Jump to content

Mikrotik_Делимся опытом, помогаем друг другу

blogpatik

By blogpatik,
in Router Layer 3

 Share Followers 4

Recommended Posts

Valentin.net

Valentin.net 1

Posted
Posted

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно :)  Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала. :facepalm:  Замкнуло дорожки, как мне сказали. Теперь боюсь

Link to post
Share on other sites
  • Replies 216
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

olsasha

Потому-что через simple queues будет распределение по ядрам CPU.

virtus

У кого какую нагрузку держит CCR1036 ? У нас реально держит 500+ абонентов с нагрузкой в районе 1г. ,авторизация IPoE (hotspot), NAT, реальники через PPPoE, около 50 правил фаервола, у абонентов

tkapluk

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей...    ага, а 1072 уже убила циску ?

Posted Images

FoFan

FoFan 1

Posted
Posted

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно :)  Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала. :facepalm:  Замкнуло дорожки, как мне сказали. Теперь боюсь

Электропитание: PoE: 9..28 V DC on Ethernet port1 (только Passive POE выводы +4,5 и -7,8,

не поддерживает 802.3af)

jack:9..28 V DC

Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted

DDOSить могут любой адрес. Было бы желание.

Положить микротик в полку можно на уровне фаервола на легко, всё зависит от полноты налитого стакана количества запросов к микроту.

100%. ТСу - если грубо, то у каждой железки есть свой предел пропускной. И если ддос атака равна или больше этого предела, железка уходит в 100%-ую нагрузку. Но даже если у железки запас прочности - то есть предел в виде пропускной полосы wan - атакующие при нынешних условиях вполне и 1г могут забить. В результате лаги и дропы и "тормознутый почему-то интернет". Можно пытаться на уровне провайдера блокирнуть лишние порты либо не светить свой ип и свои порты в мир и надеяться на лучшее. Да, icmp тоже блокирнуть.
Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted

Ребята, у меня тож есть вопрос по МТ. RB750 умеет кормится через PoE? В настройках нашел, но включать стремно :)  Как то раз врубил PoE passtrough на нанос М2, в результате сгорел проц, да так, что ремонту не подлежала. :facepalm:  Замкнуло дорожки, как мне сказали. Теперь боюсь

У них своё PoE - берёте родной микротиковский Poe инжектор и вперёд.

Link to post
Share on other sites
H_U_L_K

H_U_L_K 285

Posted
Posted

Эм, раз уж тема о микротиках, то  стоит ли на rb2011 переезжать с 6.31 на 6.39.2?

Не будет ли тут "эффекта apple", в котором в новых прошивках старые девайсы заставляют тупить.

Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted (edited)

Эм, раз уж тема о микротиках, то стоит ли на rb2011 переезжать с 6.31 на 6.39.2?

Не будет ли тут "эффекта apple", в котором в новых прошивках старые девайсы заставляют тупить.

У знакомого стоит последняя прошивка - жалоб не было. Не понравится - сделаете downgrade обратно на 6.31

PS: эффект эппл? Я надеялся, что у них такого нет (у меня просто на андроиде точно такой же эффект :) и думал уйти на яблоко при следующем апгрейде). Видать это просто "эффект нового на старом" %) И ещё один способ заставлять покупать новое.

Edited by BlackVS
Link to post
Share on other sites
H_U_L_K

H_U_L_K 285

Posted
Posted

Та я вряд ли замечу разницу "невооруженным глазом".

Инета 200 мбит. Больше напрягает тормознутость встроенного usb порта, который больше 3.5 мбайт/сек не пропускает (упираемся в 100% загрузку проца).

Уже подумывал сменить rb2011 на rb3011, но там юсб тоже не айс, 8-10 мбайт/сек.

 

А мне бекапить периодически надо будет гигов под 700, пока что.

А это более 4-х часов 100% загрузки процессора.

Link to post
Share on other sites
kostikbel

kostikbel 0

Posted
Posted

Та я вряд ли замечу разницу "невооруженным глазом".

Инета 200 мбит. Больше напрягает тормознутость встроенного usb порта, который больше 3.5 мбайт/сек не пропускает (упираемся в 100% загрузку проца).

Уже подумывал сменить rb2011 на rb3011, но там юсб тоже не айс, 8-10 мбайт/сек.

 

А мне бекапить периодически надо будет гигов под 700, пока что.

А это более 4-х часов 100% загрузки процессора.

У rb3011 два процессора, каждый побыстрее чем mips в 2011.  Но идея заливать 700Gb через такой mikrotik все равно не пройдет.

 

У 1100AHx4 dude edition есть несколько SATA и M.2 портов.

Link to post
Share on other sites
  • 1 month later...
blogpatik

blogpatik 0

Posted
  • Author
Posted

Підскажіть будь ласка, Web Proxy в мікротіку вміє блокувати сайти, які працюють на https протоколі? 

 

Потрібно заблокувати ютуб, рутуб, фейсбук для прикладу, а всі солідні сайти працюють по https протоколу... 

 

Можливо є інше рішення як заблокувати список сайтів?

post-39626-0-48691500-1504440582_thumb.jpg

Link to post
Share on other sites
blogpatik

blogpatik 0

Posted
  • Author
Posted

НУ тогда блочьте по диапазонам IP(AS).

Значить WebProxy https не блокує, раз ви мені таке радите... жаль... для чого він тоді взагалі потрібний з таким функціоналом :(  

Link to post
Share on other sites
Dimkers

Dimkers 1,620

Posted
Posted

Ну.... вы разобрались бы вначале в разнице http и https. И тогда бы вы поняли, что микрот не сможет(пока не сможет), делать чудо под названием "человек по середине". Сквид ставьте и извращайтесь.

Link to post
Share on other sites
foreverok

foreverok 95

Posted
Posted

 

НУ тогда блочьте по диапазонам IP(AS).

Значить WebProxy https не блокує, раз ви мені таке радите... жаль... для чого він тоді взагалі потрібний з таким функціоналом :(  

 

Поищите здесь на форме тему о блокировке vk ok и тд. Там много говна информации по вашему вопросу. 

Link to post
Share on other sites
  • 1 month later...
al777

al777 0

Posted
Posted

Подскажите, пожалуйста.

Есть маленькая сеть на сером pppoe. Стоит задача получать от аплинка ещё 1 белый ip и передавать в ту же сеть тем же конкретному абону тоже по pppoe. На выходных буду упражняться.

Как я представляю, нужно второй реальный ip прописать в адресах на новом пппое, на самой учетке пппое, в маршруты чтотнужотдобавить?

Как это сделать правильно, возможна платная помощь по удалёнке на макете. Заранее спасибо. Всем приятных длинных выходных!

Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted (edited)

Вопрос, как отнесется провайдер к тому, если маки для серого и белого будут отличаться?

Если никак - то трафик, идущий с клиентского, просто отправляете как есть в pppoe провайдера (скорее всего он и так уйдет ибо обычно включен deafult route в pppoe клиенте, только тогда маскарадинг отключить именно для этого трафика).

а входящий трафик из pppoe провайдера на белый ип - форвардните на клиентский pppoe (обычный роут).

 

Если разные маки нежелательны %) - тогда второй вопрос - клиент хочет физически у себя иметь белый или же выходить в инет через белый ип? Не одно и то же.

Если второе - белый ип прописываете у себя, дальше пара правил dst-nat/src-nat.

Edited by BlackVS
Link to post
Share on other sites
al777

al777 0

Posted
Posted (edited)

Провайдер видит только маки, к которым он прибивает белын ip из /24 подсети. Один забрал я микротиком с ether1, дальше маскарадинг (вернее новый нат для статики, не помню на слух, глянуть не могу), серые ip через рррое, на учётки пппое простые очередях на каждого.

Теперь необходимо получить белый ip от провайдера и отдать через несколько простых коммутаторов желательно тоже по рррое. Надеюсь и на эту учётку навесить simple queue чтоб группировать по пропускной способности удаленных каналов.

Раньше на вход ставил смарт свич и вланом соединял с провайдером далекого абонента мимо микротика, скорость резалась 10 Мбит физической пропускной способностью конечного оборудования) теперь это надо шейпить, видеть статистику хотя бы по графику очереди, и ставить умный свич для 1 абонента затратно.

Прошу совета и помощи

П.с. чем забрать второй реальный ip от провайдера? В принципе железный вариант поставить простой свич и два шнурка в микротик, но уверен есть более изысканные способы. Пытался через виртуальный интерфейс на ether1, на на нем dhcp client ничего не получал(

Edited by al777
Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted (edited)
Пытался через виртуальный интерфейс на ether1, на на нем dhcp client ничего не получал(

 

Virtual Ethernet немного не для этого.

Народ извратился через VRRP, чтобы повесить несколько DHCP клиентов на один wan порт без лишних шнурков-свичей.

https://forum.mikrotik.com/viewtopic.php?f=2&t=93517&hilit=It%27s+definitely+not+a+proper+solution

 

И похоже - ничего лучше не смогли придумать, хот я и давно было:

https://forum.mikrotik.com/viewtopic.php?t=60453

 

А так - либо свич спереди и несколько портов в свич, либо бридж на роутере, в который опять несколько ethernet портов.

 

О, а если EOIP туннель Lan R1 - Wan R2 и в бридж с wan R1...

https://wiki.mikrotik.com/wiki/Manual:Interface/EoIP

По идее получится то же самое, что wan2 и Wan1 в одном бридже?

Edited by BlackVS
Link to post
Share on other sites
al777

al777 0

Posted
Posted

Чуть позже отвечу детально.

По сути:

1. про один сегмент- так ребром никто не ставил, это более как вариант. Очень глобально то скорее да, но наоборот, моего абона можно из дебрь вытащить к провайдеру на один уровень. Напрашиваются вланы, но как шейпить? Вланы сделать микротиком тоже думал, ввиду просто, но не получилось.

2. Vrrp и эту статью видел, значит буду ещё раз пробовать. Как тогда отдать полученный по дхцп адрес абону в пппое?

3. еоип вообще не курил ни разу...

 

4. Попробую не на урок, а тупо бриджа Ми-8 что скажете? С ИксБита- а вот чтоб на одном ether1 принять 2 ip мне нужно создать два! бриджа в которых только ether1, на каждом запустить dhcp client или в ручную вбить ip, в общем с бридж1 и бридж2 работать как с ether1. Я правильно понимаю? Если да, то осталось только передать ip по рррое...

Link to post
Share on other sites
al777

al777 0

Posted
Posted (edited)

с несколькими бриджами я разбежался))

 

Так, VRRP адреса то получил, но с на этом все( с ними ни натить не получается, ничего. Подскажите как дальше с ними быть?

 

Свич конечно вариант, но боюсь это пластырь, так как ни скорость контролировать, ни расшириться потом.

 

Мне VRRP как-то по душе, но дальше готовить не получается... Прошу помочь, очень срочно требуют.. платно тоже вариант

 

EOIP же пожразумевает микротик на стороне абонента.. т.е. 500 грн порт)

Тогда уже вланы нужно, но со всоим Хуавеем я еще не сдружился(

Edited by al777
Link to post
Share on other sites
BlackVS

BlackVS 35

Posted
Posted (edited)

С VRRP лично не игрался, увы. Я просто думал, что R2 тоже микротик. Может уже спрашивали - а почему провайдер просто не может выдать на один и тот же мак сразу несколько серых-белых ип? Тогда просто пронатили б....

PS: есть пара свободных железок, попробую собрать тестовый стенд и поиграться с VRRP.

Edited by BlackVS
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Followers 4
Go to topic listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...