shipilev

Потроллил Микротик в Твитторе и вот ответ: "Certification delay, sorry, but hoping November"

Что-то да, Q3 на прошлой неделе кончился. Что там, Nanaiki, не появилось в вендорских листах ничего? :)

Нет, "обычного" клиента нельзя, так в hAP lite только одно радио. Можно поднять WDS-линк до другой AP, но вторая точка должна знать и уметь тот же WDS.

Я на микротиковском форуме месяц назад спрашивал, мне ответили, что типа сферическая: http://forum.mikrotik.com/viewtopic.php?f=3&t=97035 Верится, однако, с трудом.

Т.е. речь идёт о том, чтобы навелосипедить: девайс <---wifi---> SXT <---wifi (2км)---> SXT <---wifi---> планшет Не сценарий ли это для WDS, когда каждый из SXT репитит пакеты по всему мешу? (Решение не менее шлаковое, чем сама идея)

Потому что Client Tx Rate должен чтить сам клиент. http://wiki.mikrotik.com/wiki/Manual:Interface/Wireless#Properties "This is a proprietary extension that is supported by RouterOS clients." Шейпер на Simple Queues или Queue Tree делайте. PCQ, если вам на каждого клиента надо дать полосу: http://wiki.mikrotik.com/index.php?title=Manual:Queues_-_PCQ_Examples&redirect=no

Обычная проблема, периодически ломают и чинят. Последний раз сломали в 6.28, последний раз починили в 6.29. udp/5678 -- это микротиковский neighbor discovery, не удивительно, что у него src mac -- роутерный. Ну и это, наверняка, не относится к двум предыдущим "проблемам". Они просто так появились? Если апгрейдили ROS, даунгрейдите обратно и багрепорьте.

Я, наверное, тупой, но не понимаю. У вас в тестах L2 бридж? Какая процу разница, пакеты от tcp-трафика или от udp-трафика летают? Правильно написали, там было про загрузку процессора микротика, с которого запускали тест по TCP. Хм. На аттаче видно, что это загрузка именно Повербима. В чём разница между 100 мбит tcp трафика и 100 мбитс udp трафика с точки зрения бриджа?

Я, наверное, тупой, но не понимаю. У вас в тестах L2 бридж? Какая процу разница, пакеты от tcp-трафика или от udp-трафика летают?

А "Profile" что показывает-то? Если там вообще idle нет, то файрвол поди надо оптимизировать? Я бы попробовал mangle на conntrack использовать, чтобы каждый раз пакеты не матчить на address list, плюс passthrough выключать. Что-то вроде: /ip firewall mangle add action=mark-packet chain=forward connection-mark=up-Bolshaya new-packet-mark=up-Bolshaya passthrough=no add action=mark-packet chain=forward connection-mark=down-Bolshaya new-packet-mark=down-Bolshaya passthrough=no add action=mark-connection chain=forward connection-state=new src-address-list=Bolshaya new-connection-mark=up-Bolshaya add action=mark-connection chain=forward connection-state=new dst-address-list=Bolshaya new-connection-mark=down-Bolshaya (Где-то на микротиковской вики это описано)

"Вы образование какое-то получали по сетевым технологиям?" (с) Ничего, что (в т.ч. на микротиках) dns-сервер слушает на обоих 53/udp и 53/tcp? Раз никто ещё не атаковал, то не надо и защищаться? Starting Nmap 6.40 ( http://nmap.org ) at 2015-06-11 17:24 MSK Nmap scan report for 192.168.79.1 Host is up (0.00030s latency). Not shown: 995 closed ports PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain <---! 80/tcp open http MAC Address: xx:xx:xx:xx:xx:xx (Routerboard.com) Да-да, чтобы через месяц после настройки динамический интерфейс от USB-модема продолбать.

У меня выглядит так: /ip firewall filter add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=udp add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=tcp Когда пинг дикий до ближайшего DNS, имеет смысл кешировать локально -- мне разница через 100мс туннель чувствуется. Через мобильный интернет наверяка тоже будет чувствоваться.

"Нужно больше микротиков", лишь бы не усложнять конфигурацию двумя строчками в файрволе. Oh wait, это же анекдот, да? Про "надеть презерватив, смазать йодом, сверху второй, смазать зелёнкой, сверху третий, загипсовать, сверху четвёртый, забетонировать, а главное - никаких половых связей". Ну точно анекдот. Третий микротик должен будет следить за первыми двумя интеллигентами.

Ну дак посмотрите в трафик, вы может давно часть ботнета для DNS Amplification Attack ;) Надо файрволом закрывать DNS от внешней сети. (В дефолтовой конфигурации, емнип, входящий трафик на eth1-gateway дропается, но вряд ли это происходит на интерфейсе, которым USB-модем смотрит)

Ну хорошо, хорошо, это не будет хаб в L2-смысле, и домен коллизий не увеличится, но ёмкость сети упадёт в таком же разрезе.