Прошу помощи в настройке оборудования для небольшой конторы

Обсуждение оборудования и его настройки
Ответить
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

vottghern писал(а):А таблица IP -> Firewall -> NAT, снимок которой дан выше, правильно сделана?

похоже на правду. с такой конструкцией роутер будет закрывать все пакеты уходящие с интерфейса ether1 своим адресом.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Уважаемые simple3x,

Я вот тут усиленно курил статьи про Микротик, и задумался...... На рисунке, который я приложил к первому посту, у меня есть две офисные подсети с разной адресацией, одна с порезанной полосой пропускания, другая - нет. И вот тут родился вопрос - я же собираюсь уйти с динамической адресации на статику, насколько я знаю, в Микротик есть возможность делать группы доступа по IP-адресам. А можно ли делать такие же группы, но по полосе пропускания? Тогда одной группе полоса будет зарезана, а другой нет. И не нужен будет геморрой с двумя офисными подсетками.

Можно ли так сделать?

Заранее спасибо!


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Вот это Вам не подойдет? Конечно немного нагружает маршрутизатор, но это при шейпинге неизбежно. Если в Simple Queues шейпить по диапазону адресов, там все в одну строчку решается.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

podarok66 писал(а):Вот это Вам не подойдет? Конечно немного нагружает маршрутизатор, но это при шейпинге неизбежно. Если в Simple Queues шейпить по диапазону адресов, там все в одну строчку решается.


Даже и не знаю.... Я вот и советуюсь, как лучше сделать, я ж нуб в Микротике. Статью прочитал, спасибо огромное. Про простые очереди понял, там действительно в строчку. Дальше - уже стало тяжело для восприятия.
Тут тоже есть деталь, которая осталась мне непонятной - если я таким образом ограничу полосу на диапазоне, то что станет со скоростью локального трафика? Не получится ли так, что скорость доступа к локальным серверным ресурсам тоже будет ограничена?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vottghern писал(а):Тут тоже есть деталь, которая осталась мне непонятной - если я таким образом ограничу полосу на диапазоне, то что станет со скоростью локального трафика? Не получится ли так, что скорость доступа к локальным серверным ресурсам тоже будет ограничена?

Вот не задумывался я как-то над таким вопросом. Надо почитать на досуге.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

vottghern писал(а):Тут тоже есть деталь, которая осталась мне непонятной - если я таким образом ограничу полосу на диапазоне, то что станет со скоростью локального трафика? Не получится ли так, что скорость доступа к локальным серверным ресурсам тоже будет ограничена?

в simple queues если путь к локальным ресурсам будет лежать через маршрутизатор, то будет шейпить так же как и не к локальным.
тут посоветовать можно заглянуть в раздел Advanced - Packet mark, перед тем как пакет попадёт в очередь его нужно разметить в ip - firewall - mangle, и вот в этот момент можно сделать так чтобы пакеты к локальным ресурсам метились другими марками или не метились вообще. там есть галочка passthrought - если она не стоит, то дальше пакет не обрабатывается другим маркером.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

simpl3x писал(а):в simple queues если путь к локальным ресурсам будет лежать через маршрутизатор, то будет шейпить так же как и не к локальным.
тут посоветовать можно заглянуть в раздел Advanced - Packet mark, перед тем как пакет попадёт в очередь его нужно разметить в ip - firewall - mangle, и вот в этот момент можно сделать так чтобы пакеты к локальным ресурсам метились другими марками или не метились вообще. там есть галочка passthrought - если она не стоит, то дальше пакет не обрабатывается другим маркером.


Тогда получается, что проще все-таки разбить на разные подсетки.....


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да как хотите, собственно. Многоуважаемый simpl3x предлагает простое и действенное решение вопроса.
Ну, например, Вам не хочется разбивать все на подсети. Создайте адресные листы, скажем Svoi, Gosti, Vsya_set если надо, то еще какие-то.
Дальше маркируем соединения:

Код: Выделить всё

/ip firewall mangle add chain=prerouting src-address-list=Gosti dst-address-list=!Vsya_set action=mark-connection new-connection-mark=gosti_in passthrough=yes
/ip firewall mangle add chain= prerouting dst-address-list=Gosti src-address-list=!Vsya_set action=mark-connection new-connection-mark=gosti_out passthrough=yes

Потом маркируем пакеты:

Код: Выделить всё

/ip firewall mangle add chain=forward src-address-list=Gosti dst-address-list=!Vsya_set connection-mark=gosti_in  action=mark-packet  new-packet-mark=gosti_packin passthrough=yes
/ip firewall mangle add chain=forward dst-address-list=Gosti src-address-list=!Vsya_set connection-mark=gosti_out  action=mark-packet  new-packet-mark=gosti_packout passthrough=yes

Теперь осталось очереди создать:

Код: Выделить всё

/queue tree add name=gosti_in_1 parent=global-in packet-mark=gosti_packin queue=default priority=1 max-limit=512k disabled=no
queue tree add name=gosti_out_1 parent=global-out packet-mark=gosti_packout queue=default priority=1 max-limit=512k disabled=no

Каждая очередь должна иметь уникальное имя.
Таким же макаром метим соединения и пакеты и в отношении всех других адресных листов.
Адресный лист Vsya_set содержит в себе весь список клиентов, собственно являясь списком клиентов локальной сети.

Вроде бы так должно заработать, если ошибаюсь, пусть гуру поправят.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Спасибо за информацию, подумаю насчет очередей, надо просто начать лучше разбираться в этой железяке :?

Пока хочу попробовать сделать более простым способом - разбивкой на подсети.

Итак, на данный момент, настроенные интерфейсы выглядят так:
Изображение

Подскажите, как мне на интерфейсе ether2 сделать ограничение в 3 Мбит/с на выход наружу, а на интерфейсе ether4 сделать ограничение в 2 Мбит/с?

Заранее спасибо!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

можете так:

Код: Выделить всё

/queue simple add interface=ether2 max-limit=2M/2M name=queue1

можете по другому:

Код: Выделить всё

/queue simple add target-addresses=192.168.2.0/24 max-limit=2M/2M name=queue1


Ответить