Перейти к содержимому
Калькуляторы

Trueno

Активный участник
  • Публикации

    348
  • Зарегистрирован

  • Посещение

О Trueno

  • Звание
    Студент

Посетители профиля

Блок посетителей профиля отключен и не будет отображаться другим пользователям

  1. Router OS + X86

    оооооо! какая знакомая проблема! сколько же было испробовано сетевух! интелы и 1 и 2 и 4 портовые и дороже и дешевле. некоторые вообще не виделись системой, у некоторых нет l2mtu. из интелов корректно (в плане l2mtu) работает 82574L, например в составе их Intel CT Adapter или HP 112 или аналоги от китайцев. Так же эта сетяха встречалась в некоторых матерях как интегрированная. Но всё что она умеет - разбивать очередь rx и tx по разным ядрам. Если у Вас 2 ядра - как раз можно разбить. Я с ней работал, но потом как то собирал новый шлюз и поставил просто реалтек, на свежем чипе, 8111F вроде. И как мне показалось она работает не хуже, хотя вообще разбивку не умеет. Трафика около 600-700 мбит, дропов нет. Если у кого-то будет инфа о других корректно работающих с l2 сетевухах под микрот - пишите, пожалуйста! Может, что-то из бродком?
  2. Да я понял. Там в настройках туннеля галочка Clamp TCP MSS стоит, если что. Ещё, я так понял, надо в мангле что-то городить? Остальное в фарволе всё правильно? Да, кстати, ещё. Неоднократно читал, что нужно вверху ставить 2 запрещающих правила на вход и на транзит для connection state = invalid. Насколько это верно? Практическая польза есть, или просто хороший тон, так сказать?
  3. Общая картина - сайты открываются не так шустро, как если бы тупо подключить порт аплинка в комп. Получается, что мой шлюз вносит некую задержку. При этом потери пакетов нет, ЦП не более 20%. ДНС сервер даёт ответы моментально. Всё что сделано по туннелю: по-умолчанию мту выдается 1476, поставил вручную на туннеле 1400, вроде шустрее работает, но не так, как напрямую. Остальные настройки туннеля по-умолчанию.
  4. Заинтересовал этот новенький девайс. 4 ядра по 1.4 ГГц вроде как не плохо. И цена гуманная, 200 зеленых. У кого-то есть опыт использования? Интересует, сколько мегабит и пользователей он прожуёт при НАТ и симплах? В принципе, его производительность равна 1100х4, судя по процессору. 500Мбит 500 чел они тянут?
  5. Доброго времени суток! Имеется ROS x86. Сеть офисов, около 500 машин. Интернет канал 1гбит. Приходит по GRE тунелю (такое вот извращение от провайдера). 2 внешних ай-пи (оба навешаны на тунель). 5 локальных сетей, 192.168.0 -- 192.168.4 Клиенты двух видов - Client (офисные машины с интернетом) и Service (офисное оборудование, камеры и т д - только доступ к сети и друг другу, без инета). Вот так настроен НАТ: /ip firewall nat add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.1.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.2.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.3.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.52 add action=src-nat chain=srcnat dst-address=!192.168.4.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.52 add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=53 \ in-interface-list=Local protocol=udp src-address=192.168.0.0/16 Созданы 5 правил для 5 локальных подсетей, с указанием разных внешних ай-пи. Так же создано правило для редиректа 53 порта на наш ДНС, чтобы не было смысла менять на левый. Больше ничего нет. Всё ли верно сделано? Вот так настроен Фаервол: /ip firewall filter add action=accept chain=input comment="Client Input" in-interface-list=Local \ src-address-list=Abonent add action=accept chain=forward comment="Client Forward" in-interface-list=\ Local src-address-list=Abonent add action=accept chain=input comment="Service Input" in-interface-list=Local \ src-address-list=Service add action=accept chain=forward comment="Service Forward" in-interface-list=\ Local src-address-list=Service add action=accept chain=input comment="ICMP Input" protocol=icmp add action=drop chain=input comment="Drop Input All" connection-state=new add action=drop chain=forward comment="Drop Forward All" connection-state=new Первые 2 правила разрешают входящие и транзит для машин с интернетом, указан локальный адрес-лист. Вторые 2 правила разрешают входящие и транзит для всяких девайсов без инета (в НАТ для них не даётся интернет), указан так же локальный адрес-лист. Пятое правило разрешает пинг изо всех сетей. И последние 2 правила дропают все новые соединения на вход и на транзит, для всех интерфейсов, в том числе и внешних. Получается, что established и иже с ними не запрещены, инет работает. Если в адрес листе погасить айпишник, то правило 1 и 2 не отрабатывают и все новые соединения для этой машины рубаются. Всё ли верно сделано тут? Иногда бывают жалобы от пользователей, что странички подвисают. Вот решил узнать, можно ли как-то всё сделать более грамотно и компактно.
  6. Взломали Микротик

    С какого? Неужто лишь 22 порт форевер? Как бы 2018 год уже на дворе.
  7. О как. Интересно... Это в дефолтной конфигурации оно так? Или надо как-то активировать?
  8. Взломали Микротик

    Кстати, они на днях что-то важное снова написали в блоге. Я не особо силён в английском, к сожалению, но "Новый эксплоит для Микротик винбокс" понял. https://blog.mikrotik.com/security/new-exploit-for-mikrotik-router-winbox-vulnerability.html
  9. Взломали Микротик

    Увы, вроде там лишь в 6.42.7 было пофиксено. What's new in 6.42.7 (2018-Aug-17 09:48): MAJOR CHANGES IN v6.42.7: ---------------------- !) security - fixed vulnerabilities CVE-2018-1156, CVE-2018-1157, CVE-2018-1158, CVE-2018-1159; До этого в более ранней прошивке исправляли другую дырку. Вообще очень расстроил меня Микрот своей дырявостью.
  10. В последних прошивках нет там такого правила, что-то поменяли. Разве не так ?
  11. Это свитч, а не роутер. Этот недопроц 400мгц похуже, чем 400мгц у РБ750-х был. Зачем левел5 мне и самому непонятно. Но в качестве свитча (откройте раздел Switch) вполне неплох, я там много что нашел. Используйте его по назначению (как свитч), для NAT используйте что-то другое, современные недорогие микротики например.
  12. Часы на Mikrotik ROS x86

    Поставил UTC, стало на 3 часа назад. Поправил вручную - через пару минут снова стало на 3 часа раньше. Нужно переезжать в Англию. Или Ирландию. Или Буркина Фасо :) Там UTC как раз.
  13. Часы на Mikrotik ROS x86

    Ну так тогда на сервере будет время постоянно на 3 часа меньше настоящего. Как бы совсем не вариант. Мне не верится, что среди кучи пользователей ROS на компьютерном железе, с этим столкнулся я один.
  14. Часы на Mikrotik ROS x86

    Не совсем понял. Если выставить время и не синхронить его по NTP, то время убегает по паре минут в день. Как я вижу траблу: Сервер идёт в ребут. Начинается загрузка. Время допустим 10 часов. В конфиге есть строка по +3 часа, сервер меняет время на 13 часов. Запускается NTP-клиент и синхронит время уже верно, снова 10 часов.
  15. Часы на Mikrotik ROS x86

    Аналогично. Я уже думал даже обмануть судьбу, делал нулевой часовой пояс, но ставил +3 часа в DST (летнем времени), но один х тот же глюк. Такое ощущение, что при посыле сервера в ребут, он при загрузке добавляет 3 часа к времени на материнке, грузится с этим временем, а затем при подгрузке NTP клиента возвращает нормальное время (синхронится). Неужели у всех так?