Mikrotik QoS для SIP телефонии
Раздача интернет- канала на несколько SIP- телефонов в «серой» сети за NAT.
Вообще-то речь пойдет не про QoS… Данный конфиг был найден где-то на просторах англоязычного Интернета и предлагает доволно спорный, но возможно, рабочий вариант приоретизации трафика по размеру пакета. В первоисточнике утверждается, что конфигарация слита с «боевого» роутера, и более того, используется провайдером при подключении абонентов...
# Включаем connection tracking:
/ip firewall connection tracking
set enabled=no generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
# В правилах файрвола блокируем весь трафик, относящийся к SMB:
/ip firewall filter
add action=drop chain=forward comment=»» disabled=no dst-port=445 protocol=tcp
add action=drop chain=forward comment=»» disabled=no dst-port=135-139 protocol=tcp
# Маркируем трафик для последующей передачи планировщику пакетов:
/ip firewall mangle
add action=mark-packet chain=prerouting comment=OSPF disabled=no new-packet-mark=ospf passthrough=no protocol=ospf
add action=mark-packet chain=prerouting comment=ICMP disabled=no new-packet-mark=icmp passthrough=no protocol=icmp
add action=mark-packet chain=prerouting comment= «Small Packets» disabled=no new-packet-mark=small packet-size=0-256 passthrough=no
add action=mark-packet chain=prerouting comment= «Large Packets» disabled=no new-packet-mark=large packet-size=257-1550 passthrough=no
# Здесь собственно, сам NAT для раздачи интернета:
/ip firewall nat
add action=src-nat chain=srcnat comment= «SRCNAT ethernet clients on IC->WS» disabled=no out-interface=ether1 src-address=__NATed_Addresses__/24 to-addresses=___INET_ADDRESS___
# Далее идут Service Ports (по терминологии Mikrotik) — то есть ALG:
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
# Следущее правило (SIP ALG, nat sip helper) далеко не везде стоит включать, так как современные SIP — железки и программы прекрасно умеют работать за NAT, и включение SIP ALG может их «запутать».
set sip disabled=no ports=5060,5061
set pptp disabled=no
Читать дальше
Вообще-то речь пойдет не про QoS… Данный конфиг был найден где-то на просторах англоязычного Интернета и предлагает доволно спорный, но возможно, рабочий вариант приоретизации трафика по размеру пакета. В первоисточнике утверждается, что конфигарация слита с «боевого» роутера, и более того, используется провайдером при подключении абонентов...
# Включаем connection tracking:
/ip firewall connection tracking
set enabled=no generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
# В правилах файрвола блокируем весь трафик, относящийся к SMB:
/ip firewall filter
add action=drop chain=forward comment=»» disabled=no dst-port=445 protocol=tcp
add action=drop chain=forward comment=»» disabled=no dst-port=135-139 protocol=tcp
# Маркируем трафик для последующей передачи планировщику пакетов:
/ip firewall mangle
add action=mark-packet chain=prerouting comment=OSPF disabled=no new-packet-mark=ospf passthrough=no protocol=ospf
add action=mark-packet chain=prerouting comment=ICMP disabled=no new-packet-mark=icmp passthrough=no protocol=icmp
add action=mark-packet chain=prerouting comment= «Small Packets» disabled=no new-packet-mark=small packet-size=0-256 passthrough=no
add action=mark-packet chain=prerouting comment= «Large Packets» disabled=no new-packet-mark=large packet-size=257-1550 passthrough=no
# Здесь собственно, сам NAT для раздачи интернета:
/ip firewall nat
add action=src-nat chain=srcnat comment= «SRCNAT ethernet clients on IC->WS» disabled=no out-interface=ether1 src-address=__NATed_Addresses__/24 to-addresses=___INET_ADDRESS___
# Далее идут Service Ports (по терминологии Mikrotik) — то есть ALG:
/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
# Следущее правило (SIP ALG, nat sip helper) далеко не везде стоит включать, так как современные SIP — железки и программы прекрасно умеют работать за NAT, и включение SIP ALG может их «запутать».
set sip disabled=no ports=5060,5061
set pptp disabled=no