« Rev
@mikrotikclub   151
Fwd »


Evgenii
Все внутри одного фильтра складывается как ИЛИ. Разные фильтры складываются как И
Dmitrich
Народ помогите решить задачу. В CCR есть два транковых порта. То есть на обоих должен быть тегированный трафик. Что сделал - пара влан интерфейсов каждый заведен на свой физический. Далее объединены в бридж. В результате торч на одном порте кажет трафик с тегами на другом vid пустые. То есть трафик растегирован. Что я делаю не так?
Dmitrich
Сек доберусь туда
Dmitrich
/interface vlan add interface=fiber-trunk name=Vlan3-LocalFiber vlan-id=3 /interface bridge port add bridge=BR_NET_SRV interface=Vlan3-LocalFiber add bridge=BR_NET_SRV interface=Vlan3-10G
Dmitrich
лишние вланы поубирал на примере одной
Dmitrich
fiber-trunk воткнут 2мя медными пачкордами в оптический свич. Vlan3-10G - 10гбитный оптический кабель воткнут в свич
Dmitrich
то есть микротик транзит. но я потом его хочу заставить роутить вланы
Maxim
fiber-trunk - это интерфейс Bonding?
Dmitrich
да
Maxim
он нормально работает?
Maxim
Vlan3-10G - его настроки тоже хочется посмотреть
Dmitrich
да. на нем хорошо видны vid всех вланов
Дмитрий
По поводу шифрования, IPSec, tls (оно же OpenVPN и ssl и ssh ибо основа технологии одна и та же - это асинхронные пара ключей, за исключением мелочей) - взломать невозможно даже спецслужбам, по крайней мере на сегодня и известных методов нет кроме разве что десятилетнего перебора на супер компе, гораздо проще фсбшникам сломать другие сервисы что бы получить данные - хотя бы потому что : Так бы они не давили на тот же контакт / телеграмм, не меняли бы Ключи шифрования в Вотсапе и вибере
Dmitrich
add interface=sfp-10G name=Vlan3-10G vlan-id=3
Dmitrich
такое ощущение что с бонд интерфейса приходит тегированный трафик попадает в бридж где растегируется и направляется в 10гбит. непонятно почему растегируется
Maxim
У меня есть похожая схема но только с медью - проблем нет
Maxim
Адрес на бридже висит?
Dmitrich
адреса нет вообще
Evgenii
но это не точно)
Maxim
в бридже нетегированный трафик ходит\
Dmitrich
а как же мне тогда сделать 2 транковых порта с тегированным трафиком
Evgenii
в бридже нетегированный. и при этом вы соединяете 2 L2 домена через этот бридж
Evgenii
то есть в vlan вообще нет смысла тогда
Evgenii
там могут быть петли еще при неаккуратном использовании
Dmitrich
за петлями слежу )
Evgenii
нужна маршрутизация, а не объединение в 1 L2 домен)
Evgenii
если вы хотите маршрутизимровать трафик между vlan
Dmitrich
ну да. он и будет маршрутизироваться. только вланов у меня 12. у роутера нет столько портов
Dmitrich
физических
Evgenii
физически и не нужно
Dmitrich
ну вот этот трафик и приходит по bond
Evgenii
объединять в бридж нужно только вланы с одним тегом
Dmitrich
и частично уходит по оптике
Evgenii
тогда вы сможете использовать порты как транковые
Evgenii
понятно?
Dmitrich
так они и объединены в 12 бриджей
Dmitrich
я просто 1 привел для наглядности
Maxim
так они и объединены в 12 бриджей
12 бриджей для vlan c разными тегами?
Dmitrich
один бридж состоит из двух портов с одним тегом.
Dmitrich
например vid=3 и два порта которые физически уходят в коммутаторы
Evgenii
один бридж состоит из двух портов с одним тегом.
ну вроде правильно.. значит я не уловил суть проблемы, щас буду перечитывать)
Maxim
например vid=3 и два порта которые физически уходят в коммутаторы
ок. И что в такой простой схеме не работает?
Evgenii
да кстати микротики имеют поддержку аппаратных vlan.... я правда не подскажу как делать, но должно быть быстрее
Dmitrich
сейчас попробую ip бриджам дать им дать хотя не думаю что особо поможет
Dmitrich
у меня в ccr нет свич чипа вообще
Dmitrich
там бриджи 30гбит работают
Evgenii
у меня в ccr нет свич чипа вообще
аа.. ну ему он не нужен))) он и так осилит!
Maxim
Вот такая схема вполне работает.
Maxim
/interface vlan add arp=enabled arp-timeout=auto disabled=no interface=ether3 mtu=1500 name=vlan2_3 use-service-tag=no vlan-id=2 add arp=enabled arp-timeout=auto disabled=no interface=ether4 mtu=1500 name=vlan2_4 use-service-tag=no vlan-id=2 add arp=enabled arp-timeout=auto disabled=no interface=ether8 mtu=1500 name=vlan2_8 use-service-tag=no vlan-id=2 /interface bridge port add bridge=bridge-vlan2-service interface=vlan2_3 add bridge=bridge-vlan2-service interface=vlan2_4 add bridge=bridge-vlan2-service interface=vlan2_8
Dmitrich
да у меня тоже заработало. правда так и не понял что было но теперь теги видны на обоих интерфейсах. сефчас почему то свитч микротовский не хочет растегировать трафик )) но это другая история уже )
Maxim
Отлично. Со свитчами иметь дело не приходилось так что не знаю
Dmitrich
спасибо за помощь
Maxim
да не за что
Алексей
у меня в ccr нет свич чипа вообще
нет свича нет аппаратных виланов
Владимир
при его мощщщще он может программно всё это заделать
Vladislav
Все внутри одного фильтра складывается как ИЛИ. Разные фильтры складываются как И
Подскажите пожалуйста, почему тогда одинаковое количество пакетов/байт у этих правил /ip firewall mangle add action=mark-connection chain=prerouting comment=pre_test new-connection-mark=from_135 passthrough=yes src-address=10.61.135.0/24 add action=passthrough chain=prerouting comment=test connection-mark=from_135 dst-address=10.57.253.30 add action=route chain=prerouting comment="IP-telephony" dst-address=10.57.253.30 passthrough=yes route-dst=10.61.135.1 src-address=10.61.135.0/24 Ведь правило IP-telephony выбирает если dst-address=10.57.253.30 или src-address=10.61.135.0/24 , т.е. под правила пододут еще пакеты которые пошли не на 10.57.253.30, но с 10.61.135.0/24
EИ0Ʇ
Ребят, а можно ведь вроде микротику на аплинк посадить другую вафлю и ещё на нём апшку поднять? Вроде когда-то делал, а сейчас тыкаюсь как слепой котёнок, забыл походу.
Maxim
Первое правило маркирует всё, что идёт из сети 10.61.135.0/24, второе смотрит на то что промаркировано первым и идёт на 10.57.253.30
Maxim
а третье правило меняет route-dst у пакетов из сети 10.61.135.0/24 к хосту 10.57.253.30
Maxim
Отсюда вывод. Через эти три правила ходят только пакеты из вышеобозначенной сети к вышеобозначенному хосту
Vladislav
Грубо говоря, если во втором правиле сделать действие такое же как и в третьем, то третье заменит первые два? Я это к тому, что если это так, то условия в фильтрах складываются логическим "И" .
Maxim
Вопрос странный. Что вы в итоге хотите сделать?
Evgenii
В фаерволе - напротив правила не passthrough
Vladislav
Вопрос странный. Что вы в итоге хотите сделать?
Хочу понять как работают правила в таблице.
Vladislav
Ответ прост: passthrough=yes Это означает не выбрасывать пакеты из обработки дальнейшими правилами
Это понятно. Первые 2 правила созданы для того чтобы сравнить выборки с различными правилами.
Vladislav
Если бы в фильтрах различные условия складывались логическим "ИЛИ", то должна быть разница в пакетах между вторым и третьим правилом, а её нет.
Vladislav
Или я чего-то не понимаю?
Vladislav
так
а "ИЛИ" исключающее или включающее?
Evgenii
а "ИЛИ" исключающее или включающее?
👍 мне даже в голову не пришло что там может быть XOR )
Evgenii
обычное логическое OR )
« Rev
@mikrotikclub   151
Fwd »