Извиняюсь за плохую тему, но если вдруг кто то захочет Антона в группе free_bsd оскорбить, или Антон кого то оскорбит тут, маякните мне. Проверить кое что надо :)

Сделаю скриншотик

Антон, съезжаешь с темы. Я тебя во freebsd_ru как-то крыл? И почемы ты ту группу вспомнил? Единственная, где есть я, а у тебя права?

У нас всего 2 общих, так что неудивительно. Ну да - типа того, превентивно, ткскзть. Я смотрю, это считается нормальным, судя по описанной мною выше ситуации.

Речь об эксперименте, настаивать на котором я конечно не буду

Так говорю же - без проблем, могу и оскорбить, мне не жалко. Если для дела это действительно нужно - готов помочь.

Коллеги, есть у кого опыт сравнения RB750Gr3 vs RB850Gx2? В чем преимущества/недостатки каждой из моделей? Задача обслуживать около 30 ipsec туннелей, capsman на 3 капа и 20 девайсов, 5 сегментов /24, 40-60 firewall правил, 15-20 mangle правил, dual wan (100+100мбит) с балансировкой PCC, и около 14 simple queues. В наличии оба девайса. Стоит выбор между двумя. Рассматривается вариант комбинированного применения. RB1100x4 не предлагать). p.s. 850gx2 ревизия с аппаратным ipsec

Вроде 850, говорят, пободрее будет. У меня не было, не проверял.

Имхо, хекс должен спокойно справиться с вышеописанной задачей

Ну дык 850 на РРС, по идее архитектура побыстрее. У 850 есть кжись глюк с скоростями в бридже. Ну и собсно 850 стоит в полтора раза больше. если не в два. Тоесть он каг-бе самим микротиком позиционируется сильно повыше хекса. А так как устройства одной ниши то разницу в цене не спишешь на более широкий функционал

Холмс, но зачем это вам понадобилось?

это теоретическая задача Ватсон :)

Сисоп, ты просто сергеича еще не знаешь. Он постоянно за наш щет решает задачки на своих екзаменах ?

это теоретическая задача Ватсон :)

Холмс, я обожаю ваши теоретические задачи. После них, как правило, меняются вещи в государственных масштабах.

Кстати, получилось ли? Мне тоже интересно узнать, кто из наших клиентов пингует гугл.

Холмс, я обожаю ваши теоретические задачи. После них, как правило, меняются вещи в государственных масштабах.

Это не может не радовать, главное понимать где кончается теория и начинается реальная жизнь :)

Только не занимайтесь прозрачными прокси, Холмс, прошу вас!

Кстати, получилось ли? Мне тоже интересно узнать, кто из наших клиентов пингует гугл.

гугл был выбран просто первым что пришло на ум, меня на тот мометн дернули, вот щас приехал домой не так давно сел опять лабить :)

Только не занимайтесь прозрачными прокси, Холмс, прошу вас!

занимайтесь сумрачным

Сисоп, ты просто сергеича еще не знаешь. Он постоянно за наш щет решает задачки на своих екзаменах ?

нет у меня никаких экзаменов :) ну-ка хватит меня оговаривать Серёжа :)

Я с самого начала подумал, что задача как раз практическая. Вот я как сотрудник провайдера могу таким простым способом вычислить продвинутых пользователей.

Я с самого начала подумал, что задача как раз практическая. Вот я как сотрудник провайдера могу таким простым способом вычислить продвинутых пользователей.

я просто раскуриваю в данный момент мангл, ну вот и делаю подобного рода дичь, сам себе придумываю, потому что то что по курсу шло уже кончилось а я ещё не совсем до конца вник в лучшие практики :)

а что мангл раскуривать. смотришь список екшинов и всё Сам по себе мангл это - МЕТКИ ТРАФИКА. Для чего? а вот столкношся с задачками то й помешь для чего в реале может понадобиться.

а что мангл раскуривать. смотришь список екшинов и всё Сам по себе мангл это - МЕТКИ ТРАФИКА. Для чего? а вот столкношся с задачками то й помешь для чего в реале может понадобиться.

ну вот жеж всякая собака бывает зарыта в мелочах

а что мангл раскуривать. смотришь список екшинов и всё Сам по себе мангл это - МЕТКИ ТРАФИКА. Для чего? а вот столкношся с задачками то й помешь для чего в реале может понадобиться.

мне уже надо, правда мне надо в купе с маршрутизацией, разделить часть тачек в один ван часть в другой

но не спешу пока

а так мангл это метки всего изменение MSS, DSCP, TTL изменение роутинга

черный пояс по мангалу

можно в резюме потом написать

манглаом по поясу ?

можно в резюме потом написать

мне просто самому интересно, вот просто хочу знать, думаю как и многие здесь :)

Имхо, хекс должен спокойно справиться с вышеописанной задачей

Хекс вжарит на 200мбит ipsec и сожрет больше половины проца, на остальные задачи сил хватит?

Хватит

Никита, а почему стоит выбор? если есть на руках две коробки то почему просто не оставить теоретически более мощную

Никита, а почему стоит выбор? если есть на руках две коробки то почему просто не оставить теоретически более мощную

А какая из них более мощная-то?

ну а ты как думаешь если хекс стоит 60 баксов, а 850 - 120?

850 ipsec больше 180мбит не тянет

вроде разница в быстродействии по сайту микротика тоже не малая 90 и 120 kpps

850 ipsec больше 180мбит не тянет

ясно. буду знать Получается голого роутинга у 850 побольше будет, но есть затык с айписеком.

Вот и хз кто из них в реале мощнее: архитектурно 850 лучше, но mediatek в вакууме до 450 тащит

Никит, так может есть CCR под рукой. подключить к нему по айписеку и протестировать на форварде

Вот и думаю 750 отдать под ipsec, все остальное на 850

Ребят, хелпаните, настраиваю ovpn, в качестве сервера mikrotik, клиент винда, запускаю на винде клиент, но на интерфейс микрота даже пакеты не прилетают Config mikrota /certificate add name=template-CA country="" state="" locality="" organization="" unit="" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign /certificate sign template-CA ca-crl-host=127.0.0.1 name="CA" /certificate add name=template-SRV country="" state="" locality="" organization="" unit="" common-name="srv-OVPN" key-size=4096 days-valid=1095 key-usage=digital-signature,key-encipherment,tls-server /certificate sign template-SRV ca="CA" name="srv-OVPN" /certificate add name=template-CL country="" state="" locality="" organization="" unit="" common-name="client-ovpn-template" key-size=4096 days-valid=365 key-usage=tls-client /certificate add name=template-CL-to-issue copy-from="template-CL" common-name="client-ovpn" /certificate sign template-CL-to-issue ca="CA" name="client-ovpn" /ip pool add name=OVPN_srv_pool ranges=176.16.0.2-176.16.0.254 /interface bridge add name=OVPN_bridge arp=enabled /ppp profile add name=OVPN_server local-address=176.16.0.1 remote-address=OVPN_srv_pool bridge=OVPN_bridge /ppp aaa set accounting=yes /ppp secret add name=111 password=222 service=ovpn profile=OVPN_server /interface ovpn-server server set auth=sha1 cipher=blowfish128 default-profile=OVPN_server mode=ethernet netmask=24 require-client-certificate=yes certificate=srv-OVPN enabled=yes /certificate export-certificate CA export-passphrase="" /certificate export-certificate client-ovpn export-passphrase=333 OVPN client cfg client dev tap tcp-client remote 111.111.111.111 port 1194 resolv-retry infinite nobind persist-key persist-tun ca cert_export_CA.crt cert cert_export_client-ovpn.crt key cert_export_client-ovpn.key —auth-user-pass user-pwd.txt remote-cert-tls server verb 100 mute 8 route 192.168.1.0 255.255.255.0 176.16.0.1 route-delay 2

Вот я их оба и тестил на 1009

Ребят, хелпаните, настраиваю ovpn, в качестве сервера mikrotik, клиент винда, запускаю на винде клиент, но на интерфейс микрота даже пакеты не прилетают Config mikrota /certificate add name=template-CA country="" state="" locality="" organization="" unit="" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign /certificate sign template-CA ca-crl-host=127.0.0.1 name="CA" /certificate add name=template-SRV country="" state="" locality="" organization="" unit="" common-name="srv-OVPN" key-size=4096 days-valid=1095 key-usage=digital-signature,key-encipherment,tls-server /certificate sign template-SRV ca="CA" name="srv-OVPN" /certificate add name=template-CL country="" state="" locality="" organization="" unit="" common-name="client-ovpn-template" key-size=4096 days-valid=365 key-usage=tls-client /certificate add name=template-CL-to-issue copy-from="template-CL" common-name="client-ovpn" /certificate sign template-CL-to-issue ca="CA" name="client-ovpn" /ip pool add name=OVPN_srv_pool ranges=176.16.0.2-176.16.0.254 /interface bridge add name=OVPN_bridge arp=enabled /ppp profile add name=OVPN_server local-address=176.16.0.1 remote-address=OVPN_srv_pool bridge=OVPN_bridge /ppp aaa set accounting=yes /ppp secret add name=111 password=222 service=ovpn profile=OVPN_server /interface ovpn-server server set auth=sha1 cipher=blowfish128 default-profile=OVPN_server mode=ethernet netmask=24 require-client-certificate=yes certificate=srv-OVPN enabled=yes /certificate export-certificate CA export-passphrase="" /certificate export-certificate client-ovpn export-passphrase=333 OVPN client cfg client dev tap tcp-client remote 111.111.111.111 port 1194 resolv-retry infinite nobind persist-key persist-tun ca cert_export_CA.crt cert cert_export_client-ovpn.crt key cert_export_client-ovpn.key —auth-user-pass user-pwd.txt remote-cert-tls server verb 100 mute 8 route 192.168.1.0 255.255.255.0 176.16.0.1 route-delay 2

?

Но 1009 щас улетел на 25мсек дальше:) Не получится уже получить объективную картинку

Между двумя хексами получал 440мбит ipsec форварда

850 - ccr не больше 180

был же тут списочек с сайта вендора где указаны железки с аппаратной поддержкой

Вот я их оба и тестил на 1009

Теперь понял причину твоих сомнений. Да, трудно решить когда так неоднозначно. А ты профайлы смотрел в тулсах в момент нагрузки? Ну может у РСС какая-то особенность была. Ну или айписеку надо голую частоту в том числе. Всё же 550 и 850 мгц. Пусть даже и разных архитектур. Вон раньше процы коре2дуо обгоняли Р4, но в кодировании видео голая частота старой архитектуры всеравно давала приемущество

750 там был

был же тут списочек с сайта вендора где указаны железки с аппаратной поддержкой

Моя ревизия 850 с серийником 5**** с аппаратным IPSec

ммм

Сибирь, они оба с апаратным шифрованием. просто у никиты цифры странные получились. более дешовый роутер дал больше мегабит

Но 1009 щас улетел на 25мсек дальше:) Не получится уже получить объективную картинку

куда куда он улетел?

В Европы:)

add action=add-src-to-address-list address-list=google address-list-timeout=10s chain=forward dst-address=8.8.8.8 protocol=icmp src-address-list=!google

да я чот и совсем вылетел что в мангле те же экшены...

я имел ввиду что такое мсек? милисекунды географические? ?

Сибирь, они оба с апаратным шифрованием. просто у никиты цифры странные получились. более дешовый роутер дал больше мегабит

Да, медиатек имеет два ядра с гипертридом и более новая архитектура. Я покупал 850 перед прошлым мумом и расстроился(обрадовался) анонсу 750gr3

я имел ввиду что такое мсек? милисекунды географические? ?

Да, Стокгольм

Ребят, хелпаните, настраиваю ovpn, в качестве сервера mikrotik, клиент винда, запускаю на винде клиент, но на интерфейс микрота даже пакеты не прилетают Config mikrota /certificate add name=template-CA country="" state="" locality="" organization="" unit="" common-name="CA" key-size=4096 days-valid=3650 key-usage=crl-sign,key-cert-sign /certificate sign template-CA ca-crl-host=127.0.0.1 name="CA" /certificate add name=template-SRV country="" state="" locality="" organization="" unit="" common-name="srv-OVPN" key-size=4096 days-valid=1095 key-usage=digital-signature,key-encipherment,tls-server /certificate sign template-SRV ca="CA" name="srv-OVPN" /certificate add name=template-CL country="" state="" locality="" organization="" unit="" common-name="client-ovpn-template" key-size=4096 days-valid=365 key-usage=tls-client /certificate add name=template-CL-to-issue copy-from="template-CL" common-name="client-ovpn" /certificate sign template-CL-to-issue ca="CA" name="client-ovpn" /ip pool add name=OVPN_srv_pool ranges=176.16.0.2-176.16.0.254 /interface bridge add name=OVPN_bridge arp=enabled /ppp profile add name=OVPN_server local-address=176.16.0.1 remote-address=OVPN_srv_pool bridge=OVPN_bridge /ppp aaa set accounting=yes /ppp secret add name=111 password=222 service=ovpn profile=OVPN_server /interface ovpn-server server set auth=sha1 cipher=blowfish128 default-profile=OVPN_server mode=ethernet netmask=24 require-client-certificate=yes certificate=srv-OVPN enabled=yes /certificate export-certificate CA export-passphrase="" /certificate export-certificate client-ovpn export-passphrase=333 OVPN client cfg client dev tap tcp-client remote 111.111.111.111 port 1194 resolv-retry infinite nobind persist-key persist-tun ca cert_export_CA.crt cert cert_export_client-ovpn.crt key cert_export_client-ovpn.key —auth-user-pass user-pwd.txt remote-cert-tls server verb 100 mute 8 route 192.168.1.0 255.255.255.0 176.16.0.1 route-delay 2

Может забыл чего, в фаере порт открыт

Проверь сначала в mangle preroute

@ZZToP spam

Может забыл чего, в фаере порт открыт

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

ой

Смотри сначала в mangle preroute, потом mangle input

Может быть у тебя dst-nat куда-то не в ту цепочку заворачивают

ERROR: S client not available

ребят: а ютуб у всех норм пашет? fullhd ролики перестали грузиться от слова совсем

телнетом порт пробивается

я нумудрил или не я?

Покажи как порт на фаере открывал?

В правило пакеты приходят?

неа

не приходят

телнетом порт пробивается

А куда твой телнет тогда пробивается?

Может быть к соседям через dst-nat

chain=input action=accept protocol=tcp in-interface=wan dst-port=1194 log=no log-prefix=""

проброса нету

Сделай аналогичное mangle в цепочке input action passthru

Без уточнения интерфейса

что то прет

И скопируй его рядом в цепочку preroute

в мангле?

Да, preroute только в мангле

Можешь логинг включить еще

0 chain=prerouting action=passthrough log=no log-prefix="" ?

Порт уточни в preroute и в input

0 chain=prerouting action=passthrough protocol=tcp dst-port=1194 log=yes log-prefix=""

1 chain=input action=passthrough protocol=tcp dst-port=1194 log=yes log-prefix=""

Да

Сбрось счетчики и смотри пакеты

в цепочке input пакетов нет

В а прероуте?

есть

Вооо

А теперь смотри схему

у меня в фаере все правила отключены