Mr.Green
Подскажите пожалуйста
Mr.Green
Mr.Green
Куда уходит такой трафик
Mr.Green
Отдача началась куда то
Maxim
Mr.Green
Алексей
а дейстинейшен известный айпишник? то есть не ваш белый?
Mr.Green
Не мой белый
Mr.Green
Какой то левый
Mr.Green
И они меняются переодически
Алексей
может 53 порт попробовать закрыть снаружи :)
Алексей
кто-то вас дэнэесит может :)
Mr.Green
А как это сделать?
Алексей
dst у вас одинаковый просто во всех соединениях :)
Алексей
а как объяснить обмен левыми трафиком между незнакомывми айпишниками через твой роутер :)
Алексей
А как это сделать?
add action=drop chain=input dst-address=твой-айпишник-внешний dst-port=53 protocol=udp
Mr.Green
Спасибо
Mr.Green
Сейчас попробую
Алексей
Сейчас попробую
просто когда у меня похожие проблемы начались я закрыл этот порт снаружи и все прошло, а так здесь есть более опытные ребята, может чего скажут :)
Mr.Green
все сделал
Mr.Green
помагло
Mr.Green
Спасибо!
Евгений
add action=drop chain=input dst-address=твой-айпишник-внешний dst-port=53 protocol=udp
Лучше (дешевле для МТ) закинуть в RAW
add action=drop chain=prerouting dst-address=1.2.3.4 dst-port=53 protocol=udp
Или вообще запретить микротику отвечать на запросы DNS, передавать их (DNS-ы) через dhcp
Алексей
а как в локалке тогда быть с интернетами?
Алексей
гугл днс раскидывать через dhcp?
Алексей
Лучше (дешевле для МТ) закинуть в RAW
add action=drop chain=prerouting dst-address=1.2.3.4 dst-port=53 protocol=udp
Или вообще запретить микротику отвечать на запросы DNS, передавать их (DNS-ы) через dhcp
надо попробовать в раве будет... если дешевше-то :) только порт ты не написал...
Евгений
надо попробовать в раве будет... если дешевше-то :) только порт ты не написал...
add action=drop chain=prerouting dst-address=1.2.3.4 dst-port=53 protocol=udp
Не копировал просто))
Евгений
гугл днс раскидывать через dhcp?
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=\
217.25.208.59,217.25.209.2,8.8.8.8 gateway=192.168.88.1 netmask=24
Алексей
/ip dhcp-server network
add address=192.168.88.0/24 dns-server=\
217.25.208.59,217.25.209.2,8.8.8.8 gateway=192.168.88.1 netmask=24
а если ты захочешь проделывать трюки с днс?...
digdream
а кто нибудь пробовал hap ac lite для домашнего использования, если провайдер раздает инет по l2tp - на сколько ему хватит процессора? при условии что в файрволе особо нет правил кроме основных запрещающих трафик извне и разрешающих наружу?
пробовал 951й - он конечно вроде до 100 мбит торренты тянет (ну разве что чуть чуть не дотягивает), но процессор при этом в 100% находится, правда пробовал с год назад последний раз и вернул вместо него Asus RT-N16 - он без проблем тянет 100 мбит, но вайфай раздает не более 3мбайт/сек, когда в том же месте 951й отдавал до 7мбайт/сек.
digdream
на момент теста насколько я помню была чистая конфигурация без FT
digdream
ну там простейшие правила типа дропать udp/53, разрешить established/related и защита от брута ssh/telnet
Евгений
Евгений
Евгений
Вот к стати hap lite ac
Евгений
Без фаервола
digdream
а там вроде свитч 100мбитный - откуда 100+?
Евгений
а там вроде свитч 100мбитный - откуда 100+?
два порта в бонд собраны. Это к стати скорость с телефона.
Евгений
пров огонь) это в каком городе так интернеты отдают???
http://www.speedtest.net/my-result/5829240803
Maxim
не ребят, так не честно :) вы ж наверняка провайдеры и сидите прям в канале без шейпера, с преферансом и куртизантками ;)
Евгений
Maxim
... и мы так когда то делали
Maxim
но позволить себе могли не больше 50мбит, когда у клиентов было 1-5 мбит
digdream
а можно ли в бонд неравнозначные каналы сложить с профитом?
Есть 2 провайдера - 30мбит+100мбит
пробовал EOIP в бонд, но при всех раскладах получается что скорость=не более 2*скорость узкого
Евгений
а можно ли в бонд неравнозначные каналы сложить с профитом?
Есть 2 провайдера - 30мбит+100мбит
пробовал EOIP в бонд, но при всех раскладах получается что скорость=не более 2*скорость узкого
ээ можно ведь замаршрутить через запятую, к примеру 1.2.3.4, 1.2.3.4, 5.6.7.8
Евгений
Дефолт
digdream
можно, но это будет если много соединений. А мне бы как то попытаться мигрировать побыстрее несколько сотен гигабайт виртуалок из одного ДЦ в другой удаленный
Maxim
Вопрос ещё в типе бонда может быть
digdream
все перепробовал ) в результате лучше всего когда только один канал на 100 оставляю в живых получалось
Maxim
В этой презенташке есть сравнения разных типов бондинга https://youtu.be/IR01T8KOpak?t=18m55s
digdream
спасибо! посмотрю!
Evgeny
Привет, товарищи.
Кто-то пробовал подключаться с МТ в режиме station к WPA2 Enterprise сети с RADIUS сервером на винде?
На радиусе прописал EAP MSCHAP v2, но все равно без результата
Evgenii
затыка была в том что я пытался использовать адреса для входящих впн подключений из внутренней сетки. сделал адреса из подсети этого мостика между роутерами все поехало.
Когда используете адреса из внутренней сети ответы уходят в свитч, так как ваши компьютеры думают, что запрос прислал кто то из их link-local сети.
Evgenii
Либо используйте адресный пул иной, либо включите proxy-arp на локальном bridge
Evgenii
Во втором случае bridge будет проксировать Arp запросы и на вопрос Whois 1.1.1.1 получат МАК адрес самого бриджа всегда
Kirill
Во втором случае bridge будет проксировать Arp запросы и на вопрос Whois 1.1.1.1 получат МАК адрес самого бриджа всегда
нет немного не так, если адрес 1.1.1.1 не известен или он не лежит в коннект марушрте микротик не ответить arp-ом
Evgenii
Евгений
а можно ли в бонд неравнозначные каналы сложить с профитом?
Есть 2 провайдера - 30мбит+100мбит
пробовал EOIP в бонд, но при всех раскладах получается что скорость=не более 2*скорость узкого
https://habrahabr.ru/post/244385/
Там в самом конце, твой случай.
Kirill
https://habrahabr.ru/post/244385/
Там в самом конце, твой случай.
только это не бондинг а ECMP
Kirill
Вопрос стоит в объединении каналов, разных по скорости.
что вы подрузомиваете под объединением?
Kirill
для чего?
Kirill
ну хорошо допустим у вас два канала 30 и 10mbps
Kirill
что вы в итоге хотите получить?
Kirill
Link Agregation настраивается с обоих сторон - если вы хотите агрегирвоать каналы в интернет то технология не для вас
Maxim
Можно попробовать что-то типа rount-robin на два провайдера, часть соединений через одного пойдут часть через другого
Kirill
либо ECMP (но проблема с НАТ будет так как раз в некторое время перечитываетсья таблица хешей и новый коннект может уйти с другово провайдера соответственно с другим ip)
Kirill
ближе NTH или PCC
Kirill
но всё ровно реальзная суммирование не произойдёт, если конект пойдёт через медленный канал он не коглда не получит больге чем его пропускная способность
Kirill
другое дело это если вы через эти каналы будете объеденять микротики тогда есть варинт суммиризации