автоматически генерится на пустом бридже мак, заведомо отсутствующие в сети (проверяются) Создаете сначала пустой бридж, копируете сгенеренный мак, вставляете в мак-админ адрес. ... Обычно работает корректно
Зачем бриджу получать IP? Он вроде как маршрутизирует трафик на уровне Ethernet Frames (более низкий уровень). Правилла фаервола можно прописать с привязкой к выходному порту.
Хорошо документированный глюк - не глюк, а фича. Логично было бы в команду добавить параметр указывающий с какого интерфейса брать MAC. А в винбокс и веб-интерфейс добавить соответсвующее поле. Админ бы сам решал как ему удобнее.
Проблема же в том, что могут подключаться динамические интерфейсы, типа ррр сессии, срок их жизни условно минута, а подхватывать может и их маки. Много админов жаловалось в саппорт микротику на слишком большую вариативность и неопределенность в захвате мака, но позиция разрабов неизменна - то, что может меняться, надо прописывать руками, для этого админу и дана голова. Увы, не все это помнят
@@moya-sprava-admin. Да я не про то...Раз уж они сделали такой костыль в виде выбора между автоматическим назначением MAC и ручным, то могли бы добавить третий вариант - админ указывает с какого интерфейса брать MAC. Тогда, выгруженый конфиг стал бы более универсальным. Грубо говоря, указать - "бери MAC-адрес с интерфейса eth2", и тогда на однотипный микротик конфиг встанет как родной и никаких коллизий в сети и "человеческого фактора".
@@MultiUser45 полистайте форум микротика, посмотрите, сколько предложений давали их команде по данному поводу. Но пока ответ один - есть как есть и для админа этого достаточно.
В целом все так, только важное замечание. Бриджит так работают не только на микротиках а вообще на любой linux машине. Собственно, оно и не удивительно так как, на сколько я знаю. RouterOS сам работает на линуксовом ядре.
Про последний абзац: в чём связь HWOffload и Queues/Firewall/Routing? HWOffload работает исключительно на L2 (на сохо, конечно же), оперируя кадрами. В очереди/фаерволл попадают L3-пакеты, и попадают они все без исключения, так как идут в Local Process, который обрабатывается CPU.
Связь прямая. Когда лежит канал, потому что он занят трафиком lan-lan, вы не можете шефу гарантировать его полосу пропускания. Его пакеты тупо не дойдут до ядра роутера, многие об этом забывают
@@moya-sprava-admin как пионер Ваня и пионер Вася могут влиять на скорость у бухгалтера (с), если все они подключены в разные порты роутера? Это раз. Два: для того, чтобы лан-лан ходили через Queues, нужно не только отключать HWOffload, но и включать Use-ip-firewall на бридже, о чём Вы не сказали.
@@Pun1sh3r1993 когда портов роутера меньше, чем пионеров, проблема сразу становится актуальной, не так ли? Или вы часто видите ситуации, когда шефа, бухгалтера или еще кого-то садят на отдельный порт? Или вы систему точек доступа тоже изолируете от общей сети, например? Я видел достаточно ситуаций, когда люди поднимают на капсмане L2 хождение в своей "бесшовной" сети, а потом жалуются на "нестабильный вайфай". Как раз по вышеуказанным причинам - потому что нет контроля скорости.
@@moya-sprava-admin эм. Если подключить шефа, буха и пионеров в отдельный коммутатор, стоящий за роутером, то как отключение HWOffload может на это повлиять?))) Кадры лан-лан будут коммутироваться коммутатором и даже не доходить до роутера. И даже в таком случае не забьют канал, так как шеф и бухгалтер будут ходить в инет через другие порты того же коммутатора. А канал в инет в большинстве случаев намного более худой, чем 100/1000 мбит локалка. И в этом случае уже пакеты пойдут в инет через роутер, и, как следствие, через CPU, где очереди без проблем сделают своё дело. Правильная настройка вай-фай - тема, мало касающаяся бриджей, мне кажется. А если и касающаяся, то Use-ip-firewall вполне работает вместе с HWOffload на Ethernet-портах и отключённым LF на капах.
@@Pun1sh3r1993 пионер Вася запросто может сидеть в локалке с шефом и будет это, например, сын директора, который пришел к папе на каникулах ума набраться и режется в контру. А пионер Петя запросто может сидеть в другом порту/локалке/вайфае и быть ребенком мамы бухгалтера, и тоже валить канал со своего компа, который добрая мама подключила. Не думайте, что это выдуманные истории, это практика жизни. Сегодня шеф сидит сам на ветке Лана, завтра ему подключили секретаршу, послезавтра расширили на целый отдел сммщиков, который вдруг неожиданно создали для решения ситуативной ситуации. А роутер никто не настраивает и даже не думает про скорости. Потом через месяц вдруг выясняется, что "уже и канал на инет расширили, а все равно тормозит"
Нет, не путаю. Как фасттрек, так и аппаратное ускорение не гарантирует правильный подсчет трафика, особенно lan-lan. Канал лежит, но вы это не видите, потому что аппаратный коммутатор тупо пропускает пакеты даже без контроля ошибок
@@moya-sprava-admin ни разу нигде и никогда не замечал, что через порт идёт больше трафика, чем отображено, при включённом HWOffload. Даже сейчас специально посмотрел на домашних микротах. Как зашло 300 мбит в порт, так и вышли те же 300 в другой. Так что, увидеть, что забит lan-lan вполне реально. А контроль ошибок, вроде, ещё до коммутатора происходит, на самих интерфейсах.
@@moya-sprava-admin так а очереди то тут при чем? они относятся только к тому трафику который есть, виден и проходит через маршрутизацию. как и какие проблемы ему может создать бридж?
Что-то я нигде не могу найти, что STP/RSTP вырубает HW offload. В вики у микротика написано: "in RouterOS v6.41 this property is replaced with the bridge hardware offloading feature, which allows your to switch ports and use some of the bridge features, for example, Spanning Tree Protocol."
Только что сделал бридж. метка H действительно убирается с порта, если включен STP/RSTP. но мне это не грозит - у меня используется vlan filtering, а он точно не совместим в hw-offload
Потому что есть современные csr, у которых есть аппаратные ускорения для большинства сценариев работы. У остальных роутеров, особенно бытовых - это все программная обработка.
:) посмотрите список микротов, нативно поддерживающих hw offload с натом+свич. Во всем этом зоопарке только ccr хоть как-то более менее и держат нагрузки, и то лишь на последних прошивках. Но речь-то шла больше не про них.
@@moya-sprava-admin ccr (tilera) не имеет hwoffload тупо ввиду отсутствия свитч-чипа. И держит нагрузку за счет CPU, ибо мощный и дофигаядерный. На каком-нибудь условном роутере (под условным mipsbe) мастырить hwoffload и делать из него свитч - это имхо верх жлобства. А если использовать правильным образом CRS326 (а только начиная с него у свитчей появляется аппаратная разгрузка бриджа), то и проблем в общем-то не будет. На AP (типа wAP) - не сталкивался с необходимостью "фризить" macadmin. А в стае CRS326 сталкивался. Но придерживаясь простого правила сажать аплинк на ether1, а даунлинков, например, наоборот с хвоста, если остальные порты - порты доступа, обычно macadmin умненько принимает мак ether1 и в рукописной статике тоже обычно не нуждается. А там, где нуждается, криворуким админам подшефных контор надо доступ на RO давать))) Благо это легко сделать в т.ч. через доменные группы с использованием радиуса. И не будь криворуких админов, путающих L2 и L3 и не понимающие между ними разницы, профессионалы без работы бы остались)))
Пожалуйста подскажите насколько нормальные или надёжные роутеру кинетики Вива , вообще много в сети как положительных так и отрицательных отзывов что вы можете сказать про них ?
Кинетики - вещь в себе. У них множество функций, выводящих из за пределы бытовых функций, но при этом на проф. Они не тянут. Если рассматривать как альтернативу асусу - можно, но условно и лишь старшие модели. Все младшие - мусор. Прошивки активно пилятся. Но все равно умудряются содержать много мелких ошибок, особенно при появлении нового функционала. В общем - неплохие роутеры, сыроватые до сих пор прошивки и неадекватная цена. Ещё раз - это про ультра-гигу.
@@moya-sprava-admin пожалуйста посоветуйте нормальный роутер для дома с возможностью работы с vpn и способны работать в сети с 20 устройствами и по возможности работать с торрентами.
@@eriustowarish919 нет, Вива - это очень урезанный роутер и на старшие он никак не тянет. На цену не смотрите, она не адекватная. Там нет фем на 5 ГГц и это ставит крест на нем как на роутере. Для меня во всяком случае
Здравствуйте ! У меня стоит pfsense . Пытаюсь настроить snort и вот проблемы .Снорт блокирует некоторые сайты и указывает описание BARE BYTE UNICODE ENCODING.Что делать и куда копать ?
@@random5539 конечно. Полистайте гугл, не стесняйтесь, везде полно постов с вашей проблемой и советов, что делать. Вернее, совет всегда один - смотреть логи и править правила, вернее - отключать ненужные. В реальной жизни перед запуском снорта на фильтрацию надо с месяц, а то и больше гонять его на тестах в зеркальных потоках и тупо смотреть логи, вычищая ненужное. Ну или писать свои правила с 0… но это со старта не получится
копать в сторону ROS))) точнее грести))) Сам держал шлюзы на FreeBSD с примерно так 1996 года. Но после знакомства с Mikrotik и ROS стал использовать исключительно их. Уже более 5 лет. Очень, знаете ли, упрощает задачу. Если надо накатить на свою железку (производительный сервер, например), дешевле все равно ничего не существует. А если задач по гиперпроизводительности не стоит, то роутеры у них есть начиная чуть ли не от тысячи рублей ($20) и до $3000 за железку на которой вполне прекрасно живет (в качестве центрального маршрутизатора) крупнейший провайдер второго по размеру города в Казахстане насколько мне известно. Из типичных usecase. Главный офис (HQ) - что-то типа 1100AHx4 или младший CCR1009. Цена вопроса в пределах $500. Для branch (филиалов) вполне юзабелен hEX (RB750G3) стоимостью $70. Для сравнения. До знакомства с микротом в ряде случаев сталкивался по работе с Netgear SRX5308 (~$500) и FVS318 (~$120) в филиалах. Так вот оба - полный отстой в сравнении с тем же младшеньким хексом. Хекс уделывает по производительности и функциональности играючи даже старший srx5308, про младшего просто молчу. Mikrotik hEX против Netgear SRX5308 - это условно какой-нибудь Toyota Land Cruiser 200 против Хорьха Штирлица. Мощнее, быстрее, комфортнее, проходимее, функциональнее во всем. У PFSense против ROS одно преимущество. Цена - ноль. Но в удобстве администрирования и функциональности не конкурент. А для теста и обучения ROS есть и в бесплатном формате)))
Что то у вас там про rstp в конце как- то мутно..., это протокол который создаёт логическую топологию без петель коммутации, при чем тут софтверная обработка трафика процессором и с HW тоже не очень, некоторые настройки ее могут отключить, а некоторые настройки роутера с включённой HW работать не будут.
В этом то и проблема, rstp включен по умолчанию чтобы сам роутер избегал петель. И для этого все заголовки всех кадров анализируются софтово, а поэтому не работает аппаратное ускорение. И все вытекающие последствия. И тут надо четко понимать надо вам это ускорение или нет. Если ваш роутер лежит с загрузкой проца в 80-100 процентов, возможно вам понадобится как то оптимизировать его работу. Если роутер даже софтово не загружен и на 10%, то не о чем и беспокоится.
hardware offload не всегда завязан на STP протоколе. Это болезнь в частности хекса, и иже с ними. (даже 4011), хотя кап ац и скажем шато и кубы прекрасно аппаратное ускорение имеют при включенном (R)STP (951ый старичек тоже, кстати нормально с рстп хв оффлоадид свитч) Уточняйте, пожалуйста, этот вопрос. Плюс: HW свитчинг никак не может вам убить очереди, если, конечно их правильно приготовить :) самая простая очередь - это одна единственная очередь с PCQ обработкой, из таргет - бридж, дст - ISP .... на хардвейр оффлоаде работает прекрасно. Вот честно - иногда говорите как действительно разобравшийся человек... но иногда же .... :(
поддерживаю вас, всё правильно написали, у меня кстати уже лет так пять работает rb-2011-uias-2hd, очень интересный девайс с 2-мя HW-свитчами - там полно нюансов =)
А для чего в микротике могут использовать бриджи на внешних интерфейсах при дуалване? Вот встречал такую настройку при маркировке разделения пакетов: /ip firewall add chain=prerouting action=mark-connection new-connection-mark=ISP1 in-interface=BRIDGE1.11 /ip firewall add chain=prerouting action=mark-connection new-connection-mark=ISP2 in-interface=BRIDGE1.22 ua-cam.com/video/ZsL-gv4vRrE/v-deo.htmlm51s
Бридж - це віртуальне поєднання декількох інтерфейсів. Щоб зрозуміти для чого їх поєднують вам потрібно сходити на курси по мікротікам та витратити пару років на навчання
@@moya-sprava-admin у меня дома микротик уже больше чем 10 лет, и с интернетом я с 1991 года (начал свою работу с освоения ещё кооксеалтных кабелей), и даже как-то в офисе более чем на 50 человек я самостоятельно ставил микротиковские роутеры и свичи, соединив всё оптикой. Но бриджи у меня всегда использовались для внутренней сети (там всё понятно когда тебе нужны vlan’ы). Я не эксперт вашего уровня, но считаю что в этой теме всё же разбираюсь. Однако в том примере что я привел - бриджами являются WAN’ы. И я не могу понять, зачем может быть задействовано по несколько интерфейсов от каждого интернет-провайдера? Вот и обрался к вам, может вы объясните необходимость бриджа на внешнем интерфейсе со сторороны ISP?
@@СашкаБелый-ч6м я вам і відповів, канали можуть бути пов'язані між собою, наприклад, для lag, або ви робите vrrf, або піднімаєте bgp або в одну мережу isp вводите окремі вілани через окреми інтерфейси. Більше того, не обов'язково вводити в брідж канали від одного провайдера, це може бути яка завгодно конфігурація, головне щоб вам було зрозуміло, як з нею впоратися. Тому що інколи бріджі зайві, вілани можна підняти на одному інтерфейсі і так далі. Тобто кожен адмін, кожен мережевий інженер вирішує, яку саме конфігурацію піднімати і це зовсім не означає, що саме вам вона потрібна або взагалі підходить. Саме тому я всім кажу лише одне: берете мікрот - грайтеся з ним, поки досконально не розберетеся з його налаштуванням, інакше він вам не потрібен.
Здравствуйте посоветуйте какой роутер приобрести я присмотрел asus ac66u b1 asus ac86u asus ax58u что из этого посоветуете может какой то другой посоветуйте пожалуста
У каждого роутера свое назначение. Если есть деньги, смотрите в сторону ах серий. 66 Серия больше для небольших нагрузок, 86 чуть мощнее и процессор побыстрее, но 64 битный и прошивки к небу особенные.
@@moya-sprava-admin спасибо что ответили. если смотреть на ax, то как вам asus ax58u? Достоин внимания? я хочу взять роутер для квартиры взамен d-link 825
@@theurs2 проблемы вообще нет, если о ней знать. Вы удивитесь, узнав, сколько существует бесхозных сетей, у которых админов нет, а рулят случайные люди или пользователи под настроение. И этот цирк шапито работает, обложенный костылями со всех сторон, периодически падая или тупо мешая работать. И вот только когда что-то кого-то окончательно достанет, зовут на помощь.
@@moya-sprava-admin я имею в виду то что микротику надо было просто рандомные маки бриджам присваивать. Вероятность столкнуться с реальными железом с таким же маком равна 0.00000000000001
@@theurs2 микроты - закос в сторону профоборудования, здесь так нельзя. :) У кого-то в сети 10 девайсов, у кого-то - десятки тысяч, потому алгоритм делали универсальный и простой одновременно
Здравствуйте. Хочу предложить тему для вашего нового видео: У вас прекрасное видео о защите роутера Asus( ua-cam.com/video/BHGNj-p84XU/v-deo.html ), было бы здорово, если то же самое видео-инструкцию вы сделали для последней OpenWRT 19.07.4 на бюджетном роутере. И также освещение вопросов в этом видео: 1. Если нужна безопасность в роутере на небольшие деньги(до 2500 руб), имеет-ли смысл смотреть в сторону роутеров с возможностью перепрошивки на OpenWRT 19.07, которая поддерживает WPA3?(И соотвественно переход на девайсы только с Wi-Fi на WPA3) 2. Роутеры на OpenWRT, начиная с v19.07 имеют максимальную степень безопасности по имеющимуся функционалу? 3. Какая защита будет надежнее: бюджетный роутер на OpenWRT 19.07 с WPA3 или дорогой, но с WPA2? 4. Бэкдоры в закрытом исходном коде прошивок от Keenetic, Asus (с утечками данных в сторону разработчиков, по аналогии с ОС Windows 10). Можно ли доверять этим прошивкам, особенно при использовании VPN? (или в этом случае OpenWRT и DD-WRT будут надежнее) 5. Для полной приватности(исключения телеметрии) нужно нужно-ли заменять штатный загрузчик роутера? (вдобавок к прошивке) С Уважением.
Вы видимо не сильно представляете как выпускаются версии опенврт. Если появляются критические уязвимости или выявляются глобальные ошибки они фиксится и выпускается новый релиз на поддерживаемых ветках, это и 18 и 19 ветки. А вот мелкие патчи или фиксы отображений, не влияющие на функционал никто не фиксит. Защита делится на уровни проникновения: порты, ядро, протоколы, сервисы. В общем же, если вы сможете каким-то чудом поломать wpa2 и/или перехватить пароль админа, то любой роутер не устоит. Если хотите надёжного подключения, пользуйтесь сертификатами, ssh/https и будет счастье. Если сильно боитесь взлома, используйте openvpn+ssh/https. wpa2 ломается перебором и без контроля его таки взломают. Равно как и wpa3. Потому защита роутера - исключительно на уровне фантазий админа о надёжности сети. Если вы думаете, что openwrt намного безопаснее асуса, вы ошибаетесь, там лишь методов защиты больше, а вот что выберет админ - это уже другая история. Сложность системы защиты растет в прогрессии от методов защиты, но ведь для домашнего роутера это обычно и не нужно? А для бизнес защиты есть проактивные решения и там совсем другой уровень работы и мониторинга.
@@moya-sprava-admin Благодарю за ответ. И все же, было бы интересно посмотреть ваше новое видео-инструкцию(куда заходить, что нажимать) об построении безопасной сети на роутере с OpenWRT 19 (вашем ТP-LINK TL-WR841N v13) с сертификатами и ssh/https и WPA3, по аналогии с тем видео, что вы делали по защите роутера ASUS. Так же, на видео можно, показать как установить дополнительные пакеты для включения WPA3 и посмотреть хватает-ли для них места на 8Мб ПЗУ.
@@moya-sprava-admin хм, действительно интересная у вас статистика набралась. я видимо ещё не встречал людей которые пользуются квиксетом, да, видел тех кто дефолтный конфиг правят, необдуманно плодят правила фаервола, не исползают листы и.т.д. И я считаю что именно ПОЛЬЗОВАТЕЛЯМ в микротик самому лезть не стоит - это сугубо моё мнение.
@@sudya12345 вопрос был не в этом, а в том что на бридже без интерфейсов мак есть. Если вы его закрепите, рандомно сгенерированный в итоге, то ничего не поменяется при добавлении интерфейсов.
@Maxim Kun как узнать как по какому протоколу подключение . Ну у меня стоит щиток от улицы идет провод к нему в щитке стоит белая штука со знаком желтым как будто огне опасно вроде от него идет провод желтый к fiber optical media converter
после того как услышал "програмировать" захотелось в когото плюнуть "тыж програмист = настрой принтер"
снял дизлай после того как появились "сетевые инженеры" =)
автоматически генерится на пустом бридже мак, заведомо отсутствующие в сети (проверяются)
Создаете сначала пустой бридж, копируете сгенеренный мак, вставляете в мак-админ адрес. ...
Обычно работает корректно
Познавательно. Но тут либо широкие возможности микротика и возможное появление проблем, либо велком в тмг, випнет и.т.д -)
Зачем бриджу получать IP?
Он вроде как маршрутизирует трафик на уровне Ethernet Frames (более низкий уровень).
Правилла фаервола можно прописать с привязкой к выходному порту.
Хорошо документированный глюк - не глюк, а фича.
Логично было бы в команду добавить параметр указывающий с какого интерфейса брать MAC. А в винбокс и веб-интерфейс добавить соответсвующее поле. Админ бы сам решал как ему удобнее.
Проблема же в том, что могут подключаться динамические интерфейсы, типа ррр сессии, срок их жизни условно минута, а подхватывать может и их маки. Много админов жаловалось в саппорт микротику на слишком большую вариативность и неопределенность в захвате мака, но позиция разрабов неизменна - то, что может меняться, надо прописывать руками, для этого админу и дана голова. Увы, не все это помнят
@@moya-sprava-admin. Да я не про то...Раз уж они сделали такой костыль в виде выбора между автоматическим назначением MAC и ручным, то могли бы добавить третий вариант - админ указывает с какого интерфейса брать MAC. Тогда, выгруженый конфиг стал бы более универсальным. Грубо говоря, указать - "бери MAC-адрес с интерфейса eth2", и тогда на однотипный микротик конфиг встанет как родной и никаких коллизий в сети и "человеческого фактора".
@@MultiUser45 полистайте форум микротика, посмотрите, сколько предложений давали их команде по данному поводу. Но пока ответ один - есть как есть и для админа этого достаточно.
В целом все так, только важное замечание. Бриджит так работают не только на микротиках а вообще на любой linux машине. Собственно, оно и не удивительно так как, на сколько я знаю. RouterOS сам работает на линуксовом ядре.
Да, но роутерос - это все же надстройка, тщательно скрывающая от нас линукс
Про последний абзац:
в чём связь HWOffload и Queues/Firewall/Routing? HWOffload работает исключительно на L2 (на сохо, конечно же), оперируя кадрами. В очереди/фаерволл попадают L3-пакеты, и попадают они все без исключения, так как идут в Local Process, который обрабатывается CPU.
Связь прямая. Когда лежит канал, потому что он занят трафиком lan-lan, вы не можете шефу гарантировать его полосу пропускания. Его пакеты тупо не дойдут до ядра роутера, многие об этом забывают
@@moya-sprava-admin как пионер Ваня и пионер Вася могут влиять на скорость у бухгалтера (с), если все они подключены в разные порты роутера? Это раз.
Два: для того, чтобы лан-лан ходили через Queues, нужно не только отключать HWOffload, но и включать Use-ip-firewall на бридже, о чём Вы не сказали.
@@Pun1sh3r1993 когда портов роутера меньше, чем пионеров, проблема сразу становится актуальной, не так ли? Или вы часто видите ситуации, когда шефа, бухгалтера или еще кого-то садят на отдельный порт? Или вы систему точек доступа тоже изолируете от общей сети, например? Я видел достаточно ситуаций, когда люди поднимают на капсмане L2 хождение в своей "бесшовной" сети, а потом жалуются на "нестабильный вайфай". Как раз по вышеуказанным причинам - потому что нет контроля скорости.
@@moya-sprava-admin эм. Если подключить шефа, буха и пионеров в отдельный коммутатор, стоящий за роутером, то как отключение HWOffload может на это повлиять?))) Кадры лан-лан будут коммутироваться коммутатором и даже не доходить до роутера. И даже в таком случае не забьют канал, так как шеф и бухгалтер будут ходить в инет через другие порты того же коммутатора. А канал в инет в большинстве случаев намного более худой, чем 100/1000 мбит локалка. И в этом случае уже пакеты пойдут в инет через роутер, и, как следствие, через CPU, где очереди без проблем сделают своё дело.
Правильная настройка вай-фай - тема, мало касающаяся бриджей, мне кажется. А если и касающаяся, то Use-ip-firewall вполне работает вместе с HWOffload на Ethernet-портах и отключённым LF на капах.
@@Pun1sh3r1993 пионер Вася запросто может сидеть в локалке с шефом и будет это, например, сын директора, который пришел к папе на каникулах ума набраться и режется в контру. А пионер Петя запросто может сидеть в другом порту/локалке/вайфае и быть ребенком мамы бухгалтера, и тоже валить канал со своего компа, который добрая мама подключила. Не думайте, что это выдуманные истории, это практика жизни. Сегодня шеф сидит сам на ветке Лана, завтра ему подключили секретаршу, послезавтра расширили на целый отдел сммщиков, который вдруг неожиданно создали для решения ситуативной ситуации. А роутер никто не настраивает и даже не думает про скорости. Потом через месяц вдруг выясняется, что "уже и канал на инет расширили, а все равно тормозит"
надо поподробнее про неправильно работающие очереди при включенном аппаратном ускорении на бридже, может путаете с включенным фасттреком?
Нет, не путаю. Как фасттрек, так и аппаратное ускорение не гарантирует правильный подсчет трафика, особенно lan-lan. Канал лежит, но вы это не видите, потому что аппаратный коммутатор тупо пропускает пакеты даже без контроля ошибок
@@moya-sprava-admin ни разу нигде и никогда не замечал, что через порт идёт больше трафика, чем отображено, при включённом HWOffload. Даже сейчас специально посмотрел на домашних микротах. Как зашло 300 мбит в порт, так и вышли те же 300 в другой. Так что, увидеть, что забит lan-lan вполне реально. А контроль ошибок, вроде, ещё до коммутатора происходит, на самих интерфейсах.
@@moya-sprava-admin lan lan в очереди вообще не попадает если оба в одном бридже. О чем речь?
@@theurs2 речь о трафике, который вы не видите, а он есть.
@@moya-sprava-admin так а очереди то тут при чем? они относятся только к тому трафику который есть, виден и проходит через маршрутизацию. как и какие проблемы ему может создать бридж?
Что-то я нигде не могу найти, что STP/RSTP вырубает HW offload. В вики у микротика написано: "in RouterOS v6.41 this property is replaced with the bridge hardware offloading feature, which allows your to switch ports and use some of the bridge features, for example, Spanning Tree Protocol."
Только что сделал бридж. метка H действительно убирается с порта, если включен STP/RSTP. но мне это не грозит - у меня используется vlan filtering, а он точно не совместим в hw-offload
Потому что есть современные csr, у которых есть аппаратные ускорения для большинства сценариев работы. У остальных роутеров, особенно бытовых - это все программная обработка.
@@rshamray на hap ac2 и hap lite включенный RSTP не убирает метку H с портов в бридже. а igmp snooping убирает
@@moya-sprava-admin и еще раз не поленюсь
wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading
@@rshamray wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading
на каких дивайсах у Вас возникли проблемы? погонял rstp/mstp на ccr2004 - практически без задержек на полной загрузке порта 10Гиг
:) посмотрите список микротов, нативно поддерживающих hw offload с натом+свич. Во всем этом зоопарке только ccr хоть как-то более менее и держат нагрузки, и то лишь на последних прошивках. Но речь-то шла больше не про них.
@@moya-sprava-admin ccr (tilera) не имеет hwoffload тупо ввиду отсутствия свитч-чипа. И держит нагрузку за счет CPU, ибо мощный и дофигаядерный. На каком-нибудь условном роутере (под условным mipsbe) мастырить hwoffload и делать из него свитч - это имхо верх жлобства. А если использовать правильным образом CRS326 (а только начиная с него у свитчей появляется аппаратная разгрузка бриджа), то и проблем в общем-то не будет. На AP (типа wAP) - не сталкивался с необходимостью "фризить" macadmin. А в стае CRS326 сталкивался. Но придерживаясь простого правила сажать аплинк на ether1, а даунлинков, например, наоборот с хвоста, если остальные порты - порты доступа, обычно macadmin умненько принимает мак ether1 и в рукописной статике тоже обычно не нуждается. А там, где нуждается, криворуким админам подшефных контор надо доступ на RO давать))) Благо это легко сделать в т.ч. через доменные группы с использованием радиуса. И не будь криворуких админов, путающих L2 и L3 и не понимающие между ними разницы, профессионалы без работы бы остались)))
Колизии блокируются не dhcp сервером
Пожалуйста подскажите насколько нормальные или надёжные роутеру кинетики Вива , вообще много в сети как положительных так и отрицательных отзывов что вы можете сказать про них ?
Кинетики - вещь в себе. У них множество функций, выводящих из за пределы бытовых функций, но при этом на проф. Они не тянут. Если рассматривать как альтернативу асусу - можно, но условно и лишь старшие модели. Все младшие - мусор. Прошивки активно пилятся. Но все равно умудряются содержать много мелких ошибок, особенно при появлении нового функционала. В общем - неплохие роутеры, сыроватые до сих пор прошивки и неадекватная цена. Ещё раз - это про ультра-гигу.
@@moya-sprava-admin пожалуйста посоветуйте нормальный роутер для дома с возможностью работы с vpn и способны работать в сети с 20 устройствами и по возможности работать с торрентами.
@@moya-sprava-admin ещё про кинетик , Вива это вроде тоже одна из старших моделей ???
@@eriustowarish919 старшие кинетики или асусы. Можно и микротики, но там много ньюансов
@@eriustowarish919 нет, Вива - это очень урезанный роутер и на старшие он никак не тянет. На цену не смотрите, она не адекватная. Там нет фем на 5 ГГц и это ставит крест на нем как на роутере. Для меня во всяком случае
Здравствуйте ! У меня стоит pfsense . Пытаюсь настроить snort и вот проблемы .Снорт блокирует некоторые сайты и указывает описание BARE BYTE UNICODE ENCODING.Что делать и куда копать ?
Копайте в сторону правил и отключаете ненужные
@@moya-sprava-admin правил снорта?
@@random5539 конечно. Полистайте гугл, не стесняйтесь, везде полно постов с вашей проблемой и советов, что делать. Вернее, совет всегда один - смотреть логи и править правила, вернее - отключать ненужные. В реальной жизни перед запуском снорта на фильтрацию надо с месяц, а то и больше гонять его на тестах в зеркальных потоках и тупо смотреть логи, вычищая ненужное. Ну или писать свои правила с 0… но это со старта не получится
копать в сторону ROS))) точнее грести))) Сам держал шлюзы на FreeBSD с примерно так 1996 года. Но после знакомства с Mikrotik и ROS стал использовать исключительно их. Уже более 5 лет. Очень, знаете ли, упрощает задачу. Если надо накатить на свою железку (производительный сервер, например), дешевле все равно ничего не существует. А если задач по гиперпроизводительности не стоит, то роутеры у них есть начиная чуть ли не от тысячи рублей ($20) и до $3000 за железку на которой вполне прекрасно живет (в качестве центрального маршрутизатора) крупнейший провайдер второго по размеру города в Казахстане насколько мне известно. Из типичных usecase. Главный офис (HQ) - что-то типа 1100AHx4 или младший CCR1009. Цена вопроса в пределах $500. Для branch (филиалов) вполне юзабелен hEX (RB750G3) стоимостью $70. Для сравнения. До знакомства с микротом в ряде случаев сталкивался по работе с Netgear SRX5308 (~$500) и FVS318 (~$120) в филиалах. Так вот оба - полный отстой в сравнении с тем же младшеньким хексом. Хекс уделывает по производительности и функциональности играючи даже старший srx5308, про младшего просто молчу. Mikrotik hEX против Netgear SRX5308 - это условно какой-нибудь Toyota Land Cruiser 200 против Хорьха Штирлица. Мощнее, быстрее, комфортнее, проходимее, функциональнее во всем. У PFSense против ROS одно преимущество. Цена - ноль. Но в удобстве администрирования и функциональности не конкурент. А для теста и обучения ROS есть и в бесплатном формате)))
@@MrKotische достаточно, поюзать забугорные спйты.. И пуфик(pfsense) дружелюбнее становится
Что то у вас там про rstp в конце как- то мутно..., это протокол который создаёт логическую топологию без петель коммутации, при чем тут софтверная обработка трафика процессором и с HW тоже не очень, некоторые настройки ее могут отключить, а некоторые настройки роутера с включённой HW работать не будут.
В этом то и проблема, rstp включен по умолчанию чтобы сам роутер избегал петель. И для этого все заголовки всех кадров анализируются софтово, а поэтому не работает аппаратное ускорение. И все вытекающие последствия. И тут надо четко понимать надо вам это ускорение или нет. Если ваш роутер лежит с загрузкой проца в 80-100 процентов, возможно вам понадобится как то оптимизировать его работу. Если роутер даже софтово не загружен и на 10%, то не о чем и беспокоится.
hardware offload не всегда завязан на STP протоколе.
Это болезнь в частности хекса, и иже с ними. (даже 4011), хотя кап ац и скажем шато и кубы прекрасно аппаратное ускорение имеют при включенном (R)STP (951ый старичек тоже, кстати нормально с рстп хв оффлоадид свитч)
Уточняйте, пожалуйста, этот вопрос.
Плюс: HW свитчинг никак не может вам убить очереди, если, конечно их правильно приготовить :)
самая простая очередь - это одна единственная очередь с PCQ обработкой, из таргет - бридж, дст - ISP .... на хардвейр оффлоаде работает прекрасно.
Вот честно - иногда говорите как действительно разобравшийся человек... но иногда же ....
:(
поддерживаю вас, всё правильно написали, у меня кстати уже лет так пять работает rb-2011-uias-2hd, очень интересный девайс с 2-мя HW-свитчами - там полно нюансов =)
А для чего в микротике могут использовать бриджи на внешних интерфейсах при дуалване? Вот встречал такую настройку при маркировке разделения пакетов:
/ip firewall add chain=prerouting action=mark-connection new-connection-mark=ISP1 in-interface=BRIDGE1.11
/ip firewall add chain=prerouting action=mark-connection new-connection-mark=ISP2 in-interface=BRIDGE1.22
ua-cam.com/video/ZsL-gv4vRrE/v-deo.htmlm51s
Бридж - це віртуальне поєднання декількох інтерфейсів. Щоб зрозуміти для чого їх поєднують вам потрібно сходити на курси по мікротікам та витратити пару років на навчання
@@moya-sprava-admin у меня дома микротик уже больше чем 10 лет, и с интернетом я с 1991 года (начал свою работу с освоения ещё кооксеалтных кабелей), и даже как-то в офисе более чем на 50 человек я самостоятельно ставил микротиковские роутеры и свичи, соединив всё оптикой. Но бриджи у меня всегда использовались для внутренней сети (там всё понятно когда тебе нужны vlan’ы). Я не эксперт вашего уровня, но считаю что в этой теме всё же разбираюсь. Однако в том примере что я привел - бриджами являются WAN’ы. И я не могу понять, зачем может быть задействовано по несколько интерфейсов от каждого интернет-провайдера? Вот и обрался к вам, может вы объясните необходимость бриджа на внешнем интерфейсе со сторороны ISP?
@@СашкаБелый-ч6м я вам і відповів, канали можуть бути пов'язані між собою, наприклад, для lag, або ви робите vrrf, або піднімаєте bgp або в одну мережу isp вводите окремі вілани через окреми інтерфейси. Більше того, не обов'язково вводити в брідж канали від одного провайдера, це може бути яка завгодно конфігурація, головне щоб вам було зрозуміло, як з нею впоратися. Тому що інколи бріджі зайві, вілани можна підняти на одному інтерфейсі і так далі. Тобто кожен адмін, кожен мережевий інженер вирішує, яку саме конфігурацію піднімати і це зовсім не означає, що саме вам вона потрібна або взагалі підходить. Саме тому я всім кажу лише одне: берете мікрот - грайтеся з ним, поки досконально не розберетеся з його налаштуванням, інакше він вам не потрібен.
когда делаеш експорт конфига, нужно голову использовать по назначению
Здравствуйте посоветуйте какой роутер приобрести я присмотрел asus ac66u b1 asus ac86u asus ax58u что из этого посоветуете может какой то другой посоветуйте пожалуста
У каждого роутера свое назначение. Если есть деньги, смотрите в сторону ах серий. 66 Серия больше для небольших нагрузок, 86 чуть мощнее и процессор побыстрее, но 64 битный и прошивки к небу особенные.
@@moya-sprava-admin спасибо что ответили. если смотреть на ax, то как вам asus ax58u? Достоин внимания? я хочу взять роутер для квартиры взамен d-link 825
@@ВладимирКузнецов-ж5з он будет 100% лучше вашего длинка.
почитал комнеты = ребята не брезгуйте курсами ;-) курсы по микротикам одни из самы доступных ;-)
Подскажите какая ваша почта не могу найти ?
Пишите через форму обратной связи на ютубе
Класс Спасибо !
Когда уже про wifi 6 и wifi 6e
wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading
Категорически советую для ознакомления.
Здравствуйте как можно с вами связаться?
Пишите на почту
сделаем быстро, качественно, дёшево - выберите 2 параметра
Нужна помощь. Есть связь?
Извините, я не оказываю консультаций. Вам проще найти админа по месту
На ум приходит идея переписывать MAC-адреса сетевых карт материнок и роутеров отправляемых на утилизацию. Так сказать, про запас, на такие вот случаи.
Всегда можно найти выход из ситуации, если понимаешь проблему.
проблема высосана из пальца, ничто не мешает использовать рандомные маки, вероятность столкновения в л2 сегменте будет равна 0
@@theurs2 проблемы вообще нет, если о ней знать. Вы удивитесь, узнав, сколько существует бесхозных сетей, у которых админов нет, а рулят случайные люди или пользователи под настроение. И этот цирк шапито работает, обложенный костылями со всех сторон, периодически падая или тупо мешая работать. И вот только когда что-то кого-то окончательно достанет, зовут на помощь.
@@moya-sprava-admin я имею в виду то что микротику надо было просто рандомные маки бриджам присваивать. Вероятность столкнуться с реальными железом с таким же маком равна 0.00000000000001
@@theurs2 микроты - закос в сторону профоборудования, здесь так нельзя. :) У кого-то в сети 10 девайсов, у кого-то - десятки тысяч, потому алгоритм делали универсальный и простой одновременно
Здравствуйте. Хочу предложить тему для вашего нового видео:
У вас прекрасное видео о защите роутера Asus( ua-cam.com/video/BHGNj-p84XU/v-deo.html ),
было бы здорово, если то же самое видео-инструкцию вы сделали для последней OpenWRT 19.07.4 на бюджетном роутере.
И также освещение вопросов в этом видео:
1. Если нужна безопасность в роутере на небольшие деньги(до 2500 руб), имеет-ли смысл смотреть в сторону роутеров с возможностью перепрошивки на OpenWRT 19.07, которая поддерживает WPA3?(И соотвественно переход на девайсы только с Wi-Fi на WPA3)
2. Роутеры на OpenWRT, начиная с v19.07 имеют максимальную степень безопасности по имеющимуся функционалу?
3. Какая защита будет надежнее: бюджетный роутер на OpenWRT 19.07 с WPA3 или дорогой, но с WPA2?
4. Бэкдоры в закрытом исходном коде прошивок от Keenetic, Asus (с утечками данных в сторону разработчиков, по аналогии с ОС Windows 10). Можно ли доверять этим прошивкам, особенно при использовании VPN? (или в этом случае OpenWRT и DD-WRT будут надежнее)
5. Для полной приватности(исключения телеметрии) нужно нужно-ли заменять штатный загрузчик роутера? (вдобавок к прошивке)
С Уважением.
Вы видимо не сильно представляете как выпускаются версии опенврт. Если появляются критические уязвимости или выявляются глобальные ошибки они фиксится и выпускается новый релиз на поддерживаемых ветках, это и 18 и 19 ветки. А вот мелкие патчи или фиксы отображений, не влияющие на функционал никто не фиксит. Защита делится на уровни проникновения: порты, ядро, протоколы, сервисы. В общем же, если вы сможете каким-то чудом поломать wpa2 и/или перехватить пароль админа, то любой роутер не устоит. Если хотите надёжного подключения, пользуйтесь сертификатами, ssh/https и будет счастье. Если сильно боитесь взлома, используйте openvpn+ssh/https. wpa2 ломается перебором и без контроля его таки взломают. Равно как и wpa3. Потому защита роутера - исключительно на уровне фантазий админа о надёжности сети. Если вы думаете, что openwrt намного безопаснее асуса, вы ошибаетесь, там лишь методов защиты больше, а вот что выберет админ - это уже другая история. Сложность системы защиты растет в прогрессии от методов защиты, но ведь для домашнего роутера это обычно и не нужно? А для бизнес защиты есть проактивные решения и там совсем другой уровень работы и мониторинга.
@@moya-sprava-admin Благодарю за ответ. И все же, было бы интересно посмотреть ваше новое видео-инструкцию(куда заходить, что нажимать) об построении безопасной сети на роутере с OpenWRT 19 (вашем ТP-LINK TL-WR841N v13) с сертификатами и ssh/https и WPA3, по аналогии с тем видео, что вы делали по защите роутера ASUS. Так же, на видео можно, показать как установить дополнительные пакеты для включения WPA3 и посмотреть хватает-ли для них места на 8Мб ПЗУ.
ну вот что это за бред ? если используется фасстрак то никаких куосов не будет по определению.
Хорошо, когда вы эти определения знаете. 90% пользователей микротов катаются на дефконф и задают вопрос - почему не работает
@@moya-sprava-admin хм, действительно интересная у вас статистика набралась. я видимо ещё не встречал людей которые пользуются квиксетом, да, видел тех кто дефолтный конфиг правят, необдуманно плодят правила фаервола, не исползают листы и.т.д. И я считаю что именно ПОЛЬЗОВАТЕЛЯМ в микротик самому лезть не стоит - это сугубо моё мнение.
Ох и подача ... а как же бридж без интерфейсов? Нет мак-адреса?
пока в бридже нет портов, МАС рандомный там, как только добавлен порт в бридж, МАС меняется на МАС этого порта
@@sudya12345 вопрос был не в этом, а в том что на бридже без интерфейсов мак есть. Если вы его закрепите, рандомно сгенерированный в итоге, то ничего не поменяется при добавлении интерфейсов.
👍👑
Такое же поведение у linux bridge. Так что микротик ничего не придумал,это уже было в линуксе.
Микротик всячески скрывает нам поведение системы, многие даже не в курсе, что внутри за Линукс и как он работает :)
Хоть название ролика исправил бы
16:20 при включенном fasttrack и так queues не работают)
Да, но не все это знают
У меня роутер Tp-Link TL-MR3420 WAN , не мог ли записать видео настройку для игры для минимальноо пинга стабильного передачи пакетов
@Maxim Kun хорошо буду подключать на прямаю к пк
@Maxim Kun У меня сейчас было так интернет кабель идет к роутеру а от роутера идет кабель к пк . Мне лучше подключать не к роутеру а сразу к пк да ?
@Maxim Kun как узнать как по какому протоколу подключение . Ну у меня стоит щиток от улицы идет провод к нему в щитке стоит белая штука со знаком желтым как будто огне опасно вроде от него идет провод желтый к fiber optical media converter
DNS с минимальным для тебя пингом ищешь и прописываешь на роутере. Всё.
Программировать MikroTik?
Да что ты черт побери такое несешь? Еще админом себя называет.
Кстати, какой язык используете для программирования? Ахахах!
мне кажется я услышал какойто бред на тему STP, поставил дизлайк обратно =\