搜尋
搜尋
  • 860

[研究所] MikroTik RouterOS 學習 (持續更新)

前往頁尾
wishstar2004125464
wishstar2004125464
wishstar2004125464
2355分
8081樓
2022-08-29 8:18
不管是用 168.95.1.1, 168.95.192.1 或 8.8.8.8 去查詢 www.qobuz.com

得到的 DNS Record 都是

www.qobuz.com. 60 IN A 18.200.118.14
www.qobuz.com. 60 IN A 52.208.25.8

Google, Cloudflare, Twinc DoH 所得的 DNS Record 也是一樣的

因此我不認為是 DNS 查詢有問題所造成的。 你可以自己試看看。 工具的話可以用
https://github.com/ameshkov/dnslookup/releases/tag/v1.7.1

因為錯誤訊息是 403,又換行動網路或掛 vpn 可連,我是覺得比較像社區寬頻的出口 IP 被 ban


SURREALTMR wrote:
G大.感謝你的回覆目(恕刪)
m814
m814
m814
  • m814
  • 個人積分:22分
    文章編號:85742170
22分
8082樓
2022-09-03 15:48
請教各位
客戶原本用unifi controller的mac filter管控載具的上網,
一開學就即將超過512的數量限制 (生生平板)

怎麼可以改用ros 7的User Manager來綁定載具mac address即可上網
(因為NAT及DHCP在上層不在ROS上,所以沒法用hotspot 的IP Bindings)

Asunal
Asunal
Asunal
  • Asunal
  • 個人積分:103分
    文章編號:85742867
103分
8083樓
2022-09-03 18:17
小弟是routeros初學者,想請各位幫忙看我哪裡設錯
QOS沒效果

-----------------------------------------------
環境:
家中是申請中華100M/40M的方案
透過routeros pppoe撥號

小弟平常會用p2p軟體載一些東西,
但是p2p會把頻寬吃滿導致我遊戲ping很高

於是研究了一下qos
想要的效果是p2p那台機器可以在不影響遊戲以及看影片的狀況下把剩餘的頻寬吃滿
當頻寬不足時優先限制p2p的頻寬

我先用firewall的mangle為封包做標記
負責p2p的機器ip的下載封包標記為pt_rx
其他ip的下載封包標記為home_rx
負責p2p的機器ip的上傳封包標記為pt_tx
其他ip的上傳封包標記為home_tx


queue tree這邊設置
home_rx封包的priority為1
pt_rx封包的priority為8
想要達成當頻寬不足時優先限制p2p的頻寬的效果

但測試的結果p2p還是吃去了大部分的頻寬
ping google.com 的ping值還是居高不下
(關掉p2p的時候ping google.com 的ping值為6ms)

測speedtest時也發現並沒有照我所想的把p2p的頻寬讓出來給測速


請問各位大大我應該如何設定才能達成我要的效果呢?
yuusuke
yuusuke

不是cpu,比較像規則被跳過,因為192.168.3.0/24裡面包含192.168.3.51,mark passthrough沒取消,他會繼續去下一個規則又被重新mark新標記

2022-09-05 20:29
yuusuke
yuusuke

還有你改看看pppoe_tx parent=ether1 pppoe_rx parent=bridge,設在interface上

2022-09-05 20:38
RickyHsu77
RickyHsu77
RickyHsu77
1446分
8084樓
2022-09-04 17:27
今天突然發現我Firewall設定上有個缺失.
因為我是使用社區網路,但我又可以直接PPPoE出去,所以很多針對wan port的設定都鎖定在"pppoe-out1"這裡,問題來了.
有怕PPPoE會卡住,所以己設定每30秒檢查ping 外部DNS,連續5次都ping不到表示基本上PPPoE己當了,所以重新啟動PPPoE來避免PPPoE當掉造成無法上網,今天發現PPPoE當掉時是直接啟動DHCP Client(平時關掉),這才發現我Firewall rule一堆都不會運作,因為都設定WAN是在pppoe-out1,所以當我改用DHCP Client時firewall就少了一半防護.
我可以將firewall rule針對來自wan port攻擊從"pppoe-out1"改成那個呢?是"bridge1"還是"ether1-wan"呢?還是該如何處理,再麻煩各位網大協助,感謝~
yuusuke
yuusuke

善用interface-list,把pppoe跟ether1都加進去wan,bridge放在lan,然後把filter裡有關in/out-interface通通改成用interface-list

2022-09-04 22:25
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:85756969
1603分
8085樓
2022-09-05 20:18
Asunal wrote:
小弟是routeros(恕刪)
要準確抓取p2p的連線port幾乎不可能,
因為連線port是可自訂的,任何port都可能。
所以建議無論tcp或udp任何大於1000的port都當它是p2p port就好。

當然這樣以偏概全,部份工具有特定的連接port。
您知道的可以return從鏈(chain)的移開(如anydesk會用到tcp port:6568),
剩餘的都當它是p2p port。假設電腦的ip為192.168.32.6:
#先將大於1000的連接port劃入p2p鏈(chain)內
/ip firewall mangle
add action=jump chain=prerouting jump-target=p2p protocol=tcp src-port=1001-65535 dst-address=192.168.32.6 in-interface=pppoe
add action=jump chain=prerouting jump-target=p2p protocol=udp src-port=1001-65535 dst-address=192.168.32.6 in-interface=pppoe
#將anydesk所用的tcp port:6568從p2p鏈移開
add action=return chain=p2p protocol=tcp src-port=6568
#把p2p鍊的標上p2p_conn標記
add action=mark-connection chain=p2p new-connection-mark=p2p_conn
#把p2p_conn標記的再標記為queue可用的p2p_packet
add action=mark-packet chain=prerouting new-packet-mark=p2p_packet connection-mark=p2p_conn


假設我們希望p2p所用的上下載為 上載20M/下載50M: 
/ip queue simple
add max-limit=20M/50M name=p2p target=192.168.32.6 packet-mark=p2p_packet


這樣只需對p2p封包做qos限制就好,對整個大網路做queue tree規劃,
個人是覺得不需那麼煩雜手續啦~
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:85757215
1603分
8086樓
2022-09-05 20:55
補充一下 鍊(chain) 與connetion-mark 有何區別。

防火牆有分filter / nat / mangle / raw 四個區塊,鍊(chain)畫定範圍時,
如這個chain是在mangle操作,後續想使用這個鍊,就只能在mangle用;

但connection-mark,則是在mangle使用後,
這個connection-mark可以在後續防火牆filter與nat接著利用,
沒有限制在一開始的mangle。

這是 鍊(chain) 與connetion-mark 最大區別。

注意connection-mark的無法在防火牆的raw用,raw沒有判斷connection-mark的能力;
但若是 鍊(chain),因鍊只在同一層操作不需要接著其它
(filter / nat / mangle / raw 任一),所以 鍊(chain)在raw使用是可以的。
yuusuke
yuusuke

有一點要補充就是raw table規則要越少越好,因為raw是原始數據不分連線狀態和nat狀態,所以從物理界面(乙太接口)一進來就會開始在raw先比對所有封包,raw規則過多反而更延遲。

2022-09-06 9:02
yuusuke
yuusuke
yuusuke
  • yuusuke
  • 個人積分:90分
    文章編號:85757623
90分
8087樓
2022-09-05 22:04
gfx wrote:
要準確抓取p2p的連(恕刪)
直接用simple queue比較簡單,
剛再看一次它裡面有兩個網段,
然後不想讓頻寬被吃滿,又想讓其他裝置閒置時把頻寬都讓給下載專用主機,
一樣用標記封包的方法↓
(注意target=pppoe時的上下傳方向,和simple queue有規則順序)↓

1.先在prerouting chain裡mark特定主機的"新連線",然後取消passthough,
因為已經標記好的連線不必再往mangle下一條規則比對下去。


2.再去forward chian裡mark那些帶有連線標記的forward封包,取消passthough。
(既然要標記的封包已經標記好了,就不要讓它再往下一條mangle規則走)。


3.只剩simple queue(注意target=pppoe時的上下傳方向),
還有queue type如果用cake和fq_codel會卡速度,那就用回預設default-small。


★如果只是想要降低吃滿頻寬的延遲,應該先考慮的是"緩衝膨脹(bufferbloat)"的問題↓
緩衝膨脹(bufferbloat)

ROS v7使用simple queue緩解緩衝膨脹的方法↓
Set up Simple Queues with FQ-Codel and Mikrotik RouterOSv7

官方手冊(注意最後一段,當需要標記比對的東西越來越多,資源就會越耗越多)↓
Marking packets

以下為封包的流程,切記是"單→方→向的流動"↓↓


Fasttrack的流程↓


從LAN出去到數據機↓


從數據機進到LAN↓
NeverGiveUp!!
NeverGiveUp!!
NeverGiveUp!!
44507分
8088樓
2022-09-06 23:05
人品是做人最好的底牌.
tasict
tasict
tasict
  • tasict
  • 個人積分:17分
    文章編號:85766025
17分
8089樓
2022-09-06 23:42
NeverGiveUp!! wrote:
(恕刪)


前幾天從7.4.1升到7.5後,本來都很正常的IPV6就變得怪怪的,區網內的設備都拿不到IPv6 不知道又改了什麼?
gfx
gfx
gfx
  • gfx
  • 個人積分:1603分
    文章編號:85766090
1603分
8090樓
2022-09-06 23:52
tasict wrote:
前幾天從7.4.1升(恕刪)
升7.x後,建議ipv6改dhcpv6-server比較安全。
https://www.youtube.com/watch?v=lrQ0HwRPOiY

更重要是即使pppoe更換ipv6 address,
也與目前電腦與手機使用的ipv6 address不有任何影響。
  • 860
內文搜尋
搜尋
從 APP 打開從 APP 打開
X
X
加入好友名單
取消 確定
評分
取消 確定
評分
取消 確定
複製連結
複製
請輸入您要前往的頁數(1 ~ 860)
確定
留言回報
取消 確定
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?