Здорова Антоха

Или вы просто знакомы ?

Да это не тот ?

Да мы знакомы)

так вот. возвращаясь к РОЕ. ЕМНИП у тика идет проверка подключившегося по порту. Как? не знаю. но вроде он не подает питание просто так. Как минимум потому что есть модель 951-ui, у которой кажись 4 POE-Out порта

Через инжектор не пробовал, но с порта другого пое-свитча К микротику завелись три камеры на микротике. Зависит от того, какая мощность отдается. Могу попробовать сегодня через инжектор

то етсь микротик был запитан от PoT в первый порт? от такого свича, с PoE at/af? если так то круто можно как PoE разветлитель управляемый использовать

Через инжектор не пробовал, но с порта другого пое-свитча К микротику завелись три камеры на микротике. Зависит от того, какая мощность отдается. Могу попробовать сегодня через инжектор

проверь плиз через инжектор и у тебя какой 960 PB или обычный

проверь плиз через инжектор и у тебя какой 960 PB или обычный

https://mikrotik.com/product/RB960PGS этот

Парни, кто знает в Микротике CHR IPsec поддерживает мультиядерность? Можно ли масштабировать нагрузку путем увеличения мощности сервера ?

Да это не тот ?

Это мой товарищ. Знакомы лично. Я ему 50 камер вешал на объекте ))

Парни, кто знает в Микротике CHR IPsec поддерживает мультиядерность? Можно ли масштабировать нагрузку путем увеличения мощности сервера ?

AES-NI поддерживает. Нафиг многоядерность

Если 4 года смотреть на объект каждый день через объектив ip камеры , однажды тебе оттуда позвонят ...;)))

AES-NI поддерживает. Нафиг многоядерность

И ? Не будет что ли ограничения производительности?

то етсь микротик был запитан от PoT в первый порт? от такого свича, с PoE at/af? если так то круто можно как PoE разветлитель управляемый использовать

да. Но, опять же, у свитча может быть ограничение по мощности на порт

да. Но, опять же, у свитча может быть ограничение по мощности на порт

Должно быть

Обязательно

Парни, кто знает в Микротике CHR IPsec поддерживает мультиядерность? Можно ли масштабировать нагрузку путем увеличения мощности сервера ?

только если будет мультипоточность ipsec например у тебя удаленная сетка шифруется по маске /24 это один поток

Должно быть

хорошо, перефразирую - можно упереться в ограничение порта на свитче по мощности ?

только если будет мультипоточность ipsec например у тебя удаленная сетка шифруется по маске /24 это один поток

От чего это зависит? В смысле несколько туннелей ?

Я молчу про «умную» приоритизацию портов по питанию пое

От чего это зависит? В смысле несколько туннелей ?

можно разбивать удаленные сети на несколько подсетей типа не /24, а на две полиси по /25 и тд

Я хочу в транспортном режиме - будет BGP пир, а удаленные сети придут через BGP

Я хочу в транспортном режиме - будет BGP пир, а удаленные сети придут через BGP

мне практически стыдно ) но я не шибко понимаю разницы между транспортом и тоннельным режимом.

Шо оно от меня хочет?

Прочитайте. И ещё раз прочитайте. До полного понимания

Шо оно от меня хочет?

для new не будет работать

Прочитайте. И ещё раз прочитайте. До полного понимания

Ну так напомни как мне именно син-пакеты словить. А то я что то туплю, по идее это же нью

TCP flags

ааа, сенкс

Эти статусы — внутренние, они не имеют отношения к статусам TCP

уже сделал

в продолжение вчерашней темы. web интерфейс микротика не открывается с компов на windows 10 с актуальными обновлениями (висит webfig loading). не помогло - старые версии router os (как и rc), браузера, смена mtu. зато с браузера андроида открывается. как и с windows 7 (не совсем обновленной).

EDGE или IE?

на 7-ке и андроиде хром, на 10-ке через все не работает

на 7-ке и андроиде хром, на 10-ке через все не работает

я насколько помню такие случаи были с профилями winbox

попробуй загрузится в винде под новым пользователем и зайти

можно еще плагины поубивать например

кто-то пользуется paymaster для приема платежей?

ни новый юзер, ни плагины ни при чем по ходу

к сожаления я больше ничем не смогу помочь

но... это знак!

что пора использовать ssh или winbox )

что пора использовать ssh или winbox )

тут наверное уже чисто из спортивного интереса почему вебка не работает)

тут наверное уже чисто из спортивного интереса почему вебка не работает)

какую пользу тебе принесет этот спортивный интерес? ))

мне практически стыдно ) но я не шибко понимаю разницы между транспортом и тоннельным режимом.

В транспортном шифруется содержимое пакета, в туннельном все содержимое оборачивается в новый пакет. Туннельный режим содержит больше заголовков.

в продолжение вчерашней темы. web интерфейс микротика не открывается с компов на windows 10 с актуальными обновлениями (висит webfig loading). не помогло - старые версии router os (как и rc), браузера, смена mtu. зато с браузера андроида открывается. как и с windows 7 (не совсем обновленной).

семь бед, один ответ - снифай. Снифай и смотри HTTP сесию, чего ему там не нравится

в продолжение вчерашней темы. web интерфейс микротика не открывается с компов на windows 10 с актуальными обновлениями (висит webfig loading). не помогло - старые версии router os (как и rc), браузера, смена mtu. зато с браузера андроида открывается. как и с windows 7 (не совсем обновленной).

Flush dns? А в винбоксе что в логах? Успешно входит или только попытка?

Flush dns? А в винбоксе что в логах? Успешно входит или только попытка?

успешно входит

Народ, воюю тут с одной проблемкой, подрубил к её решению оф.саппорт микротовский, (написал им кстати полностью на русском, ответили на английском, но без проблем если что) в общем делюсь опытом: Третью неделю пытаюсь решить проблему с RB750Gr3 с установленной последней стабильной версией ROS 6.40.4. Сеть состоит из данного роутера в качестве l2tp+ipsec сервера, к которому подключаются одиночные клиенты с win7, win10, ios и macos. Также к нему подключены два туннеля GRE+IPSec c удаленных офисов от стоящих там hap lite. L2TP+IPSec настроен вот по этой инструкции: http://www.bubnovd.net/2016/10/ipsec-over-l2tp-routeros-apple-ios-10.html При настройке l2tp+ipsec поначалу все одиночные клиенты (win7, win10, ios, macos) соединяются нормально и стабильно работают. Потом проходит некоторое время, кто-то по своей либо не по своей воле отключается, но обратно уже соединиться не может, роутер начинает показывать в логах: phase1 negotiation failed due to time up windows показывает ошибки семисотых серий, ios и macos показывают на не ответивший vpn-сервер. Перезагружаем роутер через System/Reboot - и всё снова на некоторое время начинает нормально работать. При этом настроенные GRE туннели с шифрованием трафика ipsec от филиалов к этому роутеру работают стабильно. Добавлю, что временно помогает перезагрузка роутера ТОЛЬКО через System/Reboot, горячий вариант "выдернуть-вставить в розетку" эту проблему на время не решает. Как решить эту проблему? Или какой альтернативный вариант VPN можно использовать, в котором возможно использование сгенерированого с помощью инструмента СМАК от Microsoft профиля настройки клиентских VPN, и удобным управлением их учётными записями в роутере для их оперативного точечного отключения? Вариант с изменением настроек на IKEv2 и генерацией сертификатов просьба не предлагать, в нашей сети для быстрого развёртывания на удаленных одиночных клиентах активно используется решение СМАК от Microsoft. Плюс часто сложно объяснить некоторым людям в другой стране, как установить сертификаты на Windows. Либо просьба скинуть инструкцию, как можно настроить vpn с использованием IKEv2 без применения сертификатов с возможностью его работы на платформах iOS, macOS, Android и Windows (в настроках подключений этих платформ я видел возможность использования такого варианта соединений, также для него возможно применение инструмента СМАК от Microsoft с удобным управлением учётными записями клиентов в роутере). Благодарю за внимание к моей проблеме. В ответном письме попросили сгенерить через винбокс файл supout.rif и выслать им, что я собсно и сделал. После прилетел ответ вот такого содержания (дословно): Hello, This is caused by UPnP mapping of UDP/4500 port which is used by IPsec service. Fix for this issue is already available in the latest release candidate version of RouterOS. В переводе: Это вызвано отображением UPnP порта UDP / 4500, которое используется службой IPsec. Исправление для этой проблемы уже доступно в последней версии версии RouterOS. В общем забэкапил железку, потом сбросил, поставил последний релиз-кандидат (6.41rc38) и потом восстановил из бэкапа, теперь послежу пару дней, отпишусь по результатам для обмена опытом и, возможно если проблема не решится может кто подкинет вариант решения.

Upnp зло ))

Но к сожалению в случае с ip-телефонией с её вечно скачущими портами в зависимости от того, кому как их в голову взбредёт настроить в своих железках upnp реально упрощает жизнь.

Но к сожалению в случае с ip-телефонией с её вечно скачущими портами в зависимости от того, кому как их в голову взбредёт настроить в своих железках upnp реально упрощает жизнь.

Согласен, voip периодически доставляет. Попробуй stun сервер использовать и отключать сип хелпер на микроте

У меня помню война была с одной удалённой конторой, которая моему клиенту Астерикс ставила и настроила его внутри виртуалки в centos (пароль от root к которой они конечно же не предоставили), настолько по хитрому, что все стандартные порты не работали (типа если чё - звоните нам, мы за N$ за час работы всё, что надо настроим). И когда я начал выпускать это чудище во внешку, то логично спросил у них, по каким портам их детище принимает мир, в ответ услышал "а какие вам надо?"?. Ну почесал тыковку глядя в правила фаера, сказал какие, они такие "ок", зашли в виртуалку, поковырялись в ней (естесно не бесплатно), я порты прописал и вроде всё работало, но периодически отваливалось, начал выяснять какого буя, оказалось что при ребутах сервака с виртуалкой правила внутри неё не всегда цепляли перенаправление прописаных теми ребятами портов на стандартные астериксовые, стукнул им, чтобы поколдовали или хотя бы дали пасс от рута виртуалки самому поколдовать, банально скрипт накатать который проверяет это дело и в случае чего принудительно обновляет, но они в отказ "у нас всё норм" и хоть ты тресни. Плюнул, врубил upnp, выловил порты, которые периодически выскакивали после перезагрузок виртуалки, прописал их в фаере и проблема решена. А ребята через неделю постучались и задали вопрос (внимание): А почему вы нам не пишите по той проблеме, что, как то само заработало? ?

раскусил

охохошеньки простынки

Кстати, RB750Gr3 оказался окуительной железякой по части аппаратного шифрования айписек. 70 мегабит у нас выжимает в туннелях

Нагрузка проца при этом до полтинника даже не всегда доходит

Но к сожалению в случае с ip-телефонией с её вечно скачущими портами в зависимости от того, кому как их в голову взбредёт настроить в своих железках upnp реально упрощает жизнь.

а можно с этого момента пояснить. что именно мешает жить voip без upnp ?

Например вот такие вот ребята, которые любят на саппорте позарабатывать с помощью созданных ими же проблем.

ну это странный и думаю еденичный случай

А еще не только для телефонии он нужен

да вроде такие платные сапортщики далеко не единичный случай, история стара как мир айти )

мне именно про телефонию интересно стало

да вроде такие платные сапортщики далеко не единичный случай, история стара как мир айти )

ну ты либо заказываешь под ключ, либо с сопровождением. если с сопровождением так чего ожидать - плати и не ной

ну ты либо заказываешь под ключ, либо с сопровождением. если с сопровождением так чего ожидать - плати и не ной

ты можешь заказать под ключь, а тебе сделают так что нужно сопровождение =)

ты можешь заказать под ключь, а тебе сделают так что нужно сопровождение =)

под ключ это когда тебе этот ключ вручают по итогу

Потому, что она скакать в железках любит, которые самые разные. Диапазон портов открывать как то не всегда хо, а вот выловить и открыть только реально юзаемые вполне помогает

ERROR: S client not available

Потому, что она скакать в железках любит, которые самые разные. Диапазон портов открывать как то не всегда хо, а вот выловить и открыть только реально юзаемые вполне помогает

в голосовых пакетах там сотни портов юзается

полюбому их все открывать

В определенном диапазоне

ну да. и upnp для этого не нужен

мля 3 раза поправил и все равно опечатка

С ним как то их ловить проще в случае проприетарных решений, с которыми я нередко сталкиваюсь

Вам не приходилось работать с фирмой, занимающейся сетью магазинов мобильной связи? У них этой дряни валом. И там upnp вообще нужен далеко не только для телефонии, у них вечно куча разных гаджетов юзается и тестится

Ребятки, служебный VoIP отдельно, гаджеты - отдельно. Не надо смешивать продакшн и тестовые подсети. Телефония в 99% случаев имеет линки на фиксированные адреса. Для них и надо туннели строить. А порты открывать - на крайний случай.

Ребятки, служебный VoIP отдельно, гаджеты - отдельно. Не надо смешивать продакшн и тестовые подсети. Телефония в 99% случаев имеет линки на фиксированные адреса. Для них и надо туннели строить. А порты открывать - на крайний случай.

+

Wifi вообще лучше изолированный

Торговый ритейл. Постоянно в работе три IP-PBX и немеряно sip-клиентов. Никакого upnp. sip-helper тоже вырублен. Всё работает много лет.

Wifi вообще лучше изолированный

За что люблю микротик - можно сколько угодно разных wifi с разными правилами и коммутацией собирать на одной железке.

Отдельно гостевой, отдельно общерабочий, отдельно тестовый, отдельно хитроскоммутированый для перемещаемого оборудования ?

Там пока на микроты только переезжает все. До этого они с нетисами и туполинками мучались.

Процесс переезда болезненный, ибо все кусками покупается )))

В офисе там уже три сети изолированных родилось. Но пока все в процессе, сразу не запилишь, они работать параллельно хотят

А их точек в одной Одессе только 15 штук. Пока сидят на впн уже, но постепенно переезжают на gre/ipsec, плюс появляются хотспоты с рекламой и отдельная подсеть для группы ревизии

Ребятки, служебный VoIP отдельно, гаджеты - отдельно. Не надо смешивать продакшн и тестовые подсети. Телефония в 99% случаев имеет линки на фиксированные адреса. Для них и надо туннели строить. А порты открывать - на крайний случай.

Вы это тамсидящим юзерам объяснить попробуйте, которые подсматривают пароли от вайфай в винде и коннектят в него че в голову влезет, а если врубить acl, дабы прекратить сие непотребство - они бегут к начальству которое недолго думая просит сделать "шоп оно везде работало".

нужен компромисс, да

мы в схожем случае реализовали одноразовые пароли

Людской фактор порой вынуждает строить не по человечески а костылями

"шоп везде работало" как раз создается гостевой вай-фай с выходом в Интернет, но изолированый от рабочих данных и отдаётся хомячкам на растерзание

еще вариант - менять пароль каждые сутки + публикация его на корпоративном портале

ну а на корпортивном wifi, да, пароль + мак

Гостевой еще обязательно шейпится, чтоб весь канал жирные, жадные хомяки не забили.

"шоп везде работало" как раз создается гостевой вай-фай с выходом в Интернет, но изолированый от рабочих данных и отдаётся хомячкам на растерзание

А какой то шибко "вумный" менеджер, который на хорошем счету у того начальства орёт тогда -там же все ограничено, будет тормозить, мне нада именно в моей сети.

И хрен ему че докажешь ибо по жизни дуболом

Подставить, поставить на бабло и уволить. Делов-то - дня на три.

А какой то шибко "вумный" менеджер, который на хорошем счету у того начальства орёт тогда -там же все ограничено, будет тормозить, мне нада именно в моей сети.

корпоративное айкидо! это отдельное искусство ?

Или демонстративно "спасти" сказав "будешь должен"

Я у них не работаю, я их содержу так же как у несколько других фирм

Коллеги, кто в курсе какой шрифт используется в интерфейсе winbox?