Nikolai
23.09.2017
15:47:25
Обычно, графическое изображение, даже нарисованное псевдографикой, называется картинкой.
Phillip
23.09.2017
15:50:31
да ладно
не png - не картинка :)
а вообще есть одна картинка и это
Vespertilio
23.09.2017
15:51:18
ну тут ему сразу станет понятно что куда =)
Google
Vespertilio
23.09.2017
15:51:31
кстати дето видел наркоманскую схему путешествия трафика внутри Тика
там блоксхемами типо как тут было, но вообще адово
Phillip
23.09.2017
15:55:08
нашел ссылку на вики
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
Vespertilio
23.09.2017
15:59:14
ну тут уже как-то понятнее и разбито на разные диаграммы, а там все на одной было, большая сложная схема. Там показывалось как через iptables гуляет mangle вот это все. Но она мне как-то помогла прояснить некоторые моменты над которыми я голову ломал тогда.
Phillip
23.09.2017
16:01:58
сомое главное это то что человек хочет понять и может это сделать
Artem
23.09.2017
16:03:33
Nikolai
23.09.2017
16:04:06
Хорошая картинка. Она лишь чуть-чуть подустарела, но не принцпиально - в RouterOS добавилась таблица raw.
В большинстве случаев и этой более чем достаточно.
Phillip
23.09.2017
16:05:22
Ну понимание raw это следующий уровень
Nikolai
23.09.2017
16:06:01
"Packet flow v6" показывает лишь особенности и отличия v6.
Есть еще и общий "Packet flow"
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Dmitry
23.09.2017
16:23:53
таблицы, цепочки, порядок прохождения, критерии, признаки, действия... вот это всё
Google
Max
23.09.2017
16:27:33
Dmitry
23.09.2017
16:28:09
в микротике только вроде бы нет возможности создать свои цепочки
но не уверен. не пользовался этим ни разу.
Max
23.09.2017
16:29:02
Dmitry
23.09.2017
16:29:19
да, только что проверил, работает. )
Alseg
23.09.2017
16:30:51
Dmitry
23.09.2017
16:31:43
экономия процессорного времени путём разветвления алгоритма проверки пакетов при большом количестве правил.
Alseg
23.09.2017
16:32:31
а о каких цифрах идёт речь, ну может был конкретный кейс какой то?
Dmitry
23.09.2017
16:33:32
хз как происходит на микротиковском процессоре, но на обычных компах есть смысл ветвить, когда количество правил начинает измеряться сотнями в stateful-конфиге и десятками в stateless
Кирилл
23.09.2017
16:34:01
Dmitry
23.09.2017
16:38:19
а о каких цифрах идёт речь, ну может был конкретный кейс какой то?
конкретный кейс - ну к примеру, гипотетически, если речь идёт о фронте, который распределяет коннекты клиентов к разным сервисам на бэкендах. Можно прогонять пакеты через правила, в которых будут одновременно проверки на порт и список адресов в ipset, например. Но если сервисов много, то пакеты тех из них, которые в списке идут дальше, будут проходить кучу правил, в каждом из которых система будет проверять одновременно и порт, и принадлежность адресу. Можно серьёзно сэкономить процессорное время, если проверку адреса запихать в отдельный chain и направлять туда пакеты после проверки порта.
таким образом пакеты будут проходить правила с проверками только лишь порта без многочисленных обращений к ipset
и фиг бы с ним, если это stateful конфиг (в разумных пределах), но если у нас stateless, то КАЖДЫЙ пакет будет адово тормозить систему
я обычно обхожусь 30-40 правилами на микротиках, потребности в более сложных конфигах не возникало (тьфу*3), но когда смотрю нагрузку на проц, как-то расстраиваюсь слегка. Наверное это издержки простеньких железок, 951 и 2011 в лучшем случае.)
CHR умеют же с несколькими ядрами работать?
Nikolai
23.09.2017
17:15:46
Таблица NAT не предназначена для фильтрации. Для фильтрации - таблица FILTER (input,forward,output)
Если хочется фильтровать раньше роутинга и трекинга соединений - фильтруем в RAW
Dmitry
23.09.2017
17:20:19
так это понятно. Но это же чисто "идеологическое" ограничение, технически ничего не мешает это сделать. Если в filter использовано правило выше, то какой в нём смысл, если где-то надо фильтровать пакеты?))) Тут уж либо фильтровать в filter, либо перенаправлять избирательно по признакам в nat. Ну либо...
Google
avmik
23.09.2017
18:25:39
Чувачки, всем привет
Интересует проблема с MTU на тике с EOIP без pptp/l2tp/sstp
Почему-то не происходит фрагментация пакетов, которые гоняют в EOIP
Если же накинуть во влане сессию и адресацию на EOIP поставить с этой сессии, то все начинает бегать
Вопрос в том, откуда ноги растут у этой проблемы, сталкиваюсь не в первый раз
Nikolai
24.09.2017
05:16:56
Vespertilio
24.09.2017
10:09:31
Dmitry
24.09.2017
10:10:01
Ну я предположил )
Не знаю на 100%. Но очень уж похоже.
Andrew
24.09.2017
10:10:43
А сколько сертификация у микротика действительна?
Dmitry
24.09.2017
10:11:06
Разве не бессрочно?
Andrew
24.09.2017
10:11:34
Nikolai
24.09.2017
10:14:14
На сертификатах прямо так и написано "три года с момента выдачи"
Логично, т.к. за три года многое изменяется в настройках и параметрах. Если человек не пользуется - тем более забывает за три года окончательно.
Andrew
24.09.2017
10:16:05
Печаль-тоска. А для продления надо курс полностью заного слушать и сдавать, да?
Dmitry
24.09.2017
10:17:07
Nikolai
24.09.2017
10:17:10
Dmitry
24.09.2017
10:17:22
netfilter
Nikolai
24.09.2017
10:18:45
Cisco CCIE вообще всего два года действителен
Google
Nikolai
24.09.2017
10:19:44
https://www.cisco.com/web/RU/learning/le3/learning_about_recertication.html
Dmitry
24.09.2017
10:19:59
Продляется всё конечно же за деньги?)
Nikolai
24.09.2017
10:20:50
У всех вендоров везде экзамен платный
Только у микротика цены дешевле
Andrew
24.09.2017
10:21:18
Если процент от полного курса, то не так страшно
unt0njs
24.09.2017
10:21:40
Здравствуйте к VPN на микротике можно прикрутить 2FA?
Nikolai
24.09.2017
10:23:00
Можно.
Через СМС, например
unt0njs
24.09.2017
10:25:25
Можно ссылку на статью?
Nikolai
24.09.2017
10:26:05
Статья еще не написана. Это был коммерческий проект у меня.
Может в октябре соберусь и напишу
unt0njs
24.09.2017
10:26:34
Ага, спасибо
Nikolai
24.09.2017
10:27:04
А у вас для чего 2fa на vpn?
Обычно людям хватает icmp-port-knocking + vpn
Это почти 2FA, т.к. надо знать "пароль knocking'a" и пароль на vpn
Но через смс, конечно секурнее
unt0njs
24.09.2017
10:31:52
Наткнулся на ASA SSL 2FA и подумал, что это лучше, чем лишние правила для Port Knocking'а, да и с айфона так просто не постучишь.
Nikolai
24.09.2017
11:41:25
https://itunes.apple.com/us/app/portknock/id358353536?mt=8
Aleksander
24.09.2017
11:49:10
Google
Nikolai
24.09.2017
11:49:45
Aleksander
24.09.2017
11:50:07
ПО по ссылке.
http://ker-laeda.livejournal.com/23673.html
Делал когдато по этотому
Nikolai
24.09.2017
11:55:28
Че делает?
unt0njs выше пожалился, что "с айфона так просто не постучишь". Это ему ссылка на софт для простукивания
Aleksander
24.09.2017
11:58:22
B
24.09.2017
12:24:49
Постучать легко можно со всего и всем
У микротика хороший API
Поэтому апач и Php и хоть пароли из. MySQL хоть куки
Хоть get параметры
Как вариант telegram bot
Artem
24.09.2017
12:28:58
Новая прошивка вышла?
41 или какая там
Шкаф собираю, пока без инета