Ограничение скорости по портам (нужна помощь)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

Попробовал снова настроить.
WAN пока на порту 1 (адрес 192.168.11.200 - статика), а первый локальный сегмент - на порту 4 - 192.168.94.0/24 (DHCP).

Снова напортачил где-то с Nat или Firewall. Что сделал неправильно?

Код: Выделить всё

# jul/12/2017 02:36:32 by RouterOS 6.39.2
# software id = TG79-1SFG
#
/interface bridge
add name=lan4-dmz
/ip pool
add name=dhcp_pool0 ranges=192.168.94.2-192.168.94.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=lan4-dmz name=dhcp1
/interface bridge port
add bridge=lan4-dmz interface=ether4
/ip address
add address=192.168.11.200/24 interface=ether1 network=192.168.11.0
add address=192.168.94.1/24 interface=lan4-dmz network=192.168.94.0
/ip dhcp-server network
add address=192.168.94.0/24 dns-server=192.168.11.1 gateway=192.168.94.1 \
    netmask=24
/ip dns
set servers=192.168.11.1
/ip firewall filter
add chain=input protocol=icmp
add chain=input connection-state=new dst-port=80,8291,22 in-interface=\
    lan4-dmz protocol=tcp src-address=192.168.94.0/24
add chain=input connection-mark=allow_in connection-state=new dst-port=80 \
    in-interface=ether1 protocol=tcp
add chain=input connection-state=new dst-port=53,123 protocol=udp \
    src-address=192.168.94.0/24
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add chain=forward connection-state=established,new in-interface=lan4-dmz \
    out-interface=ether1 src-address=192.168.94.0/24
add chain=forward connection-state=established,related in-interface=ether1 \
    out-interface=lan4-dmz
add action=accept chain=forward src-address=192.168.94.0/24
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat4 in-interface=lan4-dmz out-interface=\
    ether1 src-address=192.168.94.0/24
/ip route
add check-gateway=ping distance=1 gateway=192.168.11.1
/system clock
set time-zone-name=Europe/Tallinn


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да выключите же наконец все правила фаерволла!!!!
Для чего они??? Какая в них необходимость???

Фаерволлом занимаемся только тогда, когда ВСЕ, абсолютно ВСЕ другое заработало. Добавляем в фаерволл только те правила, которые действительно нужны и вы понимаете как они работают. Можно вообще без них. Будет достаточного одного правила от флуда по 53 порту, и все будет работать. Добавлять их будете по мере необходимости.

Правило NAT можно сделать проще
что-то вроде такого
chain=srcnat action=masquerade src-address=192.168.77.0/24 log=no log-prefix=""

а можно и еще проще
chain=srcnat action=masquerade log=no log-prefix=""

Тогда натится будет все и не потребуется создавать отдельные строчки для каждого интерфейса или подсети.

Интернет на микротике работает?? Пинги до ресурсов идут.

Для чего бридж из одного порта Ethenet?? Потом туда еще что-то будет добавляться???


6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

gmx писал(а):

Благодарю! Теперь всё работает. Остановился пока на правиле
chain=srcnat action=masquerade out-interface=ether1 src-address=192.168.0.0/16
(На ether1 - WAN.)

В Firewall добавил правила из примера в статье, на которую ссылался полагая, что может не работать, т.к. если разрешающих правил нет, то может отсекаться из-за этого...

Нет, порты в Bridge добавлять не планируется (один порт - один интерфейс - один сегмент / подсеть). Сделал по совету Vlad-2, но без бриджей, наверное, будет аналогично, но будут другие наименования интерфейсов (ether4 вместо lan4-dmz).
Может, было связано с тем, что обмен между подсетями не предполагается (да, это можно реализовать в Firewall) и одновременно, никаких ограничений на обмен внутри подсети не предполагается тоже.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ещё раз: правила в фаерволл добавляют не из статьи, а по мере необходимости...


6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

В общем, настроил всё на бриджах, как советовал Vlad-2.

Без бриджей, на голых интерфейсах портов - не осилил.
Получилось, наверное, не самое эффектикное решение, но зато - оно работает! 1 порт - 1 мост (бридж).

Ниже - конфигурация (решение задачи).
(Ниже предназначено для чайников, вроде меня, чтобы не мучались сами и не не приходилось объяснять как мне в очередной раз. Если сделал ерунду и можно было намного лучше (с чем заведомо не спорю) - то, если не жалко, просто выложите свою понфигурацию.)

Порт 1 - WAN (т.к. в скорой перспективе владелец планирует взять пакет от провайдера со скоростью более 100 МБит).
Порты 2-9 - клиенты (сети 192.168.92.0/24..192.168.99.0/24); очередь (лимит) на мост для каждой подсети - 5Мбит/5Мбит в секунду
Порт 10 - сеть владельца/администрации, отсюда разрешено и администрирование устройства (по MAC-адресам интерфейсов, WinBox зайдёт с любого из портов); очередь (лимит) подсети - 10Мбит/10Мбит в секунду

К портам 2..10 планируется подключить рутеры, но возможны и свичи.

WAN: настроено как статика, адрес 192.168.11.200/24, основной шлюз (и далее - по тому же адресу DNS) - 192.168.11.1 (поменяйте эти адреса в конфигурации на соответствующие Ваши).
Если перед Микротиком рутер с DHCP, то можно настроить и по DHCP, закрепив за мак-адресом Микротика какой-либо адрес. Возможно, проще будет ограничить диапазон адресов (скажем, 192.168.11.2-192.168.11.199) и поменять тогда в конфигурации микротика 192.168.11.200 на любой адрес вне диапазона DHCP.

NB! Имя пользователя без изменений (после импорта - необходимо создать другого пользователя и задать ему пароль, а пользователя admin отключить или удалить).

Также, настроен фильтр в брандмауэре - блокировать новые соединения извне, и ряд других правил.

Намеренного ограничения обмена между внутренними подсетями (92-100) здесь не сделано. Не проверял пока, возможен-ли он (в таком случае, он позже будет ограничен).

Конфигурацию (скрипт) необходимо сохранить в файл, скажем, some_config.rsc, в утилите WinBox, после присоединения, открыть окно Files, и перетащить туда файл. Дажее - New Terminal -> /import some_config.rsc (жмём Ввод (Enter)).
Желательно перед этим сбросить в заводские настройки и после копирования файла, удалить конфигурацию.

Через несколько секунд терминал отсоединится и новая конфигурация вступит в силу.

Сама конфигурация:

Код: Выделить всё

# jul/14/2017 22:37:59 by RouterOS 6.39.2
# software id = TG79-1SFG
#
/interface bridge
add name=lan2-dmz
add name=lan3-dmz
add name=lan4-dmz
add name=lan5-dmz
add name=lan6-dmz
add name=lan7-dmz
add name=lan8-dmz
add name=lan9-dmz
add name=lan10-dmz
/ip pool
add name=dhcp_pool_02 ranges=192.168.92.2-192.168.92.254
add name=dhcp_pool_03 ranges=192.168.93.2-192.168.93.254
add name=dhcp_pool_04 ranges=192.168.94.2-192.168.94.254
add name=dhcp_pool_05 ranges=192.168.95.2-192.168.95.254
add name=dhcp_pool_06 ranges=192.168.96.2-192.168.96.254
add name=dhcp_pool_07 ranges=192.168.97.2-192.168.97.254
add name=dhcp_pool_08 ranges=192.168.98.2-192.168.98.254
add name=dhcp_pool_09 ranges=192.168.99.2-192.168.99.254
add name=dhcp_pool_10 ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp_pool_02 disabled=no interface=lan2-dmz name=dhcp2
add address-pool=dhcp_pool_03 disabled=no interface=lan3-dmz name=dhcp3
add address-pool=dhcp_pool_04 disabled=no interface=lan4-dmz name=dhcp4
add address-pool=dhcp_pool_05 disabled=no interface=lan5-dmz name=dhcp5
add address-pool=dhcp_pool_06 disabled=no interface=lan6-dmz name=dhcp6
add address-pool=dhcp_pool_07 disabled=no interface=lan7-dmz name=dhcp7
add address-pool=dhcp_pool_08 disabled=no interface=lan8-dmz name=dhcp8
add address-pool=dhcp_pool_09 disabled=no interface=lan9-dmz name=dhcp9
add address-pool=dhcp_pool_10 disabled=no interface=lan10-dmz name=dhcp10
/queue simple
add max-limit=5M/5M name=queue2 target=lan2-dmz
add max-limit=5M/5M name=queue3 target=lan3-dmz
add max-limit=5M/5M name=queue4 target=lan4-dmz
add max-limit=5M/5M name=queue5 target=lan5-dmz
add max-limit=5M/5M name=queue6 target=lan6-dmz
add max-limit=5M/5M name=queue7 target=lan7-dmz
add max-limit=5M/5M name=queue8 target=lan8-dmz
add max-limit=5M/5M name=queue9 target=lan9-dmz
add max-limit=10M/10M name=queue10 target=lan10-dmz
/interface bridge port
add bridge=lan2-dmz interface=ether2
add bridge=lan3-dmz interface=ether3
add bridge=lan4-dmz interface=ether4
add bridge=lan5-dmz interface=ether5
add bridge=lan6-dmz interface=ether6
add bridge=lan7-dmz interface=ether7
add bridge=lan8-dmz interface=ether8
add bridge=lan9-dmz interface=ether9
add bridge=lan10-dmz interface=ether10
/ip address
add address=192.168.11.200/24 interface=ether1 network=192.168.11.0
add address=192.168.92.1/24 interface=lan2-dmz network=192.168.92.0
add address=192.168.93.1/24 interface=lan3-dmz network=192.168.93.0
add address=192.168.94.1/24 interface=lan4-dmz network=192.168.94.0
add address=192.168.95.1/24 interface=lan5-dmz network=192.168.95.0
add address=192.168.96.1/24 interface=lan6-dmz network=192.168.96.0
add address=192.168.97.1/24 interface=lan7-dmz network=192.168.97.0
add address=192.168.98.1/24 interface=lan8-dmz network=192.168.98.0
add address=192.168.99.1/24 interface=lan9-dmz network=192.168.99.0
add address=192.168.100.1/24 interface=lan10-dmz network=192.168.100.0
/ip dhcp-server network
add address=192.168.92.0/24 dns-server=192.168.11.1 gateway=192.168.92.1 \
    netmask=24
add address=192.168.93.0/24 dns-server=192.168.11.1 gateway=192.168.93.1 \
    netmask=24
add address=192.168.94.0/24 dns-server=192.168.11.1 gateway=192.168.94.1 \
    netmask=24
add address=192.168.95.0/24 dns-server=192.168.11.1 gateway=192.168.95.1 \
    netmask=24
add address=192.168.96.0/24 dns-server=192.168.11.1 gateway=192.168.96.1 \
    netmask=24
add address=192.168.97.0/24 dns-server=192.168.11.1 gateway=192.168.97.1 \
    netmask=24
add address=192.168.98.0/24 dns-server=192.168.11.1 gateway=192.168.98.1 \
    netmask=24
add address=192.168.99.0/24 dns-server=192.168.11.1 gateway=192.168.99.1 \
    netmask=24
add address=192.168.100.0/24 dns-server=192.168.11.1 gateway=192.168.100.1 \
    netmask=24
/ip dns
set servers=192.168.11.1
/ip firewall filter
add chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22 \
    in-interface=!ether1 protocol=tcp src-address=192.168.0.0/16
add action=reject chain=input connection-mark=deny_in connection-state=new \
    in-interface=ether1 reject-with=icmp-net-prohibited
add action=accept chain=input connection-mark=allow_in connection-state=new \
    disabled=yes dst-port=80 in-interface=ether1 protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 protocol=\
    udp src-address=192.168.0.0/16
add chain=input connection-state=established,related
add chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new \
    in-interface=!ether1 out-interface=ether1 src-address=192.168.0.0/16
add action=accept chain=forward connection-state=established,related \
    in-interface=ether1 out-interface=!ether1
add action=accept chain=forward src-address=192.168.0.0/16
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
    192.168.0.0/16
/ip route
add check-gateway=ping distance=1 gateway=192.168.11.1
/ip service
set telnet address=192.168.100.0/24
set ftp address=192.168.100.0/24
set www address=192.168.100.0/24
set ssh address=192.168.100.0/24
set www-ssl address=192.168.100.0/24
set api address=192.168.100.0/24
set winbox address=192.168.100.0/24
set api-ssl address=192.168.100.0/24
/system clock
set time-zone-name=Europe/Tallinn


Ну и меняем часовой пояс на местный.

Большое спасибо Vlad-2, gmx, и всем, принявшим участие в этой теме.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

ТС, вы не с Netbynet к нам зашли? Есть там один активнейший участник форумов под похожим ником :-):


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

podarok66 писал(а):ТС, вы не с Netbynet к нам зашли? Есть там один активнейший участник форумов под похожим ником :-):

Нет, нагуглировал данный форум. Про нетбайнетов не знаю. По жизни вобще занимаюсь другим, с микротиком имел дело впервые, настраивал для знакомых.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

6apMaJIeu писал(а):В общем, настроил всё на бриджах, как советовал Vlad-2.
Без бриджей, на голых интерфейсах портов - не осилил.
Получилось, наверное, не самое эффектикное решение, но зато - оно работает! 1 порт - 1 мост (бридж).

Главное помните - иногда бриджи помогают, а иногда и делают "подставы". :mi_ga_et:
6apMaJIeu писал(а):Большое спасибо Vlad-2, gmx, и всем, принявшим участие в этой теме.

Удачи Вам, несите микротик в массы!

P.S.
Прошу модераторов заранее прощение за поздний ответ, был в отъезде.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить