forum.lan.md

[sherwood]

короче, вроде заработало, как получилось:
прописал все три правила из мануала, только в последнем

Код: Выделить всё

/queue simple add queue=PCQ_upload/PCQ_download target-addresses=172.16.0.2

добавил на закладке Advansed - Target Upload/Download - Queue Type=тип правила из Queue Types (то есть ограничение на скорость)... теперь если поменять тип правила то и меняется скорость.
странно почему в примере это не указано...
еще вопрос:
а если у меня есть тарифы без ограничения скорости, то я так понимаю их и маркировать не надо?

Код: Выделить всё

/ip firewall mangle add chain=forward action=mark-packet new-packet-mark=all passthrough=no

(с src. address-list=имя группы из адрес листа)
и ни какие правила PCQ тоже не нужны?
достаточно только балансировки по каналам?

[KirillTs]

а если у меня есть тарифы без ограничения скорости, то я так понимаю их и маркировать не надо?

Код: Выделить всё

/ip firewall mangle add chain=forward action=mark-packet new-packet-mark=all passthrough=no


(с src. address-list=имя группы из адрес листа)
и ни какие правила PCQ тоже не нужны?
достаточно только балансировки по каналам?

Ну совсем без ограничения, если канал не 100 мбитный... могут забить легко....в принципе можно маркировать левой маркой какой нить и не шейпить её вообще...

[sherwood]

я думаю не забьют, так как это лимитные группы, там особо не покачаешь... трафик ограничен
и не очень дешевый... а если будут проблемы, то и правила добавить не проблема...
я так думаю, что у меня должно все получится.... осталось только проверить как будет
работать маршрутизация, а именно два канала от одного провайдера с одним шлюзом...
сделал по мануалу:
http://wiki.mikrotik.com/wiki/Load_Balancing_over_Multiple_Gateways
наверное получится....
а еще не подскажешь, как мне завернуть всех клиентов на определенный канал,
то есть у одного провайдера есть внутренние ресурсы FTP, HTTP... без ограничения по скорости?

[KirillTs]

а еще не подскажешь, как мне завернуть всех клиентов на определенный канал,
то есть у одного провайдера есть внутренние ресурсы FTP, HTTP... без ограничения по скорости?

Создаешь в мангле правило, chain: prerouting в dst. address прописываешь адрес ресурса, action: mark routing и задаешь марку на какой канал кидать, в рутах у тебя к примеру заданы маршруты для groupA и groupB, ставишь routing mark соответственно groupA или groupB ...

P.s. это правило в мангле должно быть выше правил которые рулят разными группами и pssstrough: no

[sherwood]

Создаешь в мангле правило, chain: prerouting в dst. address прописываешь адрес ресурса, action: mark routing

с этим понятно...

и задаешь марку на какой канал кидать,

что то ни как, тоесть не понимаю о чем написано...

в рутах у тебя к примеру заданы маршруты для groupA и groupB, ставишь routing mark соответственно groupA или groupB ...

в рутах у меня правила какую группу из адрес листа на какой канал кидать,
я так понимаю нужно еще правила, но какие...
а потом, у меня все клиенты в одной подсети, может просто как то всю сеть завернуть?

P.s. это правило в мангле должно быть выше правил которые рулят разными группами и pssstrough: no

с этим тоже понятно...

[KirillTs]

что то ни как, тоесть не понимаю о чем написано...

Ну у тебя в рутах, пакеты с маркой GroupA к примеру идут на первый канал, пакеты с маркой GroupB идут на второй канал, а на определенные адреса ты метишь к примеру маркой GroupA, чтобы независимо от группы, пакеты шли на канал на который заворачиваются пакеты GroupA.... вижу что много буков, но в таком состоянии точнее сформулировать не могу DDDDDDD с новым годом!! =)

[Igoras]

KirillTs,
в 12 часов ночи как бы надо за столом сидеть и на галкина с остальными звездами нашей эстрады смотреть, а не на форуме писать про микротик

[sherwood]

С Новым Годом!!!
как проходит праздник? у нас близится к завершению
на этот год хорошо, снега много и не холодно......
как у Вас?

P.S.

Ну у тебя в рутах, пакеты с маркой GroupA к примеру идут на первый канал, пакеты с маркой GroupB идут на второй канал, а на определенные адреса ты метишь к примеру маркой GroupA, чтобы независимо от группы, пакеты шли на канал на который заворачиваются пакеты GroupA.... вижу что много буков, но в таком состоянии точнее сформулировать не могу DDDDDDD с новым годом!! =)

то есть метим в мангле IP ресурса (dst. address) и назначаем марку (например ftp)
далее в рутах создаем еще один маршрут где указываем шлюз и эту марку...
получается что указывать каким IP или группам можно туда ходить не надо, любой IP зашедший на
Микротик с локальной сети и обратившись на IP указанный в правиле мангла, будет направлен на
соответствующий шлюз...?
так?

[KirillTs]

KirillTs,
в 12 часов ночи как бы надо за столом сидеть и на галкина с остальными звездами нашей эстрады смотреть, а не на форуме писать про микротик

Ноутик всегда со мной

то есть метим в мангле IP ресурса (dst. address) и назначаем марку (например ftp)
далее в рутах создаем еще один маршрут где указываем шлюз и эту марку...
получается что указывать каким IP или группам можно туда ходить не надо, любой IP зашедший на
Микротик с локальной сети и обратившись на IP указанный в правиле мангла, будет направлен на
соответствующий шлюз...?
так?

Ага, так тока в роутах в принципе можно правило не создавать, там уже есть 2 правила, которые в зависимости от марки рулят пакеты на один из каналов...


P.S. вот теперь пора спать )) спокойной ночи )))

[sherwood]

все равно не понятно...
в мангле у меня промаркированы группы из адрес листа, в рутах эти марки направлены на соответствующие каналы..
например группа unlimit512 из адрес листа направлена на первый канал, а вторая unlimit1024 направлена на второй
канал..... ресурсы находятся на первом..... каким образом вторая группа попадет на первый канал?
или принцип такой: когда пользователь запрашивает какой то ресурс из интернета (например ya.ru) Микротик просматривает список мангл и если там нет маркировки на этот ресурс направляет запрос на канал согласно
правил в рутах, а если в мангле есть этот ресурс то он его ищет по всем каналам? ... тогда для убыстрения процесса
наверно лучше прописать в рутах направление...
может где нить на оф сайте Микротика есть пример моего случая?

[KirillTs]

все равно не понятно...
в мангле у меня промаркированы группы из адрес листа, в рутах эти марки направлены на соответствующие каналы..
например группа unlimit512 из адрес листа направлена на первый канал, а вторая unlimit1024 направлена на второй
канал..... ресурсы находятся на первом..... каким образом вторая группа попадет на первый канал?

еще раз, в роутах если пакет имеет марку GroupA, он кидается на перый канал если GroupB на второй, вот мы в мангле задаем что пакеты на адрес 123.123.123.124 получают марку GroupA, размещаем правило повыше, ставим passtrough no, получается что все пакеты на адрес 123.123.123.124 будут иметь марку GroupA и пойдут на первый канал, даже если пользователь из второй группы... в принципе реализовывать можно как угодно, можно пометить другой маркой и создать еще одно правило в роутах... но это уже надо 2 правила создать =)

может где нить на оф сайте Микротика есть пример моего случая?

Гугль знает всё =)

[sherwood]

Аааа ... семен семеныч
вот последнее объяснение как раз прошло....
наверное выспался
спасибо за помощь .... теперь буду пробовать после праздников...

[sherwood]

спасибо еще раз, все работает как хотел...
есть еще несколько моментов:
1. У меня три канала интернета, надо на всех маршрутах ставить проверку пингом или один должен быть без
проверки?
и какой алгоритм работы этой проверки?
то есть постоянно проверяет пингом доступность шлюза и если он не доступен, то переключается на другой
доступный, а потом при доступности своего опять переключается на него и так по всем трем каналам....
2. Правильно ли я понимаю, что на всех трех PPPoE надо ставить галку Use Peer DNS?
это означает, что какое PPPoE первое поднимется тот DNS и будет прописан?
3.Далее ограничение скорости..
этих правил было создано по два на каждый тариф (в моем случае .

Код: Выделить всё

/queue type add name="PCQ_download" kind=pcq pcq-rate=64000 pcq-classifier=dst-address
/queue type add name="PCQ_upload" kind=pcq pcq-rate=32000 pcq-classifier=src-address

этих по количеству компьютеров:

Код: Выделить всё

/queue simple add queue=PCQ_upload/PCQ_download target-addresses=192.168.0.0

а вот этих было создано тоже 8, но почему то счетчик считается только у первых двух созданных,
а точнее у global-out...

Код: Выделить всё

/queue tree add parent=global-in queue=PCQ_download packet-mark=all
/queue tree add parent=global-out queue=PCQ_upload packet-mark=all

после я удалил остальные 6 правил, я так понимаю их нужно было всего 2?
и почему счетчик не идет у global-in?
я так понимаю это исходящий...

пока вроде вопросов нет....

[sherwood]

"Эээ... рано я обрадовался..
есть проблема, не которые пользователи не попадают под правила ограничения скорости,
то есть шпарят на всю ширину канала...
смотрю у низ в мониторе работ (биллинговой системы) скорость не та что должна резаться...
в этой же группе находятся еще клиенты, так у них все нормально...
пробовал свой компьютер переносить в эти группы, тоже все нормально...
поманите....

[sherwood]

смешно но и печально, все правила которые я делаю для шейпера срабатывают для моих
двух домашних компьютеров и какая то часть компьютеров пользователей....
пробовал сувать свои компьютеры в разные группы .... все работает как надо....
далее наблюдаю за пользователями в биллинговой системе и в статистике queue simple,
и вижу чудо в билленге у пользователя показывается скорость и трафик, а в queue simple
ни чего, ни какой статистике.... хотя клиент постоянно что то качает, у него даже нет прерывания
этого клиента даже нет в firewall Connection (может конечно там его и не должно быть)....
у меня такое предположение, что он не попадает под правило шейпера .... тогда как он работает?
может он качает торентом что то и это не попадает под маркировку?
в общем нужна помощь....

[KirillTs]

Открываем http://wiki.mikrotik.com/wiki/Different ... queue_tree
распечатываем, по этому мануалу скручиваем http://smotri.com/video/view/?id=v13118e887 (Видео!) и курим!


Создаем 2 группы, с различными ограничениями, называем соответственно Group1Mbit, Group2Mbit адресов в одну группу можно добавить сколько угодно...

Код: Выделить всё

/ ip firewall address-list
add list=Group2Mbit address=192.168.0.3 comment="середнячки и особы приближенные"
add list=Group1Mbit address=192.168.0.4 comment="бедные родственники из ПГТ Распупен"

Метим пакеты

Код: Выделить всё

/ ip firewall mangle
add chain=forward action=mark-packet new-packet-mark=Group2MbitDownload  passthrough=no \
    in-interface=public dst-address-list=Group2Mbit  \
    comment="крутые мальчишки и девчонки а также их родители с быстрым инетом...ДАУНЛОАД"

add chain=forward action=mark-packet new-packet-mark=Group2MbitUpload  passthrough=no \
    in-interface=local src-address-list=Group2Mbit  \
    comment="крутые мальчишки и девчонки а также их родители с быстрым инетом...УПЛОАД"

add chain=forward action=mark-packet new-packet-mark=Group1MbitDownload  passthrough=no \
    in-interface=public dst-address-list=Group1Mbit   \
    comment="бедные родственники из ПГТ Распупен...ДАУНЛЛОАД"

add chain=forward action=mark-packet new-packet-mark=Group1MbitUpload passthrough=no \
    in-interface=local src-address-list=Group1Mbit  \
    comment="бедные родственники из ПГТ Распупен...УПЛОАД"

Задаем ограничения:

Код: Выделить всё

/ queue type
add name="Group1MbitDownload" kind=pcq pcq-rate=1024000 pcq-classifier=dst-address
add name="Group2MbitDownload" kind=pcq pcq-rate=2048000 pcq-classifier=dst-address
add name="Group1MbitUpload" kind=pcq pcq-rate=1024000 pcq-classifier=src-address
add name="Group2MbitUpload" kind=pcq pcq-rate=2048000 pcq-classifier=src-address

Загоняем пакеты queue tree

Код: Выделить всё

/ queue tree
add name="Group1MbitDownload" parent=local packet-mark=Group1MbitDownload queue=Group1MbitDownload
add name="Group2MbitDownload" parent=local packet-mark=Group2MbitDownload queue=Group2MbitDownload
add name="Group1MbitUpload" parent=public packet-mark=Group1MbitUpload queue=Group1MbitUpload
add name="Group2MbitUpload" parent=public packet-mark=Group2MbitUpload queue=Group2MbitUpload

Пример для двух груп, можно делать сколько угодно, имена интерфейсов public и local замени на те что у тебя, вроде правильно набросал.. но могут быть ошибки ... спешил... при ближайшем рассмотрению думаю заметишь если что не так...

[sherwood]

сделал как написал, проверяю у себя на двух компьютерах (которые находятся в разных группах и на разных интерфейсах) вроде все нормально...
далее смотрю в мониторе работ билинга пользователь занесен в группу 512 - скорость у него периодически
появляется 3500 - 4500 (то есть почти на всю ширину).... другой группа 1024 - скорость прыгает до 3900
повторяю, что это замечено только у некоторых....
может их трафик каким то образом не попадает под маркер? (какой нибудь торент)...

P.S.
еще про направление на бесплатные ресурсы у провайдера на определенный канал,
правило которое ты писал раньше - работает, но на это ресурс так же действует и ограничение
по скорости....
можно как то что бы эти ресурсы не попадали под правила шейпера?

[KirillTs]

может их трафик каким то образом не попадает под маркер? (какой нибудь торент)...

В мангле метится весь трафик, нарисуй схему кто, куда и с каким адресом идет.

можно как то что бы эти ресурсы не попадали под правила шейпера?

Создаешь правило в мангле выше других правил, chain: forward, dst. address ставишь адрес ресурса, обязательно passthrough=no, и добавляешь метку к примеру "Free" они будут идти с другой маркой, и не попадут под ограничения шейпера, будет качать на весь канал, при желании можно создать правила в queue, чтобы на эти ресурсы было специальное ограничение.... тоже самое для исходящего трафика, если надо... только адрес ресурса идет в src. address

[sherwood]

ip firewall mangle print

Код: Выделить всё

   ;;; Mark PCQ for Unlimit 512 download
     chain=forward action=mark-packet new-packet-mark=512download
     passthrough=no dst-address-list=07.Unlimit-512
     in-interface=pppoe-wlc-unlimit

   ;;; Mark PCQ for Unlimit 512 upload
     chain=forward action=mark-packet new-packet-mark=512upload
     passthrough=no src-address-list=07.Unlimit-512 in-interface=ether4

   ;;; Mark PCQ for Unlimit 1024 download
     chain=forward action=mark-packet new-packet-mark=1024download
     passthrough=no dst-address-list=08.Unlimit-1024
     in-interface=pppoe-wlc-unlimit

   ;;; Mark PCQ for Unlimit 1024 upload
     chain=forward action=mark-packet new-packet-mark=1024upload
     passthrough=no src-address-list=08.Unlimit-1024 in-interface=ether4

   ;;; Mark PCQ for Unlimit 2048 download
     chain=forward action=mark-packet new-packet-mark=2048download
     passthrough=no dst-address-list=09.Unlimit-2048
     in-interface=pppoe-wlc-limit

   ;;; Mark PCQ for Unlimit 2048 upload
     chain=forward action=mark-packet new-packet-mark=2048upload
     passthrough=no src-address-list=09.Unlimit-2048 in-interface=ether4

   ;;; Mark PCQ for Unlimit 3072 download
     chain=forward action=mark-packet new-packet-mark=3072download
     passthrough=no dst-address-list=10.Unlimit-3072
     in-interface=pppoe-domolink

   ;;; Mark PCQ for Unlimit 3072 upload
     chain=forward action=mark-packet new-packet-mark=3072upload
     passthrough=no src-address-list=10.Unlimit-3072 in-interface=ether4

queue type print

Код: Выделить всё

 name="PCQ_download_1024" kind=pcq pcq-rate=1024000 pcq-limit=50
 pcq-classifier=dst-address pcq-total-limit=2000

 name="PCQ_upload_1024" kind=pcq pcq-rate=400000 pcq-limit=50
 pcq-classifier=src-address pcq-total-limit=2000

 name="PCQ_download_512" kind=pcq pcq-rate=512000 pcq-limit=50
 pcq-classifier=dst-address pcq-total-limit=2000

 name="PCQ_upload_512" kind=pcq pcq-rate=400000 pcq-limit=50
 pcq-classifier=src-address pcq-total-limit=2000

 name="PCQ_upload_2048" kind=pcq pcq-rate=400000 pcq-limit=50
 pcq-classifier=src-address pcq-total-limit=2000

 name="PCQ_download_2048" kind=pcq pcq-rate=2048000 pcq-limit=50
 pcq-classifier=dst-address pcq-total-limit=2000

 name="PCQ_download_3072" kind=pcq pcq-rate=3072000 pcq-limit=50
 pcq-classifier=dst-address pcq-total-limit=2000

 name="PCQ_upload_3072" kind=pcq pcq-rate=400000 pcq-limit=50
 pcq-classifier=src-address pcq-total-limit=2000

queue tree print

Код: Выделить всё

 name="512download" parent=ether4 packet-mark=512download limit-at=0
 queue=PCQ_download_512 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="512upload" parent=pppoe-wlc-unlimit packet-mark=512upload limit-at=>
 queue=PCQ_upload_512 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="1024download" parent=ether4 packet-mark=1024download limit-at=0
 queue=PCQ_download_1024 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="1024upload" parent=pppoe-wlc-unlimit packet-mark=1024upload
 limit-at=0 queue=PCQ_upload_1024 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="2048download" parent=ether4 packet-mark=2048download limit-at=0
 queue=PCQ_download_2048 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="2048upload" parent=pppoe-wlc-limit packet-mark=2048upload limit-at=>
 queue=PCQ_upload_2048 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="3072download" parent=ether4 packet-mark=3072download limit-at=0
 queue=PCQ_download_3072 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

 name="3072upload" parent=pppoe-domolink packet-mark=3072upload limit-at=0
 queue=PCQ_upload_3072 priority=8 max-limit=0 burst-limit=0
 burst-threshold=0 burst-time=0s

ether4 - интерфейс подключенный к серверу.
pppoe-wlc-unlimit - PPPoE интерфейс (интерфейс на котором поднято PPPoE, таких 3)
07.Unlimit-512 - название группы из адрес листа (таких групп 4)

вроде все правильно... или нет?

[KirillTs]

вроде все правильно... или нет?

Как говорится много буков =) , но на первый взгляд правильно

[sherwood]

правильно то правильно, только не совсем срабатывает правильно....
клиент Антропов ... группа 512, а посмотри с какой скоростью работает...
и еще вопрос... мы метим пакеты на определенных интерфейсах интернета,
а вот если интерфейс упал?
в рутах там стоит проверка пингом, и я так понимаю при падении произойдет переключение на другой
канал, а вот как тогда будет работать шейпер?

P.S.
может билинг не правильно показывает (в таком сочетании с Микротиком), потому что
когда он сам режет, то все нормально?
потому что сейчас посмотрел, у одного клиента на тарифе 1024 скорость 39500Мб
у меня такого на лимитном канале нет - всего примерно 18-20Мб,.

[KirillTs]

Эмм... не понятно вообще то, куда микротик та воткнут? после сервера с TI и NAT'ом? Если на сервере NAT, тогда о каких списках пользователей мы говорим? все юзеры идут с адресом внешнего интерфейса сервера...

[sherwood]

Эмм... не понятно вообще то, куда микротик та воткнут? после сервера с TI и NAT'ом? Если на сервере NAT, тогда о каких списках пользователей мы говорим? все юзеры идут с адресом внешнего интерфейса сервера...

ну нет, до такого я еще не опустился
Схему я уже писал:
Интернет (3-канала) -> Микротик -> Сервер (ТИ-биллинг, DNS-кеш, RRAS-простая маршрутизация) -> локальная сеть.
Ната на сервере нет...
На Микротике настроена балансировка Групп (из адрес листа) по интернет каналам (это работает)..
На Микротике в Firewallе -> Connection - вижу IP клиентов из локальной сети, и на какие IP они заходят...
Я думаю почему у некоторых клиентов не резалась скорость, из-за того что они каким то образом не попадали
в Connection, то есть в ТИ я вижу, что у клиента есть скорость в статистике ТИ вижу, что он лазает по сайтам
одноклассники... в контакте, а в листе Connection его IP НЕТ - это возможно????
так же в этом листе есть прилично соединений самого сервера, я так думаю это DNS отрабатывает...
вот такая вот петрушка....
Да, еще нюанс.... сегодня упал один канал, через который сам сервер работал, так вот на сервере пропал интернет...
я так понимаю функция ПИНГ на маршрутах не работает.... или для нее еще что то надо?

[KirillTs]

Хм.. тут я тебе так сходу подсказать ничего не смогу, тут только искать, перепроверить, метиться ли трафик этого юзера, правильно прописаны интерфейсы в правилах...
Можно поставить себе этот адрес и проверить, ограничивается скорости вообще, не попадает ли трафик под какое нить правило в мангле, там был какой то бесплатные сервер, насколько я помню...
Основную конфигурацию я тебе расписал, у меня настроено так же, режет все вне зависимости от типа трафика, а дальше надо внимательно разбираться.

Да, еще нюанс.... сегодня упал один канал, через который сам сервер работал, так вот на сервере пропал интернет...
я так понимаю функция ПИНГ на маршрутах не работает.... или для нее еще что то надо?

Если у тебя все маршруты идут с "routing-mark=" тогда да, когда маршрут выключится, пакеты с этой маркой не смогут ни куда пойти, т.к. на других маршрутах вбита другая марка, нужно создать маршрут без марки... опять же это все есть, http://www.mikrotik.com/testdocs/ros/3.0/ip/route.php ...ниже пример 2 маршрута с марками, 1 маршрут на всякий случай..

Вольный перевод с английского

Код: Выделить всё

#

Направляет пакеты с сети 192.168.0.0/24 на шлюз GW_1 (10.0.0.2) и пакеты с сети 192.168.1.0/24 на шлюз GW_2 (10.0.0.3), используя соответственные марки пакетов. если до GW_1 или GW_2 достучаться не удается (не отвечает на пинги), соответственные пакеты будут направлены на GW_Main (10.0.0.1):

[admin@PB-Router] ip route> add gateway=10.0.0.2 routing-mark=net1 \
\... check-gateway=ping
[admin@PB-Router] ip route> add gateway=10.0.0.3 routing-mark=net2 \
\... check-gateway=ping
[admin@PB-Router] ip route> add gateway=10.0.0.1
[admin@PB-Router] ip route> print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf
 #     DST-ADDRESS        PREFSRC         G GATEWAY         DISTANCE INTERFACE
 0 ADC 10.0.0.0/24        10.0.0.7                                   Public
 1 ADC 192.168.0.0/24     192.168.0.1                                Local1
 2 ADC 192.168.1.0/24     192.168.1.1                                Local2
 3 A S 0.0.0.0/0                          r 10.0.0.2                 Public
 4 A S 0.0.0.0/0                          r 10.0.0.3                 Public
 5 A S 0.0.0.0/0                          r 10.0.0.1                 Public
[admin@PB-Router] ip route>

[sherwood]

получилось так:
добавил

Код: Выделить всё

ip route> add gateway=PPPoE провайдер 1

Код: Выделить всё

ip route> add gateway=PPPoE провайдер 2

в руте они синего цвета, то есть не доступны, и имеют букву S...
проверял так, отключаю PPPoE первого провайдера сам сервер и пользователи начинают работать через
второго провайдера....при включении все становится как было раньше, то есть все идет по маркам.
отключаю второе PPPoE то же самое...
получается что работает, только смущает то что при отключении в рутах новые маршруты не становятся
AS и так же имеют синий цвет....
что то не так?