понедельник, 19 октября 2009 г.

Mikrotik - QoS / Bandwidth Control / Индивидуальные правила



В предыдущей статье я рассказал как максимально быстро и просто организовать механизм ограничения по скорости, теперь я хочу рассказать, как построить цепочку из правил, что бы пользователь был не просто ограничен по скорости, а что бы различные ограничения действовали на различные сервисы, а так же, что бы ограничение было не таким жестким и при относительно свободном канале предоставлялась большая скорость.

Начнем как всегда - с обрисовки ситуации, которую необходимо решить.

Есть офис с доступом к сети Интернет через одного провайдера, этот провайдер предоставляет скорость равную 2Мб/с. В офисе есть два сервера, почтовый и web, которым необходимо обеспечить стабильный канал независимо как от рабочих станций, так и от самих себя. Так же в офисе есть несколько рабочих мест, которые имеют доступ к сервисам web и icq, так же есть машина системного администратора, которая имею доступ к сервисам без ограничений, но с внутренними правилами распределения трафика.



Чем сложнее задача, тем меньше шансов решить ее в одно-два действия.

Начнем с серверов, считаем, что им для нормальной работы требуется скорость в 512Кб/с, но если канал будет свободен, то пускай пользуются им во всю.

Первым шагом выделим все соединения, которые открывают сервера. Для этого маркируем все соединения, которые открывает web сервер маркером c-srv-web, а соединения, которые открывает почтовый сервер маркером c-srv-mail.
[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.1"
action=mark-connection new-connection-mark="c-srv-web"

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.2"
action=mark-connection new-connection-mark="c-srv-mail"

Маркируем все пакеты от веб сервера маркером p-srv-web.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark="c-srv-web"
action=mark-packet new-packet-mark="p-srv-web"

Для работы же почтового сервера требуется большее количество портов (smtp, pop, imap...), может быть бывают ситуации, когда необходимо серверу закручивать гайки на столько, что бы ограничивать в скорости каждый сервис индивидуально, но у нас простой случай, по этому маркируем весь трафик почтового сервера маркером p-srv-mail.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark="c-srv-mail"
action=mark-packet new-packet-mark="p-srv-mail"

Теперь настало время создать правила для ограничения скорости. Первое условие - сервера гарантированно получают по 512кб/с, второе условие - не мешать друг другу (т.е. нельзя занимать весь канал, даже если он свободен), как следствие из второго максимальное ограничение это весь канал, минус гарантированная ширина для второго сервера, т.е. 1,5Мб/с.

[mkt@OFFICE] > queue tree add name="web server" parent=global-total
packet-mark=p-srv-web limit-at=512000 max-limit=1500000

[mkt@OFFICE] > queue tree add name="mail server" parent=global-total
packet-mark=p-srv-mail limit-at=512000 max-limit=1500000

Создадим правила для рядовых пользователей, считаем, что все они объединены общей группой client, лимит для них 64кб/с - гарантировано и 128кб/с - верхний предел на download и 32кб/с - гарантированно и 64кб/с - верхний предел на upload.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address-list=client
action=mark-connection new-connection-mark=c-client

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark=c-client
action=mark-packet new-packet-mark=p-client

[mkt@OFFICE] > queue tree add name="client download" parent=local
packet-mark=p-client limit-at=64000 max-limit=128000

[mkt@OFFICE] > queue tree add name="client upload" parent=isp
packet-mark=p-client limit-at=32000 max-limit=64000
local - это локальный интерфейс, а isp - это интерфейс, смотрящий в внешнюю сеть.

При таких лимитах у нас смогут спокойно работать до 16 клиентов не мешая друг другу и серверам, занимая при этом весь позволенный им канал (гарантированный), в реальности же придется давать кому то большую скорость, кому то меньшую.

Осталось настроить машину системного админисратора, которая не имеет ограничений по сервисам, но имеет общий лимит по скорости, а так же внутри этого лимита есть лимиты между сервисами. Допустим, что общий лимит это 256кб/с - гарантированно и 512кб/с - верхний предел. Для доступа к web лимит в 64кб/с - гарантировано и 256кб/с верхний предел, для доступа к p2p сетям 128 кб/с - гарантированно и 512кб/с - верхний предел, остальной трафик получает весь оставшийся канал, который остается исходя из общего лимита.

Маркируем соединения.
[mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address="192.168.1.100"
action=mark-connection new-connection-mark=c-admin

Теперь маркируем все пакеты, пакеты с 80 порта, и пакеты с p2p сетей.

[mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark=c-admin
action=mark-packet new-packet-mark=p-admin-total

[mkt@OFFICE] > ip firewall mangle add chain=prerouting protocol=tcp src-port=80
connection-mark=c-admin action=mark-packet new-packet-mark=p-admin-web

[mkt@OFFICE] > ip firewall mangle add chain=prerouting p2p=all-p2p
connection-mark=c-admin action=mark-packet new-packet-mark=p-admin-p2p

Создаем ограничения, первое это общее ограничение, потом два дочерних от него, для web и p2p.

[mkt@OFFICE] > queue tree add name="admin-total" parent=global-total
packet-mark=p-admin-total limit-at=256000 max-limit=512000

[mkt@OFFICE] > queue tree add name="admin-web" parent=admin-total
packet-mark=p-admin-web limit-at=64000 max-limit=256000

[mkt@OFFICE] > queue tree add name="admin-p2p" parent=admin-total
packet-mark=p-admin-p2p limit-at=128000 max-limit=512000
В результате получим такую "ступеньку".


На этом все.
Продолжение следует...
Progg it

28 комментариев:

  1. Имею домовую сеть не 50 юзероФ.
    Микротик 3,23 стоит на RouterBoard RB/450g
    Создал группу по Вашей методике:
    Адресa 192.168.0.20, 192.168.0.21, 192.168.0.22 и так далее в группу USER:

    [mkt@MikroTik] /ip firewall address-list> add address="192.168.0.20/32"list="USER" comment="User #1"[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.21/32"list="USER" comment="User #2"[mkt@MikroTik] /ip firewall address-list> add address="192.168.0.22/32"list="USER" comment="User #3"

    Имеется следующая задача:
    1. ADSL канал в Интернет 4096/1024.
    2. Динамически разделить канал на всех пользователей(активных бывает до 20 из 50).
    3. Пометить пакеты и установить приоритеты по всем протоколам, для этой группы USER.
    прим.
    Почтовых и ВЕБ серверов нет и не нужно.

    Ещё необходимо правило для открытия порта 51959 торрента для этой группы.
    Также надо открыть порта 21 фтп в мир с компьютера 192.168.0.1.
    Зранее спасибо, с ответом не тороплю, напишите толково главное, как у Вас это получается всегда))).

    ОтветитьУдалить
  2. Ещё не мешает с оздать вторую группу USER_Limit.
    В эту группу занесу юзеров с ограничением скорости каждому в группе к примеру 256/128
    Между двумя этими группами USER и USER_Limit, интернет (канал 4096/1024) надо делить динамически.

    Ещё: Группу Админ_LIMIT. Тоесть, что я под этим подразумеваю: Мне админу давать меньший приоритет, чем группе USER и группе USER_Limit . Мне и так хватит, а люди должны получть качественную услугу!!!

    ОтветитьУдалить
  3. Часть 1
    > Итак у меня есть следующая задача.
    > Имею домовую сеть не 50 юзеров.
    > Микротик 3,23 стоит на RouterBoard RB/450g
    > Создал группу по Вашей методике предварительно в размножив
    > этот пример в EXCEL с 192.168.0.1 -192.168.0 50:
    > Адресa 192.168.0.20, 192.168.0.21, 192.168.0.22
    > и так далее в группу USER:

    > mkt@MikroTik] /ip firewall address-list> add address="192.168.0.20/32"
    > list="USER" comment="User #1"[mkt@MikroTik] /ip firewall address-list>
    > add address="192.168.0.21/32"list="USER" comment="User #2"[mkt@MikroTik]
    > /ip firewall address-list> add address="192.168.0.22/32"list="USER" comment="User #3"

    > Всё работает, огромное спасибо!

    > Имеется следующая задача: ADSL канал в Интернет 4096/1024.
    > 1. Динамически разделить канал на всех пользователей
    > (активных бывает до 20 из 50), 2-5 качает, остальные
    > вебстраницы,форумы, аська, скайп, контакт и однокласники.

    > Пока я это всё раздаю (Трафик Инспектором, оттуда и наблюдения).

    Для этой группы сделаем верхний лимит 512/256 и гарантированный 256/128, хотя ниже есть вариант, когда верхний лимит много больше.

    > Ещё необходимо правило для открытия порта (например 51959)
    > торрента для этой группы Либо просто группу USER_TORRENT
    > и туда вносить клиентов кому открыт порт вышеуказанный
    > или другой с приоритететом 8 по р2р.

    Конкретно для группы нельзя открыть один порт, порт открывается
    для конкретной машины, представь себе, что на порт приходит
    входящее соединение, как NAT будет узнавать кому из
    группы оно предназначено?

    > Также надо открыть порт 21 фтп в мир с моего компьютера
    > 192.168.0.1. или какого другого.

    ip firewall nat add chain=dstnat dst-address=1.1.1.1 protocol=tcp dst-port=21 action=dst-nat to-addresses=192.168.0.1 to-ports=21
    где 1.1.1.1 это внешний адрес


    > Не мешает с оздать вторую группу USER_Limit.
    > В эту группу занесу юзеров с ограничением скорости
    > каждому в группе к примеру 256/128
    > Между двумя этими группами USER и USER_Limit, интернет
    > (канал 4096/1024) надо делить динамически.

    Для этой группы сделаем лимит на 256/128 верхний и 128/64 гарантированный.


    > Ещё: Группу Админ_LIMIT. Тоесть, что я под этим
    > подразумеваю: Мне админу давать меньший приоритет,
    > чем группе USER и группе USER_Limit . Мне и так хватит))),
    > а люди должны получть качественную услугу!!!

    Ну канал как то не сильно предназначен для качественности, как не крути но 4мб делить на такое количество народу...

    ОтветитьУдалить
  4. Часть 2
    Вот приблизительно, что в голову пришло

    1. Выделить соединения от пользователей
    ip firewall mangle add chain=prerouting src-address="192.168.0.0/24" action=mark-connection new-connection-mark="c-users"

    2. Основное родительское правило download + upload
    queue tree add name="download" parent=local limit-at=4096000 max-limit=4096000
    queue tree add name="upload" parent=isp limit-at=1024000 max-limit=1024000

    Теперь два пути, один это поделить канал между группами, а потом внутри ограничения группы делать ограничения на пользователей, так больше работы, но можно более гибко настраивать. Второй путь это взять поделить канал сразу между группой, при этом поставить минимальную гарантированную скорость, а верхняя будет размером в весь канал, что в принципе имеет несколько побочных действий, хотя и минимально в настройке.

    3:1. Пометить пакеты пользователей
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.20/32 action=mark-packet new-packet-mark="p-user-ivanov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.21/32 action=mark-packet new-packet-mark="p-user-petrov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.30/32 action=mark-packet new-packet-mark="p-user-limit-sidorov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.1/32 action=mark-packet new-packet-mark="p-admin"

    4:1. Теперь поделим канал для download
    queue tree add name="download-user" parent="download" limit-at=3072000 max-limit=3072000
    queue tree add name="download-user-limit" parent="download" limit-at=896000 max-limit=896000
    queue tree add name="download-admin" parent="download" limit-at=128000 max-limit=128000

    5:1. Поделим канал для upload
    queue tree add name="upload-user" parent="upload" limit-at=704000 max-limit=704000
    queue tree add name="upload-user-limit" parent="upload" limit-at=256000 max-limit=256000
    queue tree add name="upload-admin" parent="upload" limit-at=64000 max-limit=64000

    6:1 Добавляем правила на пользователей
    queue tree add name="ivanov" parent="download-user" packet-mark="p-user-ivanov" limit-at=512000 max-limit=256000
    queue tree add name="ivanov" parent="upload-user" packet-mark="p-user-ivanov" limit-at=128000 max-limit=64000
    queue tree add name="petrov" parent="download-user" packet-mark="p-user-petrov" limit-at=512000 max-limit=256000
    queue tree add name="petrov" parent="upload-user" packet-mark="p-user-petrov" limit-at=128000 max-limit=64000
    queue tree add name="sidorov" parent="download-user-limit" packet-mark="p-user-limit-sidorov" limit-at=256000 max-limit=128000
    queue tree add name="sidorov" parent="upload-user-limit" packet-mark="p-user-limit-sidovov" limit-at=128000 max-limit=64000
    queue tree add name="admin" parent="download-admin" packet-mark="p-admin" limit-at=128000 max-limit=128000
    queue tree add name="admin" parent="upload-admin" packet-mark="p-user-admin" limit-at=64000 max-limit=64000

    значения лимитов можно и поменять, главное что бы суммарно лимит не превышал основное ограничение

    ОтветитьУдалить
  5. Часть 3
    или...

    3:2. Пометить пакеты пользователей
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address-list="users" action=mark-packet new-packet-mark="p-user"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address-list="users-limit" action=mark-packet new-packet-mark="p-user-limit"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address-list="admin" action=mark-packet new-packet-mark="p-admin"

    4:2. Теперь поделим канал для download
    queue tree add name="download-user" parent="download" packet-mark="p-user" limit-at=3072000 max-limit=256000
    queue tree add name="download-user-limit" parent="download" packet-mark="p-user-limit" limit-at=896000 max-limit=128000
    queue tree add name="download-admin" parent="download" packet-mark="p-admin" limit-at=128000 max-limit=128000

    5:2. Поделим канал для upload
    queue tree add name="upload-user" parent="upload" packet-mark="p-user" limit-at=704000 max-limit=64000
    queue tree add name="upload-user-limit" parent="upload" packet-mark="p-user-limit" limit-at=256000 max-limit=64000
    queue tree add name="upload-admin" parent="upload" packet-mark="p-admin" limit-at=64000 max-limit=64000

    Это не финальное решение, а скорее подсказка, которая взбрела в логову в время утреннего кофе, на большее пока времени нет.

    ОтветитьУдалить
  6. поршу прошение за прозьбу чайника, просто хотелось сказать то что думаю и заодно попросить если это возможно.

    тут рассматриваются довольно сложные и запуттанные примеры который для явного вкусителя сиго искуства явлеются интересными и я понимаю что не хочится рассматривать самые примитивные способы и кажется что они настока явные и простые что о них даже не стоит говорить. Но может я просто не вижу может есчё что... вот сижу и пытаюсь в голове собрать картиру простого способа ограничение трафика, ведь прежде чем делать широкий шаг нужно начать с маленького, пусть даже быстрого но шага. я непойму картину того с чего нужно начать и чем закончить чтоб начел считатся трафик исходяший от пользователей и чтоб его ограничивать, там кусочиек там кусочек в голове собрать немогу ( наверно потому что 2 дня не сплю сижу ковыряю сервер (интересно просто) ) если вам не трудно объесните на самом банальном примере как можно простом как делается ограничение просто трафика для просто пользователя, вот так всё банально.

    1 lan
    1 wan

    10 компов в сети ( в одной сети не в 2х 3х итд итп а одной ^_^ )

    ну и можно просто как вариации показать как на разных машинах этих 10ти можно гибко настроить регулировку этого ограничения трафика.

    незнаю как другим но помоему это былобы просто супер для старта разбора более сложных примеров и сетей. потому как делая просто Queues она не видет трафик надо зделать правела в фаерволе это другой пример а там другие сети в них тругая топология....... вообшем я не понел))))) я хоть и разбрусь даже если вы ничего не ответите так или иначе я дабью но просто хотел чтоб вы знали, что тут может быть непонятно так как нет какогото связуешего перехода.

    ух настрочил......... спасибо за внимание =)

    ОтветитьУдалить
  7. Сергей, полюбуйтесь на то во сколько ваш сайт оценивают.
    http://bizinformation.org/us/www.slagovskiy.blogspot.com

    ОтветитьУдалить
  8. Здравствуйте, вопрос от новичка, который ищет замену трафик инспектору, а микротик работает только с ip адресами или есть возможность создавать правила по Mac адресу. А то раздача инета по ip напоминает детский лепет с точки зрения безопасности.(

    ОтветитьУдалить
  9. > А то раздача инета по ip напоминает детский лепет с точки зрения безопасности.

    И да и нет, смотря как подойти к проблеме.
    На пример есть dhcp, который справляется, скажем так с приветствием пользователей, т.е. выдает ему адрес, вторым шагом становится привязка этого адреса к маку в dhcp и в arp, больше этому маку не будет выдаваться другой адрес, а если на карте прописать адругой адрес руками, то благодаря привязки в arp с этой картой общение не состоятся.
    Можно жить и без dhcp и прописывать адреса вручную, это уже вопрос удобства, но главное, что можно связать конкретную карту с конкретным адресом.
    Хотя тут всегда есть вероятность подмены мака на карте, тогда вторым уровнем защиты может быть какая либо аутентификация пользователя (через тунельный протоком или radius).

    ОтветитьУдалить
  10. 3:1. Пометить пакеты пользователей
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.20/32 action=mark-packet new-packet-mark="p-user-ivanov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.21/32 action=mark-packet new-packet-mark="p-user-petrov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.30/32 action=mark-packet new-packet-mark="p-user-limit-sidorov"
    ip firewall mangle add chain=prerouting connection-mark="c-users" src-address=192.168.0.1/32 action=mark-packet new-packet-mark="p-admin"

    А postrouting кто делать будет, для аплоада сделали, а для даунлоада?

    ОтветитьУдалить
  11. Здраствуйте, мне нужно реализовать для группы ip адресов тарифный план типа 128к\128к днем и 1024к\1024к ночью (с 00.00-07.00) оснву я понял из статьи http://www.drivermania.ru/articles/delim-internet-ili-qos-na-mikrotik.html , но почемуто трафик не идет как будто эти правила не активный в чем затык подскажите. Зарание спасибо.

    ОтветитьУдалить
  12. Сергей, скажите, возможно ли с помощью скриптового языка mikrotik (исполнение скрипта) задать вложенные условные переходы типа if - else - if (т.е. условие внутри условия) ?
    Или есть что-то типа goto ?

    Полдня попыток, ошибок и поиска решения не дали понимания. Подскажите, искать ли дальше.

    ОтветитьУдалить
  13. > озможно ли с помощью скриптового языка mikrotik задать вложенные условные переходы?

    да, можно.

    :if ($bs = "") do={
    :set bs 0;
    }

    ОтветитьУдалить
  14. Вот, разобрался - спасибо. Пример лесенки if-else-if выглядит так:
    # -------------------------------------
    :local x "0";
    :if ($x ="0") do={
    :log info "test _0_"
    } else={:if ($x ="1") do={
    :log info "test _1_"
    } else={:if ($x ="2") do={
    :log info "test _2_"
    } else={:log info "Lagovskiy-test _else_"}
    }
    }

    # --------------------------------------

    ОтветитьУдалить
  15. Чувак, блин, я готов тя расцеловать за этот афигенный метирал! Большое человеческое спасибо! (Сорри за орфографию, это от эмоций:))

    ОтветитьУдалить
  16. Теперь поделим канал для download
    queue tree add name="download-user" parent="download" packet-mark="p-user" limit-at=3072000 max-limit=256000

    Насколько я понял limit-at это гарантированная скорость а max-limit максимальная, почему скорости указаны наоборот, или я не правильно понял ?

    ОтветитьУдалить
  17. Сергей Александрович4 мая 2011 г. в 17:35

    Добрый день ... нужна помощь в настройке микротика RB433 продключенного к серверу ideco . Клиенты любящие выкачивать фильмы давят микротик сесиями один качает десять отдыхают...,бывает что даже на микротик winbox-ом зайти не могу...микротик настроен lan1 wan1 и wan2 в бридже.авторизация по IP адресу на ideco.у клиентов стоят Nanostation 2 бриджом.

    ОтветитьУдалить
  18. Добрый день !

    Спасибо огромное за такое скурпулезное и в полной мере понятное разъяснение как работать с этой милой железякой.

    Удачи и свершений !

    ОтветитьУдалить
  19. Интересно было бы почитать об OSPF для переключения каналов.

    ОтветитьУдалить
  20. ув.Sergey Lagovskiy, возможно ли пустить торрент трафик через 2-4. канала.
    но так чтобы серф остался для каждой подсети через свои канали.
    1 канал для 1 сети
    2. для 2 сети. а торрент качался с 2 каналов.
    10 мб.
    10 мб.
    торрент закачка в 20 мб. в инете не нашол. все только блокируют торрент.
    а я хочу в 2 раза бистрее оддать клиенту файл и освободить канал.
    спс жду ответа.

    ОтветитьУдалить
  21. Здравствуйте Сергей, помогите мне пожалуйста решить мою проблему. Я не могу поднять GRE туннель через IPSec. Я настроил туннель и начал настраивать IPSec и уперся в ключ и метод аутентификации на удаленном микротике выбран rsa key я выбираю а микротике который на моей стороне тоже rsa key (что это вообще такое и с чем его едят я не представляю) ниже появляется параметры локальный и удаленный ключ (где мне их взять? Что ужно знать? Это какая то фраза пароль или что? Как мне его создать?) на удаленный микротик я не могу зайти и общаться с человеком который его настраивал не очень хочется) Надеюсь на вашу помощь. Спасибо

    ОтветитьУдалить
    Ответы
    1. Пару публичный-приватный rsa ключ можно создать с помощью утилиты ssh-keygen с параметром "-t rsa" утилита их мира linux/unix, в windows я ее встречал только в cygwin-е.
      Удачных поисков :)

      Удалить
  22. насчет rsa в wiki
    насчет mikrotik его силами генерите приватный ключ экспортируете в публичный
    получаете пару ваших ключей свой публичный отдаете удаленной стороне она вам свой вы его к себе импортируете.
    теперь в настройка peer первый ключ ваш приватный remout key его публичный

    ОтветитьУдалить
  23. Здравствуйте Сергей, есть ли у Вас какие либо наработки по мультикасту в микротике ? В частности интересует настройка IGMP Proxy или альтернативный способ просмотра IPTV на STB приставке за роутером. Вариант забриджевать wan интерфейс роутера и воткнуть туда приставку не предлагать, интересуют именно варианты проброса IPTV в LAN. Собственно до недавнего момента был настроен роутер на базе RB493G и на нем IGMP Proxy -> IPTV от билайна прекрасно работало на их STB приставке воткнутой в LAN, но мощи RB493G стало не хватать и на замену был собран x86 роутер на базе Intel Atom, все общие настройки касающиеся фаера, маршрутов и самого IGMP Proxy были один в один скопированы, но просмотр IPTV нормально не возможен, картинка периодически замерзает, разморозить можно либо переключив канал с пульта STB приставки, либо нужно подождать некоторое время и оно снова начинает показывать и так по кругу. С чем это связано и как лечить непонятно. Может у Вас есть какие мысли на этот счет ?

    ОтветитьУдалить
  24. Доброго времени суток.
    Сергей у меня немного другая схема, Вы могли бы помочь ?
    Филиал нашей организации подключен по микротику: провайдер выделил канал с реальным IP. И с этой ip адресом подняли IP-Tunnel между филиалом и головным офисом. В филиале DHCP поднята на микротик (сеть 192.168.105.0/24).

    Можно настроить QoS чтоб правило применялось ко всем одинакового, например первым прошел трафик RDP, HTTP, и т.д.?
    Спасибо.

    ОтветитьУдалить
  25. Сергей, а как быть, если нужно к ограничению скорости добавить балансировку 2-ч каналов? Добавить два правила для маркировки пакетов? Так не работает! Как правильно?

    ОтветитьУдалить
  26. Сергей, здравствуйте!
    Вы не могли бы опубликовать работу по настройке микротика, когда нужно:
    Запретить все сайты, кроме нужных для НЕКОТОРЫХ машин..
    Например, машина1, машина5, машина6 запретить доступ на все сайты все, кроме ------------.ru, машина2, машина3 запретить доступ на все, остальные машины разрешить доступ на все.

    ОтветитьУдалить
  27. Добрый день!
    У меня стоит задача более простая, просто динамически распределять между всей локалкой скорость. Я решил просто использовать данный кусок:
    [mkt@OFFICE] > ip firewall mangle add chain=prerouting src-address-list=client
    action=mark-connection new-connection-mark=c-client

    [mkt@OFFICE] > ip firewall mangle add chain=prerouting connection-mark=c-client
    action=mark-packet new-packet-mark=p-client

    [mkt@OFFICE] > queue tree add name="client download" parent=local
    packet-mark=p-client limit-at=64000 max-limit=128000

    [mkt@OFFICE] > queue tree add name="client upload" parent=isp
    packet-mark=p-client limit-at=32000 max-limit=64000

    Но это не помогло. Не подскажете в чем я мог ошибиться?

    ОтветитьУдалить