Вообще хочтеся metarouter на ccr. Прикинь 1 ядро оставить себе под менеджмент и 35 ядер раздаешь клиентам (каждому по RouterOS и ядру).

А вы знаете толк в извращениях))

А вы знаете толк в извращениях))

Работа такая. Мало знать. Еще и других извращениям учить приходится. )))

Ща 1072 в бою потестирую, если выдержит, буду юзать) Или придётся платить многоденег за ASR100x-x

Работа такая. Мало знать. Еще и других извращениям учить приходится. )))

)) Зато не скучно

У кого-нить ещё есть проблемы с зависанием маршрутов в OSPF ?

Есть ситуэйшн. Большой домен OSPF в бэкбоне не 2к маршрутов(досталось в наследство), при перестроении трассы через резервные линки с большим комтом, периодически виснут маршруты. Помогает disable/enable зависшей сетки.

Вообще хочтеся metarouter на ccr. Прикинь 1 ядро оставить себе под менеджмент и 35 ядер раздаешь клиентам (каждому по RouterOS и ядру).

Это как cisco asa в мультиконтекстном режиме

Есть ситуэйшн. Большой домен OSPF в бэкбоне не 2к маршрутов(досталось в наследство), при перестроении трассы через резервные линки с большим комтом, периодически виснут маршруты. Помогает disable/enable зависшей сетки.

Сколько маршрутизаторов в backbone?

Есть у меня мнение, что проблема в конкретно одной железке. В целом на проблему насрать, так как переделываю нахер всю маршрутизацию.

Сколько маршрутизаторов в backbone?

11

И 2к маршрутов, может заняться оптимизацией суммиризацией маршрутов?

Просто предыдущий олень какого-то хера ВСЁ в бэкбоне остаил. Василий бля. RFC для слабаков

И 2к маршрутов, может заняться оптимизацией суммиризацией маршрутов?

Говорю же, что именно этим и занимаюсь ужо))) Разгребаю))

И 2к маршрутов, может заняться оптимизацией суммиризацией маршрутов?

Чё там про vrf слышно? Кады можно будет добавлять динамические интерфейсы?

Как бы это упростило жись...

Это как cisco asa в мультиконтекстном режиме

На микроте проще организовано взаимодействие между гостем и хостом. И ваще АСА всё же файер, а микрот больше маршрутизатор.

если много фич реквестов на тему снорта и прочего то это уже не просто маршрутизатор)

Да болтать-то можно чё угодно) НЕ просто так же тут на Xeon намекали) И сиськи не просто так в виртуализацию свалили!

Ваще грамотные ребятки)

кстати в новых асах фиг знает как мультиконтекстный режим организован

Новые осы на основе линухи))

ну вот

Я ваще сторонник того, что всё нахер нужно уносить в облака

Но это в интерпрайзе ясен хер

ну, зависит от сервиса сильно который ты предоставляешь. Если у тебя скажем сервис по защите от ddos атак

во во только хотел написать

Ну я поработал достаточно и в крупном интерпрайзе и в провайдинге ща тружусь. Задачи сильно разные, согласен))

As the old dude ran into problems we migrated to the new dude on hex with a 2GB SD Card. Runs smooth so far. 1166 Devices, 437 Service items, Polling interval 5min cpu 20-40%.

норм так))

Норм

Граждане, дайте кто-нить рулисы от дудоса под snort/suricata

Очень впадлу писать самому

Как не хватает микрота у которого хотя бы портов 8 будут PoE...

Есть UBNT миллион вариантов.

Есть UBNT миллион вариантов.

Есть, только ощутимо дороже.

Плюс всегда хочется унифицированного железа управляемого из одного места.

Так не делает Микрот свичи. Мало ли что хочется :)

Плюс всегда хочется унифицированного железа управляемого из одного места.

да заколходить нормальное пое на блоках от выдеонаблюдения.

И не выпендриваться

Чё там про vrf слышно? Кады можно будет добавлять динамические интерфейсы?

Формально любой динамический интерфес можно сделать статическим.

Формально любой динамический интерфес можно сделать статическим.

Мне нужно, чтоб динамические интерфейсы автоматом добавлялись в vrf как на кошке

открыл tool profile и вижу что какой-то "console" грузит на 90+% - эт че?

А хер его знает

открыл tool profile и вижу что какой-то "console" грузит на 90+% - эт че?

покажи скрин

ребутнул уже наверное, из-за запуска скрипта такое - надо было добавить 35к адрес-листов он и задумался, хотя ни одного так и не добавил

))

интересно, что это за кейс такой?

ребутнул уже наверное, из-за запуска скрипта такое - надо было добавить 35к адрес-листов он и задумался, хотя ни одного так и не добавил

Что за идиотизм?

https://reestr.rublacklist.net/api/ips

добавить их

Такие вещи по апи лучше делать

я в этом ни бельмеса

Умрет же микротик если правила через firewall

https://reestr.rublacklist.net/api/ips

а смениться ip у домена, что делать будешь?

так по IP ж банят? новый ип скоро в списке появится

не позже суток, если верно понимаю

так по IP ж банят? новый ип скоро в списке появится

закорн обязует закрыввать доступ к домену а не к IP

стоп

а как микротико сверяет с адреслистами?

резолвить и добавять тогда?

он берет адрес и смотрит поочередно принадлежит ли адрес диапазону каждого адреслиста?

оно от 35К проверок каждого пакета не ляжет?

резолвить и добавять тогда?

добовляй промо домены в адрес лист

резолвить и добавять тогда?

сколько памяти на железке?

добовляй промо домены в адрес лист

я пробовал так. почему-то у меня резолвит на ип заглушки

сколько памяти на железке?

128

я пробовал так. почему-то у меня резолвит на ип заглушки

правильно, так как вышестоящий провайдер их блочит

ERROR: S client not available

и идёт перенаправленияе DNS на сервера провайдера

попробуй по IP зайди

Это вы от роскомпозора закрываетесь?

и идёт перенаправленияе DNS на сервера провайдера

я не понимаю, как они "вламываются" в ответы днс, если у меня траф до 8.8.8.8 идет по впн?

Это вы от роскомпозора закрываетесь?

тип того)

я не понимаю, как они "вламываются" в ответы днс, если у меня траф до 8.8.8.8 идет по впн?

точно также как и прозрачная проскя, обычный dst-nat

тип того)

Очень хуевая затея микротом закрываться

точно также как и прозрачная проскя, обычный dst-nat

а как же шифрование внутри впн?

вспоминая вчерашнее

Вообще блокировки у нормальных людей нихера не на Днс основаны

вайршарком щас смотрю - фейковый ответ на резолв рутрекера идет с ттл=126 первым, следом за ним с ттл=59 корректный

Так как блочить необходимо урлы и в редких случаях домены

по ип наверняка

на микроте можно дропать пакеты с определенными ттл?

да, есть такое поле

add action=drop chain=forward log=yes ttl=equal:126

jyj&

оно?ъ

ну типа да

ну типо по нулям по всех цепочках) не ловит...

стоп

а у тебя точно 8888 прописан на компе? не тик?

если запрос от тика то таки наверное инпут режь

на компе 1м - тик, 2м - 8.8.8.8, 3м - 8.8.4.4 правила /ip firewall filter add action=drop chain=forward log=yes ttl=equal:126 add action=drop chain=output log=yes ttl=equal:126 add action=drop chain=input log=yes ttl=equal:126 все 3 по нулям

форвард с 125 - вуаля)

резолвит правильно, открывает (вроде бы...)

фильтр

а он походу после того как ТТЛ уменьшило

http://wiki.mikrotik.com/images/thumb/2/2a/IP_final.png/700px-IP_final.png

Я бы херачил домены в Днс и принудительно заворачивал днс запросы, а не каждый пакет обрабатывал файером

А вообще по уму нужно л7 фильтровать, но не микротом

дир100 с урл фильтром