Я запутался напрочь
Вроде бы все работает, но глючит просто дико. Вот конфигурация Микротика на текущий момент:
Код: Выделить всё
# may/20/2013 21:04:04 by RouterOS 5.24
# software id = MQS2-AHDN
#
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=vlan4pool ranges=192.168.4.20-192.168.4.150
/ip dhcp-server
add add-arp=yes address-pool=vlan4pool always-broadcast=yes authoritative=yes \
disabled=no interface=ether4 name=vlan4dhcp
/queue simple
add max-limit=1M/1M name="Queue LAN Office Limited" target-addresses=\
192.168.2.0/24
add max-limit=1M/1M name="Queue LAN Others Superlimited" target-addresses=\
192.168.4.0/24
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" \
paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
permissions=owner signup-allowed=no time-zone=-00:00
/ip address
add address=192.168.10.2/24 comment="WAN port" interface=ether1
add address=192.168.2.2/24 comment="LAN Office Limited" interface=ether2
add address=192.168.3.2/24 comment="LAN Office Unlimited" interface=ether3
add address=192.168.4.2/24 comment="LAN Others Superlimited" interface=ether4
/ip dhcp-server lease
add address=192.168.4.130 client-id=1:bc:ae:c5:4f:34:8 mac-address=\
BC:AE:C5:4F:34:08 server=vlan4dhcp
/ip dhcp-server network
add address=192.168.4.0/24 dns-server=192.168.4.2,85.236.160.1 gateway=\
192.168.4.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.2.200,85.236.160.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2
/ip route
add distance=1 gateway=192.168.10.1
/ip smb
set comment="MikrotikSMB 1100" domain=OCSM enabled=yes
/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add address=192.168.3.217:9996 version=9
/ip upnp
set enabled=yes
/snmp
set contact="Microtic AHx2" enabled=yes location=301 trap-community=public \
trap-generators=interfaces trap-interfaces=all
/system clock
set time-zone-name=Europe/Samara
/system clock manual
set time-zone=+04:00
/system gps
set set-system-time=no
/system identity
set name=RouterOS
/system logging
add topics=dhcp
/system ntp client
set enabled=yes primary-ntp=62.117.76.142 secondary-ntp=85.21.78.8
/tool graphing interface
add
На текущий момент абсолютно четко работает только VLAN, который подключен к интерфейсу ether4 - это арендаторы, им не нужны общие ресурсы, только доступ в инет. Я на этот интерфейс повесил шейпер и все ровно.
А вот с VLANами, подключенными к интерфейсам ether2 и ether3 проблемы..... На первый взгляд все вроде работает, но.... Я сегодня ради эксперимента выставил оба шейпера на 1М и заметил ужасную вещь - такое ощущение, что шейпер режет ВЕСЬ трафик, локальный в том числе. Когда пользователи сетей 192.168.2.х (ether2) и 192.168.3.x (ether3) пытаются общаться с сервером, который по адресу 192.168.2.200, то начинаются жуткие тормоза в передачи данных. А после того, как выставил шейпер на 1М вообще пошли дикие глюки - у пользователей стали появляться задвоенные шары на сервере, документы с него открываются по несколько минут и пр.....
Я вот думаю - а не перемудрил ли я? Интерфейс ether4 оставим в стороне - там все хорошо. Вот стоит ли делить офисную сеть на два VLAN? Я это делаю для того, чтоб одной части порезать скорость..... Может быть правильнее офис сделать все-таки одним VLAN весь, а скорость порезать каким-то образом через списки IP-адресов? У меня же в офисе статичная адресация..... По идее, как мне кажется, это упростит систему. Тогда не придется делать костыли в виде
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2
Нет внутри офиса лишних VLAN - нет проблемы движения пакетов между VLANами.....
Вот только я не представляю как это сделать......