я констатиую факт — роскомсвобода не являясь ни операторм связи, ни хостером, ни владельцем ресурса не имеет право на полуение реестра… и уж тем более распространять его
Максим, послушайте! Вы же знаете о эффекте Стрейзанд. Если дело дойдёт до блокирования сайтов вроде роскомсвободы, эффект будет совершенно иным. Вместо этого списки будут везде, как с ключами AACS.
Да тот же github/paste и прочее-прочее. В результате получите распухание реестра и борьбу с ветряными мельницами.
Максим, а задумывался ли кто-либо что делать с ростом реестра запрещенных сайтов?
Т.е. технически не вижу проблем получить в реестре сотни/миллионы сайтов/ip-адресов.
Тем более, что сейчас процедура удаления из реестра не формализована.
В том, что за пару лет у вас появляется зоопарк оборудования от разных вендоров, с разными тех. характеристиками, разными БП, разной производительностью.
ну так зачем покупать зоопарк? ;)
С ipsec согласен, со стабильностью — 5.х работает годами, 6.х еще не щупал плотно, но дома роутер не чихал ни разу, не смотря на все издевательства. EoIP, даром что vendor-lock, но в некоторых случаях незаменимая вещь.
их EoIP умирает на каналах с packet reordering. насчёт 6.х и CCR:
IPIP tunnel mikrotik<->linux after 20-30 minutes stops passing packets.
Pings with size 50bytes pass all the time.
Packets bigger than 1300bytes stops passing, after about 5 minutes later, they suddenly start to pass again.
L2TP VPN causes reboot. The CCR1036 acts here as a L2TP server and Win7 machine as a client.
My configuration is based on this article: wiki.mikrotik.com/wiki/MikroTik_RouterOS_and_Windows_XP_IPSec/L2TP
The only message in the log after router reboot is «router was rebooted without proper shutdown»
Do you have any suggestions?
Having a major problem with a new CloudCoreRouter 36 we purchased and put into production. Running 6.0rc12 build
We run 250-350mbps continuously, we have a sfp1 LC fiber feed (600mbps service)
We have lost throughput on our network 3 times today, reboot of the router fixes the problem, or just waiting 5-10 minutes fixes the problem, bandwidth drops from 300mbps down to <100kbps. Router doesn't accept new connections in Winbox 8291 and doesn't respond to pings. If we have an 'existing WinBox' connection active it will continue to function during the outage! Trying to ping default gateway during outage fails even though existing Winbox connection is working over the internet. We have also noticed connectivity issues on our ether3 zhone connection which is a bridge between two locations using a separate T3. We lost connectivity earlier today on that circuit, could not ping between the two locations (Mikrotik router on each side), yet the T3 was up and functioning. Its like the Mikrotik decides to stop new traffic for a period of time.
how long it takes to get an Reply of: [Ticket#2013041366000268]? :-)
btw
hping3 --rand-source –S –L 0 –M 0 –p 179 MIKROTIK IP --flood will kill the CCR <3 Seconds. ONLY Basic Setup, no Conntrack ONLY ip firewal drop TCP to Port 179 @ IP.
Конечно я не думал о mass deploy, т.к. был студентом и использовал только то, с чем хорошо знаком.
т.е. на месте debian вполне могло оказаться железо cisco/juniper.
то есть при смене базовой станции, пользователь должен был автоматически авторизироваться.
роуминг в wifi — это достаточно давно известная и обкатанная технология.
Ещё клиенту выдавалась proxy-карта, номер которой использовался для авторизации в этом HotSpot.
что мешало использовать eap-tls и x.509? клиент 1 раз влепил себе сертификат и больше никаких лишних телодвижений. можно было бы взять что-то вроде uniwifi(где есть контроллер точек) или же совсем бюджетно на обычных AP.
ваша ошибка в том, что вы взяли дистрибутив общего назначения и изначально не думали о средствах mass deploy.
кстати, что вы называете «единым центром авторизации»? radius? и зачем L2 тянуть до точек?
Если же нужно тиражуемое (до нескольких сотен устройств) в течение нескольких лет решение — лучше микротик.
в чём нетиражирумость того же openwrt? дамп конфига в uci спокойно вливается в другое устройство.
Не нужно судорожно искать, какая же модель, вместо снятой с производства, будет нормально дружить с wrt
а в чём судорожность открытия openwrt wiki?
Да, в плане железа микротики может и интересны, но не в плане софта. Как бы одепты не пытались убедить в обратном, но ROS — это такой Linux. Ветка 5.х основана на очень древнем ядре, где нет RPS/XPS, где в ядре есть BKL и прочие неприятные вещи. Они обречены на вечные догонялки с mainline, на старые версии драйверов(отсюда проблемы с поддержкой новых ревизий чипов того же интела). На многоядерных системах это будет выглядеть как утилизация одного ядра и проблемы с производительностью.
У ROS вечные проблемы с ipsec, стабильностью(особенно у 6.x) и совместимостью(SSTP умеют единицы, документации нет, как и с микротиковским EoIP).
не выпрыгнут. tilera — очень своеобразная архитектура, которую относительно недавно добавили в ядро.
чтобы получить с неё хорошие цифры — почти всё должно параллелиться. На переписывание всего и вся у них ресурсов нет. Им хотя бы за мейнстримом успевать бэкпортить, да баги фиксить.
2. Нельзя сделать mirror port или экспортировать netflow для разбора статистики.
port mirror — это фича свитча. там, где чип свитча умеет мирроринг, openwrt обычно умеет.
netflow как бы тоже есть в openwrt и заворачивать туда можно силами iptables(а не всё подряд).
3. Нет удобного API.
api для чего? и что является критерием удобства? вы еще про mac-telnet расскажите(который вполне успешно ставится внешним пакетом).
4. Нет встроенного скриптового языка.
lua? libuci-lua позволяет делать всё то же, что и из cli.
5. Нет hotspot
и это есть, и несколько captive portal.
6. Нет агрегации каналов с балансировкой
lacp? round-robin? что именно вам надо? или речь про l3 per-packet?
7. Да даже если всё (1-6) это есть «из коробки», то нет желания копаться в текстовых конфигах. Хочется чтобы включил в сеть, настроил за 15 минут и забыл.
Atheros AR9331, 300МГц, MIPS-BE. Такого железа — навалом. В обоих случаях там линукс и надо смотреть что там за pptp-клиент, т.к. одно время pptp был чисто юзерспейсовым со всеми «бонусами» по производительности.
что мешает взять тот же openwrt, если критичны размеры? на том же tp-link wr741nd(который стоит 660руб) можно сделать полноценный l2 vpn(l2tpv3 pseudowire) через который спокойно проходит 100Мбит/с при 35-45% cpu usage. И на удалённом конце может стоят циска/линукс.
Так и не понял, зачем тут ZeroMQ. Можно же у Tornado сервера сделать «секретное» HTTP API по которому принимать информацию о новых событиях.
http медленный. 1.5*rtt только на установление tcp-коннекта и большой оверхед на коротких запросах.
одним процессом на cpython я получал ~ 80-90 тысяч сообщений в секунду. если взять pypy, будет еще веселее.
Максим, послушайте! Вы же знаете о эффекте Стрейзанд. Если дело дойдёт до блокирования сайтов вроде роскомсвободы, эффект будет совершенно иным. Вместо этого списки будут везде, как с ключами AACS.
Да тот же github/paste и прочее-прочее. В результате получите распухание реестра и борьбу с ветряными мельницами.
Т.е. технически не вижу проблем получить в реестре сотни/миллионы сайтов/ip-адресов.
Тем более, что сейчас процедура удаления из реестра не формализована.
ну так зачем покупать зоопарк? ;)
их EoIP умирает на каналах с packet reordering. насчёт 6.х и CCR:
т.е. на месте debian вполне могло оказаться железо cisco/juniper.
роуминг в wifi — это достаточно давно известная и обкатанная технология.
что мешало использовать eap-tls и x.509? клиент 1 раз влепил себе сертификат и больше никаких лишних телодвижений. можно было бы взять что-то вроде uniwifi(где есть контроллер точек) или же совсем бюджетно на обычных AP.
кстати, что вы называете «единым центром авторизации»? radius? и зачем L2 тянуть до точек?
откат? ;)
в чём нетиражирумость того же openwrt? дамп конфига в uci спокойно вливается в другое устройство.
а в чём судорожность открытия openwrt wiki?
Да, в плане железа микротики может и интересны, но не в плане софта. Как бы одепты не пытались убедить в обратном, но ROS — это такой Linux. Ветка 5.х основана на очень древнем ядре, где нет RPS/XPS, где в ядре есть BKL и прочие неприятные вещи. Они обречены на вечные догонялки с mainline, на старые версии драйверов(отсюда проблемы с поддержкой новых ревизий чипов того же интела). На многоядерных системах это будет выглядеть как утилизация одного ядра и проблемы с производительностью.
У ROS вечные проблемы с ipsec, стабильностью(особенно у 6.x) и совместимостью(SSTP умеют единицы, документации нет, как и с микротиковским EoIP).
но я не вижу в этом смысла.
чтобы получить с неё хорошие цифры — почти всё должно параллелиться. На переписывание всего и вся у них ресурсов нет. Им хотя бы за мейнстримом успевать бэкпортить, да баги фиксить.
читаем до просветления
port mirror — это фича свитча. там, где чип свитча умеет мирроринг, openwrt обычно умеет.
netflow как бы тоже есть в openwrt и заворачивать туда можно силами iptables(а не всё подряд).
api для чего? и что является критерием удобства? вы еще про mac-telnet расскажите(который вполне успешно ставится внешним пакетом).
lua? libuci-lua позволяет делать всё то же, что и из cli.
и это есть, и несколько captive portal.
lacp? round-robin? что именно вам надо? или речь про l3 per-packet?
читаем до просветления
на самом деле для роутера там особо и не надо больше: ядро, libc + немного демонов.
Atheros AR9331, 300МГц, MIPS-BE. Такого железа — навалом. В обоих случаях там линукс и надо смотреть что там за pptp-клиент, т.к. одно время pptp был чисто юзерспейсовым со всеми «бонусами» по производительности.
pfnat однопоточный. только в 10ке его сделали smp-friendly. и он не умеет того, что умеет libalias/netfilter.
кроме htb есть много других дисциплин. та же hfsc куда лучше, теплее и ламповее :)
зачем этот пожиратель памяти на роутере?
что это? в чём выражается?
http медленный. 1.5*rtt только на установление tcp-коннекта и большой оверхед на коротких запросах.
одним процессом на cpython я получал ~ 80-90 тысяч сообщений в секунду. если взять pypy, будет еще веселее.
вы так говорите, словно это какое-то тайное знание.
легко. да, будет синтетика(вроде создания/удаления каталога с 2млн файлов), зато показательно.
ifconfig -sвообще-то ifconfig уже достаточно давно объявлен deprecated.
наличие у человека дома фортепиано не делает его виртуозом, как и наличие спортивного болида в гараже не делает гонщиком.
у некоторых людей используется хитрый бутерброд из 3х уровней: sata-диски => sas-диски => ssd
+ там ещё много памяти.
zfs вообще её хочет примерно 1Гб на 1Тб места и очень любит cpu.
Тутубалин про это пишет
даже с цифрами
# modinfo zfs | grep parm | wc -l 76 # modinfo zfs | grep parm | grep arc | wc -l 16т.е. 76 крутилок и 16 — касаются кешей, а 3шт — zil.