20Ilya Опубликовано 10 ноября, 2010 · Жалоба Прокси не для своего непосредственного назначения (сохранения проходящих данных), а как возможность отделить весь траффик от приложения (мы же не можем как то ещё отделить трафик, ну кроме как по порту, но это не весь траффик и не всегда) т.е. прозрачный прокси. Вернее иной метод - разбор каждого пакета, но его надо настраивать и можно пропустить нужное. Пометить пакеты в windows, судя по всему, невозможно.Отвечу Вам цитатой из вышезапощенного мне в ответ... Нужное выделил...Mikrotik+mangle+routing-mark Решение надёжнее прокси на обычном ПК, мониторит ВСЕ пакеты с любых на любые порты (любая точность и избирательность настраивается правилами: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle ) По IPv6 - я явно устал на работе, не могу переварить Вашу схему что куда... Ну да дома попробую... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 10 ноября, 2010 · Жалоба Хм... Ну попробуйте проксировать https и p2p во всех инкарнациях, я на Вас посмотрю... ;)Проксировать без кеширования - ну вообще не проблема.Проблема только в софте который проксирует. https через connect прекрасно ходит, при том не нужно вообще ничего знать о криптографии. Вообще, через connect метод на хттп проксях много чего работает. Единственное что udp отсекается. 100 мегабит мелкими пакетиками через юзерспейс даже е5300 должен переварить без проблем. Это ДВЕ точки отказа: "роутер" и "свич"... Микротик - одна... Ещё вопросы?Колхоз vs недорогое правильное решение должно давно уже выигрывать в сторону второго варианта без малейших раздумий... Да и чота в чота переделывать - бр-р-р... Дичайшая точка отказа... Про soho я мнение ещё на прошлой странице указал несколько раз... Повторяться не буду... Тогда не дёшего.Настраиваемые коммутаторы стоят дороже. Если же возможно сделать трансляцию всех внешних IPv4 приходящих для торрент клиента в IPv6 (с разных провайдеров в разные диапазоны), то открывается возможность для манипуляций со всем torrent траффиком в одном клиенте т.к. для него пиры будут с индивидуальными IP. Хотя это довольно спорная схема и вряд ли реализуема на практике.,,Знали бы что предлагаете.1. Днс будет отвечать ипв4 адресами + ипв6: те весь днс траффик нужно будет тоже пересобирать изменённым 2. Софт должен работать с ипв6, в тч и торренты, и внутри его протокола ходят ипв4 адреса пиров - их тоже придётся править... 3. Часть сайтов работать перестанет, ибо у некоторых жёстко зашиты ипв4 адреса вместо днс имён - а ипв4 на системе не будет: можно попробовать победить использованием прокси либо править хтмл на лету.... Короче. Идея прикольная только чисто внешне, при реализации утонет в костылях - потому как на уровнях выше L3 придётся много чего править на лету, и далеко не везде оно возможно: нельзя тупо 4 байта ипв4 заменить на 8 байт ипв6 - не поймут. Гораздо проще извращатся с перенаправлением ипв4 траффика по аплинкам, там только на роутере достаточно пакеты отправлять в разные интерфейсы, править дополнительно в траффике ничего не нужно. И инструментов для этого полно готовых и обкатанных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 ноября, 2010 (изменено) · Жалоба Вообще больше похоже на повыделываться, чем на реальную задачу. Или поморочить голову в стиле толстого тролля. Надеюсь, что это не так. Ладно, проехали. Решение, которе я бы предложил: - ИБП. - Коммутатор второго уровня, в который включены все провайдеры. Каждый провайдер приходит в нетегированный порт на свой влан, например 10 20 30. Внутренняя сеть, например влан 100. - Сервер1 (программный маршрутизатор). Это маленький типа неттопа бесшумный софтовый роутер на том же атоме без винчестера, работающий на flash-накопителе. Там у нас Linux/FreeBSD c шейперами, скриптом балансировки и переключения на резервные каналы с мониторингом состояния каналов. Он включен в тегированный порт и на 1 физическом интерфейсе висят 3 влана провайдеров и 1 внутренний влан. На нем же подняты PPPoE-туннели. На нем же прописаны статические маршруты в локальные сети провайдеров и при необходимости НАТы. Используем полиси бейзед роутинг. Цепляем на ИБП. Бекап простой - клонировать флешку и все. В случае замены системного блока перенастроить - 1 минута. - Сервер2 (файловый сервер с Samba и Transmission), с файловыми системами типа XFS/ZFS. Включен гигабитом в коммутатор второго уровня во внутренний влан и шлюзом по умолчанию выступает сервер1. В нем много винчестеров. Цепляем на ИБП и тушим правильно с Apcupsd. Сервер1 тушим удаленно с Сервера2 скриптом по ssh. Реализация этого всего для вменяемого UNIX-админа в принципе при нормальной постановке задачи легко выполнима на том же FreeBSD+PF. Почему я считаю троллингом и приколом: с линуксом разбираться не хочу, знаю но надоело. Хотя реально задача на 1 вечер и еще пару раз подпилить напильникомчерез какое-то время. Готов платить за BGP, но заплатить 1 раз нормальному админу и потом раз в год его попросить что-то перекрутить за копейки даже не думаю. Все-таки вы свое время экономите. Думаю в итоге по деньгам это будет самое дешевое решение. Подумайте еще раз об этом. BGP - миф. Раскидать 3 провайдера по линкам с нормальной балансировкой - ох как непросто. Легче маркировать трафик, использовать PBR, раскидывать на базе сессий или по портам. --- Удачи. Изменено 10 ноября, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fog Опубликовано 11 ноября, 2010 (изменено) · Жалоба Интересно, почему тут все так хвалят именно Mikrotik, он приплачивает что-ли за это?потому как дешево и эфективно. а мне неприплачивает, я сам покупаю. а что касается задачи то одного RB450G вполне хватит. с поднятым прокси. если мало портов - RB/493AH, если нужно гигабит (хотя непонимаю зачем хомяку гиг внутри хаты) - RB/493G а КАК - все решается стандартными средствами мт. юзаем мануал Изменено 11 ноября, 2010 пользователем Fog Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 11 ноября, 2010 · Жалоба Вообще больше похоже на повыделываться, чем на реальную задачу. Или поморочить голову в стиле толстого тролля. Надеюсь, что это не так.Нет, не так... Благо, что решение я уже выбрал и заказываю на НАГе RB/750G с довевском в некоторое количество СКС-пассивки... И... Читаем подпись... Хомячки бывают всякие... Штучные из них хотят сильно странного по отношению к общей массе... Ну да это нормально...90/10 в действии... Решение, которе я бы предложил:- ИБП. Есть... Надо бы батарейки во всех поднобновить... :( - Коммутатор второго уровня....... - Сервер1 (программный маршрутизатор). То есть опять огород из ДВУХ точек отказа вместо одной? Неттоп - дешевле 4.5тр не уложиться (материнка с атомом или интель775+проц, корпус, память), коммутатор с 1Гбит и несколько соток - несколько т.р... Например, у того же НАГа http://shop.nag.ru/catalog/item/05030 за 4тр... Итого 8-9тр и более за решение... Микротик, указанный мной выше в этом посте - менее 3тр... И намного функциональнее, надёжнее и т.д... - Сервер2 (файловый сервер с Samba и Transmission)Есть и работает и его конфигурацию я менять не намерен... ;) Работает - не трожь... Почему я считаю троллингом и приколом: с линуксом разбираться не хочу, знаю но надоело. .......А вот считайте как хотете... Мне на работе этого всего хватает, ещё и дома... Если есть решение, которое конфигурировать полчаса-час, то стоит выбрать его вместо установки+настройки, которая задача на 1 вечер;) И за эту экономию своего времени я готов заплатить... А оказывается, я даже экономлю не только время, но и деньги... ;) BGP - миф. Раскидать 3 провайдера по линкам с нормальной балансировкой - ох как непросто. Легче маркировать трафик, использовать PBR, раскидывать на базе сессий или по портам.Зато это будет шаг вверх по квалификации и навыкам и достатоно интересное поле для исследования... Да и под будущие проекты (которые имеются и даже внесены в планы) ох как пригодится... ;) хотя непонимаю зачем хомяку гиг внутри хатыХм... Передать файло от одного компа к другому по гигабитной сетке на вынь-платформе раз так в 5 быстрее (7 метров против 35 явно в пользу второго, и это при условии, что с винта/на винт, с/на которого льётся, ещё и пачка торрентов жужжит, иначе - под 50 метров в секунду ненапряжно), это раз... Два - ввод трёх активных провайдеров с инетом илокалями даст примерно 224мбит по теоретическому максимуму... Загонять это в 100-мбит порт на выходе - значит что-то зарежется... Что-то, что в данный момент возможно нужно... Боттлнека легко и недорого избежать... RB/493AH - вайфай лишний, гигабита нету, дороже того же 750Г аж на 99 баксов рекоммендованой цены... RB/493G - такого не нашёл у Микротика, потому не могу сравнивать... RB/450G - железно то же, что и 750Г, но стоит дороже на 30 зелёных за счёт лицензии выше уровнем, при условии, что весь необходимый мне функционал есть в L4 лицензии... Сэкономим... ЗЫ. Вообщем, задача предварительно решена выбором RB/750G со встроенной лицензией L4... Остальное - в процессе настройки выяснится... А до этого надо ещё дождаться получения заказа... Но я уже заранее уверен, что взлетит... Тест производительности с сайта mikc.ru указывает, что мне данной железки позаглаза... 1 порт в локаль и 4 аплинка при трёх провах... (От А2 я откажусь после появления линка Ц, так что даже один порт будет свободен и доступен для манёвров...) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 ноября, 2010 · Жалоба Зря зря зря вы отказались от RB450G, на RB750G вы не прокачаете 200 мегабит роутинга, т.к. производительность его на 64 байтных пакетах всего 37 мегабит, на 512 - 228 и на 1500 - 528 Выходит в теории будет 18 + 45 + 158 = 221 мегабит - выше вы с провайдеров не утяните, и если будете гонять еще файлы по локалке - то производительность будет еще ниже. Поэтому надо было брать все же 450G. Он бы показал 24 + 59 + 233 = 316 мегабит. разница в цене 30 зеленых не такая большая, чтобы каждый раз ждать лишнюю минуту например=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 11 ноября, 2010 · Жалоба Зря зря зря вы отказались от RB450G, на RB750GЭм... Один и тот же чип... Одна и та же частота... Одинаковое число одинаковых портов... Только лицензии различаются... http://mikc.ru/files/docs/routerboard%20tests.pdf - обидно, что 450Г тут нету в тесте... http://mikc.ru/product.php?id_catalog=2&id_position=194 - 750G http://mikc.ru/product.php?id_catalog=2&id_position=177 - 450G Почему это 450Г производительнее 750Г??? За счёт чего??? Выходит в теории будет 18 + 45 + 158 = 221 мегабитИ, кстати, что это за цифры и откуда взялись... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kulek74 Опубликовано 11 ноября, 2010 · Жалоба Зря зря зря вы отказались от RB450G, на RB750G вы не прокачаете 200 мегабит роутинга, т.к. производительность его на 64 байтных пакетах всего 37 мегабит, на 512 - 228 и на 1500 - 528 Выходит в теории будет 18 + 45 + 158 = 221 мегабит - выше вы с провайдеров не утяните, и если будете гонять еще файлы по локалке - то производительность будет еще ниже. Поэтому надо было брать все же 450G. Он бы показал 24 + 59 + 233 = 316 мегабит. разница в цене 30 зеленых не такая большая, чтобы каждый раз ждать лишнюю минуту например=) стоят RB450G и RB750G на практически одинаковых линках , нагрузка около 60-70 Мбит маршрутизации , нагрузка на процессор в это время примерно одинакова ... думаю и производительность одинакова у них Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 11 ноября, 2010 · Жалоба http://mikc.ru/files/docs/routerboard%20tests.pdf Там самый верхний RB400G@680 это и есть RB450G А внизу ваш RB750G@680 - он отличается от RB450G более простым сетевым чипом, меньшим объемом оперативной памяти и другими удешевителями. Так что не все дело в процессоре=) Цифры производительности из расчета 50% пакетов 64-127 байт, 20% 127-512 и 30% 512-1500. Это срез трафика в моей сети. Маршрутизация и NAT немного разные вещи=) особенно на скоростях под 200 мегабит и при нескольких десятках тысяч соединений. Так же у RB750G памяти всего 32 мегабайта, а у RB450G 256 мегабайт. И 750G может просто не потянуть многие схемы работы из-за нехватки памяти, а NATу она ой как нужна, особенно для работы с QoS и фичами в виде очередей PCQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 12 ноября, 2010 · Жалоба Там самый верхний RB400G@680 это и есть RB450GРазве? Учтём... Цифры производительности из расчета 50% пакетов 64-127 байт, 20% 127-512 и 30% 512-1500. Это срез трафика в моей сети.Я вот однозначно уверен, что первой части у меня меньше... ;)Вопрос: как под вынь 2003 серв проснифать за сутки-двое траф проходящий с одной сетевой на другую? Wireshark под вынь есть? Он сам сможет? Маршрутизация и NAT немного разные вещи=)Если учесть, что бОльшую часть маршрутизации моего трафа я смогу настроить исключительно по ИП назначения (масками) и по портам источника/назначения, то нагрузки будет больше на НАТ (если я всё правильно понимаю)... Благо, что уторрент легко приручается отправлять все исходящие соединения с одного порта... ;) Ну а порты http/https/ftp/....... давно известны... При этом правила будут очень простые...Остальное - маршрутизировать по анализу содержимого пакетов... Вот тут сложнее и в основном будет нужен проц и память... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 12 ноября, 2010 · Жалоба Если учесть, что бОльшую часть маршрутизации моего трафа я смогу настроить исключительно по ИП назначения (масками) и по портам источника/назначения, то нагрузки будет больше на НАТ (если я всё правильно понимаю)... Благо, что уторрент легко приручается отправлять все исходящие соединения с одного порта... ;) Ну а порты http/https/ftp/....... давно известны... При этом правила будут очень простые...Остальное - маршрутизировать по анализу содержимого пакетов... Вот тут сложнее и в основном будет нужен проц и память... Нагрузка на NAT растет при количестве сессий и увеличении PPS. А по каким портам откуда куда - ему все равно. Wireshark под Win есть. Работает нормально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fog Опубликовано 12 ноября, 2010 · Жалоба RB/450G вам позволит поднять ПРОКСИ для критичных приложений (на 750г вы прокси неподнимите). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 12 ноября, 2010 · Жалоба Fog Мне прокс гарантированно не нужен... Ни прозрачный ни кэширующий... Нагрузка на NAT растет при количестве сессий и увеличении PPS. А по каким портам откуда куда - ему все равно.Эх... Хоть RB/800 в комплекте с RB/816 покупай... А то и сразу RB/1100 и разгоняй их до 1333 с 800МГц...Тогда точно прожуёт... С запасом... ;) Wireshark под Win есть. Работает нормально.Его одного снять траф с той же машины, на которой он запущен, хватит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 ноября, 2010 · Жалоба RB800 не будет быстрее в вашем случае. Смотрите тогда на RB1100. Траф снять на винде будет сложно. Компьютер просто не будет его принимать, независимо от используемого ПО, нужно создевать бридж у которого в портах прописать P-t-P, тогда на ней пойдет весь сетевой трафик и его уже можно будет пощупать/посмотреть. Вы можете в качестве домашнего коммутатора использовать D-Link DGS-3200-10, он может показывать все пакеты по каждому порту и график вам построит=) единственный минус - стоит около 7-8 тысяч. Так же можно купить 3 штуки RB450G, подключить каждую к своему провайдеру и поднять между ними OSPF, если винда его понимает то проблем с балансировкой каналов у вас не будет=) а если винда не понимает, тогда еще один RB450G вам в помощь=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 12 ноября, 2010 · Жалоба Так же можно купить 3 штуки RB450G, подключить каждую к своему провайдеру и поднять между ними OSPF, если винда его понимает то проблем с балансировкой каналов у вас не будет=) а если винда не понимает, тогда еще один RB450G вам в помощь=)Ну это же ахтунг. 3 девайса, когда надо-то 1. И почему вы так уверены, что проблем с балансировкой не будет? Вы реально такую схему строили и видели нормальную загрузку всех трех каналов? Если да - покажите пример конфигурации и статистику, желательно с графиками. Лично я в такое не верю. Но все может быть. Может быть... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LiuPing Опубликовано 12 ноября, 2010 · Жалоба Wireshark под Win есть. Работает нормально.Его одного снять траф с той же машины, на которой он запущен, хватит? Одного его нет. Wireshark работает через pcap библиотеку. WinPcap в дистрибутив с WireShark под Windows входит. Это я к тому что при инсталляции WireShark надо поставить и WinPcap, насколько я помню там вроде check box надо поставить и нажать Next когда инсталяха WinPcap запустится. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
20Ilya Опубликовано 12 ноября, 2010 · Жалоба Одного его нет. Wireshark работает через pcap библиотеку. WinPcap в дистрибутив с WireShark под Windows входит. Это я к тому что при инсталляции WireShark надо поставить и WinPcap, насколько я помню там вроде check box надо поставить и нажать Next когда инсталяха WinPcap запустится. :)То есть в этом варианте шлюз на базе Вынь2003 с двумя сетевыми (внешняя DGE-528T с pppoe и внутренняя интегрированная, смотрящая в квартирную локальную сеть) сможет WireShark'у отдать все пакеты проходящие через него, которые последним будут проанализированы и рассортированы, как по размеру, так и по основным типам? (Тем более, что 99% трафика в данный момент идёт насквозь шлюза, остальной 1% - irc, icq, прочая мелось пузатая, чутка торрента в виде двух раздач на полудохлой скорости с отсутствием пиров бОльшую часть суток...) Saab95 Согласен с yakuzzza по пункту ахтунга... ;) 800-й роутерборд привёл в качестве примера с потолка... На основе тестов с mikc.ru и не более того... 1100-й думаю как один из вариантов ставить в стойку на IX местном... (Как рад под указанные выше "будущие проекты"...) Но всего лишь как один из вариантов... Привлекает цена решения и его простота... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...