На микротиках linux-based система, по сути, базовое, урезанное по самые помидоры ядро, плюс iptables, завернутое через lua или хз что там еще, в удобную для сетевых задач оболочку)))
По логике, в линуксе подобное через iptables и решается. Там тоже присутствуют этапы обработки траффика: raw\mangle\NAT\firewall, цепочки prerouting\forward и вот это вот всё прочее.
На этапе mangle обычно и рулят траффик на маршруты.
А надо будет еще раз проверить. Я в январе перепрошился с заводской Adata на самую свежую прошивку для этого контроллера и набора памяти (взял на usbdev). Пытался поставить линукс, в процессе установки ошибку выдал, я подумал что проблема осталась, но позже оказалась что совпадение: образ криво залился на флэшку, - он и на живой жесткий диск не ставился, так что будет время - поставлю винду и проверю. Что-то сдается, что конкретно на моем экземпляре что-то с областью служебных данных было, либо я хз, Windows почему-то некорректно работала с моим nvme в качестве системного. Может перепрошивка и помогла.
Сам использую SSTP, в основном, из-за надежности (при использовании сертификата, но в таком случае работает только между роутеросями) и относительной простоты настройки, плюс он удобен в отличие от IPsec, ибо формирует интерфейс, на который удобнее навешивать правила. На забугорные VPS c RouterOS только SSTP работает 24\7\365, остальное либо глушится. либо тормозит прям совсем дико. Мерял внутренним /tool/speed test: прямое соединение дает 50-60 МБит (интернет по тарифу 50), дык OpenVPN через TCP настраивал - скорость низкая, порядка 0.5-1 МБит. Через UDP вообще 100% потерь. На SSTP при MTU\MRU 1500 скорость падает до 2-3 МБ\с, подобрал 1450 - скорость подросла до 7-9, upload 10-12 TCP и 30-40 Мбит UDP. Wireguard, само собой, тоже не работает давно уже.
Так вот, тоже ище возможность повысить скорость - может можно как-то уменьшить глубину шифрования до AES128? 256 слишком избыточна, тут не чувствительные данные передаются, а просто хочется фильм посмотреть, игрушку скачать, да на всякую санкционщину типа intel, dell сходить, когда документация или дрова нужны))))
Но SSTP надежен как АК-47. Один раз настроил и забыл, не требует вечных плясок с бубном как всякие Vless, goodbyedpi и прочие костыли, которые могут внезапно порезаться ТСПУ, из-за чего приходится снова плясать с настройками.
Кстати, а разве в Wave2 802.11r не завезли? Чутка покопался в истории явления, и выяснил, что во времена, когда Микроты пилили свой капсман, вендоры вайфай оборудования писали кривые дрова. Посему многие крупные производители оборудования, в т.ч. и Микротик, запиливали драйверы и стек по-своему. Шли годы, вендоры начали писать нормальные стандартные дрова, в итоге Микротик остался со своим легаси WiFi. В Wave2 они перепилили всё уже на драйверах от производителя. И, увы, оно действительно несовместимо со всем старым(
Dieman666,
У AX Lite чем процессор-то плох? Квалкомовский 5010, 2 ядра Cortex A53, на нем крузис что ли гонять?) 2.4 мне хватает, ибо я в частном доме живу, поблизости нет точек с сильным сигналом, а широкой псп более 100 мбит и не требуется, рабочие ПК все на проводах. Iot, опять же, все у меня на 868 мгц zigbee, да и тех немного пока. В любом случае, вопрос тут стоит все же в работе капсмана. Как минимум, разоьраться в сути проблемы
Во-первых, драйверы на WiFi чипы в RouterOS есть на ограниченный список платформ. Qualcomm, Broadcom, какие-то Mediatek... Не факт, что Realtek\Ralink, на которых базируется большинство недорогих китайских USB\PCI-E карточек, взлетит. Тут уж только на практике можно проверить.
Во-вторых, CHR режет скорость на интерфейсах, писали выше, до 1 Мбит на Р0 лицензии, хотя бывали случаи, что у людей скорость не резалась. Чтобы не резало - лучше воткнуть ISO и установить х86 версию. Но порежется количество виртуальных интерфейсов (VPN и так далее), которые можно создать, минус обновления, и всего1 пользователь. Плюс х86 надо в личном кабинете регистрировать, чтобы поднялась L1 лицензия, но то уже мелочи))) Я так на VPS все-таки воткнул х86 версию)) Чтобы скорости не резало, а на обновы мне пофигу. На второй VPS я по итогу купил CHR Р1 лицензию, благо на авито оно не дефицит, ибо он работает центральным узлом.
Valentin Barbolin, да, айпишники в адресах я накидываю, в зависимости от указанного префикса в /ip/route появляется соотвтетствующий маршрут. 0.0.0.0/0 я обычно прописываю если интернет через этот впн нужен, а если просто доступ в подсеть за wg - не пишу. Но что-то все равно не фурычит. А вот по sstp отлично подрубается
Valentin Barbolin, да, открыт. Менял порты - бестолку. Менял даже публичные ключи на интерфейсе. Вот не подключается никак. При этом рядом лежит смартфон, подключенный к интернету через тот же вайфай, что и микротик, который не цепляется - и нормально подключается.
Gregory, да, я по такой схеме настройки и задаю. Но вот не подключается клиент, и все тут(( Хотя рядом лежит смартфон, подключенный к интернету через ту же сеть, что и капризный микрот, и нормально подключается) Дичь, короче. я в итоге подключил по SSTP, но сам факт проблемы напрягает, хотелось бы ее таки решить)
Drno, ну да, на SSTP я давно перешел - обычно конечные микроты и подключаю к центральному)) Но для конечных клиентов, том же смартфоне, часто использую и WG, он удобен в настройке на чистых устройтсвах) Насчет шифрования - тоже есть ощущение, что где-то затык то ли с генерацией закрытого ключа, то ли что - не пойму. Но эти настройки недоступны. Хотя обновил недавно микроты до 7.13.5 - теперь функционал настроек WG части подрасширили, добавили в разделе peer настройки клиентов) Пока еще не разобрался с этим.
В особо запущенном случае это может быть на плате помирающий южный мост/хаб или отдельный контроллер SATA. Но на всякий стоит ткнуть мультиметром в линии 5 и 12 вольт на питании жестких дисков (красный провод 5, желтый 12 вольт), может это и блок питания чудит. Напруги не должны быть больше/меньше процентов 10 от номинала.
Не совсем верная аналогия) Тут скорее не количество супа, а то, с какой силой его заталкивают в рот)) Если заталкивают с меньшей силой - рот просто придется открывать немного шире))) Ну или бвстрее жевать)
hint000, а уже работает всё, так что пока остается ждать нового такого сбоя. Завтра попробую воспроизвести условия, комп до этого был во сне, пробудился и работал, пока я не пришел.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
По логике, в линуксе подобное через iptables и решается. Там тоже присутствуют этапы обработки траффика: raw\mangle\NAT\firewall, цепочки prerouting\forward и вот это вот всё прочее.
На этапе mangle обычно и рулят траффик на маршруты.