Перейти до

Mikrotik_Делимся опытом, помогаем друг другу


Рекомендованные сообщения

  • Відповіді 216
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Потому-что через simple queues будет распределение по ядрам CPU.

У кого какую нагрузку держит CCR1036 ? У нас реально держит 500+ абонентов с нагрузкой в районе 1г. ,авторизация IPoE (hotspot), NAT, реальники через PPPoE, около 50 правил фаервола, у абонентов

Тем не менее с поставленной задачей справится без проблем.  Дальше там цены вообще в космос уходят для таких сетей...    ага, а 1072 уже убила циску ?

Posted Images

  В 11.04.2018 в 18:48, Kiano сказав:

Уверен, режте запросы из вне на локальный днс и всё

Expand  

Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер.

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:50, xakep7 сказав:

Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер.

Expand  

А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:51, Kiano сказав:

А абонам давать внешний днс? Не есть гуд, каждый запрос на днс - новая запись в нате

Expand  

Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню.

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:50, Valentin.net сказав:

Есть, конечно, подозрение на корявость киевстар. Уж слишком много адресов вываливается на внешнем интерфейсеarp.thumb.jpg.26e6819ddaffa20eff26d67dd37d6b3c.jpg

Expand  

А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:53, xakep7 сказав:

Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню.

Expand  

Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные

  В 11.04.2018 в 18:54, Valentin.net сказав:

Так, дропнул 53

Expand  

Скрин в студию

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:55, Kiano сказав:

Влияет, для него всё есть remote, только если железка сама юзает днс, то локальные

Expand  

Да, так и есть. Раньше работало так, сейчас уже поменяли видимо.

Тогда верно, только лочить внешние запросы через фаер на порт.

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 19:00, Valentin.net сказав:

вроде того?

53.png

или протокол udp?

Expand  

В основном udp, ну а вообще оба.

https://www.securitylab.ru/blog/personal/aodugin/296669.php

Відредаговано xakep7
Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 19:03, Valentin.net сказав:

Эмм. Туплю. Еще одно правило сделать для второго протокола?

Expand  

По идее да.

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 19:00, Valentin.net сказав:

вроде того?

53.png

или протокол udp?

Expand  

Только удп

И форвард тоже сделайте

  В 11.04.2018 в 18:59, xakep7 сказав:

Да, так и есть. Раньше работало так, сейчас уже поменяли видимо.

Тогда верно, только лочить внешние запросы через фаер на порт.

Expand  

На микротике с версии 3.х

Никогда так не было)) он не знает где внешний, а где внутренний

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 19:08, Kiano сказав:

На микротике с версии 3.х

Никогда так не было)) он не знает где внешний, а где внутренний

Expand  

На 6-ой ветке работало. Но видимо из-за DHCP/PPPoE

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 18:54, Kiano сказав:

А это натупили с трансляцией арпа, но не при чем в вашем случае. Забейте в арп запись для вашего шлюза, а на wan интерфейсе для арпа сделайте reply only

Expand  


Это не затупили, а proxy-arp у провайдера
на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза

Ссылка на сообщение
Поделиться на других сайтах
  В 11.04.2018 в 19:50, mixtery сказав:


Это не затупили, а proxy-arp у провайдера
на микроте роутить дефолт надо не в интерфейс а в айпишник шлюза

Expand  

ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет?

Ссылка на сообщение
Поделиться на других сайтах
  В 12.04.2018 в 04:14, Kiano сказав:

ээм... я до этого и не додумался бы. Если в интерфейс, то оно работать в итоге хотя бы будет?

Expand  


 

33.png

22.png

Ссылка на сообщение
Поделиться на других сайтах
  В 12.04.2018 в 05:39, Kiano сказав:

Да я понял. Просто первый случай совсем не логичный

Expand  


Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? :) в айпишник или интерфейс?

А там именно киевстаровский броадкаст на внешники, недоглядел. 

Собственно, киевстар, внешники. ЧЯДНТ?

44.png

Відредаговано mixtery
UPD
Ссылка на сообщение
Поделиться на других сайтах
  В 12.04.2018 в 05:40, mixtery сказав:


Логичный, не логичный, а когда к вам на микрот прилетает dhcp, куда дефолт роутится? :) в айпишник или интерфейс?

А там именно киевстаровский броадкаст на внешники, недоглядел. 

Собственно, киевстар, внешники. ЧЯДНТ?

44.png

Expand  

 

image.png.c41b6647f36f76275bbceffdff3223d1.pngimage.png.ed8f68757e965153345e5a8643a61286.png

 

не понимаю, как это у вас получилось

Ссылка на сообщение
Поделиться на других сайтах
  В 12.04.2018 в 07:00, Dimkers сказав:

-

Expand  

а я успел увидеть)

я не пойму, в каких сценариях роутит в интерфейс? никогда с таким не сталкивался

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.


×
×
  • Створити нове...