Перейти к содержимому
Калькуляторы

SOs

Активный участник
  • Публикации

    190
  • Зарегистрирован

  • Посещение

О SOs

  • Звание
    Студент

Информация

  • Пол
    Не определился

Посетители профиля

581 просмотр профиля
  1. - Попробовал aes-128, разницы никакой - Поставил свитч между Микротиками, раскидал шифрование по физическим интерфейсам (eth1 и eth2, в соответствии со внутренней блок схемой). Туннеля оставил 2, по 1 на инт-с. Скорость осталась та же. - Поменял алгоритм балансировки на БОНД инт-се на XOR с хэшем до L4, скорость поднялась до 315 Мб/с полезного трафика (340 Мб/с на интерфейсе марш-ра). Нагрузка на проц почти не поменялась, но стала равномернее. - Перевел все на 1 физический интерфейс, Поменял на AES-256 - Скорость осталась прежняя ~ 310 Мб/с. Проц так же нагружается равномерно. - Удалил бонд, перевел все на один туннель. Скорость та же , проц также. Я ХЗ что было. Похоже все дело было в балансировщике БОНДа. Но до цифры 450 Мб/с все-равно далеко. [admin@MT_1] > export # jan/02/1970 00:11:34 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_1 /system routerboard settings set silent-boot=no [admin@MT_1] > [admin@MT_2] > export # jan/02/1970 00:37:31 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_2 /system routerboard settings set silent-boot=no [admin@MT_2] >
  2. Добрый день! Никак не пойму как "раскачать" шифрование на RB750Gr3 на полную. Макс - 230 Мб/с и почти вся нагрузка на одном ядре (т.е. 2х виртуальных, как понимаю аналог HT). Схема: ПК - MT1 - MT2 - ПК Оба ПК в одной сети, т.е. шифруем прозрачно для ПК. Делал и через L2TP/IpSec и через EOIP/IPSec, и через несколько EOIP/IPSec в BONDе (так несколько SA, вроде должно нагрузку "размазывать" по ядрам). Всегда одинаково - 230 Мб/с, ~50% CPU, и почти вся нагрузка на одном ядре. Как получить рекламные 450 Мб/с или как "размазать" нагрузку по ядрам? Конфиг МТ1 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:34:51 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel2 remote-address=1.1.2.2 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel3 remote-address=1.1.3.2 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel4 remote-address=1.1.4.2 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 add address=1.1.3.1/24 interface=ether1 network=1.1.3.0 add address=1.1.4.1/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] > Конфиг МТ2 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:31:28 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel2 remote-address=1.1.2.1 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel3 remote-address=1.1.3.1 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel4 remote-address=1.1.4.1 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 add address=1.1.3.2/24 interface=ether1 network=1.1.3.0 add address=1.1.4.2/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] >
  3. Добрый день! Никогда не щупал настройку репитера на микротике, а под рукой нет моделей с радио. Можете подсказать: в режиме репитера микротик умеет "отбивать" слабых клиентов?
  4. ipv4 аренда/продажа

    Купим PI /24 + AS. Юр. лицо, безнал. Цены, пожалуйста, в личку.
  5. Переделал. Работает. Спасибо! Думал получится и разные интерфейсы нагородить. Ясно. Буду оперировать в настройках сетями, а не интерфейсами.
  6. А куда повесить 2 внешних IP из разных сетей ? Для пояснения: [1111@CCR1036_12G_4S] > /int vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE ... 2 R VLAN100 1500 enabled 100 ether1 3 R VLAN101_WIFI_GW 1500 enabled 101 ether1 4 R VLAN102_KSPD_GW 1500 enabled 102 ether1 [1111@CCR1036_12G_4S] /interface bridge> print Flags: X - disabled, R - running ... 5 R name="BR_WAN" mtu=auto actual-mtu=1500 l2mtu=1576 arp=enabled arp-timeout=auto protocol-mode=none fast-forward=yes priority=0x8000 auto-mac=yes max-message-age=20s forward-delay=15s transmit-hold-count=6 ageing-time=5m [1111@CCR1036_12G_4S] /interface bridge port> print Flags: X - disabled, I - inactive, D - dynamic # INTERFACE BRIDGE PRIORITY PATH-COST HORIZON ... 4 VLAN100 BR_WAN 0x80 10 none ... 6 VLAN101_WIFI_GW BR_WAN 0x80 10 none 7 VLAN102_KSPD_GW BR_WAN 0x80 10 none
  7. Добрый день! Пните в нужном направлении! Есть роутер "на палке". На него приходит пров протегированный VLAN100, который отдает мне в одном броадкаст домене 2 внешние сети. Думаю, как правильно повесить по IP из каждой сети. Подобрал, что интерфейс VLAN можно использовать наподобие лупбеков Пробовал создавать VLAN'ы с указанием "родительского" VLAN100 интерфейса. Работет, но глючно, иногда пропадает пинг. Рабочее решение на данный момент см. схему. Работает, но меня смущает, что в NAT, Firewall и т.д. нельзя использовать интерфейсы VLAN101 и VLAN102. Пишет, что они "slaves" и требует применить настройки на бридж. Приходится ставить интерфейсом "бридж" и все работает, благо настройки для инт-сов vlan101 и vlan102 идентичные. Можно ли собрать подобныую схему как-то по другому? Чтобь можно было полноценно рулить интерфейсами VLAN101 и VLAN102 ?
  8. nkusnetsov Все это делал. Не помогает. Если вешать трансляцию на порт eth1 (от ISP), то трафик управления ломается до ЦПУ, если Ingress трансляция, либо после ЦПУ, если egress. Накидал для себя https://www.irwx.ru/mikrotik-vlan-crs-lab-2/ в более приближенной к реальной схеме, если кому интересно.
  9. nkusnetsov Все верно. Это /interface ethernet switch ingress-vlan-translation add customer-vid=10 new-customer-vid=20 ports=ether1 /interface ethernet switch ingress-vlan-translation add customer-vid=20 new-customer-vid=10 ports=ether1 пробовал сразу. Управление ломается. Порты по ВЛАНам конечно раскидал. Повторюсь, получилось объединить трафик через выделении отдельных портов в разных ВЛАНах и перемычкой между ними. На этих отдельных портах и перебиваю тэги. В целом ясно, Коллеги. Спасибо всем кто откликнулся!
  10. Здесь договорные ограничения. VLAN10 - договор №1, VLAN20 - договор №2, и все это приходит по одному проводу в определенную точку. Можно конечно все на софтовом бридже собрать и не париться пока скорости небольшие, но интересно понять - возможно ли такое сделать на чипе.
  11. Добрый день! Есть такая схема: "Коммутатор на палочке" )) Требуется чтобы PC1 и PC2 начали общаться и был доступен IP для управления. Посоветуйте, как сделать перебивку тэгов без потери управления. Собрал данную схему с доп. перемычкой на отдельных портах CRS125, где и перебиваю теги. Как сделать такое на одном проводе, не затрагивая трафик управления не соображу. Заранее спасибо!
  12. Посоветуйте ТД от Циски

    Нашел Cisco Aironet AIR-AP1832I-R-K9C Cisco Aironet AIR-AP1852E-R-K9C Cisco Aironet AIR-AP1852I-R-K9C
  13. Добрый день! Есть один клинический случай, у которого в наличии около 50к рублей и жгучее желание поиметь дома ТД Cisco Aironet с поддержкой AC Wave2. Не спрашивайте зачем... Другие надписи кроме CISCO на корпусе ТД его не интересуют. Я не силен в Wifi от циски. Можете посоветовать какую-нибудь модель, применимую дома. С управлением через WEB интерфейс ну и т.п. Спасибо!
  14. VLAN на MikroTik 260G

    https://www.irwx.ru/mikrotik-vlan-soho-lab-1/
  15. В мангле поставьте перебивку mss на 1360 входящего/исходящего tcp трафика (шоб наверняка 8). На туннелях MTU 1400. Везде все одинаково.