Почему не работает DLNA в RB4011iGS+5HacQ2HnD-IN

Обсуждение оборудования и его настройки
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Уважаемый Vlad-2, выражаю Вам свое почтение и скажу, что мне выпала честь, что Вы уделили мне свое драгоценное время. Мне очень приятно обшаться с умным человеком.
Vlad-2 писал(а): 07 июн 2019, 00:10Не совсем я понял что именно Вы сделали и что "излечило" работу DLNA?

Может быть, я что-то и сделал еще, но в своем NAS в свойствах LAN я принудительно выставил значение MTU таким же, как и значение MTU интерфейсов Микротика.
Vlad-2 писал(а): 07 июн 2019, 00:10 , и рядом, с портом каждым, слева есть флаг - буква H, если она есть, значит для этого порта режим HW включён. (проверить, включен HW для порта просто - кликнуть дважды на порт и убедиться или явно поставить галочку на против Hardware Offload)
Когда читал мануал, то про этот режим я прочитал. Но не знал, что он называется просто HW. На всех портах он у меня стоит. Правда, флаг - буква H при снятии/установке галочки напротив "Hardware Offload" в ожидаемом месте не появляется.
Vlad-2 писал(а): 07 июн 2019, 00:10 Так как у РБ4011 две свитч-группы,
Я так понимаю, что наличие галочки Hardware Offload включает харварное общение портов даже из разных свичей, то есть портф 2 и 7, к примеру, будут при этом общаться напрямую?
Vlad-2 писал(а): 07 июн 2019, 00:10 10-й порт он с функицей РоЕ - я обычно такие порты берегу, и не использую (или функцию РоЕ в свойствах 10-го порта отключаю). ,
Ну это уже когда надумаю IP-камеру где-нибудь ставить, тогда и включу питалово в свойствах 10-го интерфейса. А пока он у меня в резерве
MaxoDroid писал(а): 06 июн 2019, 14:47 Тут у меня еще вопрос. Стоит ли в IP – DNS указать IP-адреса дополнительных DNS серверов для того, что бы обходить запреты провайдера на некоторые сайты
Vlad-2 писал(а): 07 июн 2019, 00:10 и уже вся Ваша сеть будет через их работать. Тут гибкость есть.
То есть, если провайдер имеет свои DNSs и я в ручную дополнительно пропишу еще адрева DNS, то будут работать и система сопоставления как провайдера, так и того ресурса, адрес которого я впишу.
Только вопрос. А на LAN это влияет?
MaxoDroid писал(а): 06 июн 2019, 14:47 -- я просмотрел параметр MTU в том роутере, где система работала. Там, почему-то, он стоял равным 2000. В Микротике он установлен 1500. Тогда я задал значение MTU Вручную свойственное роутеру значение и NAS (в котором стояло значение 2000) просто сделал пересчет сети
Vlad-2 писал(а): 07 июн 2019, 00:10 Я стараюсь параметры тонкие и очень ответственные редко трогать. Лично мне как-то странно воспринимать, что сервис DLNA такой особенный, что ему нужно менять МТУ....скорее это специфика именно Вашего сервиса. Просто меняя МТУ = Вы меняете параметр, который может для одной задачи идти во благо, а потом для другого будет целая проблема...Всё тонко в этой жизни.
Уважаемый Vlad-2, по этому поводу есть статья, которая хорошо поясняет принцип работы MTU. https://naseti.com/o-routerah/mtu.html
У меня провайдер имеет значение MTU=1480. Так вот для уменьшения фрагментации пакетов и увеличения скорости работы системы в целом следует сравнять длину пакетов по всем интерфейсам. Следовательно, все сетевые устройства будут паковать данные в том виде, в котором они будут один-в-один обрабатываться провайдером. Это нужно в том случае, если у Вас есть сервисы, которые более или менее активно общаются с внешним миром. Тогда пакеты не будут перепаковываться и в итого скорость заметно увеличится.
MaxoDroid писал(а): 06 июн 2019, 14:47 -- за ненадобность пользования удаленным входом в роутер я просто удалил защиты от перебора портов WinBox. Оставшиеся правила никакого воздействия ни на внутренний, ни на внешний трафик не влияют.
Vlad-2 писал(а): 07 июн 2019, 00:10 Так как ДНС у Вас включён на микротике, а когда его включают, ДНС доступен на любом интерфейсе роутера, на котором есть адрес, значит он доступен будет и на внешнем адресе, а значит хакеры будут его дёргать и атаковать запросами, поэтому лучше сделать защиту от брут-форса по портам ДНС (тсп/удп 53),
Понял. Значит, я понапрасну удалил защиту от перебора паролей и интерфейса.
Vlad-2 писал(а): 07 июн 2019, 00:10 Создать своего пользователя с полными правами, админа отключить.
Ну это я сделал в первую очередь.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MaxoDroid писал(а): 08 июн 2019, 11:26 Уважаемый Vlad-2, выражаю Вам свое почтение и скажу, что мне выпала честь, что Вы уделили мне свое драгоценное время. Мне очень приятно обшаться с умным человеком.
Спасибо :smu:sche_nie:
MaxoDroid писал(а): 08 июн 2019, 11:26 Когда читал мануал, то про этот режим я прочитал. Но не знал, что он называется просто HW. На всех портах он у меня стоит. Правда, флаг - буква H при снятии/установке галочки напротив "Hardware Offload" в ожидаемом месте не появляется.
Надо галочку проверить, в порт подключить устройство, и только после этого проверять флаг на наличии.
Мы работаем с роутером и все почти тут операции в реал-тайме делаются.
Поэтому только в живую.
MaxoDroid писал(а): 08 июн 2019, 11:26 Я так понимаю, что наличие галочки Hardware Offload включает харварное общение портов даже из разных свичей, то есть портф 2 и 7, к примеру, будут при этом общаться напрямую?
НЕТ, ну яж описал что есть 2 группы портов, одна группа и вторая, всегда между ними трафик будет идти ТОЛЬКО
программно, через процессор микротика, поэтому расстановка и использования портов Важно.
Классический пример с домашним микротиком скажем 952, там 5 портов,
свитч-чип там есть, у клиента есть 2 компа и скажем есть приставка IPTV.
Теперь рассуждаем: у нас есть локальная сеть и сеть с IPTV(трафик там провайдерский).
Локальная сеть более скоростная, IPTV - средний поток канала это 8-16 мегабит.
Свитч-чип один, но бриджей в данном варианте у нас два будет, локальный и IPTV,
HW может быть лишь активирован для портов одного бриджа, так как программно,
роутер спокойно переваривает 10-20 мегабит, значит для локальной сети, где
всегда хочется иметь скорость между компами, мы делаем HW для этих портов,
а для бриджа IPTV (и там у нас порты скажем 1й и 5й) мы HW не включаем.
Вот и всё. То есть порты не всегда и не все можно использовать.
У Вас две группы портов, и если надо, Вы можете в 7й порт подключить скажем
телевизор, и он будет работать, но скорость передачи в 7й порт с первой группы
будет в рамках мощности роутера.
Поэтому ещё раз поищите что такое HW, статей много, и ещё раз прочтите выше,
то что я написал пару раз.
MaxoDroid писал(а): 08 июн 2019, 11:26 Ну это уже когда надумаю IP-камеру где-нибудь ставить, тогда и включу питалово в свойствах 10-го интерфейса. А пока он у меня в резерве
Опять торопитесь, ознакомьтесь какой тип РоЕ у камеры и какой тут тип РоЕ, они не всегда
совместимы. Да, и считаю, что РоЕ выход = это так, временное или не постоянное решение.
Проще, правильнее запитывать камеру как и положено, через отдельный блок питания,
используя РоЕ-инжектор её.
Зачем нагружать роутер, блок питание роутера и его контакты.
MaxoDroid писал(а): 08 июн 2019, 11:26 То есть, если провайдер имеет свои DNSs и я в ручную дополнительно пропишу еще адрева DNS, то будут работать и система сопоставления как провайдера, так и того ресурса, адрес которого я впишу.
Только вопрос. А на LAN это влияет?
Вроде всё описываю, и подробно, но как-то стал я Вас не понимать.
1) либо юзаете ДНСы провайдера своего
2) либо бзаете ДНСы внешние
3) если указывать брать ДНСы провайдера и добавить свои внешние = запросы будут
рандомно то туда, то сюда уходить.
4) Слово "сопоставления" я в вопросе не понял. Микротик просто является кеширующим сервером.
Это как бюро справок раньше, спросили = Вам ответили.
Хотите юзать ВПН/делать обход блокировок = значит надо в настройках ВПНа или руками
прописать ДНСы иные.
5) Можете для удобства, в настройках ДНСы, кнопка Static = сделать вот там сопоставление,
что если роутер то это 88.1, если комп то 88.11, нас=88.21, это будет удобно.
Но чтобы потом это сопоставление работало, надо чтобы у клиентов было указан ТОЛЬКО
ДНС микротика (один).
6) Если у клиентов указан ДНС микротика и они все обращаются к нему, то вопрос как влиеят
это на ЛАН = думаю тут итак понятно, что локальные клиенты работают по ДНСу только
через микротик.
Пока всё, по ДНСу остальное ищите в интернете, хотя у микротика простейший примитивный
ДНС-сервер.
MaxoDroid писал(а): 08 июн 2019, 11:26 Уважаемый Vlad-2, по этому поводу есть статья, которая хорошо поясняет принцип работы MTU. https://naseti.com/o-routerah/mtu.html
У меня провайдер имеет значение MTU=1480. Так вот для уменьшения фрагментации пакетов и увеличения скорости работы системы в целом следует сравнять длину пакетов по всем интерфейсам. Следовательно, все сетевые устройства будут паковать данные в том виде, в котором они будут один-в-один обрабатываться провайдером. Это нужно в том случае, если у Вас есть сервисы, которые более или менее активно общаются с внешним миром. Тогда пакеты не будут перепаковываться и в итого скорость заметно увеличится.
Я знаю как работает МТУ, просто у меня через один интерфейс может идти сразу и 3 провайдера,
и 5-10 туннелей, и виланы, сразу резко такие параметры я не трогаю, всё не однозначно.
Поэтому пока я не буду уверен, что без правки МТУ никак, не попробовав все способы,
я не трону МТУ. И как Вы сами можете убедиться, статьей много в Интернете,
но я Вам основы даю на более русском и практичном языке.
MaxoDroid писал(а): 08 июн 2019, 11:26 Понял. Значит, я понапрасну удалил защиту от перебора паролей и интерфейса.
Делайте защиту от брут-форса ДНСов, это обязательно.
И не помню, обсуждали ли, но в IP-Services - лучше почти всё там отключить,
меньше сервисов на роутере, меньше открытых портов.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

А еще вопрос. Стоит ли блокировать еще и порт 123, так же, как и 53? (защита от брут-форса по портам ДНС)?
И нужно ли ограничить трафик на udp:53 udp:123 фаерволом (Защита служб L3/L4 UDP magnification attack solution)?


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Аватара пользователя
MaxoDroid
Сообщения: 355
Зарегистрирован: 14 май 2019, 22:55
Откуда: Краснодар

Vlad-2 писал(а): 08 июн 2019, 15:08 Вроде всё описываю, и подробно, но как-то стал я Вас не понимать.
1) либо юзаете ДНСы провайдера своего
2) либо бзаете ДНСы внешние
3) ...
Еще раз спасибо за внимание!
Сам я - наладчик систем управления газотурбинными установками. И, пока в самые дебри с головой не залезешь, то толком систему и не настроишь! Порой даже в драйвера модулей распределенных систем приходится влезть, что бы баги вылечить.
А тут мне понравился Микротик, который поначалу отпугивал своим интерфейсом... А теперь я даже и не знаю как у меня все раньше все работало.
Вот и пытаюсь все тонкости работы для меня новой системы понять.
Вот этот момент, с работой DNS я еще по полочкам в голове еще пока не разложил.


... CAPsMAN - вещь забавная и нужная.... Но провод - НАДЕЖНЕЕ!
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

MaxoDroid писал(а): 08 июн 2019, 15:09 А еще вопрос. Стоит ли блокировать еще и порт 123, так же, как и 53? (защита от брут-форса по портам ДНС)?
И нужно ли ограничить трафик на udp:53 udp:123 фаерволом (Защита служб L3/L4 UDP magnification attack solution)?
Если Вы пакет NTP ставили, то есть у Вас на роутере работает сервер времени, то конечно,
внешний адрес с портом 123 надо закрыть. Зачем давать повод атакам или халявщикам,
кто захочет взять у Вас точное время.

На счёт ДНСа не совсем понимаю куда там разбираться, тут почти также, как и в обычных
роутерах, запросы с локальной сети отдаются роутеру, он уже от себя отдаёт провайдеру
или тем серверам которые Вы явно указали в настройках. Всё.
Роутеры являются кеширующими или посредниками при ДНС-запросах.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить