@MikrotikRu

Страница 1675 из 3964
 
Alseg
16.09.2017
20:08:10
я прям не могу сказать что вот "всё плохо"

 
Anton
16.09.2017
20:08:53
Да, плохие результаты. Нужно 19 из 19 ?
20 из 19 же.

 
Wild One
16.09.2017
20:09:26
я прям не могу сказать что вот "всё плохо"
нуу у нас мелкие микротики там раскиданы. И да, за отсутствие OpenVPN-UDP им фыр.

 
Alseg
16.09.2017
20:10:06
20 из 19 же.
это если текстуры около дома провалились, или нагрешил

Google
 
Alseg
16.09.2017
20:10:48
нуу у нас мелкие микротики там раскиданы. И да, за отсутствие OpenVPN-UDP им фыр.
ну не знаю, у меня нет овпн, я всё жду пока они rfc напишут

 
работает из под любого гавна это оно молодец конечно

 
Anton
16.09.2017
20:11:29
это если текстуры около дома провалились, или нагрешил
> нагрешил https://s02.yapfiles.ru/files/870778/1369394478be42478fb7ca8bb763d338414af5e735.gif

 
Wild One
16.09.2017
20:11:49
работает из под любого гавна это оно молодец конечно
а вообще даешь стандартизованное решение на базе DTLS

 
а-ля "напишите RFC на anyconnect и внедрите повсеместно")

 
Alseg
16.09.2017
20:12:06
налоговая местная хуячит свои опенвпны в массы

 
Wild One
16.09.2017
20:12:16
ну... их удобно масштабировать

 
Anton
16.09.2017
20:13:29
а вообще даешь стандартизованное решение на базе DTLS
НИНУЖНА, есть же IPsec, нэ?

 
Wild One
16.09.2017
20:13:39
нуууу можно с IKEv2

 
опять же, мы говорим про динамический VPN, к-рый работает отовсюду

 
а OpenVPN и тем более аниконнекто-образное имеет преимущество в том, что можно автомагически переключиться с UDP на TCP(SSL), если нам его зарезали

 
Anton
16.09.2017
20:14:28
опять же, мы говорим про динамический VPN, к-рый работает отовсюду
Настроил себе IPsec. С мобилы отовсюду УМВР. ЧЯДНТ?

 
Alseg
16.09.2017
20:14:53
ну я просто понимаю так что этот овпн от местных налоговых - инициатива местных работников этих налоговых. потому что там есть некая услуга терминала, и они за это берут бабло

Google
 
Wild One
16.09.2017
20:14:54
Настроил себе IPsec. С мобилы отовсюду УМВР. ЧЯДНТ?
OpenVPN-TCP и anyconnect зато способны работать когда дырка наружу - только tcp/443

 
ну я просто понимаю так что этот овпн от местных налоговых - инициатива местных работников этих налоговых. потому что там есть некая услуга терминала, и они за это берут бабло
а шифры там гостовые?))) или ай-яй-яй нарушаем?)

 
Anton
16.09.2017
20:15:17
OpenVPN-TCP и anyconnect зато способны работать когда дырка наружу - только tcp/443
SSTP тоже.

 
Wild One
16.09.2017
20:15:33
SSTP тоже.
а SSTP не умеет работать не поверх TCP - или умеет?

 
Anton
16.09.2017
20:15:56
а SSTP не умеет работать не поверх TCP - или умеет?
А AnyConnect? ?

 
Wild One
16.09.2017
20:16:00
еще как умеет

 
у него по умолчанию DTLS over UDP, если не прокатывает - идет поверх tcp

 
причем автомагически, поэтому и any

 
у нас ocserv юзается широко

 
как раз для удаленщиков

 
Alseg
16.09.2017
20:16:34
причем автомагически, поэтому и any
автомагически

 
Anton
16.09.2017
20:16:40
еще как умеет
А SSTP - нет, тут не поспорить.

 
Wild One
16.09.2017
20:17:23
вот хочется такой вот SSL/DTLS VPN, что для L2L, что для road warrior

 
Anton
16.09.2017
20:17:36
Впрочем, на самом деле IPsec тоже можно заставить работать через любой порт.

 
Wild One
16.09.2017
20:17:49
в принципе опенвпн удовлетовряет (кстати, а он не умеет откатываться с одним и тем же конфигом с UDP на TCP?)

 
Впрочем, на самом деле IPsec тоже можно заставить работать через любой порт.
ну можно затуннелить, но только в UDP :) если у клиента UDP перекрыт - наступает ой

 
а тут смысл в том, что работаем по UDP, но если вдруг обломалось - идем по TCP и мимикрируем под обычный SSL трафик

 
что для работы из Китая (например) очень выручает, вроде они аниконнект не режут

 
Кирилл
16.09.2017
20:19:11
вот хочется такой вот SSL/DTLS VPN, что для L2L, что для road warrior
?

 
Wild One
16.09.2017
20:20:10
а то что мт не поддерживает OVPN/UDP уже лет десять - фыр на них

Google
 
Кирилл
16.09.2017
20:20:36
верую в ROS7

 
где будет ovpn over udp

 
Wild One
16.09.2017
20:20:53
верую в ROS7


 
Anton
16.09.2017
20:20:54
а тут смысл в том, что работаем по UDP, но если вдруг обломалось - идем по TCP и мимикрируем под обычный SSL трафик
А это тебе уже не совсем реализация VPN нужна. ? Ведь задача VPN - защищать, а не маскировать трафик.

 
Wild One
16.09.2017
20:21:15
А это тебе уже не совсем реализация VPN нужна. ? Ведь задача VPN - защищать, а не маскировать трафик.
ну мы юзали еще openvpn+obfsproxy для тяжелых случаев

 
щас хз, вроде аниконнект из китая и так работает ))

 
кстати, у кого-нибудь SXT LTE работает?)

 
у меня - да, но интересна статистика по стабильности этих девайсов

 
OlD_NiK
16.09.2017
22:27:43
Сдавайте в двух экземплярах и храните у себя копии. Ну или в системе документооборота фиксируйте. Жопу прикрывать надо обязательно.
Это называется ЖПП - жопоприкрывательное письмо

 
Anton
16.09.2017
22:36:12
Это называется ЖПП - жопоприкрывательное письмо
ЖПП, МПХ... Простите.

 
OlD_NiK
16.09.2017
22:38:03
ЖПП, МПХ... Простите.
Не стоит мух. ЗАО Тандер (магнит) целиком на ЖПП работает )

 
Anton
16.09.2017
22:38:55
Да ты не понял, похоже, что я имел в виду. ?

 
OlD_NiK
16.09.2017
22:39:33
А про апач почитал... Аж глаз задёргался - "откладет в сторону"

 
Bastad
16.09.2017
22:43:45
Не стоит мух. ЗАО Тандер (магнит) целиком на ЖПП работает )
Это как?

 
OlD_NiK
16.09.2017
22:45:32
Это как?
Система на честном слове и на одном крыле. Не написал ЖПП - будешь виноват

 
Bastad
16.09.2017
22:45:57
Удобно

 
Илья
16.09.2017
22:57:56
RB1100Dx4 AL21400 1G all port test Mode Configuration 1518 byte 512 byte 64 byte kpps Mbps kpps Mbps kpps Mbps Bridging none (fast path) 606.5 7,365.3 1,736.4 7,112.3 5,509.7 2,821.0 Bridging 25 bridge filter rules 606.5 7,365.3 1,107.8 4,537.5 1,153.2 590.4 Routing none (fast path) 606.5 7,365.3 1,736.4 7,112.3 5092.3 2,607.3 Routing 25 simple queues 606.5 7,365.3 933.6 3,824.0 960.3 491.7 Routing 25 ip filter rules 543.7 6,602.7 561.8 2,301.1 564.6 289.1
кароч я так понял не выдумывать и брать RB1100Dx4 надо как роутер, оптика не нужна...

 
Konstantin
17.09.2017
03:26:19
Доброго времени суток. ПОдскажите, есть коммутатор L3 326CRS , можно ли на нём Vlan поднять и поделить сети ?

 
wildmoon
17.09.2017
03:44:22
Ну а для чего он еще нужен? Да еще и с двумя операционками

 
Zek
17.09.2017
03:45:33
так уж и l3

Google
 
Sergiy
17.09.2017
05:35:28
кароч я так понял не выдумывать и брать RB1100Dx4 надо как роутер, оптика не нужна...
Не скажу. я лишь привел цифры с сайта микротика. Что будет при 50 правилах не ясно.

 
Alexei
17.09.2017
05:37:47
Не скажу. я лишь привел цифры с сайта микротика. Что будет при 50 правилах не ясно.
ну это же имеется в виду что трафик должен обязательно проходить через эти 50 правил :) а всего их может быть и больше :)

 
Alex
17.09.2017
05:41:42
Не скажу. я лишь привел цифры с сайта микротика. Что будет при 50 правилах не ясно.
Никто 64-байтовых пакетов в таком количестве слать не будет. А большими – быстрее упрутся в порт, чем в цпу. Так что оба девайса справятся, но 1009 будет проще работать с симпл кью, ибо ядер больше.

 
Sergiy
17.09.2017
06:39:30
Я и не говорю что будет. Это лишь показатель что с 1009 что то не то. очень сильно садится производительность от правил

 
Nikolai
17.09.2017
07:25:43
Возможно, происходит некорректное распределение ресурсов ядер между процессами ввода/вывода и процессами обработки трафика. Тогда это может быть решено ручным распределением. Либо исправлением диспетчеризации внутри RouterOS. Но это только предположение.

 
Владлен
17.09.2017
07:27:49
Возможно, происходит некорректное распределение ресурсов ядер между процессами ввода/вывода и процессами обработки трафика. Тогда это может быть решено ручным распределением. Либо исправлением диспетчеризации внутри RouterOS. Но это только предположение.
А руками - это как?

 
Или вы не про тошнотик?

 
Nikolai
17.09.2017
07:28:55
Тюнинг конфига никто не отменял. Одна из проблем 1100ahx4 это слабые каналы от портов к процу. Порты 1-5 и 6-10 имеют максимум 2,5Gbit на группу

 
wildmoon
17.09.2017
07:29:13
А все рассылку получили? Новостную? Что там за пиздюлина, юсб-свисток за 16 баксов?

 
Nikolai
17.09.2017
07:29:21
Когда у CCR каждый порт работает с процом на полной скорости

Admin
ERROR: S client not available

 
Nikolai
17.09.2017
07:34:18
А руками - это как?
Покопавшись в подменю /system resources irq

 
Не забыв там поглядеть внутри и в rps

 
Alseg
17.09.2017
07:38:32
господа, а есть у кого нибудь из вас интерконнекты ipv6 на /127 между мт-мт?

 
на /64 всё ок работает, ставишь /127 - с одной стороны некстхоп сразу грит недоступен

 
Владлен
17.09.2017
07:57:27
Покопавшись в подменю /system resources irq
Спм

 
Alex
17.09.2017
09:18:00
господа, а есть у кого нибудь из вас интерконнекты ipv6 на /127 между мт-мт?
Есть, работает

 
Главное, чтобы на :: не заканчивалось

 
Alseg
17.09.2017
09:34:55
Главное, чтобы на :: не заканчивалось
эм, а как оно может на :: заканчиваться?

 
у меня адреса на тоннеле типа fd00:2001:db8:dead::a/127 + fd00:2001:db8:dead::b/127

Google
 
Alex
17.09.2017
09:46:18
у меня адреса на тоннеле типа fd00:2001:db8:dead::a/127 + fd00:2001:db8:dead::b/127
В такой комбинации у меня работает

 
Alseg
17.09.2017
09:48:36
В такой комбинации у меня работает
странно, с одной стороны в маршрутах говорит reachable, с другой unreachable

 
при этом связность есть

 
пингуемся, всё ок

 
если ставлю /64 место /127 - взлетает

 
Alex
17.09.2017
09:49:34
Ну мы маршрут не писали через этот линк, просто бгп через него запустили

 
Alseg
17.09.2017
09:49:54
а и еще нюанс

 
Alex
17.09.2017
09:49:54
А тот через линклокал сливает фуллвью

 
Alseg
17.09.2017
09:50:04
если вместо адреса указать интерфейс - тоже взлетает

 
причем где то месяц назад в лабе у меня это уже было, ну думал мб GNS чот подгоняет

 
Alex
17.09.2017
09:56:01
у меня адреса на тоннеле типа fd00:2001:db8:dead::a/127 + fd00:2001:db8:dead::b/127
xxxx:xxxx::/127 и xxxx:xxxx::1/127 – вот так не работает

 
Alseg
17.09.2017
09:57:44
xxxx:xxxx::/127 и xxxx:xxxx::1/127 – вот так не работает
имеется ввиду красненьким цветом чтоль выделается?

 
есессн я пишу в это поле без маски

 
Alex
17.09.2017
09:58:34
Не, оно назначается, но не работает

 
Alseg
17.09.2017
09:58:58
Не, оно назначается, но не работает
кароч у меня без маски, адрес с той стороны

 
Alex
17.09.2017
09:59:13
Так поставить надо

 
Без маски не будет работать имхо

 
Ибо это /128

 
Alseg
17.09.2017
10:03:55
Без маски не будет работать имхо


 
каким образом туда должен прописаться 127 я никак не понимаю, там же должно быть без маски просто адрес

 
Ибо это /128
это как

 
какая ему разница какая там маска, он свою знает и некстхоп тоже знает, он же прямо в него смотрит

 
мы же на ипв4 при /29 например не пишем же ее в gw верно?

Страница 1675 из 3964