Прошу, читайте: https://m.habr.com/en/post/331544/
И вообще, по теме QoS на habr.com много статей, моя тут не одна лежит годами, в то время как молодые авторы пишут что-то свое, не проверив, а стоит ли. Есть куча статей, которые нуждаются в работе сообщества, но молодые редко используют поиск или не умеют его использовать.
Что-то мне подсказывает (а опыта у меня достаточно для этого), что вы не умеете его готовить.
Безусловно, выцепить SIP и RTP задача довольно хитрая, но я вполне её успешно решаю в своих проектах в mangle маркировке, и нет нужды знать расположение SIP и RTP серверов провайдера для QoS. Нужен в основном только SIP, чтобы прикрыть свою АТС от ботов.
Также тупо выдавать n мбит на телефонию — расточительно. Вполне можно посчитать, что 84*(число одновременных разговор) вполне достаточно для большинства случаев.
Блокировал в фаерволе филиалов dns запросы с тестового роутера.
Но вот засада, на днях реально отключал я dns который был основным и failover работал как-то рандомно. Первые 5-10 запросов отрабатывал (с большой задержкой), а потом переставал. Что-то разрабы в Mikrotik сделали не то…
Кто-то интересно тикет уже им писал?
То, что это «не doom», а пулимет раскачивает — ничего не значит. Сама работа удивительна, уместить столько работающих идей, да и ещё ресурсов для игры в такой небольшой объем — отличная работа. Те кому не понравилось название или как выглядит игра, пусть сами попробуют сделать что-то подобное.
Тут уже можно делать по разному, но я в компании смог объяснить, что технические запреты ресурсов (типа сайтов), ничего не решат, поэтому такой команды мне не дадут.
Если надо массового настроить 500 роутеров, то тут прямая дорога к изучению ros api, что поможет делать не только это.
У меня в практике вполне типичная ситуация: точка продаж.
На точке есть пара ПК и принтер, иногда камера. Mikrotik обеспечивает туннель до общей сети. И тут как раз split dns мне сильно помогает, если падает туннель, то пропадают внутренние ресурсы, но остаётся интернет. И если туда приезжает менеджер с ноутом, то ему не надо ничего специально настраивать, все работает как из головного офиса или дома.
Первое, чем мне не нравится hairpin nat это то, что мы нагружаем роутер лишним трафиком.
Плюсы split-dns в том, что можно держать в глобальной доступности всего пару сервисов, а остальные в привате. И тут для пользователя самое удобное, он не встречает никаких различий между подключением к сервисам внутренним и внешним, для него это выглядит прозрачно и в голове он держит только один домен. В случае без split dns, очень часто имеется ситуация с существованием как глобального домена так и локального.
Это совсем грустный вариант для нано филиальчиков. Куда водружать BIND, если в филиале кроме двух ПК и mikrotik ничего нет?
Заруливать DNS в туннель до головного офиса — совсем не лучшая затея.
Этот тот случай, когда большая и подробная статья лежит и тухнет, а невнятный хайп — нет.
Я сам не люблю такие статьи, однако и сам создал такую. Зато я сразу вижу интерес сообщества, за что спасибо. Торжественно обещаю, мельчить больше не буду.
Да все просто.
Допустим, у вас есть домен, причем он имеет глобальное имя, к примеру в зоне .ru
И вот вам нужно, что-бы некоторые ресурсы были доступны как из интернета так и во внутренней сети за NAT. Реализуется это тем, что-бы внутри NAT отвечать на DNS запрос IP адресом из серой сети, а не публичны. Или надо выносить все подобные сервера в DMZ.
Прошу, читайте:
https://m.habr.com/en/post/331544/
И вообще, по теме QoS на habr.com много статей, моя тут не одна лежит годами, в то время как молодые авторы пишут что-то свое, не проверив, а стоит ли. Есть куча статей, которые нуждаются в работе сообщества, но молодые редко используют поиск или не умеют его использовать.
Что-то мне подсказывает (а опыта у меня достаточно для этого), что вы не умеете его готовить.
Безусловно, выцепить SIP и RTP задача довольно хитрая, но я вполне её успешно решаю в своих проектах в mangle маркировке, и нет нужды знать расположение SIP и RTP серверов провайдера для QoS. Нужен в основном только SIP, чтобы прикрыть свою АТС от ботов.
Также тупо выдавать n мбит на телефонию — расточительно. Вполне можно посчитать, что 84*(число одновременных разговор) вполне достаточно для большинства случаев.
Блокировал в фаерволе филиалов dns запросы с тестового роутера.
Но вот засада, на днях реально отключал я dns который был основным и failover работал как-то рандомно. Первые 5-10 запросов отрабатывал (с большой задержкой), а потом переставал. Что-то разрабы в Mikrotik сделали не то…
Кто-то интересно тикет уже им писал?
Оказалось, что на меня что-то ужасное нашло, из-за чего в коде образовалось такое:
Что означает, из интернета это норма, отвечать на DNS, DHCP, NTP. Это серьезное упущение в версии до 0.9.6.
Если надо массового настроить 500 роутеров, то тут прямая дорога к изучению ros api, что поможет делать не только это.
На точке есть пара ПК и принтер, иногда камера. Mikrotik обеспечивает туннель до общей сети. И тут как раз split dns мне сильно помогает, если падает туннель, то пропадают внутренние ресурсы, но остаётся интернет. И если туда приезжает менеджер с ноутом, то ему не надо ничего специально настраивать, все работает как из головного офиса или дома.
Плюсы split-dns в том, что можно держать в глобальной доступности всего пару сервисов, а остальные в привате. И тут для пользователя самое удобное, он не встречает никаких различий между подключением к сервисам внутренним и внешним, для него это выглядит прозрачно и в голове он держит только один домен. В случае без split dns, очень часто имеется ситуация с существованием как глобального домена так и локального.
Заруливать DNS в туннель до головного офиса — совсем не лучшая затея.
Я сам не люблю такие статьи, однако и сам создал такую. Зато я сразу вижу интерес сообщества, за что спасибо. Торжественно обещаю, мельчить больше не буду.
Допустим, у вас есть домен, причем он имеет глобальное имя, к примеру в зоне .ru
И вот вам нужно, что-бы некоторые ресурсы были доступны как из интернета так и во внутренней сети за NAT. Реализуется это тем, что-бы внутри NAT отвечать на DNS запрос IP адресом из серой сети, а не публичны. Или надо выносить все подобные сервера в DMZ.