JOINTER: no OpenvVPN je z tech protokolu vykonove nejhorsi protoze tam neni hw akcelerace sifrovani tak ze sem na zhruba 10mbit a to je malo... l2tp zhruba 80mbit protoze ipsec akceleraci ma a to je uz rozdil.. PPTP sice moc nesifruje a vykon ok, ale na mobilu nejde.... - a ted s vyberte... :-D
Zkusil jsem pripoit mrnouse (hAP lite) na ten PPTP interface a vypada to dostatecne stabilne i po pul hodine...

MARECEK: To uz muzes mit OpenVPN, protoze metoda sifrovani je stejna, takze vykonove je to stejne narocny. Imho.
Jinak z debugu PPTP zatim nic neni, muj trvale pripojeny telefon je neustale na mizernym signalu, takze neni na strane site co sledovat.
Prozatim jen muzu rict, ze to vypada na problem NATu nebo neceho takoveho na strane zarizeni, protoze na Lenovo T440 a Huawei K5150 mi to nedela, na Z3 pres wifi ano a na Xperia E taky.
Alternativa je rozdil mezi operatory, pouze VF ma stateful firewall, ostatni maji stateless, tak by bylo mozne, ze dojde k nejakemu dropu, ale podivat se nemuzem, z duvodu uvedenych vyse.

Jinak jeste me napadlo tu PPTP nahradit L2TP / IPsec ale nejsem si jistej jak by to mikrotik zvladnul kvuli tomu ze jsem za natkou (mam verejnou IP ale mezi ni a routerem je jeste jedna natka) - ubiquity mi to treba nezvladnul a pokus o konfiguraci na mikrotiku mi koncil na podivny chyby i kdyz jsem tam zapnul nat traversal vidim ze se ty dva spolu bavi a dohaduji spojeni ale pak vidim ze router posila control message ale uz nedostava odpovedi a router to zavesi)
Mate nekdo tu konfiguraci v podobnym prostredi ozkousenou?

JOINTER: jj vodafone. ale chova se mi to tak i kdyz jedu prs wifi.

AQUARIUS: To asi nebude jedinej, mam nejaky zarizeni od Samsungu s cloudem a ackoliv zarizeni jsou trvale online (ve smyslu ze je jde pingnout z LAN a jsou pripojeny nekam ven), tvarej se obcas offline nebo je dokonce potreba je znova "naparovat" do aplikace.

AHARAZ: remote syslog pouzivam, ale ted potrebuju kompletni zaznam sitovyho provozu a v tom mi syslog nepomuze... Kazdopadne v tuto chvili je jiz problem vyresen a nastava dalsi - proc ta zatracena vec nekomunikuje. Ale to uz nesouvisi s mikrotikem, spis z toho mam pocit, ze Bosch (vyrobce toho zarizeni) podcenil dimenzovani sveho "cloudu".

AQUARIUS: Pokud jde o pamet na ukladani logu - jde pouzit remote server s syslogem... Ale moc jsem necetl celou diskuzi, takze to ber jen ve vztahu k "pamet prestala stacit"...

CHOROBA: ten trafr jsem zkousel, ale nejak si nerozumi s moji verzi glibc. Ale v zasade mi staci v tuhle chvili to, co produkuje tcpdump, on si s tim pak wireshark celkem poradi.

AQUARIUS:
Mikrotik IPS IDS - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Mikrotik_IPS_IDS
http://www.mikrotik.com/download/trafr.tgz

CHOROBA: chci si zaznamenat celou komunikaci, ne jenom hlavicky... a obavam se, ze to by mi pamet my RB750 prestala hodne brzo stacit. Zatim to vypada, ze kombinace packet snifferu + tcpdumpu a wiresharku dela presne to, co potrebuju (akorat je potreba ve wiresharku nastavit dekodovani TZSP, nevim, jak se zbavit hlavicek, ktery tam vznikly tim streamovanim)

KUTNY: ja prave Mikrotik moc neznam, jak to uklada na cilovej server? V idealnim pripade bych chtel mit na konci kompletni dump v pcap formatu. Zatim zacinam studovat ntop, co je doporucovanej na ty strance, co posilal ATAN, ale pro dane pouziti mi to prijde mozna trochu jako overkill (casem to sice asi stejne nasadim, protoze to vypada zajimave, ale momentalne hledam neco fakt jednoduchyho)...
Mimochodem, ucelem je analyza komunikace kotle - v pripade IoT razim spis pristup Intranet of Things, ale po prvnim spusteni si to potrebuje od vyrobce neco stahnout...

AQUARIUS: http://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow

Da se na mikrotiku nejak elegantne dumpovat veskerej provoz z konkretni adresy/site? Mam v siti zarizeni, u kteryho by me zajimala veskera jeho komunikace smerem do Internetu a premyslim, jak nejlepe logovat, co posila ven. Zatim me napadlo vyhradit mu samostatnou VLANu, ty jako branu pres DHCP nastavit server s Linuxem a tam pustit tcpdump, ale hledam, jestli precejen neni nejake hezci reseni.

ok dik
uvidime jestli se to zlepsi

ROENICK: no to neumím říct. ale obecně jabka se v síti chovaj dost zpupne.

RAINBOF: jo AppStore asi bude mit slusny balancery a DDoS ochrany. Ale cekal bych, ze kdyz ta adresa neni dostupna tak se proste posle novej dotaz do DNS u ISP? neni ta cache trochu spatne udelana? nebo je spatny to jablko?

ROENICK: cname ukazujou jinam. když to balancer zmeni tak se dotazujes na spatnej server. + to delaj ruzny ddos presmerovavace.

ok dik. Bylo to tam myslim defaultne..vidam to i po navodech na netu, nehrabal jsem do toho.
Jeste je to tak blby, ze na tom iPhonu jde napr browser ale uz ne AppStore.. co se vlastne na ty cache muze takhle srat?

7dni je moc