[AciDSAS]

Не забыть "--persistent"

 

Не спец по тикам, но там есть SAME. Разве это не оно?

[nuclearcat]

--persistent

Gives a client the same source-/destination-address for each connection. This supersedes the SAME target. Support for persistent mappings is available from

2.6.29-rc2.

firewall тика - это кастрированный iptables

[Sonne]

У меня настроена трансляция пула адресов в нат-пул. Использую правило src-nat:

 

src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters

 

Все работает замечательно, но есть проблемы с ICQ часто не может подконектится. Если заменить src-nat на same все будет работать?

 

Написано как то непонятно:

same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client

 

Будет ли обычный NAT с фичей --persistent или какая то другая хрень?

[AciDSAS]

У меня настроена трансляция пула адресов в нат-пул. Использую правило src-nat:

 

src-nat - replaces source address of an IP packet to values specified by to-addresses and to-ports parameters

 

Все работает замечательно, но есть проблемы с ICQ часто не может подконектится. Если заменить src-nat на same все будет работать?

 

Написано как то непонятно:

same - gives a particular client the same source/destination IP address from supplied range for each connection. This is most frequently used for services that expect the same client address for multiple connections from the same client

 

Будет ли обычный NAT с фичей --persistent или какая то другая хрень?

 

Раньше вместо —persistent использовали SAME (начиная 2.6.26 убрали SAME и добавили —persistent).

 

Вот описание SAME:

The SAME target works almost in the same fashion as the SNAT target, but it still differs. Basically, the SAME target will try to always use the same outgoing IP address for all connections initiated by a single host on your network. For example, say you have one /24 network (192.168.1.0) and 3 IP addresses (10.5.6.7-9). Now, if 192.168.1.20 went out through the .7 address the first time, the firewall will try to keep that machine always going out through that IP address.

[Sonne]

Включил same на микротике, полет нормальный. Аська стала коннектиться с первого раза, других симптомов не знаю.

 

Строчка:

 

/ip firewall nat
add action=same chain=srcnat comment="NAT" out-interface=ether1-Cogent src-address=\
   172.16.0.0/20 to-addresses=1.2.3.16-1.2.3.24

[Sonne]

Бугагашечки:

 

Dear Normis

I've tried this build on CCR and memory leak problem 6.1 (2013-Jun-10 16:26) persists. Is this problem/bug resolved on CCR in build 6.1 (2013-Jun-12 08:56), which you've mentioned in your post earlier?

 

new build is 1 hour ago. you have old build without this fix.

don't send files yet, try new build.

 

OMG, an hour ago? lol i just finished downloading Jun/12/2013 08:56:21 build and it took me 2 hours to downloading it, is that the newest or i have to download it again to get the build you just mentioned?

[saaremaa]

Кстати, как там со стабильностью на 6.х релизах?

[Ivan_83]

Бугагашечки

Ну а что ты хочешь?

Другой вариант ты общаешься с разработчиком через толпу барышень и ответы с новыми релизами получаешь через месяц...

[Saab95]

Кстати, как там со стабильностью на 6.х релизах?

 

Нормально, на 6rc14 много роутеров работают и не чихают.

[Skylaer]

14 может оказаться очень стабильным, если не использовать всякие фичи.

 

У нас есть крупный клиент с ним, очень доволен.

[Saab95]

Поступили сведения о работе CCR1036 для оказания услуг аренды каналов по L2 - в нескольких крупных городах в ДЦ стоят указанные устройства, объединены где через L3VPN, а где просто через интернет по IP-IP туннелю, по ним предоставляют услуги аренды каналов L2 через EoIP туннели. Каждая железка прокачивает 2-3 гигабита трафика, не глючит и не виснет. На этапе тестирования были проблемы с перезагрузками, в 6.0 версии перестали работать туннели, а в 6rc14 все оказалось настолько хорошо, что наконец то приступили к коммерческой эксплуатации. Поэтому просто для целей молотилки трафика без деревьев шейперов и прочего можно с уверенностью применять это оборудование.

[snark]

просто для целей молотилки трафика без деревьев шейперов и прочего можно с уверенностью применять это оборудование

 

Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование.

 

P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO.

[myst]

Были пара таких железок в тесте. К сожалению, не умеет аппаратного IPSEC, посему производительность не выше чем у 1200.

Пришлось отказаться.

 

Кстати, как там со стабильностью на 6.х релизах?

со стабильностью чуть по лучше чем в версии 5.хх

Но болячек все так же масса.

 

К тому же upgrade 5.x -> 6.x может приподнести сюрпризы.

 

Писателей софта RoS за систематические изменения синтаксиса (даже в рамках одной ветки) надо убивать медленно и мучительно.

 

А вообще, я с трудом представляю себе предназначения CCR. Ни один вменяемый сетевой инженер, не будет его использовать в крупных цод (где по замыслу разрабов он должен стоять), ибо не тот уровень стабильности железа и софта.

Изменено 17 июня, 2013 пользователем myst

[stranger2904]

Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование.

P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO.

А именно под указанную задачу (EoIP тунели), в рамках бюджета mikrotika ccr, разве что то есть ?

[Saab95]

Для этих целей лучше/можно (нужное подчеркнуть) ставить совершенно другое оборудование.

P.S. МТ ценен именно "прочим", а не простым "свичингом", IMHO.

А именно под указанную задачу (EoIP тунели), в рамках бюджета mikrotika ccr, разве что то есть ?

 

А я вообще кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес, и ее стоимость для сравнения?

[NiTr0]

А именно под указанную задачу (EoIP тунели)

А вам не кажется немного, кхм, странным выдвигать основным требованием проприетарную технологию, и утверждать на основании этого что замены данному софт-роутеру нет?

 

кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес,

Тазик с л2тп к примеру. В т.ч. всяческие embedded вариации - от alix board до какого-то MIPS-роутера.

И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть.

[Sonne]

Тазик с л2тп к примеру. В т.ч. всяческие embedded вариации - от alix board до какого-то MIPS-роутера.

И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть.

 

Накидайте плиз конфигурацию производительного тазика с поддержкой 8-12 гигабитных портов, пары SFP-шек и энергопотреблением не больше 50 Вт. Само собой это чудо должно умещаться на площади в 1 юнит.

[myst]

(криптовки нет),

Ну, справедливости ради, криптовка есть, если это делать поверх ipsec в траспортном режиме.

 

Но в целом согласен. Микротик не подходит нигде в критически важных местах. Слишком сырой и глюкавый софт.

[stranger2904]

Ну, справедливости ради, криптовка есть, если это делать поверх ipsec в траспортном режиме.

Но в целом согласен. Микротик не подходит нигде в критически важных местах. Слишком сырой и глюкавый софт.

 

Ок, касательно EoIP некорректно выразился. Давайте это называть L2 over L3.

Вопрос правильности и необходимости, я бы оставил на откуп абонентам. Им же это надо.

Через раз буквально, когда по топологии просится L3: "нам L3 не подходит, дайте нам L2".

 

Через меня mikrotik'a прошло немного (штук 40-50 роутеров), сдох только один (причем по железу).

По софту - все живые, глюков нет.

Как CPE в 99% стоят. А CCR(младшие модели) после 2 недельного 24/7 теста, стоят сейчас на паре узлов, и

тоже не глючат. ЧЯДНТ ?

 

У любого 1U тазика, есть сразу несколько минусов.

-стоимость

-кол-во портов

-потребление эл-ва

 

Даже если на atom'e у supermicro собирать...

[Ivan_83]

А я вообще кто-то может назвать железку, которая может через публичный интернет гонять трафик по L2, в том числе в случаях, если с одной стороны серый адрес, и ее стоимость для сравнения?

Любая жестянка куда встанет фря или зроутер.

[NiTr0]

Накидайте плиз конфигурацию производительного тазика с поддержкой 8-12 гигабитных портов, пары SFP-шек и энергопотреблением не больше 50 Вт. Само собой это чудо должно умещаться на площади в 1 юнит.

А толку от тех 8-12 сфп дырок в МТ, если он толком столько не пережует? Чтобы было для галки?

 

 

У любого 1U тазика, есть сразу несколько минусов.

-стоимость

-кол-во портов

-потребление эл-ва

Xeon LGA1155 (или более бюджетный вариант - какой-то celeron/pentium/i3/i5), 1U корпус. Потребление будет на уровне 50-70 Вт. 2-4 медных или сфп порта одной карточкой. По цене - сопоставимо или дешевле чем CCR (зависит от сетевухи и платформы/проца, 2-головая i82576 с каким-то i3 или пеньком на бюджетной мамке обойдется баксов в 400-500 максимум), по стабильности - на голову выше (ибо будет крутиться обкатанный дистр, а не бета-версия с никакой поддержкой). Производительность - при сравнимой цене, думаю, выше эдак на порядок. Особенно если юзать криптовку и т.п.

[Saab95]

И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть.

 

Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах. В одном месте например попалось ТЗ - требуется L2 канал с MTU 1598, все сразу сдулись, т.к. не могли обеспечить требуемый размер пакета. А один смышленный провайдер купил у одного отказавшегося канал с MTU 1500, поставил микротики, и продал со 200 процентной наценкой этот канал, но уже с MTU 1598. Самое интересное что требуемая скорость была всего 50мбит, хватило и стоечного RB2011.

[NiTr0]

Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах.

А кого-то проблема MTU сильно волнует? Кроме отдельной экзотики? Я допустим не встречал случаев, чтобы MTU действительно кого-то волновало.

И да, L2TPv3 такое тоже умеет. И у циски, и у линукса. Фрагментирует конечно пакеты - как и МТ, потому лучше не юзать.

И да, таким образом и джамбо фреймы можно пропихивать (если кому-то сильно прикрутит), а вот МТ более 1600 байт вроде как и не умеет...

[snark]

Я просто оставлю это здесь.

[pawel40]

И да, EoIP - сомнительная вещь с т.з. целесообразности. Для корпоративных сетей не подходит по определению (криптовки нет), для остального - опять же, сложно придумать задачу, в которой требуется всенепременно л2 туннель через публичную сеть.

 

Вовсе нет, EoIP это штука, которая не имеет проблем с MTU, в отличии от других железок, даже на честных L2 каналах. В одном месте например попалось ТЗ - требуется L2 канал с MTU 1598, все сразу сдулись, т.к. не могли обеспечить требуемый размер пакета. А один смышленный провайдер купил у одного отказавшегося канал с MTU 1500, поставил микротики, и продал со 200 процентной наценкой этот канал, но уже с MTU 1598. Самое интересное что требуемая скорость была всего 50мбит, хватило и стоечного RB2011.

А опенвпн умеет MTU 9000 вот только зачем оно нужно?