about mikrotik qos queue tree priority router os 6.11 problem
通常一般常用的ip分享器,或是其他linux產品設定上,上下傳都蠻簡單的 mkirotik 也是linux產品,但他的bridge和global搞的問題很大
1、正常情況下,firewall是下iptable規則,但mikrotik的mangle也算是一個方式,prerouting和postrouting一般是用來加mark_packet,加上之後再處理…但上下傳流量怎麼抓?看了很多人的設定,有的是用prerouting和postrouting來抓,也有是用src和dst ip address,但這樣抓的流量是不正確的…因為我跟著設之後,才發現好像是錯的。
2、原本上下傳流量是用global-in、global-out來區分,真的算很簡單,很多設定可以設正確,但現在改成global,沒-in、-out…怎麼抓?
3、bridge模式也是不錯,但問題是看官方說明的圖示,基本上上述的處理都繞回去bridge,那又怎麼分上下傳流量?
==================================================================== 環境設定:ether1是wan,接固定ip:192.168.1.x,ether2~4是Lan使用,192.168.5.x,firewall有設在bridge,dhcp也設在bridge,ether1有srnat,192.168.1.x也有srnat
單獨很簡易方式測流量上下傳,到底怎麼設才能抓正確? 為什麼會有這問題,因為用內建的工具Torch才發現,基本上Interface:ether1的流量都是Src是Internet IP,Dst是Wan IP……而bridge1和ether2是一樣的Src是Lan ip、Dst是Internet IP…
那代表設定在ether1上的流量設定是完全不正常的,因為搞不清是誰上下載,全是Wan IP上下載。
那在bridge和ether2上算正常,看到Lan ip連到Internet那個IP,但Tx和Rx是倒過來,Rx應該是下載變成上傳,Tx上傳變下載,這樣就算了反正能抓到流量就行。但Tx、Rx設定在那?沒有這個設定,Qos沒這設定,怎麼設限制?simple queue是upload、download是怎麼對應我也搞不清,但它居然是正常的….上下傳設定好就正常,不用上下傳對調設。
測試方式:先不設限,大量上傳或下載就能搞的清楚,設定是要設那個
**simple queue是針對有人長期大量上下傳設限,有效的,很直接,但要先用Torch查查那ip。
queue tree要先mark_packet,結果prerouting和postrouting…無效,怎麼說,prerouting抓得到流量,但只限上傳或是tcp下載時上傳的回覆封包,那下載呢?不知…而postrouting抓不到或是跟有preouting一樣問題…我頭都大了,怎麼辦??? 到底去那找到真正上下傳流量,明明Torch在bridge和ether2有抓到正常的上傳下載的流量(雖然是相反),在ip firewall mangle和filter rules測試了老半天,最後才發現,原來要這樣設才會抓到真的流量。
測試方式:先大量下載,下幾百MB,然後去看mangle的rate、bytes和packets,有沒有流量,就知道設的方式是抓到下載,然後再大量上傳(ftp),同上,抓到怎麼設才會抓到上傳流量
**設優先權(priority)在quere tree設定,這是最理想,我最喜歡,但實際上網路滿時,這裡優先權全沒用了…所以要配合simple queue來抓可惡的人,把他單獨ip、強制、限制上下流量,才不會影響到別人…
怎麼抓上下流量:在ip fiewall mangle選chain:forward,再來針對下載是:dst ip address,上載是:src ip address,這兩個ip address都設Lan ip,所以懶的人在address list自己設範圍,基本上這樣設,能很準確的抓到某個ip的上下流量,並設定mark_packet。不用管interface。
建議每個人環境不同,所以最重要的是測試方式,抓出上下流量,怎麼設才能抓出來,抓出來後,才能做出正確的設定,按網路上copy的,基本上問題多多,所以要自己要測試,上一篇關於mikrotik qos那篇,設了可以用,但仔細觀查才發現…我都抓到上傳流量,下載根本沒抓到…..那篇的設定有設ether1之類都沒用,src和dst也是無用,但改了forward、把interface拿掉,仔細設src、dst就完全正確抓到上下傳。
我是真的搞不懂為什麼這麼奇怪,是我自己設錯還是我搞錯,不過基本上現在的設定完全ok了,雙qos管制。老外這樣設定為什麼能用,我也搞不懂…
最後mikrotik真的難倒我了,以為有linux多年經驗、居易、小峰等設備、Tomato等版本、企業用防火牆等實作,但在mikrotik下,手腳發軟…哈~~~ 這牌子MikroTik真的非常不適合給一般人用,非常不適合,但偏偏都是最便宜、功能最多、效能非常不錯的機器…穩定度、整合、省電比自行用pc、準系統架適合,但和untangle是兩碼子的事,對我來說…
OK,希望這篇對某些快被mikrotik搞死的人,又非要搞定Qos的人有一些提示用途。
PS:大量上傳下載流量時,要注意rate,一開始沒注意,以為有流量就算對,結果後來注意看才發現,下載都到15M/s了,rate才幾十至百K,才發現…這樣設是錯的,沒抓對流量,上傳也是一樣的道理。
PS2:http://wiki.mikrotik.com/wiki/Manual:Packet_Flow 明確指出Changes in RouterOS v6 :在Input下Quere Tree先,simple後;在Postrouting,Quere Tree先,simple後,Forward在中間…那在Input有動作嗎?因為設定是在Forward做mark_packet。另Dst、Src Nat都在Queue前後做…..那到底有沒有用?但實際上按現在的方式設定後,是有用的…搞不懂