Перейти до

CPU 100% Mikrotik CCR1036

Wassabi

Автор: Wassabi,
в Цілісність системи

 Share Подписчики 1

Рекомендованные сообщения

Wassabi

Wassabi 4

Опубликовано:
Опубликовано:

Доброго времени суток.

 

Пару месяцев назад появилась проблема с нагрузкой на проц и соответственно жалобы от абонентов. Причем возникает совершенно хаотично, может несколько раз за день, а может раз в две-три недели.

Mikrotik CCR1036-8G-2S+ версия ROS 6.48.6 (long-term)

 

Схема следующая: Mikrotik  одной 10G смотрит в вышестоящего провайдера, в ether1 включен OLT BDCOM3616, в ether2 включен OLT BDCOM3616, в ether4 включен OLT BDCOM3608 физически петель быть не может.

Изначально все абоненты были в одном VLAN, VLAN-ы с портов Mikrotik собраны в бридж , на бридже DHCP. До мая/июня все работало без проблем и нареканий.

 

После безрезультатных игр с софтом, раскидал абонентов в разные VLAN-ы, на каждый пон порт по влану. Теперь на ether1 вланы 101-116, ether2 вланы 201-216 и т.д. Все вланы собраны в бридж и на него повешен DHCP.

На OLT абоненты изолированы, включены dhcp snooping, arp inspection, verify source.

На Mikrotik пакеты между абонентами дропаются, в Profile то networking то queuring зашкативают. В Torch ничего критичного не нашел, или не то искал...

 

Но чудеса продолжаются, появляются из ниоткуда и сами исчезают в никуда.

 

Включил отрисовку графиков, сегодня обнаружил следующее (на остальных портах графики были выключены, инфы пока нет)
962859044_.thumb.jpg.86cfb667fee550b291c28431620f7ecb.jpg

 

Подскажите пожалуйста в какую сторону копать дальше?

Ссылка на сообщение
Поделиться на других сайтах
datakrava

datakrava 46

Опубліковано:
Опубліковано: (відредаговано)

ну судя по графикам там же очевидно полка)) соберите бондинг, + horizon на бриджах попробуйте, посмотрите на фаервол - если есть правила редиректа то офните их и понаблюдайте, + блочнуть 53й порт на сам хост микротика, а ну да попробуйте ещё увеличить очередь шейпера и арп-таймаут.

1036 вроде как спокойно может прожевать 2,5г НАТа.

Відредаговано datakrava
Ссылка на сообщение
Поделиться на других сайтах
Matou

Matou 83

Опубліковано:
Опубліковано:
48 минут назад, Wassabi сказав:

На Mikrotik пакеты между абонентами дропаются, в Profile то networking то queuring зашкативают. В Torch ничего критичного не нашел, или не то искал...

По графикам вроде как внешний канал не нагружается при скачке трафика между локальными интерфейсами. По сему первое утверждение под вопросом. Networking и queuring как раз о том и говорят, что многовато трафика.

Ссылка на сообщение
Поделиться на других сайтах
DVSGROUP

DVSGROUP 126

Опубліковано:
Опубліковано:

На ether1 и ether2 явно трафик упирается в полку - четкая ровная линия утром с 6 до 8, там возможностей гигабитного порта явно не хватает. При этом CPU имеет запас.

 

Что же касается "CPU 100%", загрузка по факту под 75% с 8 утра до 9 утра, днем ранее.

 

Все это больше похоже на целенаправленную сетевую атаку на ваши ресурсы. В первом случае на 2 портах синхронно возрастает скачивание клиентами, причем лавинообразно и сразу в полку - с чего бы это? Может быть и ботнет у вас в сети.

 

Во втором случае может быть самый разнообразный сетевой мусор, который забивает ресурсы - firewall, mangle, dns, dhcp и так далее.

 

Обратите внимание, в этот же период на аплинке у вас трафик почти без изменений, скорее даже проседает клиентский.

Ссылка на сообщение
Поделиться на других сайтах
Matou

Matou 83

Опубліковано:
Опубліковано:

С вашего описания я так понял, что все вланы так же в одном бридже ?

Неплохо било бы торчем посмотреть что творится на портах во время роста трафика. Ну и все сервисы самого микротика обезопасить.

Ссылка на сообщение
Поделиться на других сайтах
tkapluk

tkapluk 871

Опубліковано:
Опубліковано:
2 часа назад, Wassabi сказал:

Подскажите пожалуйста в какую сторону копать дальше?

Встановити та налаштувати систему моніторингу. 

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
datakrava

datakrava 46

Опубліковано:
Опубліковано:
22 минуты назад, Matou сказал:

что все вланы так же в одном бридже

так и шо, еси он horizon прописал то пофиг же должно быть

Ссылка на сообщение
Поделиться на других сайтах
Wassabi

Wassabi 4

Опубліковано:
  • Автор
Опубліковано:
1 час назад, DVSGROUP сказал:

Что же касается "CPU 100%", загрузка по факту под 75% с 8 утра до 9 утра, днем ранее.

Вчера в Winbox загрузку проца показывало 100%, сегодняшнее проспал.

 

42 минуты назад, Matou сказал:

С вашего описания я так понял, что все вланы так же в одном бридже ?

Да, на микротике два бриджа, один собраны абонентские вланы во второй вланы управления.

 

44 минуты назад, Matou сказал:

Неплохо било бы торчем посмотреть что творится на портах во время роста трафика.

Буду ждать следующего события и гляну

 

45 минут назад, Matou сказал:

Ну и все сервисы самого микротика обезопасить.

Это сделано давно.

 

2 часа назад, datakrava сказал:

соберите бондинг, + horizon на бриджах попробуйте,

Спасибо, сейчас изучаю инфу касательно horizon, в bonding нет смысла в нормальных условиях

 

1 час назад, DVSGROUP сказал:

Все это больше похоже на целенаправленную сетевую атаку на ваши ресурсы. В первом случае на 2 портах синхронно возрастает скачивание клиентами, причем лавинообразно и сразу в полку - с чего бы это? Может быть и ботнет у вас в сети.

 

Во втором случае может быть самый разнообразный сетевой мусор, который забивает ресурсы - firewall, mangle, dns, dhcp и так далее.

Обратил внимание, что в первом случае на бридже нет входящего трафика, а во втором более 300 Mb/s

 

2 часа назад, Matou сказал:

По графикам вроде как внешний канал не нагружается при скачке трафика между локальными интерфейсами. По сему первое утверждение под вопросом. Networking и queuring как раз о том и говорят, что многовато трафика.

На данный момент торчем из/в абонентскую подсеть только внутренние обращения на DNS микротика, и обмен трафиком между камерами и регистратором. Про камеры забыл, их в феврале после первых прилетов повесили. Сейчас выведу их в отдельный vlan, но сомневаюсь, что поможет.

Всем спасибо за дельные мысли, будут еще пишите. Будет какой-то результат, отпишусь.

Ссылка на сообщение
Поделиться на других сайтах
Matou

Matou 83

Опубліковано:
Опубліковано:
48 минут назад, Wassabi сказав:

обмен трафиком между камерами и регистратором. Про камеры забыл, их в феврале после первых прилетов повесили

Имхо, быть может здесь собака и зарыта, ибо по графикам трафик локальный. Конечно, надо бы и другие интерфейсы глянуть графики

  • Thanks 1
Ссылка на сообщение
Поделиться на других сайтах
DVSGROUP

DVSGROUP 126

Опубліковано:
Опубліковано:
1 час назад, Wassabi сказал:

обращения на DNS микротика

Держать DNS на том же микротике плохая затея....

 

Попробуйте клиентам по DHCP выдать 1.1.1.1 и 8.8.8.8, отключив затем локальный DNS.

 

Если проблема решится - поднимайте отдельно BIND под DNS на тазике.

Ссылка на сообщение
Поделиться на других сайтах
datakrava

datakrava 46

Опубліковано:
Опубліковано:
6 часов назад, Wassabi сказал:

, в bonding нет смысла в нормальных условиях

у тебя на порту полка) воткни ещё одни в ОЛТху чи шо у тебя там собери из этого бондинг онже лацп и вешай туда вланы) 

Ссылка на сообщение
Поделиться на других сайтах
DVSGROUP

DVSGROUP 126

Опубліковано:
Опубліковано:
13 минут назад, datakrava сказал:

у тебя на порту полка) воткни ещё одни в ОЛТху чи шо у тебя там собери из этого бондинг онже лацп и вешай туда вланы)

 

Только вот не задача... трафик за пределы WAN не бегает, если внимательно графики посмотреть

Ссылка на сообщение
Поделиться на других сайтах
Wassabi

Wassabi 4

Опубліковано:
  • Автор
Опубліковано:
17 минут назад, datakrava сказал:

у тебя на порту полка) воткни ещё одни в ОЛТху чи шо у тебя там собери из этого бондинг онже лацп и вешай туда вланы) 

 

Могу и 10G порт воткнуть эти два ОЛТа, но это ничего не даст. При нормальных условиях один ОЛТ около 800 Mb/s кушает.
Проблема таки в локальном трафике, сейчас выкинул камеры и регистратор в отдельный влан, избавился от локального DNS, и установил одинаковый horizon на абонентских вланах в бридже. Жду...

Ссылка на сообщение
Поделиться на других сайтах
datakrava

datakrava 46

Опубліковано:
Опубліковано:
1 час назад, Wassabi сказал:

одинаковый horizon

тогда нету смысла в horizon

 

1 час назад, Wassabi сказал:

но это ничего не даст

у тебя утилизация на интерфейсе 100% это типо щас щитается норм?)

 

1 час назад, Wassabi сказал:

около 800 Mb/s кушает

tx?

rx?

tx+rx?

ну ДНС на микротике уже ошибка)

Ссылка на сообщение
Поделиться на других сайтах
Wassabi

Wassabi 4

Опубліковано:
  • Автор
Опубліковано: (відредаговано)

Доброго времени суток.

 

Ситуация повторилась.
В торче обнаружил следующее

image.png.113697d1c72dc5550147ce201997b7df.png

 

ip x.x.93.248 белый абонентский, 10.90.0.90 в сети вообще нет. Трафик летит во все абонентские вланы, но как? И как с подобным бороться?
Если верить графикам не через бридж, в котором все абонентские интерфейс вланы.

image.png.bf5b1d4e1800e1d9ffce676a3b728376.png

image.png.5699e4774fecc3aba9592a387a342094.png

 

 

Відредаговано Wassabi
Ссылка на сообщение
Поделиться на других сайтах
DVSGROUP

DVSGROUP 126

Опубліковано:
Опубліковано:

а почему у вас микрот маршрутизирует 10.90.0.90 во все вланы?

правила смотрите.... такое чувство что у вас дыра где-то... а клиент руками маршрут себе пишет через заданный gateway

 

Можно на микроте конечно запретить маршрутизировать этот адрес, но это костыль

 

ip route rules

src 0.0.0.0/0

dst 10.90.0.90/32

unreachable

 

Смотрите правила, ищите первопричину как трафик туда уходит

Ссылка на сообщение
Поделиться на других сайтах
Kiano

Kiano 597

Опубліковано:
Опубліковано:

Оч плохая идея кидать вланы в бриджи. Разделите, на каждый влан свой интерфейс Л3, дхцп. Если нужно разобраться - пишите в лс.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
Matou

Matou 83

Опубліковано:
Опубліковано:
3 минуты назад, Kiano сказав:

Оч плохая идея кидать вланы в бриджи. Разделите, на каждый влан свой интерфейс Л3, дхцп. Если нужно разобраться - пишите в лс.

А чем плоха схема влан-бридж?

Ссылка на сообщение
Поделиться на других сайтах
ISK

ISK 259

Опубліковано:
Опубліковано:

Ущербна она сама по себе. Экономия IP того не стоит. А даже если DHCP на отдельном серваке, что мешает навесить на него все вланы?

Ссылка на сообщение
Поделиться на других сайтах
khatgit

khatgit 22

Опубліковано:
Опубліковано: (відредаговано)
Цитата

а почему у вас микрот маршрутизирует 10.90.0.90 во все вланы?

Кто сказал, что маршрутизирует? Анкнов юникаст летит себе по всем интерфейсам бриджа и все..

Відредаговано khatgit
Ссылка на сообщение
Поделиться на других сайтах
Wassabi

Wassabi 4

Опубліковано:
  • Автор
Опубліковано:
7 часов назад, wantmore сказал:

Спробуйте заборонити icmp між клієнтськими vlan. Також перевірте налаштування igmp snooping.

Дропаю icmp между абонентскими подсетями, как это сделать между вланами не понял... Multicast в сети не вещается.

 

Ситуация повторилась, но с другого ip. Я так понимаю это DoS атака по icmp, но почему и как трафик лезет внутрь сети если Dst. адрес внешний?

image.png.a2295a5592782c97dacaafa7517b1577.png

Кроме этого физически ip x.x.93.252 находится на интерфейсе ether6

 

Сейчас заблокировал пинги в сторону белых ip абонентов, но как по мне, это не совсем корректно.

 

Какие будут еще рекомендации или совенты?

Ссылка на сообщение
Поделиться на других сайтах
Kiano

Kiano 597

Опубліковано:
Опубліковано:
37 минут назад, Wassabi сказал:

Дропаю icmp между абонентскими подсетями, как это сделать между вланами не понял... Multicast в сети не вещается.

 

Ситуация повторилась, но с другого ip. Я так понимаю это DoS атака по icmp, но почему и как трафик лезет внутрь сети если Dst. адрес внешний?

image.png.a2295a5592782c97dacaafa7517b1577.png

Кроме этого физически ip x.x.93.252 находится на интерфейсе ether6

 

Сейчас заблокировал пинги в сторону белых ip абонентов, но как по мне, это не совсем корректно.

 

Какие будут еще рекомендации или совенты?

Убрать вланы из бриджа. Обычными icmp пакетами задудосить можно было 20 лет назад. Не сейчас.

  • Like 2
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Інет.укр
      Продам CCR1036-8G-2S+EM
      Від Інет.укр
      Продам ccr1036
      22999грн. Гарантія 14діб.
      Також є ccr1036-12g-4s вартість 17500
      20240114_141700.heic
    • apels1n
      CCR1036 PPPoE режет скорость абонентам
      Від apels1n
      Доброго времени суток, есть два микрота CCR1036 в качестве брасов. На первом ~800 абонов, на втором ~1000. Оба микрота имеют шейпер на simple queue и нат. С обоими микротами есть проблема, а именно при пппое скорость загрузки 950+ мегабит, а скорость отдачи еле достигает 350 мегабит. Если мерять минуя пппое и шейпер, воткнувшись в микрот напрямую и получув адрес по дхцп, то скорость стабильно 970 мегабит в обе стороны. Пробовал поменять pps для шейпера, поставил вместо 50 pps 500 и скорость отдачи начала доходить до 400 мегабит. У микротов аплинки 10г по оптике, средний трафик с микрота в районе 1.5 - 2 Гбита. Упора в процессор нет, средняя нагрузка в пределах 15-30%. Подскажите в чём может быть дело?
       
      Конфиг
      /interface bridge add admin-mac=08:55:31:B4:51:F8 auto-mac=no name=bridge1 add disabled=yes name=loopback /interface ethernet set [ find default-name=ether2 ] comment=Test_routers /interface vlan add interface=sfp-sfpplus2 name=vlan36 vlan-id=36 add interface=sfp-sfpplus2 name=vlan101 vlan-id=101 add interface=sfp-sfpplus2 name=vlan102 vlan-id=102 add interface=sfp-sfpplus2 name=vlan103 vlan-id=103 add interface=sfp-sfpplus2 name=vlan104 vlan-id=104 add interface=sfp-sfpplus2 name=vlan105 vlan-id=105 add interface=sfp-sfpplus2 name=vlan106 vlan-id=106 add interface=sfp-sfpplus2 name=vlan107 vlan-id=107 add interface=sfp-sfpplus2 name=vlan108 vlan-id=108 add interface=sfp-sfpplus2 name=vlan109 vlan-id=109 add interface=sfp-sfpplus2 name="vlan1426" vlan-id=1426 add interface=sfp-sfpplus2 name=vlan1543 vlan-id=1543 /interface list add name=management /ip pool add name=pool1 ranges=192.168.100.10-192.168.100.20 /ip dhcp-server add address-pool=pool1 interface=ether7 name=dhcp-88 /port set 0 name=serial0 set 1 name=serial1 /ppp profile add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=198.18.0.1 name=\ PPPtP add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=XX.XX.XX.100 \ name=PPPoE use-compression=no use-encryption=no /queue type set 0 pfifo-limit=500 /routing bgp template set default as=4XXX9 disabled=no input.filter=bgp-in nexthop-choice=\ force-self output.filter-chain=bgp-out .redistribute=connected router-id=\ XX.XX.XX.100 routing-table=main /interface bridge port add bridge=bridge1 interface=ether8 pvid=101 /ip neighbor discovery-settings set discover-interface-list=management /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes forward=no max-neighbor-entries=8192 /interface list member add interface=ether8 list=management /interface pppoe-server server add default-profile=PPPoE disabled=no interface=vlan101 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan102 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan103 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan104 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan105 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan106 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan107 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan108 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan109 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan36 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 service-name=vlan36 add default-profile=PPPoE disabled=no interface=ether2 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 /interface pptp-server server set default-profile=PPPtP /ip address add address=XX.XX.XX.100/25 comment="UP IP (NAT no_money)" interface=\ sfp-sfpplus2 network=XX.XX.XX.0 add address=XX.XX.XX.59 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.59 add address=XX.XX.XX.60 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.60 add address=XX.XX.XX.61 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.61 add address=XX.XX.XX.62 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.62 add address=XX.XX.XX.63 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.63 add address=XX.XX.XX.64 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.64 add address=XX.XX.XX.65 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.65 add address=XX.XX.XX.66 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.66 add address=XX.XX.XX.67 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.67 add address=XX.XX.XX.68 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.68 add address=XX.XX.XX.69 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.69 add address=XX.XX.XX.70 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.70 add address=XX.XX.XX.71 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.71 add address=XX.XX.XX.72 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.72 add address=XX.XX.XX.73 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.73 add address=XX.XX.XX.74 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.74 add address=198.18.0.100 comment="For OSPF" disabled=yes interface=loopback \ network=198.18.0.100 add address=192.168.100.1/24 comment=test interface=ether7 network=\ 192.168.100.0 add address=XX.XX.XX.59/29 interface="vlan1426 " network=\ XX.XX.XX.56 add address=10.5.4.2/30 comment="local-management(DONT_TOUCH)" interface=\ ether8 network=10.5.4.0 add address=XX.XX.XX.4/29 interface=vlan1543 network=\ XX.XX.XX.0 /ip dhcp-server network add address=192.168.100.0/24 dns-server=XX.XX.XX.1 gateway=192.168.100.1 netmask=24 /ip dns set servers=XX.XX.XX.1 ip firewall address-list add address=XX.XX.XX.0/24 disabled=yes list=bgp-networks add address=city24.ua comment=city24.ua list=allow_negative add address=privat24.ua comment=privat24.ua list=allow_negative add address=next.privat24.ua comment=next.privat24.ua list=allow_negative /ip firewall nat add action=same chain=srcnat comment="Corp100 -> XX.XX.XX.100" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.100.0/24 to-addresses=XX.XX.XX.100 add action=same chain=srcnat comment="192.168.240.0/24 -> XX.XX.XX.59" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.240.0/24 to-addresses=XX.XX.XX.59 add action=same chain=srcnat comment="192.168.241.0/24 -> XX.XX.XX.60" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.241.0/24 to-addresses=XX.XX.XX.60 add action=same chain=srcnat comment="192.168.242.0/24 -> XX.XX.XX.61" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.242.0/24 to-addresses=XX.XX.XX.61 add action=same chain=srcnat comment="192.168.243.0/24 -> XX.XX.XX.62" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.243.0/24 to-addresses=XX.XX.XX.62 add action=same chain=srcnat comment="192.168.244.0/24 -> XX.XX.XX.63" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.244.0/24 to-addresses=XX.XX.XX.63 add action=same chain=srcnat comment="192.168.245.0/24 -> XX.XX.XX.64" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.245.0/24 to-addresses=XX.XX.XX.64 add action=same chain=srcnat comment="192.168.246.0/24 -> XX.XX.XX.65" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.246.0/24 to-addresses=XX.XX.XX.65 add action=same chain=srcnat comment="192.168.247.0/24 -> XX.XX.XX.66" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.247.0/24 to-addresses=XX.XX.XX.66 add action=same chain=srcnat comment="192.168.248.0/24 -> XX.XX.XX.67" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.248.0/24 to-addresses=XX.XX.XX.67 add action=same chain=srcnat comment="192.168.249.0/24 -> XX.XX.XX.68" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.249.0/24 to-addresses=XX.XX.XX.68 add action=same chain=srcnat comment="192.168.250.0/24 -> XX.XX.XX.69" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.250.0/24 to-addresses=XX.XX.XX.69 add action=same chain=srcnat comment="192.168.251.0/24 -> XX.XX.XX.70" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.251.0/24 to-addresses=XX.XX.XX.70 add action=same chain=srcnat comment="192.168.252.0/24 -> XX.XX.XX.71" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.252.0/24 to-addresses=XX.XX.XX.71 add action=same chain=srcnat comment="192.168.253.0/24 -> XX.XX.XX.72" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.253.0/24 to-addresses=XX.XX.XX.72 add action=same chain=srcnat comment="192.168.254.0/24 -> XX.XX.XX.73" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.254.0/24 to-addresses=XX.XX.XX.73 add action=same chain=srcnat comment="192.168.255.0/24 -> XX.XX.XX.74" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.255.0/24 to-addresses=XX.XX.XX.74 add action=same chain=dstnat disabled=yes dst-address-list=pub_dns \ same-not-by-dst=no to-addresses=XX.XX.XX.1 add action=same chain=srcnat comment="negative 192.168 -> XX.XX.XX.100" \ dst-address-list=allow_negative out-interface=sfp-sfpplus2 \ same-not-by-dst=yes src-address-list=negative to-addresses=XX.XX.XX.100 add action=dst-nat chain=dstnat comment="Negative redirect to Billing" \ dst-port=80,443 log-prefix=Negtive protocol=tcp src-address-list=negative \ to-addresses=XX.XX.XX.236 to-ports=2096 add action=masquerade chain=srcnat dst-address-list=fix-blocked-sites \ out-interface-list=bypass src-address-list=!negative to-addresses=\ 78.154.181.59 /ip firewall raw add action=drop chain=prerouting comment=Block-RU disabled=yes \ dst-address-list=block add action=drop chain=prerouting comment="Full block TCP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=tcp \ src-address-list=negative add action=drop chain=prerouting comment="Full block UDP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=udp \ src-address-list=negative add action=drop chain=prerouting comment=Block-WInBox-not-from-management \ dst-port=8291 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SSH-not-from-management \ dst-port=7722 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SNMP-not-from-zabbix dst-port=\ 161 protocol=udp src-address=!XX.XX.XX.236 /ip route add disabled=no dst-address=0.0.0.0/0 gateway=XX.XX.XX.1 /ppp aaa set interim-update=5m use-radius=yes /radius add address=XX.XX.XX.236 comment=Billing service=ppp /radius incoming set accept=yes port=XXXX /routing bgp connection add as=4XXX9 disabled=no input.filter=ospf-in listen=yes local.address=\ XX.XX.XX.100 .role=ibgp name=border nexthop-choice=force-self \ output.filter-chain=ospf-out .redistribute=connected remote.address=\ XX.XX.XX.1/25 .as=4XXX9 router-id=XX.XX.XX.100 routing-table=main \ templates=default add cisco-vpls-nlri-len-fmt=auto-bits connect=yes listen=yes local.role=ibgp \ name=mikrot101 nexthop-choice=force-self remote.address=XX.XX.XX.101 \ .as=4XXX9 .port=179 templates=default /routing filter rule add chain=ibgp-in disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" add chain=ibgp-out disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" /system logging set 0 topics=info,!ppp,!pppoe set 1 topics=error,!ppp /system ntp client set enabled=yes /system ntp client servers add address=0.ua.pool.ntp.org add address=1.ua.pool.ntp.org add address=2.ua.pool.ntp.org add address=3.ua.pool.ntp.org /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=management /tool mac-server mac-winbox set allowed-interface-list=management /tool mac-server ping set enabled=no  
    • Andrex_
      Продам Mikrotik CloudCore CCR1036-12G-4S
      Від Andrex_
      Продается Mikrotik CloudCore CCR1036-12G-4S. Состояние нового, не использовался
      Стоимость 20000 грн. 
       
      Кому интересно писать в ЛС.
       
       
       
    • Romari0
      Продам BDCOM P3310B/Quanta LB6M/MikroTik CCR1036-12G-4S
      Від Romari0
      Продам
       
      Quanta LB6M 10GbE 24-Port SFP 4x 1GbE, прошита под брокейд, жрет как 10ж так и 1ж модули - 400 баксов
       
      MikroTik CCR1036-12G-4S - 500 баксов
       
      OLT BDCOM P3310B есть три штуки, по 300 баксов за штуку или 850 за три сразу
       
      Все добро находится в г. Бровары, могу подвезти в Киев, или отправлю новой почтой
    • Polzovatel_009
      Продам MikroTik CCR1036-8G-2S+EM
      Від Polzovatel_009
      АБСОЛЮТНО НОВЫЙ!!!
      MikroTik CCR1036-8G-2S+EM является маршрутизатором операторского класса с мощным 36-ти ядерным процессором Tilera CPU!

      Беспрецедентная мощность и непревзойденная производительность — его главные характеристики, это устройство новый флагман. Более чем в 20 раз мощнее предыдущей топ-модели, CCR1036-8G-2S+EM поддерживает пропускную способность до 24 млн. пакетов в секунду, или до 16 Гигабит — полной скорости.

      Устройство поставляется в корпусе 1U в 19" стойку, имеет два порта SFP+, восемь портов Gigabit Ethernet, консольный порт и порт USB. Цветной сенсорный экран отображает состояние устройства, графики трафика, и обеспечивает доступ к простым параметрам конфигурации.

      Маршрутизатор имеет два слота SODIMM, поставляется с 16 ГБ оперативной памяти.

      CCR1036-8G-2S+EM работает на RouterOS, полнофункциональной операционной системе маршрутизатора, которая постоянно совершенствовалась в течение пятнадцати лет. Динамическая маршрутизация, точки доступа, брандмауэр, MPLS, VPN, передовые качества обслуживания, балансировки нагрузки и связи в реальном времени, настройки и мониторинга — это только некоторые из огромного количества функций, поддерживаемых RouterOS.
      _
      Абсолютно новый, с коробки не доставался, нигде не стоял. Покупался в зип, не понадобился.
       
      ЦЕНА 21000 грн.
×
×
  • Створити нове...