PCC, HotSpot e WebProxy no mesmo ROS.

Construir políticas de rotas nunca foi minha área, até porque maior parte dos meus clientes operam com link dedicado e são ASN, mas surgiu a necessidade de construir políticas de rotas para uma empresa que gerencia redes locais de hotéis usando o ROS. O cenário é relativamente simples, com dois ou 3 links, onde normalmente 1 é dedicado e os outros são dinâmicos (xDSL, Cable, etc).

A maior questão se resumia ao sistema da empresa que utiliza as ferramentas do ROS, webproxy e hotspot, para alimentar as rotinas de gerenciamento do mesmo. Pela web toda sempre as mesmas recomendações de se utilizar um equipamento/roteador distinto para o PCC e outro para webproxy e/ou hotspot. Mas a solução utilizada não permitia isso, ou seja, era necessário executar todas as configurações em apenas um ROS.

Pois bem, disponibilidade para pesquisa e leitura sempre foram minha rotina, então, mãos obra: laboratório montado fui testar as configurações e pesquisar toda documentação disponível na web.

Após alguns testes e aproximadamente 3 horas de pesquisa, solução pronta.

Montei o cenário, o qual exponho abaixo:

Endereçamento IP

Código :

---

/ip address
add address=172.16.10.1/24 disabled=no interface=LAN network=172.16.10.0
add address=10.1.1.2/30 disabled=no interface=ISP-3 network=10.1.1.0

---

O endereçamento diz respeito apenas a rede local e a WAN, onde o link é dedicado e possui endereçamento estático.

PPPoE Client

Código :

---

/interface pppoe-client
add add-default-route=no allow=chap,mschap1,mschap2 comment="WAN 1" dial-on-demand=no disabled=no interface=ether3 max-mru=1480 max-mtu=1480 name=ISP-1 password=12345 profile=default use-peer-dns=yes user=PPPOE-1
add add-default-route=no allow=chap,mschap1,mschap2 comment="WAN 2" dial-on-demand=no disabled=no interface=ether2 max-mru=1480 max-mtu=1480 name=ISP-2 password=12345 profile=default use-peer-dns=yes user=PPPOE-2

---

Os clientes PPPoE não recebem rotas do servidor, umas vez que iremos definir as mesmas através das interfaces no momento da configuração das políticas de rotas.

Em seguida as configurações do hotspot, que são simples, utilizando o setup padrão do ROS.

Código :

---

/ip hotspot profile
set default dns-name="" hotspot-address=0.0.0.0 html-directory=hotspot http-cookie-lifetime=3d http-proxy=0.0.0.0:0 login-by=cookie,http-chap name=default rate-limit="" \
    smtp-server=0.0.0.0 split-user-domain=no use-radius=no
add dns-name=hotspot.vialivre.net hotspot-address=172.16.10.1 html-directory=hotspot http-proxy=0.0.0.0:0 login-by=http-chap name=hsprof1 rate-limit="" smtp-server=0.0.0.0 \
    split-user-domain=no use-radius=no
/ip hotspot
add address-pool=hs-pool-3 addresses-per-mac=2 disabled=no idle-timeout=5m interface=LAN keepalive-timeout=none name=hotspot1 profile=hsprof1
/ip hotspot user profile
set default idle-timeout=none keepalive-timeout=2m name=default shared-users=1 status-autorefresh=1m transparent-proxy=no
/ip hotspot service-port
set ftp disabled=no ports=21
/ip hotspot user
add disabled=no name=admin password=12345 profile=default

---

Também a configuração do webproxy, o qual, da mesma forma que o hotspot, segue apenas o setup básico, uma vez que o uso do mesmo se refere apenas a geração de logs.

Código :

---

/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=no enabled=yes max-cache-size=none max-client-connections=600 max-fresh-time=3d \
    max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=yes src-address=0.0.0.0

---

Em seguida realizamos as configurações do firewall mangle, onde está o "segredo" do funcionamento do PCC com o HotSpot e o webproxy, juntos.

Código :

---

/ip firewall mangle
add action=accept chain=prerouting comment="Permite destino sem LB" disabled=no dst-address-list=SEM-LB
## Permite que pacotes com destino aos IPs e/ou blocos de IP, configurados em uma address list, chamada SEM-LB
## sejam encaminhados sempre pela rota padrão sem usar as políticas de rotas
 
add action=mark-connection chain=input comment="Marca ISPS - Entra por X sai por X" connection-state=new disabled=no in-interface=ISP-1 new-connection-mark=isp1_conn \
    passthrough=yes
add action=mark-connection chain=input connection-state=new disabled=no in-interface=ISP-2 new-connection-mark=isp2_conn passthrough=yes
add action=mark-connection chain=input connection-state=new disabled=no in-interface=ISP-3 new-connection-mark=isp3_conn passthrough=yes
## Aqui as marcas de conexão são referentes a pacotes que entrem pela interface X devem ser marcados para quando
## no momento que retornarem, saiam pela mesma interface X.
 
add action=mark-connection chain=output comment="Previne remarcacao PCC por outro gateway" connection-state=new disabled=no new-connection-mark=isp1_conn out-interface=\
    ISP-1 passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=output connection-state=new disabled=no new-connection-mark=isp2_conn out-interface=ISP-2 passthrough=yes per-connection-classifier=\
    both-addresses:3/1
add action=mark-connection chain=output connection-state=new disabled=no new-connection-mark=isp3_conn out-interface=ISP-3 passthrough=yes per-connection-classifier=\
    both-addresses:3/2
## Nas regras acima, realizamos a marcação das conexões para que as mesmas sejam balanceadas, usando o PCC, onde, no momento
## que sairem tenham os devidos "pesos" dos links distribuidos pelos vários links que possuímos.

---

Código :

---

add action=mark-connection chain=output comment="PCC para proxy" connection-state=new disabled=no dst-address=!172.16.10.0/24 new-connection-mark=isp1_conn passthrough=yes \
    per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=output connection-state=new disabled=no dst-address=!172.16.10.0/24 new-connection-mark=isp2_conn passthrough=yes \
    per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=output connection-state=new disabled=no dst-address=!172.16.10.0/24 new-connection-mark=isp3_conn passthrough=yes \
    per-connection-classifier=both-addresses:3/2
## As regras acima definem as marcas de rotas, assim como os devidos pesos do PCC, na saida do roteador, exceto, para a rede local (LAN).
 
 
add action=mark-connection chain=output comment="LB para proxy" disabled=no dst-port=80 new-connection-mark=isp1_conn passthrough=yes per-connection-classifier=\
    both-addresses:3/0 protocol=tcp
add action=mark-connection chain=output disabled=no dst-port=80 new-connection-mark=isp2_conn passthrough=yes per-connection-classifier=both-addresses:3/1 protocol=tcp
add action=mark-connection chain=output disabled=no dst-port=80 new-connection-mark=isp3_conn passthrough=yes per-connection-classifier=both-addresses:3/2 protocol=tcp
add action=accept chain=prerouting disabled=no dst-port=80 in-interface=LAN protocol=tcp
## Aqui está o "grande segredo" do funcionamento do webproxy e do PCC. Se não definirmos que os pacotes saindo do roteador
## com destino a porta 80 possuem suas referidas marcas de rota e definição dos pesos do PCC, os mesmos sempre sairão pela
## rota padrão, desta forma não usufruímos das políticas de rota e consequentemente dos links que possuímos.
## Além disso uma simples regra definindo que toda entrada pela LAN com destino a porta 80 tem aceite automático.
 
 
add action=mark-routing chain=output comment="ISPx to ISPx" connection-mark=isp1_conn disabled=no new-routing-mark=to_isp1 passthrough=yes
add action=mark-routing chain=output connection-mark=isp2_conn disabled=no new-routing-mark=to_isp2 passthrough=yes
add action=mark-routing chain=output connection-mark=isp3_conn disabled=no new-routing-mark=to_isp3 passthrough=yes
## Definição das marcas de rota, para utilizarmos em nossas políticas. Através destas regras teremos nossa tabela de rotas
## FIB funcionamdo da maneira adequada.

---

Código :

---

add action=accept chain=prerouting comment="Permite LAN no PCC" disabled=no dst-address=172.16.10.0/24 in-interface=LAN
add action=mark-connection chain=prerouting comment="PCC da LAN para cada ISP" disabled=no dst-address-type=!local hotspot=auth in-interface=LAN new-connection-mark=\
    isp1_conn passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting disabled=no dst-address-type=!local hotspot=auth in-interface=LAN new-connection-mark=isp2_conn passthrough=yes \
    per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting disabled=no dst-address-type=!local hotspot=auth in-interface=LAN new-connection-mark=isp3_conn passthrough=yes \
    per-connection-classifier=both-addresses:3/2
add action=mark-routing chain=prerouting comment="Rotas LAN para cada ISP" connection-mark=isp1_conn disabled=no in-interface=LAN new-routing-mark=to_isp1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=isp2_conn disabled=no in-interface=LAN new-routing-mark=to_isp2 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=isp3_conn disabled=no in-interface=LAN new-routing-mark=to_isp3 passthrough=yes
## Finalmente definimos nossas marcas de conexão e rotas para a rede local, atribuindo os devidos pesos do PCC.
## Notem que o "pulo do gato" do funcionamento do hotspot, onde o mesmo exibe a tela de captura para login e senha do usuário
## está em atribuir o parâmetro "hotspot=auth".

---

O firewall nat:

Código :

---

/ip firewall nat
add action=redirect chain=pre-hotspot comment="Paginas de status do hotspot" disabled=no dst-address=172.16.10.1 dst-port=80 hotspot=auth protocol=tcp to-ports=64873
add action=redirect chain=dstnat comment="REDIR PROXY" disabled=no dst-port=80 in-interface=LAN protocol=tcp to-ports=8080
add action=masquerade chain=srcnat comment="MASQ ISP-1" disabled=no out-interface=ISP-1
add action=masquerade chain=srcnat comment="MASQ ISP-2" disabled=no out-interface=ISP-2
add action=masquerade chain=srcnat comment="MASQ ISP-3" disabled=no out-interface=ISP-3

---

O único detalhe aqui fica por conta de uma regra no canal pre-hotspot redirecionando as requisições com destino ao IP 172.16.10.1 (gateway e servidor hotspot) à tela status do hotspot.

Finalmente a configuração de políticas de rotas, usando nossa routing engine:

Código :

---

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-1 routing-mark=to_isp1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-2 routing-mark=to_isp2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=5 dst-address=0.0.0.0/0 gateway=10.1.1.1 routing-mark=to_isp3 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=5 dst-address=0.0.0.0/0 gateway=10.1.1.1 scope=30 target-scope=10

---

O "grande diferencial" aqui é usar a distância administrativa para definirmos qual dos links será eleito a rota padrão. Por exemplo, não queria que o ISP-3 fosse eleito para tal, uma vez que o mesmo poderia ser o de maior latência ou de menor banda.

Enfim, é isso. As configurações estão em pleno funcionamento no meu Lab e no cliente.

Resolvi compartilhar pois é fruto de vários materiais que encontrei na web e do simples uso da lógica para desenvolver as mesmas.

Espero que antes de comentários tipo "aqui não funcionou", leiam, procurem montar seus Lab. e testem.

Dúvidas sucintas, estou pronto a respondê-las e se possível resolvê-las.

Captura de tela com as regras em ação.

Conntrack em ação:

Grande Sérgio ...
Parabéns pela grande contribuição, vou colocar em testes, pois essa solução é muito bem vinda.

Blz rps?

Então... eu nunca fui muito fã de políticas de rotas de maneira dinâmica, até porque quase nunca precisei, mas quando me vi com o problema, tive que correr atrás e consegui estas configurações. Na verdade as dicas estão todas no fórum da própria Mikrotikls, lógico que em posts separados, mas só juntar tudo, botar a cabeça pra funcionar e a solução sai.

:)

Citação:

---

Postado originalmente por rps67

Grande Sérgio ...
Parabéns pela grande contribuição, vou colocar em testes, pois essa solução é muito bem vinda.

---

Excelente tópico Sergio, com certeza irá ajudar muita gente, inclusive eu que em uma hora oportuna irei colocar em teste e em prática. Obrigado por compartilhar

Tio aqui nao funcionou!!! kkkkk

Eeeeeeee, zoeiraa, mas tirando isso o tópico no mínimo merece 3 premiações:

- Queda de um mito
- Capacidade de criação e inovação
- Funcionalidade extrema

Parabéns

Opa boa tarde

Belo material, este é o melhor exemplo de quando a gente pesquisando e fazendo testes na pratica a coisa rende, só não pode ter preguiça...
Valeu pelo material.

Obrigado

Sérgio mais uma vez parabéns pelo post, não entrarei em detalhe senão vão me chamar de "Puxa" mas creio que seja o que falta no pessoal pesquisar e estudar.
Parabéns pela contribuição creio que ajudará a muitos.

Bom pelo jeito ninguém fez uso das tuas explicações... Farei hoje pela madrugada... Amanhã com certeza terei algumas dúvidas rsrs...
Posto resultado...

Efetuei configuração conforme explicado pelo Sérgio e posso falar que funciona muito bem, só não coloquei as regras de direcionamento de proxy pois configurei numa RB750G... Minha única dúvida fica por conta de queda de algum dos links, pois aqui uso ambos os links já roteados... Sendo que se colocar para chegar o gateway por ping sempre irá responder mesmo estando sem internet... Há alguma forma de fazer isso sem ser por ping??? Obrigado.

Bom, o link da rota padrão pode até responder, pois é rota estática, possuindo um roteador no caminho. Agora os dos DSL, sem chances né... pois estão por interface e se cair o dsl, necas de gateway. No caso do meu exemplo.

No seu caso, sugiro a criação de um script, fazendo o teste externo à rede do fornecedor e ai sim, poderá refazer sua rota padrão. Poderá configurar esse script no netwatch.

Citação:

---

Postado originalmente por peritinaicos

Efetuei configuração conforme explicado pelo Sérgio e posso falar que funciona muito bem, só não coloquei as regras de direcionamento de proxy pois configurei numa RB750G... Minha única dúvida fica por conta de queda de algum dos links, pois aqui uso ambos os links já roteados... Sendo que se colocar para chegar o gateway por ping sempre irá responder mesmo estando sem internet... Há alguma forma de fazer isso sem ser por ping??? Obrigado.

---

Onde defino qual é o link padrão na distancia? Sobre a distancia eu tentei achar alguma coisa aqui no forum em vão, achei isso no google é o correto?
"A distância administrativa é um parâmetro opcional que fornece a confiabilidade da rota, ou seja, quanto mais baixo o valor mais confiável é a rota. Em rotas estáticas a distância administrativa é 1 por padrão, porém se quisermos alterá-la devemos inserir o valor no final do comando ip route"
No meu pcc coloquei 5 para o adsl e 1 para o dedicado.
Aqui os dois são roteados... Estou tentando fazer netwatch para ambos links com script up e down.
Agradeço a atenção.

Conforme a página 2 e comentário 3:

Citação:

---

Postado originalmente por sergio

Finalmente a configuração de políticas de rotas, usando nossa routing engine:

Código :

---

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-1 routing-mark=to_isp1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-2 routing-mark=to_isp2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=5 dst-address=0.0.0.0/0  gateway=10.1.1.1 routing-mark=to_isp3 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=ISP-1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=5 dst-address=0.0.0.0/0 gateway=10.1.1.1 scope=30 target-scope=10

---

O "grande diferencial" aqui é usar a distância administrativa para definirmos qual dos links será eleito a rota padrão. Por exemplo, não queria que o ISP-3 fosse eleito para tal, uma vez que o mesmo poderia ser o de maior latência ou de menor banda.

---

Sim, a distância administrativa é esta descrição que encontrou.

Citação:

---

Postado originalmente por peritinaicos

Onde defino qual é o link padrão na distancia? Sobre a distancia eu tentei achar alguma coisa aqui no forum em vão, achei isso no google é o correto?
"A distância administrativa é um parâmetro opcional que fornece a confiabilidade da rota, ou seja, quanto mais baixo o valor mais confiável é a rota. Em rotas estáticas a distância administrativa é 1 por padrão, porém se quisermos alterá-la devemos inserir o valor no final do comando ip route"
No meu pcc coloquei 5 para o adsl e 1 para o dedicado.
Aqui os dois são roteados... Estou tentando fazer netwatch para ambos links com script up e down.
Agradeço a atenção.

---

Muito obrigado pelas considerações... Aqui está tudo rodando na mesma RB750G loadbalance/hotspot... Obrigado.

Sim, as configurações são para esse cenário mesmo e mais um pouco: webproxy. :)

Citação:

---

Postado originalmente por peritinaicos

Muito obrigado pelas considerações... Aqui está tudo rodando na mesma RB750G loadbalance/hotspot... Obrigado.

---

Amigos, estou com um probleminha que não consegui decifrar rrssr, o loadbalance está saindo pelos 2 links 1 de 2mb e outro de 4mb... Mais a navegação está extremamente lenta mesmo saindo para os clientes 1mb picos de 2mb... Na configuração do loadbalance coloquei a distancia administrativa 5 para o de 2mb e 1 para o de 4mb... Na configuração firewall/mangle coloquei 3 marcações, 2 para o de 4mb e 1 para o de 2mb... Onde poderia estar esse probleminha???
OBS: ambos os links estão funcionando perfeitamente já testei diretamente no notebook.

Qual a versão do ROS? Notei lentidão usando a versão 5.7 (sem reconfigurar nada do que apresentei no rautu), atualizei para 5.11 e reconfigurei para both-address-and-ports e resolveu. Onde ocorreu isso estava usando RB1200 e tinha várias correções para a mesma entre a 5.7 e 5.11.

Citação:

---

Postado originalmente por peritinaicos

Amigos, estou com um probleminha que não consegui decifrar rrssr, o loadbalance está saindo pelos 2 links 1 de 2mb e outro de 4mb... Mais a navegação está extremamente lenta mesmo saindo para os clientes 1mb picos de 2mb... Na configuração do loadbalance coloquei a distancia administrativa 5 para o de 2mb e 1 para o de 4mb... Na configuração firewall/mangle coloquei 3 marcações, 2 para o de 4mb e 1 para o de 2mb... Onde poderia estar esse probleminha???
OBS: ambos os links estão funcionando perfeitamente já testei diretamente no notebook.

---

Bom dia amigo estou usando a 5.11 e configurado para both-address...

Então lascou... :P Quando eu mudei aqui, fiz a duas mudanças ao mesmo tempo: atualizei a versão e o bootloader (system routerboard upgrade) e em seguida já refiz as configurações usando both-address-and-ports. Resolveu :D

Farei o teste agora mudarei para both-address-and-ports e posto resultado.

Amigos ficou show, já fiz em 3 lugares diferentes e estão funcionando perfeitamente mesmo na RB750... Mais um coisa que reparei o processamento das RB750 fica um pouco alto com a opção proxy-transparente assinalada, quando desligo nao passa de 20 30% mesmo com balanceamento _ 20 30 usuário hotspot...

Citação:

---

Postado originalmente por peritinaicos

Amigos ficou show, já fiz em 3 lugares diferentes e estão funcionando perfeitamente mesmo na RB750... Mais um coisa que reparei o processamento das RB750 fica um pouco alto com a opção proxy-transparente assinalada, quando desligo nao passa de 20 30% mesmo com balanceamento _ 20 30 usuário hotspot...

---

tive problemas de processamento com a rb750 também , ai deixei ela so pra load mesmo . porem meu cenario é 3 links dinâmicos e 1 dedicado .,,, ai botei distancia 1 pro full , distancia 2 pro link 2 , distancia 3 pro link 3, e distancia 4 pro link 4, tive momentos de lentidão , mas resolvi pelo mangle mesmo.........

amigo qual configuraçao boa de pc para montar esse servidor, tipo memoria, hd e processador, sei que o proxy exige muito de memoria, assim como o pcc! qual versao do OS voce indica? o mikrotik e bom mesmo para proxy?

a ultima versão , e se for fazer cache , ai bote um i 10 da intel .. com uns 20 giga de memoria , se é que existe...rsr

e uma configuraçao boa mesmo! qualquer servidor fica bom com essa configuraçao, porem amigo me resta uma duvida o mikrotik e bom mesmo para proxi? vi umas pequisas aqui e me deixou meio encucado com o resultado, apesar que tenho vontade de fazer mesmo o mikrotik, pois nao sei muito mexer com outra distro linux, mas me diga ai de sua esperiencia, seu proxi com mikrotik esta bem mesmo? da um bom desempenho? vale mesmo apena colocar ele para proxi ele reconhece mesmo 20giga de memoria? a ultima versao do OS mikrotik e boa mesmo de cash? e so umas duvida pois esse mes estou implantando o cash, obrigado.

Citação:

---

Postado originalmente por julinribeiro

a ultima versão , e se for fazer cache , ai bote um i 10 da intel .. com uns 20 giga de memoria , se é que existe...rsr

---

cara, no meu caso no meu menor provedor que tenho uso assim .. load rb750 - 4 links dinamicos + mk controle de clientes e rotas + cache LUSCA squid bem configurado , se for analisar a maioria desses programas de cache que sao lançados ai no mercado , ate mesmo por membros aqui do under , vera que todos sao squids bem melhorados , os plugs sao codigos implementados aparte do .conf que devem ser melhorados periodicamente , pois trabalham com as famosos statics , que em alguns sites geram problemas devida as mudanças que acontecem todo dia nos dominios..agora se quer garapa de cana feita , tem varias que nao saem tao caro nao -- la vai -- speed media center -- super cache dedicado do myauth -- entre outros ... agora thunder faz tempo que nao ouso esse nome viu...

Amigo estou tendo problema em 2 lugares que não está equilibrando a carga... Fiz idêntico ao primeiro e continua dando erro... são 2link 1° dedicado 2mb latência de 2ms para uol.com 2° speed 2mb latência de 35ms para uol.com... fiz o peso 3/0 3/1 para link e 3/2 para speedy.
Em route distancia de 1 para link e 2 para speedy.
O problema é que o link speedy não consome nem 200k quando o link está com 2mb... O que poderia ser esse erro?

Citação:

---

Postado originalmente por peritinaicos

Amigo estou tendo problema em 2 lugares que não está equilibrando a carga... Fiz idêntico ao primeiro e continua dando erro... são 2link 1° dedicado 2mb latência de 2ms para uol.com 2° speed 2mb latência de 35ms para uol.com... fiz o peso 3/0 3/1 para link e 3/2 para speedy.
Em route distancia de 1 para link e 2 para speedy.
O problema é que o link speedy não consome nem 200k quando o link está com 2mb... O que poderia ser esse erro?

---

Solucionou amigo ?? se sim ainda lembra qual foi o procedimento, ou aonde estava o erro ?

Obrigado;

Não, continua o mesmo erro não equilibra.

Aqui estou tentando todas as soluções possíveis e impossiveis, vo quebra mais a cabeça, antes de ter que ir lá em compra um RB só pra load e usar a rb1100 pra controle...

*Se surgir qualquer coisa eu aviso... jah se alguem tiver alguma idéia, é muitoo bem vindo!

boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!

qual versao do seu roterOS?

Citação:

---

Postado originalmente por jeorge

boa noite venho por meio do fórum pedir ajuda dos senhores pois tenho um provedor uso hotspot não consigo bloqueio de p2p e nem de site já tentei de todo jeito não consigo meu hotspot esta normal mais não consigo fazer isso se possível algum amigo pude ajuda agradeço!

---

Você poderia ter feito um novo post para esta sua pergunta, pois deste modo só mistura as dúvidas que não cabem ao tópico, e assim como você, muitos outros podem estar com a mesma dúvida e nunca encontraram sua solução em um post perdido sem referência ao assunto!

Abraço!

Citação:

---

Postado originalmente por peritinaicos

Não, continua o mesmo erro não equilibra.

---

Amigão, o processo que alterei é bastante, mas acredito que cheguei em uma solução e fico perfeito, como precisamos, porem vo deixar rodando e amanhã durante o dia, quando meus clientes navegar ainda mais, terei certeza que esta ok...

Se ocorrer tudo certinho a noite posto tudo aqui para te ajudar e ajudar os demais!

Abraço!

Citação:

---

Postado originalmente por peritinaicos

Amigo estou tendo problema em 2 lugares que não está equilibrando a carga... Fiz idêntico ao primeiro e continua dando erro... são 2link 1° dedicado 2mb latência de 2ms para uol.com 2° speed 2mb latência de 35ms para uol.com... fiz o peso 3/0 3/1 para link e 3/2 para speedy.
Em route distancia de 1 para link e 2 para speedy.
O problema é que o link speedy não consome nem 200k quando o link está com 2mb... O que poderia ser esse erro?

---

172.255.255.2 (Ip do meu servidor proxy)
172.0.0.0/11 (Ips da minha lan, lembrando que poderiamos também criar uma lista de clientes com acesso)

/ip router
add comment="Rota Proxy" distance=1 dst-address=0.0.0.0/0 gateway=172.255.255.2 proxy-clientes scope=255 target-scope=255

/ip firewall mangle
add action=mark-routing chain=prerouting comment="PROXY 80" disabled=no dst-port=80 in-interface=S-ANTENAS new-routing-mark=proxy-clientes passthrough=no protocol=tcp src-address=172.0.0.0/11


Agora dentro do meu servidor Linux com Squid "Luscas" em paralelo com Thunder 3.1 coloquei no meu firewall:

iptables -t nat -A PREROUTING -s 172.0.0.0/11 -p tcp --dport 80 -j REDIRECT --to-port 3128

*Lembrando que o servidor Proxy tem que estar com as regras de LoadBalance para ele também, caso contrário só vai sair por um dos links... Em meu caso tive que adequar as regras para conseguir fazer o balance para o server, já que uso uma porta da minha RB direta com o servidor em clase /30

Espero que isso possa ajudar mais pessoas, porque foi à única solução que encontrei. Acredito que com o Web-proxy, teria que colocar ele pra navegar em local no loadbalance.

Abraço!

Amigo nao uso proxy em minha rb... Posta ai em .txt a regra completa? vlw

A completa é esta do Luiz, só adicionei isto a regra dele... entendeu ??

Não amigo, tava pensando em postar um .txt contendo todas as regras funcionais, pois aqui nao balancea.

Citação:

---

Postado originalmente por peritinaicos

Amigos ficou show, já fiz em 3 lugares diferentes e estão funcionando perfeitamente mesmo na RB750... Mais um coisa que reparei o processamento das RB750 fica um pouco alto com a opção proxy-transparente assinalada, quando desligo nao passa de 20 30% mesmo com balanceamento _ 20 30 usuário hotspot...

---

Peritinaicos, bom dia.
Você pode me ajudar?? tenho uma única RB(450G) e quero fazer o pcc+hotspot nela.. sou iniciante e nem sei por onde começar!! Utilizo dois links adsl de 10mb da OI VELOX e quem faz a discagem é o próprio modem...

Citação:

---

Postado originalmente por sergio

Construir políticas de rotas nunca foi minha área, até porque maior parte dos meus clientes operam com link dedicado e são ASN, mas surgiu a necessidade de construir políticas de rotas para uma empresa que gerencia redes locais de hotéis usando o ROS. O cenário é relativamente simples, com dois ou 3 links, onde normalmente 1 é dedicado e os outros são dinâmicos (xDSL, Cable, etc).

A maior questão se resumia ao sistema da empresa que utiliza as ferramentas do ROS, webproxy e hotspot, para alimentar as rotinas de gerenciamento do mesmo. Pela web toda sempre as mesmas recomendações de se utilizar um equipamento/roteador distinto para o PCC e outro para webproxy e/ou hotspot. Mas a solução utilizada não permitia isso, ou seja, era necessário executar todas as configurações em apenas um ROS.

Pois bem, disponibilidade para pesquisa e leitura sempre foram minha rotina, então, mãos obra: laboratório montado fui testar as configurações e pesquisar toda documentação disponível na web.

Após alguns testes e aproximadamente 3 horas de pesquisa, solução pronta.

---

Caro Sérgio e amigos aqui do fórum, sou iniciante, tenho 3 link adsl de 10mb cada, como que ficaria o script completo para fazer o PCC + HOTSPOST + WEBPROXY.
Meus equipamentos:
- RB450G
- modem 1: IP: 192.168.1.1
- modem 2: IP: 192.168.2.1
- modem 3: IP: 192.168.3.1

Os três modens são roteados.

Citação:

---

Postado originalmente por fabinhosa

Caro Sérgio e amigos aqui do fórum, sou iniciante, tenho 3 link adsl de 10mb cada, como que ficaria o script completo para fazer o PCC + HOTSPOST + WEBPROXY.
Meus equipamentos:
- RB450G
- modem 1: IP: 192.168.1.1
- modem 2: IP: 192.168.2.1
- modem 3: IP: 192.168.3.1

Os três modens são roteados.

---

Alguém ai para me ajudar? como ficaria a configuração da minha rede?