:) посмотрите список микротов, нативно поддерживающих hw offload с натом+свич. Во всем этом зоопарке только ccr хоть как-то более менее и держат нагрузки, и то лишь на последних прошивках. Но речь-то шла больше не про них.

@@moya-sprava-admin ccr (tilera) не имеет hwoffload тупо ввиду отсутствия свитч-чипа. И держит нагрузку за счет CPU, ибо мощный и дофигаядерный. На каком-нибудь условном роутере (под условным mipsbe) мастырить hwoffload и делать из него свитч - это имхо верх жлобства. А если использовать правильным образом CRS326 (а только начиная с него у свитчей появляется аппаратная разгрузка бриджа), то и проблем в общем-то не будет. На AP (типа wAP) - не сталкивался с необходимостью "фризить" macadmin. А в стае CRS326 сталкивался. Но придерживаясь простого правила сажать аплинк на ether1, а даунлинков, например, наоборот с хвоста, если остальные порты - порты доступа, обычно macadmin умненько принимает мак ether1 и в рукописной статике тоже обычно не нуждается. А там, где нуждается, криворуким админам подшефных контор надо доступ на RO давать))) Благо это легко сделать в т.ч. через доменные группы с использованием радиуса. И не будь криворуких админов, путающих L2 и L3 и не понимающие между ними разницы, профессионалы без работы бы остались)))

поддерживаю вас, всё правильно написали, у меня кстати уже лет так пять работает rb-2011-uias-2hd, очень интересный девайс с 2-мя HW-свитчами - там полно нюансов =)

снял дизлай после того как появились "сетевые инженеры" =)

Да, но роутерос - это все же надстройка, тщательно скрывающая от нас линукс

Пишите на почту

Только что сделал бридж. метка H действительно убирается с порта, если включен STP/RSTP. но мне это не грозит - у меня используется vlan filtering, а он точно не совместим в hw-offload

Потому что есть современные csr, у которых есть аппаратные ускорения для большинства сценариев работы. У остальных роутеров, особенно бытовых - это все программная обработка.

@@rshamray на hap ac2 и hap lite включенный RSTP не убирает метку H с портов в бридже. а igmp snooping убирает

@@moya-sprava-admin и еще раз не поленюсь wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading

@@rshamray wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading

У каждого роутера свое назначение. Если есть деньги, смотрите в сторону ах серий. 66 Серия больше для небольших нагрузок, 86 чуть мощнее и процессор побыстрее, но 64 битный и прошивки к небу особенные.

@@moya-sprava-admin спасибо что ответили. если смотреть на ax, то как вам asus ax58u? Достоин внимания? я хочу взять роутер для квартиры взамен d-link 825

@@user-lm2mq5fj6z он будет 100% лучше вашего длинка.

Проблема же в том, что могут подключаться динамические интерфейсы, типа ррр сессии, срок их жизни условно минута, а подхватывать может и их маки. Много админов жаловалось в саппорт микротику на слишком большую вариативность и неопределенность в захвате мака, но позиция разрабов неизменна - то, что может меняться, надо прописывать руками, для этого админу и дана голова. Увы, не все это помнят

@@moya-sprava-admin. Да я не про то...Раз уж они сделали такой костыль в виде выбора между автоматическим назначением MAC и ручным, то могли бы добавить третий вариант - админ указывает с какого интерфейса брать MAC. Тогда, выгруженый конфиг стал бы более универсальным. Грубо говоря, указать - "бери MAC-адрес с интерфейса eth2", и тогда на однотипный микротик конфиг встанет как родной и никаких коллизий в сети и "человеческого фактора".

@@MultiUser45 полистайте форум микротика, посмотрите, сколько предложений давали их команде по данному поводу. Но пока ответ один - есть как есть и для админа этого достаточно.

Связь прямая. Когда лежит канал, потому что он занят трафиком lan-lan, вы не можете шефу гарантировать его полосу пропускания. Его пакеты тупо не дойдут до ядра роутера, многие об этом забывают

​@@moya-sprava-admin как пионер Ваня и пионер Вася могут влиять на скорость у бухгалтера (с), если все они подключены в разные порты роутера? Это раз. Два: для того, чтобы лан-лан ходили через Queues, нужно не только отключать HWOffload, но и включать Use-ip-firewall на бридже, о чём Вы не сказали.

@@Pun1sh3r1993 когда портов роутера меньше, чем пионеров, проблема сразу становится актуальной, не так ли? Или вы часто видите ситуации, когда шефа, бухгалтера или еще кого-то садят на отдельный порт? Или вы систему точек доступа тоже изолируете от общей сети, например? Я видел достаточно ситуаций, когда люди поднимают на капсмане L2 хождение в своей "бесшовной" сети, а потом жалуются на "нестабильный вайфай". Как раз по вышеуказанным причинам - потому что нет контроля скорости.

​@@moya-sprava-admin эм. Если подключить шефа, буха и пионеров в отдельный коммутатор, стоящий за роутером, то как отключение HWOffload может на это повлиять?))) Кадры лан-лан будут коммутироваться коммутатором и даже не доходить до роутера. И даже в таком случае не забьют канал, так как шеф и бухгалтер будут ходить в инет через другие порты того же коммутатора. А канал в инет в большинстве случаев намного более худой, чем 100/1000 мбит локалка. И в этом случае уже пакеты пойдут в инет через роутер, и, как следствие, через CPU, где очереди без проблем сделают своё дело. Правильная настройка вай-фай - тема, мало касающаяся бриджей, мне кажется. А если и касающаяся, то Use-ip-firewall вполне работает вместе с HWOffload на Ethernet-портах и отключённым LF на капах.

@@Pun1sh3r1993 пионер Вася запросто может сидеть в локалке с шефом и будет это, например, сын директора, который пришел к папе на каникулах ума набраться и режется в контру. А пионер Петя запросто может сидеть в другом порту/локалке/вайфае и быть ребенком мамы бухгалтера, и тоже валить канал со своего компа, который добрая мама подключила. Не думайте, что это выдуманные истории, это практика жизни. Сегодня шеф сидит сам на ветке Лана, завтра ему подключили секретаршу, послезавтра расширили на целый отдел сммщиков, который вдруг неожиданно создали для решения ситуативной ситуации. А роутер никто не настраивает и даже не думает про скорости. Потом через месяц вдруг выясняется, что "уже и канал на инет расширили, а все равно тормозит"

Копайте в сторону правил и отключаете ненужные

@@moya-sprava-admin правил снорта?

@@random5539 конечно. Полистайте гугл, не стесняйтесь, везде полно постов с вашей проблемой и советов, что делать. Вернее, совет всегда один - смотреть логи и править правила, вернее - отключать ненужные. В реальной жизни перед запуском снорта на фильтрацию надо с месяц, а то и больше гонять его на тестах в зеркальных потоках и тупо смотреть логи, вычищая ненужное. Ну или писать свои правила с 0… но это со старта не получится

копать в сторону ROS))) точнее грести))) Сам держал шлюзы на FreeBSD с примерно так 1996 года. Но после знакомства с Mikrotik и ROS стал использовать исключительно их. Уже более 5 лет. Очень, знаете ли, упрощает задачу. Если надо накатить на свою железку (производительный сервер, например), дешевле все равно ничего не существует. А если задач по гиперпроизводительности не стоит, то роутеры у них есть начиная чуть ли не от тысячи рублей ($20) и до $3000 за железку на которой вполне прекрасно живет (в качестве центрального маршрутизатора) крупнейший провайдер второго по размеру города в Казахстане насколько мне известно. Из типичных usecase. Главный офис (HQ) - что-то типа 1100AHx4 или младший CCR1009. Цена вопроса в пределах $500. Для branch (филиалов) вполне юзабелен hEX (RB750G3) стоимостью $70. Для сравнения. До знакомства с микротом в ряде случаев сталкивался по работе с Netgear SRX5308 (~$500) и FVS318 (~$120) в филиалах. Так вот оба - полный отстой в сравнении с тем же младшеньким хексом. Хекс уделывает по производительности и функциональности играючи даже старший srx5308, про младшего просто молчу. Mikrotik hEX против Netgear SRX5308 - это условно какой-нибудь Toyota Land Cruiser 200 против Хорьха Штирлица. Мощнее, быстрее, комфортнее, проходимее, функциональнее во всем. У PFSense против ROS одно преимущество. Цена - ноль. Но в удобстве администрирования и функциональности не конкурент. А для теста и обучения ROS есть и в бесплатном формате)))

@@MrKotische достаточно, поюзать забугорные спйты.. И пуфик(pfsense) дружелюбнее становится

В этом то и проблема, rstp включен по умолчанию чтобы сам роутер избегал петель. И для этого все заголовки всех кадров анализируются софтово, а поэтому не работает аппаратное ускорение. И все вытекающие последствия. И тут надо четко понимать надо вам это ускорение или нет. Если ваш роутер лежит с загрузкой проца в 80-100 процентов, возможно вам понадобится как то оптимизировать его работу. Если роутер даже софтово не загружен и на 10%, то не о чем и беспокоится.

Пишите через форму обратной связи на ютубе

Нет, не путаю. Как фасттрек, так и аппаратное ускорение не гарантирует правильный подсчет трафика, особенно lan-lan. Канал лежит, но вы это не видите, потому что аппаратный коммутатор тупо пропускает пакеты даже без контроля ошибок

@@moya-sprava-admin ни разу нигде и никогда не замечал, что через порт идёт больше трафика, чем отображено, при включённом HWOffload. Даже сейчас специально посмотрел на домашних микротах. Как зашло 300 мбит в порт, так и вышли те же 300 в другой. Так что, увидеть, что забит lan-lan вполне реально. А контроль ошибок, вроде, ещё до коммутатора происходит, на самих интерфейсах.

@@moya-sprava-admin lan lan в очереди вообще не попадает если оба в одном бридже. О чем речь?

@@theurs2 речь о трафике, который вы не видите, а он есть.

@@moya-sprava-admin так а очереди то тут при чем? они относятся только к тому трафику который есть, виден и проходит через маршрутизацию. как и какие проблемы ему может создать бридж?

Кинетики - вещь в себе. У них множество функций, выводящих из за пределы бытовых функций, но при этом на проф. Они не тянут. Если рассматривать как альтернативу асусу - можно, но условно и лишь старшие модели. Все младшие - мусор. Прошивки активно пилятся. Но все равно умудряются содержать много мелких ошибок, особенно при появлении нового функционала. В общем - неплохие роутеры, сыроватые до сих пор прошивки и неадекватная цена. Ещё раз - это про ультра-гигу.

@@moya-sprava-admin пожалуйста посоветуйте нормальный роутер для дома с возможностью работы с vpn и способны работать в сети с 20 устройствами и по возможности работать с торрентами.

@@moya-sprava-admin ещё про кинетик , Вива это вроде тоже одна из старших моделей ???

@@eriustowarish919 старшие кинетики или асусы. Можно и микротики, но там много ньюансов

@@eriustowarish919 нет, Вива - это очень урезанный роутер и на старшие он никак не тянет. На цену не смотрите, она не адекватная. Там нет фем на 5 ГГц и это ставит крест на нем как на роутере. Для меня во всяком случае

Извините, я не оказываю консультаций. Вам проще найти админа по месту

Вы видимо не сильно представляете как выпускаются версии опенврт. Если появляются критические уязвимости или выявляются глобальные ошибки они фиксится и выпускается новый релиз на поддерживаемых ветках, это и 18 и 19 ветки. А вот мелкие патчи или фиксы отображений, не влияющие на функционал никто не фиксит. Защита делится на уровни проникновения: порты, ядро, протоколы, сервисы. В общем же, если вы сможете каким-то чудом поломать wpa2 и/или перехватить пароль админа, то любой роутер не устоит. Если хотите надёжного подключения, пользуйтесь сертификатами, ssh/https и будет счастье. Если сильно боитесь взлома, используйте openvpn+ssh/https. wpa2 ломается перебором и без контроля его таки взломают. Равно как и wpa3. Потому защита роутера - исключительно на уровне фантазий админа о надёжности сети. Если вы думаете, что openwrt намного безопаснее асуса, вы ошибаетесь, там лишь методов защиты больше, а вот что выберет админ - это уже другая история. Сложность системы защиты растет в прогрессии от методов защиты, но ведь для домашнего роутера это обычно и не нужно? А для бизнес защиты есть проактивные решения и там совсем другой уровень работы и мониторинга.

@@moya-sprava-admin Благодарю за ответ. И все же, было бы интересно посмотреть ваше новое видео-инструкцию(куда заходить, что нажимать) об построении безопасной сети на роутере с OpenWRT 19 (вашем ТP-LINK TL-WR841N v13) с сертификатами и ssh/https и WPA3, по аналогии с тем видео, что вы делали по защите роутера ASUS. Так же, на видео можно, показать как установить дополнительные пакеты для включения WPA3 и посмотреть хватает-ли для них места на 8Мб ПЗУ.

Бридж - це віртуальне поєднання декількох інтерфейсів. Щоб зрозуміти для чого їх поєднують вам потрібно сходити на курси по мікротікам та витратити пару років на навчання

@@moya-sprava-admin у меня дома микротик уже больше чем 10 лет, и с интернетом я с 1991 года (начал свою работу с освоения ещё кооксеалтных кабелей), и даже как-то в офисе более чем на 50 человек я самостоятельно ставил микротиковские роутеры и свичи, соединив всё оптикой. Но бриджи у меня всегда использовались для внутренней сети (там всё понятно когда тебе нужны vlan’ы). Я не эксперт вашего уровня, но считаю что в этой теме всё же разбираюсь. Однако в том примере что я привел - бриджами являются WAN’ы. И я не могу понять, зачем может быть задействовано по несколько интерфейсов от каждого интернет-провайдера? Вот и обрался к вам, может вы объясните необходимость бриджа на внешнем интерфейсе со сторороны ISP?

@@user-rd3lj4gn4s я вам і відповів, канали можуть бути пов'язані між собою, наприклад, для lag, або ви робите vrrf, або піднімаєте bgp або в одну мережу isp вводите окремі вілани через окреми інтерфейси. Більше того, не обов'язково вводити в брідж канали від одного провайдера, це може бути яка завгодно конфігурація, головне щоб вам було зрозуміло, як з нею впоратися. Тому що інколи бріджі зайві, вілани можна підняти на одному інтерфейсі і так далі. Тобто кожен адмін, кожен мережевий інженер вирішує, яку саме конфігурацію піднімати і це зовсім не означає, що саме вам вона потрібна або взагалі підходить. Саме тому я всім кажу лише одне: берете мікрот - грайтеся з ним, поки досконально не розберетеся з його налаштуванням, інакше він вам не потрібен.

@Maxim Kun хорошо буду подключать на прямаю к пк

@Maxim Kun У меня сейчас было так интернет кабель идет к роутеру а от роутера идет кабель к пк . Мне лучше подключать не к роутеру а сразу к пк да ?

@Maxim Kun как узнать как по какому протоколу подключение . Ну у меня стоит щиток от улицы идет провод к нему в щитке стоит белая штука со знаком желтым как будто огне опасно вроде от него идет провод желтый к fiber optical media converter

DNS с минимальным для тебя пингом ищешь и прописываешь на роутере. Всё.

Всегда можно найти выход из ситуации, если понимаешь проблему.

проблема высосана из пальца, ничто не мешает использовать рандомные маки, вероятность столкновения в л2 сегменте будет равна 0

@@theurs2 проблемы вообще нет, если о ней знать. Вы удивитесь, узнав, сколько существует бесхозных сетей, у которых админов нет, а рулят случайные люди или пользователи под настроение. И этот цирк шапито работает, обложенный костылями со всех сторон, периодически падая или тупо мешая работать. И вот только когда что-то кого-то окончательно достанет, зовут на помощь.

@@moya-sprava-admin я имею в виду то что микротику надо было просто рандомные маки бриджам присваивать. Вероятность столкнуться с реальными железом с таким же маком равна 0.00000000000001

@@theurs2 микроты - закос в сторону профоборудования, здесь так нельзя. :) У кого-то в сети 10 девайсов, у кого-то - десятки тысяч, потому алгоритм делали универсальный и простой одновременно

Да, но не все это знают

пока в бридже нет портов, МАС рандомный там, как только добавлен порт в бридж, МАС меняется на МАС этого порта

@@sudya12345 вопрос был не в этом, а в том что на бридже без интерфейсов мак есть. Если вы его закрепите, рандомно сгенерированный в итоге, то ничего не поменяется при добавлении интерфейсов.

Хорошо, когда вы эти определения знаете. 90% пользователей микротов катаются на дефконф и задают вопрос - почему не работает

@@moya-sprava-admin хм, действительно интересная у вас статистика набралась. я видимо ещё не встречал людей которые пользуются квиксетом, да, видел тех кто дефолтный конфиг правят, необдуманно плодят правила фаервола, не исползают листы и.т.д. И я считаю что именно ПОЛЬЗОВАТЕЛЯМ в микротик самому лезть не стоит - это сугубо моё мнение.

Микротик всячески скрывает нам поведение системы, многие даже не в курсе, что внутри за Линукс и как он работает :)