Rb1100ah

хотя если ipsec, я б 1100 поставил

Ну или х2 если много всего надо переваривать

ну мы ж требований не знаем

Быстрее 750 и гигабитные порты

Это никак не 2011

что нибудь похожее на MikroTik RB750GL

2011 быстрее 750 и гиговые порты

У 2011 5 портв FE

офис 100 компов, nat, qos

что нибудь похожее на MikroTik RB750GL

тогда 951G, вайфай бонусом :)

ничего сверх навороченно

Канал то какой в офисе?

50мбит

951го хватит тогда .. 5 гиговых портов и вайфай бонусом…

750 по производительности умер или хочется портов гиговых?

qos какого плана?

хочется гигабитных портов. qos - деревья очередей.

самый дешевый вариант — 951G — 5 гиговых портов. производительность выше 750го

всем большое спасибо! )

У меня всегда и везде 19 дюймовые шкафы. От этого пляшем. Я был счастлив когда появился RB2011 юнитовый. А теперь я счастлив что есть RB3011 юнитовый.

У меня всегда и везде 19 дюймовые шкафы. От этого пляшем. Я был счастлив когда появился RB2011 юнитовый. А теперь я счастлив что есть RB3011 юнитовый.

шкафы не у всех. Сергей спросил форм фактор аля 750.. там явно не 19’’ :)

Для 100 компов без шкафов и патч-панелей, я и не знаю как жить. В принципе пофиг. Микротик не имеет дна :)

как я понял недавно, проще экономить на корпусах серверов, чем на шкафах

на дорогой микрот денег не дадут, гигабитные порты нужны для hairpin nat, дир хочет одинаковый адрес снаружи и внутри локалки )

звучит ниочень конечно ) но как есть

Для 100 компов без шкафов и патч-панелей, я и не знаю как жить. В принципе пофиг. Микротик не имеет дна :)

есть и стойка и патч панели, но микрот лежит на полке )

Ну вот и берите 3011 покажете начальнику как красиво стало :) Года на 3 хватит.

на дорогой микрот денег не дадут, гигабитные порты нужны для hairpin nat, дир хочет одинаковый адрес снаружи и внутри локалки )

Лучше по днсу сделай

Снаружи - днс внешний, регистратора

Внутри - переопределить на КД или на самом микроте

Хинт - можно запретить использование сторонних днс с помощью правила редирект на микроте

Так впрочем некоторые недобросовестные провайдеры делают

внутри локальная зона АД. серверы в домене за натом. снаружи днс имя регистратора. днс имена отличаются соответсвенно. по внутреннней ссылке srv1.domain.local:88 srv2.domain.local:8080 ходить не хочет, хочет по внешней единой с разными портами, company.by:88 company.by:8080

порты соответсвенно проброшены до разных серверов

внутри локальная зона АД. серверы в домене за натом. снаружи днс имя регистратора. днс имена отличаются соответсвенно. по внутреннней ссылке srv1.domain.local:88 srv2.domain.local:8080 ходить не хочет, хочет по внешней единой с разными портами, company.by:88 company.by:8080

И?

подскажите плз каким образоv переопределить имена? в АД можно добавить внешнюю зону company.by, создать А записи для серверов тогда ссылки будут вида srv1.company.by:88 srv2.company.by:8080 которые ведут к локальным ip

Так впрочем некоторые недобросовестные провайдеры делают

Я не добросовестный. Но там предистория

А тебе точно разные порты нужны ?

Ну, заводишь на микротик а запись вида srv1.domain.ru -> некий внутренний айпи

Как то это же можно было на кд делать

Но за давностью лет не помню

Внутренний клиент резолвит и попадает на нужный хост

А тебе точно разные порты нужны ?

веб серверы в локалке на разных портах соответсвенно они и проброшены.

Ну если порты снаружи и внутри разные то и смысла делать нет одно имя...

порты снаружи и внутри одинаковые. снаружи одно имя

т.е. 80ый натится в 80ый. 88ой в 88ой

снаружи одно днс имя и несклько протов соответсвенно количеству серверов

Ок, понял

Криво, конечно

Лучше было бы srv1, srv2 ... Указывающие на внешний айпи

На одном порту

А внутри нгинкс

Который по хостнейм все раскидывает как надо

вы правы, кривовато ) а чем плох вариант с хэир пин нат? за исключеним того чт трафик будет бегать через роутер?

вы правы, кривовато ) а чем плох вариант с хэир пин нат? за исключеним того чт трафик будет бегать через роутер?

Ну, тем, что трафик бегает через роутер )))

Ну, и правил видимо, понадобится по кол ву хостов

Хотя не уверен

вариант с несколькими внешними именами и одним портом + nginx самый правильный. спасибо вам ! )

Йоханга! В в FW->FilterRules - SrcAdress - диапозон вида 10.5.5.150-10.5.5.159 - по идее должен нормально отрабатывапть???

Пробую и как то понимаю, что не особо...

да, должен отрабатывать

если винбокс не ругнулся на ошибку синтаксиса то должно работать

можешь воспользоваться Src Address List

там можно выбрать именованный список, который ты можешь задать на отдельной вкладке lists в файрволле.

я правда не помню, по-моему, он тоже умеет принимать диапазоны

да, тоже

смысл адреслистов , имхо, больше в том что есть случаи когда есть непоследовательные списки адресов, или динамически создаваемые другими правилами(тот же черный список адресов которые следует блокировать, тоесть манглы заносят в список, а фильтр блокирует)

ERROR: S client not available

Угу, от благодарствую ж!

А src-mac листов не видели такого? Бывает? )

лично я не видел

но в фильтрах бриджа есть маска МАС ?

)) Ну листами поколдую тогда, благодарю ж друзья!

Мммм ай лайк тики -все больше и болше (ну там где нет денег ) ) Блочить доступ в сеть оказалось - просто! Раздал статику в класс информатики, в адресс листах - кто они - кем рулить. Далее там же -хосты -куда можно Ну и правилах запрет на все и разрешить только то, что можно! И работает же! )

Проксик вырубил как не нужный элемент!

ну дык ...

Проксик вырубил как не нужный элемент!

именно там, где денег нет они хороши

как бы их не хаяли

а уж нахаляву так воопше

Понятное дело, что не совсем серьезно и обойти можно легко, но для прокурорской проверки самое то!!!

Пол года юзаю парочку тиков - понимая положение, цены, возможности - не то чтоб хаять... Да я счастлив просто )))

Дуде клиент последний у когот пашет под вайном?

дьюд не нужен.

заббикс не нужен

Кастую сюда @ableev

А, егож тут нет

Тогда не кастую, заббикс не нужен

а кто нужен?

Волшебник

кто за капсмана пояснит, как там связь между бриджами реализована

в голубом вертолете?

если больше 1 ssid

и если я хочу внешний свич с вланами - надо в конфигурации свича насоздавать вланы и разнести бриджи или как?

это супергерой, пшущий капсом?

ладно, извините

настроение сегодня странное

и какие есть best practise если там еще voip хотят накрутить, выделить им свич\бридж и пусть крутятся как хотят?

Ты можешь также на контроллере насоздавать профилей и раздавать их с отдельным бриджом. Или тебе так важен локалфорвординг?

Оверхед, но не всё ли равно?