Так проблема решается переходом на tap, и установкой point-to-multipoint на тунельном интерфейсе quagga. Да еще очень странно, что при вашей конфигурации пиры вообще получают анонс, broadcast на tun сам по себе не работает. Вы настроили unicast пиринг в OSPF? Если так, то где конфа?
Redistribute connected вы используете из-за режима tun? От того и фильтруете сети? Почему бы не использовать tap и задавать в quagga нормальные зоны (и OSPF сам выбирет, какие анонсировать)? Выглядит все как костыли в местах, где они не нужны. Или экономили пару байт в MTU (режим tap требует больших накладных расходов, чем tun)?
Конечно можно, и даже нужно. Надо только учитывать важный момент. В fasttrack трафик проходит очень упрощенную обработку (на то он и fast), в результате, ни одно правило, которое рассчитано на работу с E&R соединениями (маркировка пакетов для маршрутизации и для очередей, её надо проводит не только с первым, но вообще с каждым пакетом) уже с этим трафиком не пообщается. Как итог: балансировка не работает, трафик не стоит в очередях.
Как вариант, используй такое правило:
Самый очевидный пример: базы данных. Неожиданное падение на транзакции, да еще с порчей неизвестных данных в разделяемой памяти. Пользователь будет рад, что в его базе появилась крутая библиотечка, которая круто парсит json или еще чего.
Мне кажется тут тест не про скорость, а про надежность. Тестировать скорость на умерающих дисках: сомнительное мероприятие.
Вот сравнить zfs на FreeBSD и к примеру zfsonlinux (centos 7 или ubuntu), было бы гораздо более интересно.
К сожалению, hba не завалялось. Был lsi 1066ir, но и он не полноценный hba.
Для избежания ошибки прошивки adaptec, при проверке пула пришлось вообще все кэширование отрубить. Так что, на тесте с 1Т результаты будут более похожи на hba.
Запись была 108-116, чтение скакало от 40 и падало до 2. Диски деградируют, сделаю еще один тест на надежность. Посмотрим, что будет на большем наборе данных (закину туда около 1Т, для которых надо посчитать контролльные суммы).
Все верно, я накосячил, приношу всем извинения за неверную информацию.
В данном случае я поторопился :(
Придется использовать старый трюк на чипе коммутации.
В статью внесены изменения это поясняющее.
VLAN для локалки — это усложнение задачи под мои условия. Для обычного ТВ с приставкой все придельно просто, два порта добавить в бридж EXT а все остальные порты в бридж LAN.
Благодаря hw-offload, чип возьмет работу по бриджингу на себя, эффект будет как с «хитростями» из другой статьи.
Посмотрите в сторону SwitchOS и коммутаторв на ее основе. Судя по скринам, в них упростили настройку.
По поводу LACP встречный вопрос: часто ли вам нужна динамическая конфигурация? В статисеской все отлично работает.
А авторизация случаем не PSK?
Проблема нескольких клиентов за одним NAT у меня разрешилась после применения RSA Signature авторизации. Все клиенты сидять за usb gsm модемами, ранее на ike1 psk вообще не соединялись, ike2 решил проблему с ph2, а отказ от PSK — вышибание клиентов.
Вопрос к вам, а зачем вы используете команду import для запуска скрипта?
Вообще, скрипт нужно поместить в хранилище скриптов (winbox -> system -> scripts), задать ему права (для этого скрипта достаточно read, write, test).
И уже после этого, скрипт можно запускать командой run (или из меню winbox).
PSK — Работает 1 в 1 как на домашнем WiFi, при желании, и на домашнем WiFi можно замутить WPA2-EAP/TLS, но это не удобно для домашнего использования. Для L2TP/IPSec это тоже имеет место быть, IPSec PSK защищает канал для L2TP от тупой долбежки, и дает приемлемый уровень шифрования (по сути тот-же, так как PSK нужен на первичной стадии, дальше уже сеансовые ключи будут уникальные). «Утечка» PSK не приводит к мгновенной дыре в безопасности, так как нужно еще на L2TP авторизоваться, но позволяет послушать чужой трафик (если перехватить обмен сеансовыми ключами).
Это нормально для PKI с CRL.
Админа увольняют так-же как и нанимают нового юриста: первая задача — уволить предидущего юриста так, чтобы он не подал на компанию в суд.
Это они зря так.
Я так и не решил вопрос с OSPF при использовании совместно с IPSec Tun (пускай и IKE2). Как анонсировать маршруты? Поэтому варианты туннелей приходится оставлять. Особенно, когда работаешь из-за динамического NAT (тут вариации GRE/IP Tun не прокатыают).
Как вариант, используй такое правило:
Тут явно говорим, если трафик идет в локалку, да еще без меток, то его спокойно гоним через fastrack.
Мне кажется тут тест не про скорость, а про надежность. Тестировать скорость на умерающих дисках: сомнительное мероприятие.
Вот сравнить zfs на FreeBSD и к примеру zfsonlinux (centos 7 или ubuntu), было бы гораздо более интересно.
К сожалению, hba не завалялось. Был lsi 1066ir, но и он не полноценный hba.
Для избежания ошибки прошивки adaptec, при проверке пула пришлось вообще все кэширование отрубить. Так что, на тесте с 1Т результаты будут более похожи на hba.
Запись была 108-116, чтение скакало от 40 и падало до 2. Диски деградируют, сделаю еще один тест на надежность. Посмотрим, что будет на большем наборе данных (закину туда около 1Т, для которых надо посчитать контролльные суммы).
В данном случае я поторопился :(
Придется использовать старый трюк на чипе коммутации.
В статью внесены изменения это поясняющее.
Благодаря hw-offload, чип возьмет работу по бриджингу на себя, эффект будет как с «хитростями» из другой статьи.
По поводу LACP встречный вопрос: часто ли вам нужна динамическая конфигурация? В статисеской все отлично работает.
Спасибо!
С radius не пробовал пока.
Проблема нескольких клиентов за одним NAT у меня разрешилась после применения RSA Signature авторизации. Все клиенты сидять за usb gsm модемами, ранее на ike1 psk вообще не соединялись, ike2 решил проблему с ph2, а отказ от PSK — вышибание клиентов.
Попробуйте разбавить скрипт конструкцией
В логах увидите, где тормозится скрипт.
Обратите внимание на вот этот участок кода, почти в самом конце:
Как я писал в статье, что-бы вам настроил скрипт, у вас должен стоять «не правильный» локальный адрес на туннельном интерфейсе.
Вообще, скрипт нужно поместить в хранилище скриптов (winbox -> system -> scripts), задать ему права (для этого скрипта достаточно read, write, test).
И уже после этого, скрипт можно запускать командой run (или из меню winbox).
Админа увольняют так-же как и нанимают нового юриста: первая задача — уволить предидущего юриста так, чтобы он не подал на компанию в суд.
Я так и не решил вопрос с OSPF при использовании совместно с IPSec Tun (пускай и IKE2). Как анонсировать маршруты? Поэтому варианты туннелей приходится оставлять. Особенно, когда работаешь из-за динамического NAT (тут вариации GRE/IP Tun не прокатыают).