« Rev
@mikrotikclub   98
Fwd »


Moneron 🇷🇺
Чтобы завести оспф поверх впн-а нужно в networks в ОСПФ вбивать удалённые адреса туннелей. Ессно, желательно, чтобы они были статическими
Anonymous
Забивал... тоже не взлетело... (
Алексей
Извеняйте за скомканность... с телефона пишу
Иногда чтобы увидеть внятную картину, помогает схема на бумаге, пробовал, работает, некоторые вещи на бумаге лучше видны👍 мало ли может где упустил чего...
Anonymous
Смотря чего вкалывать))))))
Алексей
Игла не помогает ))))
Сорри, умный ввод, вашу клавиатуру, так и не понял...лень было.
digic
Привет. Подскажите можно два dhcp на одном интерфейсе поднять?
digic
https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
Moneron 🇷🇺
Релей и сервер — не одно и тоже
Moneron 🇷🇺
На одном интерфейсе без релея только один сервер возможен
Moneron 🇷🇺
Иначе как Вы себе это представляете?
digic
Тогда не понимаю, что за интерфейсы to-dhcp-relay
digic
Вот прочитал и не понял
Moneron 🇷🇺
Просто почитайте, что такое релей
digic
Как так
Moneron 🇷🇺
Централизованный дхцп. Когда мы в разные подсетки раздаём дхцп. Нам другие роутеры релеят запросы, а мы их обрабатываем и отправляем обратно
digic
Ну в статье же со стороны сервера два на одном интерфейсе висят, или я не так понимаю
Moneron 🇷🇺
Да. Но они направлены на релеи
Moneron 🇷🇺
Они не раздают дхцп на этом интерфейсе, они отправляют адреса роутерам-релеям, а те перенаправляют их клиентам
Moneron 🇷🇺
В статье показано, что нижний роутер - просто релей. он форвардит запросы из обеих своих сеток на верхний роутер. А тот понимает, откуда пришёл запрос и даёт на него ответ. Так можно. А в одну сеть нельзя добавить 2 дхцп сервера
digic
Я и пробывал слелать релей но он мне не дает повесить на один интерфейс
Moneron 🇷🇺
Значит, некорректно указывали
Moneron 🇷🇺
Щас соберу
Anonymous
В чем профит сей басни? Какой практический смысл?
Moneron 🇷🇺
Централизованный дхцп
Anonymous
Если у меня 20+ точек... мне 20+ серверов дхцп в центре держать?
digic
А если при такой схеме скажем один дхсп оставить на раздачу на первом роут а второй релей, прокатит. Или только полный релей так сказать
Moneron 🇷🇺
Если точки в плоской сети — то нет. А так, при желании, можно
Алексей
Остальные релеить на него будут...
digic
Если на первом роутере тоже клиенты
Anonymous
Просто если плоская сеть, то еоип и никаких релеев
FoxPDLL
Релей нужен крупняку типа прова. Когда у вас 20000 свичей к примеру
FoxPDLL
Чтобы не делать 20000 дшсп серверов
FoxPDLL
А обойтись одним тремя
FoxPDLL
Тогда проще рулить. Ибо весь конфиг в 1ом месте. И можно пару сотен свичей быстренько реконфигурнуть
digic
Все разобрался. Спасибо
Anonymous
И сидят потом клиенты провайдера все в одном хопе друг от друга)))))))))))))
FoxPDLL
Это офигенно же. Шо вам таки не нравится 1ом узле промеж ними?
Anonymous
Можно както отпилить хождение дхцп по еоип? Дабы в разных сегментах была одна адресация, но разные шлюзы?
FoxPDLL
Да. В файерволе бриджа
Anonymous
Это офигенно же. Шо вам таки не нравится 1ом узле промеж ними?
В том, что сосед, зная мою подсеть дома - может построить маршрут через мой адрес серый.... и попасть ко мне... если у меня шмелинк
Anonymous
Или ненастроенный тик
Дмитрий
к стати релей нужен если у вас на хостпотах разные сети
FoxPDLL
В том, что сосед, зная мою подсеть дома - может построить маршрут через мой адрес серый.... и попасть ко мне... если у меня шмелинк
Вы параноик. И это только при условии 1го эзернет сегмента. Провы стараются дробить на л3 дабы сократить размер фдб таблицы
FoxPDLL
Длинк не держит более 4 тысяч маков. А некоторые cpe умирают от 100
Anonymous
А маки в раме лежат? Есть какаято атака давящая на переполнение арп таблиц?
digic
Щас соберу
Спасибо. Всё взлетело.
FoxPDLL
Да. В раме. Это классическая атака. Но не арп а фдб свича
FoxPDLL
Но имхо яйки отрезать нужно админу прова если вы со своего порта сможете засветить более некоего лимита маков.
FoxPDLL
В моем случае это 8.
Moneron 🇷🇺
Спасибо. Всё взлетело.
А я юнетлаб принялся мучать ))
FoxPDLL
Я не буду за вас голосовать. Вы вернете массовые расстрелы
Anonymous
😡
FoxPDLL
Хотя сейчас некоторые железки не умеют лимитить фдп на порт. Как правило это жпоновские поделки типа элтекса и голимого китая
FoxPDLL
Я видел у одного прова пару тысяч маков в 1ом сегменте. Длинки так ехали крышей что это надо было видеть
Anonymous
Ггггг)))))) я даже знаю одного такого.......... хотя может уже порешали, хз
Moneron 🇷🇺
Собрал маленькую лабу на релей #DHCP #relay
Moneron 🇷🇺
Moneron 🇷🇺
Moneron 🇷🇺
Вот так это работает. Скриншоты с верхнего роутера. Он во все 4 нижние сегмента раздаёт адреса
Moneron 🇷🇺
Вот так это выглядит на сервере в вайршарке
Игорь
Я бы адрес-листами с доменами всё сделал
Можешь поподробней написать) для особо одаренных)
Алексей
Можешь поподробней написать) для особо одаренных)
решил в итоге преидущий вопрос?
Игорь
Вчера время не было вот сегодня хотел доделать
Игорь
)
Алексей
)
ну потом расскажи как сделал в итоге :)
Игорь
Хорошо
Moneron 🇷🇺
Можешь поподробней написать) для особо одаренных)
Создаём адрес-лист allowed, туда добавляем доменные имена сайтов, куда можно. Они разрешатся в адреса сами. Потом пишем правило на форвард, запрещающее пересылку куда угодно, КРОМЕ этого списка (значок "!" перед условием )
Moneron 🇷🇺
тсп 80,443
Алексей
тсп 80,443
может тогда аутпут запретить?
Moneron 🇷🇺
А как это поможет?
Алексей
А как это поможет?
ну как бы исходящий трафик на 80, 443 порты с такого-то адреса запретить любой кроме как на адреса из того адрес листа...
Moneron 🇷🇺
Не путайте исходящий и проходящий. Исходящий – означает, что его сгенерил собственно роутер, а не кто-то за ним
« Rev
@mikrotikclub   98
Fwd »