CRS1072 - 100% CPU load

[CRS1072 - 100% CPU load]

@Стич Netflow - хорошая идея, но у нас там 9 гигов в пике льется.

7 часов назад, Стич сказал:

используйте router на linux

как ведет себя линь в случае ddos?

[CRS1072 - 100% CPU load]

Допускаю. @TriKS 

Я так понимаю, что сделать тут особо ничего и нельзя в этом случае...

[CRS1072 - 100% CPU load]

Имеется CRS1072 в качестве BGP пира (около 3000 маршрутов), достаточно долгое время работал без нареканий. Загрузка CPU  обычно около 10-15%.

Сегодня имели печальный опыт три раза за день: CPU - 100%, уменьшение трафика на 80%, такая свистопляска длится каждый раз ровно 5 минут, и потом все выравнивается само.

В Profile - Firewall в полку. Набор правил - аскетический, все по минимуму.

У кого какие мысли?

[Результаты тестов Mikrotik (RouterOS) в виртуальных средах / X86 / CCR1072 / CCR1036]

19 часов назад, Qlobus сказал:

Под ROS планируется или под другой Linux? 

Боюсь, что ROS )))

[Результаты тестов Mikrotik (RouterOS) в виртуальных средах / X86 / CCR1072 / CCR1036]

Только что, SyJet сказал:

На 25гигах использовать микрот?!!

Гыыы ))  я у шефа на столе две сотки PCIE видел на днях, для этого самого )))

[Результаты тестов Mikrotik (RouterOS) в виртуальных средах / X86 / CCR1072 / CCR1036]

1 минуту назад, SyJet сказал:

"Работает - не трож!!" Не слышали о таком?

Слышал, но не про MT в качестве бордера ))

[Результаты тестов Mikrotik (RouterOS) в виртуальных средах / X86 / CCR1072 / CCR1036]

А есть план на случай если MT обрежет память и мультиядерность в одном из обновлений? 

[Уязвимость в RouterOS v6.46.3 ???]

7 часов назад, alpha_ds сказал:

если учесть что это на 99% был не подбор пароля.

 

Ну и если есть желание придумывать "как сделать лучше" подскажите, как реализовать человеческий fail2ban на mikrotik

Допустим, ваш пароль заполучили одним из тысяч способов, таким как фишинг или социальная инженерия. Как в таком случае fail2ban вам поможет?

7 часов назад, alpha_ds сказал:

Вариант с парсеньем логов по факту у меня не заработал.

Храните копию логов вне роутера - и будете все знать

[Уязвимость в RouterOS v6.46.3 ???]

2 минуты назад, alvisid сказал:

А почему сначала не поднять ВПН

И port-knocking перед VPN навесить. 

[Как защититься от брутфорса с разных IP]

В 28.02.2020 в 01:00, Leninxxx сказал:

Хочется более элегантого решения :)

Закройте полностью PPtP, прикрутите port-knocking, и будет вам счастье ))

[Не восстанавливается VPLS]

2 часа назад, flif сказал:

в частности крайне желательно добавлять loopback так же в этот список из за того что он является transport address

На одной из описанных мной сетей лупбэки не добавлены в MPLS LDP INTERFACE list

 

Глянул пару примеров, лупбэки не добавлены.

[FTTR]

В 24.01.2020 в 02:28, Saab95 сказал:

модули задирали мощность до упора, все грелось и, видимо, общего питания не хватало

Не наш случай. У нас в тесте только пара портов используется - и все равно отваливаются все разом, даже которые были неактивные, кроме 10G

[Как настроить интернет с прокси сервером]

@jffulcrum А я думал, что у него не открывалось, потому что он свой браузер на этот микротиковский прокси не натравил.

Для примера, если наш клиент имеет проблемы с белым айпишником, я захожу к нему на роутер, включаю прокси, свой браузер перенаправляю на клиентский прокси, и выхожу в интернет через его белый IP и вижу его проблемы.

Но HTTP и HTTPS оба работают.

[Как настроить интернет с прокси сервером]

В 22.01.2020 в 09:16, jffulcrum сказал:

не надо его включать.

А нафик тогда там parent proxy по вашему?

[RB4011 on stick]

22 часа назад, Saab95 сказал:

Нет.

Ну плохо, че. 

[FTTR]

2 минуты назад, Saab95 сказал:

А у нас этот хлам работает без проблем.

Прям щас два на столе лопатят тест, у одного ночью все порты, кроме S+ отвалились.

Лечится временно отключением питания не менее чем на 3 минуты

[FTTR]

7 часов назад, Saab95 сказал:

CRS328-4C-20S-4S+RM

этот хлам у нас в полном составе по RMA ушел обратно

[FTTR]

@Saab95 Какой именно? 

[Mikrotik CRS 317-1G-16S+RM]

Я создаю влан на бридже, вешаю на него айпи, включаю фильтрацию вланов, добавляю это vlan id на те порты, где нужно, в том числе и на бридж. Отключаю cooper Ethernet, и втыкаю SFP. Дальше управление идет по SFP, через тот влан.

[Mikrotik CRS 317-1G-16S+RM]

12 часов назад, djakson48 сказал:

Вы имеете ввиду на портах?

На самом бридже, который эти порты объединяет

 

12 часов назад, djakson48 сказал:

И все же во всех источниках этот порт указывается именно для управления.

Я его использую только для начальной конфигурации, или как резервный доступ. Обычно сразу перевожу на Inbound management

[FTTR]

Кто тянет выделенное волокно от ISP до каждого роутера, что ставите на стороне ISP?

На стороне клиента мы ставим HAP AC и 4011, а вы?

[RB4011 on stick]

В 14.01.2020 в 09:17, Saab95 сказал:

Как роутер 4011 нормальная железка, правда SFP не используем, т.к. постоянно отваливается

пофиксили же вроде, не?

[IPSEC+GRE не видят друг друга]

В 18.01.2020 в 07:15, dedy сказал:

Перестало работать

Keepalive с обоих сторон выключен?

 

[Mikrotik CRS 317-1G-16S+RM]

2 часа назад, djakson48 сказал:

на одном были выявлены глюки пропадали пинги от разных узлов

недавно на такие грабли наступил, вроде и не первый раз, а как-то упустил из виду RSTP.

Такая свистопласка была, пока полностью STP не выключил.

Не ваш случай?

[Mikrotik CRS 317-1G-16S+RM]

6 часов назад, djakson48 сказал:

Здравствуйте!

Можно ли использовать порт 1G RJ45  этого роутера для связи с другими коммутаторами?

То есть хочу сделать переход из оптической сети в локальную медную посредством этого порта.

Не торопитесь, точно не помню в каком из микротиков, вроде именно ваш девайс, ethernet порт оказался весьма паршивым. Для первоначального менеджмент доступа он сойдет, но что-то еще я бы не спешил на него вешать. 

У нас было три случая, когда даже пинг дропался до  пары powerswitch, пока их не передвинули на нормальные, не менеджмент, порты. Если есть возможность - не пользуйте, или потестируйте как следует.