morf

В реальности, может и нет, но закон не отменяет обязанность работы ревизора, тем более, что сейчас новую аппаратную версию сделали.

https://disk.yandex.ru/d/XOtEhzZDEpRufA

C IPv6 не работает😞

Выгрузка состоит из 2 частей: 1. export.php, который обрабатывает файл dump.xml и экспортирует списки в файлы, в которых все отсортировано, в т.ч. и для unbound. 2. sync.php, который работает с этими списками: - работает с несколькими RouterOS - выгружает IP в address-list для заблокированных IP и все IP (для редирета, допустим на squid) - выгружать url в WebProxy - выгружать залоченные домены в DNS микротика - выгружать залоченные домены с A-записями в файл для Unbound В корне каталоге tmp должен лежать dump.xml в sync.php нужно поправить конфиг: $export_route = true; // выгружаем block в ip route blackhole $unbound_dns = true; // выгружаем в unbound $unbound_arecord = '/etc/unbound/a-records.conf'; $MikAdListRedirect = 'REESTR_REDIRECT'; // Address-list для IP redirect $MikAdListBlockIP = 'REESTR_IP_BLOCKED'; // Address-list для заблокированных IP $MikList[] = array ( 'ip' => '3.3.3.3', 'log' => 'admin', 'pass' => 'xxx', 'mik_proxy' => false, // выгружаем в webproxy 'mik_dns' => true, // выгружаем в ip dns static 'mik_adlist_block'=> false, // выгружаем address-list заблокированные IP 'mik_adlist_redirect'=> false, // выгружаем все IP в address-list 'mik_dns_ip' => '127.0.01' // какой IP-подставляем в ip dns static ); export_route выгружает роуты в Linux в виде записей blackhole. Затем уже можно настроить роут-сервер Bird для работы с этими роутами, чтобы он их анонсировал своим пирам. Распространяется, как есть 🙂 https://disk.yandex.ru/d/XOtEhzZDEpRufA sync.zip

Забыл добавить, что в Unbound можно выгружать домены, которые потом отдают 127.0.0.1 адрес для блокировки.

На микрот выгружаю только IP-адреса в разные адрес-листы: те, что заблокированы и те, по которым идет редирет на proxy. Так же поднял сервер маршрутизации (Bird) на Linux и поднял bgp-сессию. Скрипт выгружает в систему IP-адреса из рееестра, а роут-сервер анонсирует их тому, с кем поднял bgp-сессию. Так же выгружаются domain в Unbound DNS-сервер.

Как топикстартер, скажу, что идея использовать WebProxy микротика была хороша только поначалу, когда реестра распух до неимоверных размеров, то WebProxy просто перестает работать и обрабатывать трафик. Переходить нужно на что-то серьезное, либо на Squid,

Все отлично работает. Теги видит, в т.ч. и двойные. Хоть тройные.

10g в LACP. На кой 40G?

fq_codel при нагрузке очень равномерно распределяет нагрузку по выделенной полосе с ограничем скорости. Если при PCQ/pfifo при наргрузке пинг возрастал и мог теряться, то с использованием fq_codel он стабильный. То, что до конечного хоста потерь нет, а на промежуточных хопах есть потери, возможно, говорит о том, что input-трафик для этих марщрутизаторов дропается из-за того, что обрабатывается CPU, а forward-трафик проходит без проблем.

Работает пару брасов на х86, но IPoE. V7 показала себя с лучшей стороны. Особенно их новый тип очередей FQ_Codel. Попробуйте IRQ везде auto поставить и включить RPS на сетевухах.

Скорее всего у человека ломаная х86 под виртуалкой.

Коллеги, у нас сегодня утром тоже был представитель РКН. Все лочится, в том числе и приложения. Проблемы были только с твиттер, но я заранее посмотрел по каким IP долбится приложение и все сети просто залочил. Так же в файрвол добавил блокировку для 80 и 443 портам (udp+tcp) по контенту/Layer7 по ключевым словам: twitter, facebook, instagram

Ты что несёшь ? DHCPv6 в курсе как работает ?

В памятке операторе нет информации о формате записи для СЗИ. Сам еще не понял, нафига они тогда рассылали уведомления.

Ну да, RPS не нужно выключать.

Это как с CCR - год/два на допиливание. Если бы все работало без косяков, то я бы взял для пограничного маршрутизатора.

Вышла стабильная 7.1 попробуйте ее. Вдруг поможет. Обычно последний long-term.

На X86 можно и ROSv6 использовать с картами intel x520. Работает прекрасно.

На CCR1036 ядро чуть шустрее, возможно, поэтому не так ощущается проблема. На 1072 их больше, но слабее. Одно ядро уходит в полку, т.к. для работы служб маршрутизации (ospf, bgp, возможно и ppp) используется одно ядро, а как мы знаем, на CCR оно слабенькое. Попробуйте перейти на V7 ROS, в ней проделана большая работы по распараллеливанию нагрузки по ядрам.

Единственные проблемы, которые у меня были - это дропы при работе с SFP-модулями других вендоров. Перешел на DAC-кабеля, проблемы ушли.

Да Не определяет, но пакеты > 1500 байт пролетают. QinQ проходит во всяком случае. mq-pfifo на интерфейсы и 500-1000 пакетов. System - Resource - Hardware, отключить multi-cpu (Это не то, что все думают).

Привет. Если ROS v6, то однозначно Intel X520, даже китайские клоны хорошо заходят. Если ROS v7, то там уже дофига что поддерживается. С x520 все нормально, мы их DAC-кабелями подключаем. Трафик ~7 Гбит.

Последняя версия уже более менее рабочая. Правда что-то может не быть в GUI, но есть в cli. Маны посмотрите по конфигурации. Кажется с ospf фильтрами есть проблемы, но это не точно. Функции BGP с фильтрами должны работать.

Проблема стара, как мир. В ROS v6 за работы протоколов маршрутизации отвечает только 1 ядро. От сюда все проблемы ROS v6. На CCR 10xx процы Tile со слабыми ядрами, а это еще хуже. На CCR 20xx они перешли на arm и подняли частоту ядра, а значит и работы протоколов маршрутизации стала шустрее, но это не решало проблему ROS v6 полностью. Ситуация полностью изменилась в ROS v7, они сделали процессы, отвечающие за работу протоколов маршрутизации, многопоточными. Даже на CCR BGP получил второе дыхание. Лично тестировал на CCR 1036/1072 и помог латышам отловить пару проблем. Поднимал 3 FV и флапал поочереди. Отрабатывало достойно.