Trueno Posted November 18, 2018 (edited) · Report post Доброго времени суток! Имеется ROS x86. Сеть офисов, около 500 машин. Интернет канал 1гбит. Приходит по GRE тунелю (такое вот извращение от провайдера). 2 внешних ай-пи (оба навешаны на тунель). 5 локальных сетей, 192.168.0 -- 192.168.4 Клиенты двух видов - Client (офисные машины с интернетом) и Service (офисное оборудование, камеры и т д - только доступ к сети и друг другу, без инета). Вот так настроен НАТ: /ip firewall nat add action=src-nat chain=srcnat dst-address=!192.168.0.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.1.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.2.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.51 add action=src-nat chain=srcnat dst-address=!192.168.3.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.52 add action=src-nat chain=srcnat dst-address=!192.168.4.0/16 out-interface=tunnel \ src-address=192.168.0.0/24 src-address-list=Client to-addresses=\ 1**.1**.1**.52 add action=redirect chain=dstnat dst-address=!192.168.0.0/16 dst-port=53 \ in-interface-list=Local protocol=udp src-address=192.168.0.0/16 Созданы 5 правил для 5 локальных подсетей, с указанием разных внешних ай-пи. Так же создано правило для редиректа 53 порта на наш ДНС, чтобы не было смысла менять на левый. Больше ничего нет. Всё ли верно сделано? Вот так настроен Фаервол: /ip firewall filter add action=accept chain=input comment="Client Input" in-interface-list=Local \ src-address-list=Abonent add action=accept chain=forward comment="Client Forward" in-interface-list=\ Local src-address-list=Abonent add action=accept chain=input comment="Service Input" in-interface-list=Local \ src-address-list=Service add action=accept chain=forward comment="Service Forward" in-interface-list=\ Local src-address-list=Service add action=accept chain=input comment="ICMP Input" protocol=icmp add action=drop chain=input comment="Drop Input All" connection-state=new add action=drop chain=forward comment="Drop Forward All" connection-state=new Первые 2 правила разрешают входящие и транзит для машин с интернетом, указан локальный адрес-лист. Вторые 2 правила разрешают входящие и транзит для всяких девайсов без инета (в НАТ для них не даётся интернет), указан так же локальный адрес-лист. Пятое правило разрешает пинг изо всех сетей. И последние 2 правила дропают все новые соединения на вход и на транзит, для всех интерфейсов, в том числе и внешних. Получается, что established и иже с ними не запрещены, инет работает. Если в адрес листе погасить айпишник, то правило 1 и 2 не отрабатывают и все новые соединения для этой машины рубаются. Всё ли верно сделано тут? Иногда бывают жалобы от пользователей, что странички подвисают. Вот решил узнать, можно ли как-то всё сделать более грамотно и компактно. Edited November 18, 2018 by Trueno Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted November 18, 2018 · Report post 1 hour ago, Trueno said: Иногда бывают жалобы от пользователей, что странички подвисают. Так и вы говорите (C) анекдот Если проблемы регулярные, надо разбираться конкретно - какой сайт, в какое время, что открывают и т.д. Может на вашей стороне вообще нет проблем, а они где-то по дороге, если вообще есть. MSS для туннеля уменьшаете ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted November 18, 2018 · Report post Общая картина - сайты открываются не так шустро, как если бы тупо подключить порт аплинка в комп. Получается, что мой шлюз вносит некую задержку. При этом потери пакетов нет, ЦП не более 20%. ДНС сервер даёт ответы моментально. 17 минут назад, McSea сказал: MSS для туннеля уменьшаете ? Всё что сделано по туннелю: по-умолчанию мту выдается 1476, поставил вручную на туннеле 1400, вроде шустрее работает, но не так, как напрямую. Остальные настройки туннеля по-умолчанию. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted November 18, 2018 · Report post Mss!=mtu Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted November 18, 2018 (edited) · Report post 6 часов назад, zhenya` сказал: Mss!=mtu Да я понял. Там в настройках туннеля галочка Clamp TCP MSS стоит, если что. Ещё, я так понял, надо в мангле что-то городить? Остальное в фарволе всё правильно? Да, кстати, ещё. Неоднократно читал, что нужно вверху ставить 2 запрещающих правила на вход и на транзит для connection state = invalid. Насколько это верно? Практическая польза есть, или просто хороший тон, так сказать? Edited November 18, 2018 by Trueno Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...