Смотреть фаервол прежде всего
Вешал первым ацепт на ип соседа - счетчик по 0
Dim-soft
vsevolod
Добрый день. Есть ли какие-то тонкости при добавлении вилана в бридж?)
Moneron 🇷🇺
А какие тонкости ты хочешь?
vsevolod
Сам не знаю. Надо срастить 2 микрота через мегафоновскую сеть по л2. Они нам кинули вилан. При добавлении этого вилана в бридж на основном микроте по л2 всё работает, по л3 нет. На втором микроте просто приходит в эзер1.
vsevolod
Я давно не спал, поэтому могу не ясно выражаться)
🧙♂️
исторически так сложилось.
Это ты натыкался на поведение, когда lifetime у пира после создания остаётся 00:00:00 и нужно ручками дополнительно заходить править?
🧙♂️
чотка
🧙♂️
🧙♂️
и как это поправить (и нужно ли это вообще править)?
🧙♂️
как то можно сделать чтобы у динамической полиси оно было tunnel=yes?
🧙♂️
хотелось бы верить что у меня не в транспортном
🧙♂️
хочу чтобы GRE over IPSec, не наоборот
🧙♂️
чот я запутался
🧙♂️
у меня с2с гре овер айписец (хотелось бы так думать)
🧙♂️
я плаваю в этом, но я думал что А поставил к Б айписек, и уже внутри погнал весь трафик
🧙♂️
ага, всё так. т.е. гре (или что угодно еще) будет вложено в айписек, и не наоборот?
🧙♂️
т.е. если бы я чистым айписеком поставил туннель - он бы там tunnel=yes написал?
Moneron 🇷🇺
Да, именно в таком случае tunnel=yes.
Alexey
Добрый вечер. Интересует возможность реализации dst-nat и одновременно src-nat на адрес. Необходимо пробросить порт с внешнего ip на другой внешний ip.
Moneron 🇷🇺
Пробрасывайте. В чём сложности? Возможно ли? Ответ — да.
Alexey
Вот не получается пробросить. Делаю правило dst-nat порт 1234 на адрес порт такой то. Ниже правило src-nat в интерфейс интернет
Moneron 🇷🇺
В connections его видете?
Alexey
Получается что пакет приходит на порт и должен уйти на тот ip что мне надо с src адресом который смотрит в интернет
Moneron 🇷🇺
Вообще странно. ip fi nat export покажите на pastebin.com
Alexey
Вообще странно. ip fi nat export покажите на pastebin.com
Хорошо спасибо. Завтра покажу, сегодня уже не попаду на устройство
Alexey
Спасибо заранее
Alexey
Вообще странно. ip fi nat export покажите на pastebin.com
Разобрался. Необходимо было сделать механизм hairpin Nat. Надо было пометить коннект который пришёл в интерфейс и хочет выйти из него и находится в dst-nat состоянии. После в нате сделать срц нат на этот коннект
Alexey
Тогда все работает
Alexey
Ну и естественно dst-nat выше правило чем правило src-nat
Nikolai
Moneron 🇷🇺
Ну и естественно dst-nat выше правило чем правило src-nat
Вот это без разницы, посмотрите на пэкет флоу
🧙♂️
странное поведение у меня наблюдается на 6.39.3 багфикс версии железки, нивкакую не хочет схватываться на generate-policy=port-strict, работает либо на port-override, либо на вручную созданной полиси, сосед тоже 6.39.3
🧙♂️
как принято создавать политики на тех соединениях где адреса известны, например с2с ?
🧙♂️
динамика или ручками лучше?
🧙♂️
спс, блин так удобно когда динамика - пира закопировал, нужный серт выбрал и вперед((
🧙♂️
конечно создать полиси тоже не затруднит...
Виталий
Разобрался. Необходимо было сделать механизм hairpin Nat. Надо было пометить коннект который пришёл в интерфейс и хочет выйти из него и находится в dst-nat состоянии. После в нате сделать срц нат на этот коннект
У меня без маркировки работает. 1 роутер с белым IP, 2 роутер без оного. За вторым ресурс. Порты проброшены на роутере 1 и доступны снаружи. Между роутерами простой pptp
Alexey
У меня без маркировки работает. 1 роутер с белым IP, 2 роутер без оного. За вторым ресурс. Порты проброшены на роутере 1 и доступны снаружи. Между роутерами простой pptp
Тут фишка именно в отсутствии туннеля, работает без маркировки потому что Нат между разными интерфейсами происходит. А тут через 1 вход и через него выход, hairpin получается . 1 роутер с белым ip, второй это сервер рдп. Сервер рдп тоже с внешним ip, который пускает на себя только с ip роутера 1.
Необходимо ходить на сервер рдп откуда угодно из мира. Очевидно что надо сделать проброс порта из интернета в интернет с подменой ip
Alexey
И не обязательно что это сервер рдп. Может быть и веб но суть именно в том как оно есть)
🧙♂️
попытался заюзать на одну из труб, у меня IPv6 не взлетело, IPv4 взлетело, не сталкивался?
🧙♂️
тупо ни LLA, ни ULA с того конца не пингует, таймаут и всё
🧙♂️
я сначала подумал ну мож оператор режет
🧙♂️
вернул гре - всё ок по части IPv6, вернул ipip обратно - не работает, навешал IPv4 адреса на ipip - работает(
🧙♂️
сегодня подниму в лабе на этих версиях, потестирую, а то время уже далеко за полночь было
Maxim
Всем привет.
Maxim
Парни, никто не сталкивался с проблемой. По имени с МТ ничего не пингуется. ДНС 8,8,88
Maxim
сам днс пингуетя нормально
Maxim
@BGW_CORE_SKVO] > ping mail.ru
invalid value for argument address:
invalid value of mac-address, mac address required
invalid value for argument ipv6-address
while resolving ip-address: could not get answer from dns server
Maxim
@BGW_CORE_SKVO] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 57 33ms
1 8.8.8.8 56 57 33ms
2 8.8.8.8 56 57 35ms
sent=3 received=3 packet-loss=0% min-rtt=33ms avg-rtt=33ms max-rtt=35ms
Zhyhanov
53 порт не закрывал ??
Andrey
put [:resolve mail.ru]
что покажет?
Andrey
и
/ip dns print
Maxim
put [:resolve mail.ru]
что покажет?
@BGW_CORE_SKVO] > put [:resolve mail.ru]
failure: dns server failure
Maxim
и
/ip dns print
> ip dns print
servers: 8.8.8.8,8.8.4.4
dynamic-servers:
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
max-concurrent-queries: 100
max-concurrent-tcp-sessions: 20
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 25KiB
Andrey
фаерволл посмотрите всё таки
Andrey
или попробуйте сменить адрес днс-сервера
Andrey
хорошо
Maxim
13 ;;; defconf: drop all from WAN
chain=input action=drop in-interface-list=WANs log=no log-prefix="Drop all in INPUT"
Maxim
Сразу кеш начал заполнятся
Andrey
разрешающее для 53 есть?
Andrey
в инпуте. до 13 правила.
Andrey
ненене
Andrey
чёт гоню :)))
Maxim
:)
Maxim
Это ж аутпут, и я его не трогаю вовсе)
Maxim
Видно что-то где-то залипло
Kirilka
Что посоветуете как RB750Gr3 в стоечном варианте?
😷Драничек
Он совсем не похож на 750
Kirill
Kirilka
без х2 х4 ?
🧙♂️
Что посоветуете как RB750Gr3 в стоечном варианте?
вложить его в оптокросс и выпилить у него морду))
(в каком то чате проскакивало готовое решение)
😷Драничек
вложить его в оптокросс и выпилить у него морду))
(в каком то чате проскакивало готовое решение)
Уши подлиннее прикрутить можно
