Количество активных подключений через микрот.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Timur116
Сообщения: 2
Зарегистрирован: 12 янв 2022, 15:04

Доброго времени суток.
я на форуме впервые, но с микротиком уже не первый год. попалась странная задача. решить не смог.
наставьте пожалуйста на путь истинный.
заранее спасибо.

в наличии офис на сотню юзеров и для удобства работы с гаджетами конечно есть вайфай.
бесшовная сеть собрана на точках доступа в виде плюшечки (5acd2nd) 1 роутер и 3 антенки. управляется через Capsman.
все работает хорошо. и внутренняя сеть и интернет. даже гостевая сеть работает).

НО. возникла беда откуда не ждали) выход во ВНЕ контролируется Kerio. И вот керио решил обидеться не честного трудягу микрота.
Connection limit of 1000 outbound connections reached for host - выдал керио и заблокировал адрес микрота.
по прошествии таймаута разблокировал, огляделся и опять заблокировал.

озадачился я ограничением количества сессий на 1 адрес выдаваемый микротом. и даже пользовал правило из сети

ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32

и всякие производные от этого.

но чего-то мне это не помогло. даже когда ставлю эксперименты на своем смартфоне - он один при использовании вацапа прогоняет через микрот десяток соединений, причем в правиле выставил 1 сессию на адрес. НО керио видит десяток.
верховный шаман предложил ограничить вообще количество сессий на микроте. но тогда пострадает локальный трафик.
мне же надо ограничить сессии только для выдаваемых адресов гостевой сети. либо по адресу либо на подсеть.

но, пока у меня не работает правило.
помогите пожалуйста советом.
заранее спасибо.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Есть предложение: клиентов гостевой сети отдайте полностью на керио. Оставьте на микротике только транспорт. Пусть керио выдает гостям IP адреса и натит их в инет.

Ну и надо в серьез задуматься об отказе от керио. Уж если это не микротик, то тогда, как минимум, Pfsense.


Timur116
Сообщения: 2
Зарегистрирован: 12 янв 2022, 15:04

добрый день.
от керио нет возможности отказаться. и передать дхцп на него тоже. как раз задача микрота была взять на себя гостевую часть дхцп сервера чтоб очистить пул адресов с контроллера домена.
вот и ищу как выкрутиться. :ny_tik:


Ответить