Автор Тема: Роутер с шейпером из коробки  (Прочитано 6369 раз)

0 Пользователей и 1 Гость просматривают эту тему.

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#35: 12 Мая 2017, 11:18:44
Берите лучше микротик
Тьфу, перепутал. Конечно же Mikrotik, как по ссылке выше.

alko

  • ***
  • Сообщений: 2128
    • Просмотр профиля
#36: 12 Мая 2017, 12:42:23

Когда RB RB951G-2HnD класса home / 5 user office для ютубчика и одноклассников ляжет и "бюджетная контора" скажет "а-а-а чой то медленно  рабора" - вспомните анекдот.

Это всего лишь моё оценочное суждение.
Не обращайте внимания.)

Да ладно, 80 юзверей постоянно ломящихся в инет, канал 20 мегабит, у половины порезана скорость, плюс 9 туннелей PPTP, плюс гостевая и рабочая WiFi сетки и 3 ий год "лопатся" не собирается.

Это просто опыт эксплуатации )



з.ы. и загрузку процессора выше 50% не видел ни разу

Wolf_Hunter

  • ***
  • Сообщений: 1032
    • Просмотр профиля
#37: 12 Мая 2017, 13:12:29
integro, на RB750 - 20 юзеров качают из интернетов все что не попадя на скорости 10 мбит/с, 3 из них точно знаю смотрят кино онлайн (надо прикрыть им эту лавочку), для 5 скорость шэйпится, WiFi точка доступа висит отдельно на нем, через WiFi ходит в инет около 30 девайсов в офисе, есть несколько правил на firewall. Ничего не собирается "лопаться", уверен что запаса мощности еще на столько же хватит. UpTime сейчас 38 дней (свет отключали), до этого около полугода стоял.

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#38: 12 Мая 2017, 13:33:11
Wolf_Hunter
А почему тогда рекомендуешь более новые модели? Разве 750-я не пойдет под мои задачи? Или в чем подвох в ней?
Они-то как раз есть в продаже.

Wolf_Hunter

  • ***
  • Сообщений: 1032
    • Просмотр профиля
#39: 12 Мая 2017, 13:50:41
Патамушта у 951 порты гигабитные ))

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#40: 12 Мая 2017, 13:53:28
Ну, при скорости в 5 МБит - это не важно. Да и свичи у нас тоже не гигабитки :)

sky star

  • *****
  • Сообщений: 18224
    • Просмотр профиля
#41: 12 Мая 2017, 13:59:19
гигабитная сетка - мелочь вроде как , но порой очень даже приятно

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#42: 12 Мая 2017, 14:09:10
В общем, выбор пал на Mikrotik RB951G-2HnD. Пока. В продаже есть (по крайней мере на сайте, но не по факту).
Остается купить, ну и настроить. Так что чую еще помучаюсь с настройкой и не раз обращусь сюда.

Li-fan

  • *
  • Сообщений: 59
    • Просмотр профиля
#43: 12 Мая 2017, 14:44:54
Хороший выбор. Только уверяю Вас - rb751 хватило бы за глаза. У меня почти как у wolf-hunter  -  примерно 80 человек в центральном филиале, 11 туннелей pptp c допофисами, постоянно 3-6 удаленных пользователей через vpn сидят. Канал 12 мб, канал у всех, кроме меня порезан, wi-fi отключен, за ненадобностью (есть пара unifi ap), двадцать правил на файервол, пятнадцать на нат, одно на layer7. Это всё на 751. Хотя уже готовая копия 951 лежит и ждет, когда 751 навернется ) А на допофисах в основном 951.
 

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#44: 12 Мая 2017, 14:51:30
Li-fan
Да понятно все. Пусть будет с запасом немного. Вдруг и у нас интернет нормальный появится.

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#45: 12 Мая 2017, 16:06:39
Mikrotik RB951G-2HnD
Количество LAN-портов - 5.
Как я понимаю, любой из них можно сделать WAN или LAN?

alko

  • ***
  • Сообщений: 2128
    • Просмотр профиля
#46: 12 Мая 2017, 16:33:50
Как я понимаю, любой из них можно сделать WAN или LAN?
да

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#47: 12 Мая 2017, 16:36:09
да
Ага, уже мануал изучаю.

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#48: 23 Мая 2017, 08:40:03
Купил Mikrotik RB951G-2HnD. Вчера базовые настройки внес (через Winbox), сегодня подключил.
По сравнению с UG интернет летает.
Сейчас надо разбираться с блокировками контеста, сайтов, портов и т. д.

Но вот ping почти не изменился. На ya.ru с роутера - 12-19 мс, после него - 130-140. Ожидал лучшего.

Ascent

  • ***
  • Сообщений: 5475
    • Просмотр профиля
#49: 23 Мая 2017, 09:08:50
А пинг и роутер то причем, если пинг расти начинается на совсем другом узле?)

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#50: 23 Мая 2017, 09:32:37
Ascent
Пинг стабильный, если напрямую к шнурку провайдера цепляешься. По договору не больше 35 мс, на практике 8-12 до провайдера и не больше 25 до Яндекса. Так что тормозит железка похоже. Шейпер не настраивал, так что резать нечему.

Wolf_Hunter

  • ***
  • Сообщений: 1032
    • Просмотр профиля
#51: 23 Мая 2017, 09:45:50
Сбрось конфиг.
Что у тебя коммутатором стоит? Пробовал комп прямо в роутер втыкать?

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#52: 23 Мая 2017, 10:00:17
Все нормально, извиняюсь. Да, напрямую пинг короткий. В сети с юзерами повышается. Так что все в норме.

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#53: 23 Мая 2017, 17:10:19
Вот она - первая задница.
При дефолтных настройках не хочет работать Континент-АП. Ошибка 619.
Ладно, проброс портов надо сделать. И...

Цитировать
от абонентского
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.

...Ошибка 619.
Вроде по инструкциям делал все - бесполезно.

Ascent

  • ***
  • Сообщений: 5475
    • Просмотр профиля
#54: 23 Мая 2017, 17:20:16
Ну без предоставленного конфига, можно только погадать на кофейной гуще

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#55: 23 Мая 2017, 17:22:55
Ascent
Как конфиг вытащить?

Ascent

  • ***
  • Сообщений: 5475
    • Просмотр профиля
#56: 23 Мая 2017, 17:25:17
Ну ты же в винбоксе делаешь, покажи скрин созданного правила

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#57: 23 Мая 2017, 17:28:53




Где ошибка? Или два порта в одно правило можно запихать?

Ascent

  • ***
  • Сообщений: 5475
    • Просмотр профиля
#58: 23 Мая 2017, 17:44:02
Блин, там нифига не прочитать)

Я не работал с континентом, но я так понял у тебя просто ВПН не подключается до их сервера?

Тебе нужно TCP 1723 порт пробросить тогда

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#59: 23 Мая 2017, 17:49:50
Ascent
Поправил.
Ошибка 619 выскакивает моментально при подключении. Даже не пытается подключиться.

Wolf_Hunter

  • ***
  • Сообщений: 1032
    • Просмотр профиля
#60: 23 Мая 2017, 17:52:33
Открой терминал (New Terminal) и сделай export compact, скопируй сюда конфиг

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#61: 23 Мая 2017, 17:54:20










  MMM      MMM       KKK                          TTTTTTTTTTT      KKK
  MMMM    MMMM       KKK                          TTTTTTTTTTT      KKK
  MMM MMMM MMM  III  KKK  KKK  RRRRRR     OOOOOO      TTT     III  KKK  KKK
  MMM  MM  MMM  III  KKKKK     RRR  RRR  OOO  OOO     TTT     III  KKKKK
  MMM      MMM  III  KKK KKK   RRRRRR    OOO  OOO     TTT     III  KKK KKK
  MMM      MMM  III  KKK  KKK  RRR  RRR   OOOOOO      TTT     III  KKK  KKK

  MikroTik RouterOS 6.30.4 (c) 1999-2015       http://www.mikrotik.com/

[?]             Gives the list of available commands
command [?]     Gives help on the command and list of arguments

[Tab]           Completes the command/word. If the input is ambiguous,
                a second [Tab] gives possible options

/               Move up to base level
..              Move up one level
/command        Use command at the base level
[admin@MikroTik] > export compact
# may/23/2017 11:53:14 by RouterOS 6.30.4
# software id = WL68-E3C8
#
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode band=2ghz-b/g/n country=russia disabled=no frequency=2457 \
    frequency-mode=superchannel hw-protection-mode=rts-cts l2mtu=1600 mode=ap-bridge ssid=uebv_work tx-power-mode=all-rates-fixed \
    wireless-protocol=unspecified
/interface ethernet
set [ find default-name=ether1 ] comment=WAN name=ether1-gateway
set [ find default-name=ether2 ] comment=LAN-1 name=ether2-master-local
set [ find default-name=ether3 ] comment=LAN-2 name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface wireless nstreme
set wlan1 enable-polling=no
/ip neighbor discovery
set ether1-gateway comment=WAN discover=no
set ether2-master-local comment=LAN-1
set ether3-slave-local comment=LAN-2
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=uebv_work \
    wpa-pre-shared-key=2612111975 wpa2-pre-shared-key=2612111975
/ip pool
add name=dhcp_pool8 ranges=192.168.10.11-192.168.10.100
add name=dhcp_pool9 ranges=192.168.100.11-192.168.100.99
/ip dhcp-server
add address-pool=dhcp_pool8 authoritative=yes disabled=no interface=wlan1 name=dhcp_wi-fi
add address-pool=dhcp_pool9 disabled=no interface=ether3-slave-local name=dhcp1
/interface bridge port
add interface=ether2-master-local
add interface=wlan1
/ip address
add address=192.168.2.2/24 interface=ether2-master-local network=192.168.2.0
add address=31.173.231.42/30 interface=ether1-gateway network=31.173.231.40
add address=192.168.100.1/24 interface=ether3-slave-local network=192.168.100.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=ether1-gateway
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.2 gateway=192.168.2.2
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 netmask=24
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=83.149.52.77,83.149.53.77
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=\
    ether1-gateway
/ip firewall nat
add action=src-nat chain=srcnat log=yes out-interface=ether2-master-local port=4433 protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway log=yes port=7500 protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
add action=src-nat chain=srcnat out-interface=ether2-master-local port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
/ip proxy
set max-cache-size=none
/ip route
add distance=1 gateway=31.173.231.41
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=wlan1
/system routerboard settings
set protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add
/tool romon port
add
[admin@MikroTik] >

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#62: 23 Мая 2017, 19:09:58
Поменял чуть, появилась ошибка 721. Но думает с минуту.

/ip firewall nat
add action=src-nat chain=srcnat log=yes out-interface=ether1-gateway protocol=udp src-port=4433 to-addresses=192.168.2.28 to-ports=4433
add action=src-nat chain=srcnat out-interface=ether2-master-local protocol=udp src-port=7500 to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether2-master-local protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
add action=masquerade chain=srcnat out-interface=ether1-gateway

Хотя и понимаю, что неправильно вроде как.

alko

  • ***
  • Сообщений: 2128
    • Просмотр профиля
#63: 23 Мая 2017, 19:19:51
а почему протокол udp? и маскардинг первым правилом поставь

alko

  • ***
  • Сообщений: 2128
    • Просмотр профиля
#64: 23 Мая 2017, 19:22:23
как то коряво правила выглядят, по памяти уже не помню, завтра на работе гляну

wifisystem.ru

  • *
  • Сообщений: 45
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#65: 23 Мая 2017, 19:27:38
убрать add action=src-nat chain=srcnat log=yes out-interface=ether1-gateway protocol=udp src-port=4433 to-addresses=192.168.2.28 to-ports=4433
убрать add action=src-nat chain=srcnat out-interface=ether2-master-local protocol=udp src-port=7500 to-addresses=192.168.2.28 to-ports=7500
оставить add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
изменить add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=4433
оставить add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723
оставить add action=masquerade chain=srcnat out-interface=ether1-gateway

DimonS

  • *****
  • Сообщений: 16591
    • Просмотр профиля
#66: 23 Мая 2017, 19:40:15
а почему протокол udp?
от абонентского
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.


wifisystem.ru

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=dst-nat chain=dstnat dst-port=7500 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=7500
add action=dst-nat chain=dstnat dst-port=4433 in-interface=ether1-gateway protocol=udp to-addresses=192.168.2.28 to-ports=4433
add action=dst-nat chain=dstnat in-interface=ether1-gateway port=1723 protocol=tcp to-addresses=192.168.2.28 to-ports=1723

Опять ошибка 619 выскакивает сразу же.

fluf

  • ***
  • Сообщений: 7165
    • Просмотр профиля
    • http://forum.amur.ru
#67: 23 Мая 2017, 20:14:56
DimonS, Я нифига не рублю в ваших недолинуксах, но простая житейская логика эникея ;) подсказывается что правила для outside/inside интерфейсов в рамках такой задачи:
пункта к серверу доступа используется порт
UDP/4433, от сервера доступа к абонентскому
пункту UDP/7500.


не могут отличаться _только_ номерами портов.
DimonS, Давай я тебе подгоню нормальный  cisco роутер для интернета, а ви-фи пили микротиком уже? За абнплату и настроем его в состояние огонь ;)


alko

  • ***
  • Сообщений: 2128
    • Просмотр профиля
#68: 23 Мая 2017, 20:55:12
посмотрел, у меня в принципе такие же правила... все работает
add action=dst-nat chain=dstnat  dst-port=6000 in-interface=WAN protocol=tcp to-addresses=192.168.0.2 to-ports=6000
add action=dst-nat chain=dstnat  dst-port=6100 in-interface= WAN protocol=tcp to-addresses=192.168.0.2 to-ports=6100

wifisystem.ru

  • *
  • Сообщений: 45
    • Просмотр профиля
    • Система идентификации пользователей WIFI через SMS
#69: 23 Мая 2017, 22:02:47
Может все таки tcp как у alko и это опять же ближе в тему.