C:\Users\chemax.GMKZOLOTO\Projects\iperf>iperf3 -r iperf3: unknown option -- r

а теперь до заголовка таблицы вверх листани

старнно они мануал делают =)

истинно так

значит версию 2 бери

ну я так и написал же :) %)

у меня iperf 2.0.4 и там есть дуалтест

Попробуй -R

вот

iPerf2 Features Not Supported by iPerf3 : Bidirectional testing (-d / -r)

забавно, короче нужна версия постарше просто

Попробуй -R

это просто в обратном порядке тест

у когонить есть такой?

я давеча заказал бэкапный 1036-12-4 пришедший с 6.35.4 - к удивлению он не способен даунгрейдиться ниже заводской прошивки.. Суппорт подтвердил что это нормально. Я возмущался, но бесполезно.

я давеча заказал бэкапный 1036-12-4 пришедший с 6.35.4 - к удивлению он не способен даунгрейдиться ниже заводской прошивки.. Суппорт подтвердил что это нормально. Я возмущался, но бесполезно.

ну вот проблема другая. эта тварь виснет иногда. есть ещё куча 1036 которые не висли ни разу. а этот уже несколько раз

это просто в обратном порядке тест

Я тебя не правильно понял

ну вот проблема другая. эта тварь виснет иногда. есть ещё куча 1036 которые не висли ни разу. а этот уже несколько раз

а что пишет суппорт? Я как-то настраивал watchdog с автоматическим supout. Он на голом конфиге тоже виснет? У меня одно правло было, которое вообще превратило продакшн раутер в кирпич, и мне пришлось всё бросать и ехать в датацентр

супорт отреагировал небыстро, включили фикс в последний RC

а что пишет суппорт? Я как-то настраивал watchdog с автоматическим supout. Он на голом конфиге тоже виснет? У меня одно правло было, которое вообще превратило продакшн раутер в кирпич, и мне пришлось всё бросать и ехать в датацентр

а чё писать в суппорт? вачдог включен, толку нет. в логах пустота. автосупаут выключен был. экран горел с надписью "мекротик".

а чё писать в суппорт? вачдог включен, толку нет. в логах пустота. автосупаут выключен был. экран горел с надписью "мекротик".

они по supout и полному бэкапу смогли раскопать мою проблему

Я тебя не правильно понял

это потому что я енот, да? :(

рецепт был прост - поставить такое правило в прошивке 6.28 — 6.32.2 - ключевое слово 0/0s - и сделать апгрейд - после этого он виснет намертво add chain=input comment="Allow unlimited pings from X" limit=0/0s,0 \ protocol=icmp src-address-list=excess-ping-allow

они по supout и полному бэкапу смогли раскопать мою проблему

буду ждать теперь. месяцок мож

буду ждать теперь. месяцок мож

мне отвечали в течении рабочего дня - из америки пишу днём, они в 5 утра по НЙорку отвечают из Латвии

их SLA 3 рабочих дня, обычно быстрее

мне отвечали в течении рабочего дня - из америки пишу днём, они в 5 утра по НЙорку отвечают из Латвии

да не. ждать пока зависнет опять

да не. ждать пока зависнет опять

понял, а он на reset-config пустом конфиге тоже виснет?

я ещё нашел баг, с тормозами с PPPoE. С 9-го числа жду ответа

понял, а он на reset-config пустом конфиге тоже виснет?

а как определить? сбросить и ждать месяц?

надо им напомнить может

в любом случае CCR во сколько раз дешевле эквивалентной циски? я в итоге купил запасной

да какая разница дешевле не дешевле

факт что из кучи виснет один только. обидно

разница в том, что какие есть другие варианты?

1072 :)

до ccr у меня был zyxel usg 200, его приплющивало 100 мегабитами трафика - цпу на 100% и привет - года 3 назад

1072 если тоже попадётся без демонов завешивающих его :)

вообще в целом - клаудкоры охуенные железки. но чем глубже в лес..

да, и даже hAP настольный за 105 долл по функциональности кроет всех конкурентов

Кто пользует OpenVPN на микротике, есть заметная разница если разворачивать на linux машине ? Скоросте передачи медленная ?

Кто пользует OpenVPN на микротике, есть заметная разница если разворачивать на linux машине ? Скоросте передачи медленная ?

В ближайшее время собираюсь поднять на микротике. По идее, от железки будет зависеть - если процессор нормальный, то проблем не должно быть и разницы тоже.

у меня routerOS

Я про железо. У меня 951, там процессор на 600 MHz, этого за глаза хватить должно.

хз, надо пробывать

смотреть

Я про железо. У меня 951, там процессор на 600 MHz, этого за глаза хватить должно.

Мегабит 10 выжмет. И openvpn в MT не умеет udp.

Да, кстати

А там есть возможность только определенный траффик гнать через VPN? По какому-нибудь фильтру?

Через policy based routing можно

отлично, надо будет разобраться

Мегабит 10 выжмет. Думается мне нужно ставить на линукс машину и голову не долмать

В идеале - нужен аппаратный AES

Основная просадка там из-за шифрования

Можно попробовать chacha20, на железках без AES, но не уверен, что MT его поддерживает

Кто пользует OpenVPN на микротике, есть заметная разница если разворачивать на linux машине ? Скоросте передачи медленная ?

Существенно медленнее, плюс нет поддержки udp и lzo. Так что лучше на линухе

Доброе утро. А то, что в /ip firewall nat нельзя добавить фильтры по connection-nat-state — это известная проблема, да?

Доброе утро. А то, что в /ip firewall nat нельзя добавить фильтры по connection-nat-state — это известная проблема, да?

mangle

Метки соединений уже заняты, увы

Если бы их можно было больше одной...

метки пакетов юзай ?

метки пакетов юзай ?

А, вот ещё что спрошу. Если на соединении уже есть метка, а я в правиле одновременно её матчу и перезаписываю — это сработает?

а хз. никогда так не делал. по идее должно работать. но это по идее ?

ERROR: S client not available

Иван, если тебе надо отдельные пакеты пометить то в пакете есть много полей для изменения. тот же DSCP/TOS

вешай там нужное значение и по нему работай ?

Мне надо соединения пометить. Везде пишут, что метки пакетов много процессорного времени жрут.

И ещё: SNAT/DNAT — это ведь тоже свойства соединения? Их не нужно применять к каждому пакету? Или нужно?

название же CONECTION-nat-state ?. Тоесть это свойства соеденения. но проверять можно отдельные пакеты

а ты что сделать то хочешь?

озвучь задачу. может есть более простые пути

Доброе утро. А то, что в /ip firewall nat нельзя добавить фильтры по connection-nat-state — это известная проблема, да?

напиши пожалуйста задачу, которую ты решаешь. Очень похоже что есть архитектурная проблема.

напиши пожалуйста задачу, которую ты решаешь. Очень похоже что есть архитектурная проблема.

Некое подобие Hairpin NAT. Есть роутер, у него есть внешний интерфейс (с "белым" IP-адресом), LAN и несколько туннелей в другие подсети через IPsec и OVPN. Есть несколько правил DNAT следующего вида: chain=dstnat dst-address=<внешний адрес> <какие-то условия> action=dst-nat <куда-то там>. Ну, обычные перенаправления портов. Теперь проблема: при некоторых комбинациях адресов происходит только DNAT, но не SNAT, вследствие чего сервер отвечает сразу инициатору соединения, пакет уходит другим маршрутом и инициатор получает ответ не с того адреса. Поэтому я хочу добавить несколько правил, которые будут форсировать SNAT, если уже есть DNAT и определённые комбинации src/dst-address.

Например: add chain=srcnat src-address=10.159.230.0/24 dst-address=10.159.230.0/24 connection-nat-state=dstnat action=masquerade. Но connection-nat-state нельзя.

Некое подобие Hairpin NAT. Есть роутер, у него есть внешний интерфейс (с "белым" IP-адресом), LAN и несколько туннелей в другие подсети через IPsec и OVPN. Есть несколько правил DNAT следующего вида: chain=dstnat dst-address=<внешний адрес> <какие-то условия> action=dst-nat <куда-то там>. Ну, обычные перенаправления портов. Теперь проблема: при некоторых комбинациях адресов происходит только DNAT, но не SNAT, вследствие чего сервер отвечает сразу инициатору соединения, пакет уходит другим маршрутом и инициатор получает ответ не с того адреса. Поэтому я хочу добавить несколько правил, которые будут форсировать SNAT, если уже есть DNAT и определённые комбинации src/dst-address.

эээм, очень странно. Похоже что у тебя просто нехватает нужных правил для SNAT, их просто нужно добавить. Поставь несколько правил (для разных интерфейсов, например) с логированием в низу списка талицы Firewall - NAT и ты увидишь что не попало в правила выше, сможешь сделать выводы и дополнить таблицу штатными правилами, без извращения Connetction State

эээм, очень странно. Похоже что у тебя просто нехватает нужных правил для SNAT, их просто нужно добавить. Поставь несколько правил (для разных интерфейсов, например) с логированием в низу списка талицы Firewall - NAT и ты увидишь что не попало в правила выше, сможешь сделать выводы и дополнить таблицу штатными правилами, без извращения Connetction State

Ну да, я об этом и пишу, нужно добавить какие-то правила для SNAT, но чтобы они работали только если уже был сделан DNAT (чтобы туда ничего лишнего не попало случайно).

Например, есть ещё такой сценарий: порт форвардится узлу через VPN. Тогда, если запрос приходит от узла в Интернете, сервер в другой подсети отвечает ему не тем же маршрутом, а кратчайшим (через свой default gateway).

Ну да, я об этом и пишу, нужно добавить какие-то правила для SNAT, но чтобы они работали только если уже был сделан DNAT (чтобы туда ничего лишнего не попало случайно).

у тебя известны адреса, протокол и номера портов, делай SNAT на основании этих данных и ничего лишнего не улетит.

Ну там много чего может быть.

Смотри.

Или показывай конфиги, попробуем на кофейной гуще погодать

Хотя ладно, я ещё подумаю немного, мб придумаю такие правила, чтобы они ловили только то, что нужно. src-address-то может быть любым.

И если я делаю запрос из LAN к серверу в VPN, то SNAT делать не нужно. А если я делаю DNAT (к тому же серверу) пакету, который пришёл из интернета, то ему нужно ещё и SNAT сделать.

Хотя ладно, я ещё подумаю немного, мб придумаю такие правила, чтобы они ловили только то, что нужно. src-address-то может быть любым.

зато D адрес всегда известен

Но его недостаточно (см. выше).

Но его недостаточно (см. выше).

для трафика который ты пробросил у тебя известны минимум три параметра, просто отзеркаль их (D порт станет S портом и так далее) и создай S правило.

начни с логирования и станет понятно какой трафик ходит. Постепенно сужая правило ты получишь то что нужно

Тут надо мангл ковырять

Тут надо мангл ковырять

очень похоже, что одно лишь добавление нужного исходящего маршрута не решит проблему, так как source nat всё равно придётся наложить, и обратное, возможно, верно, наложение snat возможно будет не достаточно для правильного выбора маршрута в данном случае.

нет такого

routerboard.com в помощь

бля почему все думают, что микротик это панацея от всего и вся

настраивается как угодно?

бля почему все думают, что микротик это панацея от всего и вся

почему бы нет?