Archiv pro štítek: vpn

Realizováno! Konsolidace LAN vzdělávací středisko Revis Tachov 2017

Konsolidace LAN vzdělávací středisko Revis Tachov


Regionální vzdělávací a informační středisko Revis Tachov působí na Tachovsku od roku 2004 s primárním cílem zvyšovat vzdělanost v regionu formou pravidelných školení a praktických workshopů, v nabídce služeb lze nalézt možnosti pronájmu plně vybavených školících prostor, počítačovou učebnu či možnost ubytování.

Nic z toho by se dnes neobešlo bez fungujícího ICT zázemí, proto děkujeme za poskytnutou příležitost a důvěru při realizaci kompletní konsolidace IT prostřední čítající výstavbu nové metalické i bezdrátové sítě s podporou funkce hotspotu, dodání centrálního úložiště dat a migrace dat z původní Linux serveru včetně konfigurace práv a zálohování, konfigurace zabezpečení LAN, oddělení provozů v sítích, konfigurace služby VPN pro vzdálený přístup a v neposlední řadě přepojení celé organizace na městskou metropolitní optickou síť Tachov a tím získání přístupu k vysokorychlostnímu internetu namísto starého ADSL.

Děkujeme za příležitost a těšíme se na další spolupráci.
Nejlepší podpora pro Vaše IT.
MOJEservery.cz | Exirta s.r.o.

Pokračování textu Realizováno! Konsolidace LAN vzdělávací středisko Revis Tachov 2017

Realizováno! OpenVPN řešení pro KERI a.s. Turnov

Realizováno!

OpenVPN řešení pro KERI a.s. Turnov


Pro společnost Keri a.s. Turnov zabývájící se konstrukcí a výrobou kontrolních a měřících přípravků, cubingů a měřících a montážních pracovišť zejména v oblasti automobilového průmyslu jsem úspěšně realizovali kompletní VPN řešení vzdáleného bezpečného přístupu do firemní sítě pro mobilní uživatele postavené na open-source software OpenVPN a populárním projektu pfSense stavějící nad velikánem mezi operačnímu systémy FreeBSD.

Řešení VPN s nástrojem OpenVPN

  • otevřený software
  • bez licenčních poplatků, svobodný software
  • standard v oblasti VPN
  • silné šifrování
  • dynamická výměna certifikátů
  • podpora pro Windows/Apple/Linux/BSD
  • podpora pro Android/iPhone
  • autorizace na základě certifikátu +jméno a heslo uživatele
  • vícenásobné spojení
  • režim client-to-gateway (road warrior) i site-to-site
  • logování přístupů
  • díky pfSense přehledné a snadné GUI pro správu uživatelů
  • vyřešen routing a firewall do stavající LAN Keri a.s.
  • bezproblémový přístup k firemnímu IS, na sdílené prostředky, tisk atd.

Schématické zobrazení topologie VPN

apu-pfsense-vpn-router-keri-0-2017

 

Děkujeme za příležitost a těšíme se na další spolupráci.
MOJEservery.cz

Zaujalo Vás toto řešení ? Chcete realizovat VPN řešení ?
Nebo chcete jen poradit ? Kontaktujte nás.
Technické konzultace, implementace, návrhy řešení. Kontaktní e-mailobchod@mojeservery.cz 
Kontaktní telefon: +420 725 714 669

apu-pfsense-vpn-router-keri-1-2017 apu-pfsense-vpn-router-keri-2-2017 apu-pfsense-vpn-router-keri-3-2017 apu-pfsense-vpn-router-keri-4-2017 apu-pfsense-vpn-router-keri-5-2017

Realizováno! Kamerový systém Ekodepon s.r.o., Černošín.

Kamerový systém Ekodepon s.r.o., Černošín.


Pro společnost Ekodepon s.r.o. provozující vlastní ekologickou skládku (aktuálně uloženo ~ 450 000 tun odpadu!) jsme provedli kompletní realizaci dohledového kamerového systému s využitím moderních IP kamer s vysokým rozlišením 4Mpx.

Datový provoz samotných IP kamer a záznamového zařízení je zcela oddělen do samostatné optické/metalické sítě pro dosáhnutí maximální nezávislosti a zabezpečení, provoz oddělen firewallem na nezávislém routeru, disponující nástroji VPN pro dohled i vzdálený přístup mobilních uživatelů.

Kamerový systém (CCTV) Ekodepon

  • 15 kamerový bodů (kamer)
  • statické kamery s vysokým rozlišením 4Mpx
  • otočné kamery s vysokým rozlišením 2Mpx
  • vysoce citlivé kamery s nočním viděním (vybrané modely až 150m noční přísvitu)
  • inteligentní nahrávání obsahu na základě detekce pohybu
  • napájení IP kamer pomocí PoE technologie
  • oddělená optická a metalická síť
  • systém oprávnění přístup uživatelů
  • 4x nezávislé dohledové pracoviště
  • vzdálený přístup a mobilní klienti (Android, iPhone, Windows)
  • možnost budoucího rozšíření
  • připrava na rozšíření o automatické rozpoznávání SPZ
  • online nonstop monitoring aktivní prvků systému
  • dohled a servis kamerového systému

Děkujeme za příležitost a těšíme se na další spolupráci.

Realizujeme kamerové systémy, zkušenosti z praxe (malé i rozsáhle CCTV systémy, desítky instalací), kvalita, ochota, energie a chuť se učit, hledáme nejlepší možnosti pro naše zákazníky.

Chcete inteligentní kamerové systémy ? Kontaktujte nás.
Technické konzultace, implementace, nacenění řešení.
Kontaktní e-mail: podpora@mojeservery.cz
Kontaktní telefon: +420 725 714 669

https://www.mojeservery.cz/produkty-sluzby/kamerove-systemy-cctv/

Krátké video z realizace.

A pár fotek.

cctv-ekodepon-img_20161205_101614 cctv-ekodepon-img_20161205_101641 cctv-ekodepon-img_20161205_101701 cctv-ekodepon-img_20161125_112409 cctv-ekodepon-img_20161123_131931 cctv-ekodepon-img_20161125_115405 cctv-ekodepon-img_20161125_120109 cctv-ekodepon-img_20161012_084917 cctv-ekodepon-img_20161125_113311 cctv-ekodepon-img_20161205_102441 cctv-ekodepon-img_20161205_100509 hdr

MOJEservery.cz

Mikrotik mini-howto: EoIP a šifrování s IPsec

Mikrotik mini-howto?
Krátce ze života sysadmina s RouterOS.

EoIP a šifrování s ipsec

Proprietární EoIP protokol Mikrotiku pro tunelování L2 provozu je na systému RouterOS velmi populární zejména pro svojí velmi snadnou konfiguraci, prakticky přidáte pouze na každé stráně (zařízení) remote-address a shodné tunnel-id a můžete začít tunelovat, jednoduché, nekomplikované.

Článek: 
Jak funguje EoIP a je možný proti Linux serveru ?
www.mojeservery.cz/linux-eoip-tunel-proti-mikrotik/

Jednou z nevýhod EoIP je nešifrovaný provoz, přirozeně je možné zabalit celý provoz a transparetně šifrovat oba konce přes IPsec, který je podporován v Mikrotiku, bohužel většina administrátorů tuto konfiguraci neřeší, mají k IPsecu “odpor”, vetšinou z důvodu neznalosti jeho problematiky, lidé se bojí toho co neznají.

Proto Mikrotik přidal podporu šifrování do EoIP skrze IPsec (dle informací k 15. výročí protokolu), a to tak snadno, že pouze vyplníte ipsec-secret (pre-shared key, heslo, ideálně netriviální), Mikrotik následně sám nakonfiguruje dynamické ipsec peery (strany tunnelu), nakonfiguruje policy s výchozím šifrováním na sha1/aes128cbc, hotovo a máte šifrováný L2 tunnel, jednodušší už to nebude, takže šifrujte !

Ukázka konfigurace EoIP s IPsec

Používáme RouterOS version: 6.37.1 (stable)

Pozn.:
IPsec u EoIP potřebuje explicitně specifikovat local-address u EoIP tunelu kvůli konfiguraci ipsec peerů a také vypnout fastpath funkcionalitu jinak není možné IPsec povolit na EoIP.

Příklad síťové topologie:

mikrotik-minihowto-eoip-ipsec-2016

Konfigurace:

Router R1:
/interface eoip add name="EOIP-R2" local-address=1.1.1.2 remote-address=2.2.2.2 tunnel-id=10 allow-fast-path=no ipsec-secret=ozCafWutIvFikamNekUlhedeipdobus5
Router R2:
/interface eoip add name="EOIP-R1" local-address=2.2.2.2 remote-address=1.1.1.2 tunnel-id=10 allow-fast-path=no ipsec-secret=ozCafWutIvFikamNekUlhedeipdobus5

A to je vše, snadné, tak šifrujte !

Děkujeme za Váš čas, MOJEservery.cz

Realizováno! Konfigurace VPN pro AK Nábytek Náchod.

Konfigurace VPN pro AK Nábytek Náchod


Pro společnost AK Nábytek Náchod jsem v minulosti realizovali konfiguraci firemního Linux VPS serveru a jak praví filmová klasika dobří holuby se vracejí vrátil se zpět i zákazník s dalším požadavkem po předchozí kladné zkušenosti, děkujeme velmi si tohoto přístupu ceníme.

Požadavek byl velmi jednoduchý, ve firemní síti je centrální souborový server exportující složky pomocí SMB/CIFS protokolu, obchodní cestující potřebují na cestách přístup k těmto datům, bezpečně a jednoduše, tedy jasná implementace pro technologii VPN (virtuální privátní sítě), provedli jsem konfiguraci, nastavili server, uživatele, firewall a routing, pro jednoduchost byl použit integrovaný Windows VPN klient, hotovo včetně otestování a návodu bylo za pár hodin, je skvělé když technologii rozumíte a klient je spokojen, je to radost.

Děkuje za příležitost. MOJEservery.cz

Plánujete výstavbu VPN, máte problémy s VPN nebo se jen chcete zeptat ? Obraťte se na nás, pomůžeme Vám.

MOJEservery.cz - Produkty a služby
Návrh a realizace VPN sítí
http://www.mojeservery.cz/produkty-sluzby/vpn-site/
VPN ilustrace rozsáhlejší topologie
VPN ilustrace rozsáhlejší topologie

 

Realizováno! Konsolidace LAN, výstavba VPN pro AROMATERAPIE a.s.

Realizace VPN, konsolidace sítě LAN


Úspěšně realizováno!

Pro zákazníka 1. AROMATERAPEUTICKÁ KH a.s. jsem provedli konsolidaci lokální počítačové sítě (LAN), připojení první vzdálené pobočky pomocí technologie VPN, napojení na VoIP ústřednu, konfigurace firewallu a zavedení základní bezpečnostní politiky. Pokračování textu Realizováno! Konsolidace LAN, výstavba VPN pro AROMATERAPIE a.s.

Řešení Hotel stack platform

hotel-rack-stack-hotel-logo-720  Hotel stack platforma


Co je to hotel stack ?

Hotelové prostředí v moderním pojetí dnes reprezentuje komplexní, živý a náročný „organismus“, dobře naladěný hotel poznáte během okamžiku, orchestrování hotelů dnes představuje manažerský kolotoč a bez kvalitního informačního zázemí se nelze obejít.

Jaká je však skutečnost technologického zázemí dnešních hotelů ?

Z naší praxe za 20 let pohybu v hotelovém segmentu musíme bohužel konstatovat, že zcela tristní !

Staré dosluhující systémy, bez podpory aktualizace software, často zcela bez zálohovacích nástrojů pro ochranu dat, hardware prvky za morální životností netrpělivě čekající na „křemíkové nebe“, v provozu často dva i více fyzických serverů, každý s využitím na zátěže  ~10%, energetická efektivita škoda mluvit a pravidelný restart 1x denně/týdně je dobrý standart. A co sítě ? Zde začíná teprve velmi slušný cirkus, plochá LAN, chaoticky vyzařující a vzájemně se rušící hotelové wifi, často sporadicky fungující wifi pro hosty, vouchery?, tickety? sms platby? haló je rok 2016, bezpečnost hotelové sítě, firewall, VPN, propojení lokalit, nic, nic, jen sprostá slova a VoIP, magie, která v komerčním prostředí funguje zcela spolehlivě, jen hotely mají 20+ staré ústředny, čest jejich památce, proč když začít je tak snadné.

Zní vám to povědomě ?

Proč hotel stack ?

Platforma hotel stack představuje naši evoluční odpověď na konsolidaci IT prostředí hotelových provozů, ucelená modulární platforma odbavující veškeré služby hotelu od datové konektivity pomocí metalických i optických sítí, bezpečnostní firewall s VPN, řešení pro výkonné bezdrátové sítě s centrálním řízením wireless controllerem, nástroje pro virtualizaci serverů a hotelového software, integrovanou moderní VoIP ústřednu s tarifikací a okamžitému nasazení, systém zálohování a obnovy dat, dohledový kamerový systém s podporou IP kamer, vše doručováno při vysoké efektivitě, modulárnosti, energetické úspoře a chráněno záložním zdrojem UPS s přepěťovou ochranou.

hotel-rack-stack-140-orig-2016

 

hotel-stack-icon-router-2016   Hotel stack Router, Switch

  • LAN, WAN, VPN, Wifi, IPTV podpora, PoE (volitelně)
  • Firewall, bezpečnost, VLAN, oddělení sítí
  • Propojení lokalit do jedné sítě (virtual private network, VPN)
  • Podpora záložního připojení k internetu
  • WIFI controller (komplexní hotelové wifi řešení)
  • Statistiky, www filtrování obsahu, reporting aktivit zaměstnanců

hotel-stack-icon-virtual-server-2016   Hotel stack virtual server

Virtualizace serverů a  operačních systémů přináší efektivní využití Vašich hardware prostředků , k čemu mít 5x fyzický server a každý využívat každý na 20%, když je možné jedno železo a vytížit ho plně, úspory značné v pořízení i provozu.

Reálná agregace z praxe je až 10x virtuálních strojů na 1x fyzický server.
Virtualizační technologie VMware server/KVM.
Možnost přechodu do cloud prostředí datacentra !
Nechcete udržovat vůbec vlastní serveru fyzický server?
Lze hostovat virtuální servery v našem datacentru.
Nabídka: 4x CPU, 16GB RAM, 300GB HDD SSD, Windows 2012R2
Cena:    1650Kč / měsíčně

Používáme výhradně certifikované servery Dell, IBM, Supermicro, Thomas Krenn, redundantní komponenty, RAID pole.

Podporujeme operační systémy:

  • Microsoft Windows
  • Linux
  • FreeBSD

Podpora pro hotelový software dodavatelů:

  • Agnis
  • Fidelio
  • Deneb
  • Abra
  • GUBI komplexní systém
  • Hores, ALTO
  • Medicus, Septim

Připravené scénáře k okamžitému nasazení na „jedno kliknutí“:

  • ZDARMA!
  • Konfigurace domény pro počítače (uživatelé, skupiny, zásady)
  • Sdílení souborů (CIFS)
  • Poštovní server (email, kalendář, kontakty, synchronizace, webmail, antispam)
  • DNS, NTP

hotel-stack-icon-voip-phone-2016   Hotel stack VoIP

Moderní VoIP ústředna, levné hovory do celého světa.

  • přesměrování hovorů, konferenční hovory, nahrávání hovorů
  • digitální recepční, hlasové schránky
  • podpora tarifikace (rozúčtování hotelovým hostům)
  • podpora pro vrátníky (intercom),  dálkové spínání
  • analogové brány (FXS/FXO), GSM brány
  • hotelové služby, programování modulů na zákázku (moduly úklid hotelu, buzení, objednávka služeb, digitální asistent)

hotel-stack-icon-backup-2016   Hotel stack zálohování, kamerový systém

Zálohování konfigurace celé platformy (router, switch, virtualizační server včetně virtuálních strojů), možnost synchronizovat zálohy na externí zrcadlo pro zvýšení bezpečnosti.

hotel-stack-icon-security-cam-2016 Kamerový systém představuje jednoduchý nástroj pro online 24/7 monitoring a ostrahu objektů, provozů, podpora pro IP kamery s vysokým rozlišením v kombinaci s VPN technologií poskytující zařízení hotel stack router je možné přenášet  a ukládat obraz ze vzdálených lokalit (spojení dva a více hotelů).

hotel-stack-icon-UPS-2016   Hotel stack UPS

Zálohované napájení energie pro platformu, ochrana přepětí sítě.

Hotel stack modulárnost, kompaktnost, podpora

Díky promyšlenému konceptu a v praxi odzkoušenému designu v kombinaci s výběrem kvalitních komponent je hotel stack platforma funkční řešení s přidanou hodnotou.

Modulární koncept, když chcete více nebo i méně, začít se dá i s minimalistickým hotel stackem, který bude s Vámi růst dle Vašich potřeb, chcete něco více docházkový systém, zabezpečovací ústřednu/alarm, definujte sami podobu svého hotelu.

Podpora → poskytuje SLA servisní smlouvu na celý stack na vybrané komponenty záruka 36 až 60 měsíců,poskytuje konfigurace a přizpůsobení, aktivní monitoring a reporting stavu stacku, dále vývoj řešení a aplikací na zakáznku v rámci hotel stacku včetně mobilních aplikací a napojení a třetí strany.

Zamilujte se !
Hotelové IT prostředí jako nikdy dosud...to je HOTEL STACK!
Technické konzultace, implementace, nacenění řešení.
Kontaktní e-mail: podpora@mojeservery.cz
Kontaktní telefon: +420 725 714 669

Hotel stack pro každého, nezáleží na provozu, pokryjeme stejně dobře potřeby škol, městských úřadů, knihoven, výrobních hal, skladů, malých i středních firem, nebojte se zeptat.

hotel-stack-demo1-2016 hotel-stack-demo2-2016 hotel-stack-demo3-2016

Linux mini-howto: Je tunelování TCP skrz TCP dobrý nápad ?

Linux mini-howto?
Krátce o nástrojích ze života sysadmina.

Tunelování TCP skrz TCP


Tunelování spojení, TCP over …. , z praxe dnes běžně známe tunelování TCP spojení např. protokolem PPP což je protokol druhé vrstvy pro navázaní spojení mezi dvěma body, do PPP zapouzdříme na straně odesílatele naše TCP spojení (hlavičku + data) a odešleme, na druhé straně odebereme PPP informace a naše TCP pokračuje v sítí cestou dále k požadovanému cíli, zní to jednoduše a ve většině případů to funguje “par excellence”.

Jenže “neštěstí” nechodí po horách, ale po lidech a stejně je tomu i v telekomunikacích, když honíte duchy v sítí není dobré se obrnit myšlenkou, že tohle se mi nemůže stát aneb jak jsem tunelovali přes VPN tunel (tcp) další TCP tunel a jak to “blblo”.

Něco málo k teorii, TCP ve své podstatě reprezentuje proud dat rozdělený do tzv. segmentů (narozdíl od UDP, které představuje samostatné na sobě nezávisle datagramy, nezaručuje doručení ani pořadí), segmenty jsou opatřeny tzv. sequence number, což je číslo ukazující pořadí segmentu ve streamu a segmenty odesílány jako IP packety k cíli s velikosti MTU.

tcpip-headers-tcp-over-tcp-blog-header-2016

 

Tcp sequence number (SEQ, ACK, FIN)
Tcp sequence number (SEQ, ACK, FIN)

Cíl (na obrázku server) přijme packet a odpovída zpět pomocí příznaku ACK (acknowledge, odpověd), kde jako acknowledge number uvede přijmuté sequence number ze segmentu + 1, popis mechanismu je pro náš účel zjednodušen, ale to podstatné je zachováno, odesílatel (client) se tímto způsobem může dozvědět, že segment (data) byla ztracena a dojde k opětovnému zaslání (resend).

Dobře, co s tím dále ? Internet je “pěkně” divoké prostředí, data procházejí přes uzly které nemáte šanci kontrolovat, různá kvalita linek, zpoždění, ztrátovost, tvůrci TCP s tím počítali, proto je v návrhu TCP vlastnost timeoutu (odesílatel čeká na potvrzení ACK po určitý čas), round-trip-time (RTT), problém je ovšem v tom jak určit kolik RTT má být, pevná hodnota je nevyhovující a proto máme v TCP adaptivní timeout, který korigován “automacticky” během spojení, tak aby vyhověl  i nejpomalejším linkám na trase, hodnota se může pohybovat od řádů sekund až po minuty (RFC2001), což je opravdu velký rozptyl.

TCP “meltdown” problém

V předchozích řádkách bylo nastíněno zjednodušené pozadí fungování TCP, představme si situaci, mějme TCP spojení (např. VPN) a uvnitř další TCP spojení, uvažujme problém na trase (pktloss/ztrátovost), nižší vrstva TCP (VPN) začne žádat o znovu zaslání dat (retransmission) a prodlužovat svůj timeout (RTT), spojení je blokováno, vyšší vrstva TCP (zapouzdřené TCP) začne timeoutovat a opět žádat o resend a prodlužovat svůj RTT, hodnota RTT zapouzdřeného TCP je nižší než hodnota skutečného TCP, vyšší vrstva tedy generuje více požadavků na znovu zaslání dat než může nižší vrstva TCP (skutečné) obsloužit, této situaci se říka TCP meltdown (utavení, roztavení, zhroucení).

TCP meltdown má vliv na výkon  sítě, či může véct k úplnému rozpadu spojení, v našem případě jsme měli problém s OpenVPN a PPTP, na použití TCP bylo trváno zákazníkem kvůli politice jeho firewallu, nakonec přechod k UDP a vhodná úprava konfigurace firewall ukázalo průchodné řešení.

Na každý pád to znamená zajímavou zkušenost, není úplně snadné tento problém hledat, klon konfigurace do vašeho prostředí většinou nevede k cíli protože vše funguje, co je dobré vědět a velmi pomohlo k porozumění problému, je možnost simulovat zpoždění i ztrátovost přímo Linux routerem (nástroj tc, iptables), odkazy přiloženy a pochopitelně tcpdump/wireshark.

simulate-delayed-and-dropped-packets-on-linux

dropping-packets-in-ubuntu-linux-using-tc-and-iptables

Děkuji za pozornost.
František Havel, MOJEservery.cz

Realizováno! VPN IPsec hotel Richard Mariánské Lázně – Starlife Praha

Realizováno!


Pro zákazníka Hotel Richard ML jsem implementovali propojení dvou lokalit pomocí technologie VPN IPsec pro přes dat mezi informačním systémem.

Co je to VPN a proč IPsec VPN ?

VPN je zkratka názvu virtual private network, do češtiny přeloženo virtuální počítačová síť, pro jednoduchost to lze interpretovat jako soubor technologií umožňující důvěryhodné(bezpečné/šifrované) vzdálené propojení počítačů či celých sítí přes nedůvěryhodné prostředí internetu.

Tímto způsobem lze levně a bezpečně spojit více sítí namísto drahého pronajatého okruhu, realizovat tak propojení poboček s centrálou či připojit mobilní uživatele (obchodní cestující).

Další VPN viz www.mojeservery.cz/produkty-sluzby/vpn-site , realná aplikace levného VPN řešení, http://www.mojeservery.cz/openwrt-realizace-vpn-site-tp-link-wr1043nd-nexx-wt3020f zde.

Co je to IPsec ?

IPsec je jedna z nejpoužívanějších forem VPN, jedná se o bezpečnostní rozšíření IP protokolu, fungujete transparentně již na třetí vrtvě OSI modulu, jde o standard.

VPN-IPSEC-HOTEL-RICHARD-ML-STARLIFE-PRAHA-2016

Děkujeme za příležitost a těšíme se na další spolupráci. MOJEservery.cz.

Mikrotik: Blokování a omezení multicast provozu

Mikrotik mini-howto? Krátce ze života s RouterOS.

Mikrotik blokování/omezení multicast

Nedávná realizace VPN tunelu pro zákazníka nás přivedla k jednomu drobnému problému, požadavek na začátku byl plně transparentní L2 tunel spojující dvě lokality, za normálních okolností je rozumné vyhnout se L2 bridge sítím přes VPN, raději děláme klasickou routovanou VPN.

Problem nastal po zjištění, že v lokalitě 1 je zdroj multicast provozu, který díky bridge proléza do druhé lokality přes VPN, dle zjišťování Mikrotik stále dosud neumí IGMP snooping (viz. kňučení zde http://forum.mikrotik.com/viewtopic.php?t=62073), který by tomu mohl zabránit.

Podobný problém jsem zaznamenal i v případě multicast provozu služby IPTV, který přicházel do Mikrotiku přes uplink port (typicky ether1-gateway) a díky výchozí konfiguraci zbytku portů routeru jako switche v kombinaci s bridgem bezdrátového rozhraní WLAN docházelo k šíření multicasti do WiFi, ± 10Mbit provoz trvale zaplavující wifi není ideální, zvláště pokud ho tam nikdo nechce.

Co je to Multicast?

IP multicast je metoda přeposílání IP datagramů z jednoho zdroje skupině více koncových stanic. Multicast adresy lze vcelku dobře identifikovat cílové adresa je v rozsahu třídy D (224.0.0.0 – 239.255.255.255), zdrojová adresa je unicast adresa odesílatele.

unicast-vs-multicast-1

Co je to IGMP snooping?

IGMP snooping je funkce dobřé známá z chytřejších switchů, kdy dochází ke zkoumání IGMP zpráv procházející switchem, zařízení si na jejich základě udržuje tabulku jakou multicast adresu posílat na jaký port, tedy data putují pouze tam kam mají a nezahlcují trasu kam nepatří, velmi zjednodušeně řečeno.

Multicast IGMP snooping
Multicast IGMP snooping

 

Hledané řešení je triviální

Varianta 1. Úplné blokování multicast provozu

/interface bridge filter add chain=output out-interface=wlan1 packet-type=multicast action=drop

Varianta 2. Omezení multicast provozu

Zapneme firewall na bridge, aby provoz prošel až na firewall/CPU a bylo možné s ním něco udělat.

/interface bridge settings set use-ip-firewall=yes

Markujeme(označíme) pakety multicastu.

/ip firewall mangle add chain=prerouting action=mark-connection new-connection-mark=multimark passthrough=yes dst-address-type=multicast
/ip firewall mangle add chain=prerouting connection-mark=multimark action=mark-packet new-connection-mark=multimark_packet passthrough=no

Máme označen multicast provoz, pomocí fronty omezíme jednoduše jeho rychlost na např. 512kbit.

/queue tree add parent=wlan1-parent packet-mark=multimark_packet max-limit=512k name="wlan1-limit-multicast"

A to je vše, takto nám to funguje.

Díky za pozornost. František Havel, MOJEservery.cz.