faq обучение настройка
Текущее время: Вт окт 22, 2019 07:12

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 286 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7, 8 ... 20  След.
Автор Сообщение
 Заголовок сообщения: Re: MTRX
СообщениеДобавлено: Чт дек 22, 2016 14:35 
Не в сети

Зарегистрирован: Ср дек 21, 2016 23:08
Сообщений: 15
MTRX писал(а):
3apa3a.b.ta3e писал(а):
MTRX писал(а):
Сейчас у клавистера прошивка v.11.10.00. Для DFL мы получили пока еще только v.11.04.
И, кстати, все давно уже делают версию ядра файера под виртуалки.
Когда маркетинг ДЛинк'а разродится чем-то подобным?


Ого, про IPv6 IPSec вообще огонь!

Dlink продаёт железо, не думаю, что это интересно с точки зрения маржи.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт дек 22, 2016 14:41 
Не в сети

Зарегистрирован: Ср дек 21, 2016 23:08
Сообщений: 15
durashki писал(а):
ну так не интересно если честно ))) Вот если бы взять ДВА 870, соединить их напрямую пачкордом, лучше двумя, сделать балансировку с VTI интерфейсами и качнуть канал iperf`ом. Вот если будет в данном случае 70 мегабит хотя бы тогда ДА. А пока есть девайсы домашнего формата, которые легко IPSec под 350 мегабит в VPN тянут легко. У меня сейчас в ожидании подключение еще одного производства и туда я бы взял на попробовать два 870, если вскоре появится ФСТЕК.
Но вот если тут говорят что он по производительности как 1660 то это уже как то не понятно. Там VPN всего 350


Вы забываете про шифрование. У меня длинные ключи и везде выставлено не ниже SHA2/AES. А в ФСТЕК-версии шифрование обрезанное - MD5, DES, вот это всё. Там и 260E не напрягаясь прожуёт свои 30 МБит.

Кстати, покажите пальцем на устройства "домашнего формата с 350 Мбит VPN". Вы же не про pptp/l2tp говорите, правда?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт дек 22, 2016 14:46 
Не в сети

Зарегистрирован: Ср дек 21, 2016 23:08
Сообщений: 15
Vladimir22 писал(а):
210х у меня у самого три штуки ;-) мне хватит.

у меня достаточно нагруженная сетка дома
IPtv
клиенты проводные и вифи - разнесены в разные влан.
влан для сервера виртуальных машин. ( виртуалки там же)

Про SIP/323 отдельная песня . хотите подискутировать - велком - создайте отдельную тему, я вам много расскажу, за 7 лет я наелся сполна с DFL и голосом.

SIP/RTP прокси , в моем понятии совсем другое (Kamailo/OpenSER) остальное баловство.

У меня много PPTP/L2tp пользователей . удаленных сетей . При хорошем обмене и активности сети . каналы почтина пределе... думаю OpenWRT помрет . под нагрузками.

+ всякие хитрые маршрутизации. и скоро внедрять OSPF $-)


Мы сейчас про дом говорим? Про вот это место, где живут? Или про домашний офис, где деньги зарабатывают ;-) ?
OpenWRT да, не выдержит.

OSPF? Дома? Ох. Спасибо, мне на работе хватает приключений.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт дек 22, 2016 15:06 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
Как удачно-то он вышел! Как раз мои 860тые начали захлебываться от трафиков и ВПНов, и я уже начал плотно думать о переходе на что-то альтернативное или мкротиковское
Но перенос всех конфигов на совершенно незнакомые железки - это ад

Заказал сразу три, буду тестить и в работу ставить. Плюс в офисе еще и третий канал сейчас подключат, будет 50+50+100, и дома вроде как стабильная 100, так что уволоку один домой и посмотрю, как два 870 будут bittorrentsync с 30 ГБ архивами прокачивать через три ipsec и три pptp на 100мбит канале


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт дек 22, 2016 15:19 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8517
Откуда: Москва
terebizh писал(а):
.. как два 870 будут bittorrentsync с 30 ГБ архивами прокачивать через три ipsec и три pptp на 100мбит канале
не поперхнутся, имхо.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Чт дек 22, 2016 20:16 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8910
Откуда: Москва
[quote="3apa3a.b.ta3e] Про вот это место, где живут? .[/quote]

Это то место где учатся ... что бы потом зарабатывать

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Последний раз редактировалось Vladimir22 Чт дек 22, 2016 23:08, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: MTRX
СообщениеДобавлено: Чт дек 22, 2016 20:43 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8517
Откуда: Москва
+1.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: MTRX
СообщениеДобавлено: Пт дек 23, 2016 01:35 
Не в сети

Зарегистрирован: Пн авг 15, 2005 01:40
Сообщений: 354
Откуда: Moscow
3apa3a.b.ta3e писал(а):
MTRX писал(а):
Кстати, коль скоро старая линейка DFL-х60Е почти полгода как снята с продаж, - интересно, сколько будут еще прошивки выпускаться?

Свежие WW-прошивки совсем недавно вышли одновременно для 870, 860E и 260E. Почитайте changelog - там хотя и не революция, но всё очень неплохо (в частности - IKEv2, traceroute в CLI и т.д.).

Мне только несколько вещей не хватает, в частности - чтобы HTTP-poster работал и по HTTPS тоже.
И ещё ОЧЕНЬ БЕСИТ (ажтрисёт) - при генерации скрипта конфигурации не учитываются зависимости объектов, в результате при переезде 860E->870 очень весело было блоки в файле переставлять местами, потом ещё добивать то, что не переехало, а конфигурация у меня больше 100кб. Но я привык, так всегда было.


да-да, позавчера я их ещё не заметил либо их не было WW к 870 прошивок, а вчера появились. Я два дня подряд ползал по сайтам, искал свежак для 860е и инфу про 870

HTTPS-poster -- да, расстроило, пришлось себе на стороне прикручивать сервис для такого постера, цель динамическай регистрация ddns во всяких nic.ru и т.п.
А генерация sgs -- если не исправили в 11 версии, то ещё геморой с миграцией.

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт дек 23, 2016 10:25 
Не в сети

Зарегистрирован: Чт июн 09, 2011 14:06
Сообщений: 31
3apa3a.b.ta3e писал(а):
Кстати, покажите пальцем на устройства "домашнего формата с 350 Мбит VPN". Вы же не про pptp/l2tp говорите, правда?


Можно я вот так.. Чтобы уж не оффтопить про конкурентов... Посмотрите старший роутер бело-голубой конторы, в которой сейчас работает "Падаван" Кстати, правильная железка при AES на данный момент будет работать быстрее потому как современные чипы аппаратно ускоряют AES шифрование.

terebizh, давайте испытывайте.. Ждем.. В идеале еще попробовать не по одному каналу а с отказосутойчивостью хотя бы на два канала.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пт дек 23, 2016 11:05 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
durashki писал(а):
terebizh, давайте испытывайте.. Ждем.. В идеале еще попробовать не по одному каналу а с отказосутойчивостью хотя бы на два канала.


у меня будет три канала, так что постараюсь нагрузить :)

с 860 у меня сейчас новая напасть. Несколько дней уже как, периодически, ко мне на один из wan прилетает ddos в виде не особо объемного, но постоянного порт-скана с кучи ботов из кучи стран. И что новое (для меня) - эти боты активно брутфорсят ipsec. От чего проц у 860 начинает потеть, а крыша заметно протекать и он даже на пинги по lan начинает отвечать с 30% потерями или таймаутами от 10 до 1500мс, потом падают pptp-линки и начинается вообще веселье циклическое, пока не ребутнешь

В общем, я впервые столкнулся с ipsec-DoS, и 860 от него ложится очень хорошо. Разумеется, отключив "IPsec Before Rules" и настроив белый список пробему на 95% вылечил, но все равно 870 уже хочу гораздо сильнее


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пн дек 26, 2016 17:03 
Не в сети

Зарегистрирован: Пн сен 01, 2014 14:15
Сообщений: 4
Для тех, кому не терпится услышать результаты реальных тестов:
Только что протестировал IPsec в связке DFL-870 - DFL-1660. IKE Algorithm: AES,SHA1 ; IPsec Algorithms: AES,SHA1. Соединены через свитч. Копирование образа ISO 1Гб
Я ожидал, что 870 покажет хорошие результаты, но не ожидал такого унижения 1660:
LAN1-DFL-1660-DFL-870-LAN1
250Мбит/с (27Мб/с)
1660 - GPU 100%
870 - GPU 20%

LAN1-DFL-870-DFL-1660-LAN1
300Мбит/с (32Мб/с)
1660 - GPU 100%
870 - GPU 15-18%


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт дек 27, 2016 00:11 
Не в сети

Зарегистрирован: Пн авг 15, 2005 01:40
Сообщений: 354
Откуда: Moscow
Всем здрасть!

1. Купил сей девайс, сразу удивило отсутствие индикации, что девайс ребутается/загрузился: просто светится белым индикатор, что включён и всё.

2. У DFL-870 в родной прошивке с завода 2.27.31.09 те же проблемы в pptp/l2tp-сервере с полем «Networks behind user», как у DFL-860E с новой прошивкой 11.04.01.11, а именно поле/объект «Networks behind user» динамически не попадает в таблицу маршрутизации: нужно перенастроить для пользователя в локальной базе (на DFL-860E для версии прошивки 11.04.01.11 верно утверждение: хотя бы для одного пользователя в локальной базе) данное поле и после применения настроек и «Forcibly Log Out» каждого пользователя его объект «Networks behind user» динамически попадёт в таблицу маршрутизации (как во всех мне известных старых прошивках в линейке dfl-210/800/860e ) ссылка на тему

3. Зато в DFL-870 с 11.04.01.11 нет озвученных мной проблем с ptp/l2tp-сервером и полем «Networks behind user» -- я уже смирился, что тут-то будет обязательно, может в русской не будет, а оказалось наоборот! Рад!!!

_________________
4xDFL-870(A1/12.00.16.09) 3хDFL-860E(A1/12.00.13.05) DFL-800(A2/2.27.08.03) 2xDFL-210
3xDGS-3200-10(A1&B1/2.21.B018) DGS-1210-20/C(C1/4.10.B029) DES-2108/E/B(B1/5.01.B01)
4xDWL-2100AP(A4/252eu-rc573) DIR-516(1.02) 3xDGE-530T(B1&2) DNS-323(B1/1.08)


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Вт дек 27, 2016 10:47 
Не в сети

Зарегистрирован: Чт июн 09, 2011 14:06
Сообщений: 31
vnkozlov писал(а):
Для тех, кому не терпится услышать результаты реальных тестов:
Только что протестировал IPsec в связке DFL-870 - DFL-1660. IKE Algorithm: AES,SHA1 ; IPsec Algorithms: AES,SHA1. Соединены через свитч. Копирование образа ISO 1Гб
Я ожидал, что 870 покажет хорошие результаты, но не ожидал такого унижения 1660:
LAN1-DFL-1660-DFL-870-LAN1
250Мбит/с (27Мб/с)
1660 - GPU 100%
870 - GPU 20%

LAN1-DFL-870-DFL-1660-LAN1
300Мбит/с (32Мб/с)
1660 - GPU 100%
870 - GPU 15-18%

А почему LAN то? интересен то WAN-LAN, а это еще нагрузка. А есть возможность потестить его с компом например?? Но все же 250-300 мегабит и 25-30% загрузки процессора дает надежду на то что между двумя такими девайсами с балансировкой нагрузки, с использованием VTI интерфейсов скорость будет в районе 100 мегабит, что не плохо.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пн янв 09, 2017 13:47 
Не в сети

Зарегистрирован: Пт май 08, 2009 13:56
Сообщений: 36
по причине постоянного ДДоСа и захлебывания 860ки от трафика, пришлось сразу вводить 870 в боевой режим
Ну в общим это. Сырой он.

Прошивка 11.04.01 WW - постоянные ребуты как "само по себе", так зависания на ровном месте и рестарт железяки ватчдогом через 5 минут залипа, в сутки 1-2 раза точно ребут был. Главное, что напрягает - очень частые ребуты просто при банальном применении конфига. Чаще всего - когда конфиг применить не удалось и восстанавливается предыдущая версия. Например, я добавил хост в DHCP статик, нажал применить, конфиг сообщает "а у тебя хост вне выделенного диапазона ДХЦП, не могу применить конфиг, откатываюсь назад", и бац, все умерло, в консоли сообщение про эксепшен, лоадинг коре и загрузку с нуля

Также частые зависания и ребут просто по клику в вебморде "применить конфиг", при этом в консоли сообщения о начале реконфигура нет. Просто эксепшен и загрузка ядра. Либо залипание на 5-10 минут и срабатывание ватчдога, и ребут.

Так как железки взял три, то поставил рядом неапгрейженую, родную 2.27.31 RU, перенес конфиг и просто переткнул все три wan-а

Ребутов и зависаний гораздо меньше, но они есть. Так же, при применении конфига. Сейчас версия конфигурации всего 13, но два ребута в процессе конфига было. Зависаний на просто так и срабатывания ватчдога - не было, неделю полет стабильный

Продолжаю наблюдения, третью железку уволок домой, чтобы экспериментами и ребутами не отрубать каналы офису.

В общем, сейчас обе прошивки (родная 2.27 RU и обновленная 11.04.01) - сырые как весь ужас. 11я - "ужас-ужас", 2.27 - "жить слегка можно"

Секс с новинкой все новогодние выходные был зачотный!

Если техподдержке интересно, могу дать любые логи консольные, данные и прочее. Ну и жду, когда ДЛинк выдаст новую 11.04.02, Клавистеры ее в начале декабря уже выложили.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL-870
СообщениеДобавлено: Пн янв 09, 2017 16:58 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8517
Откуда: Москва
terebizh писал(а):
В общем, сейчас обе прошивки (родная 2.27 RU и обновленная 11.04.01) - сырые как весь ужас. 11я - "ужас-ужас", 2.27 - "жить слегка можно"...
Позвольте не согласиться. Расскажу про 260Eс новой прошивкой.
Почти 3 недели назад на 2 аппарата 260Е поверх 10.22.01 накатил 11.04.01. За это время ни один из них ни разу сам не перегрузился. Только когда включается "защита от дурака" пр неправильном конфиге - очень помогло, поскольку по 30-тиградусному морозу никуда ехать не хотелось. Железка откатилась сама на последний рабочий конфиг.
Да, еще порадовало: в одном из шкафов датчик температуры показывал -16С. Но DFL'ка продолжала безотказно работать.
По ощущениям - тоннели IPSec стали стабильнее работать, меньше осыпаться (на беспроводке).

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 286 ]  На страницу Пред.  1, 2, 3, 4, 5, 6, 7, 8 ... 20  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB