2 из 3х клиентов, подключенных к данной точке в этот момент, были доступны.
3й клиент подключается к точке, но никакие ресурсы сети ему недоступны. Перезагрузка точки ситуацию не исправляла. После ребута точки клиент к ней цепляется и на этом всё заканчивается. Ребут клиента тоже не давал результата. Я наблюдал это несколько раз в разные дни примерно в одно и то же время (когда активность пользователей максимальна). Остальные клиенты тоже жаловались, у них работало плохо, но хоть как-то работало, а эта тот клиент вообще не мог. Это продолжалось до тех пор, пока не потушил гостевую сеть.
Точки подключены кабелем. Сама точка в момент проблемы по кабелю доступна без проблем, в касмэне видны подключения этой точки. Я даже перегружал эту точку, но результата не было. Возможно какие-то другие точки портят малину.
Как посмотреть переполнение памяти?
Число подключений точно не при делах, потому что более 3х клиентов к этой точке не подключалось.
Самое забавное, что даже когда гостевая сеть работала и клиент никак не мог достучаться до ресурсов сети, в этот момент на данной точке было всего три подключения и все они к внутренней сети, гости были на других точках.
Модель точки RB951G-2HnD, три клиента её не должны напрягать.
CAPSMAN установлен на RB2011, общее число подключений на всех 10 точках 40-50, когда была доступна гостевая сеть, без гостевой около 30.
мангл поправил, но пинги с компа, находящегося на другой стороне (192.168.1.200), за маршрутизатором, не ходили на pptp клиента, пока на клиенте не добавил маршрут route add 192.168.1.200 mask 255.255.255.254 10.1.0.254
передавать бы клиенту этот маршрут в 249й опции dhcp, но микротик так не умеет, насколько я знаю :(
трафик уже покрашен манглами
в ISP1 ходят только пользователи LAN2, а пользователи LAN1 ходят в ISP1 и ISP2 (рулится адреслистами), с этим проблем нет
вЛАН1 нужен чтобы пробросить ISP1 на RB2011, потому что все манглы на нём. физически дотянуть ISP1 до RB2011, как и LAN2 крайне затратно
вЛАН2 нужен для соединения сети охраны (LAN2) с RB2011, что бы дать им интернет из ISP1, и в RB2011 вставлен сервер турникетов и общается с LAN2
мне нужно разрешить из LAN2 ходить в LAN1, чтобы смотреть видео, но только видео
я пользую NAT, потому что не хочу светить порт регистратора в "чужую" сеть
интернет раздается правильно, турникеты общаются с сервером - тут все ок и меня все устраивает. осталось одно - разрешить одному компу LAN2 смотреть видео из LAN1
как это правильно организовать в существующей схеме?
Андрей Ермаченок:
>У вас специфика: эта хрень должна работать без личного присутствия админа на предприятии.
да, это основная проблема...
ваш путь наиболее простой и прозрачный, я бы так и сделал в обычной ситуации, но в данном случае ситуация меня вынуждает искать другой вариант :-/
Андрей Ермаченок: нет. в том-то и дело, что DHCP с контроллера домена должен выдавать адреса только тем, кто допущен в локалку, а кто не допущен, тот получает адрес с DHCP микротика, тут как раз с вланами надо колдовать
хотя... точек много и и они управляются через CAPsMAN... внутри каждой точки есть бридж, в который входят wlan1 и ether1, где ether1 - уже локалка
надо будет тогда поднять везде вланы на ether1 и поместить эти вланы в бридж, потом на основном маршрутизаторе объединить эти вланы в бридж и уже на этом бридже ставить фильтр по МАКу, так же создать еще один DHCP сервер в котором включить relay что ли... да?
Андрей Ермаченок: да, под акцеслистом подразумевается список МАКов
какой из МАКов нужно добавить в акцеслист я пойму по имени машины в DHCP сервере микротика, т.е. для этого мне не придется контактировать с пользователем
скажем, если пользователь подключился и он не в акцеслисте, то создать для него vlan, а если он в акцеслисте, то по обычной схеме... или как-то так...
может чушь спорол, но потому и спрашиваю, что не знаю
ну, смысл в том, что объект находится далеко, объяснять каждому пользователю к какой из сетей подключаться и каким из устройств, возможности нет, а вот добавить его удаленно в акцеслист я могу и случаев таких не много, когда нужно пользователя пустить в локалку.
территория большая, народу желающего получить тырнет - много.
но если делать с гостевой сетью, то придется для подключения пользователя к локальной:
во-первых - как-то с ним связаться и сказать, что подключаться надо не к "той", а к "вот этой" сети
во-вторых, ему придется сказать пароль от этой сети, не так ли?
на счет кабелей в розетку - крайне маловероятно, во всяком случае, сделать это так, чтобы никто не увидел не удастся.
Melkij: все сделал, как и планировал. чуточку иначе, правда, - без манглов, просто разные сервера пересылки указал в каждом из контроллеров. сегодня весь день работало исправно )))
Melkij: работало оно не долго))) сегодня снова отвалилось. т.ч. не работает этот мой костылище на изоленте
вся проблема в том, что у микротика днс запрашивает контроллер, а кто попросил у контроллера - неизвестно. поэтому буду на днях пробовать вариант с двумя dns серверами:
1. подниму второй DC (DC2) и на нем DNS (все равно он нужен, хотя бы для резервирования), в этом DNS пропишу пересылку на 2го провайдера
2. в основном DC пропишу пересылку на первого провайдера
3. добавлю в dhcp зону с фиксацией, она будет раздавать адреса на випов и будет проставлять у них DC2 в качестве основного DNS
4. в основной зоне dhcp (для смертных) будет проставляться DC1 в качестве основного DNS
5. добавлю в микротик другой мангл, который по запросу на 53 порт с DC2 будет метить маршрут на 2го провайдера, а при запросе на 53 порт с DC1 маршрут будет метиться на 1го провайдера
думаю, при таком раскладе все должно работать как надо
как сделаю - отпишусь
3й клиент подключается к точке, но никакие ресурсы сети ему недоступны. Перезагрузка точки ситуацию не исправляла. После ребута точки клиент к ней цепляется и на этом всё заканчивается. Ребут клиента тоже не давал результата. Я наблюдал это несколько раз в разные дни примерно в одно и то же время (когда активность пользователей максимальна). Остальные клиенты тоже жаловались, у них работало плохо, но хоть как-то работало, а эта тот клиент вообще не мог. Это продолжалось до тех пор, пока не потушил гостевую сеть.