marcare pacchetti upload e download delle VLAN

[weldox]

Ciao a tutti!

Avrei la necessità di marcare i pacchetti download e upload che vanno dalle mie VLAN all pppoe in modo da poter monitorare e prioritizzare il traffico.

il mio router è un RB1100AHx2.

- eth1 l'ho tenuta come management
- eth2 è la mia porta WAN pppoe (Alice Business, IP statico), collegata al modem.
- eth3 e eth4 sono in bonding e sono un trunk (VLAN10 - VLAN20 - VLAN30) collegato allo Switch1 (un CRS125, 24 porte, rack mounted).
- eth9 è un trunk (VLAN10 - VLAN40 - VLAN 60) che tramite antenna ubiquiti, si collega ad uno switch (CRS125, 24 porte, wifi) in una sede distaccata (Sede2)
- eth10 è un trunk (VLAN10 - VLAN50 - VLAN 60) che tramite antenna ubiquiti, si collega ad uno switch (CRS125, 24 porte, wifi) in una sede distaccata (Sede3)
- eth11 è un trunk (VLAN10 - VLAN30 - VLAN 70) che porta ad un'access point wifi.

prendendo ad esempio la VLAN10, come dovrei impostare le regole mangle per marcare i pacchetti in upload, cioè quelli che partono dai dispositivi appartenenti alla VLAN10 e escono dalla pppoe?
E quelli invece che fanno il percorso inverso, cioè dalla pppoe arrivano ai dispositivi appartenenti alla VLAN10?

Io ho provato così, senza successo:

chain = prerouting
dst.address = 10.10.10.0/24 (subnet della VLAN10)
in.interface = ADSL-Alice-Business (il mio pppoe)
action = mark packet
new packet mark = Ufficio-IN

chain = postrouting
src.address = 10.10.10.0/24 (subnet della VLAN10)
out.interface = ADSL-Alice-Business (il mio pppoe)
action = mark packet
new packet mark = Ufficio-OUT

la prima regola non da segni di vita, pacchetti 0
la seconda segna dei pacchetti ma non mi convincono.

Non capisco la logica. Ho provato a cercare tutorial, leggere il manuale mikrotik, provare configurazioni trovate su forum, guardare video su youtube...ma non riesco a venirne a capo.

potete spiegarmi/aiutarmi?

Grazie infinite in anticipo!

[weldox]

Mi autorispondo così se serve a qualcuno può trovare le informazioni!

Allora...innanzitutto sono riuscito a capire che se uno ha abilitato connessioni "fasttrack" non può gestire le code.

Quindi la prima cosa da fare è riportare ad "accept" tutte le connessioni che avevamo impostato come "fasttrack"...poi si riavvia e così spariscono le dummy rules delle fasttrack.

A questo punto le nostre code sono in grado di gestire il traffico.


Così ho marcato i pacchetti in ingresso ed uscita dalle mie VLAN:

Codice: Seleziona tutto

/ip firewall mangle
add action=mark-packet chain=postrouting comment=\
    "Ufficio - Upload & Download" new-packet-mark=Ufficio-OUT out-interface=\
    ADSL-Alice-Business passthrough=no src-address=10.10.10.0/24
add action=mark-packet chain=forward dst-address=10.10.10.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Ufficio-IN passthrough=no
add action=mark-packet chain=postrouting comment="Voip - Upload & Download" \
    new-packet-mark=Voip-OUT out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.20.0/24
add action=mark-packet chain=forward dst-address=10.10.20.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Voip-IN passthrough=no
add action=mark-packet chain=postrouting comment=\
    "Telecamere - Upload & Download" new-packet-mark=Telecamere-OUT \
    out-interface=ADSL-Alice-Business passthrough=no src-address=\
    10.10.30.0/24
add action=mark-packet chain=forward dst-address=10.10.30.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Telecamere-IN passthrough=no
add action=mark-packet chain=postrouting comment=\
    "Sede2 Gen - Upload & Download" new-packet-mark=Sede2-OUT out-interface=\
    ADSL-Alice-Business passthrough=no src-address=10.10.40.0/24
add action=mark-packet chain=forward dst-address=10.10.40.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Sede2-IN passthrough=no
add action=mark-packet chain=postrouting comment=\
    "Sede3 Gen - Upload & Download" new-packet-mark=Sede3-OUT out-interface=\
    ADSL-Alice-Business passthrough=no src-address=10.10.50.0/24
add action=mark-packet chain=forward dst-address=10.10.50.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Sede3-IN passthrough=no
add action=mark-packet chain=postrouting comment="Game - Upload & Download" \
    new-packet-mark=Game-OUT out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.60.0/24
add action=mark-packet chain=forward dst-address=10.10.60.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Game-IN passthrough=no
add action=mark-packet chain=postrouting comment="Guest - Upload & Download" \
    new-packet-mark=Guest-OUT out-interface=ADSL-Alice-Business passthrough=\
    no src-address=10.10.70.0/24
add action=mark-packet chain=forward dst-address=10.10.70.0/24 in-interface=\
    ADSL-Alice-Business new-packet-mark=Guest-IN passthrough=no
add action=mark-packet chain=postrouting comment=Ufficio disabled=yes \
    new-packet-mark=Ufficio out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.10.0/24
add action=mark-packet chain=postrouting comment=Voip disabled=yes \
    new-packet-mark=Voip out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.20.0/24
add action=mark-packet chain=postrouting comment=Telecamere disabled=yes \
    new-packet-mark=Telecamere out-interface=ADSL-Alice-Business passthrough=\
    no src-address=10.10.30.0/24
add action=mark-packet chain=postrouting comment="Sede2 - Generale" disabled=\
    yes new-packet-mark=Sede2 out-interface=ADSL-Alice-Business passthrough=\
    no src-address=10.10.40.0/24
add action=mark-packet chain=postrouting comment="Sede3 - Generale" disabled=\
    yes new-packet-mark=Sede3 out-interface=ADSL-Alice-Business passthrough=\
    no src-address=10.10.50.0/24
add action=mark-packet chain=postrouting comment=Game disabled=yes \
    new-packet-mark=Game out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.60.0/24
add action=mark-packet chain=postrouting comment=Guest disabled=yes \
    new-packet-mark=Guest out-interface=ADSL-Alice-Business passthrough=no \
    src-address=10.10.70.0/24

Ho quindi impostato le code come segue (ps: per adesso ho limitato solamente la VLAN70 - Guest):

Codice: Seleziona tutto

/queue tree
add name=IN parent=global priority=1 queue=default
add name=OUT parent=global priority=1 queue=default
add name=Game-IN packet-mark=Game-IN parent=IN priority=2 queue=default
add name=Game-OUT packet-mark=Game-OUT parent=OUT priority=2 queue=default
add name=Ufficio-IN packet-mark=Ufficio-IN parent=IN priority=3 queue=default
add name=Ufficio-OUT packet-mark=Ufficio-OUT parent=OUT priority=3 queue=\
    default
add name=Voip-IN packet-mark=Voip-IN parent=IN priority=1 queue=default
add name=Voip-OUT packet-mark=Voip-OUT parent=OUT priority=1 queue=default
add name=Telecamere-IN packet-mark=Telecamere-IN parent=IN priority=5 queue=\
    default
add name=Telecamere-OUT packet-mark=Telecamere-OUT parent=OUT priority=5 \
    queue=default
add name=Sede2-IN packet-mark=Sede2-IN parent=IN priority=4 queue=default
add name=Sede2-OUT packet-mark=Sede2-OUT parent=OUT priority=4 queue=default
add name=Sede3-IN packet-mark=Sede3-IN parent=IN priority=4 queue=default
add name=Sede3-OUT packet-mark=Sede3-OUT parent=OUT priority=4 queue=default
add limit-at=5M max-limit=5M name=Guest-IN packet-mark=Guest-IN parent=IN \
    priority=6 queue=default
add limit-at=350k max-limit=350k name=Guest-OUT packet-mark=Guest-OUT parent=\
    OUT priority=6 queue=default

PS: Se qualcuno dei più esperti vedesse qualche errore od avesse qualche consiglio non si faccia scrupoli a dirmelo! Grazie!!