Маркировка трафика

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Здравствуйте!
У меня устройство hap ac lite, прошивка 6.42.11 long term
В него приходит по проводу МТС с белым адресом, а в юсб порту 4g свисток.. нулевой маршрут смотрит в свисток, и есть подсети которые смотрят в МТС, все что туда завернуто это наша городская локальная сеть.. на мтсе тоже есть интернет, поэтому и туда есть нулевой маршрут с метрикой на 1 выше чем у свистка поэтому не активен..

Вопрос вот в чем.. из-за того что на свистке адрес серый, а на мтсе белый мне необходимо настроить доступ с интернета по ипу который мне дает мтс (ип статический), для этого я помечают трафик в мангле который приходит ко мне с порта МТС и заворачиваю его обратно на мой шлюз МТСа..
Все начинает работать как надо, пинги пингуются, pptp подключается (проверяю с телефона с симки билайн), в общем вижу себя со стороны мтс, но через время все это счастье перестает работать, бывает через час, бывает через 10 часов, дольше 12 часов не работает.. но если выключить нулевой маршрут до модема буквально на несколько секунд, и нулевым маршрутом станет МТС, все начинает снова работать, включаешь обратно маршрут на модем и в моем распоряжении снова 1-10 часов нормальной работы)) в общем приходится постоянно передергивать нулевой маршрут..

Пробовал в качестве шлюза МТСа ставить просто его интерфейс, пробовал check gateway и ping и arp, не помогает, через время просто не перестает пинговаться из вне..
Куда копать? :-):

P.S. белый ип со стороны МТС на схеме изменен на выдуманный! для полноценного понимания (настоящий ип тоже в диапозоне 91.186.x.x)

P.P.S. обычно когда пингую с телефона, то вижу себя в Connections, когда перестает работать, там не намека что я пытаюсь пинговать..

Код: Выделить всё

# feb/13/2019 19:29:01 by RouterOS 6.42.11
#
# model = RouterBOARD 952Ui-5ac2nD

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=eth1:MTS use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-dns=no

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="allow ping" protocol=icmp
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
add action=accept chain=input comment=vpn dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward
add action=drop chain=input comment="drop all"

/ip firewall mangle
add action=mark-connection chain=input dst-address=91.186.1.66 in-interface=eth1:MTS new-connection-mark=mts_in passthrough=yes
add action=mark-routing chain=output connection-mark=mts_in new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=mts_in_f in-interface="bridge lan" new-routing-mark=mts_route passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat comment="nat mts" out-interface=eth1:MTS
add action=masquerade chain=srcnat comment="nat modem" out-interface=lte1

/ip route
add distance=1 gateway=91.186.1.254 routing-mark=mts_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=5 dst-address=10.203.x.x/x gateway=eth1:MTS
add distance=5 dst-address=10.204.x.x/x gateway=eth1:MTS
add distance=5 dst-address=85.117.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.186.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.229.x.x/x gateway=eth1:MTS
add distance=5 dst-address=95.129.x.x/x gateway=eth1:MTS
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
add distance=5 dst-address=213.128.x.x/x gateway=eth1:MTS

Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) маркировать надо оба провайдеров (оба канала)
2) толком я вопроса не понял, но я понял так: "почему так происходит?" ...потому что не до конца сделали.
3) маршруты:
а) у Вас должно быть 3 таблицы маршрутизации, главная (MAIN), и ещё две (каждая по провайдеру,
маркированные)
б) соответственно Вы пометив (отмаркировав) каждого провайдера = должны в его канал отсылать пакеты
4) маршруты локальных сетей как-то странно описаны...не видел такова синтаксиса.
5) так как Вам надо подключение с Интернета на белый адрес, то могу дать обобщённый совет,
что шлюз по-умолчанию (дефолтный) должен быть тот провайдер, который даёт белый адрес.
Повторюсь: два маршрута с дистанцией 1(по каждому прову), но с маркировками,
потом два дефолтных шлюза обычных (без маркировок), но с разными дистанциями,
дист=1 у провайдера с белым IP, дист=2 с серым.
6) в Файрволе, в разделе Сonnections = кнопка Tracking , там есть параметр TCP Established Timeout = который
равен 1 суткам, советую поставить 12 часов, так проще, лучше и быстрее будем в будущем.

Пока вот такие скромные советы



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 13 фев 2019, 16:57 1) маркировать надо оба провайдеров (оба канала)
2) толком я вопроса не понял, но я понял так: "почему так происходит?" ...потому что не до конца сделали.
3) маршруты:
а) у Вас должно быть 3 таблицы маршрутизации, главная (MAIN), и ещё две (каждая по провайдеру,
маркированные)
б) соответственно Вы пометив (отмаркировав) каждого провайдера = должны в его канал отсылать пакеты
4) маршруты локальных сетей как-то странно описаны...не видел такова синтаксиса.
5) так как Вам надо подключение с Интернета на белый адрес, то могу дать обобщённый совет,
что шлюз по-умолчанию (дефолтный) должен быть тот провайдер, который даёт белый адрес.
Повторюсь: два маршрута с дистанцией 1(по каждому прову), но с маркировками,
потом два дефолтных шлюза обычных (без маркировок), но с разными дистанциями,
дист=1 у провайдера с белым IP, дист=2 с серым.
6) в Файрволе, в разделе Сonnections = кнопка Tracking , там есть параметр TCP Established Timeout = который
равен 1 суткам, советую поставить 12 часов, так проще, лучше и быстрее будем в будущем.

Пока вот такие скромные советы
Спасибо за совет, я сейчас займусь "доделыванием" :-):
Свисток во всей этой схеме задействован исключительно потому что на нем выше скорость интернета.. на мтсе фиксированные 5 мбит, на модеме от 10 до ~40мбит в зависмости от времени суток и загруженности, именно поэтому весь основной трафик направлен туда.. что делать в такой ситуации? Все равно ставить мтс маршрутом по умолчанию и как то в мангле заворачивать весь трафик с локального бриджа в свисток? :-):


Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Добавил 3 правила:
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
Стало:
add distance=1 gateway=91.186.1.254 routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=91.186.1.254

add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=no
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route passthrough=yes

Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс :-): все работает, надо подождать 1-10 часов :-)
Последний раз редактировалось omen 13 фев 2019, 17:17, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 13 фев 2019, 17:08 Спасибо за совет, я сейчас займусь "доделыванием" :-):
Свисток во всей этой схеме задействован исключительно потому что на нем выше скорость интернета.. на мтсе фиксированные 5 мбит, на модеме от 10 до ~40мбит в зависмости от времени суток и загруженности, именно поэтому весь основной трафик направлен туда.. что делать в такой ситуации? Все равно ставить мтс маршрутом по умолчанию и как то в мангле заворачивать весь трафик с локального бриджа в свисток? :-):
1) при маркировки хоть 3-х, хоть 5-ти провайдеров, ответы будут улетать туда, куда надо (если сделать правильно).
Поэтому если на провайдере с серым адресом скорость выше, делайте его по-умолчанию, я ж только предложил.

2) на счёт локального бриджа не понял....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 13 фев 2019, 17:15 Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс :-): все работает, надо подождать 1-10 часов :-)
Я Ваш код сейчас анализировать не буду (не готов), а на счёт ждать, Вы выполнили пункт 6-й, в первом моём сообщении?
Там где про таймаут была речь? (только сильно уменьшать не надо).

И там же, в Коннекшинах можете по названию маркировкам посмотреть какие пакеты, сколько чего у них, и сколько им "жить" осталось.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 13 фев 2019, 17:19
omen писал(а): 13 фев 2019, 17:15 Вроде сделал все что вы написали за исключением перехода дефолтного маршрута на мтс :-): все работает, надо подождать 1-10 часов :-)
Я Ваш код сейчас анализировать не буду (не готов), а на счёт ждать, Вы выполнили пункт 6-й, в первом моём сообщении?
Там где про таймаут была речь? (только сильно уменьшать не надо).

И там же, в Коннекшинах можете по названию маркировкам посмотреть какие пакеты, сколько чего у них, и сколько им "жить" осталось.
Да, пункт 6 тоже выполнил!


Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС.. :-(

Код: Выделить всё

# feb/14/2019 10:17:08 by RouterOS 6.42.12
# software id = IBPS-GXJH
#
# model = RouterBOARD 952Ui-5ac2nD

/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=eth1:MTS use-peer-dns=no
add add-default-route=no dhcp-options=hostname,clientid disabled=no interface=lte1 use-peer-dns=no

/ip firewall filter
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=accept chain=input comment="allow established and related" connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="allow ping" protocol=icmp
add action=accept chain=forward comment="allow lan" src-address=192.168.1.0/27
add action=accept chain=input src-address=192.168.1.0/29
add action=accept chain=input comment=vpn dst-port=1723 protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=forward
add action=drop chain=input comment="drop all"

/ip firewall mangle
add action=mark-connection chain=input in-interface=eth1:MTS new-connection-mark=mts_in passthrough=yes
add action=mark-routing chain=output connection-mark=mts_in new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=forward in-interface=eth1:MTS new-connection-mark=mts_in_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=mts_in_f in-interface="bridge lan" new-routing-mark=mts_route passthrough=no
add action=mark-connection chain=input in-interface=lte1 new-connection-mark=modem_in passthrough=yes
add action=mark-routing chain=output connection-mark=modem_in new-routing-mark=modem_route passthrough=no
add action=mark-connection chain=forward in-interface=lte1 new-connection-mark=modem_in_f passthrough=yes
add action=mark-routing chain=prerouting connection-mark=modem_in_f in-interface="bridge lan" new-routing-mark=modem_route passthrough=no

/ip firewall nat
add action=masquerade chain=srcnat comment="nat mts" out-interface=eth1:MTS
add action=masquerade chain=srcnat comment="nat modem" out-interface=lte1

/ip route
add distance=1 gateway=eth1:MTS routing-mark=mts_route
add distance=1 gateway=192.168.8.1 routing-mark=modem_route
add distance=1 gateway=192.168.8.1
add distance=2 gateway=eth1:MTS
add distance=5 dst-address=10.203.x.x/x gateway=eth1:MTS
add distance=5 dst-address=10.204.x.x/x gateway=eth1:MTS
add distance=5 dst-address=85.117.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.186.x.x/x gateway=eth1:MTS
add distance=5 dst-address=91.229.x.x/x gateway=eth1:MTS
add distance=5 dst-address=95.129.x.x/x gateway=eth1:MTS
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
add distance=5 dst-address=213.128.x.x/x gateway=eth1:MTS
Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

omen писал(а): 14 фев 2019, 06:29 Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС.. :-(
Печально, давайте полный конфиг согласно пункта 5 (вверху, красным).
omen писал(а): 14 фев 2019, 06:29 Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
Вот тут название eth1:MTS - я не понял что это название, да и двоеточие смущает.
переназовите как-то более нормально.
Я вообще против замены имени у интерфейсов и прочее, лучше добавлять,
а вообще = лучше комментарии...

P.S.
Вот хорошее описание как у меня сделано:
viewtopic.php?p=58201#p58201
Попробуйте.....главное прочтите всё..

P.P.S.
У МТСа нет проблем вообще? Может это у них что-то раз в промежутке
какова-то времени что-то делается, не уточняли?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
omen
Сообщения: 14
Зарегистрирован: 13 фев 2019, 15:14

Vlad-2 писал(а): 14 фев 2019, 11:16
omen писал(а): 14 фев 2019, 06:29 Ну в общем у меня ничего не изменилось, через пару часов снова все кончилось, роутер перестал отвечать на порту МТС.. :-(
Печально, давайте полный конфиг согласно пункта 5 (вверху, красным).
omen писал(а): 14 фев 2019, 06:29 Насчет непонятного синтаксиса маршрутов локальных, что не так? Указаны сеть и маска подсети
add distance=5 dst-address=192.168.x.x/x gateway=eth1:MTS
Вот тут название eth1:MTS - я не понял что это название, да и двоеточие смущает.
переназовите как-то более нормально.
Я вообще против замены имени у интерфейсов и прочее, лучше добавлять,
а вообще = лучше комментарии...

P.S.
Вот хорошее описание как у меня сделано:
viewtopic.php?p=58201#p58201
Попробуйте.....главное прочтите всё..

P.P.S.
У МТСа нет проблем вообще? Может это у них что-то раз в промежутке
какова-то времени что-то делается, не уточняли?
eth1:MTS - порт ethernet1, в него вставлен провод МТС :-): т.е. в правиле в качестве шлюза указан первый порт в который приходит МТС
Раньше у МТСа была подсеть 192.168.0.0\16 до того как они перешли на белые адреса, сейчас судя по сканированию сети там уже ничего не осталось, всего пара хостов непонятных, поэтому этот маршрут я удалил.

Достоверно известно что в течении дня у МТСа полностью пропадает интернет на 5-10 секунд, где то на их шлюзе в интернет, т.к. локальная сеть городская полностью работает в этот момент.. такое происходит 3-5 раз за сутки.. это может быть причиной? Если да, то что можно сделать?
Полный конфиг скину после вашего ответа, пока подготовлю :-):


Ответить