[研究所] MikroTik RouterOS 學習 (持續更新) (第496頁)

gfx
個人積分：1603分
文章編號：61132630

1603分

4951樓

2016-07-31 11:27

dophone wrote:
大家好，小弟想問區...(恕刪)

您的方向錯了,您應該:
1.是限制192.168.88.11/32 ,而非192.168.88.0/24

2.保留基本的上載,也就是不能等192.168.88.11吃滿40M.
應該限制,如:輸出35M時就該停止,以免192.168.88.11影響其它電腦使用

3.限制用戶數量,不然設置pcq沒多大利益.因為人一多,分的速率遠小於您給的指定值.

所以您應該是設兩筆QOS:
一筆是限制192.168.88.11/32總上載只能使用35M;

另一筆則是用pcq限制每一用戶的速度,搭配Burst Limit,
當用戶在固定的時間超過限制速率時,就將用戶的速率down下來...

Max Limit ：常態時的速度限制
Burst Limit：瞬時的最高速度限制
Burst Threshold：平均流量(需與Burst Time搭配使用)到達多少時開始停止使用Burst Limit

jeremy9678

jeremy9678
個人積分：67分
文章編號：61139362

67分

4952樓

2016-08-01 1:13

謝謝GFX大的幫忙想請教一下!

1.maggie裡面的active的make-conn和make-routeing使用時機可否簡單說明一下如何選擇??
2.選擇accept是代表符合條件就不處理是嗎?記得之前討論是這麼說過
3.我的smtp寄信是想走固定制的線路出去結果GFX大用accept有點不解??

再次謝謝GFX大回答!

gfx

gfx
個人積分：1603分
文章編號：61141794

1603分

4953樓

2016-08-01 10:40

jeremy9678 wrote:
謝謝GFX大的幫忙...(恕刪)

mark-connection是標記範圍內的連線,

mark-connection動作在nat之前.
像使用dstnat,遠端是先連到您的wan-ip,然後再透過dstnat映射到您的伺服器.
在nat之前的意思即還沒作映射階段就先將連線標記起來了.

mark-routing是改變連線最後的出口,
使用mark-routing您要註明控制的對象是src-address或dst-address,兩者至少要有一.
否則所有的連線會因mark-routing被送到指定out-interface.

固定ip會使用accept,是因為在路由表當default-route,
無需mark-routing被特別指定就會走bridge-wan2.
但從bridge-wan2部份連入的封包若不先標記起來(static2_conn),透過accept宣告例外,
可能會被pppoe標記去,然後送往pppoe出口.

因為固定ip是default route,只要不標mark-routing都會走固定ip.
所以您只要用action=accept標明192.168.1.253不做任何動作,自然就會因預設走固定ip.

但固定ip,您有一個67與68 ,要如何讓192.168.1.253走68呢? 答案是nat.
在nat新增:
add action=src-nat chain=srcnat out-interface=bridge-wan2 src-address=192.168.1.253 \
to-addresses=60.x.x.38

用to-addresses決定src-address最後的ip即可.

但注意您nat的3 ,它動作是將從固定ip出去的連線偽裝成60.x.x.37 ,
若上面動作順序沒擺在這條規則的上面,會受此Rule的影響...
192.168.1.253連出的ip會變成60.x.x.37 ,而非指定的60.x.x.38

NeverGiveUp!!!

NeverGiveUp!!!
個人積分：58分
文章編號：61148332

58分

4954樓

2016-08-01 20:07

感謝講解！　　　ＰＳ：個人是來旁聽兼堆樓的．

gfx wrote:
mark-connection...(恕刪)

Ｃｌｏｓｅｒ：世界在變，我隨之而變．我心則續於寧靜．　：）物質無法取代的快樂之大小便是真理！\ｍ/

gfx

gfx
個人積分：1603分
文章編號：61148852

1603分

4955樓

2016-08-01 21:00

RouterA與RouterB是不同地方的Router ,
試問各位如果要連接RouterB的NAS ,
可不可以透過RouterA的wan(144.231.2.1) dstnat映射到RouterB(220.133.1.2)去呢?

答案是可以的,只要將連RouterA (144.231.2.1)特定Port(5000,5005,9007,80,8800,8000,6690)
的封包標記起來,再往pppoe送出一次就可以了.
像這樣:
https://dl.dropboxusercontent.com/u/34743921/redirect.txt

記住往RouterA的內部封包,與重新丟出pppoe進行轉址的封包要"分開標記"分清楚,
不然會變成既不能轉址,內部連線也會有問題.

為了試轉址,小弟嘗試失敗多次後終於試成...
但朋友吐槽,NAS用ddns就好了幹麻這麼累? 哈哈(苦笑)

m814

m814
個人積分：22分
文章編號：61150394

22分

4956樓

2016-08-01 23:09

想請教！

已在 ROS (CCR1009) 的eth5 帶 vlan 301、302、303、、。
並對接DLINK DGS-1210 的第24Port (同樣帶 vlan 301、302、303、、)

如今想在 CCR1009 的eth6 再擴充一台交換器並帶同樣的vlan tag

是
1. 除eth5 帶 vlan 301、302、303外、另在eth6 帶上vlan 301、302、303 然後用bridge 橋接eth5 及eth6的各vlan
還是
2. 用bridge 橋接eth5 及eth6，然後在該bridge上建立相關vlan？

試過兩種設定，都可行。
不知哪種才是正確的或者效能或管理上有差別？

01能人眾多，小弟總是一知半解，還請幫忙釋疑。

jeremy9678

jeremy9678
個人積分：67分
文章編號：61150429

67分

4957樓

2016-08-01 23:12

gfx wrote:
mark-connection...(恕刪)

謝謝GFX大德解說,我有點不太明白"mark-connection是標記範圍內的連線"
這是什麼意思?

目前在maggie上大概也是常用make-connetion make-routeing accept這三個動作
有時自己動手弄點東西不知道如何使用,有gfx大說明略為清楚一點,自己還是要多多練習一下

gfx

gfx
個人積分：1603分
文章編號：61150744

1603分

4958樓

2016-08-01 23:43

jeremy9678 wrote:
謝謝GFX大德解說...(恕刪)

mark-connection不要想的太複雜,就是將一個範圍限定,然後標記記錄起來.
如:
當遠端連線對象為"dst-address=118.163.112.163"時,我會將這連線標成static6_conn
當遠端連線對象為"dst-address=220.129.98.230"時,我會將這連線標成pppoe1_conn
當遠端連線對象為"dst-address=118.161.6.239"時,我會將這連線標成pppoe2_conn

或者:
電腦連接外網時,是"偽裝成118.163.112.163",這個連線與static6有關,所以一樣標成static6_conn
電腦連接外網時,是"偽裝成220.129.98.230",這個連線與pppoe1有關,所以一樣標成pppoe1_conn
電腦連接外網時,是"偽裝成118.161.6.239",這個連線與pppoe2有關,所以一樣標成pppoe2_conn

因為我的條件分別為:
118.163.112.163 / 220.129.98.230 / 118.161.6.239
因為針對這3個ip ,所以就會有3種標記結果.

mark-connection是用來選定範圍的,本身無任何作用.
重點是這個範圍選好後,接下來的用途.
您是希望被標記範圍內的封包被qos限速,還是透過策略改變連線出口,就這樣!!

再強調一次,標記就只是挑選對象而已,本身沒任何作用.
重點在於對象選定後,您action會對標記的對象做什樣的動作.

jeremy9678

jeremy9678
個人積分：67分
文章編號：61150949

67分

4959樓

2016-08-02 0:07

gfx wrote:
mark-connection...(恕刪)

我來舉例一下看是不是真的了解GFX大說的

例如
我的小米盒子平常都走預設路由撥接出去,但我發現中一個APP的影視走固定IP出去比較好
那我知道他的port 是 tcp xxx,那是不是我可以把這個小米盒子的src address=192.168.1.106
tcp xxx透過make-connetion 然後在透過make-routeing方式指向固定ip出去或透過src-nat出去
,而其他保持原本預設撥接出去,是不是大概這一個意思呢??

gfx

gfx
個人積分：1603分
文章編號：61151292

1603分

4960樓

2016-08-02 0:49

jeremy9678 wrote:
我來舉例一下看是不...(恕刪)

應該這麼說:
您/ip route設的default routing是bridge-wan2 ,所以預設路由是bridge-wan2
所以若沒有mangle裡的任何內容,網路只會使用bridge-wan2

在26因為您指定192.168.1.106(mibox)走centos-sg-pptp ,加上passthrough設成no
所以192.168.1.106到26便結束了,不會繼續往27或28走.

不過就像您說的,您在26前面加了一個:
action=accept src-address=192.168.1.106 protocol=tcp dst-port=8080
那192.168.1.106 -> tcp-port:8080這個連線因順序的優先關係,
會便成走default-routing (bridge-wan2) ,而不是26的centos-sg-pptp

同樣的若您把192.168.1.106 -> tcp-port:8080 用new-routing-mark換成了make-pppoe-brant
這樣192.168.106 -> tcp-port:8080並不會理會26的centos-sg-pptp ,而是往pppoe-brant

重點是"順序",符合條件的優先.
沒被匹配到條件的,才會被下面的Rule揀取.
換句話說因上面揀去吃了,下面即使符合條件也不有東西可動作囉

只要在防火牆內,有標0,1,2,3,4...即代表吃順序. 順序不能排錯啊!!
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
27與28所做的PCC ,用"揀去"來解釋真的不為過.

扣掉上面已經被Rule改變的,
27 挑所剩的1/2 192.168.1.0/24封包設accept ,走原本的default-routing(bridge-wan2)

到了28 ,是不是還有一半的192.168.1.0/24封包沒有Rule揀到嗎?
您也不用管那一半的詳細數字是多少,全往pppoe-brant丟就對了.

一半依原本走bridge-wan2 ,另一半走pppoe-brant...這做的就是負載平衡啊