NiTr0

pppd_kill собссно и есть костыль для обрыва сессии. почему он подвисает - хз. и я не уверен что кто-то здесь поможет в этом вопросе. вы же подперли один кривой костыль другим. при том, что поставить/настроить accel-ppp - дело 10-15 минут (абиллс 0.56 вроде уже умел accel-ppp, он же accel-pptp, или как минимум pppd+radcoad тип наса который прекрасно тоже будет работать). не хочется заморачиваться - можно собрать и запустить radcoad, который суть костылик для обрыва сессии по радиусу.

ну тогда не делайте ничего. или тратьте кучу времени в поисках, почему же вдруг костыль перестал работать..

типово - LM317, разброса в 10% нет, она же и ток ограничивает. при этом аккум в буферном режиме при 13.6В усыхает года за 2-3. нормально все, отсечка 10.5-10.8В. балансировку заряда не видел ни в одном упсе, будь то хоть с двойным преобразованием дорогущие АРС. а режим разряда - тут упсу делать нечего, что на него нагрузили - той мощностью он и разряжает батареи, вечного двигателя пока не изобрели.

перейти на accel-ppp и забыть про костыли как страшный сон... или поставить radcoad (пилил для себя пока accel-ppp не было)

а я не о ццр. посмотри цены на какую-то 2811 (б/у ессно), удивись. хотя там по-моему стоит какая-то 2610 что ли. для нескольких десятков мбит больше и не надо. а за цену какого-то rb1100x2 можно купить стопку таких цисок, в резерв положить на склад. и работать будет к тому же более стабильно и предсказуемо - софт за 10+ лет вылизан. и да, админ для циски особо умный не нужен. он всего лишь должен уметь читать, осознавать прочитанное, и печатать на клавиатуре. к примеру, админ вересня был не в курсе, что даже без бгп сессии стыковый адрес должен пинговаться, потому что они в одном бродкаст сегменте с циской. для него это было открытием. ок, цена часа простоя касс вересня во всех 30 магазинах (потому что слег канал на центр) сколько? в гривнах? а если простой - не час, а дня 3 (потому что выходные/праздники/другие поломки/прочее)? оно нежизнеспособно. потому и стоит, пыль гоняет. возможно, повторит судьбу dell-ов. как разродится начальство 10гбит сетевухой - так и переедем.

когда таблица маршрутов пустая - да, типа быстро всасывается. а попробуйте ему имитировать кратковременный флап линков (отключить и включить бгп) - будет те самые 20 минут... обычные дропы пакетов. погоняйте через него айпеф - там все тоже печально будет со скоростью, и чем выше загрузка проца - тем печальнее.

бордеры сконфигурите как route reflectors (для упрощения жизни), на брасах поднимите до них iBGP (хотя и с OSPF все должно работать, но лишняя сущность со своими тараканами, особенно в квагге), отключите rp_filter на аплинках. если сильно проблемно с fv на брасах (упираетесь в производительность или еще чего) - можно им с бордеров дефолт скармливать. что у вас VRRP делает на схеме - для меня вообще загадка.

дык вариант "для бедных" - принимать только /23 или шире... для ISP в принципе пройдет, для ДЦ более актуален полный FV. во всяком случае - в железке, способной пророутить сотни гбит за цену в ~1.5k$ на ибее (к примеру http://www.ebay.com/itm/Brocade-Foundry-BI-RX-8-AC-BigIron-Chassis-with-1-MR-3-SFM3-2-PS-and-FAN-/172529294394- только десяток по вкусу натыкать) это не такой уж и существенный недостаток.

ну если чисто тупой бордер без каких-либо ACL и без коннтрака - то может и побольше. но не 30-ку явно. вот только в ту же цену можно нарыть брокаду RX (с 512М роутов аппаратно), а то и брокаду MLX (там карты до 1-2М роутов есть), которая будет куда более предсказуема на бордере. и молотить гигабиты будет пока емкости портов хватит, ибо аппаратная.

угу, должны. если бы оно думало чуть побыстрее... по моим ощущениям, там говнокодеры не разделяли RIB и FIB, т.е. все полученные маршруты тупо пихаются в таблицу маршрутизации ядра. что исключает какую-либо многопоточность бгп в принципе, и делает создание-удаление маршрутов мучительно долгим.

"высасываются" из таблицы они тоже долго. итог - упал канал, и минут 10 нет половины интернета...

бгп нежизеспособно. 2fv при флапе сессии изучаются 20 минут (!!!), route reflector - не умеет, работать с RR (т.е. получить маршрут на стыковую потсеть через бгп и потом полуичть маршрут через ип из этой стыковой подсети) - не умеет... флаг вам в руки и барабан на шею... официальные характеристики пишутся с потолка и цифры сильно завышены. при включенном коннтраке и небольшом файрволе, судя по кратким экспериментам на стенде, эта вундервафля загнется со 100% загрузкой ядер гигах на 8-9 реального трафика, а дропать пакеты начнет намного раньше. ну не знаю, 30 гигов для тазика какбы многовато уже, тут аппаратные решения напрашиваются (не софтроутеры).

ну для 400 мбит в принципе хоть тплинк вебсмарт пойдет. но, вангую, как только на каком-то гиговом линке трафик начнет приближаться к 700-800 мбитам - начнутся дропы пакетов/проседания скорости одиночной tcp сессии...

400 мбит и 400 кппс - как-то не вяжется, 400 кппс - это ближе к 4 гбитам (если типовый даунлоад, аплоад - в 2-3 раза меньше мбит)... ну или где-то флуд мелкими пакетами. какой у них пакетный буфер? да и по характеристикам они как-то больше на свичи доступа смахивают... 8к маков, 255 вланов... явно не для ядра. хотя да, у нас поначалу в ядре стояли попроще железяки...

не, ну кто-то и на черри ездит, и считает ее хорошей машиной... до первой серьезной поломки. и что, для него нужно заказывать дорогой л2 транспорт одного конкретного прова, вместо дешевого обычного офисного инет-канала ближайшего/самого дешевого прова? какая такая нестыковочка-то? сколько там у вересня точек по городу? 30? 50? больше? сколько разница между 15мбит офисным каналом и 15мбит л2 транспортом по цене включения и по ежемесячной оплате? и да, как я уже писал - ихняя циска стоит в несколько раз дешевле самого младшего ccr. так что в вересне деньги считать умеют, не беспокойся

ну-ну, сеть на несколько тысяч абонов с админом-школотником? это уже смешно... ок, сколько там стоит л2 включение одноразово в среднем? сколько стоит 5 мбит/с транспорт? а умножить на кол-во точек вересня (сколько там их на город? штук 20? 30? или больше?) - сколько в месяц получается? их циска вместе с автономкой и айтишниками уже неоднократно окупилась по сравнению с л2 транспортом. именно потому, что 100500 магазинчиков. тупо на включениях отбилось. и последующие точки включения обходятся дешево.

сколько там у вас CCR (почем там они сейчас - по полторы штуки каждый?) помимо сервера еще терминируют абонов? их цену приплюсуйте к той штуке, что стоит сервер. т.к. циска 1001 легко 5к онлайн прожует. ASR1001 или даже 1002 (10гбит, да) б/у в районе 5 штук. по надежности - сопоставима с микротиком будет пожалуй. оф.поддержки - нет так же как и на микротике, но качество софта на голову выше (за счет фиксов на багрепорты тех, у кого поддержка есть). в итоге картина дешевизны микротика получается не такой уж и радужной... я же написал - чтобы не платить бешеные бабки за л2 транспорт на точках включения, и не быть привязанным к одному оператору. + иметь у себя свою почту и т.п. не, могли бы конечно купить 2 домашних канала, и с каждой своей точки устанавливать 2 туннеля, а почту засунуть на хостинг - но решили пойти по взрослому пути, а не строить инфраструктуру из говна и веток. и да, та циска что у них (вот не помню что - то ли 2801, то ли 2811, то ли 29хх какая-то), стоит сейчас пожалуй дешевле нового микротика. при этом работает куда стабильнее - просто работает, не виснет, не таращит ее, поставил и забыл. хоть и кушает поболее...

и как это порежет торренты?... я где-то называл вересень энтерпрайзом? энтерпрайз - это к примеру ДТЭК. там да, ни длинками, ни микротиками, ни прочим подобным не пахнет. особенно - в ядре. спрос есть даже на черри (и, пожалуй, намного поболее чем на бугатти какие-нить). что никоим образом не значит, что черри - вершина качества, и что всем нужно пересаживаться на черри.

а чтобы не ложилось все когда один из каналов слег, и не платить дурные деньги за л2 транспорт. у них все централизованно вроде как. хотя я могу и ошибаться, я не особо-то знаю особенности их бизнес-процессов. хомячок с большой вероятностью поставит тазик с привычным керио либо привычный тплинк вместо непонятного микрота. так это ты же сначала кажется заговорил о торрентах. а теперь, оказывается, в офисе торенты с раздач от жирных сидов не качают... не, я конечно понимаю, что сейчас модно любой офис называть энтерпрайзом, но вообще-то под энтерпрайзом подразумевают предприятия, в которых час простоя сети исчисляется суммой с 3-4 и более ноликами, и не гривен. не, я понимаю, что и в таком месте может завестись чей-то племянник, умеющий надрачивать мышкой в доту и не умеющий читать многабукаф, и его при определенном стечении обстоятельств могут поставить куда-то в айти и даже дать возможность руководить выбором оборудования и рулить сетью - но после первой же аварии на сети из-за микротика стоимость простоя вычтут из его квартиры/машины/прочего имущества, его (вместе с родственником, пропихнувшим юное дарование) безопасники отправят на улицу, а микротики выкинут вдогонку. потому что с циской покупается сервис-контракт (который и стОит основных денег), а сохо - ставится под личную ответственность. к слову, именно поэтому в энтерпрайз не покупают и б/у циски/джуны/экстримы с ибэя. ну у него какбы один его сервер, на котором роутерось развернута, смог бы и зашейпить, и занатить, и терминировать 10к абонов (если не больше), и спокойно дуть 10гбит от них в аплинк. ессно, не на микротике. а 5к абонов - это уровень какого-то i5 (опять же - одиночного). ну а какие очереди-то распределять куда-то и зачем на тазике жующем 40 мбит? какие дрова, если они все в ядре 100500 лет уже? поставил, настроил за полчаса-час - и оно просто работает, годами. ну как в евротехнике. угу. если. вы не видите картины. а я вижу. микротику уже около 20 лет. а критические уязвимости (позволяющие remote DoS и т.п.) до сих пор латаются по 5 лет либо прикрываются фиговыми листочками дефолтных настроек, при которых они не так заметны. и через 2-3 года не изменится ровным счетом ничего. это вы же кажется их к нормальному оборудованию причисляли, не я? тики - типичное сохо/смол бизнес, всегда таким было и всегда таким будет, такая политика компании. нафиг поддержка, нафиг стандарты, нафиг багфиксы - мы лучше рюшек запилим индусами, а на сэкономленные на разработке/поддержке деньги наймем больше маркетологов и проведем больше конференций, пипл хавает. и никаких тенденций в сторону изменения чего-либо. им и в этом болоте уютненько. ну-ну, запустите на относительно свежей xl710 сетевушке, или на каком-нить мелланоксе к примеру или "любое железо" - это только несколько интел карт?

не будут. у серьезных железок главное требование - наличие техподдержки (хоть и платной, да), которая 1) может решить появившуюся проблему в любое время суток и 2) исправляет выявленные клиентами баги за вменяемое время, а критические уязвимости латает в кратчайшие сроки. пока этого нет - ни о каком серьезном использовании речи быть не может, рядом с циской их никто в энтерпрайз не поставит. а подвижек в эту сторону нет от слова вообще.

ну поднимается все на пне 2-3 из кладовки, конфигурится, после - конфиг переносится на боевой сервер. речь кажется шла о минусах микротика вообще, не? ты же доказывал, что на них никаких проблем нет, не? новый недоадмин с тем же успехом и микротик разломает (тем более, там это намного проще - забыл поставить галочку "сейф мод" прежде чем экспериментировать с настройками - и "ой"). дай дураку стеклянный уй... почему же они тогда сменили тик на ископаемую циску, если на тике все так гладко и шелковисто? в принципе нежизнеспособна для https (а контактик и т.п. - хттпс, да, в хттпс сейчас более 50% траффика) аналогично, только там даже не в л7 матчится, а просто в теле фрейма без сборки пакета как такового ну подрезали кол-во сессий на рыло, и чо? 40 коннектов к жирному сиду (с гигабитным каналом) - вполне достаточно чтобы у остальных пользователей интернет ворочался со скоростью диал-апа. + чем собссно мониторить, куда пользователи ходят в течение рабочего дня?

вопрос только - работает с чем. я что-то сомневаюсь что там керио, на сыпящихся винтах в рэйде. так речь не о нем - ему-то понятно что и тплинка за 10 баксов "в ядро" хватит. ну максимум опенврт влить чтобы туннели с клиентами поднимать научился... когда они пирились, у них в ядре была циска 29хх. и по-моему она же и сейчас стоит. на чем? если прокси нет? dpi в тике - не то что в зачаточном состоянии, его там вообще нет. не говоря о том что https блочится без прокси в принципе только по ip (т.е. потенциально с кучей сервисов).

некоторые клиенты, как писал, к микротику тупо не могут подконнектиться. при том, что к бзде и к линуксу - коннектятся на ура. бгп - 20 минут получает 2 фулл вью при флапе, + в принципе не может работать с роут рефлекторами без костылей (о том чтобы работать как роут рефлектор - помолчу). а нафига ТСу микротик? если у него **уже есть** тазик, который **уже будет** работать как прокси? ну т.е. нафига ему выбрасывать 500 баксов за CCR (+ еще 500 баксов за резерв на полку) для обслуживания 40мбит канала? тем более если он умеет работать с консолью, а не только мышкой тыкать пимпочки? UDP DDoS каких-то 500-700 кппс с рандомным src - и все, тик в ребут если коннтрак на нем включен (а он необходим для ната). к слову, именно из-за этой "особенности" по дефолту и выкручены таймауты коннтрака до смешных цифр, что вызывает кучу проблем если их так и оставить (5 секунд время жизни udp nat трансляции и 10 секунд для tcp сессии - это печально). не, для сохо это нестрашно (ну подумаешь ребутнулось, подумаешь повисло раз в пару месяцев - секретарша перезагрузит). но речь кажется шла о натягивании микротика не только на сохо? очевидно же - канал сэкономить, + иметь лог - кто, куда и почему ходил. писал выше - не работает. часть клиентов тупо не могут подконнектиться. + юзерспейсовое, ccr1072 за 3 килобакса на 600-700 мбитах пптп тупо загнется. заменить-то можно, но зачем ТСу еще одна железка-то? смысл в этом какой? если у него **уже будет** сервер с проксей/почтой, который ничем больше не занят?

ничего толком, в основном кулерами жужжит админы уже признали, что пптп на нем нормально работать не может. бгп - тоже. он мне не раз помогал, когда у топнета/датагрупа отваливался мир при живой бгп сессии на одном из аплинков. пока админы микротиков бежали в запарке гасить прием дефолта по умершему аплинку, у меня все просто работало а виртуальный "второй аплинк" даты - он понятно что хуже реального второго аплинка, но - "экономия" же... дофига загрузка для такого трафика... кстати, а как там на тике пустить часть сессий помимо коннтрака, ну чтобы на бордере был и нат, и в то же время ненужными сессиями коннтрак не грузить? запилили ли там веб-морду для raw таблицы, или пока не осилили? и как там у тика со свежими интеловыми XL710? никак? такой конфиг на 350Вт китайском нонейм БП (который более 200Вт длительно выдавать не может т.к. сгорит) работает на ура... пример - l2tp+ipsec, мало того что оно кривое и несовместимо с другими вендорами, так еще и несовместимо между разными версиями роутерос. далее, коннтрак - переполнение его (внезапный флуд к примеру) приводит к ребуту роутерос. далее, пптп - кривое, работает не со всеми клиентами, и дико грузит проц потому что юзерспейс (тут даже длинк/тплинк на 5 лет опережают микротик в своих сохо мыльницах). ну и самое главное: а зачем ставить в этом конфиге микротик? ну вот что он даст, если его поставить рядом с сервером? надежность - упадет (выход из строя любой из двух железок ложит сеть), производительность - будет ниже, чем у роутинга/ната на сервере (хоть и более чем достаточная для ТСа)... не, ну если хочется за деньги компании поираться с интересной мыльничкой - можно, почему бы и нет. но практического смысла - ноль целых хрен десятых.

навряд. ватт 250 максимум (проц Вт 60 если не на 100% нагружен, видяшка Вт 60, остальное в системнике включая потери в БП еще Вт 50-60, моник 50-70Вт). таки да, общее кол-во глянул, так 6 тыс. айтемов, и большинство из них - ежеминутно обновляются. в любом случае - нагрузка эдак на порядок-два больше, чем 40 компов на проксе. недостатки - закрытый (т.е. что производитель дал - то и кушайте), по стабильности - классическое сохо (хоть и немного получше тплинков и прочих мыльничек на штатных прошивках), функционал заявлен богатый но много чего работает криво (не по стандартам, мало того - поведение меняется от версии к версии)/глюкает/несовместимо друг с другом (из-за чего продавцы рекомендуют держать стойку микротиков - отдельно для ната, отдельно шейпер, и т.п.), обновления прошивок правят одно и ломают другое... но самое главное - минимум средств диагностики, отсутствие какой-либо поддержки, + единственно возможный метод пофиксить проблему - перебор опций конфига и версий прошивки в надежде что какое-то сочетание будет работать как ожидается. преимущество - размеры + настройка тыканьем мышкой (собссно именно из-за последнего его и очень любят эникей-админы). а зачем? ну т.е. что вы хотите достичь, воткнув в серверную еще и микротик? что он даст по сравнению с роутингом/натом на том же сервере, что и сквид?... собссно в микротике тот же ипаблес, единственное отличие - помощь по опциям прямо на страничке, а не в хелп-файле. 500 баксов чтобы обслужить 40 мбит канал? мсье знает толк в извращениях.... а тут как повезет. пример из того с чем лет 5 назад сталкивался: мост на двух грувах, грувы искаропки, настроены только ип адреса ну и собсно вайфай с бриджем. в радиусе 5 км никаких других вайфаев нет, никакого флуда в сегменте тоже нет (админы предприятия - параноики). AP стабильно раз в неделю просто уходит в себя (не вешается, именно перестает отвечать на пинги и пропускать трафик, встроенный вочдог не отрабатывает). подпер костылем, если пинг на шлюз сегмента пропадает более чем на 10 минут - ребутался. потом оказалось, второй конец виснет раз в месяц с такими же симптомами. подпер таким же костылем. может конечно перебор прошивок бы и помог, или какие-то волшебные настройки wi-fi, но надо было запустить мост хотя бы в тестовом режиме (имея на месте человека со связью через gprs и навыками администрирования уровня Миши), а не играться.