Kiano 616 Опубліковано: 2022-02-11 15:30:25 Share Опубліковано: 2022-02-11 15:30:25 Только что, fastersilent сказал: Это при условии что он лацп нормально скушает. Там де 1гб порты Та там же 10гб порт сфп+ Ссылка на сообщение Поделиться на других сайтах
fastersilent 45 Опубліковано: 2022-02-11 15:32:49 Share Опубліковано: 2022-02-11 15:32:49 1 минуту назад, Kiano сказал: Та там же 10гб порт сфп+ Тю, точно. С другой железякой спутал ? Ссылка на сообщение Поделиться на других сайтах
jora1x 0 Опубліковано: 2022-02-11 15:40:12 Share Опубліковано: 2022-02-11 15:40:12 1 час назад, Ondp сказал: Да что-то мне эти бриджи не нравятся(( Этож будет все упиратся в один процессор или нет?) Кроме пустых окон винбокса есть еще какието проблемы о которых мы не знаем? Упор в один проц не в курсе, но в ядра не будет упираться. Не только пустые окна, трафик не правильно фрагминтируется, mss не работает, соответственно жди трабл с неожиданных сторон, такие как открытие некоторых сайтов. Дубляну с другого форума Может кому пригодится. Разобрались с пустым winbox когда заходишь на ван-порт, дело было как и предполагалось с L2MTU так как он был пуст и предположительно проблема с фрагментацией пакетов. Всякие попытки в мангле с MSS не дали нужного результата. Решили попробовать так: Создали bridge_wan, закинули в него wan интерфейс сетевой x520-da2, сразу к бриджу привязали админ-мак от wan интерфейса. Появилось l2mtu 65535 на бридже, далее накинули vlan на bridge_wan, и у vlan появился m2mtu от бриджа. Всё сразу нормально заработало. Ссылка на сообщение Поделиться на других сайтах
tkapluk 908 Опубліковано: 2022-02-11 17:23:38 Share Опубліковано: 2022-02-11 17:23:38 1 час назад, fastersilent сказал: ахах :)) Хотел бы я на него посмотреть как он 2г трафика вывезет :))) ну цена вопроса для посмотреть копеечная: https://www.olx.ua/d/obyavlenie/mikrotik-rb4011igs-rm-IDNRRUb.html 2 часа назад, fastersilent сказал: Приходит время когда нужно взрослеть минимально взрослое решение: Juniper MX5 Ссылка на сообщение Поделиться на других сайтах
Kiano 616 Опубліковано: 2022-02-11 19:39:00 Share Опубліковано: 2022-02-11 19:39:00 2 часа назад, tkapluk сказал: ну цена вопроса для посмотреть копеечная: https://www.olx.ua/d/obyavlenie/mikrotik-rb4011igs-rm-IDNRRUb.html минимально взрослое решение: Juniper MX5 Ну джун этот - старое железо уже. Ссылка на сообщение Поделиться на других сайтах
Туйон 1 265 Опубліковано: 2022-02-11 19:49:00 Share Опубліковано: 2022-02-11 19:49:00 Сейчас годик ещё и откатают 7 ветку микротика. И проблемы с BGP станут намного дешевле и проще. 2 Ссылка на сообщение Поделиться на других сайтах
tkapluk 908 Опубліковано: 2022-02-11 21:41:00 Share Опубліковано: 2022-02-11 21:41:00 1 час назад, Kiano сказал: Ну джун этот - старое железо уже. Тем не менее с поставленной задачей справится без проблем. Дальше там цены вообще в космос уходят для таких сетей... 1 час назад, Туйон сказал: Сейчас годик ещё и откатают 7 ветку микротика. И проблемы с BGP станут намного дешевле и проще. ага, а 1072 уже убила циску ? 2 Ссылка на сообщение Поделиться на других сайтах
virtus 30 Опубліковано: 2022-02-13 08:36:15 Share Опубліковано: 2022-02-13 08:36:15 В 10.02.2022 в 20:35, Zlobar сказал: Аби для вас не стали несподіванкою ребути CCR2004 Читати стіну плачу, наприклад, тут: https://forum.mikrotik.com/viewtopic.php?t=164578 Мабуть уже решили 1 Ссылка на сообщение Поделиться на других сайтах
DVSGROUP 127 Опубліковано: 2022-02-13 15:11:24 Share Опубліковано: 2022-02-13 15:11:24 Особых проблем с CCR2004 не наблюдал. Быть может ребуты есть, когда ядра забиваются в полку. 1 Ссылка на сообщение Поделиться на других сайтах
prototip 284 Опубліковано: 2022-02-14 07:37:51 Share Опубліковано: 2022-02-14 07:37:51 Да только вот одна незадача, CCR2004 как то микротик пишет only V7 version ROS... А траблы там начинаются по мере загрузки ядер , поэтому скриншот с 6 веткой софта и загрузкой в 0% это ни о чем как для CCR2004. Саппорт тихо жует сопли и никакого внятного ответа по спорадическим перезагрузкам нет, есть мнение о проблемной архитектуре железа CCR2004 в общем, сможет ли в таком случае решить этот вопрос микротайк отдельно ? Сильно сомневаюсь. Ссылка на сообщение Поделиться на других сайтах
virtus 30 Опубліковано: 2022-02-14 09:21:28 Share Опубліковано: 2022-02-14 09:21:28 Кто какие шейпера использует на абонов в микроте, simple queues на каждого абона или mangle через address list ? Ссылка на сообщение Поделиться на других сайтах
olsasha 25 Опубліковано: 2022-02-14 09:37:00 Share Опубліковано: 2022-02-14 09:37:00 Очередя нужно использовать только simple queues по 1 правилу на 1 пользователя. CCR2004 также работает на 6-й версии ROS правда там будет доступна не вся оперативная память. Ссылка на сообщение Поделиться на других сайтах
virtus 30 Опубліковано: 2022-02-14 12:21:52 Share Опубліковано: 2022-02-14 12:21:52 2 часа назад, olsasha сказал: Очередя нужно использовать только simple queues по 1 правилу на 1 пользователя. CCR2004 также работает на 6-й версии ROS правда там будет доступна не вся оперативная память. Почему не mangle через address list ? Чем лучше по 1 правилу на 1 пользователя ? Ссылка на сообщение Поделиться на других сайтах
olsasha 25 Опубліковано: 2022-02-14 12:51:03 Share Опубліковано: 2022-02-14 12:51:03 Потому-что через simple queues будет распределение по ядрам CPU. 3 Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2024-06-26 20:31:11 Share Опубліковано: 2024-06-26 20:31:11 (відредаговано) Приветствую. Дабы не плодить тему спрошу тут, мало ли... Имееться виртуалка с виндой в локальной сети, имеет ип адрес локальной сети. Надо на микротике закрыть ей доступ в инет, но в тот же момент оставить возможность подключения по рдп по нестандартному порту (это правило должно быть отключаемым). То есть доступ через микротик к этому ип закрыт, и от него в инет доступ закрыт. Если надо доступ то захожу на микротик, включаю разрешающее правило на порт и захожу на виртуалку. Но затык случился на прописывании правила запрета доступа в инет. В фаерволе (сори, пишу текстом. а не командой) chain - forward, src.adres - ип сервера, in.interface - lan bridge, out.interface.list - wan, action - drop - и это не работает. Пробовал разные вариации - не помогает. В виртуалке захожу на сайты спокойно. DNS адрес в локалке - микротик. Подозреваю что это связано с правилом NATа к доступу к инету через srcnat, а не маскарад (так же есть hairpin). Но в любом же случае запрос должен проходить через правило фаервола. Другой мысли нет. Может кто подскажет куда копать то? Відредаговано 2024-06-27 05:40:59 H_U_L_K Ссылка на сообщение Поделиться на других сайтах
SavPasha 13 Опубліковано: 2024-06-27 15:40:48 Share Опубліковано: 2024-06-27 15:40:48 (відредаговано) 19 часов назад, H_U_L_K сказав: Приветствую. Дабы не плодить тему спрошу тут, мало ли... Имееться виртуалка с виндой в локальной сети, имеет ип адрес локальной сети. Надо на микротике закрыть ей доступ в инет, но в тот же момент оставить возможность подключения по рдп по нестандартному порту (это правило должно быть отключаемым). То есть доступ через микротик к этому ип закрыт, и от него в инет доступ закрыт. Если надо доступ то захожу на микротик, включаю разрешающее правило на порт и захожу на виртуалку. Но затык случился на прописывании правила запрета доступа в инет. В фаерволе (сори, пишу текстом. а не командой) chain - forward, src.adres - ип сервера, in.interface - lan bridge, out.interface.list - wan, action - drop - и это не работает. Пробовал разные вариации - не помогает. В виртуалке захожу на сайты спокойно. DNS адрес в локалке - микротик. Подозреваю что это связано с правилом NATа к доступу к инету через srcnat, а не маскарад (так же есть hairpin). Но в любом же случае запрос должен проходить через правило фаервола. Другой мысли нет. Может кто подскажет куда копать то? /ip firewall nat; add action=masquerade chain=srcnat dst-address=%SRV-IP% dst-port=%SRV-PORT% protocol=tcp; add action=dst-nat chain=dstnat dst-address=%PUB-IP% dst-port=%PUB-PORT% protocol=tcp to-addresses=%SRV-IP% to-ports=%SRV-PORT%; / Можуть бути нюанси. В даних 2-х правилах запити на сервер мають прийти від імені MikroTik, якщо у вас єдина ІР, яка дивиться в сторону сервера, і немає ніяких фільтрів в сторону сервера. Цих 2 провела мають бути в пріоритеті у верху, щоб вони не пере сікались із іншими правилами. Вмикати і вимикати потрібно цих 2 правила. Якщо шлюзом серверу є цей-ж MikroTik то 1-ше правило може мати інший вигляд, якщо на сервері необхідно бачити ІР-адресу, з якої заходять на СЕРВЕР. Також враховуйте, якщо з'єднання буде встановлене то при деактивації цих правил з'єднання не буде розірване поки не відсудиться перепід'єднання (останнє твердження не точне і потребує перевірки) Якщо все ж таки хочете керувати одним правилом доступ до сервера то потрібно ще добавити в таблицю ФІЛЬТР наступне правило (теж у сам верх) /ip firewall filter; add action=drop chain=forward dst-address=%SRV-IP% dst-port=%SRV-PORT% protocol=tcp; / І достатньо буде вмикати/вимикати це правило заборони. Відредаговано 2024-06-27 16:21:13 SavPasha Ссылка на сообщение Поделиться на других сайтах
H_U_L_K 281 Опубліковано: 2024-06-27 20:04:28 Share Опубліковано: 2024-06-27 20:04:28 Всё оказалось проще. Сделал правило в NAT. Поставил его перед правилом srcnat для доступа к интернету из локальной сети. chain - srcnat, src.adress - ИП сервера, out interface - порт с доступом в интернет, action - accept. Итого - пинг проходит в локальной сети и на микротик, и всё. Что собственно и требовалось. Единственный нюанс что правило не в фаерволе, а в НАТе. Странно что в фаерволе ничего не заработало. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас