Владимир

модем в бридж.. на микроте забит адрес... работало очень долго

Сергей

У меня будет через SFP, надеюсь заведётся...

Сергей

С февраля, оптику у Билайна пытались добиться.

Алексей

ildar

Кстати, кто хочет eve-ng, нашпигованную образами по самое не балуйся, устанавливайте себе прогу resilio sync

Можно еще раз ключ ?)

ildar

Все разобрался )

Дмитрий

Всем привет. mikrotik по dhcp не получает адрес, а пк с xp получает. было замечено что адрес сервера dhcp в другой подсети. как лечить? )

У dhcp выдача по маку мб?

Dmitriy

нет. точно не то. прроблема в том что адрес dhcp в другой подсети от адреса который выдается.

Konstantin

привет всем. подскажите можно ли натсроить переслыку dns запросов к другому dns в другой подсети. две сети 10.2.1.0 и 10.1.1.0 мжеду ними vpn.

Konstantin

пинги ходят по ip

Алексей

видимо заворачивать 53 порт из одной сети в другую

Maxim

привет всем. подскажите можно ли натсроить переслыку dns запросов к другому dns в другой подсети. две сети 10.2.1.0 и 10.1.1.0 мжеду ними vpn.

а нельзя просто клиентам одной сети, отдать днс сервер другой сети?

Maxim

ну или просто пусть клиенты обращаются к роутеру, а роутер обращиется к днс серверу другой сети

Konstantin

ну по dhcp я поставил чтоб получали два dns двух сетей

Konstantin

получают

Konstantin

но ведать не обращаются

Konstantin

или кто режет

Konstantin

всмысле отбрасывает пакеты

Oleg

Есть где-то как настраивается в NAT это дело

Oleg

там легко

Oleg

Можно поискать по DNS и AD

Oleg

сейчас гляну

Oleg

add action=dst-nat chain=dstnat connection-mark=dom.aaa.ru-fwd to-addresses=192.168.10.1

Konstantin

в одной сети у меня windows dns, во тврой мироктик

Oleg

соотв в мангле: add action=mark-connection chain=prerouting dst-address=192.168.12.1 dst-port=53 layer7-protocol=dom.aaa.ru new-connection-mark=dom.aaa.ru-fwd passthrough=yes protocol=\ udp

Konstantin

layer7-protoco

Konstantin

это уровень лицензии ?

Oleg

/ip firewall layer7-protocol add name=dom.aaa.ru regexp=dom.aaa.ru

kyysu

Господа, прошу подтвердить, 6.39.1 capsman + hap ac lite вводим в контроллер, на пятерке при активации cap запускается радар детектор на 60 сек., на двойке нет. Skip dfs не даёт результата. Вводим в контроллер wap ac -всё штатно, на пятёрке радар не запускается. Как управлять радар детектор не понятно.

Konstantin

/ip firewall layer7-protocol add name=dom.aaa.ru regexp=dom.aaa.ru

это важон какау лицензия у микротика ?

Oleg

да 4-й уровень стоит

Oleg

нет

Konstantin

ок

kyysu

Господа, прошу подтвердить, 6.39.1 capsman + hap ac lite вводим в контроллер, на пятерке при активации cap запускается радар детектор на 60 сек., на двойке нет. Skip dfs не даёт результата. Вводим в контроллер wap ac -всё штатно, на пятёрке радар не запускается. Как управлять радар детектор не понятно.

Конфигурация точек аналогичная.

Maxim

Господа, прошу подтвердить, 6.39.1 capsman + hap ac lite вводим в контроллер, на пятерке при активации cap запускается радар детектор на 60 сек., на двойке нет. Skip dfs не даёт результата. Вводим в контроллер wap ac -всё штатно, на пятёрке радар не запускается. Как управлять радар детектор не понятно.

если я не ошибаюсь то радар не отключается совсем

kyysu

Так почему он не отрабатывает на wap ac?

Maxim

Так почему он не отрабатывает на wap ac?

а без контроллера он отрабатывает?

kyysu

до 6.39 на capsman такого не наблюдал

kyysu

Так я прошу подтвердить, у кого есть возможность, именно на контроллере ...

Moneron 🇷🇺

Кто там говорил, что dhcp проверяет адреса при выдаче? Цитирую rfc: DHCP must: o Guarantee that any specific network address will not be in use by more than one DHCP client at a time, Т.е, протокол гарантирует, что адрес, который уже кому-то ´выдан´, не будет ´выдан´ кому-то ещё. Нет ни слова о том, что детектятся статические адреса.

Aleksandr

А вот такой пример

Kirill

Кто там говорил, что dhcp проверяет адреса при выдаче? Цитирую rfc: DHCP must: o Guarantee that any specific network address will not be in use by more than one DHCP client at a time, Т.е, протокол гарантирует, что адрес, который уже кому-то ´выдан´, не будет ´выдан´ кому-то ещё. Нет ни слова о том, что детектятся статические адреса.

Сам сервер конечно нет, так как он вообще может находится за пределами брудкаст домена, но клиент может, и данная процедура описанна в rfc 2131

Kirill

If the client detects that the IP address in the DHCPACK message is already in use, the client MUST send a DHCPDECLINE message to the server and restarts the configuration process by requesting a new network address. This action corresponds to the client moving to the INIT state in the DHCP state diagram, which is described in section 4.4.

Kirill

сообщение DHCPDECLINE

Kirill

Кто там говорил, что dhcp проверяет адреса при выдаче? Цитирую rfc: DHCP must: o Guarantee that any specific network address will not be in use by more than one DHCP client at a time, Т.е, протокол гарантирует, что адрес, который уже кому-то ´выдан´, не будет ´выдан´ кому-то ещё. Нет ни слова о том, что детектятся статические адреса.

можно описать так, клиент-серверное взоимодействие DHCP подрузомивает проверку занятости ip адреса

Maxim

Парни, быстрый вопрос. Есть правило разрешающее icmp в цепочке инпут, и ниже есть правило дропающее всё в input. Трассировака почему то до этого хоста не доходит, пока не выключишь дропающее всё правило. Вопрос: трассировка не по ICMP идёт?

Alexey

А может проблема в разрешающем правиле?

Oleg

udp от не МС и icmp от МС

Maxim

Вот правила друг за другом идут

Maxim

add action=accept chain=input comment="Allow ICMP" protocol=icmp add action=drop chain=input comment="defconf: drop all from WAN" in-interface-list=WANs log-prefix="Drop all in INPUT"

Maxim

трасса по UDP проходит, трасса по ICMP не проходит

Maxim

блин, неведомая хрень

Maxim

с ключами -U / -I / -T идёт, а без ключей не хочет :(

Kirill

Парни, быстрый вопрос. Есть правило разрешающее icmp в цепочке инпут, и ниже есть правило дропающее всё в input. Трассировака почему то до этого хоста не доходит, пока не выключишь дропающее всё правило. Вопрос: трассировка не по ICMP идёт?

а правило на интерфейсы смотрит?

Maxim

в разрешающем нет интерфейсов, в запрещающем все WAN

Kirill

я про icmp правила

Kirill

форвард у вас разрешён?

Maxim

я про icmp правила

там порты не указаны

Kirill

портов у icmp апротокола нет

Maxim

форвард у вас разрешён?

зачем форвард, если пакет предназначен маршрутизатора

Maxim

портов у icmp апротокола нет

знаю, имел ввиду интерфейсы

Kirill

трасировка, только один хоп будет input, остальные ajhdfhl

Kirill

форвард

Maxim

Поясню ещё раз. Мой МТ стоит в России, я делаю трассу к нему из Германии. Трасса рвсётся на последнем хопе. Т.е. мой МТ не отвечает на последний запрос.

Maxim

При чём тут форвард если это последний хоп в трассе?

Kirill

теперь понял, я думал вы из за или через микротик делаете трасировку

Oleg

А если все правила убрать?

Kirill

цепочку output не трогали?

Maxim

если убрать запрещпющее WAN - работает

Maxim

цепочку output не трогали?

только в mangle

Maxim

в фильтрах только input и forward

Kirill

если убрать запрещпющее WAN - работает

показывайте правила в abkmnht

Kirill

фильтре

Maxim

Как было сказано выше, работа утилиты traceroute основана на получении сообщения о недостижимости или доступности порта назначения. То есть мы отправляем udp фрагмент с порта 45000 ( к примеру) на порт 33434 (именно этот порт используется по умолчанию).

Maxim

https://habrahabr.ru/post/281272/

Kirill

не вижу input established и related

Maxim

По идее нужно разрешить доступ по портам 3343 и выше чтобы traccert работал

Maxim

не вижу input established и related

могу добавить, но суть похоже не в этом.

Maxim

По идее нужно разрешить доступ по портам 3343 и выше чтобы traccert работал

всё верно, трасса не шла из-за этой особенности