SyJet Опубликовано 31 декабря, 2014 · Жалоба Mikrotik это 100% SOHO или HOME, впускать его в ISP - черевато потерей клиентов. Когда руки кривые это верно, если правильно настраивать никаких проблем не возникает. Как раз многие на микротике и заработали на циску или что покруче. Руки кривые? Ну-ну.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 31 декабря, 2014 · Жалоба Да нехай, пока есть последователи саабжа, работа будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 декабря, 2014 · Жалоба хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик. На линуксе и фре очень ущербный файрвол. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 31 декабря, 2014 · Жалоба Угу особенно на фре с её таблицами. Очень ущербно. А в микротике совсем не обертка над iptables, там свое уникальное решение, ага. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 31 декабря, 2014 · Жалоба На линуксе и фре очень ущербный файрвол. Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 декабря, 2014 (изменено) · Жалоба На линуксе и фре очень ущербный файрвол. Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен. Типо в доказательство :) # ipfw show | wc -l 49 top -SCHIPb | grep cpu 11 root 155 ki31 0K 16K CPU1 1 1093.4 91.94% idle{idle: cpu1} 11 root 155 ki31 0K 16K RUN 0 1106.8 89.94% idle{idle: cpu0} ifstat -i em2 -b 1 91758.81 13595.41 # ipfw nat show nat 4: icmp=0, udp=2145, tcp=3586, sctp=0, pptp=0, proto=0, frag_id=27 frag_ptr=0 / tot=5758 nat 3: icmp=30, udp=6154, tcp=16112, sctp=0, pptp=0, proto=0, frag_id=12 frag_ptr=0 / tot=22308 nat 2: icmp=8, udp=10339, tcp=24620, sctp=0, pptp=0, proto=0, frag_id=3 frag_ptr=0 / tot=34970 nat 1: icmp=8, udp=8833, tcp=20405, sctp=0, pptp=0, proto=0, frag_id=8 frag_ptr=0 / tot=29254 49 правил в фаерволе, 4 инстанса ната на ipfw и конечно же дамминет, правда у меня сейчас не ЧНН, трафа ровно половину от ЧНН. Не, конечно жизнь моей сети начиналась с микротика, правил было всего 4 или 5. Разрешить из каждого акцес листа - остальных запретить, нат на один ип и шейпер в виде дерева PCQ, но такая схема на одном тике с 600 Мгц дожила до 120 человек и около 45 мегабит трафа. Да и не я это возводил, мне это наследие досталось. Теперь вот фря, в которой есть розовый и замечательный тцпдамп. Микротиковский снифер дает чуть больше чем ничего. На счёт фаера - я бы сказал, что нет нормального фаервола в принципе. Давно их пора менять, но из имеющихся ipfw прекрасно делает своё дело. А у микротика архитектура такая, впихни туда хоть 10000 ядер по гигагерцу, всё равно толку будет немного. Черезчур производительность нелинейная. Никому он на голом статичном роутинге не нужен. Добавь пару правил в фаервол - и оп, прощай 5-50% мощности. Изменено 31 декабря, 2014 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 декабря, 2014 · Жалоба На счёт фаера - я бы сказал, что нет нормального фаервола в принципе. Давно их пора менять Фаерволы нормальные - и iptables и ipfw. Просто они не так удобны с точки зрения userspace. Начиная с ядра linux 3.13 там живёт nftables, а в юзерспейсе последних дистрибутивов linux есть утилита nft. В ближайшие годы, оно будет заменять iptables. И кстати, CLI микротика почти ничем не отличается от ввода правила с помощью iptables, только в виде parameter=value. Так что фаервола микротика это просто аналог iptables, который точно так же управляет netfliter-ом Никому он на голом статичном роутинге не нужен. вот это очень точно подмечено. никому не нужен mikrotik в режиме fast-path ибо эти фичи умеют дешёвые l3-свитчи в железе Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 31 декабря, 2014 · Жалоба хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик. смешно читать посты такие. Появляется дикое желание пригласить в гости. Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках. Думаете, что мы 3 года с глюками мирились бы? Или у нас недостаточно денег на нормальное решение? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 декабря, 2014 · Жалоба хех, смешно. А я думал что с тазиков перешли на железные решения. А микроти обычно это предыдущий шаг, до того как поймут что таз на фре\линуксе ведет себя куда предсказуемее чем микротик. смешно читать посты такие. Появляется дикое желание пригласить в гости. Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках. Думаете, что мы 3 года с глюками мирились бы? Или у нас недостаточно денег на нормальное решение? Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 января, 2015 · Жалоба Угу особенно на фре с её таблицами. Очень ущербно. А в микротике совсем не обертка над iptables, там свое уникальное решение, ага. Ну так для добавления одного правила в микротике строчка для отправки в разы короче получается. Следовательно на микре тоже ущербный, ибо там такой же iptables. Однако линуксы в отличие от сабжа не дохнут на 200-300 мбитах при 50-100 правил. Так что тут еще большой вопрос, кто более ущербен. Разговор был про синтаксис, кроме всего микротик умеет то, что не умеет ваш файрвол. 49 правил в фаерволе, 4 инстанса ната на ipfw и конечно же дамминет, правда у меня сейчас не ЧНН, трафа ровно половину от ЧНН. Графическое представление файрвола разве есть в линуксе? Что бы можно было открыть 5-10 окошек и сразу же наблюдать в каждом о происходящем? Черезчур производительность нелинейная. Никому он на голом статичном роутинге не нужен. Добавь пару правил в фаервол - и оп, прощай 5-50% мощности. То есть у вас везде на сети только шейпера, наты и прочие устройства? вот это очень точно подмечено. никому не нужен mikrotik в режиме fast-path ибо эти фичи умеют дешёвые l3-свитчи в железе И сколько стоит этот L3 свич? Микротик гораздо дешевле, особенно младшие модели. Ведь если нужно только отроутить 200-300 мегабит, хватит и RB750, при этом если он сгорит, то залить конфиг на новое устройство дело нескольких секунд и все снова работает. При этом не зависимо от прошивки и т.п. смешно читать посты такие. Появляется дикое желание пригласить в гости. Вам доказательства даже предоставь, а вы начинаете снова о каких-то непредсказуемых глюках. Просто есть люди, которые пытаются перенести линуксовую схему работы, или там цисковскую, на микротик - естественно ничего толкового не получается, вот и жалуются. Если правильно поставить задачу и решить ее микротиковскими способами, никаких проблем не бывает, все работает стабильно годами без перезагрузок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 1 января, 2015 · Жалоба микротик умеет то, что не умеет ваш файрвол. Конгениально, киса © Бендер Сравнивать ОСь и фаер это надо постараться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 января, 2015 · Жалоба Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике. Так на линуксах тоже производительность падает, особенно от правил шейпера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 1 января, 2015 · Жалоба Графическое представление файрвола разве есть в линуксе? Ну если очень хотите, я могу накидать вам скриптик, который покажет вам реалтайм, вопрос нахрена? Где в вами цитируемом посте есть слово "глюк"? Дальше я пишу, что очень сильно влияет на производительность кол-во правил в микротике. Так на линуксах тоже производительность падает, особенно от правил шейпера. Вы просто не умеете их готовить. Про хеши слышали что нибудь? Если правильно поставить задачу и решить ее микротиковскими способами, То потребуется ведёрко микротиков, для шейперов, натов и прочих бгп. По коробочке на задачу, а то две и более. микротик умеет то, что не умеет ваш файрвол. IPSEC умеет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 января, 2015 · Жалоба Ну если очень хотите, я могу накидать вам скриптик, который покажет вам реалтайм, вопрос нахрена? То есть штатными средствами не умеет? На микротике можно прямо на лету менять параметры и смотреть на графике количество обработанных пакетов. Вы просто не умеете их готовить. Про хеши слышали что нибудь? Мне и не надо их готовить. То потребуется ведёрко микротиков, для шейперов, натов и прочих бгп. По коробочке на задачу, а то две и более. Это не проблема. IPSEC умеет? Умеет, только это устаревшая технология и ее использование не рекомендуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 1 января, 2015 · Жалоба То есть штатными средствами не умеет? Гуй на линуксе - не нужен, для этого есть другие инструменты визуализации. На микротике можно прямо на лету менять параметры Поменяйте мне 10 тысяч параметров тогоже допустим dhcp-сервера, допустим добвьте/измените лизы. Желательно на лету, в винбоксе. Умеет, только это устаревшая технология и ее использование не рекомендуется. Какая же тогда технология новейшая и какую использовать рекомендуется? Мне и не надо их готовить. Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 января, 2015 · Жалоба Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике. Ну это и я вам отвечу, через мангл. То есть у вас везде на сети только шейпера, наты и прочие устройства? Что есть прочие устройства? У меня машина с фрей на борту, которая натит, шейпит, выбирает кого выпускать в инет, а кто должник, биллинг, свичи, радиолинки. Что вы имеете в виду не известно. Ну так для добавления одного правила в микротике строчка для отправки в разы короче получается. Даже я особо не зная айпитиеблса отвечу - что вы палите на угад. Обертка вокруг айпитейбса = айпитейблс, только с слегка модифицированым синтаксисом. Так на линуксах тоже производительность падает, особенно от правил шейпера. У меня фря, говорю уже в 10 раз. У меня шейп занимает процессорного времени меньше чем днс. Судя по топу, конечно же. И сколько стоит этот L3 свич? Посмотрите сколько стоит 3550 кошка :) 300 вланов выдержит, архетиктура то старая. 4948 с кучей гиговых портов и с наличией 10г найдете около 1к долларов. Модели помладше - естественно дешевле. К слову - 4948 таже 45хх только в одном юните. 45хх модульную тоже около 1к долларов собрать можно, при желании дешевле выйдет. Графическое представление файрвола разве есть в линуксе? Что бы можно было открыть 5-10 окошек и сразу же наблюдать в каждом о происходящем? Кому оно нужно? Правило или работает или нет. Видно это по кол-ву пакетов, которые попали под правило + тцпдамп всегда в помощь. Фаер в графике нужен только тому, кто ознакамливается. Я в свой фаер смотрел последний раз, только из-за того, что бы показать кол-во правил и нат трансляций. IPSEC умеет? Не спрашивайте про незнакомые ему вещи. Они по умолчанию устаревшие и не должны использоватся. Проще вообще про них ни у кого не спрашивать, а делать на том, на чём оно 100% работает, но ему не понять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 1 января, 2015 · Жалоба Saab наверное до сих пор не знает откуда у микровтыка появились фаервольные фичи.. Даю наводку netfilter.org По поводу наглядности - я бы хотел увидеть наконец то окошко винбокса с фулл вью )) а вот ссх на линуксе показывает хоть 10 фулов , или вебка на линуксе. Ну если по теме - iptables -nvL работает безотказно, и счетчики можно включить и комменты и включать и выключать правила... Было как то время , когда микровтык вылаживал у себя на сайте ссылки на опенсорс софт который он перепиливал в своих целях, так вот весь микровтык состоит из опенсорса который вежливо скрывает микрот и Ко )) ну там криптофайлосистемы всякие, упаковщики свои.. ну и конечно гуевина винбокса своя.. хотя гдето встречал на QT народ под линух что то начинал похожее писать. А вспомнить хотя бы насколько Нормис был в гневе когда я на форуме расписал как закинул в микровтык новый драйвер Интела , чтобы сетевушки все работали.. (до этого год просил вкомпилить новый драйвер), что тогда творилось.. и посты мои терли и логин блокировали... Ахтунг вобщем ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 1 января, 2015 · Жалоба Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике. Еще и с негаранированной скоростью, с пропорциональным относительно макс.скорости ограничением при оверкоммите, и с конфигурируемой суммарной полоской :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 1 января, 2015 (изменено) · Жалоба Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике. Еще и с негаранированной скоростью, с пропорциональным относительно макс.скорости ограничением при оверкоммите, и с конфигурируемой суммарной полоской :) Нитро, жгиии!!! Я вот на линухе нифига не сделаю, но парни умнее меня легко ))) Изменено 1 января, 2015 пользователем SyJet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 января, 2015 · Жалоба Какая же тогда технология новейшая и какую использовать рекомендуется? SSTP. Тогда приготовьте мне пожалуйста шейпер по четырем видам класса трафика, допустим icmp/upd/tcp dst 80/other на каждого из 3 тысяч сабскрайберов, и при этом еще отнатить их. На микротике. Нужно каналы расширять, а не делить гигабит на 3000 абонентов. Что есть прочие устройства? У меня машина с фрей на борту, которая натит, шейпит, выбирает кого выпускать в инет, а кто должник, биллинг, свичи, радиолинки. Имелось в виду что каждое устройство должно решать одну задачу - нат, шейпер и прочее должно быть на отдельных устройствах. А то еще с древних времен повелось делать крутой сервер, на котором все - от выхода в интернет и биллинга, до почтового сервера. Даже я особо не зная айпитиеблса отвечу - что вы палите на угад. Обертка вокруг айпитейбса = айпитейблс, только с слегка модифицированым синтаксисом. В микротике можно сокращать команды, в линуксе нужно писать полностью. Посмотрите сколько стоит 3550 кошка :) 300 вланов выдержит, архетиктура то старая. 4948 с кучей гиговых портов и с наличией 10г найдете около 1к долларов. Модели помладше - естественно дешевле. К слову - 4948 таже 45хх только в одном юните. 45хх модульную тоже около 1к долларов собрать можно, при желании дешевле выйдет. И зачем все это? Например в одном поселке стоит себе RB951G-2HnD и рулит трафик от 200 абонентов, при этом его стоимость в 10 раз меньше, чем предлагаемые вами решения, за год не завис ни разу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 2 января, 2015 · Жалоба И зачем все это? Например в одном поселке стоит себе RB951G-2HnD и рулит трафик от 200 абонентов, при этом его стоимость в 10 раз меньше, чем предлагаемые вами решения, за год не завис ни разу. Сколько вы там говорите стоит б\у кошка 35хх? Раз в 10 больше чем этот микротик? О_о или у вас очень дешевые цены на микротик, или я не знаю где вы ищете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 2 января, 2015 · Жалоба Я представляю надёжность этой сети.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 2 января, 2015 · Жалоба SSTP. Проприентарный протокол? Ну-ну. В микротике можно сокращать команды, в линуксе нужно писать полностью. Учите матчасть, в линуксе (на котором основан микротик) есть автодополнение команд. Нужно каналы расширять, а не делить гигабит на 3000 абонентов. Приезжайте к нам, и попробуйте порасширять по 45 баксов за мегабит. Имелось в виду что каждое устройство должно решать одну задачу - нат, шейпер должно быть на отдельных устройствах. Создавая дополнительные точки отказа? Зачем? Если одна железка с этим справляется на ура. Или это потому что ваша говномыльница не тянет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 2 января, 2015 · Жалоба Создавая дополнительные точки отказа? Зачем? Чтобы вы у Saab'а больше девайсов купили же :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 2 января, 2015 · Жалоба Создавая дополнительные точки отказа? Зачем? Чтобы вы у Saab'а больше девайсов купили же :) Так то да. Нат, шейпер, фаервол (кого выпускать в инет, а кто должник) * 2 (зип держать же нужно), как минимум 6 штук выходит. Учитывая их относительно небольшую стоимость - типо 1009 около 400 баксов = 2400 долляров. Отличный маркетинг чё, а лучше толкать 1036 (по 1к баксов)! :) :) Так что в сетях он может и профан, а вот продован, который свою линию гнет - отличный :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...