Subnets.ru

simpl3x писал(а):направлением http трафика цепочкой dst-nat на другой сервер

а до этого он на какой сервер форвардился ?

root писал(а):

simpl3x писал(а):ничего лучше заворота на прокси не получилось сделать.

а ничего лучше и не придумаешь на самом деле
так и надо делать, трафик отключенных клиентов насильно заворачивать на "заглушку".
мы сами так делаем и все работает.

насколько я понял из твоих постов, то трафик клиентам микротик на "заглушку" успешно заворачивает и он до заглушки долетает.
что ты используешь в кач-ве "заглушки" ? И как это что-то настроено ?

в качестве заглушки nginx, с отключением в заголовке кэша. сама страница нормально отдаётся, если к ней на прямую обращаться.
просто смотрел обмен пакетами "я <-> сервер с заглушкой", почему то в изначальном варианте (зеленые стрелки на диаграмме), получалось следующее (Я) SYN - (C) SYN,ACK - (Я) RST и так по кругу. в этом случае IP адрес сервера с заглушкой был реальным, развернул на другой сервер, всё получилось так как надо(красным цевтом). правда в этом случае, как написано выше, прилетают пакеты с nat'ом, т.е. микротик подставляет адрес того куда я хотел попасть.

в любом случае, было две задачи: 1-уйти от прокси, так как не хотелось лишних нагрузок на шлюзы. 2-не делать окно на dlink для всего http трафика в обе стороны.
первую задачу, приоритетную, выполнил, вторую побочную нет.

root писал(а):второй вариант это отключенным выдавать IP-адрес и определенной подсети с минимальным временем лизы и def gw на "заглушку"
или + к этому ещё и переводить таких абонов в отдельный влан, где опять же выдавать IPшник из пула (основываясь на номере влана, который прилетает по option 82)

да, это был еще один вариант, НО, решил не издеваться на своей тех. поддержкой, в былые времена vpn, было примерно так же, только там сессия рвалась через 10 минут.

simpl3x писал(а):в качестве заглушки nginx

и тут наш выбор совпал, мы тоже юзаем nginx для отображения страницы

simpl3x писал(а):равда в этом случае, как написано выше, прилетают пакеты с nat'ом, т.е. микротик подставляет адрес

ну это зависит от настроек микротика, с ним я тебе не подскажу, не ковырял никогда
в моем варианте, я пакеты отключенных клиентов со шлюза (сервер FreeBSD) перенаправлял мимо ната (если серый ип) напрямую на заглушку, где их правилом насильно заворачивал в nginx

simpl3x писал(а):1-уйти от прокси, так как не хотелось лишних нагрузок на шлюзы

и это правильное решение, молодец

simpl3x писал(а):2-не делать окно на dlink для всего http трафика в обе стороны.

это, честно, не осознал

root писал(а):ну это зависит от настроек микротика, с ним я тебе не подскажу, не ковырял никогда
в моем варианте, я пакеты отключенных клиентов со шлюза (сервер FreeBSD) перенаправлял мимо ната (если серый ип) напрямую на заглушку, где их правилом насильно заворачивал в nginx

вот к сожалению мтик не умеет делать редирект в том виде как это делает freebsd. он только на себя может сделать редирект. а все остальное это dst-nat.

root писал(а):это, честно, не осознал

я тоже, но очень хотелось =)

в итоге испытания на практике показывает падение нагрузки на ТП раза в 3

simpl3x писал(а):в итоге испытания на практике показывает падение нагрузки на ТП раза в 3

ну это понятно, в виду того что клиент теперь на свой же вопрос "А почему не работает?" сразу видит на него ответ "А вы платить не пробовали?"