aligor88 Posted February 13, 2015 · Report post в ветке купи/продай , блейд продают, на него routeros и накатишь ) Share this post Link to post Share on other sites
ChargeSet Posted February 13, 2015 · Report post Роутерос на тазике не нужен. Есть же BSD и прочий чистый честный линукс. Или поколение пепси сменилось поколением винбокса? Share this post Link to post Share on other sites
Saab95 Posted February 13, 2015 · Report post Роутерос на тазике не нужен. Есть же BSD и прочий чистый честный линукс. Или поколение пепси сменилось поколением винбокса? В линуксе и BSD то, что в винбоксе за несколько секунд настраивается, занимает по времени в 10 раз больше. Share this post Link to post Share on other sites
ChargeSet Posted February 13, 2015 · Report post В линуксе и BSD то, что в винбоксе за несколько секунд настраивается, занимает по времени в 10 раз больше. И работает в 10 раз лучше. Share this post Link to post Share on other sites
h3ll1 Posted February 13, 2015 · Report post Лучше потратить более время для настройки и чтоб работало годы, чем настроить за секунду и затем искать пачи для неработающих фичей. Share this post Link to post Share on other sites
dIMbI4 Posted February 13, 2015 · Report post Что вы млять такое крутите на микротиках, что вам не хватает ресурсов? Share this post Link to post Share on other sites
Saab95 Posted February 13, 2015 · Report post Что вы млять такое крутите на микротиках, что вам не хватает ресурсов? Настраивают не правильно просто, вот и не справляется. Одни чего только запрещающие правила всего входящего трафика стоят. Лучше потратить более время для настройки и чтоб работало годы, чем настроить за секунду и затем искать пачи для неработающих фичей. На микротике можно открыть 10 окон с информацией и отслеживать данные, как то же самое сделать на линуксе? Share this post Link to post Share on other sites
Sergeylo Posted February 14, 2015 · Report post Что вы млять такое крутите на микротиках, что вам не хватает ресурсов? Ну, попытка разрулить и отшейпить 150 мбит/с на 60 абонентов средствами дохленьго CRS'а увенчалась загрузкой процессора. На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест. Одни чего только запрещающие правила всего входящего трафика стоят. Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач. На микротике можно открыть 10 окон с информацией и отслеживать данные Открыть 10 ssh-сессий или экранов? Хотя я лично не сторонник линуксовых тазиков, максимум - vyos. Share this post Link to post Share on other sites
NiTr0 Posted February 14, 2015 · Report post На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест. Ну может мегабит 40-50 и выдаст... При одном туннеле. Share this post Link to post Share on other sites
EShirokiy Posted February 14, 2015 · Report post pptp-сервер Микротик и pptp - это ужасно работает, на 300 хостах тазики на i5 дохли. К тому же вечный перекос нагрузки по ядрам, когда одно ядро уходит в сотку и тазик превращается в кирпич) Share this post Link to post Share on other sites
Sonne Posted February 14, 2015 · Report post Myst, GRE это проприетарный цисковский протокол! Что мешает запулить 1000 цисок и наслаждаться радость работы GRE поверх IPSec? Share this post Link to post Share on other sites
Sonne Posted February 14, 2015 · Report post Что вы млять такое крутите на микротиках, что вам не хватает ресурсов? Ну, попытка разрулить и отшейпить 150 мбит/с на 60 абонентов средствами дохленьго CRS'а увенчалась загрузкой процессора. На неделе перепрофилирую его под pptp-сервер для собственных нужд, посмотрим, сколько съест. Одни чего только запрещающие правила всего входящего трафика стоят. На длинке попробуйте поднять PPTP, на 3200! Вы на свиче запускаете задачи роутера. Вина Микротика лишь в том, что он дал возможности, которые другие вендоры не дают. К сожалению мозги к этим возможностям в довесок не прилагаются, думать надо своей головой! Share this post Link to post Share on other sites
Saab95 Posted February 14, 2015 · Report post Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач. На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется. Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово. Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать. Share this post Link to post Share on other sites
aligor88 Posted February 14, 2015 · Report post Вечные споры), автор , попробуй сам на вкус , иначе никогда не определишься Share this post Link to post Share on other sites
snvoronkov Posted February 14, 2015 · Report post Я понял! Saab95 это диагноз такой! Такого количества бреда, как в последнем посте я давненько не читал... Share this post Link to post Share on other sites
TretUliy2 Posted February 14, 2015 · Report post Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач. На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется. Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово. Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать. А у микротика внутри что за ось такая стоит ? Share this post Link to post Share on other sites
Saab95 Posted February 14, 2015 · Report post Такого количества бреда, как в последнем посте я давненько не читал... Я уже много лет занимаюсь работой с сетями и перевидал такие настройки на микротиках, которые и в страшном сне не приснится. Накручивали столько правил, столько вводили вручную информации, которую вообще вводить не требовалось и т.п. При этом, из-за того, что все плохо работало, называли микротик плохими словами. А у микротика внутри что за ось такая стоит ? Router OS у него. Share this post Link to post Share on other sites
NiTr0 Posted February 14, 2015 · Report post Вина Микротика лишь в том, что он дал возможности, которые другие вендоры не дают. Прилепил к дешманскому роутеру дешманский же вебсмарт? :) Оно не пригодно к употреблению ни как свич (ввиду отсутствия элементарного луп детекта, не говоря уже об опциях 82 и прочих плюшках), ни как роутер (ввиду убогости). Хотя - для мелкого офиса потянет... Share this post Link to post Share on other sites
ChargeSet Posted February 14, 2015 · Report post snvoronkov А вы бы почитали, какую пургу он в беспроводном разделе постит... А у микротика внутри что за ось такая стоит ? Там линукс внутри. Только вот микротики нарушают gpl и не раскрывают даже тех сырцов, которые являются свободными и открытыми по вышестоящей лицензии Share this post Link to post Share on other sites
DVM-Avgoor Posted February 15, 2015 · Report post нарушают gpl и не раскрывают даже тех сырцов, которые являются свободными и открытыми по вышестоящей лицензии Она не везде работает юридически. Share this post Link to post Share on other sites
snvoronkov Posted February 15, 2015 · Report post Список доступа не считается законченным, если в конце него не сказано "а всё остальное запретить!". Просто потому что известных моделей угроз - тысячи, неизвестных - бесконечность. Как мы узнаём о новом микротике, появившемся у одного из абонентов - да по жалобе от какого-нибудь хостера на open resolver. Для роутера входящий трафик - это управление и его малочисленные службы, которые открыты для конкретных задач. На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому - просто устанавливают эти службы на микротике, который расположен внутри сети и не имеет внешних адресов, тогда ничего блокировать не требуется. Осталось только порты SSH и Telnet перенастроить на не стандартные, и готово. Микротик не страдает от взломов, если ничего не блокировать и даже не менять порты службам, никаких проблем не возникает, никто пароль не подберет и нагрузки никакой не создаст. Это на дырявых линуксах требуется все блокировать. Хорошо. Буду предметен: 1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло? 2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея. 3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-) Share this post Link to post Share on other sites
adron2 Posted February 15, 2015 · Report post И еще gre не забудьте :-D Share this post Link to post Share on other sites
YuryD Posted February 15, 2015 · Report post На микротике следует блокировать только 2 службы - DNS и NTP, если используете на устройстве с публичным белым IP, но правильные люди делают по другому :) Т.е. проблемы open resolver и ntp ampl в роутерос никто бесплатно не решает ? Админы микротиков - люди весьма любопытные. Пересылаю им очередной забугорный абуз на эти темы - они говорят что у них нет ни ntp ни dns. Ладно бы нищеброды страдали ерундой, вполне себе крупнороссийские фирмы. Или поглядеть за траффиком. Есть туннель, что в нём гуляет - мне не видно, но мимо туннеля прёт явно вирусячий траффик. Понятно, что столичные одмины его не видят, он-же вне туннеля. Впариватели и разводилы в основном мокротик и впаривают... Share this post Link to post Share on other sites
ChargeSet Posted February 15, 2015 · Report post Она не везде работает юридически. если честно, то лично мне без разницы, где лицензии на опенсорс признаются, а где нет. Совесть-то должна быть у людей, хотя бы по выходным и праздничным дням Share this post Link to post Share on other sites
Saab95 Posted February 15, 2015 · Report post 1) Синхра времени на роутерах, я так понял, зло? Записи в журналах, радиусе с правильным временем - тоже зло? Ну так делайте ее внутри сети - поставьте отдельный микротик, имеющий доступ в интернет через НАТ и всего делов. 2) Слоу фулл порт сканы Вы никогда не видели, очевидно. Смена порта уже очень давно не панацея. Видели, только часто тыкают просто по стандартным и все, на все адреса не будет столько времени сканить. 3) Про невзламываемы некротики Вы где-нибудь в другом месте сказки рассказывайте. Есть у нас оператор-партнер, который очень любит некротики и часто через нас своим клиентам ip/ipvpn строит. Я скоро им штатно начну dns, ntp и ssh банить. :-) У вас есть реальные случаи взлома микротика? Share this post Link to post Share on other sites