[Etz]

kaabakas, see pole siin Dockeri teema ja keegi ei käsegi sul valmis imagesid kasutada.
Kui compose ja oma baseimage tegemine üle jõu käib, pole Docker sinu jaoks...

[kaabakas]

Ei kasutagi. Kui ei ole dockeri teema, miks sinagi siis offtopicut ajad siin:) Aga kui on ülekattuvus teemadel docker ja mikrotik, millises teemas seda siis arutada?
Reaalsus on paraku selline et 99% maailma kasutab valmis imageid, ja see ongi 99% dockeri point. Tobe küll, aga nii on. Kes ise aru saab mis image sisse käib ja kuidas seda teha, sellel pole jällegi 99% dockerit vaja enam.

[SKG]

[RassK]

Vb kui piisavalt tihti näperdada äkki kulub ajju ükskord, et krt tee confist backup

[maty]

Kuidas keegi CAKE (või mingit muud nt fq codel) on konfinud?

Ühes YT videos oli näiteks selline:

[kaabakas]

Eks ta suht nii on jah. Kui proset jätkub, siis cake, kui mitte, siis codel. Endal sai konfitud cake, triple isolate ja diffserv4. Millegipärast märkisin tulemüüris download/upload paketid ära ka et queues märki kasutada, ei mäleta enam aga küllap siis oli vaja. Testides saad panna limiti näiteks 100M peale ja vaadata kas bufferbloat kaob ära või mitte. Kui on tööle saanud, ehk bloat kadunud, siis lükkad limiidi 200 peale üles tagasi ja hakkad 5M kaupa alla tulema kuni bloat langeb aksepteeritavale tasemele.
Tiku wikis soovitaks artiklid läbi lugeda, ja bufferbloati rahva enda juttu ka, asjad tulevad alati paremini välja kui aru ka saad, mida teed.

[Etz]

kaabakas, võid ka no-mark kasutada ning kogu märkimata liikluse sinna kühveldada.
Sedasi jääb ka fasttrack tööle. Triple isolate on IMHO täiesti ebavajalik ja üks Cake dev’idest (kes MT foorumis vahets sõna võtab) soovitab samuti pigem dual’it kasutada.

Endal on mul sedasi konfitud:

[maty]

Selline tulemus: https://www.waveform.com/tools/bufferbloat?test-id=10a25479-8f2c-4e90-be85-a4c98800130b

Hetkel võib vist rahule jääda, umbes nädala pärast saan põhjalikumalt uurida selle kohta (tiku wiki jne) ja seadistada.

[Etz]

maty, kui sul on lingi kiirus 200M, siis selleks et Queue üldse rakenduks, peab sul max-limit olema väiksem kui lingi max kiirus.
Vastasel juhul on see kõik kasutu, sest ainumatki paketti ei queuesse ei saadeta.
Ega ma asjata oma 500M linki, 475M peale ei shape.

[maty]

Etz, panin max-limit väiksemaks.

[RassK]

Sellel queuel on kodus mingi nähtav kasutegur ka? Või te tõmbate tihti 500M lingi umbe?

[Etz]

[kaabakas]

Mind huvitas eelkõige see et kontorirahvas saaks oma üle-neti koosolekuid pidada sõltumata sellest, kas keegi teine või isegi nad ise parasjagu millegi muuga linki ummistavad. Kodus võiks kasu olla tast niipalju et mängude ping ei sõltu lingi muust koormusest.

[XeStAiSy]

Kas kellelgi on õnnestunud porti hex S peal suunata kui SFP pulk kasutusel WANina bitid baidid liiguvad pordi peal kuid ligi ikkagi ei lase. 1 port vaja suunata, sillana kasutada ma väga ei taha. Väljast sisse ei saa sinna porti.
Samas ma pole üksi ja ainuke kellel portmapping ei toimi või sellega on mingi kiiks juures kuskil. Igasugused valikuid proovinud ei toimi. Hetkel on sillana kasutusel nii saab ligi kui arvuti saab välise IP. Standard valikuga ei lase läbi NATi isegi nupp olemas portmappinguks paned pordi, ip ja peaks nagu toimima kuid muffigi. Isegi sisevõrgust väline ip ei võta jutule.

[skyTronic]

dst-nat confisid?
mida /ip firewall nat print näitab?
https://help.mikrotik.com/docs/display/ROS/NAT

[kaabakas]

SFP pulgaga pole siin tõesti midagi pistmist, tulemüüri konfimise taga on asi kinni.
Pordisuunamise jaoks on vaja forward chain reeglit, mis lubab paketi tulemüürist läbi, ja dst-nat reeglit, mis suunab ta õigesse kohta.

[XeStAiSy]

ok ma täpsustan veel. Läheb vähe aega.

[newarvuti]

[XeStAiSy]

Muidu netti ei saa kui SFP pesa pole WAN. Ma olen selle pikalt saatnud juba sest kuskil migit infot pole mida teha. Muud toimivat lahendust pole kui ainult sild, google palju ei aita ka. Katsetused on ikkagi lõppenud tulemuseta. Pole ka aidanud ei tulemüüris pordi kirjed kui ka NAT pordi suunamised. Ma võiks terve confi kuhugi laadida või kellegi väljast sisse lasta confima kuid see oleks PS teema. Kui ma ise näeks kuidas peaks asi välja nägema saaks jälile. drop not from lan keelata siis saab ligi kui passwordi annan ja ip kui keegi viitsib vaadata.

[kaabakas]

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT#Destination_NAT

[skyTronic]

Kas sellel pal reegli counter suureneb? Võib-olla pal serveri firewall ei ole õigesti confitud.

Selline forward reegel peaks ka olema Mikrotikis (ja see peab olema enne mingit default drop reeglit):

[XeStAiSy]

ma proovin neid variante kindlasti on vaja ka firewallis midagi teha. Või ei saa ruuterist välja 1 kahest, kuskilt liiguvad count on näha isegi kui sever üleval ilmub nähtavale kuid keegi sisse ei saa seal on tegelt 2 porti kuid 8211 on see mida vaja. Ja udp ainult mõlemad. Või on äkki ka midagi veel seda kuskil märgitud pole. Ei tohiks rohkem midagi olla arvuti firewallis on ainult 8211 lubatud ja toimib kui võrgukaart väljast ip saab. Homme purgan või õhtu hilja või tekib kellelgi paremaid ideid.

[skyTronic]

Windowsi tulemüüril on erinevad profiilid. Võib-olla Windows paneb public profiili peale kui DHCP-st mitte LAN IP saab ja see pal reegel on ehk ainult public profiiliga lubatud.

[XeStAiSy]

ei toimi ikka ei aita isegi see

[kaabakas]

Oeh. Pudru ja kapsad sul. Ma ei linkinud sulle ilmaasjata seda tiku wikit. Kui sul on kahtlus switchi või misiganes teemal, siis otsi wikist vastav artikkel üles ja tee asi selgeks endale.

Switch ei puutu asjasse. Switch on asi mis liigutab pakette portide vahel L2 tasemel, protsessorit kaasamata. Switch ei tea midagi tulemüüridest ja ruutimisest, mis töötavad L3 tasemel, ja seega kõik müüritavad-ruuditavad paketid peavad käima läbi protsessori. Protsessoril jällegi on savi kas port kuhu ta paketi pärast saadab on switchi küljes või mitte.

Teisisõnu, kui sa arvad, et sinu ruuter/tulemüür ei tööta, sest selle raudvara on tehtud nii, et see ei ole suuteline ruutima/müürima, siis oled sa omadega suht võsas. Võta pits ja pea aru, või otsi keegi kes sulle selle asja ära teeb.