[Saab95]

Просто нужно подключить свой компьютер через отдельный микротик, открыть веб, посмотреть видео онлайн и т.п., смотрите какие порты и протоколы задействованы, далее запускаете торрент и смотрите, запускаете скайп, аську и т.п. На основе полученных данных и размечаете трафик. Обычно поступают просто - все порты от 1 до 1000 ставят в высокий приоритет, а все что выше - в низкий. Как идут жалобы, интересуетесь какие приложения используют, отлавливаете их порты и добавляете в нужный приоритет.

[Akavir]

2. Решил совсем отрезать торренты.

Заблокировал uTP (Или же не заблокировал?)

/ip firewall layer7-protocol
add comment="uTP_uTorrent" name="\\B5TP" regexp="\\x7F\\xFF\\xFF\\xFF\\xAB"
/ip firewall filter
add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"

Воспользовался другими популярными правилами, пользователь не может скачать даже файл для торрент клиента, но мой уторрент всё равно качает :)

/ip firewall filter
add action=drop chain=forward comment="TORRENT No 1: Classic non security torrent" disabled=no p2p=all-p2p
add action=drop chain=forward comment="TORRENT No 2: block outgoing DHT" content=d1:ad2:id20: disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp
add action=drop chain=forward comment="TORRENT No 3: block outgoing TCP announce" content="info_hash=" disabled=no dst-port=2710,80 protocol=tcp
add action=drop chain=forward comment="TORRENT No 4: prohibits download .torrent files. " content="\r\nContent-Type: application/x-bittorrent" disabled=no protocol=tcp src-port=80
add action=drop chain=forward comment="TORRENT No 5: 6771 block Local Broadcast" content="\r\nInfohash:" disabled=no dst-port=6771 protocol=udp

 

Просто нужно подключить свой компьютер через отдельный микротик, открыть веб, посмотреть видео онлайн и т.п., смотрите какие порты и протоколы задействованы, далее запускаете торрент и смотрите, запускаете скайп, аську и т.п. На основе полученных данных и размечаете трафик. Обычно поступают просто - все порты от 1 до 1000 ставят в высокий приоритет, а все что выше - в низкий. Как идут жалобы, интересуетесь какие приложения используют, отлавливаете их порты и добавляете в нужный приоритет.

 

Классная мысль, сейчас попробую

Изменено 2 января, 2014 пользователем Akavir

[Ferdin]

Изучаем дальше :)

Поставил задачу резать торренты. Прогресс будет здесь :)

Зачем их резать, прогресса всё равно не добъётесь?

Я сколько не боролся ничего нормально не работало,

единственное можно дропать пакеты -это тоже под вопросом.

[SergioDeMaster]

торрент пролезает чуть ли не везде. оставишь 80й порт - пролезет и через него

[Akavir]

Это точно, торрент вообще неудержимый. Вроде бы вот эти правила совсем отрубают торренты. Просто оказалось надо было проверить на свежескаченном торренте, который ещё не анонсировал DHT. А так реально отрубает торренты, зоны, медиагеты и т.п.

 

/ip firewall filter
add action=drop chain=forward comment="TORRENT No 1: Classic non security torrent" disabled=no p2p=all-p2p
add action=drop chain=forward comment="TORRENT No 2: block outgoing DHT" content=d1:ad2:id20: disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp
add action=drop chain=forward comment="TORRENT No 3: block outgoing TCP announce" content="info_hash=" disabled=no dst-port=2710,80 protocol=tcp
add action=drop chain=forward comment="TORRENT No 4: prohibits download .torrent files. " content="\r\nContent-Type: application/x-bittorrent" disabled=no protocol=tcp src-port=80
add action=drop chain=forward comment="TORRENT No 5: 6771 block Local Broadcast" content="\r\nInfohash:" disabled=no dst-port=6771 protocol=udp

Изменено 3 января, 2014 пользователем Akavir

[Ferdin]

А теперь будут жалобы что не работают торренты, зоны, медиагеты и т.п.,

так будешь каждому отдельно приоритеты устанавливать или всем порты включать?

[sokrat]

Это точно, торрент вообще неудержимый. Вроде бы вот эти правила совсем отрубают торренты. Просто оказалось надо было проверить на свежескаченном торренте, который ещё не анонсировал DHT. А так реально отрубает торренты, зоны, медиагеты и т.п.

 

/ip firewall filter
add action=drop chain=forward comment="TORRENT No 1: Classic non security torrent" disabled=no p2p=all-p2p
add action=drop chain=forward comment="TORRENT No 2: block outgoing DHT" content=d1:ad2:id20: disabled=no dst-port=1025-65535 packet-size=95-190 protocol=udp
add action=drop chain=forward comment="TORRENT No 3: block outgoing TCP announce" content="info_hash=" disabled=no dst-port=2710,80 protocol=tcp
add action=drop chain=forward comment="TORRENT No 4: prohibits download .torrent files. " content="\r\nContent-Type: application/x-bittorrent" disabled=no protocol=tcp src-port=80
add action=drop chain=forward comment="TORRENT No 5: 6771 block Local Broadcast" content="\r\nInfohash:" disabled=no dst-port=6771 protocol=udp

 

А может в обще клиенту интернет отрубить, зачем он ему нужен.....

[Ferdin]

А может в обще клиенту интернет отрубить, зачем он ему нужен.....

Так идея, оставить только 80 порт и пусть что ходят через него пихают..)

[deFlash]

Доброго дня.

Akavir - недорогие решения и качественные для реализации твоей задачи есть и другие. У Микротика один из минусов, то что он почти не выпускает устройств "из коробки" которые могуь применяться для построения беспроводной сети. Есть куча интересных рутербоардов - мощный инструмент, главное какие идеи, потребности, залачи и умения. А вот с антенами совсем тяжко. Тут то и стоит рассматривать связки MikroTik + антенна стороннего производителя.

Не знаю как с легкодоступностью в РФ антенн ( только пытаюсь вывести польский бренд на рынок ), но в Польше проблем нет. Тут можешь к примеру взять антенну antobu_dp_5G12_om_n05_mimo, она 12 дБ + МИМО + громадный монтажный бокс в который можно не только рутербоард посадить, а так же и PoE инжектор и LAN контроллер какой-нибудь(к нему можно и датчики прицепить, камеру, микрофон, мониторинг и т.п., в общем на платформе в баков 40 создать охранную систему с мониторингом в риалтайме). С данной антенной возможно будет ощнакомиться скоро в Москве на МУМ от Микротика. Так вот, тут реально получить можно красивый, надежный узел на базе MikroTik + Technologig + Lan контроллер. На такую БЗ можно будет клиентов побольше повесить + если рутербоард по мощнее взять, то на нем можно вообще много каких задачь развернуть.

Вот только не понятно, для чего клиентам необходимо по 40 мб гарантированного трафика? Что они такое делают? По моей практике удается на 1 сектор или омни зацепить по 30-70 абонентов без жалоб, ведь учитывая, что не все пользователи и не всегда пользуются инетом - то все работает :)Плюс, учитывать нужно пиковую нагрузку, которая так же легко наблюдается и при необходимости можно всегда добавить новую базовую станцию.

А если требуются большие канальные скорости, то тут уже либо лайты ( если расстояния небольши), либо опять таки к примеру MikroTik + Technologig ( направленные антенны 12,15,18,20,21,23 бД, или сектора на 120 или 90 градусов 15 и 17 дБ) Тут все зависит от того какие скорости нужны.

 

Вообще, когда есть выбор антенн - то есть возможность сделать то что хочешь, как хочешь и для чего хочешь!

[Akavir]

Мост снова в деле. Антивандальный ящик весит на крыше, кронштейн на метр выглядывает над пропастью :) Достать можно, только спилив дверцу ящика или распилив сам кронштейн. Не знаю, как отреагируют люди внизу :)

После подсказки Сааба (за что спасибо огромное), я понял, что лучше в свой антивандальный ящик поставить какой-нибудь производительный маршрутизатор от Mikrotik, на него будет приходить интернет, а потом передаваться по беспроводному мосту дальше. Во первых, подключение будет нормально организовываться извне, во вторых мой мост будет именно мостом, в третьих из моего ящика интернет может быть будет ходить ещё в другую сторону. А чтобы производительный агрегат не простаивал, очень захотелось наделить его обязанностью увеличивать пакетную производительность моего моста. Ну очень мне понравилась идея в этой статье http://www.lanmart.ru/blogs/review-ubiquiti-powerbridge-m10/. Но вот не могу решить, поставить в ящике маршрутизатор из компа на RouterOS x86 или просто какой-нибудь маршрутизатор от Mikrotik?

[Akavir]

Решил всё-таки собрать системник под RouterOS x86. В принципе собираю из того, что есть. Но думаю что для маршрутизатора хватит.

Корпус ACCORD K-01W white

Процессор AMD Athlon X3 415e

Мат. плата ECS IC780M-A2

ОЗУ Crucial DDR-3 2Gb PC3-12800

SSD Plextor PX-64M3 64Gb

БП FSP 400Вт.

Сетевая RB44Ge

Но у меня вопрос к Уважаемым специалистам. Если у меня есть магистральный канал (мост) до частного дома, где будет располагаться другое коммутирующее оборудование, в свою очередь раздающее интернет дальше клиентам, то мне нужно расположить маршрутизатор с RouterOS x86 до моста или после? При этом маршрутизатор с RouterOS x86 должен будет решать следующие задачи:

1. Маркировка трафика (L7 Layer)

2. PPPoE сессии

3. Некоторое количество правил firewall'а

 

Заглянул в тему над моей, там Сааб хороший совет дал. Конфигурация и стоимость:

GigaByte GA-B75N 2570р.

Intel Pentium G2010 1760р.

RB44Ge 3069 р.

Память DDR3 2048Mb 1600MHz Crucial 665 р.

Espada SSD 16Gb mSATA 1380 р.

Корпус DeskTop INWIN BP655 1840 р.

 

Итого: 11284 р.

 

Черт, за эти деньги можно вот такого красавца взять RB1100Hx2

Изменено 20 февраля, 2014 пользователем Akavir

[Saab95]

Возьмите лучше младшую модель CCR, она по деньгам не сильно дороже.

 

Ставить надо там, где удобнее поставить. По мосту можно взять канал оператора и притащить на свой миниузел, а с него уже раздавать дальше.

[Akavir]

Ставить надо там, где удобнее поставить. По мосту можно взять канал оператора и притащить на свой миниузел, а с него уже раздавать дальше.

 

Тогда буду собирать на своем миниузле (название прямо в точку :)). Хотел бы, конечно путевый ROS собрать по твоему совету, но пока что, наверное попробую собрать из того, что есть. В магазине доступен только такой CCR CCR1016-12G Хороший, наверное, но слишком круто для меня :) А вот такая железка справится с задачей молотилки трафика на 20 клиентов CRS125-24G-1S-2HnD-IN (белый, вообще красавчик!)?

Хотя если рассудить то процессор там такое же как и в том же RB951Ui-2HnD, сделал пару правил в L7 Layer, так процессор почти на 90% занят был. :( Хотя как говорит мой боевой товарищ, я хочу и рыбку съесть и на ... сесть :)

Изменено 21 февраля, 2014 пользователем Akavir

[Saab95]

Если стоит задача минимальными вложениями обеспечить работу, можно вообще ничего не покупать, кроме лицензии на операционку, и собрать сервак из железа, которое есть под рукой. 100 мегабит пропустят и дешевые сетевухи.

[Akavir]

Если стоит задача минимальными вложениями обеспечить работу, можно вообще ничего не покупать, кроме лицензии на операционку, и собрать сервак из железа, которое есть под рукой. 100 мегабит пропустят и дешевые сетевухи.

 

Спасибо за совет, буду собирать, но сетевуху от микротика всё-таки куплю, пригодится, да и посмотрев, что у Inel Intel E1G42ET, Intel EXPI9404PTL, HP HP Ethernet 1Gb 4P 331FLR Adptr и Allied Telesis Allied Telesis PCI-E AT-2973T/4-001 подобные сетевые платы стоят в 3-5 раз дороже, лишь укрепил моё решение.

Изменено 22 февраля, 2014 пользователем Akavir

[nio_jt]

У меня вот так реализовано минимальными средствами (макс 10к на 100мбит линк на 30 клиентов):

 

ISP > rb450g > sxt lite 5 > sxt lite 5 > x86 компец (хлам, времен года 2000, сетевухи стандартные рублей по 300).

- rb роутит сотку без проблем с запасом за 4кр (щас может что быстрее есть за дешевле)

- пара лайтов качает 70-75 за 4.5кр (быстрее честные sxt, но двухкратное увеличение цены, имхо нафиг), если очень хочется прямо вот сотку выжать, то имхо еще пару лайтов поставить и объединить две пары, и быстрее и резерв будет за те же деньги.

- ну и остается копейки в виде 1-2к на хлам в виде компа-роутера. У меня реально хлам (например тырим с работы и ставим админу пиво, обычно старого железа вагон, большой выбор и никому оно не нужно), перегревается - разобрал, цпу почти всегда под сотню. Поставил обычный здоровый ему вентилятор типа комнатного - все работает как часы.

 

Так раздается сотка на 25-35 клиентов. В не пиковые вечерние ночные часы загрузка 20-40%, в пиковые 100% (все 70мбит). Пакетов 9-15к. Фаервола можно сказать нет, торренты не режу, танкам приоритет не выдаю. Пинг к яндексу или танкам *как у всех*)

 

ps. тут вроде спрашивали куда ставить роут, к которому будет много клиентов втыкаться и за ним радио. Вот ИМХО лучше ставить на стороне кучи клиентов и делать там фаерволл, чтобы *кака* не гуляла по радио.

 

UP: зачем ставить железо мощнее не пойму... Его еще отбить надож.

Изменено 24 марта, 2014 пользователем nio_jt

[Saab95]

Просто вы вместо компа могли бы так же роутер микротика поставить и он бы те же 100 мбит раздал, а если у вас Lite5, то можно и на нем все сделать, например первый роутер RB450G делает только НАТ, а ближняя к клиентам антенна Lite5 работает роутером и режет скорость абонентам. Получите хорошую экономию электричества.

[nio_jt]

Просто вы вместо компа могли бы так же роутер микротика поставить и он бы те же 100 мбит раздал, а если у вас Lite5, то можно и на нем все сделать, например первый роутер RB450G делает только НАТ, а ближняя к клиентам антенна Lite5 работает роутером и режет скорость абонентам. Получите хорошую экономию электричества.

 

Согласен, но на компе там как раз клиентам все раздается, плюс всякий мусор там хостится в виде внутреннего портала и пр. И туда же воткнут резервный мобильный модем (смотреть а почему радио упало и что как вообще), усб сколько хочешь) Lite 5 падает намертво если в него воткнуть сегмент машин на 250+, и какой-то там ваервол на нем делать для 30 клиентов из них... Лайты обеспечивают прозрачное радио и все. Имхо и норм. Но на вкус и цвет как говорится...

[Akavir]

Лайты обеспечивают прозрачное радио и все. Имхо и норм.

 

Согласен, лайты отлично для этого подходят. Стоимость низкая, не так в принципе обидно будет, когда монтажник "вася" снимет твою антенну, чтобы пропить её потом.

[Akavir]

Поступило предложение сделать мост на дальнюю дистанцию (~12км). Присматриваюсь к ещё не вышедшим Mikrotik MTAD-5G-30D3-PA. Цена на неё будет 129$ и 119$ на антенну для неточной юстировки.

 

А вот подскажите, господа, а на сколько критично в режиме ptp MIMO 2x2? Может не морочить голову и взять ExtraLink Grid 5G27 вместе с Mikrotik RBGroove-52HPn?

 

Интересно, а на какое расстояние бьют таких два геркулеса Mikrotik RBSXTG-5HPnD-HGr2 в связке?

 

Не пожалел бы денег и установил ePMP 1000, но вдруг украдут?

Изменено 2 апреля, 2014 пользователем Akavir

[Saab95]

С одноканальной решеткой и грувом получите под 40 или 80 мегабит прокачки, в зависимости от ширины полосы. Симплексом. Если этого хватит - берите.

SXT на таком расстоянии будут работать только в том случае, если есть идеальная прямая видимость и нет помех, получите около 30 мегабит в MIMO на низких модуляциях, если словите перекос по каналам, и того меньше.

[xabarov]

SXT на таком расстоянии будут работать только в том случае, если есть идеальная прямая видимость и нет помех, получите около 30 мегабит в MIMO на низких модуляциях, если словите перекос по каналам, и того меньше.

SXT ставить на такое расстояние - полный идиотизм, сигналы будут плавать, антенна будет ловить помехи со всех сторон, а если их еще нет - со временем придут и будете как параноик перебирать частоты и настройки. Надо сразу ставить устройство с запасом по энергетике и держать его в запасе до тех пор, пока не пригодится. Лучше поставить связку из новых антенн RFElemtns + RB911G (по сути аналог Nanobrodge, только плата крепится позади тарелки), или еще дешевле и проще - Nanobeam, выкрутите мощность на минимум и получите свою сотку мегабит. А сабу лишь бы впихнуть SXT в любую дыру, микротик то пока ничего нормального не придумал для таких линков.

[slv700]

Nanobeam, выкрутите мощность на минимум и получите свою сотку мегабит

Приведите хоть один пример 100 мегабит/c в 20 МГц на нанобиме.

[slv700]

Не пожалел бы денег и установил ePMP 1000, но вдруг украдут?

Ставьте ePMP 1000 Connectorized ( в Украине уже есть, в России будет вот вот). Цена как за СПЕ с встроенной антенной. Антенны подойдут dual pol любые. На дальности 12 км с любыми внешними антеннами продавите любую помеху, и получите гарантировано стабильных 100Мбит/c дуплекса в 40 МГц ( 100 Мбит/c симплекса в 20 МГц) со стабильной задержкой. Поставите и забудете, никто из пионеров на убнт на занятую ePMP частоту не сунется.

[xabarov]

Приведите хоть один пример 100 мегабит/c в 20 МГц на нанобиме.

Вас заклинило на 20 МГц?