Игорь Кривинцов, проблемными местами могут быть: использование layer7-protocol фильтров. По возможности их следует избегать. Однако, судя по всем показателям, причина всё же в очередях.
Если таковая финансовая возможность имеется, лучше действительно брать RB1100AHx4 и уже не беспокоится о том, что не будет хватать производительности.
Игорь Кривинцов, зависит от того, насколько не справляется текущий. Какова у вас скорость интернет-канала? При нагрузке на 100% роутер полностью утилизирует канал?
Лучше, конечно, перейти на rb1100 для уверенности. Как ядро сети средних размеров с очередями, фильтрами и прочим он справится куда лучше ориентированных на малые сети моделей.
Не ответ на вопрос, но, возможно, упростит жизнь разработчикам не написание модуля, а программы с использованием ARI. https://habrahabr.ru/post/308652/
Евгений Емельянов, ок, попробую.
У вас на веб-сервер доступ разрешен только с определенного IP, соответственно нужно сделать так, чтобы все локальные компы "прятались" за этим IP адресом. Не обязательно, чтобы этот адрес был назначен на роутере.
Поэтому применяется src-nat для пакетов, приходящих из сети 192.168.0.0/24 и направляющихся на адрес 172.30.0.1 - происходит NAT источника пакетов, который заменяет адрес отправителя на указанный - в данном случае на 192.168.0.1. Пакеты уходят в сторону веб-сервера уже с IP 192.168.0.1. По возвращении пакетов, Микротик находит соединение в таблице NAT и пересылает пакет получателю - компу в локальной сети. Все счастливы.
Данное правило размещаем выше того, что с action=accept, т.к. нам не нужно повторно NATить пакеты, уходящие в туннель.
LAG_LAGbI4, wireshark подойдёт. Попытайтесь отыскать, отправляет ли запрос ноутбук (на самом ноуте), получает ли ответ, получает ли этот запрос Керио, отправляет ли ответ. Если возможно, то и на самих точках собрать эти пакеты.
Сергей, Микрот - это роутер, а потому вы можете фаерволом отфильтровать dhcp-ответы на определенных его портах. Так же, натыкался на посты в Микротик-вики со скриптом, блокирующим хосты, пытающиеся отсылать dhcp-ответы. Так что не слишком все плохо)
Сергей, а вот от левых DHCP стоит позащищаться, включив DHCP snooping на коммутаторе. Практически любой управляемый это может. Больше никак не избавится от этих "леваков" в виде wifi-роутеров.
Сергей, в данном случае сервера должны быть статически прописаны в arp таблице, дабы убить второго зайца - защитить от подмены адреса сервера злоумышленником(arp spoofing) .
Сергей, помимо dhcp, можно настроить статический ip на клиенте. Скорее всего, вы захотите лишить клиентов такой привилегии. При настройке arp в reply-only, только dhcp сможет добавлять записи в таблицу arp. Соответственно, сетью воспользоваться смогут лишь клиенты, получившие адрес от dhcp
