Перейти до

Помогите с Mikrotik

Zero_real

Автор: Zero_real,
в Маршрутизатор L3

 Share Подписчики 1

Рекомендованные сообщения

Zero_real

Zero_real 4

Опубликовано:
Опубликовано:

Доброго времени суток!

 

 

Никогда раньше не работал с микротиком, вот сейчас пришлось. Немогу разобраться.

 

Итак задача:

Есть Mikrotik RouterBOARD 750G

Есть 2 adsl модема к укртелекому в режиме роутеров (10.30.0.1/24 и 10.30.1.1/24).

Есть сеть пользователей 10.10.0.0/24.

Есть роутер с FreeBSD 10.10.0.1 в этой сети.

 

Задача:

На микротике реализовать динамичискую нагрузку обоих каналов. Все это дело запихнуть в pptp-тунелю к freebsd. При этом учитывать,что нужно запретить маршрутизировать трафик в интернет с порта микротика, который включен в локальную сеть.

 

Я это вижу так:

На микротике организовывается динамическое распределение нагрузки каналов (как сделать?).

На микротике поднимается pptp-server. FreeBSD вяжется к этому серверу и получает уже доступ в интернет.

На lan порту микротика файрволом закрывается все, кроме 1723 порта tcp, протокола gre и портов для управления микротиком (каких?). Или просто запрещается маршрутизация по этом порту (как такое реализовать?).

 

Настроек в сей коробочке нереально много. Уже второй день мучаюсь. Помогите пожалуйста.

Ссылка на сообщение
Поделиться на других сайтах
MaxHero

MaxHero 0

Опубліковано:
Опубліковано:

Доброго времени суток!

 

 

Никогда раньше не работал с микротиком, вот сейчас пришлось. Немогу разобраться.

 

Итак задача:

Есть Mikrotik RouterBOARD 750G

Есть 2 adsl модема к укртелекому в режиме роутеров (10.30.0.1/24 и 10.30.1.1/24).

Есть сеть пользователей 10.10.0.0/24.

Есть роутер с FreeBSD 10.10.0.1 в этой сети.

 

Задача:

На микротике реализовать динамичискую нагрузку обоих каналов. Все это дело запихнуть в pptp-тунелю к freebsd. При этом учитывать,что нужно запретить маршрутизировать трафик в интернет с порта микротика, который включен в локальную сеть.

 

Я это вижу так:

На микротике организовывается динамическое распределение нагрузки каналов (как сделать?).

На микротике поднимается pptp-server. FreeBSD вяжется к этому серверу и получает уже доступ в интернет.

На lan порту микротика файрволом закрывается все, кроме 1723 порта tcp, протокола gre и портов для управления микротиком (каких?). Или просто запрещается маршрутизация по этом порту (как такое реализовать?).

 

Настроек в сей коробочке нереально много. Уже второй день мучаюсь. Помогите пожалуйста.

 

Самое сложное - сделать правильную балансировку каналов. У меня не получалось на микротике завести балансировку в зависимости от текущей нагрузки канала :P Я делал следующим образом: в фаерволе создавал 2 списка ip-адресов. Далее каждый пакет проверялся на адрес назначения, если этот адрес находился в первом списке ip-адресов, то маскарадил на первый канал, если адрес назначения во втором списке ip-адресов, то маскарадил на второй канал. Если же ip-адрес не в первом и не во втором списке, то тогда с вероятностью в 50% помещал адрес в первый список ip-адресов и маскарадил на первый канал, в противном случае помещал адрес во второй список ip-адресов и маскарадил на второй канал.

 

Таким образом достигалась долее-менее равномерная нагрузка каналов. Пляски со списками необходимы для того, чтобы не выходило таких ситуаций, что с одним и тем же ресурсом каждый раз соединения будут идти с разных ip. Например, файлообменники этого очень не любят и нормально работать не будут. Если у вас каналы разных емкостей, например один - 4 мегабита, второй - 8 мегабит, то надо тогда выставлять другие проценты вероятностей помещения ip-адресов в списки - 34% и 66% для 4 и 8 мегабит.

 

 

Также некоторые делают балансировку в зависимости от адреса-источника. Т.е. часть абонентов сажают на один канал, остальных - на второй. Но тут есть проблема, что если в одной группе у нас одновременно начинают 2-3-4 абонента одновременно качать, например, торренты, то канал может легко забиться, в то время, как второй канал будет простаивать. Поэтому, ИМХО, правильнее делать балансировку в зависимости от адреса-назначения.

Ссылка на сообщение
Поделиться на других сайтах
Zero_real

Zero_real 4

Опубліковано:
  • Автор
Опубліковано:

Правильно делать пропрциональную балансировку с запоминанием на некоторое время открытых сессий. Только как это сделать...

 

На самом деле каналов 4, еще подключены напряму к FreeBSD.

 

Подскажи хотя бы как протащить в тунеле каналы с модемов, распределение нагрузки я могу и на фре сделать.

 

Просто нереально разобраться с этими настройками. Интерфейсов на микротике 5, мне нужно 3. Как отключить 2 остальных непонятно. Назначаю айпи на одном интерфейсе, его видно на двух. Вот такие вот странные ситуации...

 

Ткните носом хоть куда копать. Замучался уже воевать с этим микротиком...

Ссылка на сообщение
Поделиться на других сайтах
MaxHero

MaxHero 0

Опубліковано:
Опубліковано:

Правильно делать пропрциональную балансировку с запоминанием на некоторое время открытых сессий. Только как это сделать...

 

На самом деле каналов 4, еще подключены напряму к FreeBSD.

 

Подскажи хотя бы как протащить в тунеле каналы с модемов, распределение нагрузки я могу и на фре сделать.

 

Просто нереально разобраться с этими настройками. Интерфейсов на микротике 5, мне нужно 3. Как отключить 2 остальных непонятно. Назначаю айпи на одном интерфейсе, его видно на двух. Вот такие вот странные ситуации...

 

Ткните носом хоть куда копать. Замучался уже воевать с этим микротиком...

 

То что так правильно - я не спорю, а как быть с UDP, ICMP трафиком? Ведь для UDP и ICMP понятия установки соединения не существует :P По поводу проброса 4 каналов в тунеле - сам не пойму как сделать получше - видимо только VLAN тут поможет. Я бы все таки делал балансировку на микротике.

 

Насчет интерфейсов, увы, ничем не помогу, т.к. я работал только с обычными PC, на которые ставился микротик. С аппаратными микротиками дел не имел.

 

Вот тут когда - то читал по поводу балансировки, мне помогло.

Ссылка на сообщение
Поделиться на других сайтах
Zero_real

Zero_real 4

Опубліковано:
  • Автор
Опубліковано:

MaxHero, Спасибо большое за ответ. Для UDP, ICMP все проще. Просто пропорционально шлем пакеты в разные каналы и все. С ТСР все сложнее. Тем же вконтакте.ру очень не нравится, что http-сесии открываются то с одного айпи, то с другого и они просят повторно авторизироваться.

Ссылка на сообщение
Поделиться на других сайтах
MaxHero

MaxHero 0

Опубліковано:
Опубліковано:

MaxHero, Спасибо большое за ответ. Для UDP, ICMP все проще. Просто пропорционально шлем пакеты в разные каналы и все. С ТСР все сложнее. Тем же вконтакте.ру очень не нравится, что http-сесии открываются то с одного айпи, то с другого и они просят повторно авторизироваться.

 

Не, не, не. Если с ICMP еще такое прокатит, то с UDP такое делать нельзя. Например, торренты юзают UDP протокол. Вот представьте себе ситуацию: пришел первый пакет (аутентификация) с ip-адреса, например 100.100.100.100. Мы отвечаем на этот адрес. Далее приходит пакет (данные) с адреса 200.200.200.200 - такой адрес у нас аутентификацию не проходил, следовательно - это UDP флуд, мы на него не отвечаем. Таким образов, данные, не уложившиеся в один пакет UDP могут быть не обработаны получателем.

 

Кстати, почему подобный метод не стоит делать и с ICMP: мы даже трассировку нормальную не сделаем, т.к. пакеты с разным ttl будут ходить по разным каналам - в конечном итоге получим неверную информацию о трассе.

Ссылка на сообщение
Поделиться на других сайтах
Zero_real

Zero_real 4

Опубліковано:
  • Автор
Опубліковано:

Тоже верно. Но ведь как-то же реализуют люди. Сейчас копаю в сторону ECMP. Не совсем то, но хоть так...

 

 

Вопрос с настойкой микротика остается открытым.

Ссылка на сообщение
Поделиться на других сайтах
Zero_real

Zero_real 4

Опубліковано:
  • Автор
Опубліковано:

Спасибо всем за ответы.

PCC Вам в помощь! тыц

Настроил по этому мануалу. Работает, но не корректно. Те же вконтакте.ру начинают бесконечно перегружать страницу входа. Я так понимаю им ненравится то, что пользователь обращается с разных айпи. Как пофиксить?

Ссылка на сообщение
Поделиться на других сайтах
Zero_real

Zero_real 4

Опубліковано:
  • Автор
Опубліковано:

Перерыл половину интернета и понял, что это вобще е возможно реализовать.

 

Решил сделать иначе, но опять наткнулся на проблемы.

 

Итак. Имеет 2 WAN-Linka на двух портах с адресами 10.30.0.2/24 и 10.30.1.2/24, шлюзы 10.30.0.1 и 10.30.1.1 соотвественно.

Имеем 2 РРТР подключение к микротику с адресами 10.20.3.1 и 10.20.4.1 (на микротике), и 10.20.3.1 и 10.20.4.1 соответственно у клиентов.

 

Вопрос. Как сделать так, что пользователь одного подключения ходит в итернет через 1 аплинк, а второго через второй?

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...
  • 3 weeks later...
Kucher2

Kucher2 122

Опубліковано:
Опубліковано:

А что вообще за зверь этот "Mikrotik RouterBOARD 750G"? Для каких задач годится, для каких нет? Очень интересно мнение тех кто щупал эту железку, ибо цена в 75 долларов довольно вкусная по сравнению с ПК.

Интересеует управление трафиком небольшого офиса для каждой из машин - шейп, NAT, запрет/разрешение IP и т.д.

Какой трафик потянет сие? pps и Mbps.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...