EET a QoS na Mikrotiku

[Jirka45645]

Potrebuju na mikrotiku udelat qosy, tak aby mela vzdy prioritu pripojeni na EET. Jelikoz jsem zjistil ze EET pouziva DNS balancing tak bych potreboval zjistit vsechny ip adresy pro prod.eet.cz nebo me napada druha moznost a to pres leyer 7 lokalizovat pripojeni k prod.eet.cz a ty pak nasledne prioritizovat atd. Spis bych to chtel tou prvni cestou. Nevite nekdo jak zjistit vsechny ip nebo jak vy resite tuto situaci, aby vam nejaky host nevysosl linku a pak nic nejde.

[Reklama]

[j]

Tak pocitam ze znas vnitrni IPcka stroju, kery komunikujou nejspis jenom s mistrem Buresem. A jinak nevim rpoc to resis .. kdyz se nespojis, tak se nespojis, a co ... vytisknes 344 znaku Buresokodu a vyreseno ne?

[Radek]

Ja bych tam dal celej rozsah "statni tiskarny cenin".

https://apps.db.ripe.net/search/lookup.html?source=ripe&key=5.145.104.0%20-%205.145.111.255&type=inetnum

[Tuxik]

Popravdě si nedokážu představit, jakej smysl má QoSování malých balíčků dat typu EET. Aby to nedopadlo tak, že průchod routerem bude kvůli QoSování pomalejší, než celá cesta až k Bábiškovi a zpět na plně zatížené lince.

[Jenda]

Nevite nekdo jak zjistit vsechny ip

Na EET se zevnitř připojíš na adresy, které si předtím resolvneš. Router by tak mohl sniffovat DNS a dynamicky IP přidávat (podle mě brzo zjistíš, že to je pár /24 a ty můžeš prioritizovat rovnou). Jenže ty máš Mikrotik, takže máš smůlu .

nebo jak vy resite tuto situaci, aby vam nejaky host nevysosl linku a pak nic nejde

Je dobré udělat shaping těsně pod propustnost linky (pokud je to nějaký ISP u kterého je známá…). Tyhle problémy jsou totiž často způsobeny bufferbloatem v modemech.

[Reklama]

[Martin]

Jedině zapnout na Mikrotiku DNS cache a pomocí skriptu ty adresy vytáhnout.

[SB]

...Jenže ty máš Mikrotik, takže máš smůlu ...

Moc jsem to nepochopil - v čem spočívá ta smůla?

[Jenda]

...Jenže ty máš Mikrotik, takže máš smůlu ...

Moc jsem to nepochopil - v čem spočívá ta smůla?

Udělat ten DNS sniffing a QoSování podle toho bude podstatně složitější než "tcpdump port 53 | grep | while read line; do qos; done"

[SB]

Obnovování seznamu adres IP z cache DNS:
https://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/

Nastavení front třeba zde:
http://wiki.mikrotik.com/wiki/Voip

Otázkou je, zda nejde identifikovat provoz EET dle něčeho jiného než IP cílových serverů, čímž by odpadla část držení seznamu IP.

[kapr]

Jak rika kolega, tisknout, tisknout a tisknout. Odpojte to od netu a pripojte k tiskarne, velikost fontu 64 at se jim to dobre cte. Kdyz tohle udela 1000 lidi nebo vic, se tam v tom papiru utopej =D

[Libor Petr]

No a není jednodušší udělat na rádiu druhou síť ke které budou připojeny pouze "autorizovaná" zařízení (pokladny, tablety atd.) a nastavit prioritizaci podle toho, z které sítě zařízení komunikuje? Pak si nastavíte Limit At, Max Limit a Priority ve prospěch EET sítě a zákazníkům dáte zbytek...

[ZAJDAN]

No a není jednodušší udělat na rádiu druhou síť ke které budou připojeny pouze "autorizovaná" zařízení (pokladny, tablety atd.) a nastavit prioritizaci podle toho, z které sítě zařízení komunikuje? Pak si nastavíte Limit At, Max Limit a Priority ve prospěch EET sítě a zákazníkům dáte zbytek...

sel bych na to podobne....udelat si treba subnet ciste pro tyto veci a pak aplikovat pravidla na tento subnet...jeste mozna nastavit TOS

[Jenda]

Obnovování seznamu adres IP z cache DNS:
https://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/

Ale to přece nebude fungovat, pokud klient nebude používat tvůj DNS server. Proto jsem navrhoval sniffování celého DNS provozu (a využití faktu, že DNS je stále nešifrované), včetně vnějších rekurzivních resolverů.

Řešení se subnetem je samozřejmě mnohem lepší, i tak nějak ideologicky proč pouštět neznámé lidi z ulice do stejného síťového segmentu kde mám svoje zařízení.

Jak rika kolega, tisknout, tisknout a tisknout.

Babiš ti dá půl mega pokutu.

[SB]

Obnovování seznamu adres IP z cache DNS:
https://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/

Ale to přece nebude fungovat, pokud klient nebude používat tvůj DNS server. Proto jsem navrhoval sniffování celého DNS provozu (a využití faktu, že DNS je stále nešifrované), včetně vnějších rekurzivních resolverů.

Řešení se subnetem je samozřejmě mnohem lepší, i tak nějak ideologicky proč pouštět neznámé lidi z ulice do stejného síťového segmentu kde mám svoje zařízení.

Jestli zařízení nepoužívá moje DNS, tak stačí pro jeho IP unést dotazy DNS. Ale jak jsem psal, nestačilo by rozlišovat provoz na EET dle IP gerätu EET? Každopádně řešení s podsítí pro EET je nejlepší, případně i bezpečnější. (Myslel jsem, že EET je připojeno přes ethernet, ne wifi, ale to je jedno.)

[čtenář]

Co přejít na lepší konektivitu, než něco škrtit a omezovat na síti?