Maxim
Думаешь проблема в этом?
Владимир
Опыт показывает что дстнат не работает при марк коннектов
Владимир
На втором прове
Evgenii
нужно маркировать соединения (connection mark) по входящим пакетам без соединений. Затем по этим соединениям в цепочки prerouting маркировать еще раз в мангле (в действии нужно выбрать Router mark)
Maxim
нужно маркировать соединения (connection mark) по входящим пакетам без соединений. Затем по этим соединениям в цепочки prerouting маркировать еще раз в мангле (в действии нужно выбрать Router mark)
маркировать пакеты, маркировать соединения маркированных пакетов, маркировать маршруты маркированных соединений?
Evgenii
блин, щас лабу соберу
Evgenii
15 мин
Evgenii
блин..FrootVPN теперь не белые IP дает
Maxim
вот тут нашёл https://vasilevkirill.com/MikroTik/1/
Maxim
Для начала нам понадобится промаркировать соединение, которое попадает под NAT.
/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=ether1 new-connection-mark=Forward/ISP1
add action=mark-routing chain=prerouting connection-mark=Forward/ISP1 in-interface=!ether1 new-routing-mark=ISP1 passthrough=no
И для второго провайдера.
/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=ether2 new-connection-mark=Forward/ISP2
add action=mark-routing chain=prerouting connection-mark=Forward/ISP2 in-interface=!ether2 new-routing-mark=ISP2 passthrough=no
Maxim
и вроде заработало
Maxim
по идее логика ясна, все соединения маркированные меткой провайдера и не пришедшие с соединения провайдера должны пойти в таблицу маршрутизации этого провайдера
Evgenii
в первом правиле не обязательно каждый пакет обрабатывать
Evgenii
хотя хз отразится ли это на скорости
Maxim
так там не пакеты а соединения обрабатываются
Evgenii
обрабатываются пакеты. и помечаются соединения
Evgenii
посмотрите стандартный фаервол микротика
Maxim
про это правило речь? /ip firewall mangle
add action=mark-connection chain=prerouting in-interface=ether1 new-connection-mark=Forward/ISP1
Evgenii
щас пришлю вырезку оттуда
Evgenii
дропаются не все пакеты, а только те, что устанавливают соединение
Evgenii
может быть во время маркировки соединений ту же штуку можно делать
Maxim
Предлагаешь пропускать соединения, пакеты которых уже помечены?
Evgenii
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
Evgenii
соединения ты не пропускаешь
Evgenii
ты ловишь пакет, смотришь какому соединению этот пакет соответствует и помечаешь это соединение
Evgenii
и так каждый пакет
Evgenii
логично ловить только connection-state=new
Maxim
аа...
Evgenii
если я не прав пусть меня поправят, по крайней мере так работает встроенный фаервол.. Попробуй короче
Evgenii
фильтры обрабатывают только пакеты)
Evgenii
3 вкладки матчеров нужны что бы отсеять пакеты по какому то признаку (например принадлежность к соединениею) и выполнить действие (напримем добавить router mark)
Evgenii
короче обрабатываешь ты пакеты. Действия могут менять состояние пакета или связанных с пакетом соединений
Evgenii
лабу собирать уже не надо я так понимаю)
Maxim
лабу собирать уже не надо я так понимаю)
думаю нет. спасибо за конструктивный диалог) а то сам собой когда говорю - редко что-то получается)))
Владимир
ПЛОХО ГОВОРИШЬ ВИДИМО, ДА ВОВАН?
да вован.....
FoxPDLL
Moneron 🇷🇺
Ничего там хитрого нет
Moneron 🇷🇺
Как и любой глупый свитч, коммутирует на основании маков
Moneron 🇷🇺
Игноря метку влана
Moneron 🇷🇺
Не отрезая её и не добавляя
Evgenii
, да если в него добавить 2 влана он их смешает в 1 домен l2
Denis
Denis
CapLITE приехал. Пипец он маленький
Alexandr
При бюджете та, простите, линка получаем очень классный, а главное, управляемый wi-fi
Andrey
Сорри за оффтоп... есть мысли, при каких условиях целесообразно такое размещение точек доступа?
Andrey
Alexandr
Очень даже целесообразно, меньше клиентов на точку, меньше точки шумят друг другу, меньше преград между точкой и клиентских устройством
Alexandr
Это в кратце :-)
Andrey
Точки разнесены по частотам при этом?
Alexandr
В большинстве отелей санузлы выполнены на сторону холла, соответственно светить в кафельные стены не айс
Alexandr
Естественно разнесены
Andrey
Я про то, что их две рядом
Alexandr
Но, нельзя забывать, что в n два канала исполбзуются
Alexandr
Дык не рядом, через несколько стен
Andrey
См.фото
Andrey
Выше
Alexandr
Точки очень не плохо при таком расположении радиоизолированы
Alexandr
Дык на фото порнография
Alexandr
Чего на него смотреть
Andrey
Я про него :)
Alexandr
Ну да, чистейшее порно
Alexandr
Так делать низя
Andrey
Подумал мож я чего не понимаю
Alexandr
Если только днвайсы не 2,4 один и 5 другой
Andrey
ок, спасибо
Alexandr
А пионеры любят мощи дать
Alexandr
Многие не понимают, что мощность далеко не все решает
Alexandr
Юзал их, микрот лучше
Alexandr
И, главное, гибче и управляемые
Andrey
Спорный вопрос
Alexandr
Управление лучше
Andrey
Ну хз... у меня несколько убиков здание покрывают - забот не знаю
Andrey
С большими радиосетями на микротах дел не имел, капсман не юзал
Alexandr
Юнифи сделаны для того чтобы было красяво, а микрот технологичнее
Alexandr
У клиентов поднимал сети на 80+ точек
Alexandr
Все на микроте
Andrey
Я не сомневаюсь в микротиках :)
Alexandr
Кстати, ставили вместо юбиков ставили