Mikrotik 1100ahx2: оптимизация конфигурации IPSec. Оптимизация mikrotik


Оптимизация Firewall. | IT Services

Данная статья не является инструкцией, в ней приведен пример решения задачи поставленной перед мной. Поставленная задача, заменить сервер (HP Proliant ML110) на базе Linux Fedora 14, на микротик 951Ui-2HnD который был в наличии. При этом сервер выполнял роли: firewall, shaper, vpn, dhcp, dns, apache, mysql. Службы mysql, apache, dns на другой сервер, а вот firewall, shaper, vpn оставить за микротиком.Задача показалась по началу тривиальной, но в последствии превратилась в решение проблемы. Что произошло. На микротике пришлось написать 90 правил файрвола, 90 правил шейпера, которые выглядели примерно вот так:

chain=forward action=accept src-address=192.168.1.101 dst-address=0.0.0.0/0 src-mac-address=00:00:1C:D8:23:D4 log=no log-prefix="" name="192.168.10.45" target=192.168.1.101/32 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=10M/10M burst-limit=0/0 burst-threshold=0/0

Все бы хорошо, если бы правил было бы не много. При таком кол-ве правил, микротик чувствовал себя крайне плохо. Загрузка ЦПУ 100% постоянно, а это губительно.

Поиск решения, навел на мысль:

Теперь по пунктам:

/interface bridge add name=Local arp=reply-only comment="For all local ports" /ip arp add address=192.168.1.1 mac-address=00:0A:CF:20:19:67 interface=Local published=no comment=Client01 /ip dhcp-server lease add address=192.168.1.1 mac-address=00:0A:CF:20:19:67 address-lists=allowed server=Local comment=Client01 /ip firewall filter add chain=forward src-address-list=allowed dst-address=0.0.0.0/0 in-interface=Local out-interface=ether1 action=accept comment="Allow forward from LocalNetwork" /ip firewall filter add chain=forward dst-address=0.0.0.0/0 src-address-list=allowed in-interface=ether1 out-interface=Local action=accept "Allow forward from Internet" connection-state=established,related /ip firewall mangle chain=postrouting action=mark-connection new-connection-mark=10m passthrough=yes dst-address-list=allowed log=no log-prefix=" /ip firewall mangle chain=postrouting action=mark-packet new-packet-mark=10m passthrough=yes dst-address-list=allowed connection-mark=10m log=no log-prefix="" /queue type add name="10M" kind=pcq pcq-rate=10M pcq-limit=50 pcq-classifier=src-address,dst-address pcq-total-limit=64k pcq-burst-rate=0 pcq-burst-threshold=0 pcq-burst-time=10s pcq-src-address-mask=32 pcq-dst-address-mask=32 pcq-src-address6-mask=64 pcq-dst-address6-mask=64 /queue tree add name="10M" parent=global packet-mark=10m limit-at=0 queue=10m priority=1 max-limit=0 burst-limit=0 burst-threshold=0 burst-time=0s

 

 

voler.ru

Приятные мелочи и дополнения в Mikrotik - Наш блог

MAC bind 

Задача - ограничить использование wireless сети mikrotik-а только определенным устройствам на основе их аппаратных адресов.

Заносим в аксес лист интерфейса устройство с определенным адресом

interface wireless access-list add interface=wlan1 mac-address=00:11:22:33:44:55 comment="my pc"

В настройках беспроводной сети снимаем Default Authenticate

interface wireless set 0 default-authentication=no disabled=no

P.S. Можно и через ARP сделать с привязкой IP+MAC

Определяем в сети роутеры

Все IP адреса, которые сидят за роутерами автоматом попадут в адрес лист routers, что делать дальше - на Ваше усмотрение.

ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:63 address-list=routers

ip firewall mangle add action=add-src-to-address-list chain=prerouting in-interface=ether01 ttl=equal:127 address-list=routers

Спрятать сеть от фильтров TTL провайдера

Иногда полезно. Правило поднимаем в самый верх

ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Блокируем порты спамеров

Блокируем порты в фильтрах

ip firewall filter add chain=forward port=t dst-port=25 src-address-list=spamm action=drop

Добавляем в адрес лист спамеров на 30 дней

ip firewall filter add chain=forward protocol=tcp dst-port=25 connection-limit=30,32 limit=50,5 src-address-list=!spamm action=add-src-to-address-list address-list-timeout=30d

Fail2Ban для Mikrotik

Взято с официального сайта

Динамически банит адрес на 1 час.

ip firewall filter 

add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \comment="drop ssh brute forcers" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist \address-list-timeout=1h comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new \src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 \address-list-timeout=20s comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 \action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=20s comment="" disabled=no

add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list \address-list=ssh_stage1 address-list-timeout=20s comment="" disabled=no

Перезагрузка по расписанию

Я делаю дабы перерегистрировать 4G модем в сети оператора, так как практика показывает, модем после длительной работы ни с того ни с сего переходит в 3G сеть, и как следствие ухудшается связь.

/system script add name=reboot policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api source="/system reboot"

/system scheduler add interval=1d name=reboot24h on-event=reboot policy=ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api start-date=jun/24/2014 start-time=08:00:00

каждый день, в 08:00 маршрутизатор перегрузится сам

Watchdog

Данная служба в роутерах Mikrotik реализована аппаратно. Полезна в том случае, если зависает сам роутер

system watchdog set no-ping-delay=10m watch-address=8.8.8.8

Пингуем адрес dns googl-а каждые 10 минут, в случае отсутствия пинга - перегружаем устройство.

Если в поле watch-address будет none, то Watchdog будет опрашивать ядро системы и в случае зависания RouterOs перезагрузит систему.

system watchdog set no-ping-delay=10m watch-address=none

Netwatch

Отличие Netwatch от Watchdog в том, что первая позволяет делать произвольные действия с помощью встроенного скриптового языка. Кроме того, скриптов может быть несколько и netwatch позволяет контролировать не только падение, но и поднятие определенного адреса (up-script).

Пример скрипта, который при отсутствии связи до 8.8.8.8 дергает внешний интерфейс с 10 секундной паузой. Проверка доступности гугл адреса производится каждые 5 минут.

/tool netwatch   add down-script="/interface ethernet set ether01 disabled=yes\r\   \ndelay 10\r\   \n/interface ethernet set ether01 disabled=no" host=8.8.8.8 interval=5m \   timeout=9s

 

Запрет посещения определенного сайта одной строкой.

/ip firewall filter add action=drop chain=forward content="Host: odnoklassniki.ru" protocol=tcp src-address=192.168.100.254 out-interface=eth01

При таком подходе режется только один исходящий пакет, а как следствие, никаких входящих пакетов нет и их не надо блокировать. Можно так же изменить правило так, чтобы локальные IP, с которых заходили на определенные сайты, заносились в адрес-лист.

Более правильное решение, помогающее позволить беспроблемно заходить на сайты, имеющие на своей странице какие-то встроенные инструменты комментирования с данного сайта на блокированный ресурс. Итак, чтобы проблем не было, блокируем правильно:

/ip firewall filter add chain=forward protocol=tcp content=odnoklassniki.ru src-address=192.168.100.254 action=reject  reject-with=tcp-reset

Смена MAC адреса интерфейса Mikrotik

в терминале вводим

/interface ethernet set 0 mac="00:01:02:03:04:05"

где 0 - номер интерфейсного порта маршрутизатора

PPtP, L2TP Dual Access

Если у Вас Dual Access и наблюдается периодические обрывы на интерфейсе, то необходимо:

/ip route rule add action=lookup dst-address=10.10.10.10/32 table=vpn/ip route add distance=1 dst-address=10.10.10.10/32 gateway=10.10.10.254 routing-mark=vpn/ip route add distance=1 dst-address=0.0.0.0/0 gateway= 10.10.10.254

Add Default Route - в положение "ВЫКЛ"

10.10.10.10 - адрес vpn сервера10.10.10.254 - шлюз, полученный от провайдера по

 

ingrid.net.ru

Оптимизация конфигурации IPSec для Mikrotik 1100ahx2

Описание Mikrotik RouterBoard 1100ahx2

RouterBoard 1100ahx2 — на данный момент является одним из самых высокопроизводительных одноюнитовый стоечный маршрутизаторов на архитектуре PowerPC, произведенный компанией MikroTik. Имеет 13 индивидуальных гигабитных портов Ethernet, две 5-портовые свитчгруппы и что самое главное – двухъядерный CPU, за счет чего была достигнута производительность до 1 миллиона пакетов в секунду!

Маршрутизатор комплектуется 2GB SODIMM модулем памяти, имеет microSD-слот, спикер и последовательный порт. Устройство поставляется с комплектом для монтажа в 19″ стойку.

Принципиальная схема работы Микротик 1100ahx2

Проверенные советы конфигурации о том, как получить максимальную пропускную способность IPsec на многоядерной архитектуре MikroTik 1100ahx2:

/queue interface set [find] queue=only-hardware-queue /system resource irq rps disable [find] /system resource irq set [find] cpu=1 set [find users="eth22 tx"] cpu=0 set [find users="eth22 rx"] cpu=0 set [find users="eth22 error"] cpu=0

Благодаря вышеуказанным рекомендациям возможно достичь скорости пересылки пакетов в 820 Мегабит в секунду (двусторонний обмен 1470-байтовыми пакетами). С включенным отслеживанием соединений — до 700 Мегабит в секунду (двусторонний обмен 1470-байтовыми пакетами).

24.07.201718.09.2018

Более 10 лет помогаю компаниям, знакомым и друзьям строить компьютерные сети и настраивать системы и приложения для быстрого и качественного взамодействия.

14bytes.ru

Как оптимизировать работу сети с помощью Mikrotik Mangle — asp24.ru

 

Рис.1. Схема сети.

Есть сеть 192.168.4.0/24 и два провайдера. Допустим, у одного провайдера большой Ping на определенные IP-адреса. Это может быть проблемой для тех, кто любит играть в игры.

 

 

Рис.2. Трассировка маршрута первого провайдера.

Выполняем трасировку маршрута через первого провайдера до ex.ua.

 

 

Рис.3. Ping через первого провайдера.

Как можно увидеть, Ping достаточно большой.

 

Рис.4. Mikrotik Routerboard IP Firewall.

Перейдем в раздел IP Firewall на вкладку Mangle.

 

 

Рис.5. Mikrotik Routerboard создаем маркер.

Маркируем пакеты идущие от IP-адреса 192.168.4.246 на 77.120.115.184.

 

 

Рис.6. Mikrotik Routerboard Mangle Action.

Переходим на вкладку Action. Действие выбираем mark routing и указываем имя маркера (в данном случае - ex.ua).

 

 

Рис.7. Mikrotik Routerboard Mangle List.

Список правил в таблице Mangle.

 

 

Рис.8. Mikrotik Routerboard IP Routes.

Перейдем в IP Routes и создадим новый маршрут.

 

 

Рис.9. Mikrotik Routerboard, создаем новый маршрут.

При создании нового маршрута укажем:

 

 

Рис.10. Tracert ex.ua через второго провайдера.

Выполним трассировку маршрута. Мы увидим, что маршрут изменился.

 

 

Рис.11. Ping до ex.ua через второго провайдера.

Кроме изменения маршрута мы видим, что Ping стал значительно меньше.

  

Евгений Рудченко специально для ASP24. 

asp24.ru

MikroTik — быстрая настройка точки доступа / Хабр

Очень часто у нынешних «Системных администраторов», возникает проблема с настройкой 802.11 оборудования, попробую объяснить на доходчивом уровне.

В данном посте попробую рассказать, как настроить обычную точку доступа на оборудовании MikroTIk 751,951,2011 etc 802.11 b/g/n Я приведу пример готовой настройки и расскажу только об основных настройках, так как в рамках одной стати сложно описать весь принцип работы и настройки 802.11. Прошу не считать данный пост как догму.

И так прежде чем настраивать MikroTik, я рекомендую, сбрось настройки WLAN.

Вкладка (Wireless)
Mode: — режим работы нашей карточки выбираем «ap bridge»

Band: — Какие стандарты будут поддерживаться нашей точкой доступа, выбираем «2ghz-b/g/n»

SSID: — Тут всё просто, название нашей сети

Wireless Protocol: какие протоколы для работы будет использоваться наша точка, тут стоит указать только 802.11, так как мы не будем делать «Новогоднюю ёлку из нашей точки доступа», а просто обычная точка доступа.

Country: Выбираем нашу страну. Наверняка возникает вопрос, а зачем? Ответ: Законодательством разных стран, разрешены разные частоты, чтобы нам не получить аплеуху от РОСКОМНАДЗОР-а, MikroTik не даст нам возможности работать с другими частотами.

Antenna Gain: Если у вас есть внешняя антенна обязательно укажите её усиление, с расчётом -0,5, на соединительный узел. А также если вы используете кабель, посмотрите маркировку на кабеле, затухание на единицу измерения (метр, 10 метров etc) кабеля и введите значение с учётом затухания кабеля.

WMM Support: Если вы будите использовать Multicast, то установите эту опцию в Enabled, это даст большие гарантии на доставление этого пакета. Если вы настраиваете MikroTik дома то включите эту опцию, если же это ресторан или конференц зал, то сожрать весь канал может один клиент.

Вкладка (Data Rates)
Здесь всё просто Rate Selection: выбираем Legaсy расширенная поддержка (для старых устройств), без этой опции старый баркодер не как не хотел ужиться с Mikrotik-ом
Вкладка. (Advanced)
Distance: Очень интересный параметр, если клиенты находятся в одном помещении и примерно на одном расстоянии, ну допустим все в радиусе 20 метров от точки доступа то укажите indoors, если у вас открытая местность поле или конференц зал, и клиенты находятся на разных расстояниях более 0-20 метров то укажите значение dynamic. Ну и третье если клиенты находятся на одном расстоянии, допустим 1км, то так и укажите. Данная опция позволяет Mikrotik по вшитому алгоритму рассчитывать доставлен ли пакет до нужного адресата.

Periodic Calibration: Дело в том, что чип WiFi во время свое работы греется, и из-за этого может частота съезжать немного, соответственно включите эту опцию. Следующее поле оставьте равным одной минуте. Будет происходить калибровка частоты каждую минуту.

Не хотел писать про этот пункт.Hw. Protection Mode: Данный пункт может помочь в решении проблемы скрытого узла, если указать «rts cts». Совсем кратко: 802.11 (он же вифи) – это единая среда передачи данных (Вспомните устройство ХАБ), а в стандарте 802.11 указанно, что клиенты сами определяют между собой, кто и когда будет производить запись, НО есть один нюанс это условие будет работать, только если клиенты видят друг друга напрямую. Если же два клиента начнут писать одновременно, то мы получаем коллизию. Как пример представим себе некое поле (То которое на рабочем столе Windows XP). На нём располагается точка доступа на рисунке красная точка, и её радиус бледно красным. А также Шрайбикус (A), Вася (B), Коля (С) Шрайбикус и Вася могут быть нормальными участниками и работать в сети без сбоев, но, а вот из-за Коляна могут возникнуть проблемы у всех, дело в том, что Шрайбикус и Вася могут общаться напрямую и определять, кто из них будет вещать в данный промежуток времени. А вот Коля не видит не одного из участников нашей сети, и может смело вещать в любой момент даже в тот, когда Вася или Шрайбикус будут также вещать, из-за этого и появляются коллизии.

Вернёмся к настройке MikroTik значение rts cts, если просто то «Точка доступа сама будет управлять, кому вещать в данный момент», что решит проблему скрытого узла. Данный параметр слегка снизит пропускную способность, и увеличит нагрузку на точку доступа. (Обязательный параметр)

Adaptive Noise Immunity: этот параметр позволяет чипу 802.11, отфильтровывать шумы, ну как пример отражённый сигнал самой точки доступа от соседнего здания. Установите значение равное “ap and client mode”

Вкладка (HT)
Здесь поставить только две галкиHT Tx Chains – Установить галки в chain0 и chain1

HT Rx Chains – Установить галки в chain0 и chain1

У SOHO MikroTik обычно две встроенные антенны, соответственно данный параметр говорит через какие антенны принимать и передавать.

Вкладка (TX Power)
Большинство MIkroTik используют 1W передатчики, но по нашему законодательству, разрешено использовать точки доступа без регистрации не более 0.1W. В вкратце усиление в 17 dBm – Примерно 0.1W увеличение на три пункта, увеличивает мощность передатчика вдвое. И того: 18 dBm ~ 0.12W 21 dBm ~ 0.25W 24 dBm ~ 0.5W 27 dBm ~ 1W(по умолчанию обязательно убрать ) — Микроволновка ))))

Настоятельно рекомендую установить значение, равным 15 и если не будет хватать, то поднять не белее 17-19.

Собственно всё, мы почти закончили теперь нам необходимо выбрать канал (частоту) и ширину канала. Именно на этом этапе чаще всего допускаю ошибки, поэтому оставил на конец. И так откинем сразу шируну канала 5 и 10 MHz, так как половина домашнего оборудования на такой ширине работать не будет. В следующих постах расскажу, где можно использовать такую ширину.

Нам доступен следующий диапазон 2412-2472, хитрым математическим анализом мы узнали, что нам доступна ширина в 60MHz. Давайте посмотрим спектральный анализ всего диапазона.[admin@test] /interface wireless> spectral-history wlan1 range=2412-2472 Мы видим, что для нас оптимальный вариант это частоты 2425-2445 (2437)

Мы видим, что вроде всё хорошо, а теперь посмотри, кто и что сидят в эфире.[admin@test] /interface wireless> scan wlan1

ADDRESS SSID BAND CHANNEL-WIDTH FREQ SIG NF SNR
AP AC:F1:DF:26:29:60 sunchess 2ghz -n 20mhz 2412 -88 -115 27
AP 1C:AF:F7:28:55:32 Irisha 2ghz -n 20mhz 2412 -45 -115 70
AP 54:E6:FC:CD:4D:70 PAL 2ghz -n 20mhz 2417 -87 -116 29
AP 26:FF:3F:46:1B:74 InterZet-107 2ghz -n 20mhz 2417 -82 -116 34
AP A0:21:B7:BC:91:1A 2ghz -n 20mhz 2422 -82 -117 35
AP 90:F6:52:99:AB:F4 Igor 2ghz -n 20mhz 2432 -62 -118 56
AP 90:F6:52:C8:F2:30 TP-LINK_C8F230 2ghz -n 20mhz 2437 -78 -118 40
P 00:21:27:E9:C5:C4 SeRgey-Net 2ghz -n 20mhz 2437 -89 -118 29
AP DE:71:44:4F:44:73 DIRECT-hB[TV]UE32ES6307 2ghz -n 20mhz 2437 -79 -118 39
AP 00:14:D1:3B:5C:B3 TRENDnet 2ghz -n 20mhz 2437 -76 -118 42
P A0:F3:C1:84:C2:CA Nos_FamilyNet 2ghz -n 20mhz 2442 -90 -117 27
AP F8:D1:11:43:94:00 iz-gw-48312-160 2ghz -n 20mhz 2452 -74 -116 42
AP B8:A3:86:1F:C3:AE nasha 2ghz -n 20mhz 2457 -54 -116 62
AP 90:A4:DE:5C:1D:95 Connectify-me 2ghz -n 20mhz 2462 -72 -117 45
AP 54:04:A6:C6:AC:94 ASUS 2ghz -n 20mhz 2462 -58 -117 59
00:00:00:00:64:00 \AC\02\02\00\00\0F\AC\04\… 2ghz -n 20mhz 2472 -89 -117 28
P BC:F6:85:3F:2A:9A Dimitrakis 2ghz -n 20mhz 2437 -91 -118 27
AP E0:91:F5:E7:D8:72 bui_family 2ghz -n 20mhz 2437 -90 -118 28
В данном выводе меня смутил одни товарищ, который выделен, название очень смахивает на телевизор, если на телике смотрят видео, а не телетекст то на этом канале мы можем попрощаться с нормальной работой WIFI, так как мультикаст и потоковое видео будет занимать весь свободный канал. (поживём увидим) В нашем случае оптимальный канал это 2437. мы будем делить канал между 2427-2447.

Ширина канала выбирается просто, если у нас во всём диапазоне всего пару точек, и всё они без каких, либо косяков, что-то вроде мультикаста и т.п.д. Каналы 2412-2457 можно использовать как Above Каналы 2432-2472 можно использовать как Below Но такую ширину использовать только, когда действительно у вас частота чистая.

Также стоит ещё раз напомнить, что WIFI это единая среда передачи данных. Если вдруг на тех же частотах(2452-2472), появится клиент с 802.11 g, то все участники этой частоты, будут работать со скоростью, что и наш клиент со старенькой карточкой.

На этом всё.

habr.com

Быстрая настройка Mikrotik с нуля для новичков, часть 1

Это простая инструкция по быстрой базовой настройке Mikrotik для установки его вместо любого домашнего роутера, наглядная и не требующая специальных знаний — смотрим на картинку ставим галочки так же у себя и в конце получаем работающий роутер, статья рассчитана на домашних пользователей с минимальными знаниями или админов которым нужно быстро получить рабочее решение без длительного изучения документации.

Для настройки была выбрана «домашняя» версия из серии hap-lite, но инструкция подойдет и к любой другой модели. Настраивать будем модель RouterBOARD 941-2nD, по цене она сравнима с бытовыми роутерами, а по возможностям значительно их превосходит, в том числе и по стабильности в работе, в основном Mikrotik делает устройства из серии «настроил и забыл» (иногда и у них бывают проколы, как правило это касается каких-то специфических и редко используемых возможностей и легко исправляется установкой другой версии прошивки или сменой настроек).

Для настройки Mikrotik можно использовать:

Так как мы сделаем полный сброс и доступ к устройству будет только по MAC, то для настройки нужно использовать Winbox.

Приступаем:

Скачиваем свежую версию Winbox (ссылка внизу страницы), и подключаем свой компьютер в любой порт Mikrotik. Удобно в первый порт подключать кабель от провайдера, во второй порт кабель второго провайдера и так далее, а оставшиеся свободными порты объединять в свитч/бридж и подключать в них локальные устройства. Запускаем Winbox, если нужно разрешаем доступ к сети:

В Winbox после запуска, нужно вписать данные для подключения, по умолчанию логин — admin, пароль пустой, IP-адрес 192.168.88.1, но можно подключиться проще, в нижней части окна перейдите на вкладку Neighbors в списке отобразятся все найденные устройства (в нашем случае там будет только одна запись) при клике по MAC или IP найденного устройства адрес будет помещен в строку Connect To, вам останется только вписать логин и нажать на кнопку Connect:

При первом заходе на устройство появится окно с предложение сохранить конфигурацию по умолчанию, либо удалить ее и настроить все самостоятельно. Если нажать ок, то далее настройка тривиальна и описана в этой статье я делал так много раз и проблем не было, но мы легких путей не ищем и настроим все самостоятельно, потому что я хоть и не сталкивался, но многие пишут что стандартная конфигурация не лишена недостатков и может глючить,  поэтому жмем Remove Configuration и ждем пока Микротик перезагрузится:

Если вдруг это окошко при заходе не появилось, значит на Микротик уже кто-то логинился, в этом случае нужно зайти System > Reset Configuration поставить галку «No Default Configuration» и нажать Reset Configuration:

После перезагрузки подключаемся снова с тем же логином и паролем, первым делом рекомендую сменить имя пользователя и установить свой пароль, это в разы повышает безопасность, заходим System > Users  кликаем дважды по admin, в открывшемся окне меняем имя пользователя жмем Password устанавливаем пароль:

Или можно выполнить в консоли:

/user add name=Новый_логин group=full password=пароль/user remove admin

Первая команда добавит нового пользователя с указанным вами логином и паролем, вторая удалит пользователя admin, затем переподключаемся к Mikrotik под новым пользователем и далее все настройки выполняем под ним.

Переименование портов (не обязательно)

Переименовывать порты не обязательно, все будет работать и так, это делается исключительно для удобства настройки. Переименовываем первый порт, куда подключаем кабель от провайдера в WAN1 (если провайдеров несколько то WAN2 и так далее), остальным портам я оставляю старые имена, но их тоже можно переименовать в Lan1, Lan2 и т. д.

Или можно выполнить в консоли:

/interface ethernet set [find default-name=ether1] name=WAN1 — где ether1 — порт который нужно переименовать, а WAN1 — новое имя, так же переименовываем остальные порты если нужно.

Привязка MAC-адреса Mikrotik у провайдера

Если Вы меняете роутер на Микротик, то скорей всего знаете что у Вашего провайдера есть привязка по MAC-адресу, в этом случае нужно изменить MAC-адрес того порта Микротика куда подключается провайдера на MAC-адрес старого роутера, сделать это можно только из консоли, следующей командой:

/interface ethernet set WAN1 mac-address=00:00:00:00:00:00  — вместо нулей надо вписать MAC-адрес зарезервированный у провайдера, узнать его можно зайдя в веб-интерфейс старого роутера, в техподдержке своего провайдера или поискать наклейку на корпусе устройства.

Если, после выполнения команды MAC-адрес сменился на указанный Вами значит все ок:

Настройка подключения к провайдеру по DHCP

Всё больше провайдеров отдают настройки своим клиентам сразу по DHCP, это просто и удобно как для провайдера, так и для клиентов, минимум настройки со стороны клиента и возможность для провайдера выдавать не только IP адреса а и многие другие параметры. Заходим IP>DHCP Client > + Interface = WAN1, остальные настройки можно оставить стандартные. Use peer DNS — означает использование провайдерских DNS, NTP — синхронизация времени, Add Default Route — добавлять ли стандартный маршрут в таблицу маршрутизации и Default Route Distance — приоритет маршрута по сравнению с другими, если у Вас несколько провайдеров то изменяя приоритет можно управлять предпочитаемым маршрутом для трафика, 0 — самый высокий приоритет. 

Или тоже самое в консоли:

/ip dhcp-client add interface=WAN1 disabled=no

Настройка подключения к провайдеру со статическим IP

В этом случае настройки из предыдущего пункта просто прописываются вручную. У некоторых провайдеров свой статический IP можно получить по DHCP — просто каждый раз, ваш роутер будет получать одни и те же настройки. При подключении со статическим IP нужно заранее узнать у провайдера свои настройки, IP, Маску сети, Gateway (шлюз), DNS.

Например провайдер выдал такие настройки:

IP адрес: 192.168.0.11;Mask/маска сети: может быть в двух видах например 255.255.255.0 или /24 что одно и тоже, Микротик понимает оба вида, бытовые роутеры как правило только первыйGateway/шлюз: 192.168.0.1;DNS сервера: 192.168.0.33 и 192.168.0.34

Добавляем IP-адрес на порт WAN1: IP > Addresses > + >Address: 192.168.0.11/255.255.255.0 > Interface > WAN1

Добавляем default route:  IP > Routes > + > Dst.Address:0.0.0.0/0; Gateway:192.168.0.1; Check gateway: ping; Distance: 1

При «прямом» подключении к провайдеру с динамическим или статическим адресом, при добавлении маршрута нужно всегда указывать IP шлюза, в выпадающем списке там можно выбрать в качестве шлюза какой-либо интерфейс, работает это только с виртуальными интерфейсами PPPoE, PPTP, VPN и т. д.

Добавляем DNS: IP > DNS > Servers: 192.168.0.33; 192.168.0.34

Галку Allow Remote Requests можно поставить если Вы хотите чтоб микротик выступал в роли кеширующего DNS, но в этом случае необходимо запретить обработку запросов DNS поступающих на порты которые смотрят в сеть провайдера и разрешить обрабатывать запросы только из локальной сети. Серверов DNS можно вписать несколько, для добавления еще одной строчки надо жать маленькую кнопку «Вниз» около поля.

Все тоже самое из консоли:

/ip address add address=192.168.0.11/255.255.255.0 interface=WAN1/ip route add dst-address=0.0.0.0/0 gateway=192.168.0.1 check-gateway=ping distance=1 /ip dns set servers=192.168.0.33,192.168.0.34

Подключение к провайдеру по PPPoE

Если у Вас подключение к провайдеру по PPPoE, то по идее можно пропустить два предыдущих пункта, но часто провайдеры предоставляют доступ к каким-то локальным ресурсам в своей сети, и если они вам нужны то сперва следует выполнить настройку подключения к провайдеру по DHCP и затем вернуться к этому пункту. В бытовых роутерах это зачастую называется DualAccess или Russian PPPoE, до версии прошивки 6.0 на Микротик настройка такого доступа требовала некоторых танцев, но теперь все работает из коробки, поэтому не будем останавливаться на этом моменте. Перед настройкой соединения PPPoE, Вы должны знать логин и пароль, которые у большинства провайдеров выдаются при подключении и часто написаны на специальном листке с настройками.

Добавляем интерфейс: PPP > + > PPPoE Client затем на вкладке General задаем желаемое имя интерфейса Name = ISP1 и выбираем порт куда подключен кабель от провайдера Interface = WAN1. На вкладке Dial Out укажите логин и пароль и проверьте что остальные галочки стоят как на скринах ниже:

Или команда для консоли:

/interface pppoe-client add interface=WAN1 name=ISP1 disabled=no user=Логин password=Пароль use-peer-dns=yes add-default-route=yes default-route-distance=0

Далее в качестве интерфейса смотрящего в интернет будет выступать ISP1 его и будем использовать в настройках.

Подключение к провайдеру по L2TP/PPTP

Честно говоря я не припоминаю чтоб хотя бы раз настраивал такое подключение, но в некоторых странах этот тип подключений по прежнему остается широко распространенным, поэтому рассмотрим и его. Оба типа подключения требуют предварительной настройки IP-адреса и возможно прописывания маршрутов, подробности обычно можно узнать на сайте провайдера или в его поддержке. Предполагается что с этим вы разобрались и настроили статический или динамический IP-адрес по инструкции выше, а так же узнали логин, пароль и адрес VPN сервера для подключения.Настройка аналогична PPPoE:Добавляем интерфейс PPTP/L2TP: PPP > + > PPTP Client или L2TP Client смотря что у Вас, на вкладке General укажите имя подключения (например ISP1), а на вкладке Dial out нужно указать адрес сервера, логин, пароль,

kakpedia.org

Mikrotik- Типичные Проблемы И Их Решения Mikrotik- Быстрый Старт

http://mstream.com.ua/mikrotik-tipichnie-problemi-i-ih-resheniay.html

Все самое необходимое для настройки Mikrotik RouterOS Вы сможете найти в нашем пособии "Микротик.Базовая настройка". Настройка от А до Я с разбором функций и проблем, которые могут возникнут у простого пользователя в процессе внедрения Mikrotik под свои задачи. На сайт руководство Mikrotik будет вылаживаться по частям, которые наведены в плане. Mstream делает шаг помощи для своих клиентов. С нашим руководством настройка Mikrotik RouterOS не станет помехой для достижения поставленных целей.

Сюда вошли наиболее типичные проблемы и их решения.Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.Есть что добавить? - оставляйте Ваши комментарии.

Типичные проблемы и их решения

6.1. Как ходит трафик в Микротик?

Это нужно знать наизусть. Иначе можно многое напутать...Представьте комп с двумя сетевыми картами. Будем называть его ШЛЮЗ.В одну карту входит интернет. Со второй выходит к свичу.А к свичу подключены другие компы.За этими компами люди в интернете лазяют.Так вот. Трафик идущий от людей в интернет и обратно - это для шлюза транзитный-проходящий трафик FORWARDЭто левая диаграмма. Как раз наш случай с Микротик.

А если на самом шлюзе запускаются браузер, почта и пр.То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.Т.к. конечная точка всех пакетов - это сам шлюз, а не компы за шлюзом.Это левая и правая диаграмма, только без центрального блока FORWARD.В Микротике правая практически никогда не задействована.Так что про INPUT-OUTPUT забудьте.Только для блокировки входящих пакетов.

"И на кой черт мне это нужно?" Спросите Вы.

Все просто. Зайдите в IP - Firewall.Там есть 3 вкладки Filter, NAT и Mangle.В Filter и Mangle есть все 3 цепочки - Prerouting, Forward и Postrouting. И еще 2 цепочки Input Output.В NAT есть только цепочки DstNat и SrcNat.

Filter - разрешает-запрещает пакеты, совпадающие по условию записи в Filter.NAT - это чаще всего правило SrcNat-Masquerade - чтоб люди могли ходить в интернет.И DstNat-DstNat - чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.Mangle - продвинутый маркировщик пакетов.

Предположим клиент вашей сети имеет адрес локальный 192.168.0.2а IP Микротика 80.80.80.1 - это интернет адрес.Когда клиент запрашивает веб-страницу, к нему сыплятся пакеты.Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может.Т.е. Микротику приходит пакет с Dst.Address - 80.80.80.1

1. Mangle Prerouting, Nat Prerouting - правила в этих 2 цепочках Самые первые обрабатывают пакет.Никаких локальных адресов в пакете нет, только внешний адрес Микротика!

2. Далее срабатывает Firewall - NAT.Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)Т.е. теперь Dst.Address пакета не 80.80.80.1, а уже локальный адрес клиента - 192.168.0.2.

3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.Тут уже можно фильтровать клиентов вашей сети.

4.Далее снова срабатывает NAT.Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.

5. И последний этап - Mangle Postrouting, Nat Postrouting.Никаких локальных адресов в пакете нет, только внешний адрес Микротика!Далее все это направляется в шейпер. Queue Tree и Simple Queue.

Для Транзитного траффика: сеть -> mangle PREROUTING -> nat PREROUTING -> mangle FORWARD -> filter FORWARD -> mangle POSTROUTING -> nat POSTROUTING -> сеть

6.2. Firewall Filter — блокируем и разрешаем.

Здесь создаются блокирующие и разрешающие правила.Если записей никаких нет - то все разрешено.Порядок записей имеет значение.Проверка правил происходит сверху вниз.Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrughЕсть 2 варианта.Мягкий - Добавлять только запрещающие правила. Все остальное разрешать.Жесткий - поставить запрещающее правило на все. А сверху добавлять разрешающие.

Блокируется или входящие пакеты или исходящие.Важно!1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.Это ошибка.Просто создайте при необходимости 2 правила - на входящие и исходящие пакеты.А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.Да и Роутер разгрузится от лишнего входящего траффика.

2. Есть 2 типа пакетов - входящие и исходящие.Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.Входящие - это из интернета к нам.Src.Address - это интернет-адрес отправителя (сервера в интернете).Dst.Address - это интернет-адрес Микротика (получателя). Если это правило в цепочке PreRouting. илиDst.Address - это локальный адрес клиента (получателя). Если это правило в цепочке Forward или PostRouting.

Исходящие - это от нас в интернет.Src.Address - это интернет-адрес отправителя (Микротика) . Если это правило в цепочке PostRouting. илиSrc.Address - это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.Dst.Address - это интернет-адрес получателя (сервера в интернете).

3. В правилах всегда указывайте Out. Interface или In. Interface.Причем,если указываете In. Interface - LAN1, то это исходящий трафик.Значит Dst.Address - это должен быть адрес интернет-ресурса. А Src.Address - это адрес вашей локалки или Микротика

если указываете Out. Interface - LAN1, то это входящий трафик.Значит Dst.Address - это должен быть адрес вашей локалки или Микротика. А Src.Address - адрес интернет-ресурса.Это очень важно!

То же самое (п. 1 и 2) касается и Mangle.6.3. NAT. Проброс портов.

/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=10010 protocol=tcp to-addresses=192.168.88.10 to-ports=80В данном случае на компе с адресом 192.168.88.10 запущен веб сервер.Если внутри вашей сети набрать в браузере 192.168.88.10 - то откроется локальный сайт.А если с другого компа в интернете набрать в браузере 80.80.80.1:1001080.80.80.1 - это Ваш внешний_IP_адрес_Микротикато Вы попадете на свой сайт, который на ходится на компе 192.168.88.10.

6.4. Маркировщик Mangle. Следим и помечаем трафик.

Это очень мощное средство. Позволяет маркировать пакеты по любым правилам.Подчиняется тем же правилам, что описаны в разделе 6.2. FireWall Filter.Но Мангле ничего не запрещает и не разрешает. Он просто помечает трафик.Соединения, пакеты, маршруты и пр.Умеет также добалять в AddressList, Менять TTL пакетов, приоритет, порядок цепочек и пр. пр.Это для дальнейшей обработки в файрволле или шейпере.

6.5. Address List. Для чего он?

Это в основном для того, чтоб не указывать кучу однотипных правил для разных IP, а кинуть эти IP в один Address List.И затем создать только одно правило на этот Address List.Кроме того, правила Mangle - сами могут добавлять IP адреса в определенный Address List.Например, добавить в Address List "ICQ" - те IP, которые пользуются ICQ.Чрезвычайно удобная штука!

6.6. Нарезаем скорость. Simple Queues.

Простой шейпер.Важно! Проверка правил шейпера происходит сверху вниз.Если какое-то правило шейпа сработало, то дальнейшая проверка уже не производится!

Добавляем IP или список IP, для которых в сумме можно выставить максимальну скорость Max Limit.Отдельно входящую и исходящую скорость.Можно также выставить гарантированную скорость - Limit At.Но с этим будьте осторожны! Если у Вас канал плавающий по скорости - лучше отключить.

Также можно включить дополнительные колонки, которые показывают входящую и исходящую скорости (Total Tx Bytes, Total Rx Bytes).(Правой кнопкой мыши по окну Queue. Затем Showcolumns и крутим ниже... )А также потребленный входящий и исходящий трафик. (Rx Avg. Rate и Tx Avg. Rate )Начиная с момента последней перезагрузки роутера.

Можно скорости писать в виде 500K, 2M, а также можно указать скорости Burst Limit (с Burst TreshHold, Burst Time)Это взрывная кратковременная скорость.Очень эффективно при низкоскоростных тарифах и если Вас качальщики задрали.Веб сайты открываются тогда моментом на Burst скорости, а закачки идут на обычной скорости.

Если у Вас Dual Access, то можно для каждого клиента создать еще одну дополнительную запись с высокой скоростью на локальные ресурсы.Только нужно дополнительно указать Dst. Address 10.0.0.0/8 - это Ваши локальные ресурсы.Эту запись нужно поставить выше основной записи клиента.

Если Вы скорость на локальные ресурсы не хотите подрезать вообще, тоМожно создать только одну общую запись с Dst. Address - 10.0.0.0/8, Target Address - пустой, скорость Tx, Rx указать по максимуму - например 1Gи поместить ее на самый верх.

Важно! Очень советую в самый конец добавлять правило END.Все, что не сработало по любому из шейпером - будет шейпится в правиле END.На этом правиле будет учитываться, подрезаться или блокироваться весь неучтенный трафик.

Ну например Вы по невнимательности забыли кого-то добавить в шейпер.И человек получит всю доступную скорость без любых огранечиний! Тем самым может положить канал!

Правило END для учета и подрезки неучтенного траффика:add interface=all max-limit=100k/100k name=END target-addresses=192.168.0.0/16Для учета без подрезки - ставим max-limit=100M/100MДля подрезки под 0 - ставим max-limit=10/10192.168.0.0/16 - Весь диапазон, не попавший в верхние правила.

6.7. Нарезаем скорость. Tree Queues.

По функциональности он гораздо продвинутее. Этот шейпер срабатывает раньше Simple Queue.Эффективен особенно при методе PCQ.И большом количестве клиентов 100 и более.В нем входящая и исходящая скорости нарезаются отдельными правилами.Он работает только в связке с Мангле.

Итак. 6 шагов.

Придумаем несколько Адрес листов - например 1M и 5M.Это тарифные планы.

1. В IP-Firewaal-Address List Добавляем IP юзеров - и вписываем им 1М или 5М.

2. Далее в IP-Firewall-Mangle маркируем Connection-ы.Создаем правило forwad. Action - mark connection (New Connection Mark называем к примеру Conn-5M или Conn-1M, Passtrough - включаем),Ставим Connection State - new, Out. Interface - LAN1, а также наш Dst. Address List - 1M или 5M.

3. Затем ниже создаем правило forward. Action - mark packet. (New Packet Mark называем к примеру p-5M или p-1M, Passtrough - включаем)Connection Mark - ставим Conn-5M или Conn-1M соответственно.

4. Далее в Queue Types создаем PCQ-правило к примеру PCQ-Download, в нем Dst. Address - включаем.

5. Затем в Queue Tree - создаем родителя, называем его Download, а Parent - наш LAN1 интерфейс.

6. Создаем еще два правила в Queue Tree -Называем правило к примеру Speed-5M, указываем родителя Download, Queue Type - PCQ-Download, Packet Marks - p-5M и указываем нашу скорость Max Limit - 5M(а второе правило то же самое, только имя правила Speed-1M, Packet Marks - p-1M, а скорость Max Limit - 1M )Все.

Эти два правила будут будут нарезать трафик всем клиентам.Достаточно адрес IP клиента добавить в нужный Adrress List.Все кто в Адрес лист 1M - получат скорость 1MВсе кто в Адрес лист 5M - получат скорость 5M

Чтобы изменить скорость всем 5M на 10M - достаточно только в QueueTree поменять одну строчку - Max Limit.Т.е. скоростя каждому в отдельности не прописываются, а прописываются тарифные планы - т.е. Packet Mark

На исходящий тарафик нужно создать нового родителя с parent - наш WAN1. Также создать в Queue Type - PCQ-Upload, в нем Src. Address - включаем.Все остальное аналогично.Графики для Queue Tree - недоступны.

А как же смотреть, кто сколько скачал и на какой скорости и кто качает?Все просто.Добавляем в IP-Firewall-Mangle - на каждый IP - свою запись: Chain - forward. Out. Interface - LAN1. Dst. Address - наш IP. Action -Passtrouh.Эти записи ставим ниже записей mark-connection и mark-packet.Включаем дополнительную колонку - Rate. Это и есть текущая скорость. (Правой кнопкой мыши по окну Mangle. Затем Showcolumns и крутим в самый низ, пока не найдем Rate )Колонка Bytes - это потребленный трафик Download (Rx).

6.8. Включаем Графики.

Графики траффика доступны для всех интерфейсов, и Simple Queue. А также доступны графики загрузки процессора, памяти, флеш-памяти. За сутки, за неделю, за месяц, за год.Графики включаются в Tools - Graphing.Просто добавьте нужные позиции.Посмотреть графики можно на Веб-странице Микротика.При перезагрузке графики сохраняются.При перепрошивке графики обнуляются.

6.9. IPTV настройка.

Скачиваем версию пакетов под ваш МикротикВместо 5.16 ставим - вашу версию Router OS.Важно! Версия пакета должна совпадать с версией вашей Router OS!http://download2.mikrotik.com/all_packages-mipsbe-5.16.zipРаспаковываем. Перетаскиваем multicast...npk на WinBox.Перезагружаемся.Далее идем в System-Packages. Там должен быть multicast пакет.Идем в Route - там должен быть IGMP Proxy.

1-2. Route - IGMP Proxy - 2 записи.3. IP-Route - добавляем маршрут на локалку4. IP-Firewall-Filter - разрешающее правило на локалку. Или пока все отключить.5. IP-Firewal-NAT - Out Interface пустой6. WiFi - WMM support включить

6.10. Резервирование 2 и более каналов.

По умолчанию пакеты идут через WAN1.Если WAN1 отвалится - все пакеты пойдут на WAN2./ip routeadd check-gateway=arp dst-address=0.0.0.0/0 gateway=80.80.80.1 routing-mark=r1 distance=1add check-gateway=arp dst-address=0.0.0.0/0 gateway=90.90.90.1 routing-mark=r2 distance=2В NAT - Out. Inteface - пустой.В IP - DHCP Client - Add Default Route - можно отключить

6.11. Балансировка 2+ каналов.

Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2

Метод хорошо работает при каналах приблизительно равных по скорости.Разница по скорости каналов не должна отличаться более чем в 2 раза.

В Мангле - эти правила поднимите наверх.

/ip firewall mangleadd act=mark-connection ch=prerouting connection-state=new new-connection-mark=c1 nth=2,1 passthrough=yesadd act=mark-connection ch=prerouting connection-state=new new-connection-mark=c2 nth=2,2 passthrough=yesadd act=mark-routing ch=prerouting connection-mark=c1 new-routing-mark=r1 passthrough=yesadd act=mark-routing ch=prerouting connection-mark=c2 new-routing-mark=r2 passthrough=yes

/ip routeadd check-gateway=arp dst-address=0.0.0.0/0 gateway=80.80.80.1 routing-mark=r1 scope=255add check-gateway=arp dst-address=0.0.0.0/0 gateway=90.90.90.1 routing-mark=r2 scope=255

Можно добавить еще маршрут без маркировки на всякий пожарный:

add disabled=no dst-address=0.0.0.0/0 gateway=80.80.80.1 scope=255

В NAT - Out. Inteface - пустой.В IP - DHCP Client - Add Default Route - можно отключить

Важно! При каналах сильно отличающихся по скорости он мало эффективен.В таком случае советую использовать резервирование каналов по п. 6.10.Слабый канал погоды все-равно не сделает. А скоростному мешать будет.

Interface-Bonding - Балансировка Round-Robin...

Балансировка через скрипты...

6.12. Запрет определенных сайтов по имени.

Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.Можете также вручную кнопкой [+] создать это правило./ip firewall filter add act=drop chain=forward cont="Host: mikrotik.org" prot=tcp src-address=192.168.0.2 in-int=LAN1Все. сайт mikrotik.org больше не откроется.Тем самым Вы блокируете только исходящие запросы еще на взлете.Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,потому как Входящих пакетов само собой дальше уже не будет.

А исходящий трафик обычно в 10-20 раз меньше входящего.Да и фильтруются только исходящие TCP запросы.Кроме того сами исходящие GET-запросы копеечные по траффику - до 200-500 байт. Они помещаются в один пакет.Т.к. что нагрузка на правило content - мизерная.

Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.orgи будут проходить get-запросы содержащие строчку mikrotik.org.Что есть очень хорошо.

src-address - ставим IP компьютера-жертвы.content="Host: mikrotik.org" - блокируемый сайтЕсли нужно блокировать доступ к сайту для всех компов, убираем эту строчку src-address.Если нужно блокировать только определенным компьютерам - то создайте во вкладке address-list, записи с IP блокируемых компьютеров. И назовите эти записи к примеру block-website.А вот Этот адрес-лист укажите уже в записи Src.Address List. Src-address - удалите

6.13. Определяем у кого стоят роутеры по TTL.

Все IP адреса, которы сидят за роутерами, попадут в Address-List RouterКак это применить - есть куча вариантов.

/ip fi maadd ac=add-src-to-address-list ch=prerouting in-i=LAN1 ttl=equal:63 address-list=Routeradd ac=add-src-to-address-list ch=prerouting in-i=LAN1 ttl=equal:127 address-list=Router

И наоборот, можно спрятать вашу сеть от фильтра TTL провайдера./ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

Это правило поднимите на самый верх.

6.14.Блокируем порты спамеров.

1. Блокируем порты спамеров и зараженных троянами-вирусами компов.

/ ip firewall filteradd chain=forward prot=tcp dst-port=25 src-address-list=spammer act=drop

2. Добавляем в address-list=spammer наших спамеров на 30 дней :

/ ip firewall filteradd chain=forward prot=tcp dst-port=25 connection-limit=30,32 limit=50,5 src-address-list=!spammer action=add-src-to-address-listaddress-list=spammer address-list-timeout=30d

При большом количестве соединиений на 25 порт - IP юзера заносится в address-list=spammerА Этот address-list=spammer - блокируется файрволлом.

Вы ж не хотите, что б Ваш провайдер Вам позакрывал порты? Или хотите?

6.15. Настройка Static DNS.

Static DNSнужен чтобы к любому компу в сети обращаться не по IP адресу, а по придуманному имени. Что очень удобно.IP - DNS - Static DNS - [+] Добавляем пару к примеру IP-адрес - и DNS-имя. 192.168.0.1 - myrouter.netТаперь на наш роутер можно заходить по myrouter.net

6.16.Кешируем с помощью Web-Proxy.

Кеширование используется для:1. Ускорения интернет. Особенно Эффективно при медленном интернете.Часто запрашиваемые файлы хранятся на флеш-памяти или винте.При повторном запросе - эти файлы не закачиваются с интернета, а берутся из кеша Микротика2. Для экономии траффика. Хорошо при платном траффике.3. Для котроля - кому какие сайты разрешать и пр.Весь трафик проходит через прокси микротика.На прокси ставиться порт 8080.И затем включается прозрачный прокси.

6.17. Редирект на страницу-напоминалку.

Очень эффективно не просто отключать пользователей, а напоминать им - почему они отключены!К примеру у Вас есть комп в сети 192.168.0.10.Там находится Веб-сервер и страница-напоминалка-пополнялка-личный кабинет.Она доступна по адресу 192.168.0.10Итак 4 шага.

1.Сначала добавляем в IP-Firewall-Address List - IP всех юзеров с записью ALLOW .2. /ip firewall natadd act=dst-nat ch=dstnat dst-port=80 in-int=LAN1 protocol=tcp src-address-list=!ALLOW to-addr=192.168.0.10 to-ports=80Это правило кинуть выше правила srcnat!

Все. редирект работает.

3. Но еще очень желательно 2 правила в IP - Firewall - Filter

/ip firewall filteradd act=accept ch=forward out-int=!LAN1 dst-address=192.168.0.10add act=drop ch=forward out-int=!LAN1 src-address-list=!ALLOW

Эти правила кинуть вниз.Это для полной блокировки любой активности (а не только ВЕБ-серфиннг) юзеров, которые не в ALLOW.

Затем юзеров - которых нужно перенаправить - просто отключаем крестом в Address List, вручную или скриптом при отрицательном баллансе из биллинга.Один клик и готово.

Теперь, когда юзер наберет anysite.com - он автоматом попадет на Вашу странцу.Но когда он наберет - anysite.com/anypage.php - он увидит ошибку, а не Вашу страницу!

Поэтому:

4. на вебсервере в корне страницы-напоминалки добавляем файл .htaccess с редиректом :

RewriteEngine onRewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_FILENAME} !-fRewriteRule .* /index.html [L,QSA,NC,R=302]

где - /index.html - это Ваша страница напоминалка.

Или вариант №2 - сделать страницу 404.php и включить ее в .htaccess.А в 404.php сделать include вашей страницы напоминалки.Или просто скопировать ее содержимое.

Все.Теперь куда бы пользователь не зашел - он всегда увидит Вашу страницу.

6.18. Шейпим торренты.

Торренты задрали? Тогда Вам сюда. Блокировка torrent на mikrotik.Данный метод режет все торренты. И шифрованные в том числе. И он нересурсоемкий для Микротика.Хотя его можно еще ускорить. Знаю как. Но не скажуp2p=all-p2p - работает только для редких нешифрованных торрент-клиентов.

Маркируем входящие торрент-пакеты по размерам, портам и протоколам:

/ip firewall mangle

add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent p2p=all-p2p passthrough=noadd act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=576add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=398add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=748add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1430add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1448add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1466

Если нужна обработка нижележащих цепочек - Укажите всюду passthrough=yes.Далее можно добавить новое правило Torrent-5M в раздел Queue Tree в родителя Download. Указав Packet Marks - Torrent. И желаемую скорость 5M.5M - это скорость для каждого или для всех в сумме, в зависимости от выбора Queue Type в PCQ Dst. Address Mask 32 или 24.

Или добавить одно правило на самый верх в Simple Queue. Указав Packet Marks - Torrent. И желаемую Tx скорость 50M.50M - это скорость общая на всех торрентов-клиентов.В Simple Queue можно каждому указать скорость на торрент в отдельности.Т.е. для каждого IP создать дополнительную запись.Эта запись должна быть выше основной записи IP клиента.Или уже решайте на свое усмотрение, что с этими маркированными пакетами делать.Учитывайте, что сюда также могут иногда попасть пакеты из онлайн игр...Других более эффективных методов маркировки торрентов нету.По крайней мере я не знаю таких...-Левчук Владимир-

iaglad.livejournal.com


Prostoy-Site | Все права защищены © 2018 | Карта сайта