MikrotikRouter OS x86

[Ripper]

Кто юзал сабж на х86 ... гадость оказалась жутко пожерающая ресурсы ...

При прокачке торентом 100 Мбит/с 120 сидов ложет одно ядро Intel QuadCore2 на 3,6Ггц под 100% 2 ядра под 60-70% О_о что это за звертво такое...

5 правил в файреволе 10 в симплах ...

 

Это стандартное явление или нужно брать MT 750G Router

[Prime]

мб кривые руки?

или ros 1.0

L7 файрвол и таблица фильтр рознь

sq по Ip и по интерфейсу тоже рознь

 

c2d без проблем роутит 600мбит интернета домашних юзеров

pps ~50kpps

 

т.к. нет толкового описания траблы - следует считать топикстартера нубом

[logic]

какая версия ОС? сколько клиентов?

вы думаете что 750Г вытянет 100мб и-нета?

[Ripper]

ROS v3.3 L4

фильтры (sq) по шейпу на айпи ... и пару PF правил + NAT DHCP DNS и все вроде ...

 

Ложет один юзер с uTorrent'om v2 при качке 100Мбит +

 

Sanchezz неругатся =)

[yri]

Сетевушки интел гиговие ставте

[Ripper]

Я бы рад только мне жалко по 1200 брать сетевухи ...

И думаю что поблема не в них...

[Neelix]

Я бы рад только мне жалко по 1200 брать сетевухи ...

И думаю что поблема не в них...

 

P.S. как профорвардить правильно 80 порт ...

 

из вне 80 порт работает но тупит ... из локалки работают все правила кроме 80 порта ...

http://hotline.ua/pr/193-12-135/?v=259&t=0&o=1&d=0&p=0

 

Проблема в другом.

Нужно проверить что больше всего грузит CPU

Убери фильтры, затем шейпера.

 

80 порт форвардят как и все остальные порты.

Интересует проброс? DNAT?

[Ripper]

Обесню проще есть домен он превязан к IP eth0 ...

с наружы все работает хорошо !!!

 

из нутри за натом все правила работают кроме порта 80 (все составлены также ибо ftp шарится и ssh а также другие устройства на других портах) так вот суть все они работают через домен как с наружы так и за натом кроме правила 80 порта...

 

При попытке открыть оно долго думает потом пишет что сервер возможно перегружен или неотвечает ... я подумал это из-за того что на 80 может висеть морда routerOS ибо когда правило убил оно там появилось ... в итоге морду отправил на 100 порт но оно как тупило так и тупит

 

правило составленно так

 

chain=dstnat action=dst-nat to-addresses=внутр айпи сервера to-ports=80 protocol=tcp

dst-address=внешеий айпи роутера eth0 dst-port=80

 

из локалки при пинге домена пингуется внешний айпи

[Neelix]

Хрен поймешь что тебе нужно и что ты хочешь!

[Ripper]

Есть домен привязаный к внешнему айпи

Есть сайт находяшийся в подсети за натом

Надо чтобы груpился сайт с внешнего мира так и с локальной сети при обращении к домену

[Neelix]

Выражайся более грамотным языком.

 

Запись A домена xxx смотрит на роутер, за которым под натом прячется веб-сервер.

Хочется, чтобы веб сервер был виден всему миру

 

ключевое слово - DNAT

 

И грамматику с орфографией придумали идиоты, да.

[Ripper]

дык весь мир его видит ... с этим все ок проблема в том что если в локалке наберают домен то сайта то нет (((

при этом другие сервисы через этот домен в локалке работают к примеру есть свитч с веб мордой я его повесил на 100 порт он открывается с мира и локалки под ДОМЕН:100 без проблем а вот Домен:80 по локалке неработает

 

одим словом

правило работает в мире но неработает в локалке
не работает !!!
chain=dstnat action=dst-nat to-addresses=внутр айпи сервера to-ports=80 protocol=tcp
dst-address=Внешний_айп_роутера dst-port=80 

 

 

 

а это правило работает и в локалке и в мире
chain=dstnat action=dst-nat to-addresses=внутр_айп_свича to-ports=100 protocol=tcp
    dst-address=Внешний_айп_роутера dst-port=100 
и это тоже

chain=dstnat action=dst-nat to-addresses=айпи сервера to-ports=21 protocol=tcp 
    dst-address=Внешний_айп_роутера dst-port=21 

 

разницы нету но 80 не работает

 

временно выщел из ситуации прописав локальный DNS с внутреним айпи для этого домена (((

[Neelix]

Проверяй телнетом.

Смотри файрвол на сервере

Смотри счетчики файрвола на роутере

 

временно выщел из ситуации прописав локальный DNS с внутреним айпи для этого домена (((

Может ты в днс сервере локальном накосячил?

 

Проблем у тебя может быть сотни...

то CPU Load большой спонтанно, то днат не работает

[Ripper]

обясню логику данного текста Загрузка ЦПУ действительно большая и превоначально хочу разобратся с ней ...

попутно мне какраз зарегестировали домен и я выявил касяк решилы разобратся в чем грабли ибо вроде все сделано правильно но при этом оно не работает ..

 

во временном решении оказался косяк не работают суб домен из локалки а если их вбить вручную то и из внешней сети..

 

какие будут мысли.

[Magus]

Взорвало мозг.

 

Научитесь нормально выражать свои мысли, чтобы с первого раза было понятно, что вы хотите.

 

/ip firewall nat print

/ip firewall filter print

 

В студию.

[Ripper]

NAT =>

 0   ;;; PortForward NAT
    chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=80 
    protocol=tcp dst-address=Внешний_айпи dst-port=80 

1   chain=dstnat action=dst-nat to-addresses=7.7.7.1 to-ports=100 protocol=tcp
    dst-address=Внешний_айпи dst-port=100 

2   chain=dstnat action=dst-nat to-addresses=7.7.7.2 to-ports=443 protocol=tcp
    dst-address=Внешний_айпи dst-port=443 

3   chain=dstnat action=dst-nat to-addresses=7.7.7.2 to-ports=902 protocol=tcp
    dst-address=Внешний_айпи dst-port=902 

4   chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=21 protocol=tcp 
    dst-address=Внешний_айпи dst-port=21 

5   chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=22 protocol=tcp 
    dst-address=Внешний_айпи dst-port=22 

6   chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=80 
    protocol=tcp dst-address=Внешний_айпи dst-port=200 

 

Filter

 

Походу пуст ибо нечего не выводит

 

Добавил все суб домены в локальный DNS все вроде работает вопрос что будет если почистить кеш DNS'a

[Magus]

1) Это точно всё? Нету правила срц-нат, соответственно всё за роутером не сможет ходить на вне, что противоречит вашим словам про работающий сайт.

2) 7.х.х.х это вообще-то роутабл диапазон(вы же не с Охайо?), вам мало 10.х.х.х 172.16-32.х.х 192.168.х.х?

3) /ip address print ; /ip route print.

[Ripper]

Пардон не обатил внимания что оно выводит не все

 

вот полный список NAT

 

 0   ;;; PortForward NAT
    chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=80 
    protocol=tcp dst-address=Внешний_айпи dst-port=80 

1   chain=dstnat action=dst-nat to-addresses=7.7.7.1 to-ports=100 protocol=tc>
    dst-address=Внешний_айпи dst-port=100 

2   chain=dstnat action=dst-nat to-addresses=7.7.7.2 to-ports=443 protocol=tc>
    dst-address=Внешний_айпи dst-port=443 

3   chain=dstnat action=dst-nat to-addresses=7.7.7.2 to-ports=902 protocol=tc>
    dst-address=Внешний_айпи dst-port=902 

4   chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=21 protocol=tcp 
    dst-address=Внешний_айпи dst-port=21 

5   chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=22 protocol=tcp 
    dst-address=Внешний_айпи dst-port=22 

6   chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=80 
    protocol=tcp dst-address=Внешний_айпи dst-port=200 

7   chain=dstnat action=dst-nat to-addresses=192.168.1.11 to-ports=80 
    protocol=tcp dst-address=Внешний_айпи dst-port=201 

8   chain=dstnat action=dst-nat to-addresses=7.7.7.10 to-ports=80 protocol=tc>
    dst-address=Внешний_айпи dst-port=300 

9   chain=dstnat action=dst-nat to-addresses=7.7.7.3 to-ports=3306 
    protocol=tcp dst-address=Внешний_айпи dst-port=3306 

10   chain=dstnat action=dst-nat to-addresses=192.168.1.10 to-ports=22 
    protocol=tcp dst-address=Внешний_айпи dst-port=23 

11   chain=dstnat action=dst-nat to-addresses=192.168.1.11 to-ports=22 
    protocol=tcp dst-address=Внешний_айпи dst-port=24 

12   ;;;          NAT 
    chain=srcnat action=masquerade out-interface=ether1 

[Ripper]

Захотелось 7.7.7.х =))

 

я не посотрел что уже занят диапазон но это так времнно будет пул айпи куплен.