?

попробуй с другого клиента подключится

может трабла в клиенте

Mtu может влиять?

Навряд ли

если логинится то врядли

cpu случаем не в 100% когда выкидывает?

а то мож там какой ipsec шалит

Нет. Там конфиг простой

в простом конфиге может dns шалить )

Всё там просто. нет не чего-то.

Всё там просто. нет не чего-то.

вот именно в такой конфигурации dns cpu в полку выводит

смотри короче загрузку проца

К заббиксу подцеплю.

Спасибо

Нет. Там конфиг простой

Видит винбокс выкидывает

?

Подскажите толковую статьи(ю) (можно на англ) по настройке mikrotik hex и wapAc?

А вики чем не устраивает?

А вики чем не устраивает?

Как вариант

Подскажите толковую статьи(ю) (можно на англ) по настройке mikrotik hex и wapAc?

Вообще вопрос не корректен. Важно какая цель настройки, а модель роутера Микротик это нюанс, который может повлиять, а может и нет.

wapAc скорее всего будет настраиваться как точка доступа... Но мало ли. Возможны варианты.

Вообще вопрос не корректен. Важно какая цель настройки, а модель роутера Микротик это нюанс, который может повлиять, а может и нет.

Свежие железки. 1) Домашний и гостевой WiFi (captive portal) + QoS 2) Бано резка 3) static DNS (локалка) 4) доступ к домашней железке через VPN (думаю сертификатами обойтись)

Это что сейчас в голову пришло

hEx видимо как центральный роутер, а wAPac как точка доступа? В единой ситстеме?

hEx видимо как центральный роутер, а wAPac как точка доступа? В единой ситстеме?

Верно

Тут одним мануалом не обойтись скорее всего.

Да я понимаю.

1. Настроить hEx как роутер. Чтобы раздавал интернет в локалку. 2. Настроить раздачу WiFi. Тут несколько альтернативных вариантов. 2.1 CAPsMAN на центральном роутере без включения local forward (такой мануал и надо искать). IMHO лучший вариант. За исключением сценария неработы WiFi при отключении центрального роутера. 2.2 Автнономная настройка точки доступа (гостевую сеть либо убирать в тегированный VLAN Либо в EoIP тунель) 3. Резка рекламы. Можно список в статический DNS загрузить, но при большом списке (3000 записей), по моему опыту, микротик плохо работает. Лучше ограничится парой десятков самых злостных рекламных сетей. Можно какой-то другой способ поискать. Статический DNS для локалки собственно так-же делается 4. VPN. Тут многое от клиентских устройств зависит. Андройд, Виндовс, iOS...? 5. QoS это отдельная история. Но можно начать с одной Simple Queue с типом PCQ (эквализация трафика)

По каждой теме нужно отдельный мануал смотреть.

Вот например простой ответ на пункт 5 http://www.devonstephens.com/mikrotik-simple-sharing-pcq-queue/ /queue simple add max-limit=10M/9900k name=internet-queue queue=pcq-upload-default/pcq-download-default target=eth2 Где max-limit задается скорость интернете, а target интерфейсы локальной сети (bridge для локалки и для гостевой сети)

кому то дома 5 пункт вообще нужен?

Конечно. Как минимум тем у кого дома больше одного пользователя.

кому то дома 5 пункт вообще нужен?

Почему нет?

Торренты всякие

да качаю торренты под 100 мбит/c , смотрю ютубчик,всё норм грузится, проблем не наблюдаю

по этому сложилось мнение что дома оно и не нужно, если конечно канал не мелкий

Может провайдер у вас трафиком управляет.

Может провайдер у вас трафиком управляет.

я так же подумал, хотел про это написано, но потом вспомнил что веб у меня завернут в опенвпн туннель, и пров его врятли приотизирует (или как там слово должно быть)

Веб может да, а торенты тоже в тунеле?

Может провайдер у вас трафиком управляет.

если без впна то провайдер своей железякой приоритет вебу делает

Веб может да, а торенты тоже в тунеле?

торренты нативно, веб в туннель

кому то дома 5 пункт вообще нужен?

qos нужен. торент на 1 компе может задавить интернет так что на втором нельзя будет видяшку в ютубе посмотреть. и это при быстром интернете а с адсл или 4г и подавно

Торенты вне тунеля могут качать из пиринга, вообще не попадая под ограничение тарифа, или принципиально деприоритезироваться, даже по сравнению с VPN.

Торенты вне тунеля могут качать из пиринга, вообще не попадая под ограничение тарифа, или принципиально деприоритезироваться, даже по сравнению с VPN.

тариф 100 мбит/c , провод 100 мбит/c , любой трафик считай забивает физ канал на 100%, что локальный что внешний

Вот на мобильном интернете с приоритезацией проблемы. Гарантирвоанной скорости нет.

тариф 100 мбит/c , провод 100 мбит/c , любой трафик считай забивает физ канал на 100%, что локальный что внешний

Ну чудес не бывает. если торенты не затыкают ютюб значит где то идет приоритезация.

Ну чудес не бывает. если торенты не затыкают ютюб значит где то идет приоритезация.

скорей всего опенвпн даже на нестандартном порту приоритетнее торрентов

не значит Ж)

один клиент может просто физически не получать весб канал, например 100мбит через вайфай получить непросто

Потом под 100 это сколько 95 ? ютюбу 5-7 Мбит хватит более менее...

Потом под 100 это сколько 95 ? ютюбу 5-7 Мбит хватит более менее...

ну вот, из этого так же следует что приоритеты не очень и нужны

у меня дома провайдер по вечерам опускает скорость до 50мбит и такой канал убить торентами уже совсем легко даже по вайфаю

А кстати у компа интерфейс тоже 100 мбит? Тогда может операционка этим занимается.

шейпер это зарезать себе процентов на 5-10 канал от минимального, и уже от того значения делить

пришлось добавить эту простую очередь

у меня дома провайдер по вечерам опускает скорость до 50мбит и такой канал убить торентами уже совсем легко даже по вайфаю

как при динамической скорости интернета вообще приоритеты настраивать с вашей стороны?

А кстати у компа интерфейс тоже 100 мбит? Тогда может операционка этим занимается.

в комп уже гигабитом

как при динамической скорости интернета вообще приоритеты настраивать с вашей стороны?

ну провайдер ограничивает скорость точно по времени и по скорости

в 5 вечера микротик включает qos в 11 выключает

ERROR: S client not available

https://lanmarket.ua/stats/domashnyaya-besprovodnaya-set-na-Mikrotik:-primer-polnostyu-ruchnoy-nastroyki

Вот что мне надо

для начала

В общем если нет проблем, то не нужно их решать. А проблемы у каждого свои и чужие решения могут казаться странными.

В общем если нет проблем, то не нужно их решать. А проблемы у каждого свои и чужие решения могут казаться странными.

вот, то верно

https://lanmarket.ua/stats/domashnyaya-besprovodnaya-set-na-Mikrotik:-primer-polnostyu-ruchnoy-nastroyki

Просмотрел по-диагонали. Неплохо для пунктов 1 и 2.2 . Настройка Wi-Fi без CAPsMAN и не затронут вопрос гостевой сети.

Просмотрел по-диагонали. Неплохо для пунктов 1 и 2.2 . Настройка Wi-Fi без CAPsMAN и не затронут вопрос гостевой сети.

https://lanmarket.ua/stats/domashnyaya-besprovodnaya-set-na-Mikrotik--chast-vtoraya:-ispolzuem-vozmojnosti-CAPsMAN-v2

Здравствуйте! возник вопрос - настроен failover Часть из Mangle 10 ;;; main_part chain=input action=mark-connection new-connection-mark=main_in passthrough=yes in-interface=Smile log=no log-prefix="" 11 chain=output action=mark-routing new-routing-mark=main_mark passthrough=no connection-mark=main_in log=no log-prefix="" 12 chain=forward action=mark-connection new-connection-mark=main_frwrd passthrough=no in-interface=Smile log=no log-prefix="" 13 chain=prerouting action=mark-routing new-routing-mark=main_mark passthrough=no connection-mark=main_frwrd in-interface=lan log=no log-prefix="" 14 ;;; reserv_part chain=input action=mark-connection new-connection-mark=reserv_in passthrough=yes in-interface=lte log=no log-prefix="" 15 chain=output action=mark-routing new-routing-mark=reserv_mark passthrough=no connection-mark=reserv_in log=no log-prefix="" 16 chain=forward action=mark-connection new-connection-mark=reserv_frwrd passthrough=no in-interface=lte log=no log-prefix="" 17 chain=prerouting action=mark-routing new-routing-mark=reserv_mark passthrough=no connection-mark=reserv_frwrd in-interface=lan log=no log-prefix="" Часть из route 1 A S ;;; reserv 0.0.0.0/0 192.168.0.1 1 2 A S ;;; main 0.0.0.0/0 89.169.96.1 1 3 A S 0.0.0.0/0 8.8.4.4 1 4 S 0.0.0.0/0 8.8.8.8 2 5 A S 8.8.4.4/32 89.169.96.1 1 6 A S 8.8.8.8/32 192.168.0.1 1 Возникла проблема - в сети у меня dhcp сервер выдаёт адреса из диапазона 192.168.6.0/24 - для гостевых пользователей и статикой я привязываю 192.168.1.0/24 для своих проблема - 192.168.1.0/24 нормально ходят в интернет, а 192.168.6.0/24 не могут

как-то можно понять почему это происходит, единственное что я понял - любые подключения из 192.168.1.0/24 маркируются, а и 6.0 почему-то нет

Ну в показаном mangle нет ни адресов ни адреслистов, если я ничего не упустил из виду. Проблема гда то в другом мести, скорее всего.

вот я тоже этот момент не совсем понимаю меня даже скорее интересует - почему исходящие подключения всё равно маркируются (соединения), если для маркировки оно должно прийти извне?

Шлюз для гостевой сети пингуется? Гостевая сеть как я понял на том же интерфейсе что и рабочая?

да - шлюз пингуется, интерфейс один соседняя сеть тоже пингуется нормально

В приведённом фрагменте нет никакого деления по connection-state ,возможно это делается выше. Без этого коннекшн будет постоянно перемаркировываться туда-сюда. Даже так довольно странный mangle.

День добрый, подскажите такую тему. Мне нужно реализовать обход заблокированных сайтов на весь трафик из офиса. Начал ковырять с прокси, на серваке в германии развернул pfsense, на нем развернул squid, настроил. На микротике в офисе сделал редирект пакетов на стандартный порт прокси микротика и в настройках указал родительской проксей, свою из германии, но уткнулся в проблему, что https не проходит, хотя если прописать проксю в браузере, то все ок. Можно ли как-то это обойти на микротике? Прокся прозрачная

В приведённом фрагменте нет никакого деления по connection-state ,возможно это делается выше. Без этого коннекшн будет постоянно перемаркировываться туда-сюда. Даже так довольно странный mangle.

по mangle больше ничего серьёзного нет - всё остальное отключено.. статью в своё время на хабре нашёл и весь прикол был вроде в том, что здесь при возврате с резерва на основного прова коннект не должен был рваться (хотя при проверке это не сработало)

вот я тоже этот момент не совсем понимаю меня даже скорее интересует - почему исходящие подключения всё равно маркируются (соединения), если для маркировки оно должно прийти извне?

Вначале пакет идёт на выход. И маркировки нет. Но как правило тут же приходит ответ, и у коннекшн появляется маркировка в результате работы правил 12 и 16

с masquerade тогда что-то не то может быть?

Ну либо гадать, либо торчем посмотреть на интерфейсах, в каком виде пакеты приходят уходят. Например ping из гостевой сети на экзотический хост (чтобы по IP легко было его отследить среди прочего трафика) и хотябы торчем посмотреть, туда ли пакеты уходят, и делается ли правильный NAT и с возвратными пакетами тоже.

я идиот... там masquerade был кривой..

спасибо большое за помощь)

по mangle больше ничего серьёзного нет - всё остальное отключено.. статью в своё время на хабре нашёл и весь прикол был вроде в том, что здесь при возврате с резерва на основного прова коннект не должен был рваться (хотя при проверке это не сработало)

По идее не должен рваться. В роутах не видно роут марки. Есть ли кастомные таблицы main_mark и reserv_mark с соответствующими шлюзами?

спасибо большое за помощь)

Пожалуйста.

ну я предположу, что возможно та игра, в которую я играл так устроена и там защита как-то срабатывала на переключении. Роуты вот так выглядят https://puu.sh/Ah917/a4ee13b3e3.png

Роуты присутствуют. Возможно игра больше одного коннекта открывала.

ну я тоже предположил, что она постоянно коннекты открывает

Корректный тест разрыва TCP подключений на ssh подключении. Или чём то похожем. ftp напрмер.

хмм, попробую ради интереса

а опыта в настройке capsman у вас случайно есть, а то есть ещё одна древняя проблема с ним?