Почему все так не любят defconf, может, по религиозным каким соображениям?

RU_Taurus
Перепаковывается, вроде, нормально. 1464 + 20 байт заголовка IP + 8 байт ICMP-заголовка = 1492 MTU. Здесь, вроде тоже всё нормально.
Где-то по пути отбрасываются фрагментированные IP-пакеты?


Да, со стороны клиента вроде все нормально. Странно, что эти пакеты до сервера не доходят.
А в capture время в миллисекундах - сервер за 0.1 мс отвечает ?

Народ, подскажите, есть ли какие-нибудь противопоказания вместо 1100AHx4 взять RB4011iGS+RM, если необходимости в 13-ти портах нет? Два БП тоже не критичны, браться будет сразу два устройства, второе под резерв.
Устройство будет установлено в стойку.

Ведь то же самое, во второй даже флеш побольше.

Противопоказаний нет, да почти то же самое.
Разница только в 1100AHx4 есть байпас на 11 и 12 порту, microSD есть (в RB4011iGS+RM нет и usb), флеш меньше.
Крепление для стойки придется отдельно купить для RB4011iGS+RM.
Но мне больше нравиться по эстетически 1100AHx4

Chexov
Крепление для стойки придется отдельно купить для RB4011iGS+RM.
"Уши" входят в комплект.

seack
А в capture время в миллисекундах - сервер за 0.1 мс отвечает ?
В wireshark-е? Там "Seconds Since Begining of Capture".

Black-Dragon
Ведь то же самое
Ага, и глюки те же самые.

Добрый день!

Подскажите, пожалуйста, как правильно запинать Wireless Uplink.
Вкратце - не работает.

Подробнее:

• Девайс - Mikrotik hAP AC2.
• В роли аплинка - ростелекомовский Eltex.
• Настройка делалась по инструкции из Mikrotik Wiki -
  https://wiki.mikrotik.com/wiki/Connect_to_an_Available_Wireless_Network
• Свежий winbox64 с сайта Микротика.

Вроде всё сделано по шагам (были небольшие отличия - видимо, интерфейс с 2012-го чуть изменился). Одно существенное замечание - всё делалось только для wlan1, а wlan2 не трогался.
Подоткнутый к hAP AC2 по кабелю комп адрес получает.
Сам hAP AC2 к Eltex'у коннектится (судя по логам hAP'а; в логи Eltex'а заглянуть возможности нет).
А наружу - оно не ходит. Запуск "traceroute 8.8.8.8" показывает, что достукивается только до самого Микротика (под именем router.lan), а дальше лишь "* * *". И оно одинаково и с ноута с Windows7, и с компа с CentOS Linux 7.7.

НО! Запущенный на самом Микротике через winbox Tools|Traceroute - работает! И показывает ту же цепочку узлов, что и ноут, приконнекченный к Eltex'у по WiFi напрямую. Т.е., как будто на всех отдельных участках цепочки связь есть, но не работает маршрутизация ether2<->wlan1.

Куда смотреть, где рыть?

bolkhov
Как именно вы изменили в NAT правило masquerade? В современных версиях RouterOS в default configuration в этом правиле вместо out-interface используется out-interface-list.

Dusk
СПАСИБО!!!

В Firewall/NAT/srcnat я делал по той инструкции - в "Out Interface" указал "wlan1".
А в "Out. Interface List" там значится "WAN".

Но после вашей подсказки я поглядел внимательнее: оный "List" - это селектор, впрямую там несколько штук не укажешь.
Зато в списке "Interfaces" значение "WAN" поменял на "wlan1" (с, кажется, ether1) - и всё заработало!

Ещё раз спасибо!

Dusk
Ага, и глюки те же самые.
А можно поподробнее?
И что бы вы порекомендовали вместо? 3011 получше будет в смысле стабильности?

Роутер нужен к серверу виртуализации на колокейшне, будет обеспечивать фильтрацию по белому списку на канале до 400mbps, site to site + Remote VPN (один сайт и до 10-ти удаленных пользователей), ещё queuing, чтобы один сервер не съел весь трафик. Вроде всё. Виртуалок будет до 10-ти.
На CCR тратиться не хотелось бы, дороговато.

========================
поставить на виртуалку chr RouterOS за 2500р

Исправлено: x8, 09.04.2020 12:58

bolkhov
Всё правильно, в дефолтном правиле masquerade не нужно указывать условие out-interface (его там по умолчанию нет и добавлять его не надо), надо просто в списке интерфейсов WAN вместо ether1 (он там один в списке по дефолту) указать ваш wlan1. В принципе можно было в вашем первоначальном варианте правила просто убрать условие out-interface-list (поскольку для срабатывания правила должны выполняться все условия, а wlan1 не входил в WAN). Но лучше всё же просто поправить interface-list. А ether1 можете добавить в бридж к остальным ether2-ether5.
И да, обновите RouterOS до актуальной, там после 6.43.16 несколько уязвимостей пофиксили.

x8
Не, мне он ещё и свитч заменяет на несколько портов, так что физический роутер нужен.

x8
Спасибо, учту. Жаль, что не rack-mountable.

Black-Dragon
Ну вот навскидку: 1, 2.
Я, к сожалению, знаю об этих проблемах из личного опыта. Мы купили на предприятие 2 шт. RB1100AHx4 где-то в первой половине 2018 года. И всё это время наблюдались аналогичные глюки. Причем периодичность непредсказуемая - от пары недель до 2-3 месяцев. С выходом новых прошивок ничего не менялось. Единственное, что смогло как-то помочь - reboot в scheduler'е. Я здесь уже говорил об этом - можете поискать в здешних микротиковских темах по моему нику. В итоге заменили их на CCR1009-7G-1C-1S+ и вздохнули спокойно - всё стабильно с тем же конфигом. Что-то неладно у латышей с девайсами на аннапурновских чипах. С 3011 лично не сталкивался, но вроде там всё нормально.

Dusk
Спасибо.
У нас тоже есть 1100AHx2 и AHx4. Первый за пару лет ни разу не глючил, второй в течение 4-х месяцев 2-3 раза вел себя неадекватно. На форуме Микротика нашел похожие жалобы. Кто-то писал, что проблемы аппаратные и им роутер заменили, многие сошлись на SNTP или queuing функционал, как на корень проблемы. Многие сконфигурировали регулярный ребут.
Было это полтора месяца назад. Я писал в Микротик, просили логи, сказали, что "аварийные" логи не были дописан до конца, надо подключиться к терминалу и т.п. Сильно неудобно в условиях колокейшна.

В итоге я отключил SNTP, очереди, и сконфигурировал еженедельный ребут по субботам. Вроде, пока всё ок. Через месяц снова включу очереди и буду наблюдать. В общем, в данный момент вы меня убедили с AHx4 более не связываться. Жаль AHx2 нигде найти не смог.

P.S. Открыл ваши ссылки, кажись те же темы, что я читал.

В общем, как я понимаю, брать hEX S либо 3011, либо тратиться на CCR...

Добавление от 09.04.2020 14:14:

x8
Подскажите, hEX vs hEX S идентичны, кроме порта SFP? Мне он без надобности.
Ещё вопрос, флеш уж больно маленький, если поставить MicroSD карту, можно на неё писать логи и с неё апгрейдить ОС?

Black-Dragon
Первый за пару лет ни разу не глючил
Так он же на PowerPC P2020.

второй в течение 4-х месяцев 2-3 раза вел себя неадекватно
Ну а 4011 - практически то же самое, как вы сами сказали. Странно, что при таком опыте эксплуатации вы их снова выбрали.

queuing функционал
У нас вообще не использовался.

Добавление от 09.04.2020 14:34:

флеш уж больно маленький, если поставить MicroSD карту, можно на неё писать логи и с неё апгрейдить ОС?
Логи писать можно. ОС там и так без проблем апгрейдится штатным способом (через RAM-диск).

hEX vs hEX S идентичны, кроме порта SFP?
Да, отличие только в SFP и PoE-out.

RB3011 всё-таки заметно шустрее hEX, а вас там 400 Mbps с очередями.

Dusk
Так он же на PowerPC P2020.
Да, я в курсе. К сожалению, найти такой же не удалось, пришлось брать х4.

RB3011 всё-таки заметно шустрее hEX, а вас там 400 Mbps с очередями.
Да, я всё же склоняюсь к 3011. Он ещё и рековый.

Спасибо!

Black-Dragon
4011 без WiFi у нас работают отлично.

RU_Taurus
Всё же думаю дело не в WiFi. В 1100AHx4 тоже нет, но серьезные проблемы, судя по всему, есть. Хотя может они связаны не с ЦПУ, а ещё с чем-то, и 4011 на самом деле чист. Кто знает. Тем не менее, пока буду обходить их стороной. 3011 тоже хватит под указанные задачи.

Black-Dragon
4011 на самом деле чист
В первой моей ссылке на форум MikroTik описана проблема у RB4011iGS, которая в точности была у нас несколько раз на 1100AHx4 - маршрутизация работает, DHCP-сервер адреса не раздаёт, до маршрутизатора не достучаться. Играть в лотерею, думаю, не стоит.

Mike123
Мой хап ац 2 выдает 110-120 Мбит через ипсек на гигабитных интернетах. Соточные интернеты грузятся в полку.
Вот как? Max MTU какой?
А то чо то больше 65.5 Mbps на 100M канале не прокачиваецо

Black-Dragon
Да, я всё же склоняюсь к 3011.

3011 "не любит" 100M и 1G линки на одном свитч-чипе (их там 2 по 5 портов).
На последних 6.45-6.46 не проверял, может и пофиксили, на 6.44 стабильно был сброс портов группы под нагрузкой при указанных условиях, приведенная в теме выше настройка и flow control не помогали.

В остальном нормальный девайс, резервирование по питанию можно сделать, запитав от сети и через PoE одновременно.

seack
3011 "не любит" 100M и 1G линки на одном свитч-чипе (их там 2 по 5 портов).
И это в 2020 году!?
Сейчас почитаю по ссылке.

Добавление от 09.04.2020 20:40:

seack
Почитал, впечатлился, конечно.

Там есть последний пост такой:Такой вопрос, а можно отдельный порт "вывести" из свитча? Чтобы он обрабатывался ЦПУ?

Black-Dragon
Такой вопрос, а можно отдельный порт "вывести" из свитча? Чтобы он обрабатывался ЦПУ?

В RB3011UiAS, SFP порт на прямую к ЦПУ подключен, остальные через 2 хаба.

В общем, надо просто сотки подключать в одну группу, гигабитники в другую, от греха подальше...

Black-Dragon
Такой вопрос, а можно отдельный порт "вывести" из свитча? Чтобы он обрабатывался ЦПУ?

Можно, нужно выключить hardware offload в настройках порта в Bridge - Ports.
Это если он не нужен отдельным интерфейсом.

Сейчас немного погонял тесты на RB3011 с 6.46.4, настройка cpu-flow-control=no помогает, также как и отключение flow-control на гигабитном порту.

seack
Это если он не нужен отдельным интерфейсом.
В смысле если нужен и на нём будет висеть свой адрес, то это и так будет сделано автоматом или что?