Маршрутизатори MikroTik | Обговорення маршрутизаторів компанії MikroTik на платформі RouterOS

[SashkoS]

Резервування мережі, таку схему нам в учебці давали.
...
2. Скидання конфігурації до нульових налаштувань.
...

Це найшкідливіший пункт.
Якщо я зустрічаю таке в мануалі з інету, то далі цей мануал не читаю
А застосування такого навіть у держорганізаціях я б назвав диверсією. Оскільки фаєрвол повністю відсутній. Можливо, у скрипті і присутнє створення правил фаєрвола, але в описі немає.
Якщо не робити скидання без конфігурації, то список пунктів скоротиться десь на третину як мінімум.
Я б порадив скопіювати звідки-небудь правила фаєрвола за замовчуванням і додати в пристрій

старлінк стоїть, він може давати погану мережу, але в цілому працювати..

Якщо канал на провайдера йде через радіо (мобільний, віфі, старлінк тощо), то необхідно підлаштовувати Нетвоч під свій канал і його параметри. Налаштування за замовчуванням зроблені під дротові підключення, тому будуть помилкові спрацьовування.

[SashkoS]

Налаштування параметрів нетвоч для перемикання на резерв у разі використання каналів зв'язку з низькою стабільністю.
на сьогодні це насамперед канали передавання даних по радіо: мобільний інтернет, віфі, супутниковий інтернет тощо.
Стосовно РОС 7.5 і вище
Для ретельнішої перевірки режим Netwatch, що стоїть за замовчуванням type=simple (спрощений), не підходить: потрібно перемкнути на режим ICMP.
Тут для тестування каналу задається 6 порогових значень для результатів команди пінг
1. thr-max (Default: 1s) - поріг для rtt-max, тобто якщо максимальний пінг перевіщіть 1000 мс нетвоч перейде у стан Down
2. thr-avg (Default: 100ms) - поріг для rtt-avg (середне значення між максимальним та мінімальним часом пінгу)
3. thr-stdev (Default: 250ms) - поріг для rtt-stdev
4. thr-jitter (Default: 1s) - поріг для rtt-jitter
5. thr-loss-percent (Default: 85.0%) - поріг для loss-percent (процент втрачених пакетов)
6. thr-loss-count (Default: 4294967295(max)) - поріг для кількості втрачених пакетів. За замовченням відключений так як встановлена дуже велика кількість.
Для перевірки які параметри в конкретного каналу спричиняють хибні спрацьовування, я використовував виведення в лог, за яких значень спрацював нетвоч, для цього на вкладці down додав такий скрипт

Код: Выделить всё

 #delay 2
:log info "sent-count $"sent-count""
:log info "response-count $"response-count""
:log info "loss-coun $"loss-count""
:log info "loss-percen $"loss-percent"%"
:log info "rtt-avg $"rtt-avg"µs"
:log info "rtt-min $"rtt-min"µs"
:log info "rtt-max $"rtt-max"µs"
:log info "rtt-jitter $"rtt-jitter"µs"
:log info "rtt-stdev $"rtt-stdev"µs"

Ось для прикладу значення, які я отримав для радіомосту.
loss-percen "%" 85............0..............20........... 0............. 0
rtt-avg "ms"......100..........354,521.....249,464...354,962.....357,01
rtt-min "ms".....................128,321.....126,945...128,813.....130,758
rtt-max "ms"....1000..........580,47......431,237...580,806.....583,16
rtt-jitter"ms"....1000.........452,149.....404,292...451,993......452.402
rtt-stdev "ms"...250..........144,275.....126,015...144,26.......144,411
після встановлення порогу thr-avg на 400 хибні перемикання нетвоч припинилися.

[akr]

SashkoS
без скидання до заводу всі порти крім ether1 будуть у бриджу, а значить інтрукція не спрацює і там де ви побачили "скорочення" на третину, дехто буде сідити 3 дня і не розуміти чого воно не поїхало.. ті правила для низької стабільності і netwatch це вже якісь хайлевел, нам на мікроти дали 3 дні
для фаєрволу є окрема інструкція, як і для всього що існує в зсу )

[SashkoS]

порти крім ether1 будуть у бриджу, а значить інтрукція не спрацює

Я ж не кажу що потрібно тупо видалити нічого не змінючи.
Заменити пункт про створення бріджу на строку про видалення порту ether2 з бріджу
Заменити пункт про створення правил НАТ на додавання інтерфейсу ether2 у лист WAN
Замість створення нового DHCP client відключити у існуючому Use Peer DNS та Add Default Route
та т.п.

це вже якісь хайлевел...

Так я ото не від нудьги вигадав. У прикладі реальний кейс одного з підрозділів ...

нам на мікроти дали 3 дні

тому як що виникають складнощі звертайтесь, як волонтер допоможу.
PS
деякі мої підопічні зв'язківці вже закінчили курси по мікротіку, але продовжують звертатись за консультаціями.

[SashkoS]

Скрипт нетвоч для перемикання на резерв
Якщо обмежиться тільки строкою /ip route enable [find comment="ISP2"], тоді схема як-то буде працювати але адміністратор не буде мати ніякою інформації
по перше для скорішего перемикання з'єднань через нового провайдера потрібно скинути застарілі з'єднання.

:foreach i in=[/ip firewall connection find protocol~"tcp"] do={ /ip firewall connection remove $i }
:foreach i in=[/ip firewall connection find protocol~"udp"] do={ /ip firewall connection remove $i }

по друге гарно якщо адмін отримує інформацію про то що відбулось перемикання провайдера щоб інформація була у логу додаєм
:log warning ISP1_UP
надпис буде синього колеру та його буде добре помітно.
а щоб адмін отримав цю інформацію скоріш добавим інформування у телеграм
/tool fetch url="https://api.telegram.org/bot12345966:AA ... xt=ISP1_UP" keep-result=no
Загальний скрипт на UP буде виглядати так

Код: Выделить всё

/ip route disable [find comment="ISP2"]
:foreach i in=[/ip firewall connection find protocol~"tcp"] do={ /ip firewall connection remove $i }
:foreach i in=[/ip firewall connection find protocol~"udp"] do={ /ip firewall connection remove $i }
:log warning ISP1_UP
/tool fetch url="https://api.telegram.org/bot12345966:AAH1ХХХХХХХХХХХХХХХqUM/sendMessage?chat_id=-1009876543216&text=ISP1_UP" keep-result=no

скрипт на DOWN

Код: Выделить всё

/ip route enable [find comment="ISP2"]
:foreach i in=[/ip firewall connection find protocol~"tcp"] do={ /ip firewall connection remove $i }
:foreach i in=[/ip firewall connection find protocol~"udp"] do={ /ip firewall connection remove $i }
:log error ISP1_DOWN
/tool fetch url="https://api.telegram.org/bot12345966:AAH1ХХХХХХХХХХХХХХХqUM/sendMessage?chat_id=-1009876543216&text=ISP1_DOWN" keep-result=no

Також якщо впаде ISP2, а ми працюєм через першого, то адмін не буде про це знати доки не відбудеться перемикання на нього. Щоб унеможливити таку ситуацію, додамо другий інструмент нетвоч, який буде пінгувати іншу адресу в інтернеті тільки через другого провайдера і в разі зміни її статусу так само надсилатиме повідомлення адміністратору.
Візьмемо для пінгування другого провайдера адресу 9.9.9.9
Зробимо окремий маршрут до 9.9.9.9 через ISP2

спойлер

1) Відкрити меню IP – Routes
2) Додати новий маршрут
3) В полі Dst.Address вказуємо 9.9.9.9/32, в полі Gateway повинен бути вказана ІР адреса шлюзу резервного провайдера наприклад 192.0.2.1
4) Натиснути кнопку Comment та написати коментар test for ISP2
6) Натиснути ОК – ОК

У фаєрволі додамо правило, яке забороняє трафік до 9.9.9.9 через будь-які інші інтерфейси, окрім ether2. Такий варіант є більш прийнятним, тому що у випадку додавання 3 та більш провайдерів він не вимагає перероблення.

спойлер

1) Відкрити меню IP – Firewall та перейти на вкладку Filter Rules
2) Додати нове правило
3) На вкладці General в списку Chain обрати Output
4) В полі Dst. Address ввести адресу 9.9.9.9
4а) У списку Protocol обрати 1 (icmp)
5) В списку Out. Interface встановити біля ноьго знак оклику та обрати ether2
6) Перейти на вкладку Action
7) В списку Action обрати Drop
8) Натиснути ОК

Далі створюємо новий інстурмент нетвоч

спойлер

1) Відкрити меню Tools – Netwatch
2) Додати нову дію
3) В полі Host вказати ІР адресу, що буде пінгуватись 9.9.9.9
4) В полі Interval вказати інтервал часу, через який буде пінгуватися дана адреса (5хв достатньо)
5) Перейти на вкладку Down
6) Вставити скрипт
:log error ISP2_DOWN
/tool fetch url="https://api.telegram.org/bot12345966:AA ... =ISP2_DOWN" keep-result=no
який надішле повідомлення у лог та телеграм, якщо пропаде пінг до контрольної точки через резервного провайдера
7) Перейти на вкладку Up
8) Вставити скрипт
:log warning ISP2_UP
/tool fetch url="https://api.telegram.org/bot12345966:AA ... xt=ISP2_UP" keep-result=no
який надішле повідомлення у лог та телеграм, якщо з’явиться пінг до контрольної точки через резервного провайдера
9) Натиснути ОК

У разі відмови другого провайдера адмін завчасно буде проінформований та зможе вчасно виправити.

[SashkoS]

[SashkoS]

Newsletter #127 | July 31, 2025
Коротка теза
"Якщо ви чекали на знак, щоб випробувати рішення MikroTik для Wi-Fi 6, ось він. У RouterOS v7.19.3 ми внесли значні поліпшення в роботу пристроїв 802.11ax (Wi-Fi 6). Це оновлення покращує діапазон, стабільність і загальний досвід бездротового зв'язку, роблячи це найкращим часом для розгортання Wi-Fi 6 у вашому домі, офісі або на підприємстві.
Ми постійно працюємо над поліпшенням продуктивності AX на всіх підтримуваних пристроях MikroTik, і це оновлення є важливим кроком вперед. Незалежно від того, чи використовуєте ви один AP, чи будуєте складну конфігурацію з декількома пристроями, ви помітите різницю. Але це оновлення має й інші переваги: від покращеної підтримки IPv6 FastPath до посиленого RADIUS (RadSec) та розумнішої обробки LTE/eSIM, система тепер є більш надійною в реальних умовах навантаження.
Для найкращих результатів та безпеки завжди використовуйте останню стабільну версію RouterOS. Версія 7.19.3 є наразі рекомендованою для всіх, хто використовує обладнання Wi-Fi 6."

[akr]

Яким чином можна на мікроті налогодити обмеження доступу к вайфаю по макадресам?

[KVM]

Яким чином можна на мікроті налогодити обмеження доступу к вайфаю по макадресам?

Wireless - Access List (для AX пристроїв: WiFi - Access List)

[akr]

Яким чином можна на мікроті налогодити обмеження доступу к вайфаю по макадресам?

Wireless - Access List (для AX пристроїв: WiFi - Access List)

дякую. а як працювати з наступною схемою: є основний роутер до якого по ланцюгу підключенні наступні. скажімо 5 шт. в кожного своя локальна мережа. є варіанти де все це буде адмініструватись в якомусь одному місці?

[SashkoS]

обмеження доступу к вайфаю по макадресам?

Як казали вище, через списки доступу, спочатку перелік пристроїв яким дозволено, та останне правіло забороняє усім іншим.

варіанти де все це буде адмініструватись в якомусь одному місці?

Не зрозуміло питання. Розпішить що ви маєте на увазі, що ви хочете адмініструвати?

[akr]

SashkoS
Дякую
Мав на увазі, що якщо я привильно розумію, то треба при появі нового клієнта ходити по всім роутерам та прописувати їм в acces list макадрес цього клієнта, щоб оновити базу
В будь якому разі, прийшли "спеціалісти" сказали робити через radius. Я людина в цьому нова, поставив сервер на лінуксі, поки без макадрес, до аунтетифікації по паролю, додався ще сертифікат та логін, але як це щось полегшує чи додає захисту не дуже зрозуміло. Як прописати routs до radius server?

[SashkoS]

ходити по всім роутерам та прописувати їм в acces list макадрес цього клієнта,

Для цього придумали Capsman- керування точками доступу з одного місця.

сказали робити через radius.

Radius server є у мікротику у пакеті user-manager

Як що тільки для віфі, тоді достаньо Capsman+ AccesList. Якщо "спеціалісти" наполягають тоді освоювати radius

PS налаштування радіус клієнта на мікротику
https://help.mikrotik.com/docs/spaces/R ... 097/RADIUS

[SashkoS]

Інформація для війскових
https://www.facebook.com/photo?fbid=134 ... 4741700243

[Robostyle]

Какие есть варианты QoS для RB3011 при канале 500мбит? Без fast path микрот еле-еле вывозит 500мбит даже в дефолт конфигурации, с деревом упор в 390-410 мбит, а эти ваши КЕЙКИ вааще садят псп до 200мбит.

И это все без vlanов еще

[SashkoS]

Какие есть варианты QoS для RB3011

Може має сенс подумати про заміну 3011? бо модель досить стара у грудні їй виповнится 10 років.

[Robostyle]

SashkoS
Да вроде ж должен тянуть, если верить микроту

Routing 25 simple queues 167.5kpps 2034.1mbps
Routing 25 Filter rules 107.6kpps 1306.7mbps

Пока пробую fq codel, нагрузка на проц 40-60% если я конечно правильно все сделал

[KVM]

Tools - Profile що показує завантаження?
Hardware Offload не відлетів часом на інтерфейсах?

[BorisBrejcha]

Какие есть варианты QoS для RB3011 при канале 500мбит? Без fast path микрот еле-еле вывозит 500мбит даже в дефолт конфигурации, с деревом упор в 390-410 мбит, а эти ваши КЕЙКИ вааще садят псп до 200мбит.

И это все без vlanов еще

4011 тянет вега-жпон гигабитный без проблем.
с кейками.

[Robostyle]

KVM
RB3011, ROS7, стандартная конфа помимо пары одноразовых скриптов для бэкапа и создания отчета однажды когда рак свистнет.
15 правил файрвола, из которых 7 только имеют ненулевые счетчики.
Оффлоад вроде везде где можно включен.
interface/bridge fast-forward=yes
interface/bridge/settings bridge-fast-path-active=yes
bridge/ports на всех портах стоят галки HW offload

ip/firewall fasttrack работает, траффик через него идет. Ессно поэтому queues завязаны на интерфейс плюс
2 CAKE очереди - download на bridge, upload на ether1
или
fq_codel на ether1

Вот что показывает Profile во время спидтеста. ISP 500M, PON,

спойлер

Если вместо cake включаю fq_codel все то же, деленое на два.

А вот без КЕЙКа, то есть в моем обычном пользовании. Тоже спидтест

спойлер

P.S. Сейчас пока клиентов в сети нет, перетестировал. CAKE режет скорость так же само до 200М, хотя загрузка проца 50-60%. Отключаю очередь, спидтест растет на глазах до 500М.
При том оба правила, и upload и download, режут траффик в обе стороны. То есть cake для upload режет скорость download, хотя по счетчику он этот траффик даже не обрабатывает.

спойлер

Код: Выделить всё

/queue> tree print
Flags: X - disabled, I - invalid 
 0   name="download" parent=bridge packet-mark=no-mark limit-at=0 queue=cake-download priority=8 max-limit=499M burst-limit=0 
     burst-threshold=0 burst-time=0s bucket-size=0.01 

 1   name="upload" parent=ether1 packet-mark=no-mark limit-at=0 queue=cake-upload priority=8 max-limit=499M burst-limit=0 burst-threshold=>
     burst-time=0s bucket-size=0.01 

 2 X name="#fq_codel" parent=ether1 packet-mark=no-mark limit-at=0 queue=fq_CoDel priority=8 max-limit=499M burst-limit=0 burst-threshold=>
     burst-time=0s bucket-size=0.01 
     
   #####  
     
     /queue> type print

 5   name="cake-upload" kind=cake cake-bandwidth=0bps cake-overhead=0 cake-overhead-scheme="" cake-rtt=100ms cake-diffserv=diffserv3 
     cake-flowmode=dual-srchost cake-nat=yes cake-wash=no cake-ack-filter=none 
[/spoiler]
 6   name="cake-download" kind=cake cake-bandwidth=0bps cake-overhead=0 cake-overhead-scheme="" cake-rtt=100ms cake-diffserv=diffserv3 
     cake-flowmode=dual-dsthost cake-nat=yes cake-wash=no cake-ack-filter=none 

 7   name="fq_CoDel" kind=fq-codel fq-codel-limit=10240 fq-codel-interval=100ms fq-codel-target=5ms fq-codel-ecn=yes fq-codel-flows=1024 
     fq-codel-memlimit=32.0MiB fq-codel-quantum=1514