Ttl exceeded mikrotik что это

Как изменить TTL всего выходного трафика в MikroTik?

Что надо дополнительно сделать, что бы весь трафик шел через него? Или я что то не понимаю в этой статистике?

• Вопрос задан более трёх лет назад
• 20049 просмотров

Комментировать
Решения вопроса 2

У меня такой вариант прекрасно работает. (интерфейс не указывайте, pathtrough=yes)

/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:65 passthrough=yes

Ответ написан более трёх лет назад
Комментировать
Нравится 8 Комментировать

Только если вы хотите надуть провайдера, то и MAC нужно поменять, иначе все равно видно что это модем

Ответ написан более трёх лет назад
Комментировать
Нравится 3 Комментировать
Ответы на вопрос 2

Мак адрес не участвует в мобильных сессиях. Менять необходимо IMEI, скажем на нулевой или какой то другой, как вариант от сломанного смартфона или GSM телефона. В случае с микротиком этого достаточно + change TTL конечно же. Проверенно все работает. У микротика на их LTE модемах (R11e к примеру) мак на всех одинаковой и по базам производителей он вообще не бьется, таким образом не понятно что это.

Ответ написан более трёх лет назад
Нравится 2 1 комментарий
Да, перепутал, давно не делал

Благодарю за помощь, интернет заработал. Мне помогли настройки от akelsey
Я не очень разбираюсь в теме, просьба подсказать еще кое-что.
Когда симка в телефоне, такие параметры скорости:

Когда вставил симку в роутер, скорость упала:

После настройки TTL показатели значительно улучшились, но UPLOAD все равно почти в три раза ниже. Это нормально или что-то ещё можно настроить для улучшения показателей?

Ответ написан более года назад
Комментировать
Нравится Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

• VPN
• +1 ещё

Есть сервер, за NAT. Доступен только 22й порт, как превратить его в VPN сервак?

• 1 подписчик
• 6 часов назад
• 35 просмотров

Ttl exceeded mikrotik что это

Межсетевые экраны позволяют отделять локальную сеть от внешнего мира делая ее менее уязвимой. Всякий раз когда сети объединяются есть вероятность что кто нибудь из вне вторгнется в вашу ЛВС. Такие взломы могут привести к потере данных и прочим проблемам. В Mikrotik RouterOS также реализованы такие особенности файервола как маскарадинг, который позволяет скрывать инфраструктуру вашей ЛВС.

MikroTik RouterOS упрощает создание и развертывание сложных политик безопасности. Фактически вы можете легко создавать простой фильтр для трансляции адресов даже не задумываясь о том как пакет обрабатывается маршрутизатором. Но если вы хотите развернуть более сложную политику безопасности необходимо знать некоторые детали процесса. Прохождение пакета через маршрутизатор показано на следующей схеме:

Как вы можете видеть пакет может поступить на обработку двумя путями. Первый пакет прибыл с сетевого интерфейса, второй пакет был порожден самим маршрутизатором. Аналогично пакет может покинуть обработку т.е уйти через сетевой интерфейс наружу или если пакет предназначен локальным приложениям он будет отдан им.

Когда пакет прибывает на сетевой интерфейс правила файервола отрабатываются в следующем порядке.

1. Сначала отрабатываются правила NAT. Файервольные правила цепочки input и решение о маршрутизации отрабатываются после прохождения правил NAT.

2. Если пакет должен быть отправлен через маршрутизатор(forward), то следующим за NAT отрабатываются правила forward.

3. Когда пакет покидает интерфейс первыми отрабатываются правила цепочки output, затем NAT и очереди.

Дополнительные стрелки от IPSec показывают обработку зашифрованных пакетов (сначала пакет проходит шифрацию/дешифрацию, а затем обрабатывается как обычный пакет).

Правила файервола

/ip firewall rule

Описание:
Правило это определенное выражение, которое говорит маршрутизатору что делать с конкретным пакетом. Правило состоит из двух логических частей: установки соответствия и установки действия. Для каждого пакета вам необходимо определить правило соответствия и действие.

Peer-to-Peer Traffic Filtering

MikroTik RouterOS обеспечивает возможность фильтрации трафика для многих пиринговых программ использующих протокол P2P.

ICMP TYPE:CODE values
Для защиты вашего маршрутизатора и стоящей за ним частной сети, вам необходимо сконфигурировать файервол для сброса или отклонения большей части ICMP трафика. Однако некоторые ICMP пакеты необходимы для поддержки бесперебойной работы и диагностики неисправностей.

Общее предложение по фильтрации ICMP трафика.
1. Разрешить исходящий ping ICMP Echo-Request и входящие сообщение Echo-reply
2. Разрешить traceroute TTL-Exceeded и Port-Unrechable входящие сообщения
3. Разрешить path MTU-ICMP Fragmentation-DF-Set входящие сообщения
4. Все остальное блокировать

Тип обслуживания

Интернет-пути изменяются по качеству обслуживания, которое они обеспечивают. Они могут изменятся по стоимости, надежности, задержке и пропускной способности. Эта ситуация предполагает некоторые взаимодействия то есть путь с самой маленькой задержкой может находится в самой медленной полосе. Поэтому самый «оптимальный» путь для пакета следующего через Интернет может зависеть от требуемого приложения и потребностей пользователя.

Поскольку сеть сама по себе не наделена знаниями об оптимизации пути выбранного приложением или пользователем, протокол IP обеспечивает возможность взаимодействия с протоколами верхнего уровня, которые передают подсказки интернет-уровню как должны происходить обмены пакетами для данного соединения. Это средство называют Type of Service (типом обслуживания).

Автор: Yorku, ©»Копипаст»

На правах рекламы: Студия Праздников «ИМПЕРИЯ SHOW» Кинотеатр Павловский Видеонаблюдение. Быстро и качественно. Сайт зарегистрирован в каталоге Top2Web.ru Ремонт компьютеров и ноутбуков в Павловском Посаде.

4ipset.ru® — Ремонт компьютеров, ремонт мониторов, ремонт сотовых телефонов, заправка картриджей и создание сайтов в Павловском Посаде.

Маскируем наш роутер в сети провайдера от TTL-фильтра

В IPv4 TTL представляет собой восьмиразрядное поле IP-заголовка.
Определяет максимальное количество хопов (hop, то есть прыжок, участок между маршрутизаторами), которые пакет может пройти. Наличие этого параметра не позволяет пакету бесконечно ходить по сети. Каждый маршрутизатор, при маршрутизации должен уменьшать значение TTL на единицу, но некоторые шлюзы можно настроить, чтобы игнорировать это. Пакеты, не достигшие адресата, но время жизни которых стало равно нулю, уничтожаются, а отправителю посылается сообщение ICMP Time Exceeded. Если требуется, чтобы пакет не был маршрутизирован (то есть принят только в своём сегменте), то выставляется TTL=1. На отправке пакетов с разным временем жизни основана трассировка их пути прохождения (traceroute). Максимальное значение TTL=255. Обычное начальное значение TTL=64 (зависит от ОС).

Добавим правило в Mikrotik, что бы с имитировать конечное устройство:

/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes

выход из роутера в ван, чендж ттл на 64 и делов

/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:64 out-interface-list="WAN" passthrough=yes

Один wlan закидываем в бридж, другой в WAN и цепляемся к телефону с МТС Тарифище. В правиле прописываем new TTL = 65. МТС ни о чём не догадывается =)

Как работает traceroute?

При проблемах с сетью (не удается подключиться к серверу или рабочей станции, “тормозит” Интернет и т.п.) на помощь придёт утилита traceroute (в Windows – tracert.exe). С ее помощью можно попытаться определить на каком участке IP-сети произошел сбой:

• упал хост (удаленный сервер);
• либо у провайдера проблемы;
• или на данной машине проблемы с IP-соединением.

С помощью traceroute можно исследовать сети, применяя на практике полученные теоретические знания – о маршрутизации, серверах DNS, бэкбонах, системах подсетей, да мало ли о чем еще ��

Нет времени читать статью?�� Заказать диагностику сети и сетевых подключений:�� 8-980-346-05-01 �� support@gotoADM.ru �� Telegram ��

Как работает traceroute?

Для начала нужно вспомнить формат заголовка IP-пакета, точнее одно из его полей – TTL (Time To Live). Это восьмибитное поле задает максимальное число хопов (hop – “прыжок” – прохождение дейтаграммы от одного маршрутизатора к другому) в течение которого пакет может находиться в сети. Каждый маршрутизатор,
обрабатывающий эту дейтаграмму, выполняет операцию TTL=TTL-1. Когда TTL становится равным нулю, маршрутизатор уничтожает пакет,
отправителю высылается ICMP-сообщение Time
Exceeded.

Утилита посылает в направлении заданного хоста пакет с TTL=1, и ждет, от кого вернется ответ time exceeded. Отвечающий записывается как первый хоп (результат первого шага на пути к цели). Затем посылаются последовательно пакеты с TTL=2, 3, 4 и т.д. по порядку, пока при некотором значении TTL пакет не достигнет цели и не получит от нее ответ.

*nix traceroute посылает в сторону заданного хоста UDP-пакеты на произвольный порт – скорее всего не занятый другим сервисом (например 28942, 30471) или на зарезервированный, например 0, умолчанию – 33434. Сначала посылается серия из 3-х таких пакетов с TTL=1, по приходу ответов замеряется время прохождения и определяется доменное имя транзитного узла (хотя это зависит от заданных опций). Затем, посылаются очередные серии пакетов с одинаковым TTL, предназначенных для выявления одного и того же хопа. В конце мы получаем от конечного хоста отклик port unreachable (порт недоступен), что означает завершение трассировки.
Стандартный консольный Windows tracert работает точно также, но посылает только ICMP echo request пакеты.

Читайте также: Сброс коммутатора HP к заводским настройкам

В заключение скажу, не бойся экспериментировать – только так можно по-настоящему “понять” сеть. Ищи информацию и пользуйся ею. Удачи!

Остались вопросы? Напишите их в комментарии!