Comments 56
Как это лечить?
Ну мы же не будем вешать ZyWall на уличный столб)
Zywall. IPSEC железный где?А толку нету эта адская железка загибалась постоянно в мониторинге при любой непонятной ситуации на Zywall проц в полку и как говориться SLA в топку, крайне не рекомендую данное железо лет 10 жизни оно у меня отняло пока на CCR не перешли…
Судя по вопросу, имеется в виду какая-то специфичная нагрузка. Какая?
В целом, маршрутизации и аппаратные АйпиСеки всякие там на всех ядрах работают.
/ip dns set allow-remote-requests=no
На устройстве отключится DNS сервер. Для всех.
Далеко не каждый, кто хоть как-то обременен знаниями в области сетевых технологий, сделает простейшую «лабу» по его настройке.
Лично я столкнулся с:
1. Периодически переставали коннектиться l2tp клиенты с ipsec-ом. Заходишь в консоль или web, ребутаешь и какое-то время можно прицепиться удаленно по l2tp. Оказалось, что мешает связка UpNP в микротике и работающая с iCloud Time Capsule от Apple. Выключил UpNP и все заработало.
2. В один момент я его «потерял» и возвращал к завадским. Не знаю как, но я оказался одним из DDOS-еров с использованием DNS. Оказалось, что у него открылся DNS UDP/53 с внешнего интерфейса и на меня летели пакеты с «левого» IP (с адреса жертвы). В итоге, с меня шел поток примерно в 3Мбит/с в сторону жертвы.
3. Решил побороться с мультикастом в сети. Для этого купил switch от того же МТ. Настройка trunk/vlan заняла 3-и вечера. Повторюсь, что я не на столько зелен, чтобы столько времени на это убивать, но это уже было дело чести.
4. Миграция с 750gr2 на 750gr3 тоже оказалась не проста. Простой backup/restore не прошел. Почему-то на новой коробке все интерфейсы оказались перепутаны и многие команды/правила (особенно FW) залились криво (один из интерыейсов остался с дефолтным именем). В итоге, вливал партиями по категориям с полной выверкой всех параметров. На это тоже ушло 2-а вечера.
5. В последней пршивке после захода в графики (аналог mrtg) перестает работать web-морда. Почему не работает я пока не разобрался. Просто ребутаю коробку из ssh терминалки или питанием. Я даже пошил rc версией, но это тоде не помогло. Откат был с перезаливкой софта в рекавери мод и восстановлением из backup.
6. Еще обнаружил, что даже если на winbox (или как там называется эта приблуда) установить сеть откуда можно в нее стучаться, то ее порт (номер не помню) все равно отвечает с WAN интерфейса. Зайти, правда, не дает.
Несмотря на это, я все равно не вижу альтернативы для домашнего или малоофисного применения. Этот «пластик» не дает мозгам заржаветь.
В моих домашних RB951Ui-2HnD и hap Lite такого нет)
Правильно ли я понимаю, что вы в рабочую среду с белым адресом на LTE-интерфейсе установили роутер с девственно чистым фильтром файрвола (и единственный костыль добавили, когда роутер начали использовать для DNS Amplification) — и прилюдно рекомендуете так делать, удаляя правила, которые "случайно" находятся там по умолчанию, добавленные ничего не понимающим в этом производителем? Это и есть ваше "настроить самостоятельно"?
Надеюсь, хотя бы пароль поменяли не на 12345...
Если интересно, руководствовался правилом белых списков, всё что не разрешено — drop.
Я всегда думал, что микротик осуществляет маршрутизацию за счёт цпу, а коммутацию за счёт switch чипа, ткните носом в документацию пожалуйста! В официальной Вики не нашел, либо я слепой…
Ещё есть прекрасная по своей простоте, но от этого не менее гениальная презентация с MUM:
mum.mikrotik.com/presentations/IT14/starnowski.pdf
Upd, невнимательно прочитал коммент, это опечатка
Если она сейчас выполняет нужные функции, при развитии локальной инфраструктуры могут появиться сложности. Лучше бы все же дошли до варианта с VLANами, благо это стандарт, и не зря.
Минусы данной схемы:
1. Бродкаст от всех внутренних узлов на данный момент у вас получают все остальные. С каждым новым хостом количество паразитического трафика растет.
2. Потенциальный контроль трафика между сетями в данной схеме не может быть корректно осуществлен. Любой узел, взяв адресацию другой сети, имеет к ней доступ в обход гейтвея.
3. Та же проблема с любым мультикастом — каждый узел может получить доступ к любому мультикаст трафику на объекте.
Это что приходит на ум на лету, потенциально тут еще больше подводных камней. Лично мой совет разработать более корректный дизайн и при следующем планируемом отключении на объекте — осуществить.
P.S. Статья не плохая! Успехов с МикроТиками, они и вправду не имеют конкурентов в определенном сегменте, данная железка — один из таких!
И,
Не могу сказать, что гуру в MikroTik, у меня их всего штук восемь на хозяйстве, но ИМХО, автор статьи слаб в сетях и системном подходе, ляп на ляпе, я бы не посоветовал данную статью как источник информации.
И,
По поводу производительности, буквально вчера гонял стенде два RB3011, порт в порт — IPSEC, на внутреннем генераторе трафика, UDP/TCP, packet size 1000, скорость в пределах 37Мб/сек в одном направлении, в двух ~22Мб, загрузка одного ядра — 100%, второе в простое, RouterOS 6.39.4
Я за саморазвитие, наверно как и большинство, обучался самостоятельно и методом проб/ошибок, буду очень рад конкретному, развернутому ответу.
1.Не нужно ставить сразу новейшую прошивку. Исходя из разумной достаточности, нужно поставить последнюю предыдущую, ибо в ней уже пофиксены многие баги. У Микротика сейчас 6.40.1, значит берем 6.39.4.
2.Ставить на удаленную площадку не обкатанную железку — моветон. Ибо высока вероятность мучений на объекте. Также, вероятность отказа электронного оборудования (из моих знаний) распределяется следующим образом: первые 14 дней вероятность отказа высока (заводской брак), следующие 3-5 лет вероятность отказа низка, далее — вероятность отказа высока. Отсюда вывод — перед установка в продакшен обкатать хотя бы неделю на стенде.
3.Нехороших людей в сети много, поэтому, второе, что нужно сделать после запуска интерфесов и маршрутизации — прописать «жесткий» ACL, разрешить только явно нужное, остальное запретить. Из локальной сеть — reject, из публичной — drop.
Неплохо повесить на внешний интерфейс правила считающий кол-во SYN пакетов в единицу времени и добавляющие в некий список src ip. Следующим правилом дропать пакеты с src ip из созданного списка.
4.«Маршрутизацию между подсетями Mikrotik добавит автоматически и будет осуществлять силами switch-чипа, тем самым не создавая нагрузку на процессор» — с моей точки зрения — абсурд. Свитч — устройство второго уровня и маршрутизацией заниматься не умеет, его задача коммутировать кадры между портами на основании MAC адресов, у вас на уст-ве один сетевой интерфейс, поэтому речь про коммутацию идти как-бы не должна, ибо у Вас IP адреса, а это третий уровень. С моей точки зрения все пакеты пойдут в ядро. И как правильно замечено выше — перейти из сети в сеть не составит труда и каждая сеть будет флудить другую широковещательными пакетами. Если это Ваш конечный вариант, то правильнее, ИМХО, прописать на внутреннем интерфейсе правила форварда разрешающие пакеты только между внешним и внутренним инт., а пакеты из внутреннего инт. во внутрениий (т.е. остальные) — дропать.
Конечно, софт на Вашем уст-ве может выступать в роли маршрутизатора, но вешать на него несколько сетей нехорошо, если нужно реально разделить внутрение сети, то правильнее поставить после него коммутатор третьего уровня или много-портовый маршрутизатор. VLAN дело конечно хорошее, но в Ваших условиях, мне кажется лучше не станет, поскольку трафик из транка все одно придет в ядро и ему придется решать, что с ним делать (исключая широковещательный трафик, который останется в своем вилане.)
5. Ваше уст-во содержит направленную антену, не «омни». Если у Вас сота на расстоянии 100 метров, то это все, если же вы «пробиваете» километр и больше, то необходимо задуматься о точном выставлении на соту и о зонах Френеля. Об этом ни слова.
Пойдет снег, сильный дождь и качество канала просядет — нужно принять превентивные меры, что бы избежать «отказа в обслуживании».
7.Ничего не сказано про VPN. А это важно, в особенности при использовании радиоканала, который не очень хорошо «переносит» большие пакеты. Хотя если у вас просто доступ из локалки к сайтам, то это не нужно. MTU на внешнем инт. я бы «зажал», хотя бы до 1000. «Вялый» канал все же лучше, чем канал с «дропами».
8. И последнее — из Вашей статьи сложно почерпнуть, что то иное, кроме инструкции и ФАК'а на уст-во.
Проблема — поработав несколько часов без потребления интернета (ночью, когда никого нет), он перестает раздавать интернет (веб-интерфейс при этом доступен), помогает только перезагрузка.
Как вылечить? Ну или хотя бы сделать автоматическую перезагрузку каждые 5 часов.
Подводные камни настройки Mikrotik SXT LTE