Leninxxx

Забавно. Говорите про запас, и отметаете 951. А ведь он поинтереснее будет чем hAP.

Сдается мне где-то кольцо... Конфиг чтоли покажите, кофейной гущи нема, растворимый нынче пьем.

Ну понятно же что воткнуть в разрыв циску будет реально круче. Вспоминается анекдот про галстук за углом по 150 баксов... Ну зря Вы так. Я неплохо знаю циску, еще кучу всего... И выбираю М. Не всегда, но достаточно часто, т.к. это достаточно универсальная железка. Она может очень многое, но какие-то базовые вещи может сделать и домохозяйка. Да и кроме того, гуй удобнее, нагляднее как минимум. Это точно. По-хорошему, L2 нужен преимущественно провайдерам. Остальным он нужен либо для извращений, либо для каких-либо нестандартных задач. Таки да, родили. Есть везде. Даже на hAP lite. Софтовый конечно, а есть другой? Тем не менее работает. Вот шторм контроля толкового вроде бы нет, но, таки, можно использовать в этих целях /interface ethernet switch ingress-port-policer Каждый выбирает сам что ему нужно. Может вместо того чтобы платить за курсы, выучить принципы маршрутизации, OSI, почитать о виланах, MPLS и прочем? Поднять дома виртуальную лабу и поиграться. Думаю после этого будет без разницы какая железка перед вами - Циско, МТ, Джуник и т.д. На курсах, по большому счету немного объясняют основы и учат синтаксису команд... Не думаю, что на курсах той же циски вам внятно разжуют как, например, правильно посчитать MRU. Лет 15 назад, помнится мне, я консультировал одного сертифицированного по винде специалиста, по вполне очевидному вопросу(для меня) касающемуся этой самой винды. Оказалось на курсах этого не рассказывали :) Не очень хороший пример, но все же, это разговор о "выучиться на права или купить". Каждый выбирает сам. Если вы хотите рулить машину - сносно научится ездить можно за 2 дня с хорошим инструктором. Стать среднестатистическим водителем и не паниковать в потоке в час-пик - за неделю(проверено). За эту же неделю можно выучить и правила. Зачем тратить три месяца и кучу денег?

Под вышеуказанные задачи, где в филиале будет 30-50 Мбит максимум, вы можете со спокойной совестью взять RB951Ui-2HnD(проверен годами) или hAP, hAP ac lite (поновее). В теории можно поставить даже hAP lite(у меня два офиса запитаны ими больше года, проблем нет), и свои 15-20 Мбит шифрованного PPTP он выдаст, но по мне - не очень серьезное решение. Так что, под Ваши задачи, думаю, можно не смотреть на аппаратное ускорение. Берите что больше нравится. Все может быть, у меня его нет, но помнится мне что обещали допилить. Допилили или нет, не знаю. И тем не менее. Я в соседней теме писал что 2011 и 951 в паре прокачали порядка 80 Мбит L2tp+IPsec уперевшись в 100% CPU. 3011 все-таки прилично шустрее будет. Так что сотку он точно прокачает и без аппаратного ускорения, а этого более чем достаточно на 5-8 небольших филиалов. Резюмируя: в филиалы hAP или hAP ac lite, но лучше RB750Gr3 или RB951Ui-2HnD в центр - 3011. Оставшийся бюджет можно положить на расширение каналов.

*** Немая сцена *** И давно? Где купить железо МТ БЕЗ лицензии? Уважаемый, Вы либо пьяны, либо лыжи не едут... Выдать два таких перла подряд надо суметь :)

Вы хоть заголовок прочитайте. Анонимайзеры! тоннели и впн как таковые пока не трогают. Ознакомьтесь на досуге с подписанным законом Я что-то подобное лет 10 назад слышал от одного сетевого гуру, только в отношении циски :) Прелесть микротика в том что это готовое решение из коробки. Чтобы заставить его работать не надо знать линукс, не надо знать почти ничего, тыкай в гуй и он многое сделает сам.

Нет, МТ не для ядра. Лет через 5-10 может и дорастут, но сейчас их сегмент пониже. Доступ - да, на агрегацию кое где можно повесить, но точно не ядро. И как давно? Можно пруф? Мне вот интересно, даже если запретят - что делать с железом которое это умеет? сжечь? А сертификаты на это железо отзывать?

Ну тогда как выше написал. А 493 можно поставить в филиалы вместо 750. Но 750 будет пошустрее, особенно с IPsec.

Мне правда интересно, за что их так не любят? Ограниченный функционал - может быть. Но если вам нужно то чего в МТ нет, вы его и не купите, правильно? Производительность маленькая? 72 cores x 1GHz CPU, 16GB RAM, up to 120 million packets per second, 80Gbps throughput. Мало? И это всего за три килобакса. Сколько аналогичная производительность будет у Циски? Надежность? Я выше написал - даже железки для дома достаточно надежны. Учитывая ценник - поставьте в стойку две штуки зипа, все равно дешевле значительно выйдет. Вот только надо помнить, что циско и МТ для разных ниш все-таки. Есть задачи куда лучше поставить циску, но таких не много, и в остальном прекрасно справляются МТ, которые дешевле на порядок.

Ну что уж вы так категорично. Знаю как минимум несколько вполне удачных примеров. Да и, если не ошибаюсь, при неграмотной настройке любая железка схлопнется на кольце. Я вообще кольцо которое положило бы сеть, на управляемом оборудовании, ни разу не ловил, не довелось за 20 лет сетевого стажа. У меня стоит один 2011 в офисе с двумя аплинками, EOIP, парой вланов и сервером рртр на десяток пользователей. Аптайм - с момента первоначальной установки и настройки, почти полтора года. Прошивку не обновляю, т.к. самому интересно когда уже зависнет или хотя бы заглючит. Не у каждой циски такой аптайм. Так почему бы не использовать MT для более серьезных задач чем раздача инета дома или в офисе?

Топология между офисами какую планируете? Центральный узел будет? Или каждый офис самодостаточный и нужна лишь связь для доступа к сетевым папкам? Исходя из предположения что будет центр? с запасом на будущее: В центр ставите 3011. Ну можно раскошелиться на 1100 Dude (особенно если будете хорошо расти) в офисах, думаю, будет достаточно 750gr3

Попробуйте тв блокировать так Сейчас под рукой микротика нет, проверить не могу, но раньше использовал такие правила: /ip firewall layer7-protocol add name=teamviewer regexp="^(post|get) /d(out|in).aspx\?.*client=dyngate" add name=teamviewer1 regexp="^\\x17" add name=ammyy regexp=^.*rl.ammyy.com.* /ip firewall filter add action=drop chain=forward layer7-protocol=teamviewer src-address-list=!yadmin add action=drop chain=forward layer7-protocol=teamviewer1 src-address-list=!yadmin add action=drop chain=forward layer7-protocol=ammyy src-address-list=!yadmin add action=drop chain=forward dst-port=5938 protocol=tcp src-address-list=!yadmin add action=drop chain=forward dst-port=5939 protocol=tcp src-address-list=!yadmin add action=drop chain=forward dst-port=5938 protocol=udp src-address-list=!yadmin add action=drop chain=forward dst-port=5939 protocol=udp src-address-list=!yadmin add action=drop chain=forward content="teamviewer.com" src-address-list=!yadmin [code] А для блокировки сайтов используйте SkyDns или аналогичное решение.

Имеется HAP (RB951Ui-2nD). Не знаю почему, но он никак не хочет фрагментировать пакеты. Тему можно закрыть, разобрался. Причина - надо чаще спать. :) hap.txt hap-verbose.txt

Ну как бы даже самые дешевые тики по 30 баксов это уже умеют. У меня на таких через VPLS десятка три офисов объедены, вроде работает.

Вы определитесь что именно вы хотите сделать. Если блокировать весь инет кроме нескольких сайтов, то не мучайтесь и посмотрите в сторону skydns или подобного. Для большинства юзеров прокатывает нормально. Для продвинутых можно прозрачно перенаправлять DNS на нужный. А вот заблокировать ТВ на микротике, думаю будет не сложно(не пробовал, но проблем не вижу). Собственно как и любое приложение.

Вчера прошился на 6.40 и ради прикола замерил скорость между тремя точками. 2011, 952 и 951. Везде канал сотка. Пробовал L2TP+IPsec с fastpath, и PPTP с включенным шифрованием. Слал случайные данные. По результатом тестов был несколько озадачен. Судя по встроенному bandwidth test, средняя скорость через 10 минут работы была везде около 75 МБит на recive/send и около 39/39 на both. Процессор 100%. Даже дохлый 941 выжал из себя 33 Мбит и 18/18 Мбит. Причем производительность оказалась почти одинаковой у L2TP+IPsec и PPTP. Может я путаю что, но осенью это же железо тестил, скорости были меньше. Подкрутили в прошивке чего?

Железяка конечно не плохая, но древняя... Да и стоит как крыло от боинга(для своего функционала, конечно) У меня на аналогичной нагрузке стоит тик 2011. Как уже писали выше, HEX Gr3 Вполне справится. Вообще, я бы взял 3011, ну или если денег некуда девать то 1109 или 1100.

Делать тоннель имеет смысл только в случае если нужен именно L2. В 99% случаев, вы можете сделать две /24 сети и настроить маршрутизацию именно на сети. При нормальной организации пользователям не важно в свою сеть они стучатся или в соседнюю.

А в чем сложность-то? Интернет вы получаете снаружи. Две сети офисных внутри. Если я правильно понимаю они у Вас будут на разных линках/бриджах висеть. Если нужна между ними связь - настраивайте маршрутизацию. Смотрим тобы был дефолтовый маршрут в инет, ну и нат.

Ну тогда для Вашего знакомого. При двух дефолтных маршрутах работать будет. Важно определиться что именно понимать под словом работать. Вообще надо маркировать, иначе белиберда будет.

и так сойдет! (с) Цитата как раз для вас.

давно это было, не помню, но попробуйте так: 1 зажать ресет, при отключенным питанием. 2 с зажатым ресетом включить питание. 3 через 30 секунд ресет отпустить 4 ждать 30 секунд 5 нажать ресет на 30 секунд. 99% домашних роутеров сбрасываются этими манипуляциями.

самый простой способ через виланы. Ничего сложного, но почитать матчасть придется.

Если нормально все пропишите то не будет никаких конфликтов. Другого способа без костылей скорее всего нет.

Штатные телепаты в отпуске, так что сам догадаюсь. У вас какой-нибудь hap lite и куча замороченых правил в микротике. Смотрите расход ресурсов.