ISPADMIN - zkušenosti, nasazení, problémy

[baz]

ispadmin mi zapisuje ve fwallu filter rules, v NATu disabled users i mangle nekolikrat. pri kazde editaci routeru proste prida cely obsah znovu a stary nesmaze.
v 4.3, admin 3.40
dela to na trech pc routerech ruznych konfiguraci, na desitkach jinych routeru zapisuje spravne bez problemu.
ma nekdo tuseni proc?
vzhledem k tomu, ze je vikend, pisu sem. odpoved od syse ted neocekavam.

[michal.siman]

ispadmin mi zapisuje ve fwallu filter rules, v NATu disabled users i mangle nekolikrat. pri kazde editaci routeru proste prida cely obsah znovu a stary nesmaze.
v 4.3, admin 3.40
dela to na trech pc routerech ruznych konfiguraci, na desitkach jinych routeru zapisuje spravne bez problemu.
ma nekdo tuseni proc?
vzhledem k tomu, ze je vikend, pisu sem. odpoved od syse ted neocekavam.

V changelogu je u admina 3.39 je vypsano neco o funkcnich verzich ros, ktere jsou otestovany. Predpokladam ze to mas na api. Zkusil jsi vse rucne smazat a nechat admina tvorit od zacatku? Tohle me pomohlo parkrat.

Jinak pan sys reaguje i o vikendu, zalezi na dulezitosti situace, takze pokud jsi presvedceny ze mas sprave verze atd, pak mu urcite napis hned.

[baz]

je mi podivne, ze to dela jen na trech routerech a stejnou verzi mk pouzivam na desitkach dalsich, cili chybu verze vylucuju. api zatim nepouzivam. smazat jsem to zkusil, vytvori to znova spravne. bohuzel staci zeditovat nejakyho usera a on jak to aktualizuje, tak to tam nasype znova, ale stary pravidla zapomene smazat, takze to pribyva
mno dnes uz je pondeli, takze se to snad vyresi.

[dantasik]

Tak sem mozna ke vsi smule taky nasadil MK misto Linux routeru a vypada to blbe v kombinaci s timto
Nejak to pri aktualizaci tuhne a zkousel jsem 4.5 a 3.30. Uvidime do odpo co pan Sys vymysli. Rekl ze se mrkne, max prehodim zpet na linux router a je klid .)
Imho u me mozna limitace na mikrotiku pac se kousal i winbox v 4.5 kdyz jsem smazal vic jak 2000pravidel - kdekoliv. Takze nevim ale u linuxu to tam ispadmin nasypal pustil a bylo do 15sec vsecko OK. Tady to cpe takovou dobu a furt nic

------

Tak jsem tam dal zpet linux, MK neumi poradne rozdelit zatez, sice linux to taky neumi tak ze by 2CPU obsluhovali 1xETH ale aspon se daji staticky nastavit IRQ na dany CPU a uroutuje to i s QoS vic nez MK.

V MK bylo cca 3500 v queue a ve filtru asi 4200 bo tak neco....

[knedlik]

Chtěl bych se zeptat, jak řešíte problém s MAC filtrací u připojení uživatele přes wifi klienta.
Popíšu můj problém:
Přijde zákazník s např. ovis wifinou, která maskuje MAC. Zavedu ho do systému, v aktivních službách vyplním MAC adresu pripojovaného PC, které je za wifi klientem. Jenže tady vznikne chyba.. pokud chci mit na MK routru zapnutou MAC filtraci, tak tato MAC adresa sitovky PC se zapíše i do MAC ve firewalu. Jenže pokud je zakaznik připojený přes wifi klienta, který maskuje MAC adresu(standartní vlastnost), tak ho tímto vlastně zablokuju. Tedy do dhcp serveru zadavam MAC tvaru 00:16:AB... ale pres wifi jde 00:4F:32... a ISPadmin zapise do /ip firewall filter 00:16:AB...
Zkoušel jsem vyplnit v aktivní službě i IP a MAC klientského zařízení a doufal jsem, že tuhle MAC adresu ISPadmin zapíše do firewallu, ale nestalo se.
Řešením je vypnout MAC filtraci na routru, ale tímto se ochuzuji o jednu funkčnost.

Takže se ptám, jak to řešíte VY ???

[michal.siman]

Tak tento a podobne problemy jsme vyresili pred dvema a pul lety kdyz jsme zacinali. Zadne bridge, vzdy je na prijmu neco co routuje a natuje. At si tam delaji co chteji za tim natem, me to je jedno. A kdyz je to napr. v bytovce, tak tam je bud jen jeden pocitac a nebo kdyz chteji vice, tak opet domaci router s natem. btw uvazujeme o tom ze router zacneme davat i ledem ktery maji jen jeden pocitac na kabelu v bytovce, abychom byli vzdy schopni zkontrolovat linku az k nemu do bytu. na pc pak bude dhcp a opet at si tam delaji co chteji. ja vim ze tvuj problem to neresi, ale chtel jsi vedet jak to delame MY

[michal.siman]

Mel bych na uzivatele ispadmina dve otazky:

1) ISPADMIN zapisuje do shaperu (at uz je centralni nebo neni) nejakym zpusobem data. Vyuzivate toto defaultni nastaveni nebo jste si ho nejak upravili k obrazu svemu?

2) ve vasi siti prioritizujete nejaky provoz? pokud ano, tak jak tuto prioritizaci resite? s pomoci ispadmina nebo uplne mimo ispadmina? (mysleno jako ze jestli ispadmin zapisuje neco ohledne prioritizace do shaperu, nejaky generovany automaticky zapis).

[dantasik]

K tem MAC, reseni bude jednochy, nech ho delat si co chces, zapises MAC Ovise, do ovise das pevnou IP a ten PC se vzdycky prihalsi o IP pres DHCP a dostane tu spravnou kdyz nastavis mac ovise.

My mame jen zadavani ruco - ispadmin sam pak odchyti tu spravnou MAC. Pokud jich je v baraku vic tak se vetsinou dela wds - ale problem je ten ze kdyz si uzivatel vymeni PC/sitovku tak nejde net. Takhle kdyz vim ze ovis ma furt stejnou mac nechavame mu ji a muze si delat za tim co chce, jen musi spravne vyplnit IPcka.

[knedlik]

K tem MAC, reseni bude jednochy, nech ho delat si co chces, zapises MAC Ovise, do ovise das pevnou IP a ten PC se vzdycky prihalsi o IP pres DHCP a dostane tu spravnou kdyz nastavis mac ovise.

Nevím jestli to máš ověřené, ale podle mě to takto nefunguje. Dle wiki stačí zapsat do ISPadmina pouze IPadresa a on si potom šáhne do ARP tabulky a přiřadí MAC.. jenže v tomto případě přiřadí k IP MAC ovise a PC, když se podruhé hlásí o IP adresu, tak žádnou nedostane, protože je tam zapsaná MAC ovise. Alespoň toto se mi stalo. Bohužel řešením je v nynější logice pouze buď vypnout MAC filter a nebo to co psal Michal Siman.

TO Michal Siman:
Otázka je, jestli jde nějakým způsobem ohnout shaper v ISPadminu. Řekl bych, že asi ne. Mé přesvědčení je, že shaper ISPadmina je relativně "hloupý". Jde se cestou, kde uživatel má dostat to co koupil a případně ho datově omezit. O nějakém priorizování služeb asi nemůže být řeč. Holt pro sítě s dostatečně velkou konektivitou.
Ale zase na jeho obranu... nelze jednoduše udělat nějaký multifunkční shaper.. každý má holt jinou představu o shapingu. A pokud by ho třeba i promakali tak, že by si tam mohl každý dělat co chce, tak by to bylo drahé natolik, že by to nikdo nezaplatil.
Takže dle mého názoru jsou řešením dva shapery za sebou, kde v prvním si udělám priorizaci dle služeb(portů) a druhý bude řídit ISPadmin.... je to sice neekonomické, ale jinak to asi nejde.

[michal.siman]

Otázka je, jestli jde nějakým způsobem ohnout shaper v ISPadminu. Řekl bych, že asi ne.

Prave ze v adminu muzes presne definovat jak ma vypadat pravidlo pro zapis, jasne ze z toho neudelas zazraky, ale neco tam zmenit muzes.

Ale zase na jeho obranu...

No ja jsem v podstate spokojen, spis monitoruju jestli nekde neco nedelam spatne, resp. jestli se to neda delat lepe

Takže dle mého názoru jsou řešením dva shapery za sebou, kde v prvním si udělám priorizaci dle služeb(portů) a druhý bude řídit ISPadmin.... je to sice neekonomické, ale jinak to asi nejde.

No jeden stroj navic uz neni takovy problem. Ja uz to ted mam rozdelene na shaper a branu (NAT), takze bych udelal sit>shaper(priority)>shaper(speed)>brana(NAT)>internet.

[dantasik]

Stou mac to tak je, on si ji vytahne v arp a pak kdyz mu ji zadas do dhcpd tak by mel pri dhcp discovery vzit dle te mac a poslat mu ji. V tom problem neni.

[mato1]

sit>shaper(priority)>shaper(speed)>brana(NAT)>internet.

a nebolo by lepsie to spravit takto

siet > shaper (speed) > shaper (priority+nat) > internet

najprv sa rozdeli rychlost a potom sa priorizuje a obmedzuje nejake sluzby... alebo sa mylim? toto je pre mna asi vecna dilema...

[Star_Gate]

Nevím ale jestli dobře chápu shaping tak musí mít dané maximum linky které tam bude vždycky aby korektně řídil provoz. Myslím že tohle dát dohromady pro dva shapery za sebou nepude, protože se provoz mění a každý typ provozu si jinak řeší potvrzování a další. Šlo by si myslím celkem s úspěchem nasadit do jednotlivých lokalit routery/shapery bez NATu na omezování rychlostí pro klienty a na páteř dát shaper na priorizaci služeb když poletí linka na max. Toť můj názor. Kdyžtak mě opravte.

[keksik]

sit>shaper(priority)>shaper(speed)>brana(NAT)>internet.

a nebolo by lepsie to spravit takto

siet > shaper (speed) > shaper (priority+nat) > internet

najprv sa rozdeli rychlost a potom sa priorizuje a obmedzuje nejake sluzby... alebo sa mylim? toto je pre mna asi vecna dilema...

ALe ale, chlapci , co to tu splietate o shapingu, kaskadovanie a podobne hovadinym vsak si precitajte toto
http://wiki.ispadmin.eu/index.php/Docum ... k_guide/cs

hned v uvode sa pise:
"ISP admin kompletně propisuje potřebná pravidla do konfigurace routeru MikroTik. Systém ve všech případech pracuje pouze s pravidly, které mají v comment uvedeno "ispadmin_" ( Firewall, QueueTree, ppp ), anebo mají v packet mark uvedeno "ispadmin_" ( Mangle ).

Díky tomuto řešení je možné si do routeru přidat vlastní pravidla Firewallu, omezení Queue Tree atd. a Vámi definovaná pravidla zůstanou netknuta. Tyto pravidla zůstávají na začátku Firewallu, Mangle, Queue Tree a ISP admin je nikdy nemodifikuje. Pravidla se samozřejmě provedou v zadaném pořadí. "

[knedlik]

No jo, jenže nám tu jde o to, aby jsme nejprve seřadili (priorizovali) pakety podle našich představ... tedy např. první půjde paket VOIP, druhý HRY, třetí WWW,...,sedmý RAPIDY, osmý P2P. A potom takto seřazený provoz dále omezili každému uživateli na jeho zakoupenou rychlost. Takže výsledkem bude že všem pojede parádně VOIP, hráčům HRY.. atd.
A tady to na jednom stroji neuděláš... nejde 2x omanglovat paket na jednom stroji... Takže pokud ti paket chytne priorizace, tak už ho nechytne ISPadmin.

Řešením by bylo, kdyby každý uživatel měl v rámci svého rychlostního limitu i manglování každé priority zvlášť ... ale toto je úplná hloupost, abych dělal každému zákazníkovi 8 pravidel v mangle.

Otázkou je, jak by ty stroje měli být za sebou? První zpriorizovat a potom omezit a nebo obráceně (viz dotaz mato1).
Z mého pohledu je řešení Star_Gate asi nejlepší...