Ну или как предложил коллега, сделать дополнительные маркировки для исходящих пакетов (не связанных с уже созданными каналами) :)

Не будет работать

Не будет работать

Почему нет? Output + Prerouting метить маршрутом в нужный ISP. Разместить в конце цепочки правил.

Почему нет? Output + Prerouting метить маршрутом в нужный ISP. Разместить в конце цепочки правил.

объяснить почему?

объяснить почему?

Еще бы! Я ж не усну пока не узнаю) (без шуток, мне интересно!)

итак есть два дефотлный маршрута

с маркировкой

так?

так. оба с маркой

смотрим

работает?

хм.. интересно почему так. Сейчас пойду делать эксперименты. А что с Prerouting цепочкой?

проходящие сквозь маршрутизатор пакеты так же не выйдут из него?

выйдут

))

вот такая анамалия )))

объяснить?

да

Вот.. я помню для Prerouting делал таким образом! С удовольствием послушаю!

значит всё дело в цепочки output

если взгялунуть на pacjet flow diagram

ща кину

когда генерируется output трафик, сначало происходит решение о маршрутизации

в таблице main

а потом коннекшн трекинг?

да

т.е даже самый простой, самый тупой но должен быть

хм... занятно) Спасибо!!! очень круто!

я создал "нереальный" маршрут через бридж, который реально нужен только для того чтобы пройти первый шаг в цепочке output

а бридж при этом пустой?)

,tphfpybws

безразницы

реально такая конструкция работать небудет

ясно. Спасибо еще раз!

Без практики такие диаграммы в голове не удержишь

Без практики такие диаграммы в голове не удержишь

👍

Забыл спросить про NAT. Маскарад в таком виде правильный или нужно указывать out.inter

/ip firewall nat add action=masquerade chain=srcnat src-address=192.168.0.0/24 add action=masquerade chain=srcnat src-address=10.10.10.0/24

Забыл спросить про NAT. Маскарад в таком виде правильный или нужно указывать out.inter

Оба способа возможны

первые 3 вкладки - это фильтр, который отбирает пакеты из общей массы и делает с ним Action

Естественно вычленить можно разными способами

Спасибо!

по моему стандартный конфиг микротика использует Out интерфейс и это выглядит более логично

таким образом маскарад не будет использоваться между связанными туннелем локальными сетями (например)

Есть ограничение по количеству используемых маскарадов?

К примеру 3 провайдера и на каждом маскарад. Или как то иначе нужно строить?

Есть ограничение по количеству используемых маскарадов?

нет

К примеру 3 провайдера и на каждом маскарад. Или как то иначе нужно строить?

Раньше так и делали. Сейчас можно создать интерфейс лист и добавить туда несколько интерфейсов. На тренинге должны были рассказывать

Дай здоровья, инженерам mikrotik!😂

Про срц нат

Запомните, как отче наш, если интерфейс смотрит в провайдера

Всегда, всегда, всегда без исключений указывайте out-interface

И на весь траыик

Без всякий сетей и тпд

Это очень редкая конструкция когда провайдер отдаёт и интернет и L3 канал в один интерфейс и без vlan

Во всей остальных случаях весь трафик под src нат

Благодарим!

👍

Можно еще, из серии глупых вопросов?

Как в микротике vlan делается транком?

Поумолчанию все порты как транки

Спасибо!

Все интересное когда спишь, такие вещи без практики точно не переварить сходу, надо попробовать сначала.

подскажите, написал скрипт который в telegram сообщения шлет, можно его как то вызывать из других скриптов ? про https://wiki.mikrotik.com/wiki/Manual:Scripting#Functions читал - не выходит каменный цветок

Систем скрипт °имя скрипта°

а как ему параметр передать ?

Я когда из дуда мучал телегу, получилось передать из дуда в тик переменную, а тиком уже отслеживать состояние переменной через шедулер

а как ему параметр передать ?

Через глобальную переменную только

я хочу в скрипте подключения/отключения l2tp информацию об этом в telegram передавать, но на каждого пользователя писать длинный скрипт не хочу, думал как то сократить

прочитал wiki 🙊Оказывается в скрипт up / down передаются переменные

:local message "$[/system identity get name]: User $userr connect to VPN from $[/ppp active get [/ppp active find where name=$user caller-id=$"caller-id" address=$"remote-address"] service] at $[/system clock get time]. IP address is $"caller-id""

подскажите, написал скрипт который в telegram сообщения шлет, можно его как то вызывать из других скриптов ? про https://wiki.mikrotik.com/wiki/Manual:Scripting#Functions читал - не выходит каменный цветок

Считаю, что fetch лучше вставлять в тело скрипта, а не вызывать отдельным процессом. Просто ссылочку с токенами сохраните себе где-нибудь и вставляйте по необходимости

#script { :local token номер_токена; :local chatID -номер_чата; :local message "$[/system identity get name]: User $userr connect to VPN from $[/ppp active get [/ppp active find where name=$user caller-id=$"caller-id" address=$"remote-address"] service] at $[/system clock get time]. IP address is $"caller-id"" /tool fetch url="https://api.telegram.org/bot$token/sendMessage?chat_id=$chatID&text=$message" keep-result=no }

как-то универсально для разных случаев

Да, возьму на заметку

доброе утро всем, вчера настроил защиту от брутфорса с помощью адресслистов, но иногда вижу в логах попытки подключиться с одного ip, штук 7 подряд, а его ip не попадает в blacklist, он попадает только в первый лист

он за 1 соединение успевает несколько раз пароль попытаться подобрать?