Ttl exceeded mikrotik что это
Manual:Troubleshooting tools
Contents
Troubleshooting tools
The Microsoft windows have a whole set of helpful command line tools that helps testing and configuring LAN/WAN interfaces. We will look only at commonly used Windows networking tools and commands.
All of the tools are being ran from windows terminal. Go to Start/Run and enter «cmd» to open a Command window.
Some of commands on windows are:
ipconfig – used to display the TCP/IP network configuration values. To open it, enter » ipconfig » in the command prompt.
netstat – displays the active TCP connections and ports on which the computer is listening, Ethernet statistics, the IP routing table, statistics for the IP, ICMP, TCP, and UDP protocols. It comes with a number of options for displaying a variety of properties of the network and TCP connections “netstat –?”.
nslookup – is a command-line administrative tool for testing and troubleshooting DNS servers. For example, if you want to know what IP address is «www.google.com», enter «nslookup www.google.com» and you will find that there are more addresses 74.125.77.99, 74.125.77.104, 74.125.77.147.
netsh – is a tool an administrator can use to configure and monitor Windows-based computers at a command prompt. It allows configure interfaces, routing protocols, routes, routing filters and display currently running configuration.
Very similar commands are available also on unix-like machines. Today in most of Linux distributions network settings can be managed via GUI, but it is always good to be familiar with the command-line tools. Here is the list of basic networking commands and tools on Linux:
ifconfig – it is similar like ipconfig commands on windows. It lets enable/disable network adapters, assigned IP address and netmask details as well as show currently network interface configuration.
iwconfig — iwconfig tool is like ifconfig and ethtool for wireless cards. That also view and set the basic Wi-Fi network details.
nslookup – give a host name and the command will return IP address.
ip – show/manipulate routing, devices, policy routing and tunnels on linux-machine.
For example, check IP address on interface using ip command:
You can add static route using ip following command:
mentioned tools are only small part of networking tools that is available on Linux. Remember if you want full details on the tools and commands options use man command. For example, if you want to know all options on ifconfig write command man ifconfig in terminal.
Check network connectivity
Using the ping command
Ping is one of the most commonly used and known commands. Administration utility used to test whether a particular host is reachable across an Internet Protocol (IP) network and to measure the round-trip time for packets sent from the local host to a destination host, including the local host’s own interfaces.
Ping uses Internet Control Message Protocol (ICMP) protocol for echo response and echo request. Ping sends ICMP echo request packets to the target host and waits for an ICMP response. Ping output displays the minimum, average and maximum times used for a ping packet to find a specified system and return.
Press Ctrl-C to stop ping process.
Press Ctrl-C to stop ping process.
Using the traceroute command
Traceroute displays the list of the routers that packet travels through to get to a remote host. The traceroute or tracepath tool is available on practically all Unix-like operating systems and tracert on Microsoft Windows operating systems.
Traceroute operation is based on TTL value and ICMP “Time Exceeded” message. Remember that TTL value in IP header is used to avoid routing loops. Each hop decrements TTL value by 1. If the TTL reaches zero, the packet is discarded and ICMP Time Exceeded message is sent back to the sender when this occurs.
Initially by traceroute, the TTL value is set to 1 when next router finds a packet with TTL = 1 it sets TTL value to zero, and responds with an ICMP «time exceeded» message to the source. This message lets the source know that the packet traverses that particular router as a hop. Next time TTL value is incremented by 1 and so on. Typically, each router in the path towards the destination decrements the TTL field by one unit TTL reaches zero.
Using this command you can see how packets travel through the network and where it may fail or slow down. Using this information you can determine the computer, router, switch or other network device that possibly causing network issues or failures.
From Personal computer:
Traceroute and tracepath is similar, only tracepath does not not require superuser privileges.
Log Files
System event monitoring facility allows to debug different problems using Logs. Log file is a text file created in the server/router/host capturing different kind of activity on the device. This file is the primary data analysis source. RouterOS is capable of logging various system events and status information. Logs can be saved in routers memory (RAM), disk, file, sent by email or even sent to remote syslog server.
All messages stored in routers local memory can be printed from /log menu. Each entry contains time and date when event occurred, topics that this message belongs to and message itself.
Read more about logging on RouterOS here>>
Torch (/tool torch)
Torch is real-time traffic monitoring tool that can be used to monitor the traffic flow through an interface.
You can monitor traffic classified by protocol name, source address, destination address, port. Torch shows the protocols you have chosen and tx/rx data rate for each of them.
Note: Unicast traffic between Wireless clients with client-to-client forwarding enabled will not be visible to torch tool. Packets that are processed with hardware offloading enabled bridge will also not be visible (unknown unicast, broadcast and some multicast traffic will be visible to torch tool).
The following example monitor the traffic generated by the telnet protocol, which passes through the interface ether1.
To see what IP protocols are sent via ether1:
In order to see what protocols are linked to a host connected to interface 10.0.0.144/32 ether1:
Warning: Traffic that appears in torch is before it has been filtered by Firewall. This means you will be able to see packets that might get dropped by your Firewall rules.
Starting from v5RC6 torch is capable of showing IPv6 traffic. Two new parameters are introduced src-address6 and dst-address6. Example:
To make /ping tool to work with domain name that resolves IPv6 address use the following:
By default ping tool will take IPv4 address.
Winbox
More attractive Torch interface is available from Winbox (Tool>Torch). In Winbox you can also trigger a Filter bar by hitting the F key on the keyboard.
Packet Sniffer (/tool sniffer)
Packet sniffer is a tool that can capture and analyze packets sent and received by specific interface. packet sniffer uses libpcap format.
Packet Sniffer Configuration
In the following example streaming-server will be added, streaming will be enabled, file-name will be set to test and packet sniffer will be started and stopped after some time:
Here you can specify different packet sniffer parameters, like maximum amount of used memory, file size limit in KBs.
Running Packet Sniffer Tool
There are three commands that are used to control runtime operation of the packet sniffer:
/tool sniffer start, /tool sniffer stop, /tool sniffer save.
Below the sniffed packets will be saved in the file named test:
View sniffed packets
There are also available different submenus for viewing sniffed packets.
Figure below shows sniffer GUI in Winbox, which is more user-friendly.
Detailed commands description can be found in the manual >>
Bandwidth test
The Bandwidth Tester can be used to measure the throughput (Mbps) to another MikroTik router (either wired or wireless network) and thereby help to discover network «bottlenecks»- network point with lowest throughput.
BW test uses two protocols to test bandwidth:
Remember that Bandwidth Test uses all available bandwidth (by default) and may impact network usability.
If you want to test real throughput of a router, you should run bandwidth test through the router not from or to it. To do this you need at least 3 routers connected in chain:
Bandwidth Server – router under test – Bandwidth Client.
Note: If you use UDP protocol then Bandwidth Test counts IP header+UDP header+UDP data. In case if you use TCP then Bandwidth Test counts only TCP data (TCP header and IP header are not included).
To enable bandwidth-test server with client authentication:
Run UDP bandwidth test in both directions, user name and password depends on remote Bandwidth Server. In this case user name is ‘admin’ without any password.
More information and all commands description can be found in the manual>>
Profiler
Profiler is a tool that shows CPU usage for each process running on RouterOS. It helps to identify which process is using most of the CPU resources.
TTL (Time To Live) And Fun With Mikrotik TTL Mangle
Wikipedia will be happy to explain.
In a nutshell TTL is a field in the IP header that sets how many routers a packet can traverse. If you have a routing loop and TTL didn’t exist, then the packets could indefinately loop. What’s the problem with that? Packets can travel between two routers with virtually no delay. As the packet races in a loop from router to router it consumes bandwidth and CPU resources…no good-o!
So here’s my test setup:
It’s like looking at some Davinci
As a packet moves through a router the forwarding router reads the packets TTL, subtracts one from it and then forwards it on. If a packet has a TTL of one as it reaches a router it will be dropped before it has an opportunity to forward the packet. In the Mikrotik, the TTL is decremented first thing in the forward chain.
What a ping message shows for an expired TTL packet.
This would be the normal operation, but Mikrotik has a little trick up it’s port. There is a mangle rule that can be created to adjust the TTL to whatever value you want! I was thinking how fun it would be to create a routing loop…so I did. You might be surprised at how adversely a single ICMP packet can affect a router in an infinite loop. (Excuse the screaming children and the random cat noises hehe)
Screenshots for the mangle rules to set TTL to 10: 
The action I set to change TTL. Increment/Decrement will use specified value to adjust by.
Here’s the code version:
/ip firewall mangle add action=change-ttl chain=prerouting comment=»» disabled=no new-ttl=set:10 protocol=icmp
So what would be an advantage of adjusting the TTL manually? You can adjust the TTL down to a lower value so that specific traffic won’t have the opportunity to travel any farther than you want. You could set the TTL on a packet to 1 as it exits the router so that only a host can exist behind your equipment.
Mikrotik- Типичные Проблемы И Их Решения
Mikrotik- Быстрый Старт
Сюда вошли наиболее типичные проблемы микротик и их решения.
Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.
6.1. Как ходит трафик в Микротик?
Это нужно знать наизусть. Иначе можно многое напутать.
Представьте комп с двумя сетевыми картами. Будем называть его ШЛЮЗ.
В одну карту входит интернет. Со второй выходит к свичу.
А к свичу подключены другие компы.
За этими компами люди в интернете лазяют.
Это левая диаграмма. Как раз наш случай с Микротик.
А если на самом шлюзе запускаются браузер, почта и пр.
То это уже Входящий и Исходящий трафик для шлюза. Не транзитный. INPUT и OUTPUT.
Это левая и правая диаграмма, только без центрального блока FORWARD.
В Микротике правая практически никогда не задействована.
Так что про INPUT-OUTPUT забудьте.
Только для блокировки входящих пакетов.
«И на кой черт мне это нужно?» Спросите Вы.
Там есть 3 вкладки Filter, NAT и Mangle.
В NAT есть только цепочки DstNat и SrcNat.
Предположим клиент вашей сети имеет адрес локальный 192.168.0.2
Когда клиент запрашивает веб-страницу, к нему сыплятся пакеты.
Но не на его адрес, а на адрес Микротика. Потому как адрес 192.168.0.2 локальный, и само собой напрямую на этот адрес прийти ничего не может.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
Происходит подмена (из таблицы NAT) для входящих пакетов внешнего IP на локальный.
или DstNat (это для тех, кто пытается достучаться до локальных IP-адресов из интернета)
3. Теперь срабатывают правила в цепочках Mangle Forward и Filter Forward.
Тут уже можно фильтровать клиентов вашей сети.
4.Далее снова срабатывает NAT.
Здесь создаются записи в таблице NAT для исходящих пакетов. Т.е. срабатывает SRC-NAT.
По этим записям будет происходить обратная замена IP, когда придут ответные пакеты.
И для исходящих пакетов происходит подмена локального IP 192.168.0.2 на IP Микротика 80.80.80.1.
Никаких локальных адресов в пакете нет, только внешний адрес Микротика!
Далее все это направляется в шейпер. Queue Tree и Simple Queue.
6.2. Firewall Filter — блокируем и разрешаем.
Здесь создаются блокирующие и разрешающие правила.
Порядок записей имеет значение.
Проверка правил происходит сверху вниз.
Если пакет соответствует правилу, то дальнейшая проверка не происходит, если конечно не стоит галка PassTrugh
Блокируется или входящие пакеты или исходящие.
Важно!
1. Никогда не пытайтесь одним правилом блокировать входящие и исходящие пакеты одновременно.
А лучше блокировать только исходящие пакеты еще на взлете. Входящих пакетов само собой уже не будет.
Да и Роутер разгрузится от лишнего входящего траффика.
Важно! Src.Address и Dst.Address в правилах меняются местами. В зависимости от направления движения пакета.
3. В правилах всегда указывайте Out. Interface или In. Interface.
То же самое (п. 1 и 2) касается и Mangle.
Домашние роутеры Mikrotik:
5x1000xEthernet, 5x100xEthernet, SFP port, 600 Мгц CPU, RAM 64MB
6.3. NAT. Проброс портов.
/ip firewall nat add action=dst-nat chain=dstnat disabled=no dst-port=10010 protocol=tcp to-addresses=192.168.88.10 to-ports=80
В данном случае на компе с адресом 192.168.88.10 запущен веб сервер.
А если с другого компа в интернете набрать в браузере 80.80.80.1:10010
то Вы попадете на свой сайт, который на ходится на компе 192.168.88.10.
6.4. Маркировщик Mangle. Следим и помечаем трафик.
Подчиняется тем же правилам, что описаны в разделе 6.2. FireWall Filter.
Но Мангле ничего не запрещает и не разрешает. Он просто помечает трафик.
Соединения, пакеты, маршруты и пр.
Умеет также добалять в AddressList, Менять TTL пакетов, приоритет, порядок цепочек и пр. пр.
Это для дальнейшей обработки в файрволле или шейпере.
6.5. Address List. Для чего он?
Это в основном для того, чтоб не указывать кучу однотипных правил для разных IP, а кинуть эти IP в один Address List.
И затем создать только одно правило на этот Address List.
Чрезвычайно удобная штука!
6.6. Нарезаем скорость. Simple Queues.
Важно! Проверка правил шейпера происходит сверху вниз.
Если какое-то правило шейпа сработало, то дальнейшая проверка уже не производится!
Добавляем IP или список IP, для которых в сумме можно выставить максимальну скорость Max Limit.
Отдельно входящую и исходящую скорость.
Также можно включить дополнительные колонки, которые показывают входящую и исходящую скорости (Total Tx Bytes, Total Rx Bytes).
(Правой кнопкой мыши по окну Queue. Затем Showcolumns и крутим ниже. )
А также потребленный входящий и исходящий трафик. (Rx Avg. Rate и Tx Avg. Rate )
Начиная с момента последней перезагрузки роутера.
Можно скорости писать в виде 500K, 2M, а также можно указать скорости Burst Limit (с Burst TreshHold, Burst Time)
Это взрывная кратковременная скорость.
Очень эффективно при низкоскоростных тарифах и если Вас качальщики задрали.
Веб сайты открываются тогда моментом на Burst скорости, а закачки идут на обычной скорости.
Если у Вас Dual Access, то можно для каждого клиента создать еще одну дополнительную запись с высокой скоростью на локальные ресурсы.
Эту запись нужно поставить выше основной записи клиента.
Если Вы скорость на локальные ресурсы не хотите подрезать вообще, то
и поместить ее на самый верх.
Важно! Очень советую в самый конец добавлять правило END.
На этом правиле будет учитываться, подрезаться или блокироваться весь неучтенный трафик.
Ну например Вы по невнимательности забыли кого-то добавить в шейпер.
И человек получит всю доступную скорость без любых огранечиний! Тем самым может положить канал!
Правило END для учета и подрезки неучтенного траффика:
add interface=all max-limit=100k/100k name=END target-addresses=192.168.0.0/16
Домашние wi-fi роутеры Mikrotik:
2.4Ггц, 1000mW, 5x100xEthernet, USB port, 600 Мгц CPU, 128MB RAM
2.4Ггц, 1000mW, 5x1000xEthernet, USB port, 600 Мгц CPU, RAM 128MB
6.7. Нарезаем скорость. Tree Queues.
По функциональности он гораздо продвинутее. Этот шейпер срабатывает раньше Simple Queue.
Эффективен особенно при методе PCQ.
И большом количестве клиентов 100 и более.
В нем входящая и исходящая скорости нарезаются отдельными правилами.
Он работает только в связке с Мангле.
Это тарифные планы.
2. Далее в IP-Firewall-Mangle маркируем Connection-ы.
Эти два правила будут будут нарезать трафик всем клиентам.
Достаточно адрес IP клиента добавить в нужный Adrress List.
Все остальное аналогично.
А как же смотреть, кто сколько скачал и на какой скорости и кто качает?
Эти записи ставим ниже записей mark-connection и mark-packet.
6.8. Включаем Графики.
Графики траффика доступны для всех интерфейсов, и Simple Queue. А также доступны графики загрузки процессора, памяти, флеш-памяти. За сутки, за неделю, за месяц, за год.
Просто добавьте нужные позиции.
Посмотреть графики можно на Веб-странице Микротика.
При перезагрузке графики сохраняются.
При перепрошивке графики обнуляются.
6.9. IPTV настройка.
Скачиваем версию пакетов под ваш Микротик
Важно! Версия пакета должна совпадать с версией вашей Router OS!
Распаковываем. Перетаскиваем multicast. npk на WinBox.
Далее идем в System-Packages. Там должен быть multicast пакет.
6.10. Резервирование 2 и более каналов.
По умолчанию пакеты идут через WAN1.
/ip route
add check-gateway=arp dst-address=0.0.0.0/0 gateway=80.80.80.1 routing-mark=r1 distance=1
add check-gateway=arp dst-address=0.0.0.0/0 gateway=90.90.90.1 routing-mark=r2 distance=2
6.11. Балансировка 2+ каналов.
Балансировка через маршруты. Соединения вперемешку будут идти через WAN1 или WAN2
Метод хорошо работает при каналах приблизительно равных по скорости.
Разница по скорости каналов не должна отличаться более чем в 2 раза.
/ip firewall mangle
add act=mark-connection ch=prerouting connection-state=new new-connection-mark=c1 nth=2,1 passthrough=yes
add act=mark-connection ch=prerouting connection-state=new new-connection-mark=c2 nth=2,2 passthrough=yes
add act=mark-routing ch=prerouting connection-mark=c1 new-routing-mark=r1 passthrough=yes
add act=mark-routing ch=prerouting connection-mark=c2 new-routing-mark=r2 passthrough=yes
/ip route
add check-gateway=arp dst-address=0.0.0.0/0 gateway=80.80.80.1 routing-mark=r1 scope=255
add check-gateway=arp dst-address=0.0.0.0/0 gateway=90.90.90.1 routing-mark=r2 scope=255
Можно добавить еще маршрут без маркировки на всякий пожарный:
add disabled=no dst-address=0.0.0.0/0 gateway=80.80.80.1 scope=255
Важно! При каналах сильно отличающихся по скорости он мало эффективен.
В таком случае советую использовать резервирование каналов по п. 6.10.
Слабый канал погоды все-равно не сделает. А скоростному мешать будет.
Балансировка через скрипты.
6.12. Запрет определенных сайтов по имени.
Открываем New Terminal. И вставляем наше правило. Не забудьте поднять его наверх.
Можете также вручную кнопкой [+] создать это правило.
/ip firewall filter add act=drop chain=forward cont=»Host: mikrotik.org» prot=tcp src-address=192.168.0.2 in-int=LAN1
Все. сайт mikrotik.org больше не откроется.
Тем самым Вы блокируете только исходящие запросы еще на взлете.
Роутеру уже на нужно фильтровать входящие пакеты от этого сайта,
потому как Входящих пакетов само собой дальше уже не будет.
А исходящий трафик обычно в 10-20 раз меньше входящего.
Да и фильтруются только исходящие TCP запросы.
Кроме того не будут блокироваться сайты, содержащие строчку Host: mikrotik.org
и будут проходить get-запросы содержащие строчку mikrotik.org.
Что есть очень хорошо.
Если нужно блокировать доступ к сайту для всех компов, убираем эту строчку src-address.
6.13. Определяем у кого стоят роутеры по TTL.
Все IP адреса, которы сидят за роутерами, попадут в Address-List Router
/ip fi ma
add ac=add-src-to-address-list ch=prerouting in-i=LAN1 ttl=equal:63 address-list=Router
add ac=add-src-to-address-list ch=prerouting in-i=LAN1 ttl=equal:127 address-list=Router
И наоборот, можно спрятать вашу сеть от фильтра TTL провайдера.
/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes
Это правило поднимите на самый верх.
6.14.Блокируем порты спамеров.
1. Блокируем порты спамеров и зараженных троянами-вирусами компов.
/ ip firewall filter
add chain=forward prot=tcp dst-port=25 src-address-list=spammer act=drop
2. Добавляем в address-list=spammer наших спамеров на 30 дней :
/ ip firewall filter
add chain=forward prot=tcp dst-port=25 connection-limit=30,32 limit=50,5 src-address-list=!spammer action=add-src-to-address-list address-list=spammer address-list-timeout=30d
Вы ж не хотите, что б Ваш провайдер Вам позакрывал порты? Или хотите?
6.15. Настройка Static DNS.
Static DNS
нужен чтобы к любому компу в сети обращаться не по IP адресу, а по придуманному имени. Что очень удобно.
Таперь на наш роутер можно заходить по myrouter.net
6.16.Кешируем с помощью Web-Proxy.
Кеширование используется для:
1. Ускорения интернет. Особенно Эффективно при медленном интернете.
Часто запрашиваемые файлы хранятся на флеш-памяти или винте.
2. Для экономии траффика. Хорошо при платном траффике.
Весь трафик проходит через прокси микротика.
На прокси ставиться порт 8080.
И затем включается прозрачный прокси.
6.17. Редирект на страницу-напоминалку.
К примеру у Вас есть комп в сети 192.168.0.10.
Там находится Веб-сервер и страница-напоминалка-пополнялка-личный кабинет.
Она доступна по адресу 192.168.0.10
2. /ip firewall nat
add act=dst-nat ch=dstnat dst-port=80 in-int=LAN1 protocol=tcp src-address-list=!ALLOW to-addr= 192.168.0.10 to-ports=80
Это правило кинуть выше правила srcnat!
Все. редирект работает.
Эти правила кинуть вниз.
Это для полной блокировки любой активности (а не только ВЕБ-серфиннг) юзеров, которые не в ALLOW.
Один клик и готово.
А в 404.php сделать include вашей страницы напоминалки.
Или просто скопировать ее содержимое.
Вот так все просто.
6.18. Шейпим торренты.
Торренты задрали? Тогда Вам сюда. Б локировка torrent на mikrotik.
Данный метод режет все торренты. И шифрованные в том числе. И он нересурсоемкий для Микротика.
Хотя его можно еще ускорить. Знаю как. Но не скажу
Маркируем входящие торрент-пакеты по размерам, портам и протоколам:
/ip firewall mangle
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent p2p=all-p2p passthrough=no
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=576
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1240
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1330
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1400
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=tcp src-port=1024-65535 packet-size=1460
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=398
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=748
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1430
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1448
add act=mark-packet ch=prerouting in-i=WAN1 new-packet-mark=Torrent passthrough=no protocol=udp src-port=1024-65535 packet-size=1466
В Simple Queue можно каждому указать скорость на торрент в отдельности.
Т.е. для каждого IP создать дополнительную запись.
Эта запись должна быть выше основной записи IP клиента.
Или уже решайте на свое усмотрение, что с этими маркированными пакетами делать.
Учитывайте, что сюда также могут иногда попасть пакеты из онлайн игр.
Других более эффективных методов маркировки торрентов нету.
По крайней мере я не знаю таких.
Категории
Производители
Новости
Советы
Копирование любой информации с сайта без размещения активной обратной ссылки запрещено.