Oleg
Надо корректно указывть доменные имена и адреса, плюс надо корневой в доверенные центры сертификации вносить. Тогда браузеры не ругаются
Sergey
Про сертификаты я говорил. Хотя может и ошибался
В вашем случае ругаться не будут только компьютеры, на которые вы вручную или с помощью политик домена внесли корневые сертификаты. А вот любые другие уже будут кричать и вопить.
Oleg
Это конечно да. Для подключения по SSTP тоже надо корневой прописывать. Но это даже как дополнительная мера безопасности.
Oleg
SSTP поднимается на счёт раз.
Sergey
MAP Lite меня удивила...она протащила MPLS + L3VPN с BGP
Moneron 🇷🇺
MAP Lite меня удивила...она протащила MPLS + L3VPN с BGP
Да Вы, батенька, знаете толк в извращениях! 😄
AlexanderAks
Всем привет. Возник вопрос )) Я в данный момент меняю роутер зухель на микротик хам лайт. Запросил у провайдера все требуемые настройки, настроил на ван интерфейс, настроил локалку, устройства подключаются получают IP адресс, но выхода в инет нет. Где я мог ошибиться ? Может кто подскажет ))
AlexanderAks
*Хап
AlexanderAks
Провайдеру звонил, он сказал что с его стороны микроьик виден и он пингуется, то есть настройе на ван порт выставил верно
Konstantin
Всем привет. Возник вопрос )) Я в данный момент меняю роутер зухель на микротик хам лайт. Запросил у провайдера все требуемые настройки, настроил на ван интерфейс, настроил локалку, устройства подключаются получают IP адресс, но выхода в инет нет. Где я мог ошибиться ? Может кто подскажет ))
Если на микротике инет есть, то нехватает правила нат.
AlexanderAks
Окей, а что я там должен прописать прописать ?
🇷🇺Greg🇷🇺
Chain srcnat , action masquarade
Dmitry
Ребята так и никто не подсказал почему в капсман не генериться гостевая
AlexanderAks
Прописал, инет есть, спасибо, очень выручили )
🇷🇺Greg🇷🇺
Ок. Не за что
kyysu
Ребята так и никто не подсказал почему в капсман не генериться гостевая
Если устроит, через два часа буду у пк удаленно можно посмотреть ...
Dmitry
Ок.спасибо :)
kyysu
Маякните мне в личку а то забуду ...
Dmitry
Договорились
Moneron 🇷🇺
Прописал, инет есть, спасибо, очень выручили )
обязательно в маскараде указывайте out-interface
AlexanderAks
обязательно в маскараде указывайте out-interface
А какой интерфейс я должен там указать ?
Moneron 🇷🇺
Wan
AlexanderAks
У меня настроен аппаратный свич, мастер порт 4 для 3 и 2 ланов , есть wan, vlan, и бридж который соединяет мастер порт и wlan
AlexanderAks
Ок, сейчас укажу
Moneron 🇷🇺
Moneron 🇷🇺
Самара, в бой!
Andrey
ни пуха ни пера :)
kyysu
Ок, мы прикроем ...
Anonymous
к черту )
kyysu
не, с Богом!
🇷🇺Greg🇷🇺
К черту!
Дмитрий
Тут про НАТ писали выше, некоторые советуют указывать scr address ( подсеть целиком или диапазон) иначе нат будет работать и на внешнем интерфейсе (натить снаружи во внутрь и наоборот) так как не указывая scr считается - все адреса. В том числе внешние.
kyysu
out interfec достаточно!
Дмитрий
Для работы то да, а для безопасности ведь локалка будет открыта
kyysu
Локалка из сети провайдера закрывается одним правилом
Дмитрий
Это каким ? Если на своём роутере пропишу нат в вашу сеть и укажу адрес вашего шлюза (внешний)
Ещё одна проблема с NAT, когда сеть состоит из нескольких бродкастовых доменов например 10.1.1.0 и 10.10.10.0 приходится добавлять в исключения dst-address=! Чтобы не натился трафик между сетями
Дмитрий
Хотя и должен отрабатываться до NAT
kyysu
Если эти подсети не имеют отношения к out interfec то и натится они не будут - не однократно проверено.
Дмитрий
Все же порой бывают проблемы как раз по причине натинга на локальные адреса. Незнаю как но с тех пор добавляют локальные сети в исключения
kyysu
Смотрим traf flow - scr NAT исполняется после маршрутизации. Очевидно надо проверять конфигурацию. Я встречал статейка с описанием такого поведения, но на практике не встречал.
kyysu
Дмитрий
Да это знаю, но по какой-то причине иногда пакеты проскакивают а нат. Об этом и говорил. Как должно то видно.
Так же были проблемы с Hairpin NAT, если такие сервисы как 80,433 работают отлично то sip 5060 отказался и упорно слал пакеты на внешний интерфейс
Andrey
Sip 5060 скорее всего слал из-за sip alg. IP -> firewall -> service ports -> sip в микроте
kyysu
Думаю что RouterOS давно доведённая вещь, в этом отношении.
kyysu
Дмитрий
Мм точно, нужно было вырубить Service port либо снять галочку Sip Direct Media ?
Дмитрий
Да вы правы понял в чем косяк на нем же этот порт открыт
Andrey
Гуд
Дмитрий
И вот зачем ему этот порт ? Для телефонии на метароуте?
Andrey
Нет. Загуглите sip alg
Дмитрий
Понял, те же настройки что в астериске, чтоб клиенты могли ходить через нат, своеобразный sip proxy.
Спасибо !
kyysu
Очевидно, sip alg начинает адаптацию пакета производить в dst nat.
kyysu
Хотя он должен ковырять только сам sip протокол ...
kyysu
А заголовки ip не трогать
Дмитрий
Да да 👍и шлёт пакет снова на внешний интерфейс там RTP трафик в основном 5060 проходил а вот данные уже шли на внешний и до сервера не доходили
Дмитрий
Поэтому получал тишину в трубке при отправке данных клиента на сервер - приём данных шёл как обычно
Дмитрий
В смысле звонишь слушаешь а тебя не слышно RTP данные в диапазоне 10000-20000 (порт)
Andrey
Понял, те же настройки что в астериске, чтоб клиенты могли ходить через нат, своеобразный sip proxy.
Спасибо !
Да! Он на 7 уровне OSI работает.
kyysu
Да, тогда почему в hairpin не отрабатывал?
Дмитрий
hairpin отрабатывал на уровне 5060 TCP сессии, проходила авторизация и инициации вызовов, а вот сами данные в RTP уже не приходили клиенту, роутер отправлял их на внешний интерфейс, так как механизм sip alg предполагает именно такую работу из локалки во внешнюю сеть
Дмитрий
В итоге пакеты крутились в роутере
kyysu
А правило для udp было (в hairpin-e)?
🇷🇺Greg🇷🇺
Непросто было...
kyysu
👍
🇷🇺Greg🇷🇺
Учитывая, что неподалеку во всю ДР отмечали...😢
🇷🇺Greg🇷🇺
Мешали...
🇷🇺Greg🇷🇺
Не для первого раза слишком круто... Хватит 75...
Дмитрий
Поздравляю ! Всех кто сдал
🇷🇺Greg🇷🇺
Мало опыта было... Дальше будет лучше...