфейс и ниже Priority.

Если я создам два правила, одно для одного интерфейса, а второе для другого и поставлю разные приоритеты, например, на интерфейс для http траффика 8, а на интерфейс для всего другого 1, будет ли толк?

[Ilya Evseev]

Если я создам два правила, одно для одного интерфейса, а второе для другого и поставлю разные приоритеты, например, на интерфейс для http траффика 8, а на интерфейс для всего другого 1, будет ли толк?

Если интерфейсы разные - не будет.

[Trueno]

Вобщем так я ничего и не делал, но есть проблема - медленно открываются сайты.

Причем некоторые лучше, некоторые хуже.

Бывает, всё отлично, а бывает, тормозит.

Тоесть никакой систематики не видно.

Тормозят так, как будто ДНС тупит (в опере справа адресной строки медленно номера соединений считает).

При обращении к серверу по nslookup ответ нормальный.

Каналы заняты не более на 50% даже в пик, так что вряд ли здесь торенты перебивают или соединения.

Загрузка проца на роутере тоже не поднимается выше половины.

 

В чем может быть причина?

До Микротика такого не было.

[pppoetest]

Сколько компов получают с микры тырнет, какова скорость и количество пакетов в секунду пролетающих через рутер?

[Trueno]

С миктотика получает инет сервер с биллингом заводским, а вот после него штук 200 компов, активных до 100 обычно.

Количество пакетов как посмотреть?

Думаете, затыкается всё таки микротик?

А чего ж тогда проц не загружен сильно?

[pppoetest]

Количество пакетов как посмотреть?

Можете в микре глянуть и скорость и pps

Думаете, затыкается всё таки микротик?

Возможно

[Trueno]

А какая пакетная производительность данного решения?

 

Применять приоритезацию в данном случае (каналы не загружены, интерфейсы тоже) смысла нет?

Ведь если нет шейпера или 100% загрузки канала - нет и очереди.

Или я не прав?