vovannovig

Не знаю что вы там пробовали но можно включить НАТ на все... /ip firewall nat add action=masquerade chain=srcnat comment="NAT"

L2 еще можно получить с помощью OpenVPN - рабочий вариант но нагрузка больше(правда не сравнивал с EoIP и OpenVPN без шифрования) Сам ловил глючи EoIP если строить поверх SSTP/PPTP/L2TP(даже пробовал) но это проверялось в начальных релизах 6й версии и как сейчас не знаю.

RuffiAn Прикрипите пожалуйста здесь, думаю не только мне будет полезно!

Поделитесь?

Экспортируте пожалуйста template и поделитесь пожалуйста. Спасибо.

Добрый день. Было бы хороше не самому собирать,а наверняка у кого-то есть готовые? Поделитесь пожалуйста Zabbix template для Mikrotik CCR1016-12G и RB2011UAS Также итересует для Dlink 1228,1252,1210-28(и их батья 1210-*) и 1216Т и 3200-10? Также итересует для FortiFate 300C? Также итересует для extreme summit x460 48port? Думаю в интернете есть но тже интересует cisco 2960s-48fps-l? Заранее спасибо!

После отката на 6.4 и переустановки сертификата, обновился пакетами на 6.5 (all_packages-tile-6.5) - заработало!

Не обновляйтесь на 6.5! Сразу падают сертиикати и вместе с мними все службы которые их используют - я на корневом OpenVPN маршрутизаторе обновил и все упало :(

Могу сказать относительно моей ситуации. Попробовал на других каналах ситуация лучше т.е. Потери на сдал не позволяют нормально работать. А вот на оптике все пучком. Мои наблюдения 20% это минимальная посадка при полном дуплете.и до 59-60 и чистого халифа... Вообще вен откашливается с мд5 и 256 бит - порядка 5-10%

Кто-то тестировал 6.3? IPSec не исправили? Что реально нужное пофиксили?(самого заинтересовал пункт ssh — fixed denial of service;) версии 6.3 были сделаны следующие исправления и улучшения (3 сентября 2013г. 12:25): ssh — fixed denial of service; traceroute - show mpls labels as well; bug fix - sometimes some new interfaces could not be created properly any more (f.e. some pppoe clients could not connect); console — added '/console clear-history' command that clears command-line history for all users, requires 'policy' policy; sstp - limit packet queue for each device; RB2011L — fixed occasional gigabit switch-chip lockup; user manager - will warn on 1 MB and stop before reaching minimum of 500 KB disk space; hotspot — do not account traffic to local hotspot pages; ppp, hotspot — added ability to specify where to insert rate limiting queue, it's parent and type; pptp, l2tp, sstp — allow to specify server via dns name; dhcp - added ability to specify where to insert rate limiting queue; www proxy — support ipv6 parent proxy; webfig — fixed problem when opening quickset page country was automaticly changed to etsi; traceroute — added mtr like pinging; fix queues — correct queue was not installed when last child removed; fix simple queues — sometimes some simple queues would stop working after configuration changes; console — fixed issue with local variables having non-empty value before first assignment; console — fixed command ":global name" without second argument to not create or change global variable "name", only effect is to make "name" refer to global variable. console — fixed passing local variables as argument to function; RB1200 — fixed crash when receiving over l2mtu size packets on some ethernet interfaces.

Вышла 6.2 оф. Кто-то смог всетаки на 6.* соеденить по IPSec?Если да то по какому мануалу и какие параметры. Заранее спасибо!

Подойдет, но надо сразу говорить что IPSec сейчас в нем НЕ РАБОТАЕТ!

Слышал много положительного про использование в корпоративном секторе FortiGate - http://www.fortinet.com/products/fortigate/60C.html - 60ка без запаса... (но надо адаптироваться к ихней логике...) Лично сам поднимал и на Dlink серии DFL

Добрый день. Прощу прощения за возможно и глупый вопрос, но сталкнулся с такой проблемой LAN - Mikrotik - ADSL -(OpenVPN, PPTP, SSTP) Mikrotik - LAN= Half Duplex Mode? Как известно в версиях 6 и новее IPSec не работает, вот призодится городить огород. Очень смущает что одновременно не работает получение и отправка - это нормально? И как можно выйти с данной стуации?

Извините, а почему покупать не надо лицензию? Заявляется такая производительность на атомах не маленькая, я HP ProLiant MicroServer N40L под линуксом из какой-то сборки т.е. дистрибутива софт роутера прокачивал 100Мбит IPSec 3Des

Стоило мне отключить правило перенаправления на прокси ( вот это /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 ) и сразу странички в браузере стали летать. Теперь наблюдаю вот такую картину: Прекрасно пониаю что это однопользовательское подключение и вполне есть возможность что запросы нескольких пользователей,мелкие будут разбрасываться - но надо тестировать. Надеюсь кому-то поможе при определении выбора оборудования.

В общем каждый тоже сможет оценить результаты... Тестово настроенный корпоративный маррутизатор Добавленно: /ip proxy set enabled=yes port=8080 /ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 начинаю качать с ex.ua, решил сделать скриншот что бы похвалить :) Прошло 2-5 минут, смотрю и вижу: В итоге в браузере не открыть странички:

Ребята с праздником! Не надо в этот святой день заморачиваться с железками :) С ПРАЗДНИКОМ!!! По теме - мое мнение что самый большой и огромный плюс МикроТика это во первых большой функционал ( правда и не весь нормально рабочий, но думаю не мне судить ... ) но то что я почувствовал это удобный мониторинг, наглядная загрузка каналов, графики, Дуда, лог конечно ... но для дебага можно и его поюзать. После Длинка это новый уровень т.к. видишь что где и как, но в тоже время некоторая подверженность ДДОСу и прочим недоработкам учит системного администратора вешать костыли,... Многие хвалят ФортиГейты с из ФортОС но вот как по мне без анализатора сама железка менее информативна. Да, кстати, 6.2 уже умеет сам генерировать сертификаты!

Результаты можно интерпритировать по разному, лучше выложу скины на все общее обозрение результат работы 2х более обсуждаемых направлений т.е. EoIP и SSTP

Сейчас у меня работает связка на 6.2 от 24-го 07-2013. CCR + 2011й Так вот 2011 задосили, вечером отключил правила и утром уже не смог к нему достучатся. Единственное что хоть как-то помогло - телнет(тупит но открывает) Включил правила, подождал. Решил отключить и проверить какое правило именно помогает - и вернулся к своему прежнему состоянию т.е. сразу 50% загрузки и атака идет на DNS так что будте внимательны по этому поводу. ОТКЛЮЧЕНИЕ 21-22-23(FTP,SSH...) не помогают по понятной причине! Столкнулся еще с одной проблемой, кроме того что не работает IPSec так и выше хвалённый SSTP под нагрузкой отпадает вернее как бы конект есть но трафик не бегает. Замечал и раньше на больших пингах(65500), а сегодня проверил еще раз в быстро настроенной связке EoIP - SSTP - EoIP = из минимум 15Мбит(L2TP дает и канал адсл больше) на прием(т.е. мне на отдачу) по этой связке прошло в среднем 6-7Мбит, максимум скачек до 9,9Мбита) и тотал командер льет со скоростью 830Кбайт. Это к тому что активно обсуждается L3 access ... - Заявленное падение производительности 15-20% на одном EoIP туннеле. Большую производительность давай чистый L2TP без ничего, но это тот уровень безопасности который хотелось бы получить. IPSec замечательно работает с софтроутерами из банальных сборок, но между своими же маршрутизаторами не работает - самая печальная ситуация когда одну из основных технологий на данной железке производитель не может подружить на своем же оборудовании)

Попробовал на 6.2 и IPSec не поднимается.Ниже даю элементарный PSK конфиг,если есть ошибки ткните пожалуйста. Core: /interface gre add name=GRE_test remote-address=37.53.*.* local-address=195.*.*.* /ip address add address=10.168.176.10/24 interface=GRE_test comment=IP_GRE_test /ip ipsec peer add address=10.168.176.20/32 port=500 auth-method=pre-shared-key secret="111" /ip ipsec policy add src-address=172.17.100.0/24 src-port=any dst-address=192.168.176.0/24 dst-port=any sa-src-address=10.168.176.10 sa-dst-address=10.168.176.20 tunnel=yes action=encrypt proposal=default /ip firewall nat add chain=srcnat action=accept place-before=0 src-address=172.17.100.0/24 dst-address=192.168.176.0/24 Filial: /interface gre add name=GRE_test remote-address=195.*.*.* local-address=37.53.*.* /ip address add address=10.168.176.20/24 interface=GRE_test comment=IP_GRE_test /ip ipsec peer add address=10.168.176.10/32 port=500 auth-method=pre-shared-key secret="111" /ip ipsec policy add src-address=192.168.176.0/24 src-port=any dst-address=172.17.100.0/24 dst-port=any sa-src-address=10.168.176.20 sa-dst-address=10.168.176.10 tunnel=yes action=encrypt proposal=default /ip firewall nat add chain=srcnat action=accept place-before=0 src-address=192.168.176.0/24 dst-address=172.17.100.0/24

Разобрался спасибо, прошу прощения по привычке с 2011 хотел в CCR залить mipsbe Кстати только что скачал и залил, билд сегоднешнего дня т.е. 24-го!

От ДДОСа лично на моих маршрутизаторах не помогает отключением сервисов и сменой портов, это помогает избавится от роботов по поиску открытых портов, но 2011 ДДОСят на АДСЛ канале легко. ДНС выносить с маршрутизатора это как-бы не совсем верный подхов в рамках рассмотрения маршрутизатор на филиал без доп серверов и стандартном финансировании + УПС совсем другой надо будет ставить. Ктому же надо рубать neighbor discovery на внешних портак т.к. минимум в рамках одного провайдера для злоумышленика... Saab95 Подскажите пожалуйста как обновиться на 6.2 которые выше по ссылке?

Дырка есть однозначно! Неоднокрасно писал что без правил фаервола лупят МК как младенца, конечно понимаю что это не уровень Длинка но тот такой ерундой не страдал(серия ДФЛ) Я даже тему создавал просил дать начальную настройку фаервола для простого ната в интернет + доступ для администрирования только с определенного адреса из вне и локали = но увы так минимальный начальный конфиг и не получил и пока руки не доходят и железка не так загружена прокатывает начального конфига в болоее 25 строк ( http://forum.nag.ru/forum/index.php?showtopic=86153 ) Хоть это и не правильньно но работает стабильно, на момент отладки подходит но не более.

Извините за юзерский вопрос, а как вы обновились? Мой CCR их не принимает ни после перезагрузки , /system package update ... никак...