jffulcrum

начнем с минимального. Правила masquerade переделайте на src-nat с указанием конкретного внешнего IP и out сответствующего внешнего интерфейса

@Den4ikArgv То есть у вас ДВА внешних интерфейса?

У вас внешний IP статический или динамический?

Импортозамещение – взгляд от эксплуатации. Что не так с ним. Часть первая и последняя. Серверы / Хабр (habr.com) - про то же самое.

Следующий шаг. Встаем Torch на интерфейс, с которого должны улетать наши пакеты traceroute. Пингуем "подозрительный" IP провайдера с клиентской машины, потом с роутера. Смотрим, что прилетает. Лучше включить в Torch показ протокола.

Надо смотреть в Tools - Profile, чем именно занят процессор. Ускорение обещано для операций вроде перестройки таблицы маршрутизации - оно есть. Чтобы ускорить BGP, надо изучить Routing Protocol Multi-core Support - RouterOS - MikroTik Documentation - не все опции включены по-умолчанию. L3HW конкретно для сценария с BGP сейчас бесполезно, и даже вредно - там есть конфликт с BFD, ну или надо пробовать самые последние версии ROS. Для остальных сценариев надо тестировать. Свитч-чип позволяет делать "бесплатные" bridge, и использовать fast-forward между портами в пределах одного чипа, а также использовать Bridge VLAN filtering (который на старых CCR просто противопоказан).

Для начала, в FW добавим в начало цепочки input правило с accept для протокола ICMP, без фильтраций по запросам и адресам. Картина меняется?

В реальности вообще такой персонал в штат ни у кого желания брать нет. Это ж им условия труда обеспечивать, медстраховки, спецодежда, ОТ, допуски, обучения, отпускные/больничные. Ну-ка на мороз, твари, сами там организуйтесь в ИП/самозанятых, работайте за минималку по ГПО, сами себя инструментом обеспечивайте, самовыпиливайтесь на опорах под напряжением и в колодцах затопленных (абсолютно добровольно, мы вас туда не посылали), а мы еще и тендерок среди вас, уродов, устроим, кто дешевле продастся чтобы иметь право у нас поработать, ведь работать в [name omitted] - большая честь! Если что, вон "трудолюбивые Ахмеджоны" за забором стоят.

И дальше ничего? А с самого роутера?

У вас UEFI загрузка? И работает? В этом месте карлсоны от БП вытягивают, но подразумевается, что с морды холодный коридор.

Стандартно просим до городской IX обеспечить. Все понимают и обычно в состоянии реализовать. Можно и до IX конкретного региона, или до конкретного ЦОД - тоже делается. Естественно, применяется MPLS или иные методы, и на стороне абона ставится что-то умеющее в MPLS и QOS. Но, скажем, до Хетцнера можно было и не мечтать и более благостные времена - отчасти из-за политики самих фошиздов, с их сменами анонсов еженедельными. Стандартно есть должность CTO, в наших гыр-тыр-прайсных реалиях - повсеместно. Видел даже прописывание в уставе. В крупной публичной конторе обычно и вице-президент по подобным вопросам есть, с голосом в правлении. Проблема скорее в том, что сами технари себя опускают. В ИТ так такое было сплошь и рядом, после ITSM стало модно обмазываться говном и кричать при всех, какой я плохой. Я еще не видел главного бухгалтера, который бы рвал волосы и каялся, что его бухгалтерия тормоз бизнеса и расходная часть (хотя зачастую так это и есть), и опережающе самореформировался, чтобы другим подразделениям было удобнее его "штурвал на себя" и чтобы была полумифическая "прозрачность". И в более широком плане те же истории: стабильно недоплачиваемый инженерный персонал боится потерять работу, рад любой подачке и сам себе подписывает на статьи, эвон в "Крокус" оказалось "Зимняя вишня-2", а ведь деньги там были, и прямо под рукой царя, и ближние бояре его даже там выступали - а все равно одни твари потребовали экономить, а чушпаны с вышками подписались под строительной и приемочной документацией. Впрочем, это не чисто русская проблема, как показали товарисчи из "Боинг".

Да, два одинаковых контроллера поставить в один сервер нельзя. Нужно больше портов - бери контроллер с большим числом портов. И даже обычный LSI вас врядли спасет, BIOS RAID подерутся. Только вырубать режим RAID и использовать просто как интерфейсные платы, это работает, и некоторые контроллеры прямо шли с джампером и образами BIOS под такой сценарий. Ну или в BIOS Setup вообще запретите OpRom для плат, в ОС они работать вдвоем будут, только грузиться придется с чего-то еще, флешки там. Я уже не помню, в каком году IBM уменьшила вендорлок с необходимости подтверждать каждую загрузку с клавиатуры на просто ругань при старте. x3650 M3 вышла в 2010-м, пограничное время. Должны быть в Problem Determination and Service Guide - IBM System x3650 M3 (4255, 7376, 7945) and IBM Smart Analytics System 5600 (7949) Почти все IBMовское лежит на support.lenovo.com , нужен VPN и желательно виртуалка с не-российской локалью, таймзоной и прочим. Ну и почта для регистрации учетки нерусская. Так-то там несколько вариантов моделей было, 4255, 7945, 7949 - они начинкой отличались, и некоторое firmware типа FRU у них разное, прошьете не то - можно обрести трупик. Контроллеры не мрут, а вот батарейки только в путь, в ту пору у LSI батарейки были хреновые, всего несколько сот циклов перезарядки. Что касается продуваемости - так M5015 обычная PCI-E карта, а не мезонин. Если у вас мезонин, то это что-то другое.

У Ростелека-то?

Смотря какая память. Если обычный NAND- можно выпаять чип и воткнуть в платку USB-флешки, проверив предварительно, что контроллер флешки такую флеш-память умеет. После чего натравить GitHub - AltraMayor/f3: F3 - Fight Flash Fraud Если память NOR, а такое в сетевом оборудовании часто, то там хороших вариантов мало. Или какие-то дорогие комбайны с ebay, или Raspberry и куча паяния и программирования.

Пока только отписки от руководящего органа Исходящий.docx

Скорее всего да, у меня есть такой же труп - bootloader отрабатывает, но основной образ и не думает загружаться, как вокруг не прыгай. Кстати, может сама флешка "протёрлась", надо будет проверить.

C IpSec + любое туннелирование вы связаны скоростью одного ядра, так сделано у МТ, чтобы избежать задержек и соблюсти очередность пакетов. Так что или выключать шифрование, или использовать голый IPSEc в режиме транспорта, или же брать роутер с более быстрыми ядрами - на ARM. В последних ROS сделали мультипроцессорность для Wireguard, обновитесь и попробуйте с ним.

IP-IP Шифровать-то надо?

Открывается с Мегафна и Чмобита в СПб

Забавно, я как раз с Intel сталкивался. Даже с X520 было поначалу. А Emulex один раз вообще на все деньги порадовал, в сеть отдавал пакеты на 512 байт меньше, чем в настройках, и выяснилось это только с помощью Wireshark. Разумеется, потом уже нашлась технота, где было сказано "это не баг, это фича, читайте мелким шрифтом". Это еще пока у нас два участника. Там еще коммутаторы и роутеры есть, а если еще и инкапсуляция какая, в GRE/MPLS/VxLAN, то вообще веселье. Но больше всего радовали коробки безопасников. Одна, вроде Watchguard, вообще тупо резала все фреймы выше 1532, ибо "в интернете таких пакетов не бывает, это всё хакеры, крекеры, куки, спамы"

Jumbo frames - это штука исключительно для контролируемого окружения, где все участники имеют возможность и желание разбираться с его работой и возникающими проблемами. Проблемы могут возникать разнообразнейшие. К примеру, сервер под виндой успешно работает с Jumbo Frames 8К, а после перехода на Linux внезапно умеет уже только 4К. Или при включении какого-то протокола на роутере максимальный размер Jumbo меняется, причем без предупреждения. Дополнительно, даже сетевое железо, особенно недорогое, не всегда тщательно тестируется производителем для всех сценариев с Jumbo, и после включения начинают лезть глюки. С дешевым железом все еще и ухудшается проблемой нехватки буферов при переливе между разноскоростными подключениями - там и так обычно буфера кот нассал, а с Jumbo становится еще жестче. QoS с Jumbo я не припоминаю за 25 лет ни одного случая, когда оно работало как написано в мануале "искаропки", всегда приходилось открывать тикеты у вендора. Да даже сама настройка не всегда очевидна, например на одной стороне написано в интерфейсе: 9К, и на другой - 9К, вот только у первой это на самом деле 9000, а у второй 9216. Так что вы должны быть на 100% уверены в соседе, что у того еть время и способности на достижение работоспособной конфигурации. Хотя это и не исключает ситуаций "прокатило".

Использовать можно, выявлял подобные системы, работали годами. Однако, в системах с чётностью/контрольными суммами, типа RAID-5, где постоянно идут вычитки сумм, медленный диск будет тормозить весь массив.

Но тут хоть какое-то изобретательство...контроллер от электросчетчика воткнуть для управления дежуркой и парой светодиодов.