Jump to content

Trueno

Активный участник
  • Posts

    362
  • Joined

  • Last visited

About Trueno

  • Rank
    Студент
    Студент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Ясно. Значит это её я пробовал 3-4 года назад. Была масса глюков на плохую скорость, дропы и т д. Вот это на тот момент не делал, может и помогло бы. В ROS7 нет этих проблем?
  2. 520 da2 ? L2MTU нормально определяется? С буферами играться не надо? Насчет ROS7, я так понимаю, она ещё сыровата. Если я использую просто НАТ, симплы для нарезки скорости и правила в шедулере для отключения по датам - я могу просто легко перейти на 7-ку? Это я к чему. Я наслышан, что там то ли в шедулере то и в фаерволе по другому что-то реализовано.
  3. Добрый день! На данный момент ROS последних версий какие 10-гбитные сетевухи нормально поддерживает? Помню, года 4 назад пытался ставить интел 520-ю, то ли l2mtu не определяло, то ли дропов было много - но точно что-то было не так. До сих пор юзаю гиговую Intel Gigabit CT, но её уже явно не хватает.
  4. @mitai1 /ip firewall nat add action=src-nat chain=srcnat out-interface=(интерфейс) src-address=(подсеть) to-addresses=(белый ай пи) у меня так
  5. Добрый день! Дабы не создавать подобную тему, задам похожий вопрос здесь. Снова же, имеется микротик. Два провайдера. Теперь задача выпустить через второй провайдер один порт (предположим это будет порт 777 ТСР) Когда-то давно я это делал и работало. Но подзабыл наверное. Делаю так: /ip firewall mangle add action=mark-routing chain=prerouting dst-port=777 new-routing-mark=mark1 passthrough=yes protocol=tcp /ip route add distance=3 gateway=111.111.111.111 routing-mark=mark1 И оно не работает. При этом если в правиле маркировки вместо маркировки по порту 777 указать маркировку, допустим, по src-address - тогда работает. Насколько помнят мои мутные воспоминания, надо маркировать не роутинг, а то ли пакет, то ли соединение. Напомните, пожалуйста.
  6. Ок. А если без резервирования? Просто организовать схему - 2 провайдера - 2 локалки - каждый провайдер в свою локалку.
  7. @jffulcrum я в случае про 2011 и не говорю про 700 мбит )) там есть такие что по 150-200 мбит гоняют и куча бриджов создана, чтобы каждый бридж обьединял нужный влан и порт загрузка проца под 70-80 процентов бывает вот и подумал, не поможет ли это ему хотя понятно дело, что это полное старьё.
  8. @jffulcrum благодарю. А на всяком старье типа 2011 это даст какое то улучшение? В отличие от классического варианта по бриджу для каждого влан-айди и засовывания туда нужных интерфейсов?
  9. Имеется CRS112 как у автора. Сейчас вланы (на одном порту транк, на одном и транк и антег, на остальных антег) настроены через switch - vlan. Используется свитч-чип, потому что 700 мбит трафика софтово с 400мгц он точно не потянет. Вопрос собственно в том, если настроить вланы через bridge - vlan filtering и применять к каждому порту бриджа hardware offload, будет ли это так же работать через свитч чип? Вопрос возник потому что надо будет настраивать ещё некое количество таких свитчей, а через бридж как-то оно нагляднее. Или всё же будет работать через процессор?
  10. Добрый вечер! Посоветуйте, пожалуйста, как верно разрулить такую ситуацию. Имеется два провайдера. Оба дают адрес по dhcp. Есть микротик. Есть две отдельные подсети в двух отдельных интерфейсах. Допустим это 192.168.1.0/24 и 192.168.2.0/24 Задача состоит в том, чтобы один провайдер натился на одну сеть а другой - на другую. При этом при пропадании какого либо из провайдеров второй должен начинать работать на обе подсети. Нетвотч с командой на гашения маршрута я знаю. Если поставить обоим маршрутам по-умолчанию одинаковую метрику, создать 2 отдельных НАТ с указанием, мол, 192.168.1.0/24 натим на адрес 111.222.333.444 а сеть 192.168.2.0/24 натим на 555.666.777.888 ясен пень оно не работает. То бишь работает лишь один из маршрутов по-умолчанию. Догадываюсь, что нужно сделать две отдельные таблицы маршрутизации. Как выйти из положения?
  11. Вы имеете в виду конфиг из дефолтной конфигурации?
  12. На управление (ссш) доступ только для двух ай-пи (админских), прописано в ip - services. Дык, там ещё больше правил. Чем мой вариант уступает дефолтному?
  13. Нужны комментарии по поводу настройки фаервола. Настраиваю очередной интернет-шлюз под заказчика, пользователей около 100, включение/выключение руками (через ip - firewall - address list). Пробовал разные варианты, и придумал вот что: /ip firewall filter add action=drop chain=input connection-state=invalid #блокирует некорректные соединения на вход add action=drop chain=forward connection-state=invalid #блокирует некорректные соединения на транзит add action=accept chain=input src-address-list=Client #разрешает входящие соединения для пользователей, если ip активен в адрес-листе add action=accept chain=forward src-address-list=Client #разрешает транзитные соединения для пользователей, если ip активен в адрес-листе  add action=accept chain=input protocol=icmp #разрешает входящий ICMP для всех add action=drop chain=input connection-state=new #запрет для всех входяших новых соединений, которые не попадают в вышестоящие правила add action=drop chain=forward connection-state=new #запрет для всех транзитных новых соединений, которые не попадают в вышестоящие правила И вроде бы всё работает. Из интернета пинг на шлюз есть, доступа на порты нет, инет для активных ай-пи в адрес-листе работает. Однако, поразмыслив с коллегами, пришли к сомнениям. 1. Нужны ли первые два правила для резки неких инвалидных соединений? Мне предлагают их выбросить вообще, мол, на работу не влияют, больше для красоты и верности. 2. Моя логика с чередованием input/forward кривая, мол, нужно сначала прописать все intup, потом все forward. Я так пробовал. Визуально начинают дольше грузиться странички. Или же это из-за перестройки и нужно сначала ребутнуть роутер? 3. Нужно в разрешающих правилах разрешать не всё, а только established и related, а в нижних правилах рубить всё, а не только new. Вот я и задумался. Как бы посоветовали вы?
  14. оооооо! какая знакомая проблема! сколько же было испробовано сетевух! интелы и 1 и 2 и 4 портовые и дороже и дешевле. некоторые вообще не виделись системой, у некоторых нет l2mtu. из интелов корректно (в плане l2mtu) работает 82574L, например в составе их Intel CT Adapter или HP 112 или аналоги от китайцев. Так же эта сетяха встречалась в некоторых матерях как интегрированная. Но всё что она умеет - разбивать очередь rx и tx по разным ядрам. Если у Вас 2 ядра - как раз можно разбить. Я с ней работал, но потом как то собирал новый шлюз и поставил просто реалтек, на свежем чипе, 8111F вроде. И как мне показалось она работает не хуже, хотя вообще разбивку не умеет. Трафика около 600-700 мбит, дропов нет. Если у кого-то будет инфа о других корректно работающих с l2 сетевухах под микрот - пишите, пожалуйста! Может, что-то из бродком?