Anonymous
ну да... вариант... проще белые списки фигачить, чем чёрные
Евгений
Кроме OpenVPN есть ещё и socks и ssh и web прокси даже в виде плагинов - если реально ставить цель запретить все - лито отлавливать провайдерские IP, GeoIP других стран и прочее - по принципу нельзя ничего кроме того что можно
Ssh бессмысленно запрещать. Замаскировать просто. В смысле под другой трафик.
Алексей
Wan-port может являться slave для мастер-порта который еще и в бридже с соседней свитч группой?
Ахмет
а смысл?
Ахмет
тем что если у тебя в ван пришел дхцп, то адрес получит кто быстрее из твоего бридже-свиче-вана очухается, например. это может быть и ван порт с его дхцп клиентом, и кто то воткнутый в этот же бридж с дхцп клиентом.
Ахмет
это первое что пришло в голову, например
Ахмет
ты не сможешь сделать маскарад, потмоу что в случае бриджа он делается на бридж, а не на порт
Ахмет
ибо порт в слейве.
Evgenii
Тебе поможет virtual ethernet
Evgenii
Эту штуку можно создать для любого физического порта. К сожалению в crh нет такого.
Evgenii
Но в железных микротиках есть
Evgenii
Получай разные ip и запихивай в разные bridge
Evgenii
С одним физическим портом
Алексей
да я так на всякий случай спросил, млао ли что, по идее щас отцеплю от свитч группы, просто повещу на бридж два айпишника, вообще бестпрактис есть по такой теме? ну чтобы было два интернета для двух разных сетей, моё видение такое: у меня две свитч группы, мастеорпорт каждой из групп в бридж, а на бридж просто вешать шлюзовые айпи для каждой из сетей. более правильные схемы есть, навскидку?
Evgenii
Ты не сможешь добавить в 2 бриджа 1 порт :)
Алексей
нет нет, я и не планирую :)
Evgenii
Это невозможно ни только для микротика, а в принципе
Evgenii
Не знаю как ты разрулишь 2 сети с 1м бриджем
Evgenii
Сделай virtual ethernet на порту
Evgenii
Будет проще просто
Evgenii
У тебя 2 интернета с 1 порта, правильно же я понял?
Алексей
нет :) дв аразных :)
Evgenii
Тогда я ничего не понял, опиши еще раз)
Алексей
мне проще тебе позвонить :)
Evgenii
Тёплое с мягким. Эта штука для метароутера нужна и всё
Через эту штуку можно обойти ограничение на добавление 1 порта в 2 бриджа, если провайдер отдает 2 ip через 1 интерфейс и нужно каждый добавить в бридж
Evgenii
Поясню для чего
Evgenii
Можно объединить ethernet-over-ip с wan интерыейсом через бридж и получать ip адрес от провайдера на удаленном микротике.. когда мне это было нужно, работало
Evgenii
Но я уже понял, что у нас все гораздо проще, будет схема, посмотрим
Moneron 🇷🇺
Evgenii
ну если IP не 2, а больше и каждый нужно доставить к удаленному микротику по L2 прямо (прямо в провайдера воткнуть так сказать)
Moneron 🇷🇺
Ну, а один бридж Вам тут чем не угодил?
Moneron 🇷🇺
Пачку еоипов в него и всё
Moneron 🇷🇺
Бридж = софтварный свитч
Evgenii
да это понятно.. мне на тот момент казалось что будет больше изоляции если клиенты будут в разных бриджах
Moneron 🇷🇺
Поэтому добавив извращённым образом порт в два бриджа вы всё равно в итоге получаете единый бродкастовый домен
Moneron 🇷🇺
Изоляция между портами бриджа достигается выставлением одинакового horizon
Evgenii
спасибо за совет 👍
Evgeny
Подскажите, сохраняется ли тег 802.1p при прохождении через бридж? Или нужно снова маркировать на выходе?
Moneron 🇷🇺
Сохраняется
Evgeny
Спасибо.
Evgeny
А правильно ли я понимаю, что на дешевых железках, даже типа hex (r3) мы не имеем возможности маркировать трафик с помощью коммутатора?
Evgeny
И вообще, а есть ли там кольцевой буфер? Работает ли 802.1p ? Как с ним управляться? Или нужно городить через queue деревья на интерфейсы?
Evgeny
Просто замечаю, что трафик с 2 портов (с 2 вланов на этих портах) уходя с обоих в третий порт иногда дропается... Сомнений нет, что это микроберсты, но как их "гладить" правильно?
Moneron 🇷🇺
А правильно ли я понимаю, что на дешевых железках, даже типа hex (r3) мы не имеем возможности маркировать трафик с помощью коммутатора?
Маркировать трафик можно аппаратно только на crs
Moneron 🇷🇺
И вообще, а есть ли там кольцевой буфер? Работает ли 802.1p ? Как с ним управляться? Или нужно городить через queue деревья на интерфейсы?
Есть ещё бриджовый фаервол, кроме мангла
Evgeny
Есть ещё бриджовый фаервол, кроме мангла
Это да, но это ведь ресурсы процессора а не коммутатора. Ну хотя и хрен с ним, железки то не операторского класса...
Evgeny
Ну а про буфер на железках (дешевых вроде хекса)? Есть он нет? Различает ли он на выходе 802.1p помещая в очередь или пуская вперед при необходимости? И почему от микроберстов дропы получаются?
Moneron 🇷🇺
Это да, но это ведь ресурсы процессора а не коммутатора. Ну хотя и хрен с ним, железки то не операторского класса...
Да, поэтому только на проце. CRS очень много фич с приоритезацией умеют вытворять, именно на уровне свитч-чипа. Но в настройке они крайне неочевидны
Evgeny
Да, поэтому только на проце. CRS очень много фич с приоритезацией умеют вытворять, именно на уровне свитч-чипа. Но в настройке они крайне неочевидны
Да, когда озадачился вопросами qos полез в вики читать про crs-ы... в общем был очень приятно удивлен.
Moneron 🇷🇺
А я озадачился вопросами IPv6 на RouterOS
Andrey
Отличное озадачивание :) некоторое время назад протуннелировал в домашнюю локалку hurricaneelectric, разбираюсь по-тихому
Oleg
Ну как-то не всегда адекватно себя ведёт
Moneron 🇷🇺
А я по ипв6 прибиваюсь
Moneron 🇷🇺
Очень интересная тема
Moneron 🇷🇺
Moneron 🇷🇺
Это на виртуалке
Moneron 🇷🇺
Чистый ипв6
Moneron 🇷🇺
Moneron 🇷🇺
Moneron 🇷🇺
Это настройки MT1
Moneron 🇷🇺
Я у HE урвал /48
Дмитрий
Предлагаю организовать мини фак по мотивам нашей группы, соберём все на одном сайте, каждый сможет написать свою статью, в отличии от вики и других прочих будет практический опыт и узкая специализация ... все самое нужное под рукой ?
J8nny
+1
Moneron 🇷🇺
Ставьте в сообщениях #хэштеги
Алексей
+1
Алексей
Готов скидываться на хостинг.
Дмитрий
Хостинг не проблема как и домен и прочие расходы главное контент, одному долго и не факт что будет такой опыт - другое дело сообщество
Дмитрий
По хештегам прикольно конечно но нет простого степ бай степ гуид :( и разбора полетов коментов к конкретной проблематики приходится рыскать по разным форумам и сайтам зачастую это магазины или пару статей без четкой классификации задач
Алексей
Такой ресурс был бы интересен многим, но есть же и чат местный вроде как...
Дмитрий
Хабр и хакер ру то же не показатель там все в одну кучу свалено
Алексей
kb штука дельная
Дмитрий
Если сообщество будет расти искать сообщения за 2016 год #тег будет не удобно + решения не описываются полностью, в общем кому как, если есть желание ставьте +
решение принимает тренер ... думаю многие смогут помочь и для себя же будет справочник ..?
Алексей
Если сообщество будет расти искать сообщения за 2016 год #тег будет не удобно + решения не описываются полностью, в общем кому как, если есть желание ставьте +
решение принимает тренер ... думаю многие смогут помочь и для себя же будет справочник ..?
Ну вообще тренерам не очень выгодно, если по чесноку 😊
Дмитрий
Очень выгодно )) индексация и привлечение новых учеников, сертификаты все равно нужны будут, а те кто сам учится, тот и так найдёт инфу
Дмитрий
+ тренерам за базу и реальное сообщество, а не как после ПТУ ;)
Если коммерциализировать я бы рейтинги авторам добавил и некое подобие найма за работу или обучение. Но речь не об этом. Заработать в смысле можно и давая знания бесплатно.
Moneron 🇷🇺
Кстати, кто хочет eve-ng, нашпигованную образами по самое не балуйся, устанавливайте себе прогу resilio sync