konfigurace sítě, prioritizace a shaping

[martimurti]

Zdravím,

prosím o radu, jak vyřešit mou konfiguraci doma.

Mám RB433, 3xLAN, 2x wifi

první port je WAN ADSL
druhý port je probridgován s WIFI a je soukromý a přístup na něj z třetího portu je dropován ve firewalu
třetí port má za sebou veřejnou wifi (v módu bridge)

každý port má vlastní subnet a dhcp

Rok mi to funguje celkem bez problémů, ale rád bych to teď posunul někam dál.

první otázka
Rád bych zařídil, abych se mohl se svým PC připojit přes port 2 i 3 a zůstala mi stejná IP v obou subnetech a zároveň se mi správně nastavila brána.. respektive abych měl stále přístup na net. Konfiguraci netu by měl přidělovat dhcp server, nechci nic nastavovat natvrdo.
Když si přidám statickou adresu pro oba DHCP servery, tak sice dostávám stejnou IP, ale brána se nastaví podle portu, přes který se připojuji, tzn. je v jiném subnetu a net mi nejde. Nevím jak zařídit, abych dostával i stejnou bránu. Nebo jak to udělat elegantněji?

Druhá otázka se týká shapingu a QOS
Chci tedy udělat QOS (teamspeak, http, apd.). To vím jak udělat, respektive mám k ruce návody, které snad chápu. Mangle packet a queues tree.
a dále chci shapovat linku, aby jeden pošítač s torentem nebo uloz.to nezabral linku pro sebe

Takže otázka, v queues tree udělám prioritizaci - Omangluji si connection dle typů portů nebo layer7 a následně podle toho packety. Shaping pak udělám v simple queues dle subnetu a následně IP.
Je to tak v pořádku?
Moc nerozumím tomu, jak by se to vše dalo udělat v queues tree zároveň s QOS, když packet mark může být jen jeden?

Nevěděli byste někdo o funkčním demu? Nejvíce se asi jsem schopen naučit z funkčního příkladu.


Děkuji za pomoc

[maetoo]

Prečo si pre seba a susedov dal zvlašť na dhcp server a subnet?
Potrebuješ to mať riešene tymto sposobom?
Môj osobný názor je taky, že najlepšie a najjednoduchejšie by bolo to dať pod jeden dhcp server a subnet.
S prvým portom by som nerobil nič, ten by som nechal ako hlavný do Mikrotik routra.
Ostatne 2 lan porty 2 wifi by som dal do bridge. Na tento bridge by som vytvoril jeden dhcp server a subnet.
Čo sa tyka využiatia link, tak by som to riešil cez PCQ (linka:http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ_Examples).
Vytvoril by som PCQ na bridge. Napriklad máš download 512kb/s a upload 126kb/s.
Rýchlosť download a upload sa potom delí medzi počítače ktore su práve online.
Napriklad, bolo by v sieti naraz pripojených 6 pc, tak rýchlost sa delí viac-menej rovnomerne medzi všetky pc.
Ak by bolo v sieti pripojených 6 pc, to by znamenalo, že rýchlosť stahovania, alebo načítavania stránok by bolo max. cca 85kb/s.
Toto PCQ je veľmi dobra funkcia. Mám ju nakonfigurovanu na svojom hlavnom Mikrotiku a teraz sa nikto nestažuje, že mu nejde net, pomaly načítava stranky,
alebo že extremne pomalý stahuje subry. Čo ty hovoriš na toto riešenie?
Poskytol by som ti demom pristup, ale žiaľ, zatiaľ nemam od ISP verejnu IP adresu.

[martimurti]

No vidíš to, nějak mne to nenapadlo, že bych mohl mít vše na jedné subnet.

Nicméně původně jsem to takto udělal kvůli bezpečnosti. Nikdo ze sousedů nebo případně turistů, co se nám ubytují na apartmánu, mi nemůže odposlouchávat soukromý provoz. Pokud to probridguji, tak je problém na světě, nebo ne? Samozřejmě, pravděpodobnost toho, že to někdo bude dělat, je minimální. Rád bych prostě udržel tyto sítě oddělené. Ale zas se mi občas hodí, když se můžu připojit i přes veřejný port... například na zahradě, kde domácí wifi už nechytám, ale zároveň potřebuji například tiskárnu, sdílení souborů, apod.
Proto hledám způsob, jak nakonfigurovat ros, aby pro určitou mac přidělil nejen konkrétní IP, ale i gate. Předpokládám, že mi pak stačí přidat nat pravidlo, aby byla IP na portu 2 dostupná i na portu 3? Nebo to je kravina, takhle to nejde a řeší se to právě bridgem?

Čím víc to zkoumám, tím víc mi přibývá otázek.. sakra

To PCQ tam zkusím dát, už jsem mezitím pročítal ty příklady, tak uvidím, jak to bude běhat. Důležitější asi bude ta QOS. Tu tedy udělám přes tree a přes simple queues to PCQ?

[Rosak]

Tohle mám od kamaráda jako úkol do budoucnosti. Má na statku síť, zatím s jedním centrálním switchem a několika obyčejnými AP. Zadání je, aby kdokoli se připojí buď do ethernetové zásuvky, nebo na některé AP musel projít přes přihlášení, které ho zařadí do určitého subnetu, který nevidí do dalších subnetů a bude řízen jeho přístup do internetu podle nějakých pravidel. Takže neporadím, ale naopak se připojuji k prosbě o radu.

QoS i shaping řešte v QT. Při manglování paketů si můžete nejdříve označit jednotlivé služby a následně zbytek provozu z jednotlivých IP adres, nebo subnetů, nebo podle address listů. V QT pak definujete rychlosti, priority, atd.

[ferkop1]

Najjednoduchsie riesenie spravit si hotspot a tam popridavat profily a uzivatelov.

[martimurti]

Nevíte někdo, jestli když si nejprve omangluji connection a až poté mark packet, tak jestli budu správně schopen rozdělit provoz na up/down? Respektive jestli connection jsou obousměrné, nebo je potřeba jedna connection pro up a jedna pro down. Děkuji

[Rosak]

Jak píšeš na konci, jedna connection pro up a druhá pro down. Nicméně packet mark stačí, já osobně connection mark vůbec na žádném zařízení nepoužívám.

[martimurti]

Jak jsem pochopil, tak je to lepší kvůli zatížení routerů. Nejprve omanglovat connection a až potom dát packet mark.
Já mám zátěž minimální, ale když už to dělám, říkal jsem si proč to neudělat pořádně.

Také mám zatím trochu maglajs v tom, jestli používat na manglování prerouting a postrouting nebo forward...

[ludvik]

Jak ulehčíš routeru, když místo jedné operace (packet mark) budeš dělat dvě (conn mark a packet mark)?

Connection mark se používá tam, kde packet mark nestačí. Tedy pokud potřebuješ měnit mark na základě i jiných věcí, než těch obsažených v každé hlavičce paketu. Např. délky konexe, nebo PtP a podobné detekce.

Connection mark je také, jak název napovídá - značka v KONEXI. Konexe (spojení) je záznam v conntrack tabulce routeru, kde si systém udržuje informace co odkud a kam teče. Nejsou dva záznamy pro jednu konexi, jeden pro upload a druhý pro download. Je jen jeden.

Otázku, co potřebuješ (POSTROUTING, PREROUTING, FORWARD) ti zodpoví znalost, jak se paket po systému pohybuje. Pokud použiješ forward, tak to děláš správně - ale jen pro pakety co jdou zkrz router. Neomarkuješ ty, co začínají, nebo končí přímo na routeru. To nemusí být obecně moc na závadu, pokud jich moc není a nemáš problém se saturací linky. Správnější je tedy POST a PRE, abys nehledal později duchy.

[martimurti]

Rozumím tomu tak, že pokud označíš nejprve connection a až poté mangluješ packety, tak je to méně náročné na výkon, protože nemusí u každého packetu zjišťovat více mangle pravidel, ale stačí mu jen jedno. narazil jsem na toto vysvětlení na více místech, ale odzkoušené to nemám a mikrotik jsem zatím nejvíce zatížil na cca 30 procent, takže mi to je jedno.

Protože mám v síti maškarádu, tak musím používat forward pro manglování downloadu. Dnes dopoledne jsem si to zas podrobně pročítal, co k čemu slouží. Ale přiznávám, že následně to zfunkčnit v mikrotiku, je opravdu těžké. že jsem se na QT nevykašlal a nehodil to na simple... uf
EDIT: Tak už jsem to vše dal na simple a přes tree si jen vytvořím prioritizaci nějakých služeb.


Stále jsem ale ještě nevyřešil, jak přinutit mikrotik přidělit jinou gateway než je na onom rozhraní (mikrotik přidělí svou IP). Nevěděl by někdo?