Всем привет, подскажите пожалуйста есть или нету возможности на микротик фильтровать трафик в фаерволе по ethertype. Вобщем ситуация такая, хотим поставить в сети два PPPOE сервера на микротик в одном вилане с одинаковыми настройками, для распределения нагрузки ну и для отказоустойчивости. При такой схеме пишут нагрузка между серверами распределяется примерно 60-40% или 45-55%. Что в принципе тоже не плохо. У нас есть идея попробовать, если есть возможность фильтровать пакеты в фаерволе по ethertype то хотим сделать фильтрацию PADI пакетов через один, для того чтоб авторизация на серверах происходила не лавинно, а постепенно, в результате чего, теоретически распределение абонентов между серверами будет происходить более менее равномерно. Филтрацию пакетов думал сделать через nth. Или может есть другие способы плавного распределения? Или не заморачиваться с этим и просто воткнуть два сервера в один вилан?
Посмотрите фильтр на бридже. Что бы использовать возможности фаервола для трафика идущего через бридж, используйте настройку use ip firewall в настройках бриджа.
В бридже в фаерволе в разделе mac protocol можно указать pppoe-discovery но там к сожелению я не нашел nth через который можно отфильтровать пакеты допустим каждый второй или третий не пропускать
хотели реализовать что то типа такого только для padi пакетов /ip firewall filter add action=drop chain=forward nth=2,1 protocol=icmp src-address=192.168.0.1 в данном примере icmp ping с хоста 192.168.0.1 будет проходить через один.
если поставить галку use ip firewall вы можете использовать возможности фаервола для трафика идущего через бридж
Долго искал, и нашел где ее поставить. Там же вероятно еще нужно поставить галочку use ip firewall for pppoe. Теперь не могу понять дальнейшую цепочку, как это все завязать. Допустим в настройках бриджа в фильтре во вкладке General в mac протоколе я укажу pppoe-discovery chain forward action drop немогу понять как теперь его завязать с ip фаерволом.
Можно попробовать от маркировать в бридж фильтр эти пакеты, и уже по маркировке выловить их в основном фаерволе, применяя нужное правило. Я бы так попробовал.
Опять же отмаркировать их можно только в mangl??? потому что я не увидел что в бридже можно маркировать. Если их можно было бы пометить в mangl то их можно было бы отфильтровать ip фаерволом и без бриджа.
Почему ? Можно маркировать и в бридже. Можно еще попробовать просто написать скрипт который будет включать выключать правило на бридже с определенной частотой, как вариант.
Да, вы правы, когда смотрел в бриджах маркировку, то не заметил. что в action есть mark pakets. Тогда по идее можно промаркировать 8863 pppoe пакеты в бридже, а уже в ip фаерволе выбрать созданный packet marks и в nth уже выбрать нужные нам условия срабатывания.
Правда пока искали способ как это реализовать, всплыл еще один немаловажный фактор. Одинаковое количество пользователей могут по разному напрягать ресурсы pppoe серверов. Допустим 1500 сесий с минимальным количеством трафика и шейпированием могут меньше напрягать pppoe сервер чем 1000 сессий но более активных. Т.е. на каком сервере процессоры будут менее загружены, тот сервер быстрее и ответит клиенту. Вот теперь совсем непонятно, стоит ли балансировать нагрузку сессиями 50/50 или лучше доверить это дело самим железкам, пусть сами определяют кто насколько свободен тот и быстрей.
