Прошу помощи в настройке оборудования для небольшой конторы

Обсуждение оборудования и его настройки
Ответить
vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

21 май 2013, 14:18

Второй день бьюсь с тормозами внутри сети..... Скажите, почему с вышеуказанными настройками Микротика такая жуткая скорость внутри локалки:

Код: Выделить всё

C:\Users\v.vorobyov>tracert zeus

Трассировка маршрута к ZEUS.ocsm.local [192.168.2.200]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  RouterOS [192.168.3.2]
  2    94 ms    71 ms    71 ms  OCSM [192.168.2.200]

Трассировка завершена.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

21 май 2013, 15:23

vottghern писал(а):А вот с VLANами, подключенными к интерфейсам ether2 и ether3 проблемы..... На первый взгляд все вроде работает, но.... Я сегодня ради эксперимента выставил оба шейпера на 1М и заметил ужасную вещь - такое ощущение, что шейпер режет ВЕСЬ трафик, локальный в том числе. Когда пользователи сетей 192.168.2.х (ether2) и 192.168.3.x (ether3) пытаются общаться с сервером, который по адресу 192.168.2.200, то начинаются жуткие тормоза в передачи данных. А после того, как выставил шейпер на 1М вообще пошли дикие глюки - у пользователей стали появляться задвоенные шары на сервере, документы с него открываются по несколько минут и пр.....

естественно шейпер режет ВСЁ что проходит через него, это только вы знаете что это локальный трафик, а роутеру абсолютно по барабану, что ему резать, он делает что ему сказал администратор.
например чтобы убрать с шейпера нагрузку локальной сети достаточно промаркировать все пакеты роунтинга, кроме пакетов локального трафика и подсунуть их в simple queues

Код: Выделить всё

ip firewall mangle add chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!exclude action=mark-packet new-packet-mark=simple_queues
]
суть:
создаёте лист адресов с именем exclude, пихаете туда все ваши локальные адреса\сети (если вы этого не сделали выше) после этого, идёте в ваш шейпер и на закладке Advanced указываете Packet-mark=simple_queues, после этого у вас начинает шейпить все, кроме указаных вами сетей.
разбирайтесь в шейперах, как они работают. отсюда и ваши "тормоза", которые на деле всего лишь то, что вся полоса шейпера забита. кстати, я не удивлюсь, если в свойствах этой очереди стоит длинна пакетов всего 10шт, т.е. все что больше он тупо откидывает.
и если не ошибаюсь, то в случае с simple queues, то вы ВСЕЙ подсети (192.168.3.0/24) дали 1 Мбит\с, ради эксперимента.
тут выхода два, либо разбирайтесь с queues tree, либо назначайте каждому компьютеру свой simple queues.

vottghern писал(а):Я вот думаю - а не перемудрил ли я? Интерфейс ether4 оставим в стороне - там все хорошо. Вот стоит ли делить офисную сеть на два VLAN? Я это делаю для того, чтоб одной части порезать скорость..... Может быть правильнее офис сделать все-таки одним VLAN весь, а скорость порезать каким-то образом через списки IP-адресов? У меня же в офисе статичная адресация..... По идее, как мне кажется, это упростит систему. Тогда не придется делать костыли в виде

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2

Нет внутри офиса лишних VLAN - нет проблемы движения пакетов между VLANами.....

Вот только я не представляю как это сделать......

разницы в том, есть ли у вас vlan, или у вас все адреса прописаны на одном сетевом интерфейсе, нет. vlan никак не связан с шейпером. и проблем в движении пакетов между vlan тоже нет, есть только не понимание как это работает и не желание в этом разбираться, отсюда и стойкое не понимание как это сделать.


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

21 май 2013, 16:35

Не совсем я считаю данную отповедь справедливой........
Опыта в настройке подобных вещей у меня мало. Я первый раз в жизни пользуюсь Микротиком, документация в основном на английском, это преодолимая проблема, я понимаю английский в данном объеме, но это не упрощает процесс познавания железки.
Просто многие вещи я не то чтобы не знаю КАК сделать - я не знаю, что их ВООБЩЕ можно делать. С очередями, маркированием пакетов и пр. я раньше вообще ни разу не сталкивался и не знал, что такое существует.

Я понимаю, что возьми я какие-нибудь DLink'и все это можно было бы сделать быстрее, так как по ним разных HOW-TO просто море и даже на русском языке. Но я слышал о вашем оборудовании только хорошие отзывы и ваши же люди обещали помогать в настройке. Прошу прощения, если я кого-то взбесил своими ламерскими вопросами. Впредь мне наука будет.

Ладно, все это лирика, вернемся к делу.
Спасибо за подсказку с маркировкой пакетов - вроде бы все отлично заработало.
Если вас не затруднит, посмотрите мой конфигурационный файл - нет ли там каких явных ляпов, про которые я тоже не знаю.

Кратко повторюсь:
ether 1 - 192.168.10.2, настроен как WAN, по нему приходит Интернет
ether 2 - 192.168.2.2, смотрит во VLAN офиса, шейпер на 3М, для него вот как раз и включил маркированные пакеты
ether 3 - 192.168.3.2, смотрит в привилегированный VLAN офиса, шейпера нет, маркировать пакеты, как я понимаю нет необходимости?
ether 4 - 192.168.4.2, смотрит во VLAN арендатором, шейпер на 1М, но так как им не надо между собой общаться, т опакеты тоже не маркируем, так?

Вот конфиг:

Код: Выделить всё

# may/21/2013 17:19:52 by RouterOS 5.24
# software id = MQS2-AHDN
#
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/ip pool
add name=vlan4pool ranges=192.168.4.20-192.168.4.150
/ip dhcp-server
add add-arp=yes address-pool=vlan4pool always-broadcast=yes authoritative=yes \
    disabled=no interface=ether4 name=vlan4dhcp
/queue simple
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=\
    of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=\
    192.168.2.0/24 total-queue=ethernet-default
add max-limit=1M/1M name="Queue LAN Others Superlimited" queue=\
    ethernet-default/ethernet-default target-addresses=192.168.4.0/24 \
    total-queue=ethernet-default
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" \
    paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
    permissions=owner signup-allowed=no time-zone=-00:00
/ip address
add address=192.168.10.2/24 comment="WAN port" interface=ether1
add address=192.168.2.2/24 comment="LAN Office Limited" interface=ether2
add address=192.168.3.2/24 comment="LAN Office Unlimited" interface=ether3
add address=192.168.4.2/24 comment="LAN Others Superlimited" interface=ether4
/ip dhcp-server lease
add address=192.168.4.130 client-id=1:bc:ae:c5:4f:34:8 mac-address=\
    BC:AE:C5:4F:34:08 server=vlan4dhcp
/ip dhcp-server network
add address=192.168.4.0/24 dns-server=192.168.4.2,85.236.160.1 gateway=\
    192.168.4.2 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.2.200,85.236.160.1
/ip firewall address-list
add address=192.168.2.0/24 list=of-vlan2
/ip firewall mangle
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 \
    dst-address-list=!of-vlan2 new-packet-mark=of-vlan2-mark
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2
add action=dst-nat chain=dstnat dst-address=192.168.10.2 dst-port=3389 \
    protocol=tcp to-addresses=192.168.3.217 to-ports=3389
add action=dst-nat chain=dstnat dst-address=192.168.10.2 dst-port=3389 \
    protocol=udp to-addresses=192.168.3.217 to-ports=3389
/ip route
add distance=1 gateway=192.168.10.1
/ip smb
set comment="MikrotikSMB 1100" domain=OCSM enabled=yes
/ip traffic-flow
set enabled=yes
/ip traffic-flow target
add address=192.168.3.217:9996 version=9
/ip upnp
set enabled=yes
/snmp
set contact="Microtic AHx2" enabled=yes location=301 trap-community=public \
    trap-generators=interfaces trap-interfaces=all
/system clock
set time-zone-name=Europe/Samara
/system clock manual
set time-zone=+04:00
/system gps
set set-system-time=no
/system identity
set name=RouterOS
/system logging
add topics=dhcp
/system ntp client
set enabled=yes primary-ntp=62.117.76.142 secondary-ntp=85.21.78.8
/tool graphing interface
add


Заранее большое спасибо!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

21 май 2013, 16:58

по поводу лирики, в наше время, получить информацию о каком то вопросе, нужно потратить минуту чтобы сформулировать свой вопрос и порядка 0.01 секунды чтобы получить ответ от поисковой машины =) поверьте, 99.9999999% проблем были кем то уже решены до вас. осталось наверное только изобретение телепортатора и вопрос вечной жизни. даже тут на форуме, уже ижёвано столько вопросов, что прочитав по паре страниц каждой ветки, можно считать себя "начинающим двигаться в нужном направлении пользователем" главное хотеть получить знания. в чём вам желаю удачи.

по поводу листинга вашего, сложно вот так анализировать код. но на первый взгляд, у вас например напрочь отсутствует правила фаервола (ip firewall filter rules), черевато это тем, что вы разрешаете делать всем, всё что они хотят. например арендаторам дали доступ к самой железке, а оно им надо? а вам? или с внешней стороны у вас тоже самое, а кто поручится за то, как построена сеть провайдера? это явное отклонение от феншуя =) а во всем остальном, тут только ваш взгляд на мир поможет.


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

21 май 2013, 19:44

simpl3x писал(а):по поводу листинга вашего, сложно вот так анализировать код. но на первый взгляд, у вас например напрочь отсутствует правила фаервола (ip firewall filter rules), черевато это тем, что вы разрешаете делать всем, всё что они хотят. например арендаторам дали доступ к самой железке, а оно им надо? а вам? или с внешней стороны у вас тоже самое, а кто поручится за то, как построена сеть провайдера? это явное отклонение от феншуя =) а во всем остальном, тут только ваш взгляд на мир поможет.


С фаерволом понятно, это я потом покопаюсь, посмотрю типичные правила и пр. Меня сейчас гораздо больше волнует момент, касаемо VLANов, маршрутизации между ними и шейперов.

Код: Выделить всё

/queue simple
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default
add max-limit=1M/1M name="Queue LAN Others Superlimited" queue=ethernet-default/ethernet-default target-addresses=192.168.4.0/24 total-queue=ethernet-default

/ip firewall address-list
add address=192.168.2.0/24 list=of-vlan2

/ip firewall mangle
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan2 new-packet-mark=of-vlan2-mark

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2


Все ли правильно в этих фрагментах? Не упустил ли я чего?

Кстати, в том блоге, ссылку на который вы мне давали, нашел описание программы для анализа NetFlow - великолепная вещь!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

21 май 2013, 20:01

vottghern писал(а):

Код: Выделить всё

/queue simple
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default
add max-limit=1M/1M name="Queue LAN Others Superlimited" queue=ethernet-default/ethernet-default target-addresses=192.168.4.0/24 total-queue=ethernet-default

/ip firewall address-list
add address=192.168.2.0/24 list=of-vlan2

/ip firewall mangle
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan2 new-packet-mark=of-vlan2-mark

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2


Все ли правильно в этих фрагментах? Не упустил ли я чего?

Кстати, в том блоге, ссылку на который вы мне давали, нашел описание программы для анализа NetFlow - великолепная вещь!


значит смотрите, то что вы добавили всего одну сеть в лист, означает, что из сети 4.0/24 в сеть 2.0/24 проблем не будет, а вот обратную сторону вы опять увидите тормоза.
по поводу маршрутизации, как я писал выше, для меня осталось загадкой, почему у вас она не завелась, и пришлось городить маскарад на все интерфейсы.


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

21 май 2013, 20:40

simpl3x писал(а):значит смотрите, то что вы добавили всего одну сеть в лист, означает, что из сети 4.0/24 в сеть 2.0/24 проблем не будет, а вот обратную сторону вы опять увидите тормоза.
по поводу маршрутизации, как я писал выше, для меня осталось загадкой, почему у вас она не завелась, и пришлось городить маскарад на все интерфейсы.


Често говоря, это я забыл убрать маскарадинг на 4 сеть )))) из, или в, сеть 4.0/24 вообще никому не надо ходить и отттуда никого не надо - это арендаторы, пусть там и живут.
Я правильно рассудил, что раз на сети 3.0/24 нет шейпера, то и маркировать пакеты для нее не надо?

По поводу маршрутизации для меня самого загадка - спрашивал еще у людей, они тоже говорят, что все должно было сработать.
Есть правда одно подозрение...... Дело в том, что сеть 2.0/24 пока еще не переведена в Микротик, там много народу, буду в выходные переводить. Порт микротика смотри не в отдельный VLAN с этой подсеткой, а просто в свич, в его дефолтный VLAN, в котором сейчас как раз и осталась только подсеть 2.0/24. В этот же свич смотрит порт Циски, 192.168.2.1, этот интерфейс служит шлюзом по умолчанию, пока, для подсети 2.0/24. Вот подозреваю, что Циска со своей таблицей маршрутизации и обеспечивает данный геморрой.


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

23 май 2013, 15:28

СВЕРШИЛОСЬ!!!! Я полностью переехал на Микротик RB1100AHx2 с провайдерской Циски!

Самое смешное, что вроде бы все работает :D Спасибо большое всем, кто помогал такому нубу как я! :D Отдельное спасибо simpl3x - без его помощи и волшебных пендюлей я бы вообще никогда не смог этого сделать. Остались мелкие шероховатости, но буду разбираться.
Сейчас хочу спросить такую вещь:

Делаем два адрес-листа, соответственно VLANам конторы:

Код: Выделить всё

/ip firewall address-list
add address=192.168.2.0/24 list=of-vlan2
add address=192.168.3.0/24 list=of-vlan3


Маркируем пакеты, не относящиеся к этим сетям:

Код: Выделить всё

/ip firewall mangle
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan2 new-packet-mark=of-vlan2-mark
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan3 new-packet-mark=of-vlan3-mark


И ставим шейпинг на трафик, который не является локальным:

Код: Выделить всё

/queue simple
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default


И вот тут, как мне думается, есть проблема.... Данная строчка не трогает трафик, который промаркирован of-vlan2-mark и является локальным для сети 192.168.2.0/24. Но когда эта сеть пытается залезть в сеть 192.168.3.0/24 уже включается шейпинг, потому что в queue маркировка указана только одна.
Можно ли в приведенной выше строчке queue указать сразу две маркировки - of-vlan2-mark и of-vlan3-mark? Например, через запятую, или еще как?

Заранее большое спасибо!


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

23 май 2013, 16:19

попробуйте так:

Код: Выделить всё

/ip firewall address-list
add address=192.168.2.0/24 list=my-local-net
add address=192.168.3.0/24 list=my-local-net

т.е. пихаем все сети в один локальный список.

Код: Выделить всё

/ip firewall mangle
add action=mark-packet chain=prerouting src-address=192.168.2.0/24 dst-address=0.0.0.0/0 dst-address-list=!my-local-net new-packet-mark=of-vlan2-mark
add action=mark-packet chain=prerouting src-address=192.168.3.0/24 dst-address=0.0.0.0/0 dst-address-list=!my-local-net new-packet-mark=of-vlan3-mark

т.е. применяем к маркировке этот список и уточняем src-address
по идее должно работать.


vottghern
Сообщения: 70
Зарегистрирован: 12 фев 2013, 11:19

23 май 2013, 16:51

simpl3x писал(а):попробуйте так:

Код: Выделить всё

/ip firewall address-list
add address=192.168.2.0/24 list=my-local-net
add address=192.168.3.0/24 list=my-local-net

т.е. пихаем все сети в один локальный список.

Код: Выделить всё

/ip firewall mangle
add action=mark-packet chain=prerouting src-address=192.168.2.0/24 dst-address=0.0.0.0/0 dst-address-list=!my-local-net new-packet-mark=of-vlan2-mark
add action=mark-packet chain=prerouting src-address=192.168.3.0/24 dst-address=0.0.0.0/0 dst-address-list=!my-local-net new-packet-mark=of-vlan3-mark

т.е. применяем к маркировке этот список и уточняем src-address
по идее должно работать.


А как тогда будет строка queue для сети 192.168.0.2/24 выглядеть?


Ответить