» MikroTik RouterOS (часть 3)

Оттестировал RB1100AH.


Соединил его с 10 RB1100 и пустил трафик через IPSec md5 aes192. Суммарный проходящий через чип трафик равен 600Mbit. Загрузка процессора составляла 60-70%.

Начинаю строить на 2хRB1100AH + 2хRB1100 ядро нашей сети. (15 филлиалов, 5 провайдеров с BGP fv, суммарная скорость IPsec 800 Mb в пике, маршрутизация 5 гигабит внешнего трафика).

У кого есть вопросы пишите лично =)

извиняюсь за офтоп, но не нашел куда написать...
где можно купить рабочий б\у RB1000 по приемлемой цене?

vlh
А зачем тебе именно RB1000?
*я к тому что на рынке появились RB1100AH превосходящие по производительности RB1000 по всем показателям.

Цитата:

А зачем тебе именно RB1000?

можно и RB1100, но б\у что бы подешевле,
новый пока не потяну...

Такой же офф-топик как и выше:
#



Добавлено:
ЗЫЖ 493ж до чего бы обновить? (на одном будет 3 р52ашн в виде АП + мост/стенка 100 Мб, другой — просто мост/стенка/шейпер для 1Гб сетки).

Пока для гигабитного моста RB обновил до 5.0 (по (от сюда)), буду гонять с неделю/две. Второй валяется пока на столе, ждёт своего корпуса

Ребята опять вопрос . по L2TP какие порты должны быть открыты , и как задействовать GRE

Цитата:

по L2TP какие порты должны быть открыты

1701/UDP и, возможно, 1701/TCP


Цитата:

как задействовать GRE

установить пятую версию - там всё есть

Chupaka
Спасибо ,

как пробросить порт

схема такая интернет -> модем бридж 10.10.10.1 -> 10.10.10.2 микротик 192.168.1.1 -> сеть
на Mikrotik поднято pppoe соединение к провайдеру
нужно из интернета получить доступ к модему
только пока не понятно как

garbals
для того что бы получить доступ нужен белый IP на микротике,
а с серым если только с помощью TeamViewer, установив его
на компьютер локальной сети, подключится к нему, а уж с него
к модему...

ip динамический белый ip я знаю какой
удалённо подключаюсь winbox к микротику
а ещё нужно зайти на модем глянуть

garbals
Если модем правильный и поддерживает телнет, заходишь винбоксом на микротик, tools-telnet
10.10.10.1

Пытаюсь промаркировать icmp пакеты. Правило

/ip firewall mangle
add action=change-mss chain=forward comment="Change MSS" disabled=no in-interface=inet_01 new-mss=clamp-to-pmtu protocol=tcp tcp-flags=syn
add action=change-mss chain=forward disabled=no new-mss=clamp-to-pmtu out-interface=inet_01 protocol=tcp tcp-flags=syn
add action=mark-connection chain=prerouting disabled=no in-interface=inet_01 new-connection-mark=conn_system passthrough=yes protocol=icmp

В окне IP -> Firewall -> connections под это правило попадают также UDP пакеты




Так и должно быть? или это такой глюк? Пробовал на версиях 4.xx с полным сбросом конфигурации, ситуация такая же. Роутер RB450g

Цитата:

garbals
Если модем правильный и поддерживает телнет,  заходишь винбоксом на микротик, tools-telnet
 10.10.10.1

да точно както не додумался спасибо
хотелось бы на веб интерфейс модема попасть
все спасибо разобрался

Isorkin

Цитата:

Пытаюсь промаркировать icmp пакеты

... а маркируете соединения. а соединения - они такие, у них могут быть и relative, и, судя по описанной ситуации, они могут на свои родительские и дочерние соединения перекладывать метку соединения. так что, "хочешь промаркировать пакеты - маркируй пакеты, а не соединения" (с) =)

Да у меня через маркировку пакетов и стоит сейчас. Хотел вот переделать конфигруцию через маркировку соединений, а уже по нима маркировать сами пакеты. Но столкнулся с такой проблемкой.

Isorkin

Цитата:

через маркировку пакетов и стоит сейчас. Хотел вот переделать конфигруцию через маркировку соединений, а уже по нима маркировать сами пакеты

расскажете, зачем так усложнять?

Народ помогите.
недавно узнал, что провайдер видит мою локальную сеть (по мас адресам) за NATом (версия 3.29). как сделать, что бы пров ничего не видел?

Chupaka
Чтобы минимизировать нагрузку по минимуму, (если у меня через DC++ скачивают по локалке, то нагрузкана роутер стремится к 90-100% (пакеты в локальную сеть провайдера не маркируются)) да и через mark connection можно просмотреть активность траффика по отдельным портам. И в случае, если неправильно отмаркировывается соединение, подправить конфиг.

wwwwwww7

Цитата:

провайдер видит мою локальную сеть (по мас адресам) за NATом

это невозможно по принципу работы сетей

Isorkin
ну, по icmp сильно-то вроде и не качают (не берусь сказать, что совсем не качают, но тем не менее...). а от замены маркировки пакетов на маркировку пакетов с промежуточной маркировкой коннекшенов для tcp/udp-трафика сильно загрузка ЦПУ уже уменьшилась?

Chupaka
Не проверял, дальше маркировки icmp не делал. Но если отмаркировать icmp пакеты по connection, а потом уже по ним - сами пакеты, то загрузка по трафику идет приемлемо. Поэтому пока и остановился, чтоы узнать почему так.

Chupaka
Ну прецедент уже есть.
Моего знакомого пров предупредил по телефону, что отключает его за то что он якобы раздает его (прова) инет третьим лицам. Ну знакомый естественно пошел в контору, по возмущаться. А они ем упоказали, что от его соединения подключено N количество компов. НЕ пойму как это возможно. У него тоже установлен микротик.

wwwwwww7
злой какой у вас провайдер
на ваш вопрос вам Chupaka ответил,
скорее всего он (провайдер) разбирает ваши пакеты, но
от куда он знает, что вы передаете интернет
третьим лицам? может у вас дома несколько
компьютеров - это не запрещено договором.

Цитата:

если отмаркировать icmp пакеты по connection, а потом уже по ним - сами пакеты, то загрузка по трафику идет приемлемо

в каком смысле "приемлемо"?.. у вас основной трафик - icmp?!? я к тому, что стоит попробовать сначала на массивном трафике (tcp), и если будет заметен подъём производительности - тогда только открывать шампанской и думать, сделает ли жутко специфичный icmp погоду на общем фоне

wwwwwww7

Цитата:

А они ем упоказали

показали что? развиваем предположение про маки: в ethernet-сетях мак нужен для того, чтобы передать пакет нужной машине в широковещательном домене. новый домен (новая сетевая) - новый мак, поэтому за маршрутизатором маки не видны, даже если никакого NAT'а нет. на просторах гугла хватает статей о том, как можно обнаружить NAT - но масштабно заниматься анализом TCP Sequence может далеко не каждый провайдер

Chupaka
Ну у меня icmp траффик маленький, просто говорю, что если пометить icmp пакеты через mark connection а потом уже mark packet, то в queue tree вместе с icmp пакетами попадают пакеты UDP и TCP. В итоге выделенный канал под системные пакеты забивается. Если просто маркировать сразу по пакетам icmp, то тогда все в порядке. Вот и думаю по другому как-нибудь не получится отмаркировать icmp пакеты?

Цитата:

Chupaka
я у себя поднимал на рб450г. после ребута роутер не вернулся, пришлось искать ком-кабель и в биосе частоту менять обратно

а разве замкнув контакты, роутер нельзя сбросить в дефолт?

vlh
можно, наверное. настройки, наверное, туда же уйдут а там был роутер в полупродакшене, поэтому перенастраивать с нуля времени не было

Chupaka
Показали мас адреса подключенных компов за микротиком

wwwwwww7
http://serverfault.com/questions/36002/getting-an-ips-mac-address-from-behind-a-router

Chupaka
ты знаешь, у меня тоже rb450g не вернулся после
разгона, то есть пару раз на него можно было зайти,
но не на долго, потому что сам уходил в перезагруз,
а потом ушел и не вернулся, то есть лежит и ласково
моргает своими свето диодами
резетнул, восстановил из бекапа и продолжаю работать на 680...
жаль, а счастье было так возможно .... эх

wwwwwww7
кудесники у вас какие то...
imxo что то вы у себя накосячили....
так для общего развития - Модель OSI