Контакты

Достижения

Все достижения (1)

Наибольший вклад в теги

Все теги (28)

Лучшие ответы пользователя

Все ответы (40)
  • Как настроить QoS для потоковых данных (видеоконференции) на mikrotik?

    sizaik
    @sizaik
    сисадмин, Витебск
    Любой QoS состоит из двух частей.
    1. Отмаркировать интересующий трафик в /ip firewall mangle. Тут вам нужно проанализировать соединения на zoom.us и понять, как именно туда/оттуда передаются данные. Анализировать можно по-всякому - через текущие соединения на том же микротике, через Wireshark, как вам удобнее. Ниже пример, как я маркирую трафик для RTP-соединений с голосовым провайдером:
    // маркируем соединения
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=\
    16384-16538 new-connection-mark=VOIP passthrough=no protocol=udp
    // маркируем пакеты в этом соединении
    add action=mark-packet chain=prerouting comment=VOIP connection-mark=VOIP \
    new-packet-mark=VOIP passthrough=no

    2. Создать правила приоритета для интересующего трафика. Это делается через очереди:
    /queue tree
    add name=queue1 parent=wan-interface priority=1 queue=default
    add name=queue2 packet-mark=VOIP parent=queue1 priority=2 queue=default
    add name=queue3 packet-mark=no-mark parent=queue1 priority=8 queue=default

    Ну и еще несколько моментов:
    • Надо понимать, что эффективно управлять вы можете только исходящим трафиком. Входящие пакеты находятся в вашей зоне влияния, когда они уже пришли, поэтому с ними не имеет смысла что-либо делать. Если, конечно, нет задержек в локальной сети, что встречается редко.
    • Голосовая и видеосвязь критична к времени прохождения пакета. А т.к. zoom.us находится, судя по названию, за океаном, каждый пакетик по пути проходит много промежуточных устройств, на каждом из которых возможны задержки, которыми вы управлять никак не можете. Если вы устраиваете конференции с людьми из России - не лучше ли поискать что-то поближе? Если основная аудитория из США, тогда, конечно, придется терпеть.
    Ответ написан
  • На что следует обратить внимание при подборе коммутатора?

    sizaik
    @sizaik
    сисадмин, Витебск
    Обратить внимание нужно на функционал.
    Но если вы ставите задачу таким образом - у вас расплывчатое представление о том, что могут и как используются свитчи. В этом случае для защиты инвестиций я бы посоветовал купить что-нибудь из цисковской серии для малого бизнеса. Функционал у них широкий, а понимание, как его использовать, придет позже.
    Например Cisco SG500X-24 и SG500X-48. Они удовлетворяют всем вашим требованиям, но вылезут за рамки бюджета тысяч на 50.
    Я бы хорошенько подумал вот над чем:
    - реально ли всем пользователям нужен гигабит? и офис-менеджеру? и бухгалтеру? зачем? Не лучше ли взять один свитч Fast Ethernet для большинства пользователей и один Gigabit Ethernet для тех, кому действительно нужен гигабитный канал?
    - так ли вам нужен 10Гбит канал до сервера? Я с трудом представляю приложения для малого бизнеса, где это нужно. Если одного гигабита однозначно мало - есть сетевые карты с несколькими портами и статическая агрегация каналов. Прикиньте, это может выйти значительно дешевле.
    Ответ написан
  • Как разрешать разные DNS-имена через разные серверы?

    sizaik
    @sizaik Автор вопроса
    сисадмин, Витебск
    Сам нашел. Микротик хорош.
    forum.mikrotik.com/viewtopic.php?t=48607
    Через /ip firewall layer7-protocol, который умеет искать регулярные выражения внутри пакета. Его можно вставить условием в nat, дальше дело техники.
    Спасибо всем за поддержку, вопрос снимаю.
    Ответ написан
  • IPSec или L2TP IPSec?

    sizaik
    @sizaik
    сисадмин, Витебск
    Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
    Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
    Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
    На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
    А если у вас будет три офиса, это вообще маст хэв :)

    Вот пример конфига.

    router 1:
    ---создаем GRE-туннель
    /interface gre
    add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

    --- и ip-адрес к нему
    /ip address
    add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

    ---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
    /ip ipsec peer
    add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    --- политика шифрования трафика GRE от нас в удаленный офис
    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
    ***router 1 WAN IP***/32

    --- и прописываем статический маршрут в удаленную сеть
    /ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

    ---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

    router 2 - настройки отображаются зеркально:

    /interface gre
    add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

    /ip address
    add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

    /ip ipsec peer
    add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
    ***router 2 WAN IP***/32

    /ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre
    Ответ написан
  • На какую зарплату можно рассчитывать системному администратору в не IT-шной компании?

    sizaik
    @sizaik
    сисадмин, Витебск
    Поганое начало для карьеры. Старт, он же финиш. На этом предприятии через десять лет всё так и будешь бегать с паяльником. Учиться не у кого, развиваться некуда, масштабных проектов не будет, адекватного менеджмента тоже. Поддерживаю предыдущих ораторов - иди лучше в профильную организацию.
    UPD: никакого снобизма, много раз сталкивался с такими конторами - имеют право на жизнь. Но это работа скорее для самоделкина (пред)пенсионного возраста.
    Ответ написан

Лучшие вопросы пользователя

Все вопросы (3)