P

pgb

Jo to qos, který vychází ze switchů (voice, priority, ...) atd. Rozhodně to neumí hw shaper ve smyslu SimpleQ nebo HTB tree. To co umí je velmi, ale velmi malá část toho co většina IPS pod pojmem QoS očekává.

Chápu, máš trochu jiný přístup než jsem měl já. Když jsem to provozovat, tak klienta poslal jméno+heslo a na základě toho radius poslal do MK koncetrátoru Delegated-IPv6-Prefix, ten dynamicky vytvořil ten server na tom ipv6 tunelu. Proč se nevytvoří u tebe naprosto nechápu, nenarazil jsem na to.

V rámci konfigurace klienta jsem měl jen v rádiusu jméno, heslo, framed-ip, delegated-ipv6-prefix. Neměl jsem ty údaje "dvakrát". Zvolil jsem to tak proto, abych nemusel logovat jaký ipv6 prefix měl který zákazník (pro účely DR). Duuid se pak samo neřeší.

Ty si posíláš z radiusu Mikrotik-Delegated-IPv6-Pool? Existuje ten pool, je volný? Nemá aktivní zápůjčku? Trochu se divím, protože bych očekával že si budeš posílat Delegated-IPv6-Prefix. Víc bohužel nemůžu sloužit, už je to dlouho co jsem to řešil.

od 6.48 je přímá podpora, ve verzi 7.x netuším přesně od kdy
*) dhcpv6 server - added support for "Delegated-IPv6-Prefix" for PPP services;

A debug na tom pppoe serveru ti řekne co, zápůjčka proběhne? Chápu že u debugu může nastat problém že tam toho v logu bude hodně.

Na to nic restartovat nemusíš, maximálně tu jednu pppoe session.

ludvik mk dřív měl v pppoe klientovi přidanou defaulní routu "ojebávkou" kdy dával automaticky defaul GW směr celý pppoe interface (ne link local protistrany). Co jsem testoval tak na PPPoE serveru musela být globální adresa s povoleným RA, aby PPPoE klient mohl korektně mít na wanu IPv6. Pak to na tplinku fungovalo.

zero to není imho ale úkol MK, wildcard buď můžeš blokovat na úrovni DNS, případle L7, ale mk pokud by jsi to chtěl do firewallu, tak to linux/mk neumí a ani z principu jak funguje netfilter umět nebude. Netfilter při přidání pravidla udělá to, že přeloží IP z doménového jména na IP a zapíše to do netfilteru. Musí se nad tím připravit vyšší logika a na tu MK ani necílí (na rozdíl od Fortigate). Tyhle seznamy je třeba udržovat, aktualizovat atd.. Buď si tu logiku musí @crazyape dodělat, nebo zkusit L7/DNS filtering.

Dobrý den,

rád bych Vám představil a nabídl náš software na zpracování NetFlow dat v síti. Při řešení mnoha síťových problémů u zákazníků jsme zjistili, že často vůbec netuší, co se v jejich síti děje. Tak vznikl tento software. NetFlow není všespásné řešení, ale je to velmi užitečný nástroj pro další analýzu. Většina z Vás již nějakou formu NetFlow používá, bohužel jeho potenciál bývá často využit pouze pro účely data retention a je to škoda.

Přikládám několik obrázků a stručný popis. Pokud Vás software zaujme, neváhejte mě kontaktovat.

• Jednoduchý přehled statistik ze SNMP exportéru
• Zobrazení data/packet/flow rate s rozlišením IPv4/IPv6
• Statistika pro TOP IP adresy podle objemu přenesených dat a počtu flow záznamů
• Připraveno na NAT. V TOP statistikách rozlišuje komunikaci přes veřejné a natované subnety
• Možnost vyhledávání jednotlivých NetFlow záznamů a jejich export do CSV
• Podpora IPv4/IPv6 a NAT flow záznamů včetně vyhledávání a filtrování v nich
• Dynamický výpočet statistik ve filtrovaných datech
• SNMP rozšíření pro monitoring CPU (per-core) a statistik síťových rozhraní (Data rate, Packet rate)
• Možnost běhu ve virtualizovaném prostředí s minimálními nároky na CPU/RAM
• Nastavení alertů při překročení limitu Flow/s s možností exportu pro další zpracování ve Vašem dohledu (JSON, cURL)
• Nejedná se o DR software cílený na dotační programy, u kterých často netušíte, kolik budou stát po skončení dotace
• Vhodný pro malá i větší nasazení

https://www.flowstats.cz/

Petr Boltík
admin@precioz.net
tel. 603531799

Přehled statistik

Přehled statistik IPv4/IPv6

List flow záznamů, IPv4/IPv6/NAT pole

Zátěž CPU při zpracování NetFlow dat ~ 2,5Gbps

Tak závěr pro firmware V200R024C00SPC100/V200R024SPH120 ...

• při lokální konfiguraci nejsem schopen IPv6 rozběhnout, display acl all neukazuje žádné filtrační pravidlo, ipv6 neprochází
• při cloudové konfiguraci jsem v nastavení SSID objevil zaškrtávátko IPv6 enable (disabled by default), které smaže interní dropovací pravidlo v ACL a IPv6 funguje
• v žádné ACL tabulce přístupné v cloudu/webu nejsou výše zmíněná ACL pravidla nikde vidět (pouze v cli)
• pokud jste jako já mixoval stejné SSID na AP kterým prochází IPv6 a Hua Ap361, tak to způsobovalo strasně nepříjemné stavy

Ahoj, tak jsem na test koupil 2ks stropní wifi Hua AP361, abych vyzkoušel v poslední době dost propagovaný Ekit od Hua .... Něco to dělá, AP umí běžet v lokální konfiguraci i cloudové (konfiguraci jsem zkoušel jen z webového prohlížeče). Lokální konfigurace je v pohodě, konfigurace pomocí cloudu funguje, jen je trochu zmatená (než pochopíte jak to číňan vymyslel, protože logiku poslal na dovolenou). Rádiově funguje hezky, cena ok, cloud mng fajn, ale problém se ukázala podpora IPv6.

AP361 odmítá propouštět IPv6 komunikaci, ať už RA nebo i celé ICMPv6. Máte někdo tip kam poslat report aby nezapadl? V příštím týdnu to pošlu dodavateli, ale mám obavu, že touhle cestou to bude na dlouho, jestli vůbec. Konfigurace IPv6 je základní RA.

Aktualizaci jsem udělal na poslední V200R024C00SPC100/V200R024SPH120 (beze změny). Hledal jsem jestli to nedělá SAVI (IPv6 Source Address Validation Improvement), ale nenašel jsem nikdy informace jestli ta funkce je aktivní a nebo ne.

Děkuji

mega_sat když máš nat, tak NetFlow.... 3Gbps ve špičce ~ 600GB dat za půl roku. Různých řešení je mnoho.

pelirob IMHO je velký rozdíl napsat "služby nejsou poskytovány" nějaké skupině a "služby nejsou přizpůsobeny" nějaké skupině. To první je diskriminace, to druhé informace o produktech.

Tome to s těmi konektory ... Jen tak pro zajímavost se mi na ubnt edgeswitch pěkně vymstilo dělat konektory zaživa. Kdykoliv jsem to udělal a Poe port byl v režimu at/af, tj neaktivní tak switch se kousl.

Co v tom chr říkají grafy CPU a využití paměti?

Za těch 20 let jsem potřebu hlídat ospf neměl a nemám. Co hlídám preventivně je traceroute mezi dohledem a site.

Stejně tě nechápu, protože počet instancí nevazbí na počet interfaců a ten zase nevazbí na počet jednotlivých neighbor hostů se kterými komunikuješ. Například mám dvě instance, pro ipv4 a ipv6, interface template s hromadou interfaců a na každém interfacu mám v broadcast režimu několik hostů. Prostě každá situace ji trochu jiná a možných kombinací je hromada. A ano, nekontrolu ju to, prostě vím že router v dané lokalitě má třeba tři uplinky, tak má mít 6 záznamů v neighbors. Maximálně tam nějaký chybí a aktivní se ukazují v neighbors a mají na záložce neighbors ve sloupci Address u ipv6 uveden interface.

Spíš nechápeme, v Neighbors vidíš aktivní neigbors a jejich state.

okoun jo taky mám ten pocit, ale evidentně tam bylo tolik změn (což bylo), že to chtěli poslat ven. U verze 7.17 se asi něčeho jako 7.x.6 nedočkáme. Přitom právě já osobně raději do produkce nasazuji až ty pozdější verze z jakékoliv větve ...

Jj, tak, už se těším na testy.