И работают

И усиливают dns.

параноидальный - запретить всё, потом разрешать то что нужно поименный - запрещаешь только те порты доступ к которым нежелателен из внешки

Всем доброго вечера.

короче подключение по l2tp к провайдеру. локальная сеть провайдера 10.*.*.* так вот без этой галвки локальная сеть не видит днс

Опять я чо то не понял. Ну поднял ты л2тп. Дальше то что? Зачем снимать галку "аллоу ремоте реквест" то вообще если у тебя дропающее правило есть?

Всем доброго вечера.

жги

Привет

Dude

На 3011

Клиентом на винде пытаюсь подцепить Домашний hap ax

Ac*

Все ок

До 80% таких микротиков стоят.

Ну я тож нихера не эксперт, но даже я понимаю что нинада разрешать все

Опять я чо то не понял. Ну поднял ты л2тп. Дальше то что? Зачем снимать галку "аллоу ремоте реквест" то вообще если у тебя дропающее правило есть?

я может что не так делаю, но при поставленной галке дропающее правило не работало. 53й порт грузил процессор в полку

А когда цепляюсь к рабочему 951 и к самому 3011 по 127.0.0.1 то не видит snmp

именно в филиалах где подключение по vpn

Файеры на всех примерно одинаковые

я может что не так делаю, но при поставленной галке дропающее правило не работало. 53й порт грузил процессор в полку

Просто дроп у тебя стоит на интерфейс физический, а на поднятый интерфейс л2тп дроп не стоит

Везде стоит 6.39.2

Просто дроп у тебя стоит на интерфейс физический, а на поднятый интерфейс л2тп дроп не стоит

именно на l2tp и стоит

именно на l2tp и стоит

И при включенной галке проц в полку?

а на физический кстати нет )

да

Видимо не там накрутил

а при выключенной локальная сеть не видит днс

Посмотри откуда сыпятся запросы

И блокируй запросы с того интерфейса

Мош просто не отлавливает или ошибка в правилах

прописал точно такой же дроп, только не на все а на 53й порт снаружи и все стало норм

чето мне сдается эта галка влияет на фильтры

чето мне сдается эта галка влияет на фильтры

нет.

чето мне сдается эта галка влияет на фильтры

нет

Может ты забываешь что нужно блочить и тцп и юдп порт?

чето мне сдается эта галка влияет на фильтры

С какого баня сгорела?

прописал точно такой же дроп, только не на все а на 53й порт снаружи и все стало норм

Ты дропы прописывал где firewall filter?

крепись

Так Чо там? Где дропы прописаны?

Может ты забываешь что нужно блочить и тцп и юдп порт?

и много ты запросов по ТСР видел? их процент ничтожно мал

Добрый день коллеги! Сегодня столкнулся с непонятной проблемой с pptp на микротике - перестало выборочно работать. Внешний IP, pptp сервер на микротике, вчера работало - сегодня часа в 3 дня отвалилось. Но не все, раза с 30 можно зайти. (так ведут себя и туннели и удаленные пользователи). Ошибка то 800 то 807, в дебаге ppp при "плохом подключение" вообще нет ни чего, при "удачном" обычный лог. При "плохом" подключение счетчики gre и на порту 1723 нарастают (напомню что в дбаге 0).

Ребутал прошивка 6.39.2 rb951. У меня идеи кончились(

Добрый день коллеги! Сегодня столкнулся с непонятной проблемой с pptp на микротике - перестало выборочно работать. Внешний IP, pptp сервер на микротике, вчера работало - сегодня часа в 3 дня отвалилось. Но не все, раза с 30 можно зайти. (так ведут себя и туннели и удаленные пользователи). Ошибка то 800 то 807, в дебаге ppp при "плохом подключение" вообще нет ни чего, при "удачном" обычный лог. При "плохом" подключение счетчики gre и на порту 1723 нарастают (напомню что в дбаге 0).

Йота?

нет теорема

пришлось перекинуть несколько пользователей на yota

*там внешник

Йота хуево в пптп

и много ты запросов по ТСР видел? их процент ничтожно мал

Я ваще их не видел:) но днс юзается же и тцп и юдп:)

но судя по всему проблема именно в микротике (у меня их 2: 1 под теоремой, второй под yota). Пробовал прокинуть порты на yota микротике в сторону основного... так же то 807 то 800 ошибка

ТСР только для больших запросов вроде

ТСР только для больших запросов вроде

Значит все таки есть:) а если есть - блочить:)

Йота хуево в пптп

У меня внешник, проблем с pptp нет... даже работает с серыми yoota клиентами!

но судя по всему проблема именно в микротике (у меня их 2: 1 под теоремой, второй под yota). Пробовал прокинуть порты на yota микротике в сторону основного... так же то 807 то 800 ошибка

а на йоте случаем не обычный договор? пользовательский?

а на йоте случаем не обычный договор? пользовательский?

Уточняю что проблема на микротике который обслуживает обычный оптоволоконный провайдер с внешним IP. А договор да обычной, но успел отхватить статику?

чтоб было нагляднее * сорри за пейнт

IPS = ISP ))

Везде стоит 6.39.2

А если фаер загасить?

да бывает йота развлекается на обычных пользователях блоча гре или делая нат через одно место. но раз нет то нет

как-то лень разбираться

И я вас докинуть говна на вентилятор пришёл

Фуууу…

Есть для этого дерьма кастомные прошивки?

это не микротик

Я блять щас просто закончуь

это не микротик

Отлично майнит зато

А если фаер загасить?

естественно пробовал, и специально аксепты потом ставил на конкретные хосты (с которых тестирую)

норм плинтус

норм плинтус

Вот да

чот какой то поиск ваще никакой в телеге стал

ничо найти не могу

целиком заставляет слово писать

а если пару букв не дописал - не найдет

Дуров, верни поиск

подскажите хочу чтобы при обращении к ip по 80 редирект на 443 в nat сделал srcnat dst port 80 dst-address 1.2.3.4 f а вот action что надо выбрать? same или srcnat?

уточнение - не проброс порта комне

а просто редирект обращения на другой порт

например открываю сайт на 80 но попаду на 443

решать проблемы хттп на рутере? ммм

подскажите хочу чтобы при обращении к ip по 80 редирект на 443 в nat сделал srcnat dst port 80 dst-address 1.2.3.4 f а вот action что надо выбрать? same или srcnat?

dst-nat

не проще в nginx сделать норм редирект?

не проще в nginx сделать норм редирект?

сервера не мои и это просто експеремнты из любопытсва

аргумент

dst-nat

это же из вне комне

кто сказал К ТЕБЕ

єто изменение дст порта

ни больше ни меньше

ок

Приветтвую всех!

ааа догнал типо цепочка src а action dst

Приветтвую всех!

Здравствуй)

нифига не так

обычный дст нат

что екшн что цепочка

просто при обращении на конкретный адрес и конкретный порт мы в пакете меняем дст порт

сработало