"Про чей Крым'" - это был дефолтный жирный троллинг в отет на политоту, которую вы приплели.
"Про СМИ молчат" - че вы так прицепились к СМИ? Если в регионах реально отваливаются терминалы - есть куча незацензуренных региональных ТГ-каналов, возможности написать отзывы в 2GIS, vc.ru, где люди кидают скрины и пишут "терминал не работает". Где они? Если проблема массовая - она всплывет хотя бы там. А у вас - только "я слышал/очевидно".
Блокировка 127.0.0.1 - видимо речь проКто заблокировал локалхост и кому это выгодно? / Хабр - мем про то, как РКН заблокировал сам себя, но на что это повлияло? :DDD Вытаскивать курьез 9-летней давности вместо пруфов - уровень Пикакбу, а не Хабра.
Законы:классический VPN (IPsec/AnyConnect/MPLS L2/L3/VPLS/EVPN) для объединения точек внутри РФ - будет работать (в белые списках РКН более 75k записей на 2026). Запрещают именно потребительские обходы (VLESS/WG/OpenVPN и т.д за бугор). Я как юзер тоже не в восторге от этого, но это уже речь про свободу Рунета, а не про типичную работу бизнеса.
Мнение диванного эксперта с нодой в Нидерландах, который судит блокировки протоколов по своим личным прокси и паблик туннелям никто не спрашивал, тебе на Пикабу админить локалхост.
Как много бизнесов в РФ объединяют точки через VLESS и делают это за бугор?
Выделенные корпоративные каналы построенные на сетях MPLS и ее разновидностей MPLS L2, L3 VPN, EVPN, VPLS как работали, так и работают. Если какие-то точки и потеряли связь - возможно на этих точках был поднят VPN поверх инета и криво сработало ТСПУ, но задачи душить VPN эндпоинты внутри РФ нет.
В виду вышесказанного считаю нелогичным везде видеть пятнадцатирублевых среди тех, кто не готов хавать только словесные аргументы и не разделяет ваше мнение, поэтому я лишь отзеркалил как легко назвать кого-то ботом.
Если у вас в регионе проблемы или вы столкнулись лично с тем, о чем речь выше - вам и так все понятно, но другие спецы из других регионов не в курсе и не обязаны по умолчанию доверять всему, что вы пишете, они смотрят новости, СМИ, профильные ресурсы, где как-то базово подтвердили, что блокировка была вызвана именно влиянием ТСПУ и DPI, а не банальным сбоем банковского эквайринга. Не знаю че комментатор выше прицепился к каким-то зацензуренным СМИ, когда речь была вообще не про это и приплел политику максимально. Было бы удобно списывать каждый сбой на влияние ТСПУ, но это необъективно, так могут делать только обыватели и чайники, далекие от айти.
А кто в вашей картине мира поведется на дешевые аргументы уровня "я скОзал", "достаточно вспомнить", "Да нормально поотваливалось, и в новостях было", но бтв ссылки на новости нет)))
Вместо логики и фактов, подкрепленных хоть чем-то, уходите в параноидальную конспирологию, политику, закидываете всех минусами, для кого ваши аргументы не канают. Выше уже писал, что проблемы с потребительскими VPN протоколами есть, но не в таком масштабе в каком вы нагоняете, многие бизнесы уже в белых списках, у кого VPN построены поверх инет канала провайдера, а терминалы изначально подключены по выделенным VPLS, а не инету, учитывая все вышесказанное:
1. Отсутствие реальных фактов, без личных эмоций 2. Увод темы в сторону политического срача и параноидальной конспирологии 3. Отсутствие экспертизы, раз не видите разницы между VPN поверх инета и корпоративными MPLS каналами.
И еще последний, но не по значимости факт, вы слишком сильно преувеличиваете проблемы VPN для бизнеса, а ботам из ципсо нравится преувеличивать проблемы РФ. Поэтому вполне очевидно, кто тут действительно отрабатывает свои 15 гривен. Рассуждать вашими же нарративами оказалось гораздо проще)
Видимо упали те точки, которые работали по инету, а не на выделенных операторских каналах. Я с таким не сталкивался, поэтому и запросил пруфы, т.к. то, что происходит в других регионах могу видеть только через СМИ, быстро же адекватный запрос стал политизирован, учитывая, что на Хабре действует негласное правило, по крайней мере так было раньше, политику не приплетать.
Мрак, ты так и не понял, что выше речь шла про корпоративные MPLS каналы, а не инет.
Алсо, причем тут видео? Достаточно скринов или хотя бы ссылок. Но у тебя слишком ограниченное левацкое мышление, раз по твоей логике каждый, кто не раздувает панику сразу пятнадцатирублевый.
Наверное, когда проблема действительно массовая о ней будут писать в СМИ, учитывая, что негативные новости всегда собирают больше трафика?
Когда чел пишет про какие-то конкретные случаи блокировок, но не кидает никакие пруфы, что сбои были вызваны именно блокировками VPN протоколов, что эти сбои вообще были, все должны автоматически ему верить? Никаких новостей о сбое тех же POS-терминалов я не нашел. Комментатор нагоняет паники с аргументацией уровня "я скОзал" и все тут же поверили. А его работа в ISP подвергается сомнению при более детальном рассмотрении бреда, который он пишет.
По итогу вместо адекватной дискуссии с аргументами и пруфами вижу слабую экспертизу по корпоративным каналам и спекуляции на удобном мнении для большинства. Зачем вникать и перепроверять то, что он пишет? Проще кидать минусы тем, кто спрашивает с него за его базар.
Ты утверждаешь, что у банков массово отвалились POS-терминалы из-за блокировок VPN протоколов. Где пруфы? - Ни в СМИ, ни на форумах ритейлеров/банков, ни в отчётах ЦБ/РКН за 2025 год нет ни одного подтверждённого кейса массовых отключений POS именно из-за этого. Тем более POS-терминалы банков работают на провайдерских VPLS, которые не попадают под влияние ТСПУ, которое тебе так нравится обходить. Делаю вывод о твоих компетенциях в энтерпрайзе - чудак.
Если есть реальные кейсы (ссылки, а не "достаточно вспомнить") - кидай. Без них - это просто паникёрство и спекуляция для юзеров, которые не вникают в детали.
Это не отменяет факта, что комментатор экстраполировал проблемы с работой VPN в большей мере затрагивающие физиков, ломящихся на VPN сервер вне РФ для обхода блокировок и собирает лулзы за популярное мнение.
Хватит разводить панику, давай по фактам на январь 2026.
OpenVPN, WireGuard, AnyConnect, IPsec до сих пор работают у большинства бизнеса внутри РФ. Тотальной блокировки не было - только точечные тесты и региональные всплески.
"Бизнес массово страдает"? Где? Покажи хоть один реальный кейс крупняка, который встал раком из-за блокировок РКН. Без пруфов звучит как преувеличение и популизм.
Статья за "неправильное использование корпоративного VPN"? Что за статья такая? Или речь про штрафы за рекламу обхода и за умышленный поиск экстремизма через VPN?
Твой пост - та же наивность, что и в статье, только в режиме «всё пропало, сдавайтесь РКН». В реале блокировки РКН ломают именно потребительские VPNы из-за чего сейчас многие юзеры погрязли в войне протоколов, а бизнес работает как обычно, потому что РКН уже давно умеет различать когда трафик через VPN покидает РФ и когда ходит внутри РФ.
дак у него не будет доступа в другие сегменты, если сеть mgmt и гостевая в разных л2 доменах + блокируется роутинг между этими сетями на л3, де факто может даже не узнать о существовании других сегментов.
который ломает qos, mangle, определенные типы правил фильтрации и чтобы все работало - сношаться с исключением из fasttrack трафика, требующего дополнительной обработки.
для того чтобы минимизировать ущерб в случае взлома или компрометации вай-фая, в противном случае, если рядом кто-то с адаптером в режиме мониторинга и умеет инжектировать пакеты - вы предоставляете злоумышленнику полный доступ для анализа, перехвата хэша пароля, дальнейшего брута и в случае успеха - управление вашей сетью :) поэтому сегментация считается правилом хорошего тона даже в рамках домашней локалки.
Настройка вызывает серьёзные вопросы с точки зрения архитектуры и практической применимости.
Во-первых, добавление sfp1 в отдельный bridge br-wan с включённой VLAN-фильтрацией - это технически бессмысленно. WAN интерфейс не участвует в L2-домене, и тем более не нуждается в VLAN-фильтрации на bridge. Если провайдер требует VLAN 100 - можно и нужно терминировать напрямую на sfp1 через /interface vlan, без лишнего обёртывания в мост.
Во-вторых, межвлановая фильтрация через firewall полностью отсутствует. Зачем тогда вообще вводить вланы если forward трафик между ними открыт? Это превращает вланы не в инструмент сегментации, а в декоративную маркировку. Такое решение особенно опасно, если в сети есть IoT, медиа-зоны и серверы. Сегментация без фильтрации - это косплей на безопасность.
Также вызывает сомнения подход к настройке Wi-Fi с управлением мощностью вручную и вообще отсутствие логики доступа к mgmt-сегменту опять же правилами firewall или хотя бы в /ip services avialable from <mgmt-сеть>.
В итоге получается псевдо-сегментированная сеть с кучей вланов, но без контроля доступа, без чёткой модели безопасности и с неоправданно усложнённой структурой. Если это учебная статья - стоит так и написать. Если практическая - рекомендую критически пересмотреть подход и почитать реальные кейсы проектирования сетей.
MikroTik позволяет строить сильные и чистые конфигурации, но здесь получилась сборка ради сборки. До production-уровня автор явно пока не дотягивает.
Прекрасно структурированное наблюдение за энтропией информационного пространства. Деградация форумов, исчезновение персональных сайтов и «оборотность» контента - это не просто технологический сдвиг, а смена культурной парадигмы. Мы перешли от архива к эфиру, от библиотекаря к сторителлеру, от мышления в статьях к мышлению в рилсах.
Возможно, интернет 2000-х был ближе к энциклопедии, а нынешний - к торговому центру. ИИ лишь усугубляет тренд, паразитируя на остатках старого контента, не создавая нового опыта.
Вопрос не в том, куда делся интернет, а в том, куда делся пользователь, который его создавал. Мы перестали «публиковать», начали «транслировать». А это уже не то же самое.
Да, отлично понимаю вас. Унаследованная инфраструктура, шаблоны, скрипты, привычки - всё это не меняется быстро, даже если новый подход объективно лучше.
В таком случае запланирую сравнительный тест в лабе: BVF против конфига с несколькими бриджами на железке без аппаратной разгрузки BVF.
Как найду подходящий девайс - проведу замеры. Ожидайте.
hEX(RB750Gr3) на RouterOS 7 поддерживает аппаратную разгрузку BVF.
По поводу производительности:
Подход с множеством бриджей наиболее активно задействует CPU, в особенности, если на железке реализован L3 фукнционал, а именно:
Межвлан трафик проходит через CPU трижды: vlan-интерфейс → бридж→ роутинг → другой бридж
Сравнительных тестов: множество бриджей vs. BVF пока не проводил, да и практического смысла в этом не вижу, BVF во всем лучше: более удобный менеджмент, лучше масштабируемость, более логичен в плане обработки трафика и сетевой архитектуры.
В 2025 вариант с множеством бриджей имеет право на реализацию лишь в кейсах, где по каким-то причинам админ не планирует обновлять железку до RouterOS 7 и сама железка уже давно настроена и активно эксплуатируется в проде.
Ниже скрины hEX из тестовой лабы, работающий как L3 ядро через BVF Нагрузка на роутер реализована тестом iperf между двумя ПК в разных вланах.
CPU загружен менее 50% при межвлан трафике более 800 мбит/с
"Про чей Крым'" - это был дефолтный жирный троллинг в отет на политоту, которую вы приплели.
"Про СМИ молчат" - че вы так прицепились к СМИ? Если в регионах реально отваливаются терминалы - есть куча незацензуренных региональных ТГ-каналов, возможности написать отзывы в 2GIS, vc.ru, где люди кидают скрины и пишут "терминал не работает". Где они? Если проблема массовая - она всплывет хотя бы там. А у вас - только "я слышал/очевидно".
Блокировка 127.0.0.1 - видимо речь про Кто заблокировал локалхост и кому это выгодно? / Хабр - мем про то, как РКН заблокировал сам себя, но на что это повлияло? :DDD Вытаскивать курьез 9-летней давности вместо пруфов - уровень Пикакбу, а не Хабра.
Законы: классический VPN (IPsec/AnyConnect/MPLS L2/L3/VPLS/EVPN) для объединения точек внутри РФ - будет работать (в белые списках РКН более 75k записей на 2026). Запрещают именно потребительские обходы (VLESS/WG/OpenVPN и т.д за бугор). Я как юзер тоже не в восторге от этого, но это уже речь про свободу Рунета, а не про типичную работу бизнеса.
Мнение диванного эксперта с нодой в Нидерландах, который судит блокировки протоколов по своим личным прокси и паблик туннелям никто не спрашивал, тебе на Пикабу админить локалхост.
Не мне судить, что хорошо, а что плохо.
Блокировка VPN-протоколов - окей, сочтемся, что это косвенно затрагивает политику, но изначальный мессендж, который я закладывал был про то, что душат максимально VPNы которые ходят за бугор. С конца ноября подтверждены массовые жалобы SOCKS5, VLESS и L2TP. Роскомнадзор научился блокировать самые надежные протоколы
Как много бизнесов в РФ объединяют точки через VLESS и делают это за бугор?
Выделенные корпоративные каналы построенные на сетях MPLS и ее разновидностей MPLS L2, L3 VPN, EVPN, VPLS как работали, так и работают. Если какие-то точки и потеряли связь - возможно на этих точках был поднят VPN поверх инета и криво сработало ТСПУ, но задачи душить VPN эндпоинты внутри РФ нет.
В виду вышесказанного считаю нелогичным везде видеть пятнадцатирублевых среди тех, кто не готов хавать только словесные аргументы и не разделяет ваше мнение, поэтому я лишь отзеркалил как легко назвать кого-то ботом.
Если у вас в регионе проблемы или вы столкнулись лично с тем, о чем речь выше - вам и так все понятно, но другие спецы из других регионов не в курсе и не обязаны по умолчанию доверять всему, что вы пишете, они смотрят новости, СМИ, профильные ресурсы, где как-то базово подтвердили, что блокировка была вызвана именно влиянием ТСПУ и DPI, а не банальным сбоем банковского эквайринга. Не знаю че комментатор выше прицепился к каким-то зацензуренным СМИ, когда речь была вообще не про это и приплел политику максимально. Было бы удобно списывать каждый сбой на влияние ТСПУ, но это необъективно, так могут делать только обыватели и чайники, далекие от айти.
А кто в вашей картине мира поведется на дешевые аргументы уровня "я скОзал", "достаточно вспомнить", "Да нормально поотваливалось, и в новостях было", но бтв ссылки на новости нет)))
Вместо логики и фактов, подкрепленных хоть чем-то, уходите в параноидальную конспирологию, политику, закидываете всех минусами, для кого ваши аргументы не канают. Выше уже писал, что проблемы с потребительскими VPN протоколами есть, но не в таком масштабе в каком вы нагоняете, многие бизнесы уже в белых списках, у кого VPN построены поверх инет канала провайдера, а терминалы изначально подключены по выделенным VPLS, а не инету, учитывая все вышесказанное:
1. Отсутствие реальных фактов, без личных эмоций
2. Увод темы в сторону политического срача и параноидальной конспирологии
3. Отсутствие экспертизы, раз не видите разницы между VPN поверх инета и корпоративными MPLS каналами.
И еще последний, но не по значимости факт, вы слишком сильно преувеличиваете проблемы VPN для бизнеса, а ботам из ципсо нравится преувеличивать проблемы РФ.
Поэтому вполне очевидно, кто тут действительно отрабатывает свои 15 гривен.
Рассуждать вашими же нарративами оказалось гораздо проще)
Кидай с не зацензурированных.
Чей Крым?
Видимо упали те точки, которые работали по инету, а не на выделенных операторских каналах. Я с таким не сталкивался, поэтому и запросил пруфы, т.к. то, что происходит в других регионах могу видеть только через СМИ, быстро же адекватный запрос стал политизирован, учитывая, что на Хабре действует негласное правило, по крайней мере так было раньше, политику не приплетать.
Мрак, ты так и не понял, что выше речь шла про корпоративные MPLS каналы, а не инет.
Алсо, причем тут видео? Достаточно скринов или хотя бы ссылок. Но у тебя слишком ограниченное левацкое мышление, раз по твоей логике каждый, кто не раздувает панику сразу пятнадцатирублевый.
Наверное, когда проблема действительно массовая о ней будут писать в СМИ, учитывая, что негативные новости всегда собирают больше трафика?
Когда чел пишет про какие-то конкретные случаи блокировок, но не кидает никакие пруфы, что сбои были вызваны именно блокировками VPN протоколов, что эти сбои вообще были, все должны автоматически ему верить? Никаких новостей о сбое тех же POS-терминалов я не нашел. Комментатор нагоняет паники с аргументацией уровня "я скОзал" и все тут же поверили. А его работа в ISP подвергается сомнению при более детальном рассмотрении бреда, который он пишет.
По итогу вместо адекватной дискуссии с аргументами и пруфами вижу слабую экспертизу по корпоративным каналам и спекуляции на удобном мнении для большинства. Зачем вникать и перепроверять то, что он пишет? Проще кидать минусы тем, кто спрашивает с него за его базар.
Давай по делу, без эмоций и "я много лет в ISP".
Ты утверждаешь, что у банков массово отвалились POS-терминалы из-за блокировок VPN протоколов. Где пруфы? - Ни в СМИ, ни на форумах ритейлеров/банков, ни в отчётах ЦБ/РКН за 2025 год нет ни одного подтверждённого кейса массовых отключений POS именно из-за этого. Тем более POS-терминалы банков работают на провайдерских VPLS, которые не попадают под влияние ТСПУ, которое тебе так нравится обходить. Делаю вывод о твоих компетенциях в энтерпрайзе - чудак.
Если есть реальные кейсы (ссылки, а не "достаточно вспомнить") - кидай. Без них - это просто паникёрство и спекуляция для юзеров, которые не вникают в детали.
Видимо ты для себя откроешь Америку, когда узнаешь, что большинство бизнесов работают по MPLS L3 VPN.
Это не отменяет факта, что комментатор экстраполировал проблемы с работой VPN в большей мере затрагивающие физиков, ломящихся на VPN сервер вне РФ для обхода блокировок и собирает лулзы за популярное мнение.
Хватит разводить панику, давай по фактам на январь 2026.
OpenVPN, WireGuard, AnyConnect, IPsec до сих пор работают у большинства бизнеса внутри РФ. Тотальной блокировки не было - только точечные тесты и региональные всплески.
"Бизнес массово страдает"? Где? Покажи хоть один реальный кейс крупняка, который встал раком из-за блокировок РКН. Без пруфов звучит как преувеличение и популизм.
Статья за "неправильное использование корпоративного VPN"? Что за статья такая? Или речь про штрафы за рекламу обхода и за умышленный поиск экстремизма через VPN?
Твой пост - та же наивность, что и в статье, только в режиме «всё пропало, сдавайтесь РКН». В реале блокировки РКН ломают именно потребительские VPNы из-за чего сейчас многие юзеры погрязли в войне протоколов, а бизнес работает как обычно, потому что РКН уже давно умеет различать когда трафик через VPN покидает РФ и когда ходит внутри РФ.
Двойка за излишнюю истерику.
дак у него не будет доступа в другие сегменты, если сеть mgmt и гостевая в разных л2 доменах + блокируется роутинг между этими сетями на л3, де факто может даже не узнать о существовании других сегментов.
который ломает qos, mangle, определенные типы правил фильтрации и чтобы все работало - сношаться с исключением из fasttrack трафика, требующего дополнительной обработки.
для того чтобы минимизировать ущерб в случае взлома или компрометации вай-фая, в противном случае, если рядом кто-то с адаптером в режиме мониторинга и умеет инжектировать пакеты - вы предоставляете злоумышленнику полный доступ для анализа, перехвата хэша пароля, дальнейшего брута и в случае успеха - управление вашей сетью :) поэтому сегментация считается правилом хорошего тона даже в рамках домашней локалки.
Настройка вызывает серьёзные вопросы с точки зрения архитектуры и практической применимости.
Во-первых, добавление
sfp1в отдельный bridgebr-wanс включённой VLAN-фильтрацией - это технически бессмысленно. WAN интерфейс не участвует в L2-домене, и тем более не нуждается в VLAN-фильтрации на bridge. Если провайдер требует VLAN 100 - можно и нужно терминировать напрямую наsfp1через/interface vlan, без лишнего обёртывания в мост.Во-вторых, межвлановая фильтрация через firewall полностью отсутствует. Зачем тогда вообще вводить вланы если forward трафик между ними открыт? Это превращает вланы не в инструмент сегментации, а в декоративную маркировку. Такое решение особенно опасно, если в сети есть IoT, медиа-зоны и серверы. Сегментация без фильтрации - это косплей на безопасность.
Также вызывает сомнения подход к настройке Wi-Fi с управлением мощностью вручную и вообще отсутствие логики доступа к mgmt-сегменту опять же правилами firewall или хотя бы в /ip services avialable from <mgmt-сеть>.
В итоге получается псевдо-сегментированная сеть с кучей вланов, но без контроля доступа, без чёткой модели безопасности и с неоправданно усложнённой структурой. Если это учебная статья - стоит так и написать. Если практическая - рекомендую критически пересмотреть подход и почитать реальные кейсы проектирования сетей.
MikroTik позволяет строить сильные и чистые конфигурации, но здесь получилась сборка ради сборки. До production-уровня автор явно пока не дотягивает.
Прекрасно структурированное наблюдение за энтропией информационного пространства. Деградация форумов, исчезновение персональных сайтов и «оборотность» контента - это не просто технологический сдвиг, а смена культурной парадигмы. Мы перешли от архива к эфиру, от библиотекаря к сторителлеру, от мышления в статьях к мышлению в рилсах.
Возможно, интернет 2000-х был ближе к энциклопедии, а нынешний - к торговому центру. ИИ лишь усугубляет тренд, паразитируя на остатках старого контента, не создавая нового опыта.
Вопрос не в том, куда делся интернет, а в том, куда делся пользователь, который его создавал. Мы перестали «публиковать», начали «транслировать». А это уже не то же самое.
Большинству интересен контекст реального железа, а не виртуалки.
Да, отлично понимаю вас. Унаследованная инфраструктура, шаблоны, скрипты, привычки - всё это не меняется быстро, даже если новый подход объективно лучше.
В таком случае запланирую сравнительный тест в лабе: BVF против конфига с несколькими бриджами на железке без аппаратной разгрузки BVF.
Как найду подходящий девайс - проведу замеры. Ожидайте.
Спасибо за интересный и уместный вопрос.
hEX (RB750Gr3) на RouterOS 7 поддерживает аппаратную разгрузку BVF.
По поводу производительности:
Подход с множеством бриджей наиболее активно задействует CPU, в особенности, если на железке реализован L3 фукнционал, а именно:
Межвлан трафик проходит через CPU трижды:
vlan-интерфейс → бридж→ роутинг → другой бридж
Сравнительных тестов: множество бриджей vs. BVF пока не проводил, да и практического смысла в этом не вижу, BVF во всем лучше: более удобный менеджмент, лучше масштабируемость, более логичен в плане обработки трафика и сетевой архитектуры.
В 2025 вариант с множеством бриджей имеет право на реализацию лишь в кейсах, где по каким-то причинам
админ не планируетобновлять железку до RouterOS 7 и сама железка уже давно настроена и активно эксплуатируется в проде.Ниже скрины hEX из тестовой лабы, работающий как L3 ядро через BVF
Нагрузка на роутер реализована тестом iperf между двумя ПК в разных вланах.