EC
Size: a a a
2017 November 18
A
Или jtag
EC
Не помогает. А подключится кроме как кабелем не могу.
АГ
НетИнсталл её не видит?
EC
К сожалению нет
SG
Гарантийный случай
2017 November 19
АС
коллеги, вопрос про маркировку трафика.
как вы знаете, чтобы снизить нагрузку на оборудование, рекомендуется маркировать только новые соединения. У меня реализована маркировка исходящего соединения таким образом.
/ip firewall mangle
add action=mark-connection chain=output comment=sstp_c connection-state=new \
dst-port=443 new-connection-mark=sstp_c passthrough=yes protocol=tcp \
src-address=172.25.13.1
add action=mark-routing chain=output comment=sstp_r connection-mark=sstp_c \
new-routing-mark=route_sstp passthrough=no
во втором правиле нет условия маркировать только новые соединения. Я так понимаю этого и не нужно, т.к. это правило исходит из первого? просто меня смущает счетчик пакетов. во втором правиле его значение гораздо больше.
как вы знаете, чтобы снизить нагрузку на оборудование, рекомендуется маркировать только новые соединения. У меня реализована маркировка исходящего соединения таким образом.
/ip firewall mangle
add action=mark-connection chain=output comment=sstp_c connection-state=new \
dst-port=443 new-connection-mark=sstp_c passthrough=yes protocol=tcp \
src-address=172.25.13.1
add action=mark-routing chain=output comment=sstp_r connection-mark=sstp_c \
new-routing-mark=route_sstp passthrough=no
во втором правиле нет условия маркировать только новые соединения. Я так понимаю этого и не нужно, т.к. это правило исходит из первого? просто меня смущает счетчик пакетов. во втором правиле его значение гораздо больше.
VP
коллеги, вопрос про маркировку трафика.
как вы знаете, чтобы снизить нагрузку на оборудование, рекомендуется маркировать только новые соединения. У меня реализована маркировка исходящего соединения таким образом.
/ip firewall mangle
add action=mark-connection chain=output comment=sstp_c connection-state=new \
dst-port=443 new-connection-mark=sstp_c passthrough=yes protocol=tcp \
src-address=172.25.13.1
add action=mark-routing chain=output comment=sstp_r connection-mark=sstp_c \
new-routing-mark=route_sstp passthrough=no
во втором правиле нет условия маркировать только новые соединения. Я так понимаю этого и не нужно, т.к. это правило исходит из первого? просто меня смущает счетчик пакетов. во втором правиле его значение гораздо больше.
как вы знаете, чтобы снизить нагрузку на оборудование, рекомендуется маркировать только новые соединения. У меня реализована маркировка исходящего соединения таким образом.
/ip firewall mangle
add action=mark-connection chain=output comment=sstp_c connection-state=new \
dst-port=443 new-connection-mark=sstp_c passthrough=yes protocol=tcp \
src-address=172.25.13.1
add action=mark-routing chain=output comment=sstp_r connection-mark=sstp_c \
new-routing-mark=route_sstp passthrough=no
во втором правиле нет условия маркировать только новые соединения. Я так понимаю этого и не нужно, т.к. это правило исходит из первого? просто меня смущает счетчик пакетов. во втором правиле его значение гораздо больше.
По идее все правильно. Соедниния согут быть еще родственными и невалидными, под первое правило они не попадут, поскольку не будут иметь флаг нью, а под второе - запросто, если будут иметь нужную метку. Можно включить логирование на втором правиле и посмотреть подробно, что в него залетает.
АС
спасибо. попробую...
VP
ИМХО, для разгрузки, целесообразно эти два правила заменить одним типа: add action=mark-routing chain=output comment=sstp_r connection-state=new dst-port=443 new-routing-mark=route_sstp passthrough=no protocol=tcp src-address=172.25.13.1
VP
Всем привет, коллеги, возьмется ли кто-нибудь разьяснить или дать ссылку на документацию по теме route rules, а именно - чем принципиально отличается action lookup от lookup-only-in-table? В вики не нашел, а экспериментами пока отличия не вижу...
Д
Глянь последний МУМ там как раз самый первый докладчик рассказывает про отличия по моему
Д
Александр Чудин
АС
Всем привет, коллеги, возьмется ли кто-нибудь разьяснить или дать ссылку на документацию по теме route rules, а именно - чем принципиально отличается action lookup от lookup-only-in-table? В вики не нашел, а экспериментами пока отличия не вижу...
тем что в lookup in table означает в пределах этой таблицы. соединение н5 уйдет никуда больше кроме как в эту таблицу
VP
ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 A S ;;; Marked Volia Main
dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 77.121.18.8 pppoe-volia check-gateway=ping distance=1 scope=30 target-scope=10
routing-mark=to_volia
4 A S ;;; Unmarked Volia
dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 77.121.18.8 pppoe-volia check-gateway=ping distance=1 scope=30 target-scope=10
6 DS dst-address=0.0.0.0/0 gateway=pppoe-volia gateway-status=pppoe-volia reachable distance=34 scope=30 target-scope=10
ip route rule print detail
Flags: X - disabled, I - inactive
0 ;;; From Triolan
src-address=109.87.xxx.xxx/32 interface=ether2 action=lookup table=to_triolan
1 ;;; From Volia
src-address=93.76.xxx.xxx/32 interface=pppoe-volia action=lookup-only-in-table table=to_volia
По идее при такой настройке в таблице to_volia есть только один маршрут - маршрут по умолчанию. Но, при этом:
ping src-address=93.76.ххх.ххх 192.168.108.60 count=4
SEQ HOST SIZE TTL TIME STATUS
0 192.168.108.60 56 128 1ms
1 192.168.108.60 56 128 4ms
2 192.168.108.60 56 128 1ms
3 192.168.108.60 56 128 1ms
sent=4 received=4 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=4ms
Т.е. пинг в локалку идет и из локалки тоже:
ping 93.76.xxx.xxx
Обмен пакетами с 93.76.xxx.xxx по с 32 байтами данных:
Ответ от 93.76.xxx.xxx: число байт=32 время=28мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Статистика Ping для 93.76.xxx.xxx:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 28 мсек, Среднее = 7 мсек
Получается пакеты таблицу покидают?
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
0 A S ;;; Marked Volia Main
dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 77.121.18.8 pppoe-volia check-gateway=ping distance=1 scope=30 target-scope=10
routing-mark=to_volia
4 A S ;;; Unmarked Volia
dst-address=0.0.0.0/0 gateway=8.8.4.4 gateway-status=8.8.4.4 recursive via 77.121.18.8 pppoe-volia check-gateway=ping distance=1 scope=30 target-scope=10
6 DS dst-address=0.0.0.0/0 gateway=pppoe-volia gateway-status=pppoe-volia reachable distance=34 scope=30 target-scope=10
ip route rule print detail
Flags: X - disabled, I - inactive
0 ;;; From Triolan
src-address=109.87.xxx.xxx/32 interface=ether2 action=lookup table=to_triolan
1 ;;; From Volia
src-address=93.76.xxx.xxx/32 interface=pppoe-volia action=lookup-only-in-table table=to_volia
По идее при такой настройке в таблице to_volia есть только один маршрут - маршрут по умолчанию. Но, при этом:
ping src-address=93.76.ххх.ххх 192.168.108.60 count=4
SEQ HOST SIZE TTL TIME STATUS
0 192.168.108.60 56 128 1ms
1 192.168.108.60 56 128 4ms
2 192.168.108.60 56 128 1ms
3 192.168.108.60 56 128 1ms
sent=4 received=4 packet-loss=0% min-rtt=1ms avg-rtt=1ms max-rtt=4ms
Т.е. пинг в локалку идет и из локалки тоже:
ping 93.76.xxx.xxx
Обмен пакетами с 93.76.xxx.xxx по с 32 байтами данных:
Ответ от 93.76.xxx.xxx: число байт=32 время=28мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Ответ от 93.76.xxx.xxx: число байт=32 время=1мс TTL=64
Статистика Ping для 93.76.xxx.xxx:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 1мсек, Максимальное = 28 мсек, Среднее = 7 мсек
Получается пакеты таблицу покидают?
VP
Глянь последний МУМ там как раз самый первый докладчик рассказывает про отличия по моему
Спасибо, посмотрел.
2017 November 23
AS
В сетке есть разрешенные ип для инета и запрещённые. В дхцп прописана привязка мака и ип. Школьники узнали разрешенные маки и меняют на своих девайсах
В этой ситуации без радиуса никак?
В этой ситуации без радиуса никак?
A.
Можно ещё правила с маркировкой пакетов
i
Сделайте кептив портал
i
На последнем мум была лекция даже для двухфакторной аутентификации на фаерволле