Mikrotik

Нужна настройка ограничение скорости в MikroTik?

Настройка сервисов на маршрутизаторах MikroTik: подключение интернета, DHCP, brige, VLAN, WiFi, Capsman, VPN, IpSec, PPTP, L2TP, Mangle, NAT, проброс портов, маршрутизация(routing), удаленное подключение и объединение офисов.

Немного про ограничитель скорости(bandwidth control) Queues в MikroTik

В маршрутизаторах(роутерах) MikroTik чаще всего используют два самых распространённых метода по ограничиванию скорости для локальных подключений:

1. С резервированием канала. Имеет популярность в QOS трафике – звук и видео, тем самым не позволяет создавать прерывания при загрузке общего канала.
2. Равномерное распределение ширины канала на всех участников. Продуктивный способ использования интернет канала на всю ширину.

И масса других вариантов, когда можно комбинировать оба способа в разной последовательности. В рамках данной статьи рассмотрим п.2, как более часто встречаемое в частном и корпоративном сегменте.

Как настроить MikroTik Simple Queues

Настройка находится в Queues->Simple Queues

/queue simple add dst=pppoe-Datagroup max-limit=85M/85M name=DG-Queue priority=1/1 queue= pcq-upload-default/pcq-download-default target=192.168.0.0/24  total-queue=default

Как будет распределяться трафик?

Общий исходящий канал 100Мб будет делиться между всеми клиентами равномерно. Когда подключается первый клиент, ему отдается вся ширина канала, а при подключении второго – ширина канала делится между двумя клиентами. Но это правило уходит ещё глубже: если первый клиент потребляет 5% трафика, а второму нужно 80% – оба запроса будут удовлетворены. Но как только запросы обоих клиентов превышают 50% пропускной способности канала, срабатывает ограничитель равномерного распределения.

Max Limit – максимальная ширина канала. Значение должно быть меньше скорости, предоставляемой провайдером, иначе шейпер не сработает и возложиться на провайдера.

В данном примере значение 85Мб было подобрано опытным путём из-за большого количества клиентов и потребляемого трафика.

Предисловие

Предположим, у нас уже используется маршрутизатор с беспроводным модулем. В целях безопасности, заранее создаем себе новый логин для управления Mikrotik с надежным паролем, встроенный логин «admin» отключаем.

В качестве локальной сети выступает 192.168.106.0/24.

Для разделения сетей можно прибегнуть к использованию VLAN, либо установить и настроить пакет «Hotspot», мы же рассмотрим третий, более простой вариант настройки.

Шаг 1. Создаем профиль безопасности для Wi-Fi

Заходим в раздел Wireless (беспроводная сеть), переходим к вкладке Security Profiles и создаем новый профиль безопасности для беспроводного соединения, в нашем случае это будет «free-wifi» (WPA2 PSK + AES). Можно также выбрать «Mode: none», в этом случае для доступа к сети вводить пароль не требуется (открытая сеть).

Шаг 2. Создаем новый беспроводной интерфейс

Возвращаемся на вкладку Interfaces (интерфейсы), в левой части нажимаем синий плюс, затем в выпадающем меню выбираем «Virtual AP» для создания виртуальной точки доступа. Указываем желаемое имя сети (SSID), в качестве мастер-интерфейса будет выступать wlan1. В поле Security Profile не забудьте выбрать созданный профиль безопасности.

После этих действий, под wlan1 добавится виртуальный интерфейс.

Шаг 3. Создаем новый бридж для гостевой сети

Поскольку предполагается изолировать гостевую сеть от существующей, создаем для неё отдельный бридж. Для этого открываем раздел Bridge и создаем новый бридж с настройками по-умолчанию, для удобства мы указали имя «bridge-free-wifi». Далее на вкладке Ports необходимо добавить интерфейс wlan2 (наша Virtual AP) в этот бридж.

Шаг 4. Задаем адресное пространство гостевой сети

Теперь можно приступить к созданию адресного пространства. В разделе IP – Adresses для wlan2 (либо нашего бриджа) создаем новый адрес как на фото ниже, где 10.1.1.1 – адрес шлюза, и собственно сама сеть 10.1.1.0/24.

В качестве гостевой подсети следует выбирать адресные блоки из следующих диапазонов:

• 10.0.0.0 — 10.255.255.255
• 172.16.0.0 — 172.31.255.255
• 192.168.0.0 — 192.168.255.255

Вышеуказанные диапазоны специально зарезервированы для частных (внутренних) локальных сетей. В противном случае, при выборе адресов из других диапазонов, могут возникнуть проблемы при маршрутизации.

По-умолчанию, Mikrotik использует подсеть 192.168.88.0/24, обычные домашние роутеры используют 192.168.0.0/24 либо 192.168.1.0/24. Диапазоны 10.х.х.х и 172.16.х.х довольно часто используются провайдерами для организации VPN-подключения клиентов, поэтому перед выбором диапазона убедитесь, что ваш провайдер не использует адреса в выбранной вами подсети.

Для примера построения гостевой сети мы выбрали подсеть 10.1.1.0/24.

Далее переходим в раздел IP – DHCP Server, переключаемся на вкладку Networks (сети), где создаем новую DHCP-сеть: указываем шлюз, DNS, которые будут назначаться клиенту. В нашем примере это IP 10.1.1.1.

Перед созданием нового DHCP-сервера необходимо создать новый пул адресов. Заходим в раздел IP – Pool и создаем пул с диапазоном 10.1.1.2-10.1.1.50. Предполагается использовать всего несколько устройств, для чего достаточно небольшого пула. При необходимости, вы можете увеличить адресный пул. При заполнении всех адресов из пула, DHCP-сервер перестанет выдавать адреса.

Шаг 5. Создаем новый сервер DHCP

В предыдущих шагах мы произвели предварительную настройку, поэтому можно приступать к созданию нового DHCP-сервера, для чего переключаемся на вкладку IP – DHCP Server. В качестве интерфейса обязательно выбираем ранее созданный бридж и указываем адресный пул, созданный в предыдущем шаге.

Если вы сделали все верно, беспроводная сеть заработает. И все бы хорошо, только вот клиенты новой сети будут разделять скорость с клиентами другой локальной сети, а нам этого естественно не хочется, ведь так? А если среди «гостей» найдется любитель торрентов? – о нормальной работе беспроводной сети как, впрочем, и Интернета, можно забыть. Поэтому переходим к шестому шагу.

Шаг 6. Ограничение скорости гостевого Wi-Fi с помощью Simple Queue

И тут на помощь приходят встроенные возможности RouterOS, называемые очередями – «Queue». Заходим в раздел Queues, на первой вкладке Simple Queues необходимо создать новое правило, для чего нажимаем на синий плюс в левом верхнем углу. На настройке правил остановимся более подробно.

• Target – источник запросов; в этом поле требуется указать гостевую подсеть, в нашем случае это 10.1.1.0/24, вместо подсети можно также выбирать бридж, в котором находится WLAN виртуальной точки доступа.
• Upload – скорость отправки данных;
• Download – скорость загрузки;
• Max. Limit – верхний предел скорости; устанавливает верхнее ограничение скорости закачки и отправки.

При указании скорости можно использовать индексы k и M:

• k – скорость в кбит/сек;
• M – скорость в Мбит/сек;

Далее размещены необязательные параметры Burst, которые по-умолчанию отключены, это своего рода турбо-ускорение. Burst состоит из трех параметров, от правильности настройки которых зависит корректность работы этого режима.

• Burst Limit – максимальная скорость в режиме Турбо; эта скорость должна быть больше, чем установленный верхний предел скорости (Max. Limit).
• Burst Threshold – порог срабатывания режима Burst; указанная скорость должна быть меньше верхнего предела (Max. Limit).
• Burst Time – период времени в секундах, в течении которого производится расчет средней скорости.

Как работает ограничение?

Давайте рассмотрим, как это работает на примере.

Target Download: Max. Limit у нас установлен 5М, т.е. максимальная скорость составляет 5 Мбит/сек. Если Burst не установлен, Max. Limit будет обозначать максимальную разрешенную скорость загрузки.

В нашем случае Burst активен и Target Download: Burst Limit устанавливает ускорение до 10 Мбит. И далее присутствуют 2 дополнительные параметра Threshold и Time, являющиеся по сути «переключателями» режима. В течение 10 сек производиться подсчет средней скорости, если она превышает 4 Мбит/сек – Burst отключается.

Как это работает? Если Вася сидит в интернете и просматривает сайты, при обращении к страницам они загружаются с максимальной скоростью до 10 Мбит/сек.

Но как только Вася захочет запустить торрент или начнет интенсивную работу с сетью (скачивание файлов), первые 10 секунд он получит данные с максимальной скоростью 10 Мбит, после чего сработает правило и Burst отключится, установив максимальную скорость 5 Мбит и скорость начнет падать, пока не достигнет лимита скорости в 5 Мбит. Все это происходи из-за того, что средняя скорость за промежуток 10 сек превышает 4 Мбит. Таким образом, мы предоставляем Васе возможность быстрого открытия интернет-страниц и защищаем себя от излишней загрузки нашего интернет-канала.

Лимиты скорости следует выбирать исходя из реальной скорости по тарифному плану. Многое зависит от того, сколько у вас устройств, имеющих доступ к интернет и типа используемых сервисов.

В нашем примере скорость интернет-канала составляет 20 Мбит на прием и 1.5 Мбит на отправку. Таким образом, в пике мы разрешаем Васе использовать до 50% емкости нашего канала, а при интенсивной активности снижаем скорость до 25%.

Шаг 7. Запрещаем доступ в локальную сеть

Заходим в раздел IP – Route (маршруты), переходим на вкладку Rules (правила) и создаем по 2 правила для каждой сети, которую хотим изолировать. Необходимо запрещать трафик в обе стороны, поэтому правил “Action: unreachable” создаем два, первое правило запрещает трафик с гостевой в локальную сеть, второе – с локальной сети в гостевую.

Шаг 8. Запрещаем статические IP в гостевой сети

Никто не застрахован от умников, которые могут подменить свой IP-адрес. Для того, чтобы запретить все статические IP в гостевой сети, вносим изменения в настройки DHCP-сервера. Открываем IP – DHCP Server, выбираем гостевой dhcp и устанавливаем опцию «Add ARP For Leases».

Переходим в раздел Bridge, выбираем гостевой бридж, напротив опции ARP необходимо указать «reply-only».

Шаг 9. Запрещаем управление Mikrotik из гостевой сети

Для того, чтобы ограничить доступ к управлению Mikrotik из гостевой сети, необходимо указать список разрешенных сетей. Открываем IP – Services, по-умолчанию здесь включено много портов, необходимо оставить только те, которыми вы пользуетесь. Лично я предпочитаю оставлять www и Winbox.

Открываем выбранный тип управления, в поле «Available From» следует указать адрес и/или подсеть, из которой будет доступно подключение. В нашем случае мы разрешает только доступ из подсети 192.168.106.0/24. При необходимости, можно указать несколько подсетей и/или адресов.

Отключаем fasttrack

Перед настройкой ограничений скорости в MikroTik необходимо убедиться, что на роутере в фаерволе отключен fasttrack. Эта технология появилась начиная с RouterOS 6.29 и позволяет увеличить производительность путем пересылки данных без их дополнительной обработки. Однако если она включена, то ограничения скорости не сработают. Поэтому fasttrack необходимо отключить.

1. Откройте меню IP — Firewall.
2. На вкладке Filter Rules выберите правило fasttrack connection.
3. Нажмите красный крестик Disable, чтобы деактивировать правило.

Ограничение скорости всем пользователям подсети

Допустим у нас есть входной интернет канал 20 Мбит/с. Мы хотим каждому пользователю подсети сделать ограничение скорости 2 Мбит/с на загрузку и отдачу.

Добавим pcq очередь на загрузку с ограничением 2 Мбит/с.

1. Откройте меню Queues.
2. Перейдите на вкладку Queue Types.
3. Нажмите синий плюсик.
4. В поле Type Name укажите название очереди на загрузку pcq-download-2M.
5. В списке Kind выберите pcq.
6. В поле Rate укажите ограничение скорости на загрузку 2M (2 Мбит/с).
7. Проверьте, что напротив Dst. Address стоит галочка.
8. Нажмите кнопку OK.

Добавим pcq очередь на отдачу с ограничением 2 Мбит/с.

1. Нажмите синий плюсик.
2. В поле Type Name укажите название очереди на загрузку pcq-upload-2M.
3. В списке Kind выберите pcq.
4. В поле Rate укажите ограничение скорости на отдачу 2M (2 Мбит/с).
5. Поставьте галочку напротив Src. Address.
6. Уберите галочку напротив Dst. Address.
7. Нажмите кнопку OK.

Теперь добавим правило с ограничениями скоростей.

1. Перейдите на вкладку Simple Queues.
2. Нажмите синий плюсик.
3. На вкладке General в поле Name укажите название правила queue-limit-2M.
4. В поле Target укажите нашу подсеть 192.168.88.0/24
5. В поле Max Limit в колонке Target Upload укажите максимальную скорость отдачи 18M (18 Мбит/с), которую мы выделяем на всю подсеть.
   Если ваш интернет канал равен 20 Мбит/с, то значение нужно указать на 5-20% меньше, например, 18 Мбит/с, чтобы правила сработали. Иначе скорость будет упираться в шейпер провайдера и правила срабатывать не будут.
6. В поле Max Limit в колонке Target Download укажите максимальную скорость загрузки 18M (18 Мбит/с), которую мы выделяем на всю подсеть.
   
7. Перейдите на вкладку Advanced.
8. В списке Queue Type в колонке Target Upload выберите pcq-upload-2M.
9. В списке Queue Type в колонке Target Download выберите pcq-download-2M.
10. Нажмите кнопку OK.

Теперь проверьте на компьютере скорость с помощью сайта www.speedtest.net или аналогичного мобильного приложения на смартфоне.

Ограничение скорости по IP адресу определенному пользователю

Если вам нужно определенному пользователю, например, директору сделать скорость выше чем у остальных, то выполните следующее:

1. Откройте меню Queues.
2. На вкладке Simple Queues нажмите синий плюсик.
3. В появившемся окне на вкладке General в поле Name укажите название ограничения boss.
4. В поле Target пропишите IP адрес компьютера, для которого будет действовать ограничение.
5. В поле Max Limit в колонке Target Upload укажите необходимую скорость отдачи.
6. В поле Max Limit в колонке Target Download укажите необходимую скорость загрузки.
7. Нажмите кнопку OK.

Если у вас есть правило, которое ограничивает скорость для всех пользователей подсети, то правило для определенного пользователя нужно поднять выше этого правила, чтобы оно сработало. Для этого перетяните его левой кнопкой мыши вверх.

Теперь запустите на компьютере директора speedtest и проверьте скорость. Если на компьютере запустить закачку, то скорость в MikroTik можно посмотреть на вкладке Traffic:

1. Откройте правило и перейдите на вкладку Traffic.
2. В поле Rate в колонке Target Upload видим скорость отдачи.
3. В поле Rate в колонке Target Download видим скорость загрузки.

DHCP сервер через какое-то время может назначить компьютеру другой IP адрес, если истечет время его аренды. Поэтому для указанного IP адреса перестанут действовать необходимые ограничения. Чтобы этого не произошло, нужно привязать IP адрес к MAC адресу конкретного устройства. Как это сделать, написано ниже.

Ограничение скорости по MAC адресу

В MikroTik нельзя ограничить скорость, указав только MAC адрес устройства. Вам нужно сначала настроить ограничение скорости по IP адресу, а потом привязать IP адрес к MAC адресу конкретного устройства.

Привязка IP адреса к MAC адресу выполняется следующим образом:

1. Подключите устройство к роутеру, чтобы оно получило IP адрес.
2. В настройках роутера откройте меню IP — DHCP Server.
3. Перейдите на вкладку Leases.
4. Нажмите правой кнопкой мыши на устройстве, которому нужно привязать MAC адрес к IP адресу.
5. Выберите в выпадающем меню Make Static.

Ограничение скорости всем «качальщикам»

Роутер MikroTik позволяет сделать настройку так, что при просмотре интернет страничек каждый клиент получит максимальную скорость, а как только начнет качать большие файлы, его скорость уменьшится. Для этого настраивается взрывная скорость Burst.

Допустим у нас есть входной интернет канал 20 Мбит/с. Мы хотим, чтобы каждый пользователь по возможности просматривал интернет странички с максимальной скоростью 20 Мбит/с. Но как только он начнет качать большие файлы, его скорость уменьшилась до 3 Мбит/с.

Добавим pcq очередь на загрузку с параметрами Burst.

1. Откройте меню Queues.
2. Перейдите на вкладку Queue Types.
3. Нажмите синий плюсик.
4. В поле Type Name укажите название очереди на загрузку pcq-burst-download.
5. В списке Kind выберите pcq.
6. В поле Rate укажите скорость на загрузку 3M (3 Мбит/с), которая будет действовать, если пользователь начнет качать файлы. Значение Rate должно быть меньше значения Burst Rate.
7. В поле Burst Rate укажите максимальную скорость на загрузку 18M (18 Мбит/с), которая будет по возможности действовать для просмотра интернет страничек, пока пользователь не начнет качать файлы. Если два пользователя будут одновременно просматривать интернет странички, то 18 Мбит/с поделятся между ними. Каждый получит скорость по 9 Мбит/с. Если скорость вашего интернет-канала 20 Мбит/с, то скорость Burst Rate нужно ставить немного меньше, например, 18 Мбит/с, чтобы правила не уперлись в шейпер провайдера и сработали.
8. В поле Burst Threshold укажите скорость 2M (2 Мбит/с), при превышении которой начнет действовать ограничение скорости Rate 3M. Значение Burst Threshold должно быть меньше значения Rate.
9. В поле Burst Time укажите время для подсчета средней скорости загрузки 64. Роутер будет вычислять скорость каждую 1/16 периода. Например, при Burst Time=16 роутер будет вычислять каждую 1 сек, а при Burst Time=32 будет вычислять каждые 2 сек.
   Фактическое время, через которое сработает ограничение на загрузку вычисляется по формуле Real Time = Burst Threshold * (Burst Time / Burst Rate). В нашем случае ограничение сработает через Real Time = 2 * (64 / 20) = 6,4 секунды.
   Для тестирования работы Burst рекомендую сначала поставить большим значение Burst Time. Например, для данного случая лучше поставить Burst Time=192. При этом значении ограничение скорости сработает через 19,2 секунды. Это позволит запустить торрент на компьютере и посмотреть, как будет срабатывать Burst.
10. Проверьте, что напротив Dst. Address стоит галочка.
11. Нажмите кнопку OK.

Добавим pcq очередь на отдачу с параметрами Burst.

1. Нажмите синий плюсик.
2. В поле Type Name укажите название очереди на отдачу pcq-burst-upload.
3. В списке Kind выберите pcq.
4. В поле Rate укажите скорость на отдачу 3M (3 Мбит/с), которая будет действовать, если пользователь начнет передавать файлы в интернет. Значение Rate должно быть меньше значения Burst Rate.
5. В поле Burst Rate укажите максимальную скорость на отдачу 18M (18 Мбит/с), которая будет по возможности действовать для просмотра интернет страничек, пока пользователь не начнет передавать файлы в интернет.
6. В поле Burst Threshold укажите скорость 2M (2 Мбит/с), при превышении которой начнет действовать ограничение скорости Rate 3M. Значение Burst Threshold должно быть меньше значения Rate.
7. В поле Burst Time укажите время для подсчета средней скорости отдачи 64.
   Для тестирования работы рекомендую сначала поставить большим значение Burst Time=192. При этом значении ограничение скорости сработает через 19,2 секунды. Это позволит запустить торрент на компьютере и посмотреть, как будет срабатывать Burst.
8. Поставьте галочку напротив Src. Address.
9. Уберите галочку напротив Dst. Address.
10. Нажмите кнопку OK.

Теперь добавим в Simple Queues правило с ограничениями.

1. Перейдите на вкладку Simple Queues.
2. Нажмите синий плюсик.
3. На вкладке General в поле Name укажите название правила queue-burst-limit.
4. В поле Target укажите нашу подсеть 192.168.88.0/24
   
5. Перейдите на вкладку Advanced.
6. В списке Queue Type в колонке Target Upload выберите pcq-burst-upload.
7. В списке Queue Type в колонке Target Download выберите pcq-burst-download.
8. Нажмите кнопку OK.

Теперь проверьте на компьютере скорость с помощью сайта www.speedtest.net. Она должна стремиться к максимальной 18 Мбит/с. После этого поставьте на закачку торрент и посмотрите, как измениться скорость. Если вы использовали Burst Time=192, то через 20 секунд после старта закачки торрента скорость упадет до 3 Мбит/с.

Ограничение скорости определенному «качальщику» по IP адресу

MikroTik позволяет по IP адресу ограничить скорость определенному пользователю, который качает большие файлы из интернета. Пока пользователь будет смотреть интернет странички, скорость будет высокой, но как только начнет качать файлы, то скорость уменьшится. Для этого настраивается взрывная скорость Burst.

Допустим, мы хотим, чтобы пользователь просматривал интернет странички с максимальной скоростью 20 Мбит/с. Но как только он начнет качать большие файлы, его скорость уменьшилась до 3 Мбит/с.

1. Откройте меню Queues.
2. На вкладке Simple Queues нажмите на синий плюсик.
3. В поле Name укажите имя ограничения dima-burst-limit-3M.
4. В поле Target укажите IP адрес пользователя 192.168.88.254, для которого будет действовать ограничение.
5. В поле Max Limit в столбце Target Upload укажите скорость отдачи файлов в интернет 3M (3 Мбит/с). Она должна быть меньше Burst Limit.
6. В поле Max Limit в столбце Target Download укажите скорость загрузки файлов из интернета 3M (3 Мбит/с). Она должна быть меньше Burst Limit.
7. В поле Burst Limit в столбце Target Upload укажите максимальную скорость отдачи 20M при просмотре интернет страничек. Она должна быть больше скорости Max Limit.
8. В поле Burst Limit в столбце Target Download укажите максимальную скорость загрузки 20M при просмотре интернет страничек. Она должна быть больше скорости Max Limit.
9. В поле Burst Threshold в столбце Target Upload укажите скорость отдачи 2M, при превышении которой, сработает ограничение скорости Max Limit. Значение Burst Threshold должно быть меньше скорости Max Limit.
10. В поле Burst Threshold в столбце Target Download укажите скорость загрузки 2M, при превышении которой, сработает ограничение скорости Max Limit. Значение Burst Threshold должно быть меньше скорости Max Limit.
11. В поле Burst Time в столбце Target Upload укажите время для подсчета средней скорости отдачи 64.
    Роутер будет вычислять скорость каждую 1/16 периода. Например, при Burst Time=16 роутер будет вычислять каждую 1 сек, а при Burst Time=32 будет вычислять каждые 2 сек.
    Фактическое время, через которое сработает ограничение вычисляется по формуле Real Time = Burst Threshold * (Burst Time / Burst Rate). В нашем случае ограничение сработает через Real Time = 2 * (64 / 20) = 6,4 секунды.
    Для тестирования работы Burst рекомендую сначала поставить большие значения Burst Time. Например, для данного случая лучше поставить Burst Time=192. При этом значении ограничение скорости сработает через 19,2 секунды. Это позволит запустить торрент на компьютере и посмотреть, как будет срабатывать Burst.
12. В поле Burst Time в столбце Target Download укажите время для подсчета средней скорости загрузки 64.
13. Нажмите кнопку OK.

На практике это правило будет работать следующим образом. Пользователь будет просматривать странички в интернете с максимальной скоростью 20 Мбит/с. Когда он начнет качать торренты и средняя скорость превысит 2 Мбит/с, то отключится ограничение 20 Мбит/с, и включится ограничение 3 Мбит/с.

Если у вас есть Burst правило для всей подсети, то правило для определенного пользователя нужно поднять выше него. Для этого перетащите его левой кнопкой мыши.

Ограничение скорости по часам и дням недели

Если вы хотите, чтобы ограничение скорости в MikroTik работало в определенные дни недели и часы, то выполните следующее:

1. Нажмите раскрывающийся список Time.
2. В первом поле Time укажите, с какого времени будут действовать ограничения.
3. Во втором поле Time укажите, до какого времени будут действовать ограничения.
4. Выберите по каким дням недели будет действовать правило.
5. Нажмите кнопку OK.

Создание гостевой сети

Переходим к настройке WiFi интерфейсов:

Переходим на вкладку Security Profiles — кликаем по плюсу для создания нового профиля — задаем имя для профиля и настраиваем безопасность:

* в данном примере будет создан профиль с названием profile_wifi_guestWPA2