AciDSAS Опубликовано 31 мая, 2013 · Жалоба Не забыть "--persistent" Не спец по тикам, но там есть SAME. Разве это не оно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 31 мая, 2013 · Жалоба --persistent Gives a client the same source-/destination-address for each connection. This supersedes the SAME target. Support for persistent mappings is available from 2.6.29-rc2. firewall тика - это кастрированный iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 1 июня, 2013 · Жалоба У меня настроена трансляция пула адресов в нат-пул. Использую правило src-nat: src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters Все работает замечательно, но есть проблемы с ICQ часто не может подконектится. Если заменить src-nat на same все будет работать? Написано как то непонятно: same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client Будет ли обычный NAT с фичей --persistent или какая то другая хрень? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AciDSAS Опубликовано 1 июня, 2013 · Жалоба У меня настроена трансляция пула адресов в нат-пул. Использую правило src-nat: src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters Все работает замечательно, но есть проблемы с ICQ часто не может подконектится. Если заменить src-nat на same все будет работать? Написано как то непонятно: same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client Будет ли обычный NAT с фичей --persistent или какая то другая хрень? Раньше вместо —persistent использовали SAME (начиная 2.6.26 убрали SAME и добавили —persistent). Вот описание SAME: The SAME target works almost in the same fashion as the SNAT target, but it still differs. Basically, the SAME target will try to always use the same outgoing IP address for all connections initiated by a single host on your network. For example, say you have one /24 network (192.168.1.0) and 3 IP addresses (10.5.6.7-9). Now, if 192.168.1.20 went out through the .7 address the first time, the firewall will try to keep that machine always going out through that IP address. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 2 июня, 2013 · Жалоба Включил same на микротике, полет нормальный. Аська стала коннектиться с первого раза, других симптомов не знаю. Строчка: /ip firewall nat add action=same chain=srcnat comment="NAT" out-interface=ether1-Cogent src-address=\ 172.16.0.0/20 to-addresses=1.2.3.16-1.2.3.24 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 13 июня, 2013 · Жалоба Бугагашечки: Dear Normis I've tried this build on CCR and memory leak problem 6.1 (2013-Jun-10 16:26) persists. Is this problem/bug resolved on CCR in build 6.1 (2013-Jun-12 08:56), which you've mentioned in your post earlier? new build is 1 hour ago. you have old build without this fix. don't send files yet, try new build. OMG, an hour ago? lol i just finished downloading Jun/12/2013 08:56:21 build and it took me 2 hours to downloading it, is that the newest or i have to download it again to get the build you just mentioned? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 13 июня, 2013 · Жалоба Кстати, как там со стабильностью на 6.х релизах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 июня, 2013 · Жалоба Бугагашечки Ну а что ты хочешь? Другой вариант ты общаешься с разработчиком через толпу барышень и ответы с новыми релизами получаешь через месяц... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 июня, 2013 · Жалоба Кстати, как там со стабильностью на 6.х релизах? Нормально, на 6rc14 много роутеров работают и не чихают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Skylaer Опубликовано 16 июня, 2013 · Жалоба 14 может оказаться очень стабильным, если не использовать всякие фичи. У нас есть крупный клиент с ним, очень доволен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 июня, 2013 · Жалоба Поступили сведения о работе CCR1036 для оказания услуг аренды каналов по L2 - в нескольких крупных городах в ДЦ стоят указанные устройства, объединены где через L3VPN, а где просто через интернет по IP-IP туннелю, по ним предоставляют услуги аренды каналов L2 через EoIP туннели. Каждая железка прокачивает 2-3 гигабита трафика, не глючит и не виснет. На этапе тестирования были проблемы с перезагрузками, в 6.0 версии перестали работать туннели, а в 6rc14 все оказалось настолько хорошо, что наконец то приступили к коммерческой эксплуатации. Поэтому просто для целей молотилки трафика без деревьев шейперов и прочего можно с уверенностью применять это оборудование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 16 июня, 2013 · Жалоба просто для целей молотилки трафика без деревьев шейперов и прочего можно с уверенностью применять это оборудование Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование. P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2013 (изменено) · Жалоба Были пара таких железок в тесте. К сожалению, не умеет аппаратного IPSEC, посему производительность не выше чем у 1200. Пришлось отказаться. Кстати, как там со стабильностью на 6.х релизах? со стабильностью чуть по лучше чем в версии 5.хх Но болячек все так же масса. К тому же upgrade 5.x -> 6.x может приподнести сюрпризы. Писателей софта RoS за систематические изменения синтаксиса (даже в рамках одной ветки) надо убивать медленно и мучительно. А вообще, я с трудом представляю себе предназначения CCR. Ни один вменяемый сетевой инженер, не будет его использовать в крупных цод (где по замыслу разрабов он должен стоять), ибо не тот уровень стабильности железа и софта. Изменено 17 июня, 2013 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stranger2904 Опубликовано 17 июня, 2013 · Жалоба Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование. P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO. А именно под указанную задачу (EoIP тунели), в рамках бюджета mikrotika ccr, разве что то есть ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 июня, 2013 · Жалоба Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование. P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO. А именно под указанную задачу (EoIP тунели), в рамках бюджета mikrotika ccr, разве что то есть ? А я вообще кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес, и ее стоимость для сравнения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 июня, 2013 · Жалоба А именно под указанную задачу (EoIP тунели) А вам не кажется немного, кхм, странным выдвигать основным требованием проприетарную технологию, и утверждать на основании этого что замены данному софт-роутеру нет? кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес, Тазик с л2тп к примеру. В т.ч. всяческие embedded вариации - от alix board до какого-то MIPS-роутера. И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 17 июня, 2013 · Жалоба Тазик с л2тп к примеру. В т.ч. всяческие embedded вариации - от alix board до какого-то MIPS-роутера. И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть. Накидайте плиз конфигурацию производительного тазика с поддержкой 8-12 гигабитных портов, пары SFP-шек и энергопотреблением не больше 50 Вт. Само собой это чудо должно умещаться на площади в 1 юнит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 17 июня, 2013 · Жалоба (криптовки нет), Ну, справедливости ради, криптовка есть, если это делать поверх ipsec в траспортном режиме. Но в целом согласен. Микротик не подходит нигде в критически важных местах. Слишком сырой и глюкавый софт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stranger2904 Опубликовано 17 июня, 2013 · Жалоба Ну, справедливости ради, криптовка есть, если это делать поверх ipsec в траспортном режиме. Но в целом согласен. Микротик не подходит нигде в критически важных местах. Слишком сырой и глюкавый софт. Ок, касательно EoIP некорректно выразился. Давайте это называть L2 over L3. Вопрос правильности и необходимости, я бы оставил на откуп абонентам. Им же это надо. Через раз буквально, когда по топологии просится L3: "нам L3 не подходит, дайте нам L2". Через меня mikrotik'a прошло немного (штук 40-50 роутеров), сдох только один (причем по железу). По софту - все живые, глюков нет. Как CPE в 99% стоят. А CCR(младшие модели) после 2 недельного 24/7 теста, стоят сейчас на паре узлов, и тоже не глючат. ЧЯДНТ ? У любого 1U тазика, есть сразу несколько минусов. -стоимость -кол-во портов -потребление эл-ва Даже если на atom'e у supermicro собирать... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 июня, 2013 · Жалоба А я вообще кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес, и ее стоимость для сравнения? Любая жестянка куда встанет фря или зроутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 июня, 2013 · Жалоба Накидайте плиз конфигурацию производительного тазика с поддержкой 8-12 гигабитных портов, пары SFP-шек и энергопотреблением не больше 50 Вт. Само собой это чудо должно умещаться на площади в 1 юнит. А толку от тех 8-12 сфп дырок в МТ, если он толком столько не пережует? Чтобы было для галки? У любого 1U тазика, есть сразу несколько минусов. -стоимость -кол-во портов -потребление эл-ва Xeon LGA1155 (или более бюджетный вариант - какой-то celeron/pentium/i3/i5), 1U корпус. Потребление будет на уровне 50-70 Вт. 2-4 медных или сфп порта одной карточкой. По цене - сопоставимо или дешевле чем CCR (зависит от сетевухи и платформы/проца, 2-головая i82576 с каким-то i3 или пеньком на бюджетной мамке обойдется баксов в 400-500 максимум), по стабильности - на голову выше (ибо будет крутиться обкатанный дистр, а не бета-версия с никакой поддержкой). Производительность - при сравнимой цене, думаю, выше эдак на порядок. Особенно если юзать криптовку и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 июня, 2013 · Жалоба И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть. Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах. В одном месте например попалось ТЗ - требуется L2 канал с MTU 1598, все сразу сдулись, т.к. не могли обеспечить требуемый размер пакета. А один смышленный провайдер купил у одного отказавшегося канал с MTU 1500, поставил микротики, и продал со 200 процентной наценкой этот канал, но уже с MTU 1598. Самое интересное что требуемая скорость была всего 50мбит, хватило и стоечного RB2011. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 17 июня, 2013 · Жалоба Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах. А кого-то проблема MTU сильно волнует? Кроме отдельной экзотики? Я допустим не встречал случаев, чтобы MTU действительно кого-то волновало. И да, L2TPv3 такое тоже умеет. И у циски, и у линукса. Фрагментирует конечно пакеты - как и МТ, потому лучше не юзать. И да, таким образом и джамбо фреймы можно пропихивать (если кому-то сильно прикрутит), а вот МТ более 1600 байт вроде как и не умеет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 17 июня, 2013 · Жалоба Я просто оставлю это здесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pawel40 Опубликовано 17 июня, 2013 · Жалоба И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть. Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах. В одном месте например попалось ТЗ - требуется L2 канал с MTU 1598, все сразу сдулись, т.к. не могли обеспечить требуемый размер пакета. А один смышленный провайдер купил у одного отказавшегося канал с MTU 1500, поставил микротики, и продал со 200 процентной наценкой этот канал, но уже с MTU 1598. Самое интересное что требуемая скорость была всего 50мбит, хватило и стоечного RB2011. А опенвпн умеет MTU 9000 вот только зачем оно нужно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...