mr.Scamp

nat --to-source a.b.c.d/24 --persistent делает то же :-)

С quagga-esr все плохо, 870й баг + какие-то странности с конфигом, IPv6 пирі активировались в IPv4 address family. Откатились на quagga-0.99.24.1_2, смущает наличие уязвимостей.

На 1.2.2 актуальна проблема бага 870, https://bugzilla.quagga.net/show_bug.cgi?id=870 Пользуемся портом freebsd quagga-esr.

16_tp-link.jpg увы, не могу найти картинку "U - Uplink" с кучей домашних роутеров, заботливо прикрученных на стену

sysctl vm.swappiness ?

Насколько я понял, в бридж заведены ethernet-интерфейсы, PPPoE-сервер активен на бридже. Для того, чтобы тегированный трафик попал в бридж, нужно добавить в него VLAN-интерфейсы и убрать eth. Но лучше будет создать по PPPoE-сервису для каждого VLAN. Во-первых, на загрузке CPU это не отразится. Во-вторых, смысл сегментировать сеть на VLAN-ы, если они все будут объединены в один бридж?

Судя по всему, сыпеться флешка.

Довели Диктатора..

Похоже, что сервера стоят в России, на площадке Энтерры, в AS34259, TOV HighLoadSystems. Расходимся.

Куплю роутер D-Link DIR-860L ревизии B1. Подойдет как новый, так и б/у. Цена - обоснованный торг.

>> - Прокси и VPN от 1$/мес.

Покажите вывод комманды /ip firewall connection print count-only

Думаю, что стоит посмотреть на размер использованного DNS-кэша и коннтрака. Первое можно уменьшать до 1-2 Мб без особых потерь в производтельности. Второе сугубо инидивидуальное, но если в коннтраке больше, чем 50..100 * количество_подключенных_клиентов записей, значит у вас проблема.

uarnet, netassist

З мікротіками є проблема, спостерігаю її вже не на першому роутері, раніше був 951-2Nhd, зараз hAP AC. WiFi карта не хоче підіймати TX rate вище 54Mbit з деякими девайсами, наприклад в мене це спостерігається з Google Nexus 7, та старим телефоном Samsung.

Так не обязательно же везде блочить На бордерах просто вешаем комьюнити для упрощения работы с маршрутами на брасах.

Гораздо проще организовать блек-лист, используя BGP. На бордерах завести ip as-path access-list, в котором перечислить AS-ки Mail.ru-шных сервисов, ! VK1 ip as-path access-list 112 permit _47541_ ! VK2 ip as-path access-list 112 permit _47542_ ! Mailru ip as-path access-list 112 permit _47764_ ! Yandex ip as-path access-list 112 permit _13238_ ip as-path access-list 112 permit _ Потом создать роут-мапу, которая будет на эти префиксы вешать комьюнити для блэкхола, route-map map-CENSORSHIP permit 100 match as-path 112 set community 65535:451 additive Развесить на нейборах для аплинков.

Бывали случаи, когда СХ эскалейтили вплоть до сетей магистралов. Явно не вменяемое поведение, по сути просто давление на тех, кто даже не связан с их мишенями. Пример - https://www.spamhaus.org/sbl/query/SBL326159

Здесь таких нет.