[Pirojok]

О вот то что надо - спасибо! единственное что пришлось правила поставить самыми первыми , а то так не работали.

[bizon_a]

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

250 два параметра в чем разница там ? и подскажите 100 секунд это на сколько в адрес лист заноситься маркировка?у меня при 250 конектах умирает полностью закачка торента) нехотелось бы так

[Saab95]

250 это количество пакетов в секунду, можно уменьшить, но сразу оба. Торрент при такой настройке не должен сильно скидывать скорость. Посмотрите в Torch что там и куда идет.

[p9160ff]

Зачем вы уперлись в эти "пакеты в секунду" ?

упираться надо в количество сессий.

[fhntv_smart]

Зачем вы уперлись в эти "пакеты в секунду" ?

упираться надо в количество сессий.

А при чем тут количество сессий, если роутер работает с пакетами?

Роутер работает с заголовками пакетов, объем данных, количество сессий ему побоку.

[p9160ff]

Зачем вы уперлись в эти "пакеты в секунду" ?

упираться надо в количество сессий.

 

А при чем тут количество сессий, если роутер работает с пакетами?

Роутер работает с заголовками пакетов, объем данных, количество сессий ему побоку.

Притом, что ограничивая количество пакетов вы не добьетесь снижения p2p трафика,

единственное чего вы добьетесь - общее снижения качества услуг для всего трафика.

[rc7]

Зачем вы уперлись в эти "пакеты в секунду" ?

упираться надо в количество сессий.

А при чем тут количество сессий, если роутер работает с пакетами?

Роутер работает с заголовками пакетов, объем данных, количество сессий ему побоку.

Нат ложится при большом кол-ве сессий. Это уже проверенно не раз. Поэтому резать нужно не пакеты, а именно сессии.

[Saab95]

Что у вас за тарифы, что процессора не хватает?

[fhntv_smart]

250 два параметра в чем разница там ? и подскажите 100 секунд это на сколько в адрес лист заноситься маркировка?у меня при 250 конектах умирает полностью закачка торента) нехотелось бы так

Вот он - археолог. Бей его.

Изменено 26 марта, 2013 пользователем fhntv_smart

[Trueno]

Оживлю тему. 450й с процом разгон на 800МГЦ перестал справляться.

Два канала - один натится, другой принимается тунель и порты для веб (80, 81, 443) через мангл подмешиваются в выходной траффик.

Затык на нагрузке около 130 мбит.

Так понимаю, что предел уже.

 

Какая модель микротика поможет? Скажем так самый недорогой вариант.

[SOFTOLAB]

Trueno, у меня на простой home настройке 300 мбит/с тянул...

Если уж RB450G явно не справляется, то лучше подумать об x86 с пассивным охлаждением, самое то, тоже думаю со временем на него перейти, когда моего RB450G перестанет хватать.

[Constantin]

Оживлю тему. 450й с процом разгон на 800МГЦ перестал справляться.

Два канала - один натится, другой принимается тунель и порты для веб (80, 81, 443) через мангл подмешиваются в выходной траффик.

Затык на нагрузке около 130 мбит.

Так понимаю, что предел уже.

 

Какая модель микротика поможет? Скажем так самый недорогой вариант.

при включенном НАТ это предел, недорогой это х86

 

 

у меня на простой home настройке 300 мбит/с тянул...

сказочник....

[Saab95]

Оживлю тему. 450й с процом разгон на 800МГЦ перестал справляться.

Два канала - один натится, другой принимается тунель и порты для веб (80, 81, 443) через мангл подмешиваются в выходной траффик.

Затык на нагрузке около 130 мбит.

Так понимаю, что предел уже.

 

Какая модель микротика поможет? Скажем так самый недорогой вариант.

 

Нужно взять еще один роутер и разнести нагрузку, что бы один делал НАТ, а второй все остальное.

[Trueno]

Как это правильно сделать?

Чтобы не было NAT 2 раза.

Допустим у меня есть ещй 750й.

[Trueno]

Или может вообще можно как-то обойтись без NAT ?

Опишу, как всё работает.

На входе имеем два канала.

Один - авторизация по ай-пи + мак, второй канал - ip тунель (кстати можно вместо ip попробовать gre тунель, или нет смысла?)

Первый канал натится напрямую, из второго канала через prerouting забираем порты для веб трафика.

Собственно вот так.

[Saab95]

Значит надо мощный роутер пустить под НАТ, во второй канал воткнуть слабый, отказаться от маркировок роутинга. 400мгц процессора хватает для пропуска около 200 мегабит трафика, не забудьте отключить Connection Tracking.

[Trueno]

А как насчет ubnt? Там вроде роутер за 100+$ с двумя ядрами по 500мгц?

Я о том, что это всё реализовать на нем в линуксе.

[SOFTOLAB]

Constantin,

сказочник....

С чего бы? Я на нем ничего не поднимал, просто DHCP Clien, DHCP Server, маскарадинг, да и все собственно говоря, и тянул вобщем то где то 300 Мбит/с, LAN1 к провайдеру, собственно тестировал я на 100 Мбитном подключении, но 100 в обе стороны было, и еще запас где то в 25-30% CPU, следственно можно предположить что и 300 потянет.

 

PS: У человека много еще чего крутиться, по этому такая низкая скорость...