SFQ в принципе умеет. Там берется хеш src-address:port+dst-address:port и это в сабочередь

Очереди завязаны только на маркировки. DSCP нужно, когда ты ДРУГОМУ роутеру хочешь сказать что с этим трафиком делать.

вроде вайрлес туда смотрит.

или нет? что то смутно помню что приоритеты влияли на вайрлес. но DSCP или другой не помню. что там кроме ТОСа еще есть в пакетах?

вроде вайрлес туда смотрит.

уже писал. Связано с AMSDU в 802.11n/ac

а влановский приорити тоже для "сказать"?

а влановский приорити тоже для "сказать"?

Еще раз. в рамках Wireless там это используется. Но, на уровне L2.

И по страдающим по global-in. Роутер может впрямую управлять только исходящим трафиком. Поэтому он не нужен. Так же то что, например на LAN будет IN, на WAN будет OUT

Поэтому вполне логично выглядит Global+Interfaces

ладно

а как у udp определяется коннектион стате?

ну что ты устроит тут вечер ликбеза ?. Дай человеку свободно вздохнуть ? Да как, по контраку наверное. первый пакет между этими адресами - значит нью, если не первый значит естаблишед ?

вот смотри у тебя нат и два клиента с гугл днс

оба отправили с одинакого порта

и шо

порт же рандомный ПОСЛЕ НАТа

как микротик отичит каму какой ответ отдать

если есть свбодные порты то порт клиента остается. если нет то НАТставит свой рандомный порт

но там в фаерволах есть штучка конектиеон стате

на udp

https://www.youtube.com/watch?v=CqYnFtliRzM

а в самом udp нету флагов

он может и транслировать с тех же портов

а в самом udp нету флагов

нету. оно оно само высчитывает по одному микротику известных алгоритмах наверное

он может и транслировать с тех же портов

МОЖЕТ, но НЕ ОБЯЗАН

смотря какой алгоритм сделан

вот возьми запусти два телнета с одного порта. глянь в контрак. думаю порты окажутся разные

вслучае если порты теже как он отличит -)

а с какого перепугу порт будет тот же?

не. есть протоколы требующие определенный порт, но это выше моего представления о работе. тут я уже не знаю как себя нат поведет

и вообще, ты мне щас напоминаешь анекдот - АГА, сказали суровые лесорубы и пошли пилить лес двуручной пилой ?

не, самому интересно, но ты уже в такие дебри нюансов нас загоняешь что мы с тобой оттуда вовек не вылезем

Дим, глянь в протелеком, я там инокентия поймал. Раскрутил на твой вопрос ?

Ну, прочитал? Может сам что то спросишь? а то он от меня уже скоро шарахатся будет, вопросами вечно мучаю ?

Вкинули говна на вентилятор -))))

Вот потому там и страшно писать

угу, только хотел написать - вброс получился что надо, забурлил чат. но попрошу заметить всё по делу. Хотя что мне делать с исходниками UDP контрака так и не соображу. Я ж не компилятор что бы в голове построить алгоритм работы кода ?

Там это я запутался

Есть pat а есть nat

ну это части одного и того же

то что мы знаем под НАТ это РАТ+NAT

В случае pat он транслирует серое адресное пространство в диапазоны портов на белом ип статически или динамически

Выделяемые

Если динамика ио по таймауту

Если статика то они впринципе не пересекутся

А нат это адрес в адрес

Там будут одинаковые порты

Но разные адреса

Но это не отменяет того факта что отличить установленый удп от нового оно толком не могет

я тебе видео бросал

смотри

ИМХО там расказано

не сильно поверхностно, не сильно глубоко, достаточно

правда инокентий там больше часа трындит ?, но думаю можно поперематывать

порт ПО ВОЗМОЖНОСТИ остается тем что был на источнике. редко какие сервисы хотят определенный порт на источнике. значит вероятность того что два хоста за натом ломануться из под того же порта очень мала

Но это не отменяет того факта что отличить установленый удп от нового оно толком не могет

не совсем верно. ИМХО если второй хост полезет из под того же порта и без права изменять порт то его просто пошлет нафиг. и его конект прибьет

Коллеги, на какие грабли можно наступить, если есть wlan без Default Forward на всю сеть, но нужно прямо посреди этих айпишников пару тройку, где Default Forward есть. Казалось бы — создал virtual AP, создал static-only dhcp, перенёс нужные адреса в static leases, но… нет на них интернета в лучшем случае и не получаются dhcp адреса в худшем.

значит не там поднял ДХЦП ?

или выдаешь им не тот пул адресов

static-only dhcp. static leases за пределами dhcp pool

но ты повесил ДХЦП сервак на их интерфейс? почему они могут не получать адреса?

ye e vtyz ldf цшкудуыы интерфейса. хардварный и виртуальный. на каждом по дхцп.

О_О… ну вы поняли :)

может банально связь хреновая настолько что пакеты не долетают?

Потсоны, есть проблема - рвёт соединение по L2TP + IPSec при попытке скачивания файлика размером метров в 700. Мелкие херачит ваще отлично. А этот - обрывается соединение и соответственно закачка. В логе только это

ERROR: S client not available

Никакие дампы еще не снимал, чисто попиздеть зашел с вами)

Какие будут мысли?

Ваще если не качать ничо глобально - соединение нормально живет

ну включи дебаг в логинге. хоть что то будет ясно , что бы долго не снифать трафик

ну включи дебаг в логинге. хоть что то будет ясно , что бы долго не снифать трафик

дебаг чего? логирование правила файрвола?

нет. system loging

там добавь правило с двуми топиками дебаг и Л2ТП

а, всё, понял, завтра буду на этом обьекте - заебеню

а по удаленке никак? ?

а по удаленке никак? ?

Микротик доступен, но сэмулировать подключение "извне" оттуда я не смогу пока

А хотелось бы в условиях приближенных к боевым

Коллеги, на какие грабли можно наступить, если есть wlan без Default Forward на всю сеть, но нужно прямо посреди этих айпишников пару тройку, где Default Forward есть. Казалось бы — создал virtual AP, создал static-only dhcp, перенёс нужные адреса в static leases, но… нет на них интернета в лучшем случае и не получаются dhcp адреса в худшем.

там access list вот добавляешь эту пару тройку туда и ставишь им дефолт форвард

витуал ап в этом случае какая то укуреная идея

я даже не представляю как это будет работать

там добавь правило с двуми топиками дебаг и Л2ТП

echo же насрёт в лог?

Кароч удалось удаленно подключится

может банально связь хреновая настолько что пакеты не долетают?

ну на сеседнем же работает всё. :(

ну я врубал мемори, результат будет такой же

и чего дебага нет? ну всмысле в топиках

ничего нового

ты точно дебаг включил?

ну, а ДЕБАГ где?

ну, а ДЕБАГ где?

он в лог хуярит?

ТОПИК ДЕБАГ где?

если дебаг идёт в лог - то ничего в логе похожего на дебаг не появилось. Либо я что то не включил

чего то такое должен ты видеть

ну вот, не только l2tp + ipsec надо значит в фильтр. Ща поправлю

я в этом мало что понимаю, но может тебе что то скажет ?