Статья из серии "какой нельзя создавать архитектуру промышленной системы".
Опять 192.168.1.х в рабочих сетях. А если "192.168" привели "для примера" — поглядите в RFC. Там есть диапазоны для этого "TEST-NET" называются.
Еще один автор не знает, как использовать маршрутизацию.
Еще один костыль из стороннего несертифицированного продукта очень "обрадует" безопасников. Хотя, в конторе, где шлюз на keenetic, денег на безопасность наверняка совсем нет.
Для интерфейсов типа «точка-точка», таких как PPPoE, допустимо в качестве шлюза использовать имя самого интерфейса. И да, там есть проблема — рекурсивный маршрут не строится когда gateway=интерфейс.
Спасибо за скриптик.
Похоже, Вы вообще не понимаете для чего нужна рекурсивная маршрутизация.
Да, в dhcp-client скрипт появился давно, с выходом 6.39.rcxx Только многие его до сих пор «не заметили». Именно поэтому, такой вопрос возникает у людей с завидной периодичностью. О том и статья.
Спасибо. Хороший скрипт. Много труда в него вложено. Но начинающие в нем заблудятся.
Моя статья написана как раз для упрощения понимания решения проблемы с dhcp.
Написав «в дефолтном перечне правил фаервола микротика есть правило в цепочке forward», имел ввиду устройства маршрутизации «routerboard».
На CHR/PC/cAP дефолтный фаервол иной. Т.к. на CHR/PC неизвестно заранее сколько каких будет интерфейсов и куда они будут подключены, а у cAP задачи иные.
Для 90% случаев, две основные причины «загадочной проблемы» отсутствия связности: 1) нет маршрута 2) неправильная настройка фаервола.
«Что в этом плохого?
Если все маршрутизаторы находятся в пределах одной LAN — скорее всего, ничего.
Проблемы начинаются, если сетевая топология выглядит так»
Маршрутизаторы в вашей зоне ответственности должны поддерживать PMTU-Discovery. Для этого надо, как минимум, не запрещать «на всякий случай все icmp». Хотябы в пределах LAN+VPN. На крайний случай, mtu можно установить вручную и не забывать дополнительно корректировать tcp-mss.
Пакеты отлично пройдут по ассиметричным маршрутам, лишь бы админ не наколхозил с SRC-NAT/DST-NAT. Много раз я видел «шедевры» типа "/ip firewall nat add chain=src-nat action=masquerade".
В случае колхоза с nat и firewall, связь вполне закономерно развалится — в дефолтном перечне правил фаервола микротика есть правило в цепочке forward, «drop» для пакетов принадлежащих соединению со статусом «invalid». Оно и срабатывает при ассиметричном роутинге.
Не надо изобретать велосипедов.
Очень часто на внутреннем накопителе забывают удалить файл autosupout.rif, который занимает много места. Из-за этого не происходит автоапгрейд.
Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
Очень часто на внутреннем накопителе забывают удалить файл autosupout.rif, который занимает много места. Из-за этого не происходит автоапгрейд.
Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
Вполне корректно. RB750Gr3 был лидером в соотношении «производительность_IPSec»/цена.
Этот аппарат не менее производителен, плюс имеет бонусом 2-диапазонный WiFi с MIMO
/system health print на этой железяке ничего не показывает.
Термометром не замерял. Чисто по ощущению рукой — корпус становится очень тёплый, но не горячий.
Насколько я вижу по скриншоту вы не обновили Firmware
Скрин был сделан сразу после обновления, до следующей перезагрузки отображается прежний номер версии. Спасибо, как-то не обратил на этот скрин внимания.
sfp для дома не слишком актуально. Провайдеры домашним абонентам в основном дают xPON, куда собственные абонентские модули не подключают. Абонентский модуль в сети GPON/GePON, должен быть «прописан» на головном устройстве и иногда это требует доп лицензий. Так, что воткнуть свою sfp в xPON-сеть почти никогда не получается.
В соотношении цена/функции — лучше. Но в отличие от hap ac, в этом нету гнезда под оптический sfp-модуль и flash-память сильно урезана.
Выбирать нужно исходя из функционала необходимого лично Вам.
Статья из серии "какой нельзя создавать архитектуру промышленной системы".
Опять 192.168.1.х в рабочих сетях. А если "192.168" привели "для примера" — поглядите в RFC. Там есть диапазоны для этого "TEST-NET" называются.
Еще один автор не знает, как использовать маршрутизацию.
Еще один костыль из стороннего несертифицированного продукта очень "обрадует" безопасников. Хотя, в конторе, где шлюз на keenetic, денег на безопасность наверняка совсем нет.
Читаем "Дайджест IT-событий сентября (часть первая)
Web@Cafe #20
Когда: 31 августа"
Совсем плохо с цифрами у автора.
Спасибо за скриптик.
Похоже, Вы вообще не понимаете для чего нужна рекурсивная маршрутизация.
Да, в dhcp-client скрипт появился давно, с выходом 6.39.rcxx Только многие его до сих пор «не заметили». Именно поэтому, такой вопрос возникает у людей с завидной периодичностью. О том и статья.
Моя статья написана как раз для упрощения понимания решения проблемы с dhcp.
На CHR/PC/cAP дефолтный фаервол иной. Т.к. на CHR/PC неизвестно заранее сколько каких будет интерфейсов и куда они будут подключены, а у cAP задачи иные.
Для 90% случаев, две основные причины «загадочной проблемы» отсутствия связности: 1) нет маршрута 2) неправильная настройка фаервола.
Маршрутизаторы в вашей зоне ответственности должны поддерживать PMTU-Discovery. Для этого надо, как минимум, не запрещать «на всякий случай все icmp». Хотябы в пределах LAN+VPN. На крайний случай, mtu можно установить вручную и не забывать дополнительно корректировать tcp-mss.
Пакеты отлично пройдут по ассиметричным маршрутам, лишь бы админ не наколхозил с SRC-NAT/DST-NAT. Много раз я видел «шедевры» типа "/ip firewall nat add chain=src-nat action=masquerade".
В случае колхоза с nat и firewall, связь вполне закономерно развалится — в дефолтном перечне правил фаервола микротика есть правило в цепочке forward, «drop» для пакетов принадлежащих соединению со статусом «invalid». Оно и срабатывает при ассиметричном роутинге.
Не надо изобретать велосипедов.
Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
Этот аппарат не менее производителен, плюс имеет бонусом 2-диапазонный WiFi с MIMO
Термометром не замерял. Чисто по ощущению рукой — корпус становится очень тёплый, но не горячий.
Скрин был сделан сразу после обновления, до следующей перезагрузки отображается прежний номер версии. Спасибо, как-то не обратил на этот скрин внимания.
Но элементная база другая. Нет PoE-Out. PoE-in есть в обоих.
Выбирать нужно исходя из функционала необходимого лично Вам.
Вот, за dude обидно.