Jump to content

Leninxxx

Пользователи
  • Posts

    108
  • Joined

  • Last visited

About Leninxxx

  • Rank
    Студент
    Студент

Контакты

  • ICQ
    Array

Recent Profile Visitors

1900 profile views
  1. Есть 2 бриджа: brige1 - порты 2,3, ip 192.168.0.1 brige2 - порты 4,5, ip 192.168.1.1 на каждом настроен DHCP. После того как прописываешь IP на бридж, поднимается маршрут и пакеты прекрасно летают между бриджами. Это понятно, роутер ведь. Но, мне нужно как-то запретить маршрутизацию из одной сети в другую. Вопрос, как это сделать, и вообще возможно ли? на ум приходит только дропать пакеты файрволлом, но мне кажется это не совсем правильное решение.
  2. Я его не продаю. Я его наоборот покупаю. Так сказать я админ конечного клиента в цепочке продажи трафика. Увы я не перепродаван. Я именно потребитель. И именно поэтому считаю что настраивать Шейпер не входит в круг моих задач. Если бы я был провайдером - вопросов не было бы, там и договор другой, и услуга по-сути другая. Но продавать так конечникам, имхо, нельзя.
  3. Да, уже всерьез задумался о полном отказе от этого провайдера у всех своих клиентов(около 20 точек подключения юриков). В понедельник буду пытаться пробиться к техническому директору, может и получится решить безболезненно. Вообще мне не совсем понятна логика при такой продаже траффика конечному пользователю. Далеко не у каждого мелкого бизнеса есть админ который хотя бы представляет что такое шейпер и как его нормально настроить. Более того - у 95% микропредприятий в качестве роутера стоят сохо-мыльницы с кучей антенн вайфая но обрезанной провайдерской прошивкой, в которой не то что шейпера нет, но и вообще каких-либо настроек кроме ввода логина и пароля к сессии(образно), и эти железки опять же ставят сами провайдеры. Но у этих же микропредприятий есть 2-3 компа которые в пике могут сгенерить траффик многократно превосходящий скромный тариф в 50-100 Мбит. В результате лишняя нагрузка на саппорт, ненужный негатив и отток клиентов. Я могу его сделать, мне не сложно. Но встает 2 вопроса - почему это должен делать я, и почему я должен жертвовать этими небольшими процентами полосы. В моем понимании деньги платятся за готовый продукт, а не за полуфабрикат который нужно потом допиливать. К тому же, могли хотя бы предупредить о смене технологии, я бы подготовился. А сейчас для меня вопрос стал принципиальным, особенно после того как я в свой выходной убил пол-дня на поиски причин проблемы, потом приехал в офис на другой конец города, т.к. договорились что монтажники приедут перетягивать последнюю милю, а по итогу и монтажники не приехали, и с инетом ничего не поменялось. Мне лишь позвонили и сказали что "сейчас все нормально и мы заявку закрываем". По факту - офис на резервном канале, на котором все отлично работает. Но он, все-таки, резервный...
  4. Недели три как началось такое. Последние пару лет загрузка канала в среднем 15 мбит... Почему тогда, у других провайдеров, да и этого раньше тоже, какая бы ни была нагрузка, тот же пинг, в худшем случае, вырастал до неприличные значений, но был. А сейчас я вижу картину такую - 99% превышен интервал ожидания, и 1% ответ 1мс.
  5. Хто такие? Ну чтобы знать и стороной обходить?
  6. Да если бы, всего 50мбит. Но судя по всему та же ситуация на тарифах 10 и 20 мбит, в понедельник буду проверять, симптомы очень похожи.
  7. Друзья, столкнулся с тем что на одном из моих провайдеров временами начал пропадать инет. В процессе поиска проблемы выяснилось что пропадает пинг до шлюза(потери до 100%) и мой любимый микротик эту ситуацию понимал как отвал канала и переключился на резервный, сразу после чего на основном канале восстанавливается пинг до шлюза и микротик переключился на основной канал, после чего опять пропадал пинг до шлюза и ситуация повторялась. И так могло происходить часами. В разговоре с ТП провайдера мне открыли тайну, что пакеты которые выходят за лимит скорости канала просто дропаются. Подумав пришёл к выводу что на стороне провайдера полностью отсутствует шейпер и пакеты просто дропаются полисером.При следующем разговоре ТП подтвердила мою догадку. На мой вопрос - как избежать женского дропа, мне предложили увеличить тариф. А теперь вопрос. Это адекватное поведение оборудования провайдера и я отстал от жизни? Или все-таки ведущие специалисты у федеральных провайдеров стремительно деградируют?
  8. Да, вы правильно поняли. Вот только для включения client isolation нужно сделать сеть гостевой, а хотелось бы обойтись без этого. Увидел в настройках беспроводной сети "L2 Isolation Isolates stations on layer 2 (ethernet) level". С старых версиях контроллера такого не видел. Это то что мне нужно? Проверить пока не могу, физическая сеть в процессе настройки.
  9. Это вроде бы MTU. Стоит стандартное значение. Можно и убрать - погоды не сделает. Но если его увеличить до 1504 - все взлетает и работает без проблем. Собственно L2MTU, о котором Вы спрашивали - не трогал. На прямоту рук не претендую. Да и это не рабочая конфа, а скорее, тестовая, то что первое пришло в голову. Изначально идея состояла в том чтобы получить по eoip влан, и отправить его нетегированым на физический порт, а тегированый траффик с этого порта отправить нетегированым на бридж. Сам eoip бриджевать не хотелось бы.
  10. конфиг Нет, не трогал. А зачем, если интересует нетегированный трафик, а в вланах пусто.
  11. Есть Unifi AP. Настраивается через контроллер. Использую исключительно как транспорт. Контроллер иногда отваливается, но 95% времени доступен для точек. Все это выходит в инет через Микротик. Подскажите, можно ли запретить обмен данными между клиентами внутри Wifi сети? Т.е чтобы клиенты могли выйти в инет через шлюз, а вот между собой общаться не могли от слова совсем?
  12. Только что столкнулся с непонятной мне ситуацией. Буду признателен если мне кто-нибудь разжует и ткнет пальцем где я был не прав. Предыстория. Есть RB760Gs. настройка дефолтная. MTU на бридже и портах - 1500 К ether2 подключен свитч(тупой), к которому подключен Comp1 K ether3 подключен Comp2 напрямую. Все работает. Итак, решил я повесить на ether2 пару вланов. Повесил. Получилось вот так /interface vlan add interface=ether2 name=vlan-3 vlan-id=3 add arp=reply-only interface=ether2 name=vlan-10 vlan-id=10 Больше никаких настроек не далал. Только эти две строчки. А теперь то что мне непонятно - перестал доходить траффик от Comp1. Даже стандартный ping. Причем этот комп нормально получает настройки DHCP и Winbox запущенный на нем видит микротик, но подключиться не может ни по IP ни по MAC. Лечилось мгновенно, увеличением MTU на ether2 до 1504, ЛИБО отключением виланов. По логике вещей, при MTU 1500 в влане, пакеты должны дропаться именно в вланах, но почему-то дропается нетегированный траффик на физическом порту. Что происходит внутри влана не проверял, т.к. в них траффика пока нет никакого, никуда не подключены. Кто-нибудь знает что происходит?
  13. ну брутят-то из сети /24, следовательно ее и хочется блокировать.   Хочется более элегантого решения :)
  14. С неделю назад заметил что какой-то олень нехороший человек долбится по PPtP. имеющаяся схема блокировки не срабатывает, т.к. за проход с одного IP делается всего 2 попытки, зато адресов много - почти целая подсеть /24. Итого получаем почти 500 попыток авторизации за минуту раз в пару часов. Взлома конечно не боюсь, с паролями все хорошо, но сам факт напрягает. Сейчас реализовано так: add action=drop chain=input comment="Drop List" src-address-list=drop_list add action=add-src-to-address-list address-list=drop_list address-list-timeout=1d chain=input comment="Bruteforce login prevention(auth_err: stage3 to drop_list)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_3 add action=add-src-to-address-list address-list=auth_err_stage_3 address-list-timeout=2m chain=input comment="Bruteforce login prevention(auth_err: stage2 to stage3)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_2 add action=add-src-to-address-list address-list=auth_err_stage_2 address-list-timeout=6h chain=input comment="Bruteforce login prevention(auth_err: stage1 to stage2)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=auth_err_stage_1 add action=add-src-to-address-list address-list=auth_err_stage_1 address-list-timeout=12h chain=input comment="Bruteforce login prevention(auth_err: stage1)" \ connection-state=new dst-port=1723,3389,8291 protocol=tcp src-address-list=!white_list В свете последней активности хотелось бы блокировать сразу всю сеть после, скажем 10 попыток подключения из этой сети. Есть идеи как это реализовать?