[20Ilya]

Прокси не для своего непосредственного назначения (сохранения проходящих данных), а как возможность отделить весь траффик от приложения (мы же не можем как то ещё отделить трафик, ну кроме как по порту, но это не весь траффик и не всегда) т.е. прозрачный прокси. Вернее иной метод - разбор каждого пакета, но его надо настраивать и можно пропустить нужное. Пометить пакеты в windows, судя по всему, невозможно.

Отвечу Вам цитатой из вышезапощенного мне в ответ... Нужное выделил...

Mikrotik+mangle+routing-mark

Решение надёжнее прокси на обычном ПК, мониторит ВСЕ пакеты с любых на любые порты (любая точность и избирательность настраивается правилами: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Mangle )

 

 

По IPv6 - я явно устал на работе, не могу переварить Вашу схему что куда... Ну да дома попробую...

[Ivan_83]

Хм... Ну попробуйте проксировать https и p2p во всех инкарнациях, я на Вас посмотрю... ;)

Проксировать без кеширования - ну вообще не проблема.

Проблема только в софте который проксирует.

https через connect прекрасно ходит, при том не нужно вообще ничего знать о криптографии.

Вообще, через connect метод на хттп проксях много чего работает.

Единственное что udp отсекается.

100 мегабит мелкими пакетиками через юзерспейс даже е5300 должен переварить без проблем.

 

 

Это ДВЕ точки отказа: "роутер" и "свич"... Микротик - одна... Ещё вопросы?

Колхоз vs недорогое правильное решение должно давно уже выигрывать в сторону второго варианта без малейших раздумий...

Да и чота в чота переделывать - бр-р-р... Дичайшая точка отказа... Про soho я мнение ещё на прошлой странице указал несколько раз... Повторяться не буду...

Тогда не дёшего.

Настраиваемые коммутаторы стоят дороже.

 

 

Если же возможно сделать трансляцию всех внешних IPv4 приходящих для торрент клиента в IPv6 (с разных провайдеров в разные диапазоны), то открывается возможность для манипуляций со всем torrent траффиком в одном клиенте т.к. для него пиры будут с индивидуальными IP. Хотя это довольно спорная схема и вряд ли реализуема на практике.,,

Знали бы что предлагаете.

1. Днс будет отвечать ипв4 адресами + ипв6: те весь днс траффик нужно будет тоже пересобирать изменённым

2. Софт должен работать с ипв6, в тч и торренты, и внутри его протокола ходят ипв4 адреса пиров - их тоже придётся править...

3. Часть сайтов работать перестанет, ибо у некоторых жёстко зашиты ипв4 адреса вместо днс имён - а ипв4 на системе не будет: можно попробовать победить использованием прокси либо править хтмл на лету....

 

Короче.

Идея прикольная только чисто внешне, при реализации утонет в костылях - потому как на уровнях выше L3 придётся много чего править на лету, и далеко не везде оно возможно: нельзя тупо 4 байта ипв4 заменить на 8 байт ипв6 - не поймут.

 

Гораздо проще извращатся с перенаправлением ипв4 траффика по аплинкам, там только на роутере достаточно пакеты отправлять в разные интерфейсы, править дополнительно в траффике ничего не нужно.

И инструментов для этого полно готовых и обкатанных.

[yakuzzza]

Вообще больше похоже на повыделываться, чем на реальную задачу. Или поморочить голову в стиле толстого тролля. Надеюсь, что это не так.

 

Ладно, проехали.

 

Решение, которе я бы предложил:

- ИБП.

- Коммутатор второго уровня, в который включены все провайдеры. Каждый провайдер приходит в нетегированный порт на свой влан, например 10 20 30. Внутренняя сеть, например влан 100.

- Сервер1 (программный маршрутизатор). Это маленький типа неттопа бесшумный софтовый роутер на том же атоме без винчестера, работающий на flash-накопителе. Там у нас Linux/FreeBSD c шейперами, скриптом балансировки и переключения на резервные каналы с мониторингом состояния каналов. Он включен в тегированный порт и на 1 физическом интерфейсе висят 3 влана провайдеров и 1 внутренний влан. На нем же подняты PPPoE-туннели. На нем же прописаны статические маршруты в локальные сети провайдеров и при необходимости НАТы. Используем полиси бейзед роутинг. Цепляем на ИБП. Бекап простой - клонировать флешку и все. В случае замены системного блока перенастроить - 1 минута.

- Сервер2 (файловый сервер с Samba и Transmission), с файловыми системами типа XFS/ZFS. Включен гигабитом в коммутатор второго уровня во внутренний влан и шлюзом по умолчанию выступает сервер1. В нем много винчестеров. Цепляем на ИБП и тушим правильно с Apcupsd. Сервер1 тушим удаленно с Сервера2 скриптом по ssh.

 

Реализация этого всего для вменяемого UNIX-админа в принципе при нормальной постановке задачи легко выполнима на том же FreeBSD+PF.

Почему я считаю троллингом и приколом: с линуксом разбираться не хочу, знаю но надоело. Хотя реально задача на 1 вечер и еще пару раз подпилить напильникомчерез какое-то время. Готов платить за BGP, но заплатить 1 раз нормальному админу и потом раз в год его попросить что-то перекрутить за копейки даже не думаю. Все-таки вы свое время экономите. Думаю в итоге по деньгам это будет самое дешевое решение. Подумайте еще раз об этом.

 

BGP - миф. Раскидать 3 провайдера по линкам с нормальной балансировкой - ох как непросто. Легче маркировать трафик, использовать PBR, раскидывать на базе сессий или по портам.

 

---

Удачи.

Изменено 10 ноября, 2010 пользователем yakuzzza

[Fog]

Интересно, почему тут все так хвалят именно Mikrotik, он приплачивает что-ли за это?

потому как дешево и эфективно. а мне неприплачивает, я сам покупаю.

 

а что касается задачи то одного RB450G вполне хватит. с поднятым прокси. если мало портов - RB/493AH, если нужно гигабит (хотя непонимаю зачем хомяку гиг внутри хаты) - RB/493G

а КАК - все решается стандартными средствами мт. юзаем мануал

Изменено 11 ноября, 2010 пользователем Fog

[20Ilya]

Вообще больше похоже на повыделываться, чем на реальную задачу. Или поморочить голову в стиле толстого тролля. Надеюсь, что это не так.

Нет, не так... Благо, что решение я уже выбрал и заказываю на НАГе RB/750G с довевском в некоторое количество СКС-пассивки... И... Читаем подпись... Хомячки бывают всякие... Штучные из них хотят сильно странного по отношению к общей массе... Ну да это нормально...90/10 в действии...

 

Решение, которе я бы предложил:

- ИБП.

Есть... Надо бы батарейки во всех поднобновить... :(

 

- Коммутатор второго уровня

.......

- Сервер1 (программный маршрутизатор).

То есть опять огород из ДВУХ точек отказа вместо одной? Неттоп - дешевле 4.5тр не уложиться (материнка с атомом или интель775+проц, корпус, память), коммутатор с 1Гбит и несколько соток - несколько т.р... Например, у того же НАГа http://shop.nag.ru/catalog/item/05030 за 4тр... Итого 8-9тр и более за решение... Микротик, указанный мной выше в этом посте - менее 3тр... И намного функциональнее, надёжнее и т.д...

 

- Сервер2 (файловый сервер с Samba и Transmission)

Есть и работает и его конфигурацию я менять не намерен... ;) Работает - не трожь...

 

Почему я считаю троллингом и приколом: с линуксом разбираться не хочу, знаю но надоело. .......

А вот считайте как хотете... Мне на работе этого всего хватает, ещё и дома... Если есть решение, которое конфигурировать полчаса-час, то стоит выбрать его вместо установки+настройки, которая

задача на 1 вечер

;) И за эту экономию своего времени я готов заплатить... А оказывается, я даже экономлю не только время, но и деньги... ;)

 

BGP - миф. Раскидать 3 провайдера по линкам с нормальной балансировкой - ох как непросто. Легче маркировать трафик, использовать PBR, раскидывать на базе сессий или по портам.

Зато это будет шаг вверх по квалификации и навыкам и достатоно интересное поле для исследования... Да и под будущие проекты (которые имеются и даже внесены в планы) ох как пригодится... ;)

 

 

хотя непонимаю зачем хомяку гиг внутри хаты

Хм... Передать файло от одного компа к другому по гигабитной сетке на вынь-платформе раз так в 5 быстрее (7 метров против 35 явно в пользу второго, и это при условии, что с винта/на винт, с/на которого льётся, ещё и пачка торрентов жужжит, иначе - под 50 метров в секунду ненапряжно), это раз... Два - ввод трёх активных провайдеров с инетом илокалями даст примерно 224мбит по теоретическому максимуму... Загонять это в 100-мбит порт на выходе - значит что-то зарежется... Что-то, что в данный момент возможно нужно... Боттлнека легко и недорого избежать...

 

RB/493AH - вайфай лишний, гигабита нету, дороже того же 750Г аж на 99 баксов рекоммендованой цены...

RB/493G - такого не нашёл у Микротика, потому не могу сравнивать...

RB/450G - железно то же, что и 750Г, но стоит дороже на 30 зелёных за счёт лицензии выше уровнем, при условии, что весь необходимый мне функционал есть в L4 лицензии... Сэкономим...

 

 

ЗЫ. Вообщем, задача предварительно решена выбором RB/750G со встроенной лицензией L4...

Остальное - в процессе настройки выяснится... А до этого надо ещё дождаться получения заказа... Но я уже заранее уверен, что взлетит... Тест производительности с сайта mikc.ru указывает, что мне данной железки позаглаза... 1 порт в локаль и 4 аплинка при трёх провах... (От А2 я откажусь после появления линка Ц, так что даже один порт будет свободен и доступен для манёвров...)

[Saab95]

Зря зря зря вы отказались от RB450G, на RB750G вы не прокачаете 200 мегабит роутинга, т.к. производительность его на 64 байтных пакетах всего 37 мегабит, на 512 - 228 и на 1500 - 528

 

Выходит в теории будет 18 + 45 + 158 = 221 мегабит - выше вы с провайдеров не утяните, и если будете гонять еще файлы по локалке - то производительность будет еще ниже.

Поэтому надо было брать все же 450G. Он бы показал 24 + 59 + 233 = 316 мегабит. разница в цене 30 зеленых не такая большая, чтобы каждый раз ждать лишнюю минуту например=)

[20Ilya]

Зря зря зря вы отказались от RB450G, на RB750G

Эм... Один и тот же чип... Одна и та же частота... Одинаковое число одинаковых портов... Только лицензии различаются...

 

http://mikc.ru/files/docs/routerboard%20tests.pdf - обидно, что 450Г тут нету в тесте...

http://mikc.ru/product.php?id_catalog=2&id_position=194 - 750G

http://mikc.ru/product.php?id_catalog=2&id_position=177 - 450G

 

Почему это 450Г производительнее 750Г??? За счёт чего???

 

Выходит в теории будет 18 + 45 + 158 = 221 мегабит

И, кстати, что это за цифры и откуда взялись...

[Kulek74]

Зря зря зря вы отказались от RB450G, на RB750G вы не прокачаете 200 мегабит роутинга, т.к. производительность его на 64 байтных пакетах всего 37 мегабит, на 512 - 228 и на 1500 - 528

 

Выходит в теории будет 18 + 45 + 158 = 221 мегабит - выше вы с провайдеров не утяните, и если будете гонять еще файлы по локалке - то производительность будет еще ниже.

Поэтому надо было брать все же 450G. Он бы показал 24 + 59 + 233 = 316 мегабит. разница в цене 30 зеленых не такая большая, чтобы каждый раз ждать лишнюю минуту например=)

стоят RB450G и RB750G на практически одинаковых линках , нагрузка около 60-70 Мбит маршрутизации , нагрузка на процессор в это время примерно одинакова ... думаю и производительность одинакова у них

[Saab95]

http://mikc.ru/files/docs/routerboard%20tests.pdf

 

Там самый верхний RB400G@680 это и есть RB450G

 

А внизу ваш RB750G@680 - он отличается от RB450G более простым сетевым чипом, меньшим объемом оперативной памяти и другими удешевителями. Так что не все дело в процессоре=)

 

Цифры производительности из расчета 50% пакетов 64-127 байт, 20% 127-512 и 30% 512-1500. Это срез трафика в моей сети.

 

Маршрутизация и NAT немного разные вещи=) особенно на скоростях под 200 мегабит и при нескольких десятках тысяч соединений. Так же у RB750G памяти всего 32 мегабайта, а у RB450G 256 мегабайт. И 750G может просто не потянуть многие схемы работы из-за нехватки памяти, а NATу она ой как нужна, особенно для работы с QoS и фичами в виде очередей PCQ.

[20Ilya]

Там самый верхний RB400G@680 это и есть RB450G

Разве? Учтём...

 

Цифры производительности из расчета 50% пакетов 64-127 байт, 20% 127-512 и 30% 512-1500. Это срез трафика в моей сети.

Я вот однозначно уверен, что первой части у меня меньше... ;)

Вопрос: как под вынь 2003 серв проснифать за сутки-двое траф проходящий с одной сетевой на другую? Wireshark под вынь есть? Он сам сможет?

 

Маршрутизация и NAT немного разные вещи=)

Если учесть, что бОльшую часть маршрутизации моего трафа я смогу настроить исключительно по ИП назначения (масками) и по портам источника/назначения, то нагрузки будет больше на НАТ (если я всё правильно понимаю)... Благо, что уторрент легко приручается отправлять все исходящие соединения с одного порта... ;) Ну а порты http/https/ftp/....... давно известны... При этом правила будут очень простые...

Остальное - маршрутизировать по анализу содержимого пакетов... Вот тут сложнее и в основном будет нужен проц и память...

[yakuzzza]

Если учесть, что бОльшую часть маршрутизации моего трафа я смогу настроить исключительно по ИП назначения (масками) и по портам источника/назначения, то нагрузки будет больше на НАТ (если я всё правильно понимаю)... Благо, что уторрент легко приручается отправлять все исходящие соединения с одного порта... ;) Ну а порты http/https/ftp/....... давно известны... При этом правила будут очень простые...

Остальное - маршрутизировать по анализу содержимого пакетов... Вот тут сложнее и в основном будет нужен проц и память...

Нагрузка на NAT растет при количестве сессий и увеличении PPS. А по каким портам откуда куда - ему все равно.

 

Wireshark под Win есть. Работает нормально.

[Fog]

RB/450G вам позволит поднять ПРОКСИ для критичных приложений (на 750г вы прокси неподнимите).

[20Ilya]

Fog

Мне прокс гарантированно не нужен... Ни прозрачный ни кэширующий...

 

Нагрузка на NAT растет при количестве сессий и увеличении PPS. А по каким портам откуда куда - ему все равно.

Эх... Хоть RB/800 в комплекте с RB/816 покупай... А то и сразу RB/1100 и разгоняй их до 1333 с 800МГц...

Тогда точно прожуёт... С запасом... ;)

 

Wireshark под Win есть. Работает нормально.

Его одного снять траф с той же машины, на которой он запущен, хватит?

[Saab95]

RB800 не будет быстрее в вашем случае. Смотрите тогда на RB1100.

 

Траф снять на винде будет сложно. Компьютер просто не будет его принимать, независимо от используемого ПО, нужно создевать бридж у которого в портах прописать P-t-P, тогда на ней пойдет весь сетевой трафик и его уже можно будет пощупать/посмотреть. Вы можете в качестве домашнего коммутатора использовать D-Link DGS-3200-10, он может показывать все пакеты по каждому порту и график вам построит=) единственный минус - стоит около 7-8 тысяч.

 

Так же можно купить 3 штуки RB450G, подключить каждую к своему провайдеру и поднять между ними OSPF, если винда его понимает то проблем с балансировкой каналов у вас не будет=) а если винда не понимает, тогда еще один RB450G вам в помощь=)

[yakuzzza]

Так же можно купить 3 штуки RB450G, подключить каждую к своему провайдеру и поднять между ними OSPF, если винда его понимает то проблем с балансировкой каналов у вас не будет=) а если винда не понимает, тогда еще один RB450G вам в помощь=)

Ну это же ахтунг. 3 девайса, когда надо-то 1.

И почему вы так уверены, что проблем с балансировкой не будет? Вы реально такую схему строили и видели нормальную загрузку всех трех каналов? Если да - покажите пример конфигурации и статистику, желательно с графиками.

Лично я в такое не верю. Но все может быть. Может быть...

[LiuPing]

Wireshark под Win есть. Работает нормально.

Его одного снять траф с той же машины, на которой он запущен, хватит?

Одного его нет. Wireshark работает через pcap библиотеку. WinPcap в дистрибутив с WireShark под Windows входит. Это я к тому что при инсталляции WireShark надо поставить и WinPcap, насколько я помню там вроде check box надо поставить и нажать Next когда инсталяха WinPcap запустится. :)

 

[20Ilya]

Одного его нет. Wireshark работает через pcap библиотеку. WinPcap в дистрибутив с WireShark под Windows входит. Это я к тому что при инсталляции WireShark надо поставить и WinPcap, насколько я помню там вроде check box надо поставить и нажать Next когда инсталяха WinPcap запустится. :)

То есть в этом варианте шлюз на базе Вынь2003 с двумя сетевыми (внешняя DGE-528T с pppoe и внутренняя интегрированная, смотрящая в квартирную локальную сеть) сможет WireShark'у отдать все пакеты проходящие через него, которые последним будут проанализированы и рассортированы, как по размеру, так и по основным типам? (Тем более, что 99% трафика в данный момент идёт насквозь шлюза, остальной 1% - irc, icq, прочая мелось пузатая, чутка торрента в виде двух раздач на полудохлой скорости с отсутствием пиров бОльшую часть суток...)

 

Saab95

Согласен с yakuzzza по пункту ахтунга... ;) 800-й роутерборд привёл в качестве примера с потолка... На основе тестов с mikc.ru и не более того... 1100-й думаю как один из вариантов ставить в стойку на IX местном... (Как рад под указанные выше "будущие проекты"...) Но всего лишь как один из вариантов... Привлекает цена решения и его простота...