Leninxxx

Уже собран. Какую ситуацию моделируем? Конфиги может подкинете? есть больше 2х роутеров. для экспериметов сейчас используется 5 штук. Почему нет? Запросто! Во-первых, это не значит что всем нужно использовать нат с туннелями. Во-вторых, все зависит от задачи. В большинстве случаев тоннель и создается чтобы решить задачу на уровне маршрутов, и не париться с маскардингом, перенаправлением портов и т.д. Имхо, у Вас что-то с маршрутами - при наличии корректной таблицы маршрутов никакие исключения не нужны, т.к. натятся только те пакеты, которые идут на WAN интерфес. То что идет в тоннель в принципе не может идти на WAN.

Как вариант, теоретически рассматривал такую возможность, но пока все работает, в одну сторону, но пока хватает. Да и вообще оп логике-то должно работать и внутри роутера Нат, если не ошибаюсь подменяет IP. У меня адреса остаются оригинальными. Предположим на бридже - 192.168.0.1/24, есть тоннель EOIP включенный в бридж. На дальнем конце EOIP установлен адрес 192.168.0.100. Так же на удаленном роутере сеть 192.168.10.0/24. до которого, на первом роутере, есть маршрут "distance=1 dst-address=192.168.10.0/24 gateway=192.168.0.100" Можете объяснить каким чудом пакеты будут проходить маскардинг по правилу "chain=srcnat action=masquerade src-address=192.168.0.0/24 out-interface=ether1"? Маршрут руками? А разве есть разница? Пробовал прописать, ситуация осталась без изменений.

Не вариант... ( Какого именно маршрута, там вроде адреса в одной L2 сети...? А вот правила FW и нат зачем? Оно как бы не используется в этих соединениях, от слова совсем, иначе упомянул бы.

))) Я в этой жизни уже ни во что не верю. Точнее верю в то может быть все что угодно, только не то что нужно. Так что и сам склоняюсь к мысли что эффекта от обращения не будет. Тем более что у них на сайте черным по белому написано "если вы покупали железо не у нас - с вопросами идите к продавцу", а большинство продавцов - именно продавцы... В ТП микротика писать вряд-ли буду, с инглишем проблема, просто обидно. Это уже второй подобный косяк с микротиком у меня, но альтернатив по цене не нашел... Обидно...

У меня-то как раз LDP. За неделю провел десяток экспериментов, вплоть до замены железа на 4011, 750Gr3 и 760GS. Ситуация никак не меняется. Подумалось - а может быть косяк в самой операционке(прошивке) и надо писать в ТП микротика?

Можно попродробнее? Почему неправильный и как именно правильно? Может даже в мануальчик ткнете? Без мостов - было бы очень интересно.

Я же говорю, специально проверил - три живых VPLS с одинаковыми ID прекрасно живут на одной железке. Схема саимх VPLS довольно большая, да и не к чему оно. Все работает достаточно ровно. Не работает только тот момент что я описал в первом посте. Общая схема сети тут не поможет... У меня сам VPLS работает в любой комбинации, главное чтобы на концах одного были одинаковые ID. А вот при маршрутицации пакета, он(пакет) почему-то не залетает внутрь тоннеля а виснет на бридже. Причем происходит это только если инициатор соединения на другой стороне тоннеля. Если инициатор на этой стороне - все работает изумительно. Вопрос почему так происходит по прежнему открыт.

Ради чистоты эксперимента установил одинаковый vpls-id на обоих тоннелях. Получилось что на третьем роутере, где встречаются эти два тоннеля - было ДВА тоннеля с одинаковым vpls-id. Все продолжило работать так же, никаких изменений. Бридж, связывающий тоннели тоже пришлось оставить, т.к. без него не захотело взлетать(была надежда). На деле получается что VPLS-ID должен быть одинаковым на обоих концах конкретного тоннеля. Остальное не важно. По крайней мере экспериментально выяснилось именно такое поведение. Ну и это опять же не дает никакого ответа, почему у меня пакеты ходят только в одну сторону.

На самом деле это два разных тоннеля которые забриджованы на третьем роутере. Попробовал поднять эту же схему без VPLS на тоннелях GRE - все работает. Похоже на какой-то косяк с самим VPLS.

Есть Микротик до которого через инет, в тоннеле проброшен VPLS c пачкой VLAN. За ним так же есть сеть (10.28.1.0/24), которую надо так же запихать в один из виланов (конкретно в 28). На другом конце VPLS так же стоит микротик, за которым другая сеть (10.20.1.0/24). На нем из VPLS выведен интерфейс VLAN28 и на этот интерфейс повешен адрес 10.28.1.254/24, который иногда используется как шлюз для доступа в интернет из сети 10.28.1.0/24 через роутер сети 10.20.1.0/24. Так же прописаны маршруты с обоих сторон на сети 10.20.1.0/24 и 10.28.1.0/24 для доступа к ресурсам обоих сетей. Вроде бы все работает, но есть одна странность. Если пингуем из сети 10.28.1.0/24 любой адрес сети 10.20.1.0/24, то пинг проходит нормально. А вот если пинг идет в обратную сторону - из сети 10.20.1.0/24 в 10.28.1.0/24, то пингуется нормально только IP бриджа. От остальных хостов ответный пакет идет до бриджа и на это все. Как будто нет маршрута. Настроено так: R1 /interface bridge add name=bridge add fast-forward=no mtu=1448 name=bridge-253 add name=bridge-vpls /interface vpls add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:36:07:39:B9:5C mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=20:25 /interface vlan add interface=vpls name=vlan-28-vpls vlan-id=28 /interface bridge port add bridge=bridge interface=wlan1 add bridge=bridge interface=ether3 add bridge=bridge interface=ether4 add bridge=bridge interface=ether5 /ip address add address=10.20.1.240/24 interface=bridge network=10.20.1.0 add address=10.28.1.254/24 interface=vlan-28-vpls network=10.28.1.0 Маршруты поднялись сами: R2: К ether4 подключен свитч а к нему уже хосты. /interface bridge add name=bridge-local add name=bridge-vpls /interface vpls add advertised-l2mtu=1504 disabled=no l2mtu=1504 mac-address=02:A5:70:36:1A:4B mtu=1504 name=vpls remote-peer=10.252.0.25 vpls-id=25:28 /interface vlan add interface=vpls name=vlan-28-vpls vlan-id=28 add interface=ether4 name=vlan-253-server vlan-id=253 add interface=vpls name=vlan-253-vpls vlan-id=253 /interface bridge port add bridge=bridge-local interface=ether4 add bridge=bridge-local interface=vlan-28-vpls add bridge=bridge-vpls interface=vlan-253-server add bridge=bridge-vpls interface=vlan-253-vpls add bridge=bridge-vpls interface=vpls /ip address add address=10.28.1.240/24 interface=bridge-local network=10.28.1.0 /ip route add distance=1 dst-address=10.20.1.0/24 gateway=10.28.1.254 Eсли с хоста 10.28.1.241 запустить пинг до 10.20.1.45 - то пинг проходит прекрасно, причем в сниффере на R2 это выглядит так: Мне одному кажется несколько странным что я не вижу как пакет ПЕРЕДАЕТСЯ в ether4? Пинг в обратную сторону - не проходит. Сниффер на R2 показывает такое: И если верить снифферу на R1 то ответ на сторону R1 не возвращается. Что-то мне подсказывает что ответный пакет, попав на bridge-local просто не уходит в vlan-28-vpls почему-то. Кто подскажет что я делаю не так?

Если не нужно много портов и WiFi, то можно взять RB760IGS или RB750Gr3. 60 сотрудников и 150 мбит эта железка потянет. По крайней мере у меня RB750Gr3 работает на 150+ пользователей. На нем десяток статичных тоннелей с шифрованием, десяток очередей и пару десятков правил FW. Трафик, правда, немного больше 100, но проц не загружен.

Значит прописать IP и указать его интерфейсом бридж.

Проблема же всем известная и достаточно старая. МТ собирается её устранять, не в курсе?

Попал в руки CSS326-24G-2S+. Из коробки версия прошивки 2.0. Обновил прошивку до 2.7, немного поигрался с настройками и через кнопку сброса на передней панели сделал собственно сброс настроек. После загрузки меня ждал сюрприз - версия прошивки стала опять 2.0. Вопрос - это нормальное поведение или что-то не так с девайсом?

Может быть и поверхностный. А может и нет. Я сделал вывод из вашего первого поста - там банальные правила файрвола, для корректного написания которых необходимо лишь понимание основ ip и маршрутизации. Вы даже не понимаете какой трафик куда и откуда идет. Следовательно, почти наверняка, у Вас начисто отсутствует база и все настройки которые вы делаете - на 99% копипаст с хабра, отсюда или еще откуда-нибудь. То что у Вас отсутствие коллег-админов и на многие километры вокруг одни медведи конечно фактор негативный, но тем не менее не умаляет необходимости вникать в суть проделываемой работы. Думаю со мной согласится большинство здесь присутствующих, что потратив хотя бы день на изучение этих самых основ, Вы уже никогда не будете задавать элементарные вопросы как в первом посту.   Согласен, но иногда она чертовски удобная и до сих пор. Настолько удобная что тоннели иногда не вариант ))))

Чего не знаю - того не знаю. Вполне возможно, т.к. esxi - тот же линукс, а дрова на HP делает только HP... Upd. Беглый гуглинг дал понять что скорее всего да, т.к. для дебиана нет родных драйверов на b120. Т.к. дебиан на голое железо не ставил со времен 5-ки, то не знаю какие именно дрова стартуют на b120. Но на сайте HP драйвера отсутствуют. Забыл уточнить, тесты проводились на raid 0 и 1. При использовании 5, 6 и, возможно, 1+0 ситуация скорее всего изменится.

Вы меня простите, но может стоило сначала у гугла спросить, если читать матчасть лень? Поражаюсь молодому поколению - ничего сам не знаю, нафиг не надо - есть гугл. А если и он не знает - есть форумы.

Вы серьезно? Вам реально доверили настраивать сетевое оборудование? Вот после таких вот кадров приходится объяснять людям почему работа хорошего админа не может дешево стоить... Ну ка, удивите меня, расскажите, а как вы вообще используете PPTP, для чего?

Держи партнамбер 832667-001. Я колхозинг тоже не люблю. Поэтому ставлю всегда ZALMAN CNPS2X. Болгаркой режу пополам ножки, сверлю новые дырки под винты и вперед. Питание беру с разьема сидюка. Стоит как родной, работает минимум по 2 года. Правда у некоторых экземпляров надо сровнять поверхность, но далеко не у всех. Работы тоже на пол-часа. А вот теперь я Вам открою секрет. В ESXI нынче драйвера на b120 кривые до безумия. Началось это с 6.0. Поэтому чтобы оно не тормозило - надо снести штатные дрова и поставить 88 версию. После этого отлично работает на 6.0. Для 6.5 лекарства к сожалению нет. У меня стоит сейчас дома один ML310e работает через b120, на нем десяток виртуалок. половина из которых очень активно используются. Тормозов нет. Вот вам скрипт в помощь. Работает только на 6.0 Останавливаете все виртуалки, подключаетесь по SSH и выполняете. После ребута про тормоза зыбываете. После каждого обновления процедуру повторить. cd /var/log/vmware/ wget http://caifu.ru/scsi-hpvsa-5.5.0-88OEM.550.0.0.1331820.x86_64.vib esxcli system maintenanceMode set --enable true esxcli system module set --enabled=false --module=vmw_ahci esxcli software vib remove -n scsi-hpvsa -f esxcli software vib install -v file:scsi-hpvsa-5.5.0-88OEM.550.0.0.1331820.x86_64.vib --force --no-sig-check --maintenance-mode esxcli system maintenanceMode set --enable false reboot   И еще. Год назад, я, как правильный, притащил себе p222 + 2GB + батарейка. Поставил, в ожидании чуда включил тесты, и... То что я увидел - производительность упала где-то на 10-15% по сравнению с b120. В некоторых тестах до 40%. Достойным соперником b120 стали только RS2BL040 и RS2BL080, они же 9260-4i и 9260-8i. На них при наличии батарейки скорость либо такая же, либо выше. Все хочу попробовать p430, но что-то мне подсказывает что WOW-эффекта на 4-х дисках ждать не стоит.

Кстати, процы в него лучше ставить 1230v2 или 1240v2. Они прилично мощнее и дешевле чем 1265v2. А активное охлаждение один фиг мастрячить, ибо родной радиатор на 65W стоит около 10 рублей, и его фиг найдешь. Хардверный рейд туда практически любой низкопрофильный - у меня однин стоял с RS2BL080, еще один стоит с p410. Остальные пашут на встроенном. Пробовал еще p222 и p420 - остановился на встроенном b120. Если не использовать 5 или 6 рейд(а в микросервере это излишне) - то это лучший выбор, в рейдах 0 и 1 производительность на уровне RS2BL080, и ощутимо выше p222 и p420. Про p410 вообще молчу.

Ну как Вам сказать. Взял буквально на прошлой неделе пару штук. В крайнем случае авито в помощь. Так же можно рассмотреть вариант с ML310e v2. С дохлыми процами они так же недорогие, хоть и немного дороже чем микросервер. )))) Ага. Прям многозначительная какашка получилась :) Сервер для SOHO? Я думаю так - или сервер или не сервер... Этот Ген 10 - можно рассмотреть как неплохой, многофункциональный NAS. Не более. Ни в каком смысле он сервером не является. И в первую очеред потому что выпилили Ilo. А может Вы попробуете перейти на IPoE Знаете что такое DHCP с opt. 82? На что только люди не пойдут чтобы минимизировать квалифицированный труд...

Скорее всего это беда вашего HDD, которому надо 700-800 мА для запуска, а МТ выдает 500-550 мА.

Все банально и просто - не хватает питания. USB хаб с питанием вам в помощь. Но с ними бывают глюки, не каждый заработает с МТ. Так что покупайте там, где можно будет вернуть если не подойдет.

И Вам не хватает 180 Мбит? У меня дома три ноутбука, три телевизора, одна качалка, и еще десяток телефонов/планшетов/часов. Но при этом еще стоят два серьезных сервера, RB2011 как центральный роутер VPLS сети(через PPTP) на десяток точек между которыми постоянные бэкапы-миграции. Он же раздает домашним инет и вайфай. Сижу на 150 Мбитах по pppoe от РТ. Вы не поверите, но домашние не замечают никаких проблемм с инетом. Иногда есть проблемы с производительностью самой железки, но не часто и менять её не планирую. А вообще, помнится мне, еще лет 6 назад один знакомй пров с аплинком в 200 мбит жил прекрасно. ))) Я не сторонник "сборки" роутера, по мне предпочтительнее взять хорошую железку. Но если собирать для дома - посмотрите в сторону HP Microserver Gen8. Отличное готовое решение. В него прекрасно вставляется ЛЮБОЙ E3-12xx v2 и до 16 гигов оперативы. В результате можно получить очень и очень хорошую машинку, да к тому же и почти бесшумную. Собрал таких с десяток на процах 1230-1240. Бюдет получается около 35.

А вот это уже интересно. И голова у вашего дерева какая? Huawei, Eltex или еще кто?