Jump to content
Калькуляторы

Trueno

Активный участник
  • Content Count

    359
  • Joined

  • Last visited

About Trueno

  • Rank
    Студент

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @mitai1 /ip firewall nat add action=src-nat chain=srcnat out-interface=(интерфейс) src-address=(подсеть) to-addresses=(белый ай пи) у меня так
  2. Добрый день! Дабы не создавать подобную тему, задам похожий вопрос здесь. Снова же, имеется микротик. Два провайдера. Теперь задача выпустить через второй провайдер один порт (предположим это будет порт 777 ТСР) Когда-то давно я это делал и работало. Но подзабыл наверное. Делаю так: /ip firewall mangle add action=mark-routing chain=prerouting dst-port=777 new-routing-mark=mark1 passthrough=yes protocol=tcp /ip route add distance=3 gateway=111.111.111.111 routing-mark=mark1 И оно не работает. При этом если в правиле маркировки вместо маркировки по порту 777 указать маркировку, допустим, по src-address - тогда работает. Насколько помнят мои мутные воспоминания, надо маркировать не роутинг, а то ли пакет, то ли соединение. Напомните, пожалуйста.
  3. Ок. А если без резервирования? Просто организовать схему - 2 провайдера - 2 локалки - каждый провайдер в свою локалку.
  4. @jffulcrum я в случае про 2011 и не говорю про 700 мбит )) там есть такие что по 150-200 мбит гоняют и куча бриджов создана, чтобы каждый бридж обьединял нужный влан и порт загрузка проца под 70-80 процентов бывает вот и подумал, не поможет ли это ему хотя понятно дело, что это полное старьё.
  5. @jffulcrum благодарю. А на всяком старье типа 2011 это даст какое то улучшение? В отличие от классического варианта по бриджу для каждого влан-айди и засовывания туда нужных интерфейсов?
  6. Имеется CRS112 как у автора. Сейчас вланы (на одном порту транк, на одном и транк и антег, на остальных антег) настроены через switch - vlan. Используется свитч-чип, потому что 700 мбит трафика софтово с 400мгц он точно не потянет. Вопрос собственно в том, если настроить вланы через bridge - vlan filtering и применять к каждому порту бриджа hardware offload, будет ли это так же работать через свитч чип? Вопрос возник потому что надо будет настраивать ещё некое количество таких свитчей, а через бридж как-то оно нагляднее. Или всё же будет работать через процессор?
  7. Добрый вечер! Посоветуйте, пожалуйста, как верно разрулить такую ситуацию. Имеется два провайдера. Оба дают адрес по dhcp. Есть микротик. Есть две отдельные подсети в двух отдельных интерфейсах. Допустим это 192.168.1.0/24 и 192.168.2.0/24 Задача состоит в том, чтобы один провайдер натился на одну сеть а другой - на другую. При этом при пропадании какого либо из провайдеров второй должен начинать работать на обе подсети. Нетвотч с командой на гашения маршрута я знаю. Если поставить обоим маршрутам по-умолчанию одинаковую метрику, создать 2 отдельных НАТ с указанием, мол, 192.168.1.0/24 натим на адрес 111.222.333.444 а сеть 192.168.2.0/24 натим на 555.666.777.888 ясен пень оно не работает. То бишь работает лишь один из маршрутов по-умолчанию. Догадываюсь, что нужно сделать две отдельные таблицы маршрутизации. Как выйти из положения?
  8. Вы имеете в виду конфиг из дефолтной конфигурации?
  9. На управление (ссш) доступ только для двух ай-пи (админских), прописано в ip - services. Дык, там ещё больше правил. Чем мой вариант уступает дефолтному?
  10. Нужны комментарии по поводу настройки фаервола. Настраиваю очередной интернет-шлюз под заказчика, пользователей около 100, включение/выключение руками (через ip - firewall - address list). Пробовал разные варианты, и придумал вот что: /ip firewall filter add action=drop chain=input connection-state=invalid #блокирует некорректные соединения на вход add action=drop chain=forward connection-state=invalid #блокирует некорректные соединения на транзит add action=accept chain=input src-address-list=Client #разрешает входящие соединения для пользователей, если ip активен в адрес-листе add action=accept chain=forward src-address-list=Client #разрешает транзитные соединения для пользователей, если ip активен в адрес-листе  add action=accept chain=input protocol=icmp #разрешает входящий ICMP для всех add action=drop chain=input connection-state=new #запрет для всех входяших новых соединений, которые не попадают в вышестоящие правила add action=drop chain=forward connection-state=new #запрет для всех транзитных новых соединений, которые не попадают в вышестоящие правила И вроде бы всё работает. Из интернета пинг на шлюз есть, доступа на порты нет, инет для активных ай-пи в адрес-листе работает. Однако, поразмыслив с коллегами, пришли к сомнениям. 1. Нужны ли первые два правила для резки неких инвалидных соединений? Мне предлагают их выбросить вообще, мол, на работу не влияют, больше для красоты и верности. 2. Моя логика с чередованием input/forward кривая, мол, нужно сначала прописать все intup, потом все forward. Я так пробовал. Визуально начинают дольше грузиться странички. Или же это из-за перестройки и нужно сначала ребутнуть роутер? 3. Нужно в разрешающих правилах разрешать не всё, а только established и related, а в нижних правилах рубить всё, а не только new. Вот я и задумался. Как бы посоветовали вы?
  11. оооооо! какая знакомая проблема! сколько же было испробовано сетевух! интелы и 1 и 2 и 4 портовые и дороже и дешевле. некоторые вообще не виделись системой, у некоторых нет l2mtu. из интелов корректно (в плане l2mtu) работает 82574L, например в составе их Intel CT Adapter или HP 112 или аналоги от китайцев. Так же эта сетяха встречалась в некоторых матерях как интегрированная. Но всё что она умеет - разбивать очередь rx и tx по разным ядрам. Если у Вас 2 ядра - как раз можно разбить. Я с ней работал, но потом как то собирал новый шлюз и поставил просто реалтек, на свежем чипе, 8111F вроде. И как мне показалось она работает не хуже, хотя вообще разбивку не умеет. Трафика около 600-700 мбит, дропов нет. Если у кого-то будет инфа о других корректно работающих с l2 сетевухах под микрот - пишите, пожалуйста! Может, что-то из бродком?
  12. Да я понял. Там в настройках туннеля галочка Clamp TCP MSS стоит, если что. Ещё, я так понял, надо в мангле что-то городить? Остальное в фарволе всё правильно? Да, кстати, ещё. Неоднократно читал, что нужно вверху ставить 2 запрещающих правила на вход и на транзит для connection state = invalid. Насколько это верно? Практическая польза есть, или просто хороший тон, так сказать?
  13. Общая картина - сайты открываются не так шустро, как если бы тупо подключить порт аплинка в комп. Получается, что мой шлюз вносит некую задержку. При этом потери пакетов нет, ЦП не более 20%. ДНС сервер даёт ответы моментально. Всё что сделано по туннелю: по-умолчанию мту выдается 1476, поставил вручную на туннеле 1400, вроде шустрее работает, но не так, как напрямую. Остальные настройки туннеля по-умолчанию.
  14. Заинтересовал этот новенький девайс. 4 ядра по 1.4 ГГц вроде как не плохо. И цена гуманная, 200 зеленых. У кого-то есть опыт использования? Интересует, сколько мегабит и пользователей он прожуёт при НАТ и симплах? В принципе, его производительность равна 1100х4, судя по процессору. 500Мбит 500 чел они тянут?