Ограничение скорости по портам (нужна помощь)

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

10 июл 2017, 10:31

6apMaJIeu писал(а):
maxim_minton писал(а):2. Через MAC.

Логично! Не догадался почему-то...

А как дальше быть, чтобы после удаления бриджа и добавление на eth2..eth5 DHCP-серверов была маршрутизация по схеме WAN на eth1 по DHCP и клиенты (прямо или на подсетях) по eth2..eth10?

Попробовал - при удалении бриджа, отваливается и соединение, поднятое по MAC, и больше не зайти.
Однако, если удалить конфигурацию по умолчанию (бриджа при этом не будет), то по MAC заходит.


maxim_minton
Сообщения: 105
Зарегистрирован: 14 мар 2017, 13:03

10 июл 2017, 10:37

Возможно Вам попался уникальный вариант микротика. Либо Вы что то запрещаете на нем, поскольку сами же пишете, что при конфигурации по-умолчанию все работает.


6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

10 июл 2017, 10:40

Vlad-2 писал(а):б) как говорила учительница математики - нельзя складывать танки и тараканы, так и у Вас в рамках ограничения скорости:
Вы хотите ограничения делать (задавать порты), а трафик то идёт по IP. Порты это физический уровень, а IP это уже сетевой.
Да и в настройках ограничения задаётся IP таргета.
Короче, Сумбурно,но пытаюсь донести Вам мысль что ограничения скорости - дело тонкое и чтобы его понять,
нужно и сеть понимать, а Вы видите роутер как "удлинитель", якобы простое и не замысловатое.

Всё верно, но ограничение нужно именно по портам. Отдельный порт - отдельный клиент. У одного будет рутер к которому подлючен смартфон, а у другого - 2 ноута, постоянно висящие на ютубе, 1 стационарный системник с торрентами, и т.д.. Скорость на всех таких клиентов нужно порезать одинаково.

Vlad-2 писал(а):в) ну и пока Вы не настроите роутер в пределах начальных-рабочих Ваших параметров (локальная адресация, внешняя, защита от флуда, днс-кеширование,DHCP, NAT и так далее),
пытаться делать ограничения - преждевременно. Сначала делается "фундамент", потом уже "ремонт" и уже потом "косметика"/тюнинг.

Убедили.

Удалил дефалтовый конфиг, начал с простого. Поступил по образу и подобию описанного в статье https://habrahabr.ru/post/265387/ , только вмето бриджа, пока использую единственный порт.

Цель пока - добиться корректной его работы, установить на нём очередь, потом аналогично поступить с оставшимися портами. DNS работает, веб-интерфейс Микротика доступен, остальное - нет.

Пока не разобрался, в чём дело. 192.168.11.10 - адрес, который по DHCP в другом рутере разерезвирован для Mikrotik-а. 192.168.95.0/24 - подсеть на интерфейсе eth5. Гейтвеи пробывал указывать разные (192.168.11.10, 192.168.95.1), влияния не оказало.

Конфиг - ниже.

Код: Выделить всё

# jul/10/2017 02:46:31 by RouterOS 6.39.2
# software id = TG79-1SFG
#
/interface ethernet
set [ find default-name=ether1 ] name=eth1-wan
set [ find default-name=ether2 ] name=eth2
set [ find default-name=ether3 ] name=eth3
set [ find default-name=ether4 ] name=eth4
set [ find default-name=ether5 ] name=eth5
/ip pool
add name=dhcp-eth5 ranges=192.168.95.100-192.168.95.200
/ip dhcp-server
add address-pool=dhcp-eth5 disabled=no interface=eth5 lease-time=8h name=\
    dhcp-eth5
/ip settings
set allow-fast-path=no
/ip address
add address=192.168.95.1/24 interface=eth5 network=192.168.95.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=eth1-wan
/ip dhcp-server network
add address=192.168.95.0/24 dns-server=192.168.11.10 gateway=192.168.95.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.11.1
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80,8291,22 \
    in-interface=eth5 protocol=tcp src-address=192.168.95.0/24
add action=accept chain=input connection-mark=allow_in connection-state=new \
    connection-type="" dst-port=80 in-interface=eth1-wan protocol=tcp
add action=accept chain=input connection-state=new dst-port=53,123 \
    in-interface=eth5 protocol=udp src-address=192.168.95.0/24
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!
add action=accept chain=forward connection-state=established,new \
    in-interface=eth5 out-interface=eth1-wan src-address=192.168.95.0/24
add action=accept chain=forward connection-state=established,related \
    dst-address=192.168.95.0/24 in-interface=eth1-wan out-interface=eth5
add action=reject chain=input reject-with=icmp-network-unreachable
add action=reject chain=output reject-with=icmp-network-unreachable
add action=reject chain=forward reject-with=icmp-network-unreachable
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=\
    9999 in-interface=eth1-wan new-connection-mark=allow_in passthrough=yes \
    protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat-eth5 out-interface=eth1-wan src-address=\
    192.168.95.0/24 src-address-list=""
add action=redirect chain=dstnat dst-port=9999 in-interface=eth1-wan \
    protocol=tcp to-ports=80
/system clock
set time-zone-name=Europe/Tallinn


6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

10 июл 2017, 12:55

...Возможно, забыл про рутинг со всей сети на гейтвэй. Вечером проверю. :smu:sche_nie:


gmx
Сообщения: 2206
Зарегистрирован: 01 окт 2012, 14:48

10 июл 2017, 13:48

1. Выключить или удалить все правила фаерволла и правила маркировки. Это все потом...
2. Добавить все нужные маршруты (как вы и пишите).
3. Проверить интернет на микротике. Все пропинговать, убедиться, что все работает.
4. Пробовать подключать клиентов.

По поводу 4 пункта: а как там дальше все устроено? Есть ли там маршрутизатор или там коммутаторы и точки доступа? Может там проще еще по маршрутизатор поставить и на нем свой DHCP поднимать и спрятать всех клиентов за свой (еще один) NAT???


6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

10 июл 2017, 17:35

gmx писал(а):По поводу 4 пункта: а как там дальше все устроено? Есть ли там маршрутизатор или там коммутаторы и точки доступа? Может там проще еще по маршрутизатор поставить и на нем свой DHCP поднимать и спрятать всех клиентов за свой (еще один) NAT???

В принципе, там так и планируется - от Микротика по шнуру в каждое помещение и на них будут помещены свои маршрутизаторы. Привязки по MAC, либо соединения PPPoE не планируется. О доподлинных причинах решения неизвестно, но одно из них - максимальная автономность (если рутер сломался, то клиент пошёл, купил и воткнул другой, и никого при этом привлекать по поводу паролей, MAC-адресов и т.д. - не потребуется).
Таким образом, клиент может воткнуть вмето рутера и свич, и что-угодно ещё.
Если при этом скорость ограничить на портах Mikrotik-а, то можно быть спокойным насчёт безопасной самодеятельности клиентов и доступную им и их соседям полосу пропускания.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2155
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

10 июл 2017, 18:58

так если рассматривать каждый порт микротика как отдельный сегмент в котором и будут работать компьютеры в рамках каждого сегмента/отдела,
так так и делайте, то есть каждый порт превратите в отдельную сетку и сегмент, то есть сделайте примерно так:

1) порт2 - 192.168.11.х/24, отдельно создаёте бридж (скажем bridge2-out-LAN), даёте бриджу адрес 192.168.11.1/24,
навешиваете на этот именно бридж отдельный DHCP сервер, прописываете NAT для этой сети,
делаете на эту сетку ограничения и ещё нужное по-мелочи, + то, что надо и всё готово.

2) пункт 1 повторить столько, сколько нужно сетей/сегментов Вам надо с естественным смещением по адресации сети,
при этом предусмотреть защиту в файрволле от флуда, ещё раз повторюсь - сделать НАТ для каждой сети/сегмента,
а также если между сетями доступ не нужен, то защиту сделать чтобы сети не "видели" друг друга.

Вот при таком грубом раскладе и:

а) каждый порт - отдельный сегмент,
б) и каждый порт мы уже превратили в IP-сеть с отдельной адресацией.
Почти все Ваши пожелания, или не все :mi_ga_et: ?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

11 июл 2017, 01:23

Vlad-2 писал(а):Вот при таком грубом раскладе и: [/u]
а) каждый порт - отдельный сегмент,
б) и каждый порт мы уже превратили в IP-сеть с отдельной адресацией.
Почти все Ваши пожелания, или не все :mi_ga_et: ?

На словах - всё логично и понятно.
На практике - очень многое непонятно: что, где и как делать.

Проверил сохранённую на маршрутизаторе конфигурацию - рутинг там был. Но в экспорте его не нашёл (или неправлиьно искал).
Сделал мост, куда вошёл 1 порт (eth5) - ничего не изменилось.
Окончательно запутался...

Завтра начну снова.

Кропотливое задание для чайника. Могли-б Микротики не 1 единственную конфигурацию создавать, а давать чайнику выбор из шаблонов...


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2155
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

11 июл 2017, 02:40

6apMaJIeu писал(а):На словах - всё логично и понятно.
На практике - очень многое непонятно: что, где и как делать.

Я вроде всё расписал. К сожалению думаю с первого раза не выйдет, но со второго-третьего получиться.

Итак:
а) обнуляете роутер без пре-заводской конфигурации
б) я название портов не трогаю, но вот в комментариях указываю подробно, так и тут советую,
включить отображение комментариев справа и ими активно пользоваться
в) берёте 2-3 порта (на время пробы) и скажем настраиваете, так как у Вас РБ2011, а у него первые порты гигабитные,
то советую первые 5-я портов использовать под локальные сети/сегменты, а уже с 6 по 10 порты использовать
под разное + именно из этих портов какой то использовать под WAN (тратить гигабит под провайдера - бесполезно).
в.1) первый порт = подписываете что это сегмент бухов(как пример), адресация 192.168.11.0/24 (это в комментарий), создаёте бридж (lan1-dmz),
внутри бриджа помещаете порт1, адрес 192.168.11.1/24 ставите НА БРИДЖ (lan1-dmz), и уже на бридже (бридж в микротике такой же
обычный интерфейс) и поднимаете DCHP (который будет раздавать адресацию в IP-адресации 192.168.11.0/24)
г) в файрволле в разделе NAT - описываете,что если приходит клиенты с IP 192.168.11.0/24 то их NAT'ить от (указываете уже ...смотря как у Вас сделан WAN).
г.1) со временем научитесь делать адрес-листы, а также адрес-листы кому можно, а кому нельзя и всякие другие полезности и удобства....
д) не забываем при настройки DHCP прописать отдачу с адресом также отдавать шлюз и DNS'ы
д.1) не забываем DNS в самом микротике включить (IP-DNS - включаем DNS клиента, прописываем туда адреса DNS или если пров отдаёт их - то они там при поднятом WAN'е будут)
д.2) ВАЖНО: надо внешние обращение на адрес внешний/на внешний интерфейс (опять смотря что у Вас) сделать защиту от флуда

Подключаете временно к первому порту компьютер, смотрите, что он получил по DHCP и всё ли получил.
ОН должен пинговать шлюз (для него шлюз будет 192.168.11.1)
Если НАТ сделали правильно, и компьютер получил по DHCP шлюз - то и трассировка по IP (например трассирует 8.8.8.8) - будет работать

Я Вам почти дал на 70% готовую шпаргалку, попробуйте на части разбить какие то задачи, поучиться, набить руку и уже соединять
две-три части настроек воедино. С нуля начинающему делать различные сегменты сетей, их коммутировать/маршрутизировать
и ещё ряд задач - и чтобы сразу и в миг = такова увы не будет с любым оборудованием, в любом случаи день/неделя уходит.
Поэтому если микротик интересен и есть желание подтянуть уровень знаний по сетям = самообучение будет только на пользу,
если надо в организации сделать Ваши задачи быстро и в сжатые сроки = то лучше обратиться на платной основе.
6apMaJIeu писал(а):Сделал мост, куда вошёл 1 порт (eth5) - ничего не изменилось.
Окончательно запутался...

В микротике есть бридж(логическая реализация) и есть свитч-чип (аппаратная коммутация, она строиться на базе мастер-порта), пока для понимания процессов,
свит-чип коммутацию лучше не трогать, и мастер-порт в настройках etherXX не выставлять никому и никак.
И помните, помещая в бридж порт(ether) он становиться уже подчичённым (slave состояние).
6apMaJIeu писал(а):Завтра начну снова.
Кропотливое задание для чайника. Могли-б Микротики не 1 единственную конфигурацию создавать, а давать чайнику выбор из шаблонов...

когда что-то создаёшь из основ - нет шаблонов, тут настолько всё гибко, что лишь небольшие ограничения и широта фантазии лишь ограничивает использование микротика.
И с утра это правильно....

Удачи



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
6apMaJIeu
Сообщения: 2
Зарегистрирован: 08 июл 2017, 01:57

11 июл 2017, 10:10

Vlad-2 писал(а):

Благодарю за очень подробный ответ!

Делаю по просьбе для знакомых, без материальной заинтересованности. Но раз взялся и пообещал, нужно сделать нормально. Живу с другого, пишу код на "Сях" :).
Буду искать отдельно методы реализации "подзадач", которые Вы описалии и делать поэтапно без спешки. За несколько вечеров, может, осилю.

Сами по себе Микротики - техника интересная, но нахрапом не берётся.
Может и себе потом возьму и есть места, где они пришлись-бы кстати... а пока - осилить-бы свою микро-задачку на РБ2011.


Ответить