Автор Тема: Роутер с шейпером из коробки  (Прочитано 5512 раз)

0 Пользователей и 1 Гость просматривают эту тему.

sky star

  • *****
  • Сообщений: 18102
    • Просмотр профиля
#0: 25 Января 2017, 09:47:55
Если необходимость в роутере ценового порядка "для дома для семьи" но с функцией шейпера из коробки, DD-WRT прощу не упоминать не предлагать .
Вообще это возможно ?
вопрос два , в этом же устройстве второй WAN

природа знаете такие штуки из коробки ?

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#1: 25 Января 2017, 09:52:41
кинетик гига 2
Любой порт - второй ван. http://prntscr.com/dzygja
Есть пакет для ограничения скоростей. http://prntscr.com/dzygdf

The BEST

  • *****
  • Сообщений: 26351
    • Просмотр профиля
#2: 25 Января 2017, 10:06:14
sky star, микротик, шейпер есть с коробки, а ван конфигурируй как нравится

sky star

  • *****
  • Сообщений: 18102
    • Просмотр профиля
#3: 25 Января 2017, 10:35:44
не густо , или пока не густо

XML

  • ***
  • Сообщений: 4970
    • Просмотр профиля
#4: 25 Января 2017, 10:50:39
ZyXEL Keenetic жеж - что может быть проще?
https://geektimes.ru/post/135557/

sky star

  • *****
  • Сообщений: 18102
    • Просмотр профиля
#5: 25 Января 2017, 11:24:03
про гигу пишут что режет скорость

starco

  • *****
  • Сообщений: 19920
    • Просмотр профиля
#6: 25 Января 2017, 11:26:39
Голосую за Кинетик :) Там, правда, ограничение скорости назначается каждому девайсу ручками, а суммарное потребление двумя девайсами может в сумме давать больше пропускной способности WAN-интерфейса - но тут уж дело вкуса, как настраивать ограничения... Два WAN (основной+резерв) поддерживается, одновременное их использование с балансировкой нагрузки - нет, но можно "ручками" раскидать. Командная строка позволяет весьма и весьма тонко его настраивать, база знаний с подробными инструкциями, множество форумов с обсуждением "а как это сделать?" присутствует. Плюс, поддержка открытых пакетов... В общем, один из самых универсальных и ходовых вариантов...

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#7: 25 Января 2017, 11:39:49
Однозначно mikrotik, под WAN хоть все порты заделай. Шейп настривается двумя кликами. Могу дать на пробу, только без WiFi

marsohod

  • ***
  • Сообщений: 6075
    • Просмотр профиля
#8: 25 Января 2017, 12:15:39
ну шейпер шейперу рознь..... в микротике можно настроить разными алгоритмами его, в том числе даже самописными скриптами, один из них очень просто настраивается, другие же несколько посложнее.....  если есть время и техзнания в области сети то однозначно микротик...
в случае кинетика он тупо режет сразу, грамотный же шейпер должен демократично балансировать нагрузку в зависимости от нагрузки каналов, приоритета получателей и типа пакетов

sky star

  • *****
  • Сообщений: 18102
    • Просмотр профиля
#9: 25 Января 2017, 13:04:26
благодарствую

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#10: 10 Февраля 2017, 14:12:53
Спрошу тута.
Есть входящий инет по витухе, на нем выделенный IP.
Нужно сделать так, чтобы 2-3 машины шли напрямую в инет минуя проксю, а остальные выходили через прокси (сейчас все через прокси работают).
Через роутер такое можно сделать? Если да, то через какой?

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#11: 10 Февраля 2017, 14:41:22
Так, может не так озвучил задачу.
Нужно просто выход в инет минуя прокси, IP без разницы какой будет.
Ну и еще. Всех можно на роутер посадить, без использования прокси-сервера? типа входящий провод воткнул в роутер, а с него в свитч и вуаля (можно без шейпера). Знаю, что можно, но какой покупать надо?

wifisystem.ru

  • *
  • Сообщений: 44
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#12: 10 Февраля 2017, 15:01:52
Берите микротик, цены на них от 1500р, реализовать можно любую задачу.
Конкретная модель выбирается под нагрузку.

Ваша задача непонятна ... ))

Если всех можно выпускать без прокси - может нужно его просто отключить и убрать заворот трафика на него.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#13: 10 Февраля 2017, 15:20:59
Ширина канала -  >=5 МБит.
Пользователей - 20 примерно.
Прокси - UserGate 5.х (достался в наследство), используется NAT, так что в Сексплорере ничего не настраивается.
Все работало замечательно и всех устраивало, пока не начал настраивать Электронный бюджет. А он, #%@%#, требует какого-то @$# настраивать браузер вручную на 127.0.0.1:8080. Вот тут и происходит затык - не всегда почему-то доступны сайты - ни Бюджета, ни остальные.

Вот почему и родилась дикая мыслЯ пустить несколько машин мимо прокси.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#14: 10 Февраля 2017, 15:23:18
Если всех можно выпускать без прокси - может нужно его просто отключить и убрать заворот трафика на него.
Просто входящую витуху не воткнешь в свитч - там нет ни DHCP, ни каких-либо настроек. Просто выдали IP, маску, шлюз - и все, дальше действуйте самостоятельно.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#15: 10 Февраля 2017, 15:30:51
Просто входящую витуху не воткнешь в свитч
Эээ так роутер далеко не свитч...

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#16: 10 Февраля 2017, 15:43:57
Как мне объясняли установщики - втыкаешь соплю в роутер, настраиваешь его, а с него уже кабель в свитч. Просто никогда этого не делал, всегда прокся устраивала с двумя сетевухами (уже с тремя - на две независимые сетки).

Наиль Ильбарович

  • ***
  • Сообщений: 7227
    • Просмотр профиля
#17: 10 Февраля 2017, 15:50:00
T-Meter.
 Если разобраться...
А это ОЧЕНЬ нетрудно, то исполняет  роли и шейпера, и прокси, и DHCP...
Лицуха стоит для предприятия совсем недорого.
  Для дома и семьи 6 соединений  в демонстрашке хватит...

Вроде как и динамически регулирует полосу пропускания...
это когда нет "босса" все обжираются интернетом..
 А как пришёл "босс" так только то, что останется...

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#18: 10 Февраля 2017, 16:08:53
Mikrotik подойдет. Делаешь на нем полностью прозрачный NAT, в один порт втыкаешь операторский шнурок, в другой проксю, в третий порт свитч с компами которым прокся не нужна. Могу конфиг накидать если надо, могу Mikrotik дать на пробу.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#19: 10 Февраля 2017, 16:26:36
На то он и форум, подскажем человеку.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#20: 10 Февраля 2017, 18:11:13
Wolf_Hunter
Попробовать взять не получится - я не в городе живу.

На роутер сильно много не дадут, но рублей пять вымутить можно, если срочно. Позже можно и больше.

Proxy сервер не нужен. От слова совсем.  Если только нет задачи контролировать трафик хомячков.
В том-то и дело, что раньше контролировал трафик (анлима небыло). Сейчас баню сайты некоторые (в зависимости от моей наглости). Так же иногда бывает нужно отключать некоторых пользователей от инета. Ну и мордой ткнуть, если надо, когда хомячек не успевает работать, а весь день в порнухе и ютубе сидел.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#21: 10 Февраля 2017, 18:13:52
в один порт втыкаешь операторский шнурок, в другой проксю, в третий порт свитч с компами которым прокся не нужна
Вот я так и хотел бы сделать.

The BEST

  • *****
  • Сообщений: 26351
    • Просмотр профиля
#22: 10 Февраля 2017, 18:18:24
Раз уж такая пьянка.
Спецы по микротикм может тоже есть.

Есть канал, не важно пусть 20 мбит.
Есть пусть 20 пользователей.
Они могут юзать интернет в хвост и в гриву, качать торренты, порно, и т.д., с одной оговоркой - для соедиенения с тремя конкретными IP адресами должно всегда оставаться 3 Мбита.

То есть из 20 мбит всегда должно быть 3 свободных для соединения только с тремя конкретными IP адресами.
если соединений по этим адреса нет, 3 мбита должны всегда оставаться, если эти соединения появтся.

как сделать средствами микротика?

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#23: 10 Февраля 2017, 20:46:08
integro
Кинь ссылку на нужный роутер. Почитаю, посмотрю цену да начальству покажу.

starco

  • *****
  • Сообщений: 19920
    • Просмотр профиля
#24: 10 Февраля 2017, 21:53:13
Раз уж такая пьянка.
Спецы по микротикм может тоже есть.

Есть канал, не важно пусть 20 мбит.
То есть из 20 мбит всегда должно быть 3 свободных для соединения только с тремя конкретными IP адресами.
если соединений по этим адреса нет, 3 мбита должны всегда оставаться, если эти соединения появтся.

как сделать средствами микротика?

Проще наоборот,  - урезать всем полосу до 17 Мбит, а отдельным хостам разрешить использовать всю полосу в 20 Мбит до определенных адресов. На моем шлюзе это указывается в процентном виде от скорости на внешнем интерфейсе. Так должно работать даже при 100% нагрузке на канале.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#25: 11 Мая 2017, 16:31:49
Из этого что-то годится для моих задач?
http://www.dns-shop.ru/product/46d0fb813f513330/marsrutizator-mikrotik-rb2011uias-in/characteristics/
http://www.dns-shop.ru/product/e2dc41fa19104699/marsrutizator-tp-link-tl-er6020/characteristics/

Ну или что там еще в магазинах есть? Заказывать не вариант - опять денег не будет.
Cisco, думаю, слишком уж будет для маленькой организации. Надо что-то попроще, но на выходе с роутера иметь 2 или 3 независимых сетки. Шейпер не нужен. Но желательно ограничение узлов иметь возможность сделать (тот же Мелкософт забанить).

PS. Да, жареный петух все же клюнул.
PSPS. Выделяют рублей под 20, так что запас есть.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#26: 12 Мая 2017, 09:45:47
В общем, нужны такие характеристики.
1. Нужно чтобы было в продаже в Благовещенске.
2. 1 WAN-порт. Больше не требуется.
3. От 2-х LAN-портов, чтобы можно было делать независимые сети.
4. NAT нужен.
5. Wi-Fi впринципе побоку, но если будет - не помешает.
6. USB-порт - так же как и п. 5.
7. DHCP - как п. 6.

Cisco, боюсь, не смогу быстро настроить.  Надо что-то попроще на первое время. Да и наворотов в них много таких, которые не нужны в общем-то.

Wolf_Hunter советует Mikrotik, но выбора особо нет в магазинах.

http://www.dns-shop.ru/product/c27d89c630073361/marsrutizator-mikrotik-rb750r2/characteristics/
Цена такая, потому что устаревшая модель уже? Вроде как по характеристикам подходит. Или нет? Поругайте ее.

PS. Покупать только официально можно. Бюджетники...

Torus666

  • ***
  • Сообщений: 208
    • Просмотр профиля
#27: 12 Мая 2017, 09:54:03
устаревшая модель
Да.
Поругайте ее
Поругать микротик? Это не просто. Кроме сложной настройки его ругать не за что.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#28: 12 Мая 2017, 10:12:29
Сколько рабочих мест будет? На сколько большой объем трафика они будут гонят? Какого характера трафик (потоковое видео/аудио например или просто клиент-серверный обмен информацией)?
750 довольно старые

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#29: 12 Мая 2017, 10:41:48
20 рабочих мест.
Трафик - ну 100-150 ГБ в месяц.
Трафик в основном по работе - клиент-серверный. Аудио-видео есть, но его мало и режу в рабочее время безбожно его. Правда радио оставляю.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#30: 12 Мая 2017, 10:50:23
20 рабочих мест.
Трафик - ну 100-150 ГБ в месяц.
Это на всех или на каждое рабочее место?
Думаю не лишним будет взять роутер с гигабитными портами, для связки с коммутатором по гигабиту (если конечно у коммутатора есть гигабитный порт).
В общем этот отлично подойдет для ваших задач.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#31: 12 Мая 2017, 10:53:45
Wolf_Hunter
Это на всех. Интернет-канал всего 5 МБит/с.
Хотя и по  200 ГБ в месяц выкачивали, но по ночам, так что канал не грузится сильно днем.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#32: 12 Мая 2017, 11:03:08
Ну, в общем мой вердикт выше )) На оставшиеся 15 тыщ лучше взять хороший управляемый коммутатор.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#33: 12 Мая 2017, 11:06:57
Wolf_Hunter
Попробую его и взять. Или похожий Kinetik.

Косяк в том, что нет его в наличии.

marsohod

  • ***
  • Сообщений: 6075
    • Просмотр профиля
#34: 12 Мая 2017, 11:11:33
Берите лучше микротик, на случай если со временем задача измениться или усложниться и т.д.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#35: 12 Мая 2017, 11:18:44
Берите лучше микротик
Тьфу, перепутал. Конечно же Mikrotik, как по ссылке выше.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#36: 12 Мая 2017, 12:42:23

Когда RB RB951G-2HnD класса home / 5 user office для ютубчика и одноклассников ляжет и "бюджетная контора" скажет "а-а-а чой то медленно  рабора" - вспомните анекдот.

Это всего лишь моё оценочное суждение.
Не обращайте внимания.)

Да ладно, 80 юзверей постоянно ломящихся в инет, канал 20 мегабит, у половины порезана скорость, плюс 9 туннелей PPTP, плюс гостевая и рабочая WiFi сетки и 3 ий год "лопатся" не собирается.

Это просто опыт эксплуатации )



з.ы. и загрузку процессора выше 50% не видел ни разу

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#37: 12 Мая 2017, 13:12:29
integro, на RB750 - 20 юзеров качают из интернетов все что не попадя на скорости 10 мбит/с, 3 из них точно знаю смотрят кино онлайн (надо прикрыть им эту лавочку), для 5 скорость шэйпится, WiFi точка доступа висит отдельно на нем, через WiFi ходит в инет около 30 девайсов в офисе, есть несколько правил на firewall. Ничего не собирается "лопаться", уверен что запаса мощности еще на столько же хватит. UpTime сейчас 38 дней (свет отключали), до этого около полугода стоял.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#38: 12 Мая 2017, 13:33:11
Wolf_Hunter
А почему тогда рекомендуешь более новые модели? Разве 750-я не пойдет под мои задачи? Или в чем подвох в ней?
Они-то как раз есть в продаже.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#39: 12 Мая 2017, 13:50:41
Патамушта у 951 порты гигабитные ))

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#40: 12 Мая 2017, 13:53:28
Ну, при скорости в 5 МБит - это не важно. Да и свичи у нас тоже не гигабитки :)

sky star

  • *****
  • Сообщений: 18102
    • Просмотр профиля
#41: 12 Мая 2017, 13:59:19
гигабитная сетка - мелочь вроде как , но порой очень даже приятно

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#42: 12 Мая 2017, 14:09:10
В общем, выбор пал на Mikrotik RB951G-2HnD. Пока. В продаже есть (по крайней мере на сайте, но не по факту).
Остается купить, ну и настроить. Так что чую еще помучаюсь с настройкой и не раз обращусь сюда.

Li-fan

  • *
  • Сообщений: 60
    • Просмотр профиля
#43: 12 Мая 2017, 14:44:54
Хороший выбор. Только уверяю Вас - rb751 хватило бы за глаза. У меня почти как у wolf-hunter  -  примерно 80 человек в центральном филиале, 11 туннелей pptp c допофисами, постоянно 3-6 удаленных пользователей через vpn сидят. Канал 12 мб, канал у всех, кроме меня порезан, wi-fi отключен, за ненадобностью (есть пара unifi ap), двадцать правил на файервол, пятнадцать на нат, одно на layer7. Это всё на 751. Хотя уже готовая копия 951 лежит и ждет, когда 751 навернется ) А на допофисах в основном 951.
 

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#44: 12 Мая 2017, 14:51:30
Li-fan
Да понятно все. Пусть будет с запасом немного. Вдруг и у нас интернет нормальный появится.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#45: 12 Мая 2017, 16:06:39
Mikrotik RB951G-2HnD
Количество LAN-портов - 5.
Как я понимаю, любой из них можно сделать WAN или LAN?

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#46: 12 Мая 2017, 16:33:50
Как я понимаю, любой из них можно сделать WAN или LAN?
да

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#47: 12 Мая 2017, 16:36:09
да
Ага, уже мануал изучаю.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#48: 23 Мая 2017, 08:40:03
Купил Mikrotik RB951G-2HnD. Вчера базовые настройки внес (через Winbox), сегодня подключил.
По сравнению с UG интернет летает.
Сейчас надо разбираться с блокировками контеста, сайтов, портов и т. д.

Но вот ping почти не изменился. На ya.ru с роутера - 12-19 мс, после него - 130-140. Ожидал лучшего.

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#49: 23 Мая 2017, 09:08:50
А пинг и роутер то причем, если пинг расти начинается на совсем другом узле?)

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#50: 23 Мая 2017, 09:32:37
Ascent
Пинг стабильный, если напрямую к шнурку провайдера цепляешься. По договору не больше 35 мс, на практике 8-12 до провайдера и не больше 25 до Яндекса. Так что тормозит железка похоже. Шейпер не настраивал, так что резать нечему.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#51: 23 Мая 2017, 09:45:50
Сбрось конфиг.
Что у тебя коммутатором стоит? Пробовал комп прямо в роутер втыкать?

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#52: 23 Мая 2017, 10:00:17
Все нормально, извиняюсь. Да, напрямую пинг короткий. В сети с юзерами повышается. Так что все в норме.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#53: 23 Мая 2017, 17:10:19
Вот она - первая задница.
При дефолтных настройках не хочет работать Континент-АП. Ошибка 619.
Ладно, проброс портов надо сделать. И...

Цитировать
от абонентского
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.

...Ошибка 619.
Вроде по инструкциям делал все - бесполезно.

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#54: 23 Мая 2017, 17:20:16
Ну без предоставленного конфига, можно только погадать на кофейной гуще

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#55: 23 Мая 2017, 17:22:55
Ascent
Как конфиг вытащить?

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#56: 23 Мая 2017, 17:25:17
Ну ты же в винбоксе делаешь, покажи скрин созданного правила

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#57: 23 Мая 2017, 17:28:53




Где ошибка? Или два порта в одно правило можно запихать?

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#58: 23 Мая 2017, 17:44:02
Блин, там нифига не прочитать)

Я не работал с континентом, но я так понял у тебя просто ВПН не подключается до их сервера?

Тебе нужно TCP 1723 порт пробросить тогда

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#59: 23 Мая 2017, 17:49:50
Ascent
Поправил.
Ошибка 619 выскакивает моментально при подключении. Даже не пытается подключиться.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#60: 23 Мая 2017, 17:52:33
Открой терминал (New Terminal) и сделай export compact, скопируй сюда конфиг

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#61: 23 Мая 2017, 17:54:20










  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 6.30.4 (c) 1999-2015       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
[admin@MikroTik] > export compact
# may/23/2017 11:53:14 by RouterOS 6.30.4
# software id = WL68-E3C8
#
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n country=russia disabled=no frequency=2457 \
    frequency-mode=superchannel hw-protection-mode=rts-cts l2mtu=1600 mode=ap-bridge ssid=uebv_work tx-power-mode=all-rates-fixed \
    wireless-protocol=unspecified
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway
set [ find default-name=ether2 ] comment=LAN-1 name=ether2-master-local
set [ find default-name=ether3 ] comment=LAN-2 name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface wireless nstreme
set wlan1 enable-polling=no
/ip neighbor discovery
set ether1-gateway comment=WAN discover=no
set ether2-master-local comment=LAN-1
set ether3-slave-local comment=LAN-2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=uebv_work \
    wpa-pre-shared-key=2612111975 wpa2-pre-shared-key=2612111975
/ip pool
add name=dhcp_pool8 ranges=192.168.10.11-192.168.10.100
add name=dhcp_pool9 ranges=192.168.100.11-192.168.100.99
/ip dhcp-server
add address-pool=dhcp_pool8 authoritative=yes disabled=no interface=wlan1 name=dhcp_wi-fi
add address-pool=dhcp_pool9 disabled=no interface=ether3-slave-local name=dhcp1
/interface bridge port
add interface=ether2-master-local
add interface=wlan1
/ip address
add address=192.168.2.2/24 interface=ether2-master-local network=192.168.2.0
add address=31.173.231.42/30 interface=ether1-gateway network=31.173.231.40
add address=192.168.100.1/24 interface=ether3-slave-local network=192.168.100.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.2 gateway=192.168.2.2
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=83.149.52.77,83.149.53.77
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=\
    ether1-gateway
/ip firewall nat
add action=src-nat chain=srcnat log=yes out-interface=ether2-master-local port=4433 protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway log=yes port=7500 protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
add action=src-nat chain=srcnat out-interface=ether2-master-local port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
/ip proxy
set max-cache-size=none
/ip route
add distance=1 gateway=31.173.231.41
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add
/tool romon port
add
[admin@MikroTik] >

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#62: 23 Мая 2017, 19:09:58
Поменял чуть, появилась ошибка 721. Но думает с минуту.

/ip firewall nat
add action=src-nat chain=srcnat log=yes out-interface=ether1-gateway protocol=udp src-port=4433 to-addresses=192.168.2.28 to-ports=4433
add action=src-nat chain=srcnat out-interface=ether2-master-local protocol=udp src-port=7500 to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether2-master-local protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
add action=masquerade chain=srcnat out-interface=ether1-gateway

Хотя и понимаю, что неправильно вроде как.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#63: 23 Мая 2017, 19:19:51
а почему протокол udp? и маскардинг первым правилом поставь

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#64: 23 Мая 2017, 19:22:23
как то коряво правила выглядят, по памяти уже не помню, завтра на работе гляну

wifisystem.ru

  • *
  • Сообщений: 44
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#65: 23 Мая 2017, 19:27:38
убрать add action=src-nat chain=srcnat log=yes out-interface=ether1-gateway protocol=udp src-port=4433 to-addresses=192.168.2.28 to-ports=4433
убрать add action=src-nat chain=srcnat out-interface=ether2-master-local protocol=udp src-port=7500 to-addresses=192.168.2.28 to-ports=7500
оставить add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
изменить add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=4433
оставить add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
оставить add action=masquerade chain=srcnat out-interface=ether1-gateway

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#66: 23 Мая 2017, 19:40:15
а почему протокол udp?
от абонентского
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.


wifisystem.ru

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723

Опять ошибка 619 выскакивает сразу же.

fluf

  • ***
  • Сообщений: 7076
    • Просмотр профиля
    • http://forum.amur.ru
#67: 23 Мая 2017, 20:14:56
DimonS, Я нифига не рублю в ваших недолинуксах, но простая житейская логика эникея ;) подсказывается что правила для outside/inside интерфейсов в рамках такой задачи:
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.


не могут отличаться _только_ номерами портов.
DimonS, Давай я тебе подгоню нормальный  cisco роутер для интернета, а ви-фи пили микротиком уже? За абнплату и настроем его в состояние огонь ;)


alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#68: 23 Мая 2017, 20:55:12
посмотрел, у меня в принципе такие же правила... все работает
add action=dst-nat chain=dstnat  dst-port=6000 in-interface=WAN protocol=tcp to-addresses=192.168.0.2 to-ports=6000
add action=dst-nat chain=dstnat  dst-port=6100 in-interface= WAN protocol=tcp to-addresses=192.168.0.2 to-ports=6100

wifisystem.ru

  • *
  • Сообщений: 44
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#69: 23 Мая 2017, 22:02:47
Может все таки tcp как у alko и это опять же ближе в тему.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#70: 23 Мая 2017, 22:11:06
Может все таки tcp как у alko и это опять же ближе в тему.
tcp так же не работает.
Подозрение еще на старую программу, один из первых в области ее настраивал. По№;%№ся пришлось так, что до сих пор с ужасом вспоминаю. Начиная с требований "только XP" и "только одно ядро". Попробую завтра обновить.

Да, через UG работала без проброса портов, правда подключение пару минут шло. Когда порты пробросил - подключалась за несколько секунд. Вот и думай что лучше. А программа эта - основная при оплате. Все платежи через нее идут.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#71: 23 Мая 2017, 22:12:52
tcp to-addresses=192.168.0.2

192.168.0.2 это адрес конкретной машины или еще чего? Может в этом загвоздка у меня.

wifisystem.ru

  • *
  • Сообщений: 44
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#72: 23 Мая 2017, 22:18:14
Адрес Континент-АП , который ещё надо прибить статикой в ip-dhcp-lease. 

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#73: 23 Мая 2017, 22:24:35
Вот еще как проброс портов в UG сделан. Как на Микротик это перенести?


alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#74: 23 Мая 2017, 22:27:47
192.168.0.2 это адрес конкретной машины
да, это конкретный сервер, Win 2008R2

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#75: 23 Мая 2017, 22:37:12
попробуй добавить  Dst.Address  85.26.247.149

а в логах есть ошибки?

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#76: 23 Мая 2017, 22:45:31
а в логах есть ошибки?
Если честно - не знаю даже где их посмотреть :)
Первый день колупал роутер, раньше не занимался такими. Хотя вроде ничего сложного и нет, но пока все узнаешь...

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#77: 23 Мая 2017, 22:51:08
попробуй добавить  Dst.Address  85.26.247.149
Те же яйца, только в профиль. Ошибка 619. Мгновенно.

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-address=85.26.247.149 dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 \
    to-ports=7500
add action=dst-nat chain=dstnat dst-address=85.26.247.149 dst-port=4433 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 \
    to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
/ip proxy
set max-cache-size=none

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#78: 23 Мая 2017, 23:07:11
Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, Б%;, !!!!!!!

Обновил программу и все заработало!
Спасибо всем за подсказки. Все равно кое-что новое усвоил для себя.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#79: 23 Мая 2017, 23:13:17
Отключил все пробросы портов - все равно работает.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#80: 24 Мая 2017, 11:28:44
Тогда еще вопрос.
Конфиг на прошлой странице.
Где ошибка в настройке Wi-Fi? Ноутбук не подключается - Не удалось выполнить подключение, смартфоны долго висят на авторизации, потом сброс или долгое получение IP - и опять авторизация.

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#81: 24 Мая 2017, 11:49:59
Вот тебе уже мануал: https://treolink.ru/articles/nastroika-routera-mikrotik-na-primere-rb951ui-2hnd
Там к концу про вафлю

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#82: 24 Мая 2017, 12:03:55
Ascent
Таких мануалов в сети чуть больше, чем до... По ним и настраивал.

wifisystem.ru

  • *
  • Сообщений: 44
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#83: 24 Мая 2017, 12:18:51
/interface wireless set wlan1 mode=ap-bridge ssid=WiFiSYSTEM default-forwarding=no disabled=no

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#84: 24 Мая 2017, 12:51:05
У меня так работает:

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection= allowed mode=dynamic-keys name=Tar-key supplicant-identity="" wpa-pre-shared-key=ta772xx wpa2-pre-shared-key=ta772xx
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=auto mode=ap-bridge security-profile=Tar-key ssid=targro wireless-protocol=802.11

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#85: 24 Мая 2017, 14:28:05
Подключается, но почему-то IP не раздаются. Хотя настроено все.
На другом интерфейсе (проводном) аналогичные настройки DHCP - там все ОК.
Такую же проблему замечал на D-Link-ах - если выставить шифрование PSK или PSK2, то ip не выдаются почему-то.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#86: 24 Мая 2017, 14:39:32
По моему у тебя DHCP-server про беспроводной интерфейс не знает.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#87: 24 Мая 2017, 14:44:10
Так у тебя wlan в воздухе висит, в смысле ни к какому интерфейсу не подключен.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#88: 24 Мая 2017, 14:46:41
Так у тебя wlan в воздухе висит, в смысле ни к какому интерфейсу не подключен.
Вот и я о том же. Надо его к мастер-порту подключить на котором IP висит. Только скорее всего нихера не получится.... Потому как по хорошему надо делать bridge вешать на него IP и привязывать к нему нужные интерфейсы.

/interface bridge
add admin-mac=00:00:00:00:00:11 auto-mac=no mtu=1500 name=lan protocol-mode=none
/interface bridge port
add bridge=lan interface=ether2
add bridge=lan interface=ether3
add bridge=lan interface=ether4
add bridge=lan interface=ether5
add bridge=lan interface=wlan1
/ip address
add address=192.168.15.1/28 interface=lan network=192.168.15.0

Как-то так

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#89: 24 Мая 2017, 15:03:06
Вот и я о том же. Надо его к мастер-порту подключить на котором IP висит. Только скорее всего нихера не получится.... Потому как по хорошему надо делать bridge вешать на него IP и привязывать к нему нужные интерфейсы.

Как-то так
Да почему, все получится, к нужному Lan порту бриджем подключить wlan, в адресном листе добавить подсеть и привязать ее к этому wlan

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#90: 24 Мая 2017, 15:03:26
Ну говорит по мануалу настраивал, а в нем то как раз и пишут про бридж :)

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#91: 24 Мая 2017, 15:07:54
Ну говорит по мануалу настраивал, а в нем то как раз и пишут про бридж :)
Он как то хитро разделил порты, не понятно зачем )))

set [ find default-name=ether1 ] comment=WAN name=ether1-gateway
set [ find default-name=ether2 ] comment=LAN-1 name=ether2-master-local
set [ find default-name=ether3 ] comment=LAN-2 name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#92: 24 Мая 2017, 15:09:25
И мое мнение зря начал настраивать на дефолтной настройке, надо было сбрасывать в 0, да и прошивку нужно проапгрейдить, стоит 6.38 уже актуальная 6.39.1

Ascent

  • ***
  • Сообщений: 5404
    • Просмотр профиля
#93: 24 Мая 2017, 15:10:28
У него там разные пулы адресов. Видимо ему нужно разных подсети.
192.168.2.x
192.168.10.x
192.168.100.x

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#94: 24 Мая 2017, 15:17:26
Да, нужны разные подсети и чтобы они не сообщались друг с другом. Поэтому бридж и не настраивал. Хотя все равно сети видят друг друга и компы пингуются. Думал, что можно разделить.
Поэтому и сделал два DHCP-сервера на 3 порт и на wlan. На второй порт пока не делал, сервак справляется с такой мелочью. Вот на 3 порту работает отлично, а на wlan - нифига. Или так нельзя сделать?

4 и 5 порт не настроены вообще, пока свободные. Отключил уже.


alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#95: 24 Мая 2017, 15:18:04
У него там разные пулы адресов. Видимо ему нужно разных подсети.
192.168.2.x
192.168.10.x
192.168.100.x
я понял, у меня 9 подсетей, все порты в бридже, потом роутятся куда надо. Хотя может задача физически развести подсети.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#96: 24 Мая 2017, 15:20:12
Да, нужны разные подсети и чтобы они не сообщались друг с другом. Поэтому бридж и не настраивал. Хотя все равно сети видят друг друга и компы пингуются. Думал, что можно разделить.
Так ты правилами закрой что бы они не видели друг друга, хотя скорее всего они у тебя только пингуются.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#97: 24 Мая 2017, 15:22:50
Так ты правилами закрой что бы они не видели друг друга, хотя скорее всего они у тебя только пингуются.
Подскажи как это делается, плз.
Не только пингуются, но и зайти можно.

PS. Я второй день как изучать микротик начал, еще толком незнаю ничего.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#98: 24 Мая 2017, 15:23:09
И мое мнение зря начал настраивать на дефолтной настройке, надо было сбрасывать в 0, да и прошивку нужно проапгрейдить, стоит 6.38 уже актуальная 6.39.1
Вот тут согласен по всем пунктам!

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#99: 24 Мая 2017, 15:24:06
Вот на 3 порту работает отлично, а на wlan - нифига. Или так нельзя сделать?

Ты  ip - address создай подсеть на которую ты хочешь посадить wifi, и там же привяжи ее к интерфейсу wlan1 а wlan1 бриджем привяжи к своему рабочему LAN тогда у тебя DHCP сервер заработает, а сейчас он у тебя красным должен быть поскольку нет такой подсети.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#100: 24 Мая 2017, 15:28:09
Подскажи как это делается, плз.
Не только пингуются, но и зайти можно.
У меня вот так гостевая вайфайная сетка закрыта от рабочей:

add action=drop chain=forward dst-address=192.168.0.0/24 src-address=10.0.0.0/24

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#101: 24 Мая 2017, 15:45:33
alko
Я пока не хотел вафлю привязывать к рабочей сетке. После может быть.

Понял свою ошибку, сейчас поправлю :)

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#102: 24 Мая 2017, 15:49:22
Все, заработало! Спасибо за ответы.
Но, думаю, это еще не последний вопрос был :)

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#103: 24 Мая 2017, 16:46:48
Если обновить прошивку, то настройки не слетают?
Хоть их там мало, но хрен прервешь инет в рабочее время.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#104: 24 Мая 2017, 16:51:33
Не слетают, обновляй смело. Но роутер все-равно в ребут отправлять

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#105: 24 Мая 2017, 16:52:57
Конфиг все равно сохрани на всякий случай.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#106: 24 Мая 2017, 16:56:41
Но роутер все-равно в ребут отправлять
А, да. После обновления ребут долгий вроде... Понял.

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#107: 24 Мая 2017, 16:59:33
После обновления ребут долгий вроде... Понял.
Такой же как и обычный ребут, где то 1 мин.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#108: 26 Мая 2017, 08:20:15
Еще вопрос по шейперу.
Надо ограничить полностью сеть, выделить 1МБит/с на всех.

В конфе так:
/queue simple
add burst-limit=1M/1M burst-threshold=512k/512k burst-time=5s/5s max-limit=\
    1M/1M name=Queque_Lan2 target=ether3-slave-local time=\
    8h-18h,mon,tue,wed,thu,fri

Но почему-то режется скорость только тогда, когда запущен Torch в интерфейсе данной сети.
Так и должно быть или я где-то не дописал чего?

alko

  • ***
  • Сообщений: 2032
    • Просмотр профиля
#109: 26 Мая 2017, 08:33:10
А зачем тебе burst? у меня тупо так:
add max-limit=2M/2M name=soya-lab target=192.168.0.98/32

Когда правило срабатывает в списке в колонке Name столбик слева с зеленого меняется на красный. А torch просто показывает кто и сколько качает.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#110: 26 Мая 2017, 08:41:38
alko

/queue simple
add max-limit=1M/1M name=Queque_Lan2 target=ether3-slave-local time=\
    8h-18h,mon,tue,wed,thu,fri

То же самое. При закрытии Torch сразу же полный канал грузит.

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#111: 26 Мая 2017, 11:01:31
Чудеса какие-то, torch это просто монитор трафика в реал-тайме... Правило норм, у меня так же настроено.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#112: 26 Мая 2017, 11:11:35
Ну вот, почему-то не работает...

Wolf_Hunter

  • ***
  • Сообщений: 1019
    • Просмотр профиля
#113: 26 Мая 2017, 11:30:14
А у тебя NTP настроен? Попробуй time убрать

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#114: 26 Мая 2017, 13:01:48
А у тебя NTP настроен? Попробуй time убрать
Не настраивал. Но время убирал - то же самое.

DimonS

  • *****
  • Сообщений: 16181
    • Просмотр профиля
#115: 26 Мая 2017, 13:12:38
Настроил время, проверю как работает.
Пока отключил того нахала, который качал.