Kirilka
лучше подскажите, какие пакеты определяются как state = invalid?
Kirilka
и нужно ли это дропать? в каких случаях?
Kirilka
т.е. в случаях vrrp, несимметричной маршрутизации - просто запрещаем conntrack ?
Kirilka
"any known connection" - по одной железке проходит, а icmp errors - по второй.
Kirilka
если идёт пакет который нельзя сопоставить с известным соединением, то его статус - new?
Maksim (InCorp)
Есть не спящие кто по SPI подскажет?)
Kirilka
кроме случаев когда invalid
Kirilka
верно?
Maksim (InCorp)
Как-то не информативно было
Maksim (InCorp)
Можно в консоли написать команду :)
Kirilka
надо писать так:
Находим в меню слева пункт "New Terminal", жмём, настраиваем
Kirilka
на вопрос номер 1 - в каких случаях - да.
на вопрос - 2 дропать ли всегда - увы, в мои примеры не вписывается ваше "всегда, когда включен conntrack"
Maksim (InCorp)
@Anton Какая команда в консоли включает SPI для UDP пакетов или по умолчанию включен?
Maksim (InCorp)
Дефолтная настройка сбрасывалась и настройки были с нуля.
Maksim (InCorp)
@Anton Если никак не влият, то хорошо. Спасибо за инфу :)
Maksim (InCorp)
Настройку по умолчанию понимаю ту, которая появляется после сброса до заводского состояния и предлагается оставить или удалить её. Соответственно все остальные настройки не являются по умолчанию.
Maksim (InCorp)
Следует, что SPI не включен, если нет обратного утверждения.
Maksim (InCorp)
Т.к. настройка по умолчанию была удалена.
Maksim (InCorp)
Значит SPI включен всегда, если его не выключали вручную?
Maksim (InCorp)
Какой командой можно проверить статус SPI?
Maksim (InCorp)
Connection tracking, понятно, в auto стоит
Moneron 🇷🇺
Connection tracking, понятно, в auto стоит
Если коннтрек работает – значит, для всех протоколов включен spi
Moneron 🇷🇺
на вопрос номер 1 - в каких случаях - да.
на вопрос - 2 дропать ли всегда - увы, в мои примеры не вписывается ваше "всегда, когда включен conntrack"
Не всегда. Если конфигурация типовая – весь траф проходит через роутер – то от дропа хуже не будет. А если есть примеры несимметричной маршрутизации – то на всех транзитах дропать инвалиды не стОит, ибо велики шансы, что tcp-сессия даже установиться не сможет
Moneron 🇷🇺
Connection tracking, понятно, в auto стоит
Если хоть одно правило ната есть – то коннтрек работает. К фильтру это относится в меньшей степени (только к фичам, начинающиеся на connection- )
Сергей
Доброе утро.
Подскажите пожалуйста. Как настроить такую фишку.
У меня поднят l2tp сервер.
Клиенты имеют статические белые адреса.
Как настроить фаервол что бы подключались только мои клиенты а остальные дропались?
den
на вскидку или список IP клинентов
или сменить стандартный порт на l2tp
den
и там уже фильтровать
Сергей
на вскидку или список IP клинентов
или сменить стандартный порт на l2tp
если сменить порт. то как его указать в том же zyxel start ?
ip:port?
den
вот тут не подскажу.. я с данным девайсом не работал
Сергей
а если при открытии портов 1701,500,4500 указать список моих клиентов (ip адресов) то тогда может прокатит?
den
если список статичен тожно сделать лист IP и его использовать в правилах
Сергей
да. в том то и полюс что он статичен
den
ну тогда через список IP.. и проще и меньще проблем
Сергей
а теперь вопрос. где указать список?
я его создал уже
Сергей
Сергей
я чет запутался
Zhyhanov
Ниже дст.адрес лист
Zhyhanov
Проще наверное дроп всем кроме адрес листа
Сергей
кроме это галку надо поставить? )
Zhyhanov
да
Владислав
Добрый день. Подскажите пожалуйста, можно ли и как организовать подключение к микротику по впн, чтобы к определенному пользователю можно было подключиться только с одним определенным статическим внешним адресом, а к другим пользователям с любым динамическим?
Pavel
Да
Pavel
Ссылку на статью можете дать?
Статьи нету. Нужен скрипт он будет смотреть и дисконектить его если он с чужого ip. 2ой вариант через фаэрвол можно попробовать
Andrey
Andrey
caller-id (string; Default: ) For PPTP and L2TP it is the IP address a client must connect from.
Andrey
да
Владислав
Спасибо за помощь)
Andrey
пожалуйста
Morgan
Приветствую, коллеги! Подскажите пожалуйста, как сделать маршрут для определенного порта, сети. Например, 192.168.88.0/24 идут через pptp1, а 99.0/24 через pptp2. пс сети приведены для примера, использование pptp тоже. Идея в том, что указывать не только куда идти через впн, а и откуда.
Innokentiy
policy-based routing или vrf, на ваш выбор
Konstantin
Всем привет подскажите кто нибуть сталкивался при организации тунеля с шифрованием какие либо клиент серверные приложения не работают либо работают частично?
Kirill
Anonymous
товарищи, а у всех вики микротика лежит?
Kartograf
Дмитрий
у меня тоже не работает
Anonymous
а может кто кинуть ссылкой на подробную статью по настройке site-to-site OpenVPN, если вдруг уже такая есть?
Nikolai
а может кто кинуть ссылкой на подробную статью по настройке site-to-site OpenVPN, если вдруг уже такая есть?
https://www.google.ru/search?q=mikrotik+site-to-site+openvpn&oq=mikrotik+site-to-site+openvpn
Alexander
день добрый, подскажите пожалуйста кто нибудь сталкивался с тем что микрот забывает пароли?
Moneron 🇷🇺
день добрый, подскажите пожалуйста кто нибудь сталкивался с тем что микрот забывает пароли?
Эмм, шта? Какие именно пароли? Как забывает? После резета – да, есть такая фича.
Alexander
нет. от доступа к вебморде и через винбокс.
Moneron 🇷🇺
Если юзера грохнули, а затем восстановили кнопкой undo – то да, он без пароля
Moneron 🇷🇺
нет. от доступа к вебморде и через винбокс.
Либо ещё бэдблоки посмотрите, если случай единичный
Alexander
Если они будут то в мусорку?
Moneron 🇷🇺
Я не про половину, а про 1-3%
Andrey
приветствуем пятисотого участника! :)
vsevolod
🎉🎉🎉
енот
спасибо, здравствуйте, подскажите какой-нибудь проверенный гайд по двупровайдерной схеме на микротике. Я их несколько нашел, но не уверен какой из них рабочий.
енот
если догоните
Andrey
https://nixman.info/?p=133
Andrey
тут ок написано
енот
спасибо
енот
я собственно к вам решил сходить после статьи https://habrahabr.ru/post/319082/ которая ссылается на то что линканул ты и немного её подправляет. версия растет, баги множатся, хотел соломки подстелить. потому что SIP у меня там тоже будет, но вообще на моем микротике не будет ната, он будет дальше, так что наверное всё равно.
енот
а самый простой шифрованный туннель поверх которого можно бросить eoip подскажите? я в целом выбираю между l2tp+ipsec, который ни разу не смог настроить и чистым gre и не говорить клиенту что шифрования нет >_>
Moneron 🇷🇺
А чем чистый еоип овер ипсек не устраивает?
енот
а всем наверное устраивает.
Moneron 🇷🇺
Тогда, пожалуй, вот и ответ