MARECEK: Asi zalezi co mas, moje maly Mikrotiky nemaji akceleraci, ale pres L2TP/IPSec jsem dostal max 20-25Mbit, takze jedu PPTP, protoze linka je 80/80M. Nemuzu si dovolit aby to sezralo cely procesor.
Na mobilu PPTP jde nativne (Android), kamos to tak ma, vuci DDWRT.
Chtelo by to neco mezi, neco bezpecnejsiho ale ne tolik narocnyho na vykon.

JOINTER: no OpenvVPN je z tech protokolu vykonove nejhorsi protoze tam neni hw akcelerace sifrovani tak ze sem na zhruba 10mbit a to je malo... l2tp zhruba 80mbit protoze ipsec akceleraci ma a to je uz rozdil.. PPTP sice moc nesifruje a vykon ok, ale na mobilu nejde.... - a ted s vyberte... :-D
Zkusil jsem pripoit mrnouse (hAP lite) na ten PPTP interface a vypada to dostatecne stabilne i po pul hodine...

MARECEK: To uz muzes mit OpenVPN, protoze metoda sifrovani je stejna, takze vykonove je to stejne narocny. Imho.
Jinak z debugu PPTP zatim nic neni, muj trvale pripojeny telefon je neustale na mizernym signalu, takze neni na strane site co sledovat.
Prozatim jen muzu rict, ze to vypada na problem NATu nebo neceho takoveho na strane zarizeni, protoze na Lenovo T440 a Huawei K5150 mi to nedela, na Z3 pres wifi ano a na Xperia E taky.
Alternativa je rozdil mezi operatory, pouze VF ma stateful firewall, ostatni maji stateless, tak by bylo mozne, ze dojde k nejakemu dropu, ale podivat se nemuzem, z duvodu uvedenych vyse.

Jinak jeste me napadlo tu PPTP nahradit L2TP / IPsec ale nejsem si jistej jak by to mikrotik zvladnul kvuli tomu ze jsem za natkou (mam verejnou IP ale mezi ni a routerem je jeste jedna natka) - ubiquity mi to treba nezvladnul a pokus o konfiguraci na mikrotiku mi koncil na podivny chyby i kdyz jsem tam zapnul nat traversal vidim ze se ty dva spolu bavi a dohaduji spojeni ale pak vidim ze router posila control message ale uz nedostava odpovedi a router to zavesi)
Mate nekdo tu konfiguraci v podobnym prostredi ozkousenou?

JOINTER: jj vodafone. ale chova se mi to tak i kdyz jedu prs wifi.

AQUARIUS: To asi nebude jedinej, mam nejaky zarizeni od Samsungu s cloudem a ackoliv zarizeni jsou trvale online (ve smyslu ze je jde pingnout z LAN a jsou pripojeny nekam ven), tvarej se obcas offline nebo je dokonce potreba je znova "naparovat" do aplikace.

AHARAZ: remote syslog pouzivam, ale ted potrebuju kompletni zaznam sitovyho provozu a v tom mi syslog nepomuze... Kazdopadne v tuto chvili je jiz problem vyresen a nastava dalsi - proc ta zatracena vec nekomunikuje. Ale to uz nesouvisi s mikrotikem, spis z toho mam pocit, ze Bosch (vyrobce toho zarizeni) podcenil dimenzovani sveho "cloudu".

AQUARIUS: Pokud jde o pamet na ukladani logu - jde pouzit remote server s syslogem... Ale moc jsem necetl celou diskuzi, takze to ber jen ve vztahu k "pamet prestala stacit"...

CHOROBA: ten trafr jsem zkousel, ale nejak si nerozumi s moji verzi glibc. Ale v zasade mi staci v tuhle chvili to, co produkuje tcpdump, on si s tim pak wireshark celkem poradi.

AQUARIUS:
Mikrotik IPS IDS - MikroTik Wiki
http://wiki.mikrotik.com/wiki/Mikrotik_IPS_IDS
http://www.mikrotik.com/download/trafr.tgz

CHOROBA: chci si zaznamenat celou komunikaci, ne jenom hlavicky... a obavam se, ze to by mi pamet my RB750 prestala hodne brzo stacit. Zatim to vypada, ze kombinace packet snifferu + tcpdumpu a wiresharku dela presne to, co potrebuju (akorat je potreba ve wiresharku nastavit dekodovani TZSP, nevim, jak se zbavit hlavicek, ktery tam vznikly tim streamovanim)

KUTNY: ja prave Mikrotik moc neznam, jak to uklada na cilovej server? V idealnim pripade bych chtel mit na konci kompletni dump v pcap formatu. Zatim zacinam studovat ntop, co je doporucovanej na ty strance, co posilal ATAN, ale pro dane pouziti mi to prijde mozna trochu jako overkill (casem to sice asi stejne nasadim, protoze to vypada zajimave, ale momentalne hledam neco fakt jednoduchyho)...
Mimochodem, ucelem je analyza komunikace kotle - v pripade IoT razim spis pristup Intranet of Things, ale po prvnim spusteni si to potrebuje od vyrobce neco stahnout...

AQUARIUS: http://wiki.mikrotik.com/wiki/Manual:IP/Traffic_Flow

Da se na mikrotiku nejak elegantne dumpovat veskerej provoz z konkretni adresy/site? Mam v siti zarizeni, u kteryho by me zajimala veskera jeho komunikace smerem do Internetu a premyslim, jak nejlepe logovat, co posila ven. Zatim me napadlo vyhradit mu samostatnou VLANu, ty jako branu pres DHCP nastavit server s Linuxem a tam pustit tcpdump, ale hledam, jestli precejen neni nejake hezci reseni.

ok dik
uvidime jestli se to zlepsi

ROENICK: no to neumím říct. ale obecně jabka se v síti chovaj dost zpupne.

RAINBOF: jo AppStore asi bude mit slusny balancery a DDoS ochrany. Ale cekal bych, ze kdyz ta adresa neni dostupna tak se proste posle novej dotaz do DNS u ISP? neni ta cache trochu spatne udelana? nebo je spatny to jablko?

ROENICK: cname ukazujou jinam. když to balancer zmeni tak se dotazujes na spatnej server. + to delaj ruzny ddos presmerovavace.

ok dik. Bylo to tam myslim defaultne..vidam to i po navodech na netu, nehrabal jsem do toho.
Jeste je to tak blby, ze na tom iPhonu jde napr browser ale uz ne AppStore.. co se vlastne na ty cache muze takhle srat?

7dni je moc

ROENICK: ttlko omez. Bude se ti to pak vysypavat samo.

cau stava se vam, ze musite obcas flushnout DNS cache na mikrotiku, aby korektne chodila napr. iOS zarizeni? ale i jiny veci..obcas to ma vliv i na PC s Win, ale nejnachylnejsi je vzdy iPhone, iPad, obcas i Android. Chapu, ze Apple je co se tyce wifi kapitola sama pro sebe ale tohle je zjevne problem u me.

Mel jsem na to podezreni uz dyl, reboot routeru taky pomahal, ale ted jsem si to potvrdil. Nejelo - flush - okamzite jelo. Cache mam nastavenou na 2 MB, TTL 7 dni, DNS 2x od ISP (zkousel jsem google, nepomohlo). Vypnout ta cache zrejme nejde, mam zkusit udelat skript na autoflush treba jednou denne? nebo omezit TTL?

RouterOS 6.37.1 (stable), board RB433, Atheros AR92xx karta)
dik

Omlouvám se za spam, ale [ OFFERINGNABÍZÍM: MIKROTIK RB951Ui-2nD hAP / Praha ] kdyby někdo chtěl :)

tmobile uz mi jede nekolik hodin bez problemu

JOINTER: Ano zkousel. treba tmobile to nedela a o2 jak kde.

RAINBOF: Je ta sit na ktere to pozorujes Vodafone?
Zkousel jsi to pripadne u jineho operatora?

JOINTER: to byl priklad abys mohl o problemu pobadat. k ty fragmentaci dochazi na linkovy vrstve tedy nekde mezi vysilacem a mobilem. a mobil tohle ale nevi nebo to ignoruje (protoze gsm modul je samostatnej, uzavrenej a prisne strezenej kousek hw kam se z androida nemas jako developer os sanci dostat). diky ty zavislosti na linkovy vrstve nemas moznost s tim nic udelat. proste to tak je. takze kdyz se ti zmensi velikost paketu a ty to nevis proste data tecou ale ne z vpn. to je cely. podle me bys to videl na wiresharku na klientovi. treba kdyz prenasis data delsi dobu ti zmeni parametry linky na uspornejsi.

RAINBOF: Tenhle muj telefon je Xperie E, alespon myslim. A pres laptop jsem to zkousel tenkrat nejspis s Xperia Z3 a nebo iphonem 4. Zkousel jsem se neceho dopracovat na strane mobilniho operatora, ale nepodarilo se. Kazdopadne fakt, ze je to presne po 30 minutach mi rika, ze je to neco programoveho nekde na trase, ne nahodny bug. Jsem aspon rad, ze nejsem sam, kdo ten problem ma. :)