Vladislav
Конфиг сейчас на железке крутится, /ip firewall - пустой.
Не получается добавить еще одну сеть в роутер.
Moneron 🇷🇺
Владимир
Владимир
Проблема не решена?
Vladislav
Так это было же уже
Не совсем. Поменялись начальные условия. Теперь в роли шлюзов выступает МТ, но подсеть поменялась на /25
Vladislav
Проблема не решена?
Все устройства были перенесены в подсеть .128/25 - так что теперь можно МТ делать в качастве шлюза
Владимир
Если никто не подскажет до завтра, стукнитесь в личку. Запилим... Сейчас не могу физически
Vladislav
Если никто не подскажет до завтра, стукнитесь в личку. Запилим... Сейчас не могу физически
Хорошо, а то мне опыта не хвататет вторую подсеть добавить в текщий конфиг.
Evgenii
Если никто не подскажет до завтра, стукнитесь в личку. Запилим... Сейчас не могу физически
Поделитесь результатом потом в общий чат, если не сложно
Владимир
Ок
Дмитрий
Товарищи, подскажите кто не занят, как из представленного конфига сделать, то что на диаграмме?
Что там сложного ? Пишите маршруты!
Дмитрий
https://wiki.mikrotik.com/wiki/Manual:Simple_Static_Routing
Vladislav
Что там сложного ? Пишите маршруты!
Может быть тем, что подсети в которых крутятся клиенты являются подсетями каналов в корп связь. И доступа к настройкам шлюзов 10.61.135.1 и 10.61.4.1 нет.
Дмитрий
Может быть тем, что подсети в которых крутятся клиенты являются подсетями каналов в корп связь. И доступа к настройкам шлюзов 10.61.135.1 и 10.61.4.1 нет.
Не разберу что собственно хотите :) ну даже если 10 подсетей частных корпоративных или домашних ;) какая разница
Vladislav
Не разберу что собственно хотите :) ну даже если 10 подсетей частных корпоративных или домашних ;) какая разница
А может просто отсутствует пообный опыт :(
Дмитрий
Есть правила роутинга если не хотите что бы из одной подсети в другую шарились
Vladislav
Наоборот хочу. Но не получается )
Moneron 🇷🇺
Vladislav
Чтобы сделать МТ шлюзом в своей подсети ( /25 )
Vladislav
Вот что получилось. Соответственно связь между подсетями 4.128/25 и 135.128/25 имеется, т.к. маршруты прописались автоматически. Из сети 135.128/25 имеется доступ к "интернету" через антенну 135.1/24
Vladislav
Но из сети 4.128/25 не получается выйти во внешнюю сеть.
Vladislav
Потому что дефолтный маршрут /ip route
add distance=1 gateway=10.61.135.1
Vladislav
а как сделать чтобы он распространялся только на адреса из подсети 4.128/25 я не знаю. Наверное как-то с помощью /ip route rule - но нет опыта и понимания, что это и с чем это едят
Moneron 🇷🇺
а как сделать чтобы он распространялся только на адреса из подсети 4.128/25 я не знаю. Наверное как-то с помощью /ip route rule - но нет опыта и понимания, что это и с чем это едят
https://mum.mikrotik.com/presentations/RU16/presentation_3930_1475561146.pdf
Moneron 🇷🇺
J8nny
👍
FoxPDLL
Вы представляете эксплуатацию л3впн на основе дссп?
FoxPDLL
Как пруф оф концепт да. Но рассказывать такое неокрепшим умам со сцены?
Moneron 🇷🇺
Я про вторую часть л3впн. Не я тоже люблю анальный секс но чтобы настолько?
Показано, как МОЖНО использовать К-К-К-Комбо. Будете вы так реализовывать или нет — дело исключительно Ваше.
FoxPDLL
К тому же вы читали куда интересней.
J8nny
+1
Vladislav
Почему на антеннах и роутере разные маски?
Чтобы сделать МТ шлюзом в своей подсети ( /25 )
А можно/нужно было сделать как-то по-другому/проще/технологичнее? Если учитывать, что доступа к настройкам антенн нет, адресация должна быть в пределах .135.1/24 и .4.1/24 .
Без NAT-a. И доступ из внешней сети(из-за антенн) тоже должен быть.
Moneron 🇷🇺
Чтобы сделать МТ шлюзом в своей подсети ( /25 )
А можно/нужно было сделать как-то по-другому/проще/технологичнее? Если учитывать, что доступа к настройкам антенн нет, адресация должна быть в пределах .135.1/24 и .4.1/24 .
Без NAT-a. И доступ из внешней сети(из-за антенн) тоже должен быть.
Оставляйте /24 на 1 и 4 интерфейсах, на внутренних /25.
Moneron 🇷🇺
На 1 и 4 включайте proxy-arp
Vladislav
На 1 и 4 включайте proxy-arp
proxy-arp уже включено. без него вроде бы не рабоатет, сейчас уже проверять не буду ))
маску в 24 поставил
Алексей
парни, а рртр-туннели реально ацки не секурные?
Artur
Да кажется
Oleg
Народ пользует на свой страх и риск
Алексей
а по стоимости нагрузки на какой лучше переходить?
Maxim
оно как бы может быть сломано или атаковано по уже написанным инструкциям
Maxim
а по стоимости нагрузки на какой лучше переходить?
gre/ipip если это site-to-site и поверх шифровать IPsec - а там уже что железка потянет тем и шифровать
Maxim
l2tp дружит с IPSec
Владимир
Но ИМХО если кто-то захочет тебя сломать.... Сломает.... Человеческий фактор... В конце концов терморектальный криптоанализ...
Maxim
Алексей
оно понятно, просто уж хотя бы от школоты какой-то блок то нужно сделать...
Алексей
ломают на предмет перехвата трафика в итоге?
Artur
Ну а других причин взлома шифрованного тонеля то и нет по моему :)
Владимир
Школота и пптп не сломает.... Хотя у меня пптп почти сломали... Начался простук правильным логином, но пароль так и не вскрыли
Алексей
хотелось бы также чтобы туннели были не на базе проприетарщины... чтобы со всяких зухелей можно было цепануться тоже
Artur
l2tp + ipsec тогда мне кажется
Artur
смогут многие железки цеплятся
Алексей
где эту связку муслякали?...
Artur
Сам не использовал, но если вы хотите чтобы могли цеплятся разные железки, плюс хотите шифрование, то это будет самым оптимальным решением
Алексей
https://howitmake.ru/blog/waildhand/177.html
Artur
У нас на пару объектов ip-ip светит
Алексей
интересно, путная статья?
Artur
По моему норм статья
Владимир
А чего ты боишься? Какие последствия вскрытия туннелей могут быть?
Artur
Черная бухгалтерия видать :D
Владимир
Боятся нужно не только внешних угроз, но и внутренних..... Нельзя зацикливаться
Artur
вот вот ))
Алексей
нет не боюсь я ничего :)
Алексей
так уж чота заморочился сам вопросом, попробовать захотелось :)
Алексей
для личного так скать развития, в свое время не заморачивался просто поднял pptp и все хорошо вроде :)
Алексей
у меня вот такой момент вчера возник, кстати хотел спросить тех у кого 2011-е в руках бывали, почему то на первом порту не поднимается ппое соединение...в свич-группу порт не включен.
Владимир
У меня есть десятки примеров совершенно незащищенных систем... Работают годами и никто ничего... Я в результате аудита даже нарывался на открытый сервер лицензирования 1с
Владимир
у меня вот такой момент вчера возник, кстати хотел спросить тех у кого 2011-е в руках бывали, почему то на первом порту не поднимается ппое соединение...в свич-группу порт не включен.
Небыло такого ниразу... 2011 RM один из любимых тиков моего товарища... Работают везде как часики
Maxim
У меня есть десятки примеров совершенно незащищенных систем... Работают годами и никто ничего... Я в результате аудита даже нарывался на открытый сервер лицензирования 1с
такие примеры сплошь и рядом, по типу никого не беспокоит и ладно. А потом находится умелец и ломает всё по списку
Алексей
Небыло такого ниразу... 2011 RM один из любимых тиков моего товарища... Работают везде как часики
у меня тоже они вкезде стоят, все хорошо, но я почему то везде 10 порт в качестве ван использовал про пое не думал, теперь решил как положено повесить ван на первый порт, ван поднимается посредством ппое-клиента, в чем прикол не понимаю, вешаю на любой порт за 100-мегабитным свитч-чипом, сразу поднимается...
Vladislav
Интересно, а в таблице ip firewall magle условия записанные в одном правиле складываются через "и" или всё-таки "или".
Судя по моим тестам складываются через "и".
Может кто подтвердить/опровергнуть?
Владимир
ИМХО во всех правилах идёт И
Evgenii
Интересно, а в таблице ip firewall magle условия записанные в одном правиле складываются через "и" или всё-таки "или".
Судя по моим тестам складываются через "и".
Может кто подтвердить/опровергнуть?
Складываются не правила, а фильтры внутри одного правила. Первые 3 вкладки - это фильтры. Вкладка action - это действие, которое нужно применить к отфильтрованным пакетам.