пока руками не вернёшь :(

ты сервак биндил?

да

имеешь ввиду статический ip? да

в качестве роута указываю интерфейс

имеешь ввиду статический ip? да

нет, имею ввиду РРР-L2TP server binding

так как при переподключении для сервака это будет уже новый интерфейс, пусть даже с тем же именем

нет, даже вопрос не понял

ну зайди в РРР- там есть кнопочка самая левая . там в выпадающем списке есть сервер биндинг

ну и забиндить интерфейс для имени юзера. тогда при любом реконекте этого юзера для микротика это будет тот же интерфейс

ну ясен фраг что должно быть "один сикрет - один тунель"

без множественых конектов с тем же сикретом

ну и забиндить интерфейс для имени юзера. тогда при любом реконекте этого юзера для микротика это будет тот же интерфейс

да, спасибо, нюанс...

помогите пожалуйста разобраться в nat loopback, хочу запустить nmap с любого клиента моей сети на свой внешний ip и получить список открытых портов на внешнем интерфейсе, но как не следовал wiki микротика с nat hairpin и других руководств ничего не получилось, скан выдает результаты с внутреннего интерфейса микротика, такое вообще реально сделать? например, в tomato firmware для старого-доброго wrt-54gl в файрволе есть галка nat loopback, ее включаешь и все работает

ну так наверное по ин-интерфейсу работаете ?

это я понимаю, но я никак не могу написать правило, чтобы он выдавал не внутренний интерфейс, а внешний

пишу вот такое: chain=srcnat action=masquerade src-address=10.2.0.0/22 dst-address=10.2.0.1 out-interface=bridge

задачу опиши конкретней

глянуть какие порты открыты на ВАН?

хочу с клиента локальной сети запустить nmap, в нем указать свой внешний ip и увидеть те порты, которые доступны на внешнем интерфейсе, сейчас, когда запускаю — получаю результаты с внутреннего интерфейса, все равно, что указал адрес гетевея

ну так все НАТы делай через ДСТ. адрес, а не через ИН-ИНТЕРФЕЙС

а вот что бы сэмулировать инпут через ВАН то даже не знаю как сделать ?

ну так все НАТы делай через ДСТ. адрес, а не через ИН-ИНТЕРФЕЙС

можно вот это немного поподробнее?

ну ты же в правилах НАТа пишешь критерии по которым пакет натить в локалку

на самом тике сервисов 5 штук ФТП, SSH, Telnet, АРІ, WEB

да, они выглядят вот так: chain=srcnat action=masquerade src-address-list=portlane out-interface=portlane log=no log-prefix="" chain=srcnat action=masquerade out-interface=eth1-gw log=no log-prefix=""

на два внешний интерфейса и для клиентов, которые сидят за этими натами

DST-NAT

если ДСТ-НАТа нет то из внешки на роутере видны только те несколько портов что выше написал

точный список в ip-services

а, портфорвардинг

да, такие у меня есть

а, портфорвардинг

ну можно и такой терминологией назвать

да, это все работает, но вот мой кейс никак решить не могу

у тебя кейс перед глазами ?

в списке правил ДСТната ?

вот какие порты ты прокинул такие и доступны.

если ты "портфорвардинг" делал на основании ин-интерфейса то из локалки никак не проверишь

если на основании ДСТ-АДреса то из локалки спокойно проверишь

ненене, задача, чтобы mikrotik отдавал по запросу внешнего ip внешний же интерфейс, просто сейчас нет разницы между nmap -sS 10.2.0.1 и nmap -sS внешний-ip

при том, что на сервер, который находится за натом nat hairpin я могу сделать, то есть из локалки на внешний интерфейс я могу подключиться, а вот к микротику — нет

ненене, задача, чтобы mikrotik отдавал по запросу внешнего ip внешний же интерфейс, просто сейчас нет разницы между nmap -sS 10.2.0.1 и nmap -sS внешний-ip

а какую разницу вы ожидаете увидеть?

я хочу увидеть как работает файрвол

как вы задали так он и работает

тоесть если вы(ваши правила) работаете на основании ИН-интерфейса то из локалки никак не проверить

опять стикеров завезли)

щас банда троллей подтянется (с новыми стикерами)

антона сожрали

ЯРОСТЬ! ЖОПА! КУКУРУЗА!

антона сожрали

Да он сам себя сжёг.

ога )

парень просто пытался блочить исмп

разговорчики тут

ну так то он был прав

а вы ему маслица в огонь подливали. гори ясно )

инпута вроде не было кроме рилейтеда

а вы ему маслица в огонь подливали. гори ясно )

ну а хер ли он ведется?

Зато теперь есть мемасики

а вы ему маслица в огонь подливали. гори ясно )

никто не подливал. он сам чего то агрился на диспуты

)

никто не подливал. он сам чего то агрился на диспуты

Ты просто бесишься, что он тебя на х*й послал)

в отличии от некоторых ? только один раз

все, дістали, надоїло по російськи писати

хочеться на рідній мові писати, мені так зручніше

в отличии от некоторых ? только один раз

Ну ты просто недостаточно старался

ERROR: S client not available

та реально вільніше якось, легше писати, приходилось кожну фразу в голові перекладати

как по украински будет фаервол ?

так же как и по русски

брендмаєр

Кек

тоесть если вы(ваши правила) работаете на основании ИН-интерфейса то из локалки никак не проверить

то есть я должен переписать chain=dstnat action=dst-nat to-addresses=10.2.1.1 to-ports=13097 protocol=udp in-interface=portlane dst-port=13097 log=no log-prefix="" на chain=dstnat action=dst-nat to-addresses=10.2.1.1 to-ports=13097 protocol=tcp dst-address=EXTERNAL dst-port=13097 log=no log-prefix=""

па беларусску — вогненная сцяна )

ну как то так

ну ты енто, не начинай дословный перевод ?

не ОГНЕННАЯ, а ОТ ОГНЯ

ну как то так

не работает :)

ok )

происходит от термина пожарных обозначающего заграждение на пути распространения огня

не работает :)

в чем именно?

nmap -sS -p 13097 выдает 13097/tcp filtered unknown

и это не отменяет какого хрена он через станцию авторизацию сбрасывает, и какого периодически не работает вообще. хотя к точке цепляется а еще иногда ip не выдается не прикольно когда телефон цепляется к соседнему поезду, а твой тебя шлет в лес

Я думаю. Надо им MESH делать

А у микрота есть защита от брутфорса

?

А у микрота есть защита от брутфорса

У микрота есть скрипты

+ порт кнокинг

тебе же написали - что напишешь то и получишь

https://wiki.mikrotik.com/wiki/Bruteforce_login_prevention

вот как пример

там по многим критериям можно работать. например по количеству конектов на заданый порт/с срц адреса/ и т.д.

открой закладку екстра в правиле фильтра файрвола и офигей от открывшихся вариантов ?

+ порт кнокинг

скриптами же

как быть тем, кто не умеет в скрипты?

СТРАДАТЬ

а тем кто умеет в скрипты - страдать ЕЩЕ БОЛЕЕ

хороший ответ )

додуматься же - скриптами с брутфорсом бороться ?