praegune kellaaeg 19.06.2025 20:32:02 |
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
26.05.2015 11:29:32
Mikrotik 1/2 upload speed? |
|
|
| Mis ongi selline nali või? Ja tundub et ongi ja kõikide versioonidega. Upload kiirus on pool maksimaalsest download kiirusest alati, kuigi on sümmeetriline ühendus. See üldiselt nagu lõhnab selle järgi et antud brandi peab igaveseks prügikasti paigutama, kahju, Mikrotik muidu suht võimekas funktsionaalsuselt. Algul kasutasin 6.5 versiooni vmware virtuaalmasinas. Hakkasin kiirust testima, download 40 Mbits ja upload 20 Mbits. Algul mõtlesin et CheckPointi QoS on hulluks läinud. Panin otse ja ikka sama tulemus. Siis lugesin pisut Internetti. Internet on üldiselt täis täpselt sama juttu aga lahendust ei tea keegi, isegi vihjeid pole. Foorumite jutt on nii et "jah, minul on ka sama probleem". Keegi rääkis kuidas ta on kõik asjad juba läbi proovinud ja mitte miski ei aita ja foorumite sissekannete kuupäevad laiuvad mingi mitme aasta peale. Veel sellised märkused et "ootan juba pikemat aega vastust suppordist aga ei midagi". Panin siis 6.28 versiooni ja ikka sama, 40 Mbits download ja 20 Mbits upload. Sai proovitud "auto negotiationi", käsitsi kiirusi, wireless moodul disabeda ja tõepoolest mitte miski ei aita. Dual wan kõik töötas ja suunas liiklust vastavalt prerouting mangle märgistustele. Aga kahjuks tuleb maha võtta, 20 Mbits upload kohe kuidagi ei päde. Ikka raudne reegel on et kõik mis on vabavara baasil tehtud lihtsalt ei tööta. Muideks see OpenWRT on ka jumala bugine, seal dual-wan ei hakanud üldse tööle.
|
|
| tagasi üles |
|
 |
Taun0
HV veteran
liitunud: 22.07.2003
|
|
26.05.2015 15:22:21
|
|
|
Mis seade see üldse on? 951Ui-2HnD?
_________________
www.elektron.ee |
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
26.05.2015 15:38:12
|
|
|
| Taun0 kirjutas: |
| Mis seade see üldse on? 951Ui-2HnD? |
Mikrotiku vmware virtuaalmasin. Aga panin nüüd Mikrotiku asemele Kerio Controli. Asi läks nii palju paremaks et otse ilma CheckPointita (samuti virtuaalmasinas) tuli upload kiirus välja, siis 40 Mbits nagu download ka. Kui aga lasin veel läbi checkpointi, siis upload ikka 20 Mbits. Prooviks uninstallisin checkpointi QoS maha ja disablesin gateways QoS, kui midagi ei muutund, upload ikka 20Mbits. Tundub suht keeruline seis, nagu oleks teema mingi Linuxi kerneli võrgustaki omapäraga või bugiga mingi eriolukorra puhul.
|
|
| tagasi üles |
|
|
Taun0
HV veteran
liitunud: 22.07.2003
|
|
26.05.2015 16:07:56
|
|
|
füüsilisel tasemel liigub kõik "õigel" kiirusel?
_________________
www.elektron.ee |
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
26.05.2015 18:05:33
|
|
|
| Taun0 kirjutas: |
| füüsilisel tasemel liigub kõik "õigel" kiirusel? |
Mis on füüsiline tase?
|
|
| tagasi üles |
|
|
Taun0
HV veteran
liitunud: 22.07.2003
|
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
26.05.2015 22:26:07
|
|
|
| Taun0 kirjutas: |
| see mis hostib |
VMWare Workstation 11.1 hostib. Mis sellel viga saab olla? Tegelikult tekkis idee proovida Global-LAN-Segment (see ainult guestide vaheline virtuaalne võrgukaart või team, kuidas teda kutsutigi) vahetada host-only vastu, et äkki on ühenduse probleem.
...............
LAN-kaarte ei hakanud vahetama, kuid tegin ühe muudatuse, peale mida kiirus tuli tagasi. Kuigi speedtest.net näitab 40/40 aga elioni kiirustest näitab 40/30. Aga vähemalt 20 Mbits enam pole. Tegin keriocontroli wan1 (see mis läheb checkpointi) s-NAT-i (maskeraad). See on väga veider et NAT kiirust juurde annab. Tavaliselt ikka tehakse NAT-i asemel ruuting et oleks loomulikum liiklus ja kiirem. Siis Mikrotiku puhul wan1 mis läks checkpointi, NAT-i polnud, wan2 mis läks otse, oli NAT. Mõlemast kanalist upload 20 Mbits. KerioControli puhul kui wan1 on NAT, on kiirus 40 Mbits, kui NAT-i pole (ruutinguga ainult), siis 20 Mbits. Wan2 aga 40 Mbits. Mis sellest siis järeldub? Järeldub kaks asja - esiteks Mikrotik ja Kerio WAN2 olid mõlemad seadistatud sama moodi koos NAT-iga, Mikrotik andis 20 Mbits aga Keri 40 Mbits. Sellest järeldub et Mikrotik on sitt. ....Teiseks järeldub et WAN1 ei sõltu seadmetest vaid NAT-iga on kiirus normaalne ja ilma NAT-ita piirab ära. Selle teise järelduse kohta ma ei oska esialgu midagi arvata et miks nii.
...............
Nüüd sain päris korda. Tegin s-NAT-i checkpointile ja panin Mikrotiku tagasi. Mikrotik checkpointist sisevõrgu pool. Mikrotik ei tee natti checkpointi poole aga otse teeb. Ja igast otsast tuleb nüüd 40/40 kiirus. Täielik müstika. Võimatu on aru saada miks tulemüüri NAT mõjutab liiklust mis läheb temast kõrvalt mööda.
|
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
29.05.2015 09:27:37
|
|
|
Miks Sul seal üldse peaks olema 2 tulemüüri kaskaadis? Mingi testkeskkond?
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
29.05.2015 11:42:52
|
|
|
| OFFF kirjutas: |
| Miks Sul seal üldse peaks olema 2 tulemüüri kaskaadis? Mingi testkeskkond? |
Tegelikult on kaskaadis kokku 4 tulemüüri. Igaüks teeb erinevaid asju, dubleerimist pole, välja arvatud see
et pidi teise NATi ka tegema. Kahtlustan et esimene Asuse laiatarberuuter on nii peetis firmwarega
et loogika järgi enam võrk ei tööta, aga hea OpenVPN on tal. Tegelikult kogu internet on täis
kaskaadis ruutereid, enne kui ühendus serverini jõuab, seega midagi ebatavalist pole. Checkpoint
on võimas asi küll aga kõike ta ei oska mida näiteks jälle Mikrotik oskab. Näiteks dual-wani enda
ruutimisreeglitega ja näiteks s-NATi sissepoole. Checkpointi häda on selles et ta istub ainult wanis ja
sissepoole sNAT pole võimalik. Mikrotik aga ei tee vahet, kuigi ka Mikrotikul pole spetsiaalseid reegleid
interfacede valimiseks, on ainult prerouting märgistusega võimalik default ruutingut valida, kuid mitte
interfeissi....Aga põhimõtteliselt testimise jaoks jah. Checkpoint on monstrum, juba policite install kestab
mingi minuti, enne süsteemi töövalmis seadmist on tarvis ühendus kõrvalt mööda lasta.
|
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
01.06.2015 19:06:47
|
|
|
Ma ütleks, et pane VyOS. WLB on olemas (kuigi tricky bastard). sNAT mõlemat pidi. Hairpin NAT kui vaja. TUlemüürida ka oskab. OpenVPN olemas. Konffimine lihtne ja loogiline. Kui balansseerida ei taha, siis võid policy routedega mängida.
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
01.06.2015 22:44:30
|
|
|
| OFFF kirjutas: |
| Ma ütleks, et pane VyOS. WLB on olemas (kuigi tricky bastard). sNAT mõlemat pidi. Hairpin NAT kui vaja. TUlemüürida ka oskab. OpenVPN olemas. Konffimine lihtne ja loogiline. Kui balansseerida ei taha, siis võid policy routedega mängida. |
Miks see VyOS hea on? Et kuda ta Mikrotikule konkurentsi pakub? Mikrotikul ka NAT igat pidi töötab ja default routesi saab valida preroute mangle märgistusega. OpenVPN-i teeb mul hoopis see peetis Asus, see on ainult mobiili tarbeks, mugav täisautomaatne ja lollikindel, ei pea seadistama suurt midagi, sert koos seadetega läheb failina mobiili, hästi töötab. Aga CheckPointi see VyOS ega Mikrotik ei asenda kuidagi. Checkpointil on SS-VPN mida saab turvata lisaks veel client-auth abil, mobile portaal, QoS mida saab reeglites üksteise sisse nesteda, HTTPS viirustõrje, IntrusionPreventionSystem (siis lapib turvaauke isegi kui windows pole updatetud), aplication layer 7 filter (detektib näiteks torrentit), URL filtrid ja muidugi monitooring millele eriti keegi ei pääse ligilähedalegi.
|
|
| tagasi üles |
|
|
OFFF
HV veteran
liitunud: 29.07.2004
|
|
02.06.2015 13:08:46
|
|
|
VyOS vs. Mikrotik? Ma usun on funktsionaalsus on sama. VyOS on ehk mugavam ja loogilisem konffida. Oleneb, kuidas keegi muidugi harjunud on.
CheckPointi ma ei võrdleks. Need on erineva kaalukategooria tooted. Loomulikul on CP eeliseks veel see, et seal sees on tagaused Mossadi ja CIA tarbeks 
Sellest SS-VPN väitest ei saa hästi aru. VyOS suudab suurepäraselt kahestasemelist autendi sert + user/passwd läbi RADIUS vahekihi ükskõik mille vastu.
Kõik ülejäänu... OK, ma ei hakka vaidlema. Minu arust on tänapäevased tulemüürid juba NIIGI overbloated. See, et marsruutimise ja IP tasandi filtreerimine on kokku pandud. VPN tunnelid on ka üsna mõistlik default GW sees termineerida. OK, see on suht loogiline.
L7 filter imho küll tulemüüri koosseisu ei kuulu, IDS ja IPS ammugi mitte. Need olgu ikka eraldi "tükid".
Mul on muidugi UNIXI laadsetest OSidest pärit filosoofia, et iga komponent tehku ainult ÜHTE asja, aga tehku seda hästi.
P.S. Olen neid checkpointe installinud ja konffinud küll. Kuidas on CP konffi varundamise ja taastamisega tänapäeval. Vahepeal suutis see kätt mingi mitte-inimloetava XMLi välja pritsida, siis kadus see funktsionaalsus üldse ära, nüüd vist olla jälle tagasi tulnud. Pole viimaste arengutega väga kursis.
_________________
Õnnelikul malakamaal ei nuteta! Parem käsi abistab. Sõidame! |
|
| tagasi üles |
|
|
trantor
HV vaatleja
liitunud: 16.05.2015
|
|
02.06.2015 13:52:29
|
|
|
| OFFF kirjutas: |
VyOS vs. Mikrotik? Ma usun on funktsionaalsus on sama. VyOS on ehk mugavam ja loogilisem konffida. Oleneb, kuidas keegi muidugi harjunud on.
CheckPointi ma ei võrdleks. Need on erineva kaalukategooria tooted. Loomulikul on CP eeliseks veel see, et seal sees on tagaused Mossadi ja CIA tarbeks
Sellest SS-VPN väitest ei saa hästi aru. VyOS suudab suurepäraselt kahestasemelist autendi sert + user/passwd läbi RADIUS vahekihi ükskõik mille vastu.
Kõik ülejäänu... OK, ma ei hakka vaidlema. Minu arust on tänapäevased tulemüürid juba NIIGI overbloated. See, et marsruutimise ja IP tasandi filtreerimine on kokku pandud. VPN tunnelid on ka üsna mõistlik default GW sees termineerida. OK, see on suht loogiline.
L7 filter imho küll tulemüüri koosseisu ei kuulu, IDS ja IPS ammugi mitte. Need olgu ikka eraldi "tükid".
Mul on muidugi UNIXI laadsetest OSidest pärit filosoofia, et iga komponent tehku ainult ÜHTE asja, aga tehku seda hästi.
P.S. Olen neid checkpointe installinud ja konffinud küll. Kuidas on CP konffi varundamise ja taastamisega tänapäeval. Vahepeal suutis see kätt mingi mitte-inimloetava XMLi välja pritsida, siis kadus see funktsionaalsus üldse ära, nüüd vist olla jälle tagasi tulnud. Pole viimaste arengutega väga kursis. |
Ega CP polegi eriti tulemüür või ruuter, selles osas on Mikrotik või isegi OpenWRT parem (kuigi viimane sõltud jubedalt karbist kuhu paned ja võib tulemuseks anda bugimere). See CIA eriti ei koti üldse, nuhkigu palju tahab kui viitsib. Ceritidega VPN on turvaline küll, kuid pisut tülikas kui oled võõras masinas. Kõige mugavam on SSL-VPN. Lisaks paroolile saad kasutada kas siis seda moodsat two-way-authentimist mis on täna igal mailiteenusepakkujal, et lisaks paroolile saadetakse SMS või mail koodiga. Seadistada seda on pisut keerukas. Teine võimalus on kasutada CP client-authi nii et kõigepealt avad sellega üldse pordi et mingi VPN ühendus üldse kohale jõuaks. Mõlemad variandid on turvalised, nagu ka sertidega autentimine. CP muide pole RADIUSt tarvis, võib ka lokaalse andmebaasiga teha.....Varundus aga käib nii et kõige lihtsam on kasutada versioningi, nagu policite seis. Edasi kasutan lihtsalt virtualmasina snapshote ja siis kogu masina varundust Acronisega. (Gaia gateway on virtuaalmasinas ja securityserver windowsis).
|
|
| tagasi üles |
|
|
estdata
Kreisi kasutaja
liitunud: 27.09.2004
|
|
29.06.2015 11:36:03
|
|
|
| Ei ole mikrotikil häda midagi kui osata konfida , selleks on ka kursused et läbida põhjalikult routerboard os takrvara
|
|
| tagasi üles |
|
|
|
| lisa lemmikuks |
|
 |
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
