Scr address mikrotik что это
Пробрасываем порт на MikroTik RouterOS
Сегодня мы займемся пробросом портов на RouterOS v6.43.4 stable Oct/17/2018 06:37:48 на железке RB952Ui-5ac2nD
Зачем пробрасывать порты?
Обычно порты
пробрасывают для доступа к внутренним ресурсам локальной сети из интернета, например:
По умолчанию в роутерах работает правило так называемого маскарадинга. IP-адреса компьютеров и других устройств из локальной сети не видны ЗА роутером, во внешней сети. При поступлении пакетов данных из внутренней сети для отправки во внешний мир роутер открывает определенный порт и подменяет внутренний IP устройства на свой внешний адрес — надевает «маску», а при получении ответных данных на этот порт — отправляет их на тот компьютер внутри сети, для которого они предназначаются
Таким образом, все получатели данных из внешней сети видят в сети только роутер и обращаются к его IP-адресу. Компьютеры, планшеты и другие устройства в локальной сети остаются невидимыми.
На этой схеме есть одно отличие: роутер принимает только те пакеты данных, которые приходят по соединению, инициированному компьютером из внутренней сети. Если компьютер или сервер из внешней сети пытается установить соединение первым, роутер его сбрасывает. А для указанных выше пунктов (игровой сервер, пиринговые сети и т. п.) такое соединение должно быть разрешено. Вот для этого и применяется проброс портов. Фактически, это команда роутеру зарезервировать один порт и все данные извне, которые на него поступают, передавать на определенный компьютер. Т. е. сделать исключение из маскарадинга, прописав новое правило.
Настройка Port Forwarding в MikroTik
В MikroTik управление настройкой проброса портов находится в меню IP =>Firewall =>NAT.
По умолчанию здесь прописан тот самый маскарадинг — подмена внутренних локальных адресов внешним адресом сервера. Мы же здесь создадим дополнительное правило проброса портов.
Настройка вкладки General
Нажимаем плюс и в появившемся окне заполняем несколько полей:
Настройка вкладки Action
В поле Action прописываем действие, которое должен будет выполнять роутер. Предлагаются варианты:
В поле To Adresses прописываем внутренний IP-адрес компьютера или устройства, на который роутер должен будет перенаправлять данные по правилу проброса портов. В поле To Ports, соответственно, номер порта, к примеру:
Если значения в поле Dst. Port предыдущей вкладки и в поле To Ports совпадают, то здесь его можно не указывать.
Далее добавляем комментарий к правилу, чтобы помнить, для чего мы его создавали.
Записки IT специалиста
Технический блог специалистов ООО»Интерфейс»
Проброс портов и Hairpin NAT в роутерах Mikrotik
Проброс портов
Давайте рассмотрим небольшую схему, которая поможет понять принцип действия проброса портов.
Допустим, некий удаленный ПК хочет обратиться к нашему веб-серверу, который находится за маршрутизатором в локальной сети. Но обратиться он может только по внешнему адресу маршрутизатора (в нашем примере 192.168.3.113), на который мы пробросили порт 80 веб-сервера. Поэтому он формирует пакет, в котором адресом назначения выступает маршрутизатор и отправляет его получателю, в качестве адреса источника он указывает собственный адрес.
Маршрутизатор, получив такой пакет выполняет замену адреса назначения с собственного, на адрес веб-сервера, также, при необходимости, он может изменить и порт назначения. После чего пакет отправляется в локальную сеть и достигает веб-сервера. Данные о преобразовании заносятся в специальную таблицу трансляции NAT.
Нужно ли менять адрес отправителя? Нет, если маршрутизатор выступает основным шлюзом сети, а в подавляющем большинстве случаев это так. Веб-север обработает запрос, а так как он ничего не знает о сети получателя, то обратный пакет будет направлен шлюзу по умолчанию, т.е. назад нашему маршрутизатору.
Маршрутизатор на основании данных таблицы трансляции выполнит обратное преобразование, заменив на этот раз адрес источника с внутреннего адреса веб-сервера, на свой внешний адрес и отправит пакет запросившему его узлу.
Мы не даром заостряем на этом особое внимание, так как непонимание процесса прохождения пакета по цепочкам сетевого фильтра способно привести к значительным затруднениям, когда вроде-бы все правила составлены верно, но ничего не работает.
Так для пакета от клиента к веб-серверу и обратно порядок прохождения цепочек будет следующим:
Обратите внимание, что пакет не попадает в цепочки INPUT и OUTPUT, которые используются для собственных пакетов маршрутизатора.
Либо выполните в терминале:
Но это еще не все, после PREROUTING пакет попадет в цепочку FORWARD, в которой, если вы настраивали роутер по нашей инструкции, запрещены любые внешние пакеты, кроме инициированных из локальной сети соединений.
Располагаться данное правило должно выше правила, запрещающего транзитный трафик из внешней сети во внутреннюю.
Обратите внимание, что если вы пробрасываете порт с изменением номера, скажем внутренний 3389 (RDP) на внешний 3390, то в правиле брандмауэра вы всегда должны указывать внутренний порт, т.е. 3389, так как пакет уже прошел цепочку PREROUTING и данные о получателе в нем уже изменены на адрес и порт внутреннего сервера.
Из терминала это можно сделать командами:
Осталось только проверить работу наших правил, попробуем получить доступ к веб-серверу со внешнего узла:
Как видим, все прекрасно работает.
Hairpin NAT
Почему так происходит? Давайте рассмотрим еще одну схему:
Первая ее часть нам уже знакома, узел отправляет запрос на внешний адрес маршрутизатора, он заменяет адрес назначения адресом внутреннего сервера и отправляет пакет к нему, адрес отправителя остается неизменным. А вот дальше начинается самое интересное, веб-сервер видит, что отправитель находится в ним в одной сети и отправляет ответ ему напрямую. Но отправитель направлял запрос на внешний адрес сервера и ждет ответа именно от него, поэтому ответный пакет, отправителем которого указан внутренний адрес веб-сервера будет отброшен и связь установить не удастся.
Что же делать? Очевидно, что нужно каким-то образом заставить веб-сервер отвечать не напрямую клиенту, а пересылать пакет обратно маршрутизатору. Здесь нам на помощь придет действие src-nat (SNAT), которое позволяет изменить адрес отправителя, находящееся в цепочке POSTROUTING. В терминах Mikrotik данная настройка носит наименование Hairpin NAT.
Чтобы понять, как это работает мы подготовили следующую схему:
Теперь наш маршрутизатор не только изменяет адрес назначения, но и адрес источника, указывая в его качестве собственный внутренний IP. Обработав такой пакет веб-сервер отправит его обратно к маршрутизатору, который выполнит обратные преобразования (согласно таблице трансляции) и оправит его получателю. А так как отвечать будет именно тот узел, к которому был отправлен запрос, то в данном случае все будет работать.
Обратите внимание, что в качестве адреса и порта назначения мы указываем внутренние адрес и порт, так как пакет уже прошел цепочку PREROUTING, где данные получателя были изменены. К сожалению, не все это понимают, во многих инструкциях в сети в данном правиле фигурирует внешний адрес, стоит ли говорить, что такое правило работать не будет.
Через терминал данное правило можно создать следующим образом:
В нашем случае все адреса статические, поэтому использование src-nat здесь будет более уместно.
Правило создано, проверим его работу:
Подводя итог, можем сказать, что в пробросе портов нет ничего сложного, но только в том случае, если вы представляете в каком порядке и как обрабатываются пакеты, в противном случае даже такая элементарная задача способна превратиться в длительные мучения на ровном месте. Поэтому мы надеемся, что данный материал пригодится вам не только в практическом плане, но и позволит повысить собственный уровень знаний.
Дополнительные материалы:
Mikrotik
The Dude
Помогла статья? Поддержи автора и новые статьи будут выходить чаще:
Проброс портов на маршрутизаторе Микротик, проброс диапазона портов.
Для чего это нужно?
По умолчанию устройства, работающие за НАТом не доступны из интернета. Проброс портов на маршрутизаторах, нужен для того, что бы получить доступ к ресурсам локальной сети из интернета, например, получить доступ к
Настройка проброса одного порта
Для начала подключитесь к Mikrotik через winbox. Затем перейдите на вкладку IP-Firewall-NAT
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Нажмите на синий плюсик в верхнем меню вкладки. И заполняем необходимые настройки. Первым делом заполняем вкладку General. На рисунке показаны минимальные настройки для проброса одного порта, например, нам нужно настроить подключение к rdp серверу через Mikrotik.
Chain-канал приемник, есть два параметра srcnat-из локальной сети в интернет и dstnat из интернета в локальную сеть. Нам нужно dstanat
Src. Address — адрес с которого принимать запрос, например мы хотим разрешить подключение только с одного адреса, тогда нам нужно прописать в этом поле этот адрес. Если ничего не указано, то запросы будут приниматься со всех адресов
Dst. Address— адрес назначения (всегда ip маршрутизатора).
Protocol— Обязательное поле, указываем протокол работы, http, udp и т.д.
Src.Port – Порт источника с которого идет запрос, для нас это не важно
Dst.Port— обязательный параметр, указывает на каком порту роутер будет принимать запрос, здесь может быть указан абсолютно любой, например для rdp не обязательно указывать 3389, для безопасности лучше указать другой порт, например 33389.
Any.Port – объединяет два предыдущего параметра, если здесь будет что то указано, то это скажет маршрутизатору что src и dst порт равен указанному.
In.Interface – интерфейс на котором настроен внешний ip адрес Микротика
Out. Interface – интерфейс подключения компьютера, на который идет проброс, заполнять необязательно
Более тонкие настройки, которые редко используются
In.Interface List, Out. Interface List – принимает значение all т.е. использовать любой интерфейс, в принципе то же самое, что если не заполнять поля In и Out Interface
Packet Mark, Connection Mark, Routing Mark – Пробрасывать маркированные пакеты, маркировка происходит на вкладке firewall/mangle.
Connection Type — Пакет относится к определенному типу соединения, включенному на закладке Firewall/Service Ports, sip, ftp и т.д.
Обратите внимание, что перед полем можно поставить восклицательный знак, это означает отрицание
Данные настройки означают, что будут приниматься запросы на все порты кроме 3389.
После заполнения всех необходимых полей переходим на вкладку Action.
Action – действие которое нужно выполнить, в нашем случае это или dst-nat или netmap, отличие рассмотрим ниже, я ставлю netmap как более новый и улучшенный.
To Address – ip локального компьютера на который идет проброс
To Ports – Порт на котором работает сервис, например для rdp 3389, для ftp 21. Если dst port на вкладке general совпадает с данным параметром, то можно это поле не заполнять
После всех настроек нажимаем кнопку «ОК» И во вкладке NAT появится новое правило, если все сделано правильно, то все должно работать.
Проброс диапазона портов
Если на маршрутизаторе Микротик надо сделать проброс не один, а несколько портов на локальный компьютер, то в качестве Dst.Ports указываем эти значения через запятую.
В этом случае будут приниматься пакеты из диапазона 3389-3391
Можно использовать оператор отрицания
Здесь будут приниматься пакеты в диапазоне с 1 по 3388 и с 3392 по 65536
Если же данного инструмента нам недостаточно, например надо пробросить udp для asterisk в диапазоне с 10000 по 20000, что не совсем удобно сделать вышеуказанными способами, то на помощь нам придет маркировка пакетов, переходим на вкладку firewall-Mangle.
нажимаем на плюс добавить правило. И заполняем необходимые поля
Chain – цепочка, может принимать следующие параметры
PREROUTING — Маркирует пакет до принятия решения о маршрутизации.
INPUT — Маркирует пакет, предназначенный самому хосту.
FORWARD — Маркирует транзитные пакеты.
OUTPUT — Маркирует пакеты, исходящие от самого хоста.
POSTROUTING — Маркирует все исходящие пакеты, как сгенерированные самим хостом, так и транзитные.
Нам нужно промаркировать пакет до того как он будет обработан правилами роутера, выбираем prerouting
Все остальные поля идентичны полям из правила NAT, только в Dst.Port уже можно указать диапазон.
Затем переходим на вкладку Action
Action ставим маркировку пакетов, mark packet
New Packet Mark – название маркировки, вводим удобное имя.
После чего нажимаем кнопку «ОК»
Теперь переходим во вкладку NAT и добавляем новое правило
Выбираем только канал приемник Chain dstnat и пункт Packet Mark, который создали выше. Затем переходим на вкладку Action
Указываем действие netmap или dst-nat
To Adresses — ip локального компьютера
Если хотим перенаправлять диапазон порт в порт, то поле To Ports не заполняем, если нужно перенаправлять с диапазона на один порт, то в To Ports указываем нужное значение.
Проброс всех портов и всех протоколов на локальный ip
Иногда нужно пробросить все порты и все протоколы на локальный ip, в этом случае нужно использовать netmap. По-простому, netmap это маршрутизация сеть в сеть. Работает так же как DMZ на домашних роутерах типа dlink или tplink.
Для настройки также заходим в NAT, Нажимаем добавить правило и заполняем поля как показано на рисунке
Выбираем только канал dstnat, после чего переходим на вкладку Action
Здесь Action ставим netmap и указываем адрес назначения
Все. Теперь все запросы на внешний ip будут перенаправляться на указанный локальный ip.
Обучающий курс по настройке MikroTik
Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Mikrotik. Типичные проблемы и их решения
Сюда вошли наиболее типичные проблемы микротик и их решения.
Теперь они собраны в одном месте, а не разбросаны по крупицам по всему интернету.
6.1. Как ходит трафик в Микротик?
Это нужно знать наизусть. Иначе можно многое напутать…
Представьте компьютер с двумя сетевыми картами. Будем называть его ШЛЮЗ.
В одну карту входит интернет. Со второй выходит к свитчу.
А к свитчу подключены другие компы.
За этими компьютерами люди в интернете выходят.
Так вот. Трафик идущий от людей в интернет и обратно – это для шлюза транзитный-проходящий трафик FORWARD
Это левая диаграмма. Как раз наш случай с Микротик.
А если на самом шлюзе запускаются браузер, почта и пр.
То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.
Т.к. конечная точка всех пакетов – это сам шлюз, а не компы за шлюзом.
Это левая и правая диаграмма, только без центрального блока FORWARD.
В Микротике правая практически никогда не задействована.
Так что про INPUT-OUTPUT забудьте.
Только для блокировки входящих пакетов.
Filter – разрешает-запрещает пакеты, совпадающие по условию записи в Filter.
NAT – это чаще всего правило SrcNat-Masquerade – чтоб люди могли ходить в интернет.
И DstNat-DstNat – чтоб с интернета можно было добраться до компьютеров и роутеров в вашей сети.
Mangle – продвинутый маркировщик пакетов.
Предположим клиент вашей сети имеет адрес локальный 192.168.0.2, а IP Микротика 80.80.80.1 – это интернет адрес.
Когда клиент запрашивает веб-страницу, к нему идут пакеты.
Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может.
Т.е. Микротику приходит пакет с Dst.Address – 80.80.80.1
1. Mangle Prerouting, Nat Prerouting – правила в этих 2 цепочках Самые первые обрабатывают пакет.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
2. Далее срабатывает Firewall – NAT.
Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.
или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)
Т.е. теперь Dst.Address пакета не 80.80.80.1, а уже локальный адрес клиента – 192.168.0.2.
3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.
Тут уже можно фильтровать клиентов вашей сети.
4.Далее снова срабатывает NAT.
Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.
По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.
И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.
5. И последний этап – Mangle Postrouting, Nat Postrouting.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
Далее все это направляется в шейпер. Queue Tree и Simple Queue.
6.2. Firewall Filter — блокируем и разрешаем.
Здесь создаются блокирующие и разрешающие правила.
Если записей никаких нет – то все разрешено.
Порядок записей имеет значение.
Проверка правил происходит сверху вниз.
Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh
Мягкий – Добавлять только запрещающие правила. Все остальное разрешать.
Жесткий – поставить запрещающее правило на все. А сверху добавлять разрешающие.
Блокируется или входящие пакеты или исходящие.
Важно!
1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.
Просто создайте при необходимости 2 правила – на входящие и исходящие пакеты.
А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.
Да и Роутер разгрузится от лишнего входящего трафика.
2. Есть 2 типа пакетов – входящие и исходящие.
Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.
Входящие – это из интернета к нам.
Src.Address – это интернет-адрес отправителя (сервера в интернете).
Dst.Address – это интернет-адрес Микротика (получателя). Если это правило в цепочке PreRouting. или
Dst.Address – это локальный адрес клиента (получателя). Если это правило в цепочке Forward или PostRouting.
Исходящие – это от нас в интернет.
Src.Address – это локальный адрес клиента (отправителя). Если это правило в цепочке Forward или Prerouting.
Dst.Address – это интернет-адрес получателя (сервера в интернете).
3. В правилах всегда указывайте Out. Interface или In. Interface.
Причем, если указываете In. Interface – LAN1, то это исходящий трафик.
Значит Dst.Address – это должен быть адрес интернет-ресурса. А Src.Address – это адрес вашей локалки или Микротика, если указываете Out. Interface – LAN1, то это входящий трафик.
Значит Dst.Address – это должен быть адрес вашей локальной сети или Микротика. А Src.Address – адрес интернет-ресурса.
То же самое (п. 1 и 2) касается и Mangle.
6.3. NAT. Проброс портов.
В данном случае на компе с адресом 192.168.88.10 запущен веб сервер. Если внутри вашей сети набрать в браузере 192.168.88.10 – то откроется локальный сайт. А если с другого компа в интернете набрать в браузере 80.80.80.1:10010
80.80.80.1 – это Ваш внешний_IP_адрес_Микротика, то Вы попадете на свой сайт, который находится на компе 192.168.88.10.
6.4. Маркировщик Mangle. Следим и помечаем трафик.
Это очень мощное средство. Позволяет маркировать пакеты по любым правилам. Подчиняется тем же правилам, что описаны в разделе 6.2. FireWall Filter. Но Мангле ничего не запрещает и не разрешает. Он просто помечает трафик: соединения, пакеты, маршруты и пр. Умеет также добавлять в AddressList, Менять TTL пакетов, приоритет, порядок цепочек и пр. пр. Это для дальнейшей обработки в фаерволе или шейпере.
6.5. Address List. Для чего он?
Это в основном для того, чтоб не указывать кучу однотипных правил для разных IP, а кинуть эти IP в один Address List. И затем создать только одно правило на этот Address List.
Кроме того, правила Mangle – сами могут добавлять IP адреса в определенный Address List.
Например, добавить в Address List “ICQ” – те IP, которые пользуются ICQ.
Чрезвычайно удобная штука!
6.6. Нарезаем скорость. Simple Queues.
Важно! Проверка правил шейпера происходит сверху вниз. Если какое-то правило шейпа сработало, то дальнейшая проверка уже не производится!
Добавляем IP или список IP, для которых в сумме можно выставить максимальную скорость Max Limit.
Отдельно входящую и исходящую скорость.
Можно также выставить гарантированную скорость – Limit At.
Но с этим будьте осторожны! Если у Вас канал плавающий по скорости – лучше отключить.
Также можно включить дополнительные колонки, которые показывают входящую и исходящую скорости (Total Tx Bytes, Total Rx Bytes). (Правой кнопкой мыши по окну Queue. Затем Showcolumns и крутим ниже… )
А также потребленный входящий и исходящий трафик. (Rx Avg. Rate и Tx Avg. Rate )
Начиная с момента последней перезагрузки роутера.
Можно скорости писать в виде 500K, 2M, а также можно указать скорости Burst Limit (с Burst TreshHold, Burst Time)
Это взрывная кратковременная скорость.
Очень эффективно при низко скоростных тарифах и если Вас качальщики задрали.
Веб сайты открываются тогда моментом на Burst скорости, а закачки идут на обычной скорости.
Если у Вас Dual Access, то можно для каждого клиента создать еще одну дополнительную запись с высокой скоростью на локальные ресурсы.
Только нужно дополнительно указать Dst. Address 10.0.0.0/8 – это Ваши локальные ресурсы.
Эту запись нужно поставить выше основной записи клиента.
Если Вы скорость на локальные ресурсы не хотите подрезать вообще, то
Можно создать только одну общую запись с Dst. Address – 10.0.0.0/8, Target Address – пустой, скорость Tx, Rx указать по максимуму – например 1G
и поместить ее на самый верх.
Важно! Очень советую в самый конец добавлять правило END.
Все, что не сработало по любому из шейпером – будет шейпится в правиле END.
На этом правиле будет учитываться, подрезаться или блокироваться весь неучтенный трафик.
Ну например Вы по невнимательности забыли кого-то добавить в шейпер.
И человек получит всю доступную скорость без любых огранечиний! Тем самым может положить канал!
Правило END для учета и подрезки неучтенного траффика:
add interface=all max-limit=100k/100k name=END target-addresses=192.168.0.0/16
Для учета без подрезки – ставим max-limit=100M/100M
Для подрезки под 0 – ставим max-limit=10/10
192.168.0.0/16 – Весь диапазон, не попавший в верхние правила.
По функциональности он гораздо шире. Этот шейпер срабатывает раньше Simple Queue.
Эффективен особенно при методе PCQ.
И большом количестве клиентов 100 и более.
В нем входящая и исходящая скорости нарезаются отдельными правилами.
Он работает только в связке с Мангле.
Придумаем несколько Адрес листов – например 1M и 5M.
Это тарифные планы.
1. В IP-Firewaal-Address List Добавляем IP юзеров – и вписываем им 1М или 5М.
2. Далее в IP-Firewall-Mangle маркируем Connection-ы.
Создаем правило forwad. Action – mark connection (New Connection Mark называем к примеру Conn-5M или Conn-1M, Passtrough – включаем),
Ставим Connection State – new, Out. Interface – LAN1, а также наш Dst. Address List – 1M или 5M.
3. Затем ниже создаем правило forward. Action – mark packet. (New Packet Mark называем к примеру p-5M или p-1M, Passtrough – включаем)
Connection Mark – ставим Conn-5M или Conn-1M соответственно.
4. Далее в Queue Types создаем PCQ-правило к примеру PCQ-Download, в нем Dst. Address – включаем.
5. Затем в Queue Tree – создаем родителя, называем его Download, а Parent – наш LAN1 интерфейс.
6. Создаем еще два правила в Queue Tree –
Называем правило к примеру Speed-5M, указываем родителя Download, Queue Type – PCQ-Download, Packet Marks – p-5M и указываем нашу скорость Max Limit – 5M
(а второе правило то же самое, только имя правила Speed-1M, Packet Marks – p-1M, а скорость Max Limit – 1M )
Эти два правила будут будут нарезать трафик всем клиентам.
Достаточно адрес IP клиента добавить в нужный Adrress List.
Все кто в Адрес лист 1M – получат скорость 1M
Все кто в Адрес лист 5M – получат скорость 5M
Чтобы изменить скорость всем 5M на 10M – достаточно только в QueueTree поменять одну строчку – Max Limit.
Т.е. скорости каждому в отдельности не прописываются, а прописываются тарифные планы – т.е. Packet Mark
На исходящий трафик нужно создать нового родителя с parent – наш WAN1. Также создать в Queue Type – PCQ-Upload, в нем Src. Address – включаем.
Все остальное аналогично.
Графики для Queue Tree – недоступны.
А как же смотреть, кто сколько скачал и на какой скорости и кто качает?
Добавляем в IP-Firewall-Mangle – на каждый IP – свою запись: Chain – forward. Out. Interface – LAN1. Dst. Address – наш IP. Action –Passtrouh.
Эти записи ставим ниже записей mark-connection и mark-packet.
Включаем дополнительную колонку – Rate. Это и есть текущая скорость. (Правой кнопкой мыши по окну Mangle. Затем Showcolumns и крутим в самый низ, пока не найдем Rate )
Колонка Bytes – это потребленный трафик Download (Rx).
6.8. Включаем Графики.
Графики трафика доступны для всех интерфейсов, и Simple Queue. А также доступны графики загрузки процессора, памяти, flash-памяти. За сутки, за неделю, за месяц, за год.
Графики включаются в Tools – Graphing.
Просто добавьте нужные позиции.
Посмотреть графики можно на Веб-странице Микротика.
При перезагрузке графики сохраняются.
При прошивки графики сбрасываются.
6.9. IPTV настройка.
Скачиваем версию пакетов под ваш Микротик
Вместо 5.16 ставим – вашу версию Router OS.
Важно! Версия пакета должна совпадать с версией вашей Router OS!
Распаковываем. Перетаскиваем multicast…npk на WinBox.
Далее идем в System-Packages. Там должен быть multicast пакет.
Идем в Route – там должен быть IGMP Proxy.
1-2. Route – IGMP Proxy – 2 записи.
3. IP-Route – добавляем маршрут на локальную сеть
4. IP-Firewall-Filter – разрешающее правило на локальную сеть. Или пока все отключить.
5. IP-Firewal-NAT – Out Interface пустой
6. WiFi – WMM support включить
6.10. Резервирование 2 и более каналов.
По умолчанию пакеты идут через WAN1.
Если WAN1 отвалится – все пакеты пойдут на WAN2.
В NAT – Out. Inteface – пустой.
В IP – DHCP Client – Add Default Route – можно отключить
6.11. Балансировка 2+ каналов.
Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2
Метод хорошо работает при каналах приблизительно равных по скорости.
Разница по скорости каналов не должна отличаться более чем в 2 раза.
В Мангле – эти правила поднимите наверх.
Можно добавить еще маршрут без маркировки на всякий пожарный:
В NAT – Out. Inteface – пустой.
В IP – DHCP Client – Add Default Route – можно отключить
Важно! При каналах сильно отличающихся по скорости он мало эффективен.
В таком случае советую использовать резервирование каналов по п. 6.10.
Слабый канал погоды все-равно не сделает. А скоростному мешать будет.
6.12. Запрет определенных сайтов по имени.
Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.
Можете также вручную кнопкой [+] создать это правило.
Все. сайт mikrotik.org больше не откроется.
Тем самым Вы блокируете только исходящие запросы еще на взлете.
Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,
потому как Входящих пакетов само собой дальше уже не будет.
А исходящий трафик обычно в 10-20 раз меньше входящего.
Да и фильтруются только исходящие TCP запросы.
Кроме того сами исходящие GET-запросы копеечные по трафику – до 200-500 байт. Они помещаются в один пакет.
Т.к. что нагрузка на правило content – мизерная.
Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.org
и будут проходить get-запросы содержащие строчку mikrotik.org.
Что есть очень хорошо.
src-address – ставим IP компьютера-жертвы.
content=”Host: mikrotik.org” – блокируемый сайт
Если нужно блокировать доступ к сайту для всех компов, убираем эту строчку src-address.
Если нужно блокировать только определенным компьютерам – то создайте во вкладке address-list, записи с IP блокируемых компьютеров. И назовите эти записи к примеру block-website.
А вот Этот адрес-лист укажите уже в записи Src.Address List. Src-address – удалите
6.13. Определяем у кого стоят роутеры по TTL.
Все IP адреса, которы сидят за роутерами, попадут в Address-List Router
Как это применить – есть куча вариантов.
И наоборот, можно спрятать вашу сеть от фильтра TTL провайдера.
Это правило поднимите на самый верх.
6.14.Блокируем порты спамеров.
1. Блокируем порты спамеров и зараженных троянами-вирусами компов.
2. Добавляем в address-list=spammer наших спамеров на 30 дней :
При большом количестве соединений на 25 порт – IP пользователя заносится в address-list=spammer
А Этот address-list=spammer – блокируется фаерволом.
Вы же не хотите, что бы Ваш провайдер Вам закрывал порты? Или хотите?
6.15. Настройка Static DNS.
Static DNS
нужен чтобы к любому компу в сети обращаться не по IP адресу, а по придуманному имени. Что очень удобно.
IP – DNS – Static DNS – [+] Добавляем пару к примеру IP-адрес – и DNS-имя. 192.168.0.1 – myrouter.net
Таперь на наш роутер можно заходить по myrouter.net
6.16.Кешируем с помощью Web-Proxy.
Кеширование используется для:
1. Ускорения интернет. Особенно Эффективно при медленном интернете.
Часто запрашиваемые файлы хранятся на флеш-памяти или винте.
При повторном запросе – эти файлы не закачиваются с интернета, а берутся из кеша Микротика
2. Для экономии траффика. Хорошо при платном траффике.
3. Для котроля – кому какие сайты разрешать и пр.
Весь трафик проходит через прокси микротика.
На прокси ставиться порт 8080.
И затем включается прозрачный прокси.
6.17. Редирект на страницу-напоминалку.
Очень эффективно не просто отключать пользователей, а напоминать им – почему они отключены!
К примеру у Вас есть комп в сети 192.168.0.10. Там находится Веб-сервер и страница-напоминалка-пополнялка-личный кабинет. Она доступна по адресу 192.168.0.10
Это правило кинуть выше правила srcnat!
Все. редирект работает.
3. Но еще очень желательно 2 правила в IP – Firewall – Filter
Эти правила кинуть вниз.
Это для полной блокировки любой активности (а не только ВЕБ-серфиннг) юзеров, которые не в ALLOW.
Затем юзеров – которых нужно перенаправить – просто отключаем крестом в Address List, вручную или скриптом при отрицательном баллансе из биллинга.
Один клик и готово.
Теперь, когда юзер наберет anysite.com – он автоматом попадет на Вашу странцу.
Но когда он наберет – anysite.com/anypage.php – он увидит ошибку, а не Вашу страницу!
где – /index.html – это Ваша страница напоминалка.
А в 404.php сделать include вашей страницы напоминалки.
Или просто скопировать ее содержимое.
Теперь куда бы пользователь не зашел – он всегда увидит Вашу страницу.
Вот так все просто.
6.18. Шейпим торренты.
Данный метод режет все торренты. И шифрованные в том числе. И он не ресурсоёмкий для Микротика.
p2p=all-p2p – работает только для редких не шифрованных торрент-клиентов.
Маркируем входящие торрент-пакеты по размерам, портам и протоколам:
Если нужна обработка нижележащих цепочек – Укажите всюду passthrough=yes.
Далее можно добавить новое правило Torrent-5M в раздел Queue Tree в родителя Download. Указав Packet Marks – Torrent. И желаемую скорость 5M.
5M – это скорость для каждого или для всех в сумме, в зависимости от выбора Queue Type в PCQ Dst. Address Mask 32 или 24.
Или добавить одно правило на самый верх в Simple Queue. Указав Packet Marks – Torrent. И желаемую Tx скорость 50M.
50M – это скорость общая на всех торрент-клиентов.
В Simple Queue можно каждому указать скорость на торрент в отдельности.
Т.е. для каждого IP создать дополнительную запись.
Эта запись должна быть выше основной записи IP клиента.
Или уже решайте на свое усмотрение, что с этими маркированными пакетами делать.
Учитывайте, что сюда также могут иногда попасть пакеты из онлайн игр.