QoS и приоритезация трафика внутри VPN-туннелей

Рет қаралды 21,717

7 жыл бұрын

Наверняка, Вы - крутой сисадмин, который всю свою сеть построил на безопасных технологиях и все зашифровал с помощью надежного шифрования. Наверняка, Вы даже знаете и умеете настраивать QoS для того, чтобы сетевой трафик от рутинных приложений не мешал сетевому трафику критических приложений. Однако, умеете ли Вы настраивать не просто QoS, а именно QoS внутри VPN туннелей? QoS внутри VPN имеет свою специфику, которую мы подробно разберем на бесплатном вебинаре.
Консультации и помощь по MikroTik в нашем Telegram-канале: teleg.run/miktrain
Презентация
goo.gl/tX8nAA
Настройки
/ip firewall mangle
add action=mark-connection chain=input comment=PPTP dst-port=1723 \
new-connection-mark=pptp_in passthrough=no protocol=tcp
add action=mark-packet chain=prerouting connection-mark=pptp_in \
new-packet-mark=pptp_out passthrough=no
add action=mark-connection chain=output new-connection-mark=pptp_out \
passthrough=no protocol=tcp src-port=1723
add action=mark-packet chain=postrouting connection-mark=pptp_out \
new-packet-mark=pptp_in passthrough=no
add action=mark-connection chain=input comment=GRE new-connection-mark=gre_in \
passthrough=no protocol=gre
add action=mark-packet chain=prerouting connection-mark=gre_in \
new-packet-mark=gre_out passthrough=no
add action=mark-connection chain=output new-connection-mark=gre_out \
passthrough=no protocol=gre
add action=mark-packet chain=postrouting connection-mark=gre_out \
new-packet-mark=gre_in passthrough=no
add action=mark-connection chain=prerouting comment=Web dst-port=80,443,8080 \
new-connection-mark=web passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=web new-packet-mark=\
vpn_web_in out-interface=all-ppp passthrough=no
add action=mark-packet chain=forward connection-mark=web in-interface=all-ppp \
new-packet-mark=vpn_web_out passthrough=no
add action=mark-packet chain=forward connection-mark=web in-interface=ether1 \
new-packet-mark=web_in passthrough=no
add action=mark-packet chain=forward connection-mark=web new-packet-mark=\
web_out out-interface=ether1 passthrough=no
add action=mark-connection chain=prerouting comment=SIP dst-port=\
5060,36600-39999 new-connection-mark=sip passthrough=no protocol=udp
add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\
vpn_sip_in out-interface=all-ppp passthrough=no
add action=mark-packet chain=forward connection-mark=sip in-interface=all-ppp \
new-packet-mark=vpn_sip_out passthrough=no
add action=mark-packet chain=forward connection-mark=sip in-interface=ether1 \
new-packet-mark=sip_in passthrough=no
add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\
sip_out out-interface=ether1 passthrough=no
add action=mark-packet chain=forward comment=ALL new-packet-mark=vpn_all_in \
out-interface=all-ppp passthrough=no
add action=mark-packet chain=forward in-interface=all-ppp new-packet-mark=\
vpn_all_out passthrough=no
add action=mark-packet chain=forward in-interface=ether1 new-packet-mark=\
all_in passthrough=yes
add action=mark-packet chain=forward new-packet-mark=all_out out-interface=\
ether1 passthrough=yes
/queue tree
add max-limit=10M name=in parent=global
add max-limit=10M name=out parent=global
add max-limit=10M name=web_in packet-mark=web_in parent=in priority=5 queue=\
pcq-download-default
add max-limit=10M name=web_out packet-mark=web_out parent=out priority=5 \
queue=pcq-upload-default
add max-limit=10M name=vpn_in packet-mark=pptp_in,gre_in parent=in priority=3 \
queue=pcq-download-default
add max-limit=10M name=vpn_out packet-mark=pptp_out,gre_out parent=out \
priority=3 queue=pcq-upload-default
add max-limit=2M name=sip_in packet-mark=sip_in parent=in priority=1 queue=\
sip
add max-limit=2M name=sip_out packet-mark=sip_out parent=out priority=1 \
queue=sip
add max-limit=4M name=all_in packet-mark=all_in parent=in queue=\
pcq-download-default
add max-limit=4M name=all_out packet-mark=all_out parent=out queue=\
pcq-upload-default
add max-limit=10M name=vpn_web_in packet-mark=vpn_web_in parent=vpn_in \
priority=5 queue=pcq-download-default
add max-limit=10M name=vpn_web_out packet-mark=vpn_web_out parent=vpn_out \
priority=5 queue=pcq-upload-default
add max-limit=2M name=vpn_sip_in packet-mark=vpn_sip_in parent=vpn_in \
priority=1 queue=sip
add max-limit=2M name=vpn_sip_out packet-mark=vpn_sip_out parent=vpn_out \
priority=1 queue=sip
add max-limit=4M name=vpn_all_in packet-mark=vpn_all_in parent=vpn_in queue=\
pcq-download-default
add max-limit=4M name=vpn_all_out packet-mark=vpn_all_out parent=vpn_out \
queue=pcq-upload-default

Пікірлер: 34

@yago1valdes 5 жыл бұрын

Пожелание. Было бы хорошо, если бы вы чуть подробней комментировали свои действия, а то превращается все в типичный anykey. Да и вообще, нарисовать топологию(в данном случае логическую), чтобы в голову "ложилась" идея происходящего легче. Напомнить как соединение проходит для vpn в packet flow. Тогда можно еще больше заинтересовать людей вашим учебным центром. За остальное спасибо. Информация супер.

@user-so1nx4bl7z 4 жыл бұрын

Очень полезное видео,все разжевано. Спасибо.

@tardis33ru 6 жыл бұрын

Спасибо за презентацию. Но есть вопросы. Не понятно зачем маркировать соединение pptp-сервера в цепочках input и output и метитить пакеты потом (это относится и ко всем приоретизированным сервисам в этой презентации) . Так как соединение в routerOS - двунаправленное и учитывает как входящие так и исходящие пакеты. По сути у Вас получилось, что одна марка соединения перезаписывает другую (даже несмотря на то что Вы убрали passthrough, цепочки то ведь разные). Достаточно пометить соединение в одном направлении, второе направление автоматически подтянется, например - Ваш MT есть клиент, тогда Вы маркируете соединение в самом начале движения пакетов в OUTPUT и метите пакеты в POSTROUTING (можно и в PREROUTING). В конечном итоге управляете Вы только исходящей от MT скоростью. Ну и потом "правило хорошего тона" сначала метить соединение потом пакеты на практике никак не сказывается на производительности (проверял лично). А чехорда с перезаписываемыми друг другом метками не всегда приносит прогнозируемый результат. Спасибо.

@user-pk2bz7tc8o 5 жыл бұрын

Я не понял, получается цепочки in / out в queue делать с одними и теми же метками?

@user-bj9hd1bc4j 2 жыл бұрын

Спасибо за видео!

@yurekkovalskiy4348 4 жыл бұрын

Я как новичёк вообще тут ничего не понял, по ходу не дорос ))) Ладно буду учится дальше )))

@valitemurov4875 2 жыл бұрын

благодарю

@evgenyprokhorov646 3 жыл бұрын

Роман, вы иногда говорите как робот Вертер. :))) Со стороны очень заметно. :) Видео хорошее, но затянуто настройкой однотипных правил. Кмк, лучше было бы сделать, свести в таблицу и показать разницу. И я так и не понял, зачем нужно было менять местами in и out на pptp пакетах.

@Koloyaroff Жыл бұрын

Спасибо, разжевали ненужное😊, как это все будет работать с шифрованием. Спасибо за труд❤

@MikrotikTraining Жыл бұрын

Так же и будет - в Данном примере мы используем номера портов - шифрование работает на уровне выше.

@tonick74 5 жыл бұрын

Не совсем понял, где вы запускали спидтест? Что за веб траффик гуляет по туннелю? Или у вас интернет весь получается через главный офис?

@interesting7956 6 жыл бұрын

Так и не понял на слайде с таблицей, например 6:13с, web 10mbit и vpn 10mbit, итого 20? Или это всё 10 мбит?

@mikls4984 5 жыл бұрын

Подскажите пожалуйста! Допустим, имеется канал 30 мегабит, делаю три очереди: 1) rdp трафик с высшим приоритетом 2) веб трафик - средний приоритет 3) весь остальной - низший приоритет. Выделяю под рдп трафик 15 мегабит, под веб 20 мегабит и под все остальное 10. Правильно ли я понимаю что если рдп будет есть в один момент 10, весь низший будет пытаться есть 10 то веб трафик все равно будет иметь 20, т.к. он выше приоритетом чем низший и рдп ему не будет мешать тк не перебивает выделенную полосу?

@dister-jack 2 жыл бұрын

Добрый день. Мне кажется, что там где идёт настройка веб ( 13:27 )через туннель на web_in нужно всё таки ставить in interface, а не out. Я настроил как вы, запустил видеорегистратор в своей сети, и пакеты пошли там где были пакеты web_out. Включая камеры я же получаю пакеты в свою сеть, а не передаю на ту сторону.

@falciloid 2 жыл бұрын

Спустя долгое время и многие познания в RouterOS меня таки направили на этот вебинар, пришёл чтобы выяснить как маркировать трафик предназначенный самому роутеру. Пытался делать mark-packet непосредственно в input и в output, но это в простые очереди не попадало. Хотел обойтись без mark-connection, но видимо не судьба..

@user-pj5gb6ek8g 5 жыл бұрын

Огромное спасибо за видео. Статья помогла в настройке дерева очередей но есть пару вопросов.1. В дереве очередей создали родителя VPN_IN\OUT c Packet Marks (PPTP,GRE), дочери VPN***_IN\OUT c Packet Marks VPN***_IN\OUT. Почему у родителя Packet Marks (PPTP,GRE) ведь родитель в очередях не участвует. Зачем указывать родителя Packet Marks (PPTP,GRE)? 2. У меня 2 локальных сети. Вторая гостевая сеть WiFi с ограничением по скорости макс. лимит 2 Мбит/с из 6Мбит/с, приоритет 8(остальные выше). Добавил правила обработки трафика второй сети. Добавил в очереди. Потребность этой сети большая, а скорость низкая. Почему трафик с высоким приоритетом не может использовать полосу пропускания в соответствии своего приоритета, в то время гостевая сеть WiFi занимает всю выделенную полосу? Даже если я ей поставлю макс. лимит 6Мбит/с. . ./ip firewall mangle>16 chain=forward action=mark-packet new-packet-mark=WEB_Guest_IN passthrough=no connection-mark=WEB in-interface=vlan_SatisTL(6Mbit)500 out-interface=bridge_Orkz55(WiFi_Guest) log=no log-prefix="WEBGuestPackIN" 17 chain=forward action=mark-packet new-packet-mark=WEB_Guest_OUT passthrough=no connection-mark=WEB in-interface=bridge_Orkz55(WiFi_Guest) out-interface=vlan_SatisTL(6Mbit)500 log=no log-prefix="" 27 chain=forward action=mark-packet new-packet-mark=WEB_Guest_IN passthrough=no in-interface=vlan_SatisTL(6Mbit)500 out-interface=bridge_Orkz55(WiFi_Guest) log=no log-prefix="" 28 chain=forward action=mark-packet new-packet-mark=WEB_Guest_OUT passthrough=no in-interface=bridge_Orkz55(WiFi_Guest) out-interface=vlan_SatisTL(6Mbit)500 log=no log-prefix="" /queue tree>18 name="8WEB_Guest_IN" parent=AllOfficeIN packet-mark=WEB_Guest_IN limit-at=0 queue=pcq-download priority=8 max-limit=3M burst-limit=0 burst-threshold=0 burst-time=0s bucket-size=0.1 19 name="8WEB_Guest_OUT" parent=AllOfficeOUT packet-mark=WEB_Guest_OUT limit-at=0 queue=pcq-upload priority=8 max-limit=2M burst-limit=0 burst-threshold=0 burst-time=0s bucket-size=0.1Спасибо.

@offnight1 3 жыл бұрын

А что делать если сети на разных роутерах? Как сделать приоритет на один из роутеров если провайдер один, но сети и роутеры разные?

@evgenyprokhorov646 3 жыл бұрын

А для чего отдельно маркировать пакеты pptp/gre? Ведь энкапсулированные в них пакеты уже были промаркированы и обработаны, дальше уже сплошной поток идёт. Кроме того, очереди "vpn" являются родительскими, и, если я правильно понимаю, в них никакие настройки не действуют - это просто контейнеры?

@sonyavi 4 жыл бұрын

окей а как быть с sstp и его tcp 443 ?

@user-em2ih8ed6x 6 жыл бұрын

почему в самом начале когда делаем маркировку на INPUT это относительно наших клиентов UPLOAD? это же трафик который идет к роутеру?

@tardis33ru 6 жыл бұрын

Тут все меняется кверх ногами. Т.е. Исходящая для MT, а для клиентов входящая.

@user-rk7oh2oj5j 6 жыл бұрын

В скрипте нет упоминания о создании очереди SIP!

@MikrotikTraining 6 жыл бұрын

Тут нет скрипта. Есть пример правил. И вот часть - поиск в комментарии под видео по "SIP" add action=mark-connection chain=prerouting comment=SIP dst-port=\ 5060,36600-39999 new-connection-mark=sip passthrough=no protocol=udp add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\ vpn_sip_in out-interface=all-ppp passthrough=no add action=mark-packet chain=forward connection-mark=sip in-interface=all-ppp \ new-packet-mark=vpn_sip_out passthrough=no add action=mark-packet chain=forward connection-mark=sip in-interface=ether1 \ new-packet-mark=sip_in passthrough=no add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\ sip_out out-interface=ether1 passthrough=no

@Flanker351 3 жыл бұрын

Спасибо. Нифига не понятно. Лекция для тех, кто и так знает. Да - показано как сделать, но почему делаем именно так?

@mikls4984 6 жыл бұрын

После настройки точь-в-точь по видео не срабатывает шейпер на входящий трафик, на исходящий все норм, в чем может быть причина? cloud.mail.ru/public/LmDt/8yK57A1Pw

@MikrotikTraining 6 жыл бұрын

Похоже у Вас routeros 5.

@mikls4984 6 жыл бұрын

То есть настройка срабатывает только на 6 версии? если на 6 то начиная с какого релиза?

@tardis33ru 6 жыл бұрын

В настройках скорости - Вы (MT) можете управлять только исходящей скорость, входящая Вам не доступна. Смиритесь. :)) А вообще входящую можно просто жестко резать (не шейпить). Ну и система QOS в 5-ой версии совсем другая. Скажем так не совместимая с 6-ой версией.

@mikls4984 6 жыл бұрын

Обновил до 6 версии - заработало!

@T9Bd9fz6E5 2 жыл бұрын

шейпинг не будет работать если не выключить "фаст трекинг"

@user-yc2rj3du8f 4 жыл бұрын

То на входе out правило, то in. Путаница какая-то.

@user-rb8uu4vu7i 6 жыл бұрын

Все хорошо, но у меня рядом сидит кот и своим урчанием заглушает вашу ораторскую речь.

@MikrotikTraining 6 жыл бұрын

Видео перезаписывал без людей - настоящий вебинар был потерян из-за ошибки на платформе вебинаров. Не кому было сообщить, что звук тихий. Как-нибудь повторим QoS.

@T9Bd9fz6E5 2 жыл бұрын

lol=)