OС Mikrotik

[bodee 0]

Всем привет , может ли кто подсказать либо ткнуть носом где мнесделать далее описываю ...

 

МТ 2.9.27

ether1 - lan 192.168.0.0/24

ether2 - линк на мопед PPPoE out

ether3 - линк на 2 прова но выходом в нет не пользуюсь

 

Задача такая.. Есть определенный список IP адресов которые доступны с ether3 локально , но также они доступны и с внешнего .. Хочется сделать хождение через ether3 к етим серверам а не обминая пол мира а бы попасть на сервера

 

Подскажите командной строкой либо через винбокс .. бо выпарился от жары полностью голова кипит а сделать пару штрихов неполучается .. весьма буду признателен в решении данной задачи.

[Prime 51]

сделать статический маршрут в эту сеть

по метрике он будет ближе, и не будет бегать через default gateway

 

параметров сети нет, как можно написать команду для винбокса

[bodee 0]

попробую детальнее описать

 

на етн3 весит dhcp-client получаю адреса от прова - локальные а они 172.24.57.93/23 gat.172.24.56.254

 

за винбокс скосил- недописал терминал в нем

[Prime 51]

значит смотри, у тебя тогда появится автоматический маршрут в эту сеть на ether3 интерфейсе.

 

пользователь, выбирая твой роутер как шлюз по умолчанию, будет бегать через ether3, т.к. для роутера локальный маршрут более приоритетный.

можешь сам посмотреть метрику через IP > Routes

 

соответственно, если допустим на роутере стоит IP 192.168.0.1/24, ты 192.168.0.2/24

и default gateway 192.168.0.1, то ты будешь видеть сеть 172.24.хх.хх/23 через роутер, по ether3

 

в настройках DHCP Client, убираешь птичку Add Default Route и твой роутер не будет получать от роутера того провайдера шлюз по умолчанию, и пакеты туда не будут ломиться.

[bodee 0]

Ох видимо не моим рукам сейчас ето дело .. спасибо за помощь .. что то неосили я еще... видимо надо остыть ..покурить пару манов по маршрутизации и скорее вьеду как оно пашет и как я хочу .. Возможно может и руками надо ему ставить маршрут бо всеравно трасировка плывет через дефолтный почемуто - а почему выясню наверно позже .. либо будут пока что ходить внешне .. Еще раз спасибо за консультацию навеяло силы прочесть пару манов .. читать не люблю а интерес хоть отбавляй ..

[bodee 0]

значит смотри, у тебя тогда появится автоматический маршрут в эту сеть на ether3 интерфейсе.

 

пользователь, выбирая твой роутер как шлюз по умолчанию, будет бегать через ether3, т.к. для роутера локальный маршрут более приоритетный.

можешь сам посмотреть метрику через IP > Routes

 

соответственно, если допустим на роутере стоит IP 192.168.0.1/24, ты 192.168.0.2/29

и default gateway 192.168.0.1, то ты будешь видеть сеть 172.24.хх.хх/23 через роутер, по ether3

 

в настройках DHCP Client, убираешь птичку Add Default Route и твой роутер не будет получать от роутера того провайдера шлюз по умолчанию, и пакеты туда не будут ломиться.

 

Спс дошло с 7 раза

Сделал запись в роуте на внешний и указав стат.шлюз пометив меткой 0 пошли пакеты непосредственно по етш3

 

 

Показываю на своем примере  для тех кто сталкнется с подобным используя винбокс , На Eth3  приходит DHCP  и у меня Dhcp-client . Получив адреса в клиенте отключаем Add Default Route  ..Далее  вписываем в Ip>routes   добавляем  в dst.address ip 193.ХХ.ХХ.ХХ (который вам нужно будет видеть через какой  интерфейс.)  далее выбираем шлюз через который будем ходить .. в моем примере это 172.24.56.254  , далее Distanse -метка 0 .. жмем Enable  и ОК .. вот и весь маленький мой геморой упавший мне на счастье подарить пользователям несколько доступных адресов обминая выход в мир и ооблегчая другим серфинг в мир   спс  Санчесу )

[Prime 51]

да это пустяки

[bodee 0]

Подскажите ... Нужно разрешить р2р соединени , прочитал ман. по настройке

 

[alex@MikroTik] > ip firewall nat add chain=dstnat action=dst-nat protocol=udp dst-port=4672 to-address=172.17.100.0/24
[alex@MikroTik] > ip firewall nat add chain=dstnat action=dst-nat protocol=tcp dst-port=4662 to-address=172.17.100.0/24

 

делаю прохождение через Мт

l

[alex@MikroTik] > ip firewall filter add chain forward in-interface=!ether1 protocol=tcp dst-port=4662 dst-address=172.17.100.0/24 action=accept				 
[alex@MikroTik] > ip firewall filter add chain forward in-interface=!ether1 protocol=udp dst-port=4672 dst-address=172.17.100.0/24 action=accept

 

вроде и правельно а в клиентах р2р порты закрыты ... куда глядеть и в чем загвоздка ?

[Neelix 33]

у тебя правила:

все запрещено, кроме того, что не разрешено?

или

все разрешено, кроме того, что не запрещено?

 

да и p2p фильтр не спасет от торрентов

[bodee 0]

правила все в запрет .и постепенно добавляю по очередно

 

Вопрос : если стоит на дефолтную группу 1 тх/rx то за рамки р2р не вылезет ? прыжков выше не видел , но всеже малоли ..

вопрос : во второй дефолтной запрета нет на tx\rx , когда работает 2 юзера с разных групп балансировка идет странно .. на 1 дефолт ограничения действую ,а второй по 2 дефолту становится на ограничение по 1 дефолту , хотя запаса еще около 6м.. в чем может быть недостаток недотянусь до извилины ..

[someprov 0]

Подскажите, может кто встречался с таким и поборол?

 

Имеем следующую ситуацию:

 

Mikrotik 3.28 (Xeon quad\2GB\mb supermicro)

PPP(ppoe - 30%, pptp - 70%) сессий - ~1000

Очередей соответственно( через радиус)

Трафик ~110 mbit

 

Происходят зависания в разное время в суток.

При зависании - в winbox не отображается ничего,

при нажатии ребута в меню - он только через минут 15 приходит.

Попытка зайти на телнет\ssh\терминал не выдает кроме приветствия ничего,

команду ввести нельзя.

 

P.S. Попытка перенести конфигурацию на такой же микротик, только Core2qaud

приводит к тому же зависанию.

А поддержка Mikrotik вежливо молчит...

[yri 20]

Подскажите, может кто встречался с таким и поборол?

 

Имеем следующую ситуацию:

 

Mikrotik 3.28 (Xeon quad\2GB\mb supermicro)

PPP(ppoe - 30%, pptp - 70%) сессий - ~1000

Очередей соответственно( через радиус)

Трафик ~110 mbit

 

Происходят зависания в разное время в суток.

При зависании - в winbox не отображается ничего,

при нажатии ребута в меню - он только через минут 15 приходит.

Попытка зайти на телнет\ssh\терминал не выдает кроме приветствия ничего,

команду ввести нельзя.

 

P.S. Попытка перенести конфигурацию на такой же микротик, только Core2qaud

приводит к тому же зависанию.

А поддержка Mikrotik вежливо молчит...

 

1 - сапорт ответит только если ваша лицуха) 100% настояшая а для етого уже новая процедура обрашения в сапорт)

во вторих вирубите поддержку много ядерности

включите логи включите графики возможно жрет оперативу

[Prime 51]

PPP(ppoe - 30%, pptp - 70%) сессий - ~1000

какой уровень лицензии?

[someprov 0]

какой уровень лицензии?

5

(Количество PPPoE не вываливает за лимиты)

[Prime 51]

5

(Количество PPPoE не вываливает за лимиты)

сколько сессий?

сколько pps на интерфейсах

[someprov 0]

1 - сапорт ответит только если ваша лицуха) 100% настояшая а для етого уже новая процедура обрашения в сапорт)

во вторих вирубите поддержку много ядерности

включите логи включите графики возможно жрет оперативу

 

Ну лицензия то самая настоящая 5 левел и на всех роутерах.

А вот выключить многопроцессорность не получается, проц в сто уходит на даже 3 ггц П4, потому ксеон на 4 ядра и взяли.

Оперативы не бывает меньше 700 свободной.

 

 

сколько сессий?

сколько pps на интерфейсах

 

PPPoE до 320-340 сессий

На порту уходящем к граничному роутеру 25kpps

[Neelix 33]

PPPoE до 320-340 сессий

TCP сессий имелось ввиду )

[someprov 0]

TCP сессий имелось ввиду )

 

Т.е. включить Tracking и оттуда?

Просто он выключен

[Neelix 33]

Т.е. включить Tracking и оттуда?

Просто он выключен

ненадо включать тогда

[Meataboll 0]

Стоит задача роутить на 2 домовых сети 1 100 мбитный канал.

 

Микротик для таких дел подойдет? Если да, то какое нужно железо брать?

[Neelix 33]

Стоит задача роутить на 2 домовых сети 1 100 мбитный канал.

 

Микротик для таких дел подойдет? Если да, то какое нужно железо брать?

P4 2.5ггц с 256 мб, лучше с запасом 512 возьми хватит с головой для работы с роутингом, пакетным фильтром и очередями.

[yri 20]

Ну лицензия то самая настоящая 5 левел и на всех роутерах.

 

вот у кого лицензию брали к тому обращайтесь обязани состиковать с сапортом и решить вопрос

[Prime 51]

вот у кого лицензию брали к тому обращайтесь обязани состиковать с сапортом и решить вопрос

в таких случаях продавец посылает к изготовителю

[yri 20]

в таких случаях продавец посылает к изготовителю

Плохо знакомы с политикой RouterOS

[Neelix 33]

Плохо знакомы с политикой RouterOS

Есть разные продавцы.

Послать к изготовителю это типичный ответ...