А я побоялся что PPPoE потребует дополнительных аппаратных ресурсов и решил юзать хотспот. Но и от хотспота отказался. Сделал IP + MAC. Если чё хотспот врубить не долго.
Инет раздается на 50чел.. Часть народа по проводам, часть по радио. Целый день ваял пригодный для себя шейпер. Сейчас в Queue Tree сделал дерево на 219 строк. Шейпится только down. Для upload только одно общее ограничение для p2p трафика.
Я переживаю что проц в RB750G грузится на 50 - 70 %.
Пока все ОК. Надо дождаться максимальной нагрузки в выходные.

я себе делаю пппое-сервер. проц он не грузит, а радиосетку от мультикаста освобождает

А мне хотспот с авторизацией через freeradius нравится :) И данные по трафику сваливаются от freeradius'a в mysql. Радиосеть отделяю вланами от локалки. p2p трафик не ограничиваю. А ширину канала для пользователей шейпю через pcq, создав всего 5 simple queue правил на разные скорости. От каждого юзера маркирую трафик по разным правилам, и на основании маркировки работает соответственно simple queue. Двумя RB750G и одним x86 mikorik 3.30 управляет самописаннный php скрипт. Он же списывает абонку и удаляет пользователей из базы данных freeradius

Ух ты!!! в самом простом случае нам достаточно:
- создать pcq очередь, где в качестве параметра pcq-classifier выбрать dst-address.
- создать одно simple queue правило. В качестве Dstr.Address указать адрес локалки, а в Queue Type выбрать созданную нами pcq-очередь.
Всего одно правило и download канала будет делится поровну между клиентами локалки.
Я правильно понял?

Не дождался выходных... загрузка проца доходит до 100%. winbox не цепляется. чтоб зацепится пришлось сделать reboot. Надо че то оптимизировать. Буду разбираться с pcq очередью. Надеюсь поможет.

отмаркировал dowload пакеты на web (игрушки web icq и тп) и остальной.
создал pcq очередь, где в качестве параметра pcq-classifier выбрал dst-address. (значения pcq-limit и pcq-total-limit не трогал)
создал две simple queue очереди разбив ширину канала пополам. в одной очереди выбрал Packet Marks одни, в другой другие. в Queue Type выбрал созданную pcq-очередь.
Все ранее созданные очереди отключил.
Вроде действительно делит поровну - особенно заметно на р2р трафике.
Вэб работал рывками. На закачке видно хорошо. Возможно надо поиграть параметрами pcq-limit и pcq-total-limit.

Извини, что раньше не ответил :) Но ты правильно всё понял. Одно правило применяется ко всем, кто попадает в Dst.Addr в PCQ. Опишу точнее:
1. Создаём Queue Type, Name=pcq_128_download, kind=pcq, rate=128k, limit=50, total limit=2000, галочку на dst.address.
2. Создаём Simple Queue, Target Address=10.0.0.0/24, Target Download=512k, Target Download Queue Type=pcq_128_download.
Итого получаем, что на всю подсеть 10.0.0.0/24 мы выделяем полосу пропускания равную 512 килобита, но при этом, каждому отдельному ип адресу из этой подсети выделяется максимум 128 килобит. То есть делёжка через PCQ - это типа выделяем "широкую трубу", и делим её на маленькие каналы. Вот тут есть хорошие картинки http://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ

А если rate поставим равным ноль, то получим вот это:

Может у меня не достаточно опыта но не проще ли просто ограничивать скорость юзерам простым редактированием профиля в настройках хот-спота (если он используется для раздачи), чем выполнять сложные манипуляции в Queue Tree?

Конечно проще. Если берешь 100 мегабит, а отдаеш по 1. А если берешь 5, а юзеров 25 ?

Блокировка сканера Winbox

Не особо хочется чтобы при нажатии кнопки сканирования в Winbox вываливался список маков точек. Блокировка портов 8290 и 8291 не выход - самому нужно через Winbox ходить. Может кто из умельцев сможет заглянуть в Winbox и изменит порты по умолчанию на какие другие - тогда можно и заблокировать.

С блокировкой сканера Winbox разобрался.
Нужно в фаерволе создать правило типа
/ ip firewall filter
add chain=input protocol=udp dst-port=5678 action=drop
именно порт 5678 используется для MikroTik Neighbor Discovery Protocol
Дальше пошел спортивный интерес - отредактировал в Winbox.exe и еще в паре dll-ок порты 8290, 8291, 20561 на 8090, 8091, 20560 и первые заблокировал в фаерволе. Все, теперь только "моим" Winbox-ом я могу зайти на РБ. Но это уже извраты. Просто можно было разрешить только с одного разрешенного IP заходить на РБ.

А ломалка для 4 версии есть?

интересная инфа, спасибо

есть небольшая сеть,
постановка задач:
надо задавить наглухо торент(оставить токо для одной машины, если ето возможно), сечас просто урезал помаксимуму скорость скачки/роздачи,
для некоторых машин дать полный доступ в инет,
кому оставить только почтовые порты,
а ещё на одной машинке разрешить Авалевский клиент-банк бегает он по 443 порту на айпишники 194.44.50.101 и на 194.44.50.100


Пробовал вот по такой схеме:
IP адреса локальной сети:
* Mikrotik:
LAN - 192.168.1.1
WAN - 192.168.0.116
Gateway - 192.168.0.249 (IP модема/провайдера, на модеме отключен DHCP/используем статический айпи)

* Server - 192.168.0.10
* Mihail (клиентская машина) - 192.168.1.50

Активируем интерфейс 0, который будет подключен к провайдеру и зададим ему ip адрес.
interface enable 0
ip address add address=192.168.0.116/24 interface=ether1
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.116/24 192.168.0.0 192.168.0.255 ether1


Проделаем туже про процедуру с локальным интерфейсом.
interface enable 1
ip address add address=192.168.1.1/24 interface=ether2
ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.0.116/24 192.168.0.0 192.168.0.255 ether1
1 192.168.1.1/24 192.168.1.0 192.168.1.255 ether2


Ну и наконец добавим шлюз по умолчанию.
ip route add gateway=192.168.0.249
ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip,
b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 A S 0.0.0.0/0 192.168.0.249 r... 1
1 ADC 192.168.1.0/24 192.168.1.1 ether2 0
2 ADC 192.168.0.0/24 192.168.0.116 ether1 0


Настройка DNS. (secondary-dns я неуказывал за неимением)
ip dns set primary-dns=192.168.0.249 allow-remote-requests=yes
ip dns print
primary-dns: 192.168.0.249
secondary-dns: 0.0.0.0
allow-remote-requests: yes
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 62KiB


Настройка доступа к сети интернет.
Сперва включаем маскардинг.
ip firewall nat add chain=srcnat action=masquerade out-interface=!ether2

Добавляем правила для служебных пакетов.
ip firewall filter add chain=forward connection-state=invalid action=drop comment="Drop invalid connection packets"
ip firewall filter add chain=forward connection-state=established action=accept comment="Allow established connections"
ip firewall filter add chain=forward connection-state=related action=accept comment="Allow related connections"
ip firewall filter add chain=forward protocol=udp action=accept comment="Allow UDP"
ip firewall filter add chain forward protocol=icmp action=accept comment="Allow ICMP Ping"

Дальше добавляем правила для машины Server, и даём полный доступ в инет.
ip firewall filter add chain=forward dst-address=192.168.1.10/32 action=accept comment="Allow all for server"
ip firewall filter add chain=forward src-address=192.168.1.10/32 action=accept comment="Allow all for server"

Разрешаем работу остальных машин до протоколу http, smtp, pop, https, ftp, icq, jabber.
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=80 action=accept comment="Allow http for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=80 action=accept comment="Allow http for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=25 action=accept comment="Allow smtp for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=25 action=accept comment="Allow smtp for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=465 action=accept comment="Allow smtp for Mihail (for UkrNet in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=465 action=accept comment="Allow smtp for Mihail (for ukrNet out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=110 action=accept comment="Allow pop for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=110 action=accept comment="Allow pop for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=443 action=accept comment="Allow https for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=443 action=accept comment="Allow https for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=21 action=accept comment="Allow ftp for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=21 action=accept comment="Allow ftp for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=5190 action=accept comment="Allow icq for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=5190 action=accept comment="Allow icq for Mihail (out)"
ip firewall filter add chain=forward dst-address=192.168.1.50/32 protocol=tcp src-port=5222 action=accept comment="Allow jabber for Mihail (in)"
ip firewall filter add chain=forward src-address=192.168.1.50/32 protocol=tcp dst-port=5222 action=accept comment="Allow jabber for Mihail (out)"


Душим Р2Р-трафик
/ip firewall layer7-protocol
add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"
/ip firewall filter
add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"
add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat
add action=drop chain=forward comment="TCP connection limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn

значит с помощью етого правила задушить Р2Р-трафик невышло (торент продолжал качать), получилось через маркировку пакетов и зажимание скорости в QueleList, что сделал нетак.



Ну и под конец запрещаем все остальное, что не разрешили выше.
ip firewall filter add chain=forward action=drop comment="Drop all"
при включении етого правила инет наглухо закрывается, остаётся доступ только в той машины которая получила неограниченный доступ.

Маршрутизатор РБ750 операционка v4.5 Level 4

поправьте что нетак делаю.

Вариант намбер 1: заблокируй все порты кроме тех, которые тебе нужны
Вариант намбер 2: активируй web proxy в микротике, и создай павило, которое будет блокировать обращение к announce (*ann*, *torrent*. *tracker*) и заблокируй скачивание .torrent файлов
Вариант намбер 3: импортируй скрипт http://www.mikrotik.com/download/l7-protos.rsc и у тебя появится выбор L7, по нему и блокируй

alexandrov, пожалуста поподробнее про "Вариант намбер 1: заблокируй все порты кроме тех, которые тебе нужны", как ето сделать для каждой машины по отдельности.
и я немного непонял как пользоваться вариантом 3.