|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
20-Дек-20 12:12
(4 года 1 месяц назад)
julia-cd писал(а):
80606449Единственное что заметила - с активным l2tp подключением количество раздаваемых торрентов автоматически уменьшается до 3-5
Это как выглядит?
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
20-Дек-20 12:20
(спустя 7 мин.)
FakinTosh писал(а):
80607194
julia-cd писал(а):
80606449Единственное что заметила - с активным l2tp подключением количество раздаваемых торрентов автоматически уменьшается до 3-5
Это как выглядит?
? ну как... Вот сейчас открыла transmission - 14 активных торрентов, из них 2 закачки.
Если сейчас полезу на работу - через 10-20 минут в активных останется 2 закачки и еще 2-3 торрента на раздачу. И так будет, пока поднят рабочий l2tp.
|
|
|
|
glossum
Стаж: 15 лет 10 месяцев Сообщений: 115
|
glossum ·
20-Дек-20 12:47
(спустя 27 мин., ред. 20-Дек-20 12:47)
Насколько я понимаю, это и говорит о том, что часть торрент-трафика пытается идти через рабочее L2TP соединение, а корпоративный firewall эту часть, естественно, не пускает. Вот вам и гибкая настройка маршрутов в Mikrotik'е.
Вообще говоря, у transmission есть параметр "bind-interface-ipv4" в конфигурационном файле. Его можно привязать к отдельному интерфейсу, а уже этот интерфейс в роутере отделить от маршрута, которым проходит рабочий L2TP.
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
20-Дек-20 12:52
(спустя 4 мин.)
julia-cd писал(а):
80607228поднят рабочий l2tp
С микротика или с компа?
Если микротик подключен через него к рабочему месту, то надо с трафиком поработать, коннекты на рабочее место через L2TP гнать, остальное в обход него.
Если с компа напрямую - то ясное дело, весь трафик заворачивается в L2TP
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
20-Дек-20 13:05
(спустя 13 мин., ред. 20-Дек-20 13:05)
FakinTosh писал(а):
80607397
julia-cd писал(а):
80607228поднят рабочий l2tp
С микротика или с компа?
Если микротик подключен через него к рабочему месту, то надо с трафиком поработать, коннекты на рабочее место через L2TP гнать, остальное в обход него.
Если с компа напрямую - то ясное дело, весь трафик заворачивается в L2TP
Рабочий l2tp на микротике настроен. Трафик до рабочих подсетей заворачивается в него. Остальное идет мимо.
Честно особо не заморачивалась этим вопросом и находила такое положение вещей естественным - пропускная способность канала ограничена, и если появляется новый потребитель - значит, остальные должны немного потесниться, если это как-то иначе шейпером не разруливается, но шейпера у меня как раз и нет - за ненадобностью.
glossum писал(а):
80607324Насколько я понимаю, это и говорит о том, что часть торрент-трафика пытается идти через рабочее L2TP соединение, а корпоративный firewall эту часть, естественно, не пускает.
Очень сомневаюсь, иначе давно бы уже получила по башке и от сетевиков, и от СБ. Потому как подобные прецеденты случались с другими удаленщиками, и каждый раз был по этому поводу крик.
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
20-Дек-20 13:31
(спустя 25 мин.)
julia-cd писал(а):
80607461но шейпера у меня как раз и нет - за ненадобностью
julia-cd писал(а):
80607461пропускная способность канала ограничена
Шейпер не нужен, если канал - сотня, другая. А если ограничен канал - нужно каждый килобит разделять.
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
20-Дек-20 13:43
(спустя 12 мин.)
FakinTosh писал(а):
80607645
julia-cd писал(а):
80607461но шейпера у меня как раз и нет - за ненадобностью
julia-cd писал(а):
80607461пропускная способность канала ограничена
Шейпер не нужен, если канал - сотня, другая. А если ограничен канал - нужно каждый килобит разделять.
50мбит. Вроде, хватает.
Да и когда и 5, и 10 было - тоже не жаловались особо. Мы с мужем еще ФИДО помним, и connect 2400  Нам не привыкать
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
20-Дек-20 13:52
(спустя 8 мин.)
julia-cd
Ну если с мужем тогда надо шейперить даже 50 мбит, пока один пользователь в сети то все 50 отдавать а если оба сидите то каждому по 25.
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
20-Дек-20 13:57
(спустя 4 мин.)
FakinTosh писал(а):
80607786julia-cd
Ну если с мужем тогда надо шейперить даже 50 мбит, пока один пользователь в сети то все 50 отдавать а если оба сидите то каждому по 25.
Тогда уж по 12,5. Еще ведь и сын со свекровью
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
20-Дек-20 14:31
(спустя 33 мин.)
julia-cd писал(а):
80607827Тогда уж по 12,5
это в моменты если все одновременно сидите. + торрент сразу задействует шейпер.
|
|
|
|
PropanRulit
Стаж: 15 лет Сообщений: 17
|
PropanRulit ·
03-Янв-21 18:34
(спустя 14 дней)
добрый день. "по совету из интернету" поставил себе домой hAP AC, сам настроить не смог (билайн), пришлось подключать знакомых. они настроили.
Подскажите, пожалуйста, где бы найти гайд (ну или тут кто может написать) как блокировать доступ к сайтам с ОПРЕДЕЛЕННОГО компа (по мак-адресу) из сети. Поясню: я хочу ограничить доступ к сайту ютуб с компа ребенка, чтобы он не мог войти на него. Но чтобы при этом другие устройства могли заходить. То есть чтобы шла блокировка именно по маку.
спасибо
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
04-Янв-21 14:05
(спустя 19 часов, ред. 04-Янв-21 14:05)
PropanRulit писал(а):
80684331Подскажите, пожалуйста, где бы найти гайд (ну или тут кто может написать) как блокировать доступ к сайтам с ОПРЕДЕЛЕННОГО компа (по мак-адресу) из сети. Поясню: я хочу ограничить доступ к сайту ютуб с компа ребенка, чтобы он не мог войти на него. Но чтобы при этом другие устройства могли заходить. То есть чтобы шла блокировка именно по маку.
спасибо
Вот один из многочисленных гайдов на эту тему. Все остальное в выдаче гугла так или иначе копирует это руководство.
А теперь о грустном - на прошивках от 6.46.4 и старше все это не работает. Обратите особое внимание на комментарии. Там есть подсказки, как можно попробовать сделать, чтобы все-таки заработало.
|
|
|
|
glossum
Стаж: 15 лет 10 месяцев Сообщений: 115
|
glossum ·
04-Янв-21 20:05
(спустя 5 часов, ред. 04-Янв-21 20:05)
Ничего себе mikrotik-way...
А если просто на определённом компьютере внести этот адрес в hosts как "youtube.com 127.0.0.1"?
Или, может, на роутере ресолвить youtube "в никуда" для определённого клиента dns — тоже, наверное, выйдет менее затратно по ресурсам?
|
|
|
|
dmitry.destroyer
Стаж: 14 лет 10 месяцев Сообщений: 2515
|
dmitry.destroyer ·
04-Янв-21 21:48
(спустя 1 час 42 мин.)
julia-cd писал(а):
80688538Вот один из многочисленных гайдов на эту тему
маркировка по L7 очень трудозатратна для CPU роутера и дефакто не применяется, во всяком случае для подобного
glossum писал(а):
80690248А если просто на определённом компьютере внести этот адрес в hosts как "youtube.com 127.0.0.1"?
а что помешает ребенку удалить эти записи?
glossum писал(а):
80690248Или, может, на роутере ресолвить youtube "в никуда" для определённого клиента dns — тоже, наверное, выйдет менее затратно по ресурсам?
как по мне, направление вернее: но DNS на микротиках так себе (лучше либо держать полноценный DNS-сервер у себя дома, либо использовать сторонний с возможностью добавления своих записей)
я б как минимум принудительно перехватывал DNS от нужных устройств (или от всех) и пропускал их через микротик, делая на нем все что нужно
|
|
|
|
glossum
Стаж: 15 лет 10 месяцев Сообщений: 115
|
glossum ·
05-Янв-21 00:25
(спустя 2 часа 36 мин.)
dmitry, Продвинутые дети могут и MAC-адрес поменять, и даже подключить альтернативный интернет через мобильник по USB. Тогда уж полностью дом изолировать от ютуба надо.
|
|
|
|
julia-cd
Стаж: 16 лет Сообщений: 103
|
julia-cd ·
05-Янв-21 10:00
(спустя 9 часов)
dmitry.destroyer писал(а):
80691048
julia-cd писал(а):
80688538Вот один из многочисленных гайдов на эту тему
маркировка по L7 очень трудозатратна для CPU роутера и дефакто не применяется, во всяком случае для подобного
glossum писал(а):
80690248Или, может, на роутере ресолвить youtube "в никуда" для определённого клиента dns — тоже, наверное, выйдет менее затратно по ресурсам?
как по мне, направление вернее: но DNS на микротиках так себе (лучше либо держать полноценный DNS-сервер у себя дома, либо использовать сторонний с возможностью добавления своих записей)
я б как минимум принудительно перехватывал DNS от нужных устройств (или от всех) и пропускал их через микротик, делая на нем все что нужно
В комментариях к статье как раз описан вариант с манипуляциями с dns на mikrotik при помощи скрипта, я специально подчеркнула, чтобы обратили внимание на комменты
Насколько скрипт работоспособен - не знаю, не вчитывалась, но это другой вопрос.
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
05-Янв-21 13:43
(спустя 3 часа, ред. 05-Янв-21 13:43)
glossum писал(а):
80691851Продвинутые дети могут и MAC-адрес поменять
ARP Reply Only на нужном интерфейсе - если родитель не внёс в IP - ARP нужный мак адрес с закреплённым за ним статическим Ip - то менять можно маки до посинения. Интырьнет не заработает. Так как в ARP листе прописаны разрешённые комбинации айпишников с маками которым можно в интернет.
|
|
|
|
Ultra_Rion
Стаж: 15 лет Сообщений: 2
|
Ultra_Rion ·
07-Янв-21 00:25
(спустя 1 день 10 часов)
PropanRulit
julia-cd
У меня все отлично работает на 6.47.4. Попробуйтеи и вы
скрытый текст
/ip firewall layer7-protocol
add name=youtube regexp="^.+(youtube|akamaihd|googlevideo).*\$"
/ip firewall filter
add action=drop chain=input comment="Block youtube" layer7-protocol=youtube \
src-address-list=192.168.88.10
|
|
|
|
Kostymole
Стаж: 18 лет 5 месяцев Сообщений: 26
|
Kostymole ·
08-Янв-21 21:34
(спустя 1 день 21 час)
Если честно, то блокировать ютуб - идея так себе. Скорее даже бесполезна. Ну будет открывать рутуб, потом яндекс.видео, потом еще какие-то помойные видеохостинги, потом видео в соцсетях.. В итоге либо создавать список "белых сайтов", либо это все будет борьба с ветряными мельницами. Тем более потом учитель в школе выдаст задание просмотреть видео на тему "Влияние Древнего Рима на развитие космической программы США", а оно на ютубе, придется правило деактивировать, а потом забыть активировать и т.д. и т.п.
|
|
|
|
vv13
Стаж: 16 лет 2 месяца Сообщений: 415
|
vv13 ·
08-Янв-21 22:35
(спустя 1 час)
Kostymole писал(а):
80715806... учитель в школе выдаст задание...
Подойдут к предкам и посмотрят на другом компе. Тут трафик ограничен. Есть любители вбить в ютуб камеди клаб или "Санта Барбара" и нонстоп не смотреть, а для фона.
|
|
|
|
SmapD
Стаж: 15 лет 1 месяц Сообщений: 12
|
SmapD ·
09-Янв-21 18:48
(спустя 20 часов)
Купил для дома MikroTik hAP ac2. Модель норм,настроил быстро, потом стал могзи делать, сбросил все настройки. В нете нашел гайд и настроил с 0 все. Работает,как часы. Самое главное это размер и без торчащих антенн. Ловит 2,4Гц на две лестничной клетке выше, зависит от устройства принимающего. За 3к считаю великолепной покупкой))))) 
|
|
|
|
dmitry.destroyer
Стаж: 14 лет 10 месяцев Сообщений: 2515
|
dmitry.destroyer ·
10-Янв-21 21:35
(спустя 1 день 2 часа)
Ultra_Rion писал(а):
80703964/ip firewall filter
add action=drop chain=input
хз как оно у вас "отлично работает" блокируя ютуб только лишь для самого роутера...
|
|
|
|
Onegaii
Стаж: 16 лет 10 месяцев Сообщений: 60
|
Onegaii ·
11-Янв-21 08:46
(спустя 11 часов)
SmapD писал(а):
80721325Купил для дома MikroTik hAP ac2. Модель норм,настроил быстро, потом стал могзи делать, сбросил все настройки. В нете нашел гайд и настроил с 0 все. Работает,как часы. Самое главное это размер и без торчащих антенн. Ловит 2,4Гц на две лестничной клетке выше, зависит от устройства принимающего. За 3к считаю великолепной покупкой)))))
Надеюсь, мануал начинался не со слов "Сбросьте роутер в пустую конфигурацию? Дефолтная конфигурация Микротиков вполне достаточна для домашнего использования
|
|
|
|
Ultra_Rion
Стаж: 15 лет Сообщений: 2
|
Ultra_Rion ·
14-Янв-21 15:27
(спустя 3 дня)
dmitry.destroyer писал(а):
80729545хз как оно у вас "отлично работает" блокируя ютуб только лишь для самого роутера...
Когда-то был сворован большой скрипт с просторов инета, дома на телевизоре блочило, ютуб был в постоянной загрузке пока не отключишь правило. Может совпадение...
|
|
|
|
seregaelcin
Стаж: 14 лет 9 месяцев Сообщений: 7
|
seregaelcin ·
16-Янв-21 12:08
(спустя 1 день 20 часов)
FakinTosh писал(а):
80260033У меня дома RB2011UiAS-2HnD-IN. с wifi, куплен в сентябре 14 года.
Если надумаю теперяшние 200 разогнать до гигабита - то возьму на замену 2011 - 4011 без wifi и к нему прилеплю 2011 в качестве wifi клиента. 4011 с встроенным wifi - печка, процессор контачит с верхней пластиной что закрывает внутренности. Или MikroTik RB3011UiAS-RM возьму.
не вздумай брать ARM у микротиков на них баги постоянные
|
|
|
|
AJIJIADUH
Стаж: 14 лет 9 месяцев Сообщений: 921
|
AJIJIADUH ·
16-Янв-21 14:07
(спустя 1 час 58 мин.)
seregaelcin писал(а):
80759960не вздумай брать ARM у микротиков на них баги постоянные
лол, какие?
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
16-Янв-21 20:40
(спустя 6 часов)
seregaelcin писал(а):
80759960не вздумай брать ARM у микротиков на них баги постоянные
Датышо неужели
Скоро 2 месяца как AC2 купил - всё идеально 
|
|
|
|
Kostymole
Стаж: 18 лет 5 месяцев Сообщений: 26
|
Kostymole ·
17-Янв-21 13:28
(спустя 16 часов)
Руки у кого-то с багами. У домашнего аптайм 3 месяца - отключал сам, проверял сколько ИБП держит. И это с нагрузкой, сильно больше чем обычно у людей по домам стоит.
Хотя с одним CRS326 (точную модель не помню) постоянно ловил проблемы, да. Странно оно, было куплено 3шт в одном магазине, два остальных работали отлично, а этот периодически падал в ступор. Потом после очередного обновления все как рукой сняло.
А еще CRS326, с какими не работал, все горячие. Температура около 70 градусов, и это при температуре в серверной, например, 21. При этом проблем нет, но Zabbix ругается (надо бы перенастроить, конечно, сделать отдельно для них с порогом в 80 градусов).
|
|
|
|
FakinTosh
Стаж: 16 лет 4 месяца Сообщений: 2000
|
FakinTosh ·
17-Янв-21 14:02
(спустя 33 мин.)
Kostymole писал(а):
80766784Потом после очередного обновления все как рукой сняло
Криворукие программисты вытащили руки из одного места и поправили в прошивке под конкретное устройство.
|
|
|
|
hamsta007
Стаж: 16 лет 4 месяца Сообщений: 69
|
hamsta007 ·
19-Янв-21 13:32
(спустя 1 день 23 часа)
Всегда смущало в них отсутствие внешних антенн. Почему они их не ставят? Как с мощностью сигнала?
|
|
|
|
