Количество активных подключений через микрот.
Добавлено: 12 янв 2022, 15:31
Доброго времени суток.
я на форуме впервые, но с микротиком уже не первый год. попалась странная задача. решить не смог.
наставьте пожалуйста на путь истинный.
заранее спасибо.
в наличии офис на сотню юзеров и для удобства работы с гаджетами конечно есть вайфай.
бесшовная сеть собрана на точках доступа в виде плюшечки (5acd2nd) 1 роутер и 3 антенки. управляется через Capsman.
все работает хорошо. и внутренняя сеть и интернет. даже гостевая сеть работает).
НО. возникла беда откуда не ждали) выход во ВНЕ контролируется Kerio. И вот керио решил обидеться не честного трудягу микрота.
Connection limit of 1000 outbound connections reached for host - выдал керио и заблокировал адрес микрота.
по прошествии таймаута разблокировал, огляделся и опять заблокировал.
озадачился я ограничением количества сессий на 1 адрес выдаваемый микротом. и даже пользовал правило из сети
ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32
и всякие производные от этого.
но чего-то мне это не помогло. даже когда ставлю эксперименты на своем смартфоне - он один при использовании вацапа прогоняет через микрот десяток соединений, причем в правиле выставил 1 сессию на адрес. НО керио видит десяток.
верховный шаман предложил ограничить вообще количество сессий на микроте. но тогда пострадает локальный трафик.
мне же надо ограничить сессии только для выдаваемых адресов гостевой сети. либо по адресу либо на подсеть.
но, пока у меня не работает правило.
помогите пожалуйста советом.
заранее спасибо.
я на форуме впервые, но с микротиком уже не первый год. попалась странная задача. решить не смог.
наставьте пожалуйста на путь истинный.
заранее спасибо.
в наличии офис на сотню юзеров и для удобства работы с гаджетами конечно есть вайфай.
бесшовная сеть собрана на точках доступа в виде плюшечки (5acd2nd) 1 роутер и 3 антенки. управляется через Capsman.
все работает хорошо. и внутренняя сеть и интернет. даже гостевая сеть работает).
НО. возникла беда откуда не ждали) выход во ВНЕ контролируется Kerio. И вот керио решил обидеться не честного трудягу микрота.
Connection limit of 1000 outbound connections reached for host - выдал керио и заблокировал адрес микрота.
по прошествии таймаута разблокировал, огляделся и опять заблокировал.
озадачился я ограничением количества сессий на 1 адрес выдаваемый микротом. и даже пользовал правило из сети
ip firewall filter add chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=torrent_limit dst-port=!80,443,8080 connection-limit=40,32
и всякие производные от этого.
но чего-то мне это не помогло. даже когда ставлю эксперименты на своем смартфоне - он один при использовании вацапа прогоняет через микрот десяток соединений, причем в правиле выставил 1 сессию на адрес. НО керио видит десяток.
верховный шаман предложил ограничить вообще количество сессий на микроте. но тогда пострадает локальный трафик.
мне же надо ограничить сессии только для выдаваемых адресов гостевой сети. либо по адресу либо на подсеть.
но, пока у меня не работает правило.
помогите пожалуйста советом.
заранее спасибо.
