jagamaster

Все приходит. Все хорошо.

Низкий поклон Nuclearcat. Конвертор поднят под ubuntu в виртуальной среде (vSphere). Виртуалке выдано 2 ядра от Xeon E5645 2.4 GHz. Загрузка с трафиком ±200 мбит примерно 50%. сниффер на CCR1036-12G-4S справляется красиво, нагрузка на CPU возросла примерно на 5-7% Будем смотреть. Начинаем опытную эксплуатацию. Наше дело правое, враг будет разбит, победа будет за нами.

Все верно. Мне нужен миррор на 200 мбит. Миррор микротиком можно сделать, когда есть Switch Chip. В моей модели его (так уже сложилось) - нет. Все понимаю, но прежде чем городить L2-L3 агрегацию (маленький узел) хочу окончательно понять что другого пути нет. Имею дополнительные причины, усиливающие мой интерес.

Traffic flow - обобщенная информация о трафике. Мне же нужен сам трафик.

Джедаи, Есть маленький узел Internet, ставим минимальный СОРМ. Очень хочется снимать данные с центрального Mikrotik CCR1036-12G-4S. Других вменяемых точек съема не существует, надо городить. Чип коммутации в CCR отсутствует, mirroring трафик получить невозможно. Но можно получить TZSP (UDP-incapsulated) трафик из нужных точек. Направьте, чем можно на лету конвертировать поток TZSP => Mirror? Предполагаю направлять на IP конвертора и выпихивать на отдельный сетевой интерфейс. Пакетные фильтры на linux? Свой демон писать наподобие natd? Вчера ковырялся во FreeBSD ipf decapsulate, но пока безрезультатно.

Это натит через тот интерфейс, через который пакет улетает согласно таблицы маршрутизации. И да, лучше конкретезируйте это правило через внешний интерфейс. А вообще, запустите torch на внутреннем интерфейсе и изучайте судьбу DNS-пакетов.

Может, Вы ничего упустили в микротике? К какому DNS-серверу обращается компьютер?

Коллега, конкретезируйте, пожалуйста, задачу. Каковы критерии работоспособности сети и телефонии? Что это значит? Что Вы будете гонять "по сети"? От этого зависит решение задачи. Хотите получить Layer2 ? и давайте представим: Вы берете эти ваши две сети с асусАми, в которых работают подсети 192.168.200.1/24 и 172.17.1.1/24 и (гипотетически) соединяете патч-кордами через обычный неуправляемый коммутатор. Похоже, Вы пытаетесь сделать именно это. Результат Вас устроит?

Godmode ON Конфиг у вас тяжеловатый и много вопросов по деталям. В целом, но не вдаваясь в подробности, ползете в правильном направлении и выглядит так что все должно как-то работать. Разбирайтесь с деталями. Попробуйте сделать минимальную стендовую конфигурацию, без лишних линков. Только входящие соединения через один и исходящие - через USB модем. Так будет проще отладить. Когда отладите - наворачивайте до исходной. Вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Так и делаете - соединяетесь откуда-то куда-то и высматриваете это соединение. Думаете. Высматриваете. Думаете. Правите конфиг. Высматриваете. Думаете. Правите дальше. О! не работает, но уже по-другому... Думаете дальше. Без этого или платная услуга или покупать еще микротики. Возможно, как писал Saab - три-четыре. Возможно, больше. Тут уже нет предела совершенству.

нет, я про _полный_ конфиг. /export compact

Ваше: /interface ethernet switch vlan add ports=ether21,ether24 vlan-id=21 add ports=ether22,ether24 vlan-id=22 Мануальное; /interface ethernet switch vlan add ports=ether2,ether6 vlan-id=200 learn=yes add ports=ether2,ether7 vlan-id=300 learn=yes add ports=ether2,ether8 vlan-id=400 learn=yes Без изучения MAC-адресов, видимо, не алё.

Эта часть конфига дышит реализмом, но хорошо бы посмотреть конфиг целиком. А то, видите ли, догадываться приходится какой из каналов первый, какой второй и т.п. Терминология тоже хромает, не вполне понятно из описания кто на ком стоял. И да, вам в помощь таблица Ip firewall Connections и torch на интерфейсах, чтобы было ясно какие пакеты куда попадают, а какие нет; что промаркировалось, а что - нет. Поди, маскарадинг еще есть. Глядишь - окажется что что-то не туда или не так маскарадится.

Да, все правильно сделал.

Да нет тут проблемы. У меня такую задачу хочет каждый третий. Разбиваете задачу на этапы: 1. добиваетесь чтобы ответы на запросы на IP первого канала уходили в тот же канал (mangle connection_mark, затем маркировка routing mark для исходящего и отдельное правило маршрутизации в route list с данным routing mark в данный канал. Есть нюансы, справа скрупулезна, но ничего. Доходчиво описано, например, тут: http://sidex84.blogspot.com/2014/07/mikrotik.html, там где "Routing". 2. default gateway на второй канал для серфинга. Допущенных к этому юзеров - в address list, address list - маскарадим. вкратце так. Присылайте контакт в личку, помогу. Могу растолковать, могу настроить в удаленном режиме, могу даже показать как это делается. Особенно, если найдется бюджет под это дело.

А что будет видно если в настройках wireless-интерфейса назначить only-N?