https://routerboard.com/CCR1016-12S-1Splus

а сорян, у меня SFP не +

https://routerboard.com/CCR1016-12S-1Splus

SFP+ ports 1 - один порт на 10 гигов

Всем привет, классическая ситуауия на картинке. Исторически сложилось что люди использовали сеть 192.168.0.0/24 а через много лет захотели VPN. По картинке понятно что траффик к серверу 0.57 не пойдет. Я вижу несколько вариантов - поменять сеть со стороны микротика, прописать маршруты на клиенте, насторить proxy-arp на микротике и выдавать VPN пул из 0.0/24. В случае, если бы можно было бы сделать тоннель можно было-бы разрулить netmap. Может быть есть у кого-то еще идеи?

но вот CRS317-1G-16S+RM - няшка

Всем привет, классическая ситуауия на картинке. Исторически сложилось что люди использовали сеть 192.168.0.0/24 а через много лет захотели VPN. По картинке понятно что траффик к серверу 0.57 не пойдет. Я вижу несколько вариантов - поменять сеть со стороны микротика, прописать маршруты на клиенте, насторить proxy-arp на микротике и выдавать VPN пул из 0.0/24. В случае, если бы можно было бы сделать тоннель можно было-бы разрулить netmap. Может быть есть у кого-то еще идеи?

поменять сеть (или там или там). Ничего другого в здравом уме делать не нужно.

Всем привет, классическая ситуауия на картинке. Исторически сложилось что люди использовали сеть 192.168.0.0/24 а через много лет захотели VPN. По картинке понятно что траффик к серверу 0.57 не пойдет. Я вижу несколько вариантов - поменять сеть со стороны микротика, прописать маршруты на клиенте, насторить proxy-arp на микротике и выдавать VPN пул из 0.0/24. В случае, если бы можно было бы сделать тоннель можно было-бы разрулить netmap. Может быть есть у кого-то еще идеи?

Best way – менять адресацию со стороны сервера. Или нетмап. Других вариантов не вижу

Всем привет, классическая ситуауия на картинке. Исторически сложилось что люди использовали сеть 192.168.0.0/24 а через много лет захотели VPN. По картинке понятно что траффик к серверу 0.57 не пойдет. Я вижу несколько вариантов - поменять сеть со стороны микротика, прописать маршруты на клиенте, насторить proxy-arp на микротике и выдавать VPN пул из 0.0/24. В случае, если бы можно было бы сделать тоннель можно было-бы разрулить netmap. Может быть есть у кого-то еще идеи?

dst-nat - если хочется боли и печали либо взять все в руки и поменять адресацию

поменять сеть (или там или там). Ничего другого в здравом уме делать не нужно.

Тут, даже, со стороны микротика, т.к. сетей таких со стороны клиентов навалом

Тут, даже, со стороны микротика, т.к. сетей таких со стороны клиентов навалом

вам там виднее с какой стороны что менять. Мне от сюда не видно.

dst-nat - если хочется боли и печали либо взять все в руки и поменять адресацию

Т.е. натить через 106.254 - правильно понимаю?

Так понимаю в микротике нет подержки VPN cс split-tunneling?

Т.е. натить через 106.254 - правильно понимаю?

ребят, ДНАТ же не сработает, так как адрес отправителя будет в той же сети, пакет не вернётся отправителю

Т.е. натить через 106.254 - правильно понимаю?

только ДВА ната, и добро пожаловать в мир непрозрачной маршрутизации, где непонятно что и как ходит =)

Т.е. натить через 106.254 - правильно понимаю?

да, перекрестный нат сделать типа на сайт 1 - написать правило, если приходит запрос в 192.168.100.0/24 - пихай в тоннель до сайта2 на сайте 2 - если пришел из тоннеля и дст 192.168.100.0/24 тогда дст-нат в локальный адреса

и вторая сторона так же

соответственно на сайте 1 чтобы обратится к сайту2 - пишите заведомо изменные адреса из прописанной сети на сайте2

Желание всё решить при помощи подмены адресации - понятное и простое. Но лучше себе сразу в ногу выстрелить =)) делайте нормально, сами же спать спокойнее по выходным будете

Желание всё решить при помощи подмены адресации - понятное и простое. Но лучше себе сразу в ногу выстрелить =)) делайте нормально, сами же спать спокойнее по выходным будете

перекрестный нат - хорошее, денежное решение на оутсорце ) оч богатое на добычу ресурсов. всегда найдется какую проблему бы порешать

перекрестный нат - хорошее, денежное решение на оутсорце ) оч богатое на добычу ресурсов. всегда найдется какую проблему бы порешать

вот такой подход понимаю =) не одобряю, но понимаю))) я за долгосрочные отношения на абонентсокой плате, а не за почасовые =)

Я правильно понял что нужно сделать что то вроде этого

Я правильно понял что нужно сделать что то вроде этого

точно

Дело в том что в моем случае, нет возможности так сделать, т.к. VPN клиенты где угодно могут находиться

Отель, дом и т.д.,

куда мне до вас. бьюсь с торрентами на последней прошивке :-(

куда мне до вас. бьюсь с торрентами на последней прошивке :-(

chain=forward protocol=udp action=drop ,не? =)

не

один хрен висят в соединениях

хочу чистоту в коннекшнс

один хрен висят в соединениях

ну висят - не значит могут работать =)

хочу чистоту в коннекшнс

перфекционизм это не про сетевые технологии =)

chain=forward protocol=udp action=drop ,не? =)

Сурово, можно блочить через L7 хоть закачки торрентов

Дело в том что в моем случае, нет возможности так сделать, т.к. VPN клиенты где угодно могут находиться

если у тебя будут роад вариары .. то тут только менять адресацию в офисе

Сурово, можно блочить через L7 хоть закачки торрентов

знаю что сурово. зато дёшево по процу

l7 ресурсы жрет

l7 ресурсы жрет

+1

и регспы обновлять периодически требуется

причем жрет ощутимо...

пытался вычленить адресам пиров/сидов, занести их сначала в лист UDP, ибо когда торрентокачалка видит что UDP режут - начинает переключаться на TCP, затем эти же адреса в TCP и затем в мангл и queue (кто бл... придумал это слово) и уже дальше в кьюе резать скорость

либо дропать эти адреса

но нихрена - висят tcp соединения

а нафиг так сложно? Для начала зачем ты это делешь? Ты пров? У тебя оборудование не выдерживает? или ты корп и тебе надо чтобы не качали порн?

а до 6.39.х все рубилось без проблем

да контора небольшая

порядок навожу вот

а нафиг так сложно? Для начала зачем ты это делешь? Ты пров? У тебя оборудование не выдерживает? или ты корп и тебе надо чтобы не качали порн?

потому что оказывается торренты зарубить намертво это не так то и просто

потому что оказывается торренты зарубить намертво это не так то и просто

ну как бы да, но не то что бы это прям нужно. Если люди качают торренты это само по себе ничего не значит

ну как бы да, но не то что бы это прям нужно. Если люди качают торренты это само по себе ничего не значит

у нас на севере не такие уж и жирные и дешевые каналы. порядка 2000 за мегабит для юрика

вангую в районе 2-4 ГБ на самых щадащих настройках в пике

вот кстати было бы полезно для свитчей стандартные профили тестирования еще применять

у нас на севере не такие уж и жирные и дешевые каналы. порядка 2000 за мегабит для юрика

закрой торренты политиками запуска приложений. Запусти прокси. Выпусти рапоряжение на предприятии. Просканируй экзешники - накажи разово виновных

а, на некоторых причем они есть

https://routerboard.com/CRS326-24G-2SplusRM

вот тут например - явно рутер со свитчем 1г линком связан.

наверняка там такая же схема, вряд ли больше 1г выдаст

закрой торренты политиками запуска приложений. Запусти прокси. Выпусти рапоряжение на предприятии. Просканируй экзешники - накажи разово виновных

А на микротики логи можно собрирать тех кто пользуется и сдавать их начальству

вот тут например - явно рутер со свитчем 1г линком связан.

это если через bridge делать. а на уровне свич группы все ок будет

наверняка там такая же схема, вряд ли больше 1г выдаст

Думаю, что в 317м побыстрее перемычка свитч-цпу, хотя-бы 2,5-5 гбит. Ждём блок-диаграмму

А на микротики логи можно собрирать тех кто пользуется и сдавать их начальству

ну типо да, не всё в нашем мире решается и нужно решать техническими средствами. И не от всех запретов в нашем мире повышается производительность труда

ну типо да, не всё в нашем мире решается и нужно решать техническими средствами. И не от всех запретов в нашем мире повышается производительность труда

Была ситуация когда организации от провайдера абьюз за торренты прилетел, быстро все зашевелились

это если через bridge делать. а на уровне свич группы все ок будет

тут как раз-таки l3 производительность обсуждалась.

Была ситуация когда организации от провайдера абьюз за торренты прилетел, быстро все зашевелились

вот это очень странно. Это уже очень ситуативное, не массовое решение.

тут как раз-таки l3 производительность обсуждалась.

L3 на свиче О_О ?

энивей, я не могу придумать ниодного кейса использования CRS :)

L3 на свиче О_О ?

формально свич чип у тика умеет работать вплодь до l3. Но без роутинга само собой

вот это очень странно. Это уже очень ситуативное, не массовое решение.

Я такое видел только один раз. От Билайна "Уважаемый клиент, добрый день! Поступила жалоба на раздачу с ваших IP адресов файла The.Last.Ship.(s01).bbk Данные действия противоречат закону об авторском праве. Просьба в кратчайшие сроки решить данную проблему во избежание возбуждения судебного разбирательства по данному поводу. "

Я такое видел только один раз. От Билайна "Уважаемый клиент, добрый день! Поступила жалоба на раздачу с ваших IP адресов файла The.Last.Ship.(s01).bbk Данные действия противоречат закону об авторском праве. Просьба в кратчайшие сроки решить данную проблему во избежание возбуждения судебного разбирательства по данному поводу. "

либо байка, либо что. Моё решение выше - про административные меры - легко такое бы зарешало - через разовые пздюли тем кто раздаёт что-то не корректное. Ну и просто все люди у всех есть мозг - всем таким можно обьяснить чем грозит такое поведение, если мозга нет - то и в организации он не нужен (или прав на запуск левых exe быть не должно)

ERROR: S client not available

либо байка, либо что. Моё решение выше - про административные меры - легко такое бы зарешало - через разовые пздюли тем кто раздаёт что-то не корректное. Ну и просто все люди у всех есть мозг - всем таким можно обьяснить чем грозит такое поведение, если мозга нет - то и в организации он не нужен (или прав на запуск левых exe быть не должно)

Вполне реально, могу пруфы скинуть. По теме административных мер полностью согласен.

Вполне реально, могу пруфы скинуть. По теме административных мер полностью согласен.

ну если так - билайн конечно перегибает. Хотя я в наше время ничему не удивлюсь. Но с людьми в компании работать нужно. Торренты это задача не l7 =)

формально свич чип у тика умеет работать вплодь до l3. Но без роутинга само собой

До л4. Порты/протоколы, перебивка dscp на лету

До л4. Порты/протоколы, перебивка dscp на лету

точно

До л4. Порты/протоколы, перебивка dscp на лету

LACP не умеет?

LACP не умеет?

да

Нет, аппаратно только LAG

New features such as hardware-based Spanning Tree Protocol and Link Aggregation (LACP) provide enhanced protection and true professional performance for your demanding network.

https://routerboard.com/crs317_1g_16s_rm

Тогда не знаю, надо смотреть

LAG CRS317-1G-16S+ supports 802.3ad (LACP) compatible link aggregation as well as static link aggregation to ensure failover and load balancing based on Layer2 and Layer3 hashing. Up to 16 link aggregation groups with up to 8 ports per a group are supported.

https://wiki.mikrotik.com/wiki/SwOS/CRS317

Значит, умеет. Прикольно!

это для 3-его поколения релевантно 326 317, более простые железки (2-ки и 1-ки) не умеют

Друзья! Если вы или ваши знакомые находятся в Иваново – то мы скоро приедем к вам с тренингом MTCNA. И чтобы вам было интереснее – мы подготовили промокод со скидкой: MTVAN1 даёт вам право участия в тренинге на 10% дешевле. Регистрируйтесь и приходите, мы вас ждём! Всегда ваши, команда mikrotik-courses.ru!

А если сертификат нафик не нужен, то какая скидка будет?

А если сертификат нафик не нужен, то какая скидка будет?

то только невеста в подарок

Нафиг административные меры. Я сам эту задачу себе поставил, и таким образом саморазвиваюсь и вощможности мти рос изучаю ?

Задача - полностью контролировать всю сеть и не одну

Не помню точно когда, но на днях кто-то мне говорил про ацтойные хуавеи

Это на чем так же

Это самый дешманский девайс от ртк

Пон-розетка

Это конечно не скорость Инета.. но канальную ёмкость видно хорошо

Мурманск-Питер

Мурманск-Питер

а трафик по россии идет или через финляндию?

По России. У нас одна ЖД одна дорога и одна оптика. По линеечке рядом идут

В любом месте рвешь и мы без всех коммуникаций сразу )

удобно

Не помню точно когда, но на днях кто-то мне говорил про ацтойные хуавеи

там было в контексте транного подключение ртк, когда две коробки соединили последовательно

Мурманск-Питер

а как ты туда вклинился?

Я в Мурманске )