Если сеть, куда нужен доступ, находится в диапазоне 172.16/12, и клиенты – только винда, то можно обойти это ограничение.

Сеть, куда нужен доступ - это куда пользователям попадать надо... Нет, не в диапазоне.

Слушать не чего. Размышления: либо бу catalyst, либо Mikrotik.

/есть дёшево hp j4904a я бы их взял

Не пробовал. А вот CSS326 не впечатляют.

Управление через веб неудобное. Зато дёшево и сердито.

А црс326 уже управляется любым привычным способом через привычный винбокс/ссх

А почему с proxy-arp косяк? Его даже на вики предлагают включать для такой ситуации, как у меня https://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

Управление через веб неудобное. Зато дёшево и сердито.

Устанешь на них мышкой кликать. При последнем обновлении статика слетела на dhcp :(

Там как раз такая ситуация, как у меня, описана.

@ivlex , проксиарп – в любом случае, костыль. Если изначально корректно спланировать адресацию – то можно без костылей обойтись

Там как раз такая ситуация, как у меня, описана.

Можно ещё не глобально включать прокси-арп, а накидать в арп-таблицу записей с адресами клиентов и сделать их published

/

/

Спасибо всем отозвавшимся. Пока, похоже, придется вернуть pptp соединения на хост внутри локалки, а потом буду думать, что с этим делать.

у кого есть хап ац квадрарат?

у кого есть хап ац квадрарат?

у меня

или вопрос где купить?

у меня

а нет возможности с какого нибудь наса или компа на другой комп желательно по самбе скопировать файл, что бы он лился в гигабит, и при этом проверить не начнутся ли потери до ип самого микротика

то есть между двумя портами трафик в гигабит создать внутри свитча ацквадрата

и проверить нет ли потерь до самого микротика

прямо сейчас пока нет возможности. ближе к выходным скорее. пока чутка не до таких тестов.

у меня чутка другой профиль нагрузки на девайс

нагрузка обычная домашная

скопировать файл с наса на комп Ж)

скопировать файл с наса на комп Ж)

я понял. у меня сейчас нет наса в доступе. чуть позже попытаюсь организовать .

просто какая то ерунда которую я объяснить не могу

м?

потери пакетов до микротика (и до интернета) от компа на который лью файл с наса по гигабиту, при этом с этого компа нет потерь до других компов на других портах, и у других устройство и компов нет потерь до микротика до интернета

ошибок нет, потерь нет в этот самый момент через этот же микротик до других устройств

потери пакетов до микротика (и до интернета) от компа на который лью файл с наса по гигабиту, при этом с этого компа нет потерь до других компов на других портах, и у других устройство и компов нет потерь до микротика до интернета

качество кабельной системы?

патчкорд 0.5 метра

/stat

combot.org/chat/-1001062683398

потерь в момент теста нет до других устройств по этому же проводу через свитч микротика

объем трафика на другие компы - такой же как на нас? по скорости

нет

расшарить на одном из компов папку и лить туда/оттуда большие файлы?

нас -> свитч микротика -> мой комп = ровная передача 113 МБ/c , не скачет скорость мой комп -> свитч микротика -> проц микротика = отваливается винбокс, отваливается интернет, потери пакетов адские мой комп -> свитч микротика -> fxs шлюз = ровненький пинг, потерь нет ноутбук -> свитч микротика -> проц микротика или интернет = потерь нет, интернет работает отлично

и это всё в один момент времени

комп в интернете -> интернет -> ван порт в микротике = потерь нет Ж)

свитч микротика я про тот что внутри SoC процессора хап ац квадрат

вначале думал через процессор трафик побежал, но процессор не нагружен и другие устройства нормально работают потом подумал что порт забит, но до других устройств на свитче тоже всё норм я непонимаю

прошивка последняя? скорее даже тестовая. то есть я запустил спидтест под впн на том что пришло - 50 мегабит. на свежей прошивке - 80. на тестовой 85 под впн. который полностью упирается в проц.

пробовал и на тестовой 6.42.5 и на стабильной откатился до 6.41.3

6.42rc52 ?

да

странно.

проц не нагружен, другие пакеты от других устройств ходят норм, порт на свитче не нагружен, трафик не на проц так же идет без проблем, вообщем неведомая фигня

Микротик является клиентом впн, нужно что бы клиент видел локальную сеть сервера (все видит), а что бы сервер не видел локалку клиента, в файрволе делаю правило input ininterface pppt, action drop все равно сервер видит открытое порты клиента, что делаю не так?

это форвард

Если вместо input ставлю forvard то клиент перестает видеть сервер

ты все делаешь не так

жалко, что у микротик нет синей книги

я бы сказал читать ее

да, Серег ?

Я видимо не правильно гуглю, заблокировать сеть за впн микротик такой запрос ничего путного не дает

к сожалению гуголь не подскажет

да, Серег ?

Какой Серёг, и что за синяя книга?

Сереж, ну если ты не знаешь синей книги ... значит это не тебе

:)

Dm

у сети за впн есть адресация .. один из вариантов иожно dst адрес выставить этой сети и заблокировать

у сети за впн есть адресация .. один из вариантов иожно dst адрес выставить этой сети и заблокировать

Адресация может поменяться на сервере

Вот так если ставлю, клиент перестают видеть сервер

Хоть намекните как изолировать сервер от клиента полностью, но при этом что бы клиент ходил на сервер))

Хоть намекните как изолировать сервер от клиента полностью, но при этом что бы клиент ходил на сервер))

Шта?

Шта?

Есть впн сервер, есть впн клиент, клиент толжен видеть локалку сервера, а сервер не должен видеть локалку клиента

Sergey: А в штаб квартире Ютуба стрельба эвакуируют народ

Есть впн сервер, есть впн клиент, клиент толжен видеть локалку сервера, а сервер не должен видеть локалку клиента

ну не прописывать маршрут до локалки клиента. тогда сервер ее и не увидит

впн же идет с отдельной адресацией?

аа, понял. ты готовишься к завтрашнему соитию с неизвестным впн )

да, Серег ?

ДААААА!!!!!

так понимаю надо запретить форвард с адреса удаленной подсети к адресу локальной подсети

Какой Серёг, и что за синяя книга?

Серега это я ) А Книга с морской звездой на обложке )

думаю стоит попрбовать такой вариант http://prntscr.com/j0gb2t

в актион какой нить дроп/режект

правда непонятно как при этом заблоченные сайты будут открываться. будут ли

мужики как бридж связать с локальным интерфейсом ? создать бридж и туда добавить ethernet и на него навешивать IP а к примеру в профиле впн так же добавить тот же бридж и IP и тогда все это дело объединяется между собой ?

по дебильному описал просто что то запутался

в PPP Profile бридж для BCP: https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

вы хотите сбриджевать 2 лан сегмента ?