Ваще не понятно

а подскажите еще - http://pastebin.com/K8Fst6Nk Почему хост 192.168.88.254 не может пинговать ya.ru

&

?

может кто-нибудь помочь: https://toster.ru/q/352842

ну делай срц. нат. что то очень смутно я помню что у микротика были приколы с маскарадингом . но вот критерии не помню. Вроде связано было с интерфейсами. в общем ужесточи критерии маскарадинга, поуказывай аут интерфейсы, ин-интерфейсы и срц. адреса

а подскажите еще - http://pastebin.com/K8Fst6Nk Почему хост 192.168.88.254 не может пинговать ya.ru

потому что для начала оно резолвит имя, потом пингует айпишку

вот эти пакеты и режет

или ты думаешь что в пакете пинга так и написано - яндекс

не думаю

а ты заснифь пакеты свои

и посмотри

все пакеты где не будет Я.РУ будут дропнуты ?

"не думаю", в смысле, да я понимаю, что пингуется не доменное имя, а адрес)

то есть для того что бы разрешить пинговать ya.ru ему надо принудительно указать весь пул адресов яндекса?

тогда КОНЕКТЫ разрешай а не отдельные пакеты

вообще, лучше всего дропать не весь трафик а НАЧАЛЬНЫЕ пакеты - conection state=new. Правда это только для ТСР

ну делай срц. нат. что то очень смутно я помню что у микротика были приколы с маскарадингом . но вот критерии не помню. Вроде связано было с интерфейсами. в общем ужесточи критерии маскарадинга, поуказывай аут интерфейсы, ин-интерфейсы и срц. адреса

ситуация не меняется)

с ICMP не помню как

Вегас, поужесточай правила

вот смутно помню что там было что то связаное с исходящим интерфейсом или как то так. поуказывай еще и ИН-интерфейс и срц. адрес

и кстати, это разве микротик у тебя делает НАТ, не PFsense?

да, микротик

еее

какой?

который ближе к провайдеру

оба?

не понял

тоесть тик входит в тик, а потом левый тик отдает трафик пфсенсу?

который к облаку на картинке подключен

левый отдает трафик пфсенсу в 102 влане, пфсенс отдает наружу в 101 влане

а, стоп, не с той стороны смотрел

левый отдает трафик пфсенсу в 102 влане, пфсенс отдает наружу в 101 влане

а потом тот же вилан пропускает через себя назад вправо? ?

вправо трафик ходит в 101

влево в 102

менял уже маскардинг на src-nat, правила ужесточал насколько мог - результат стабильный)

мдя, ну и схема у тебя. голову поломаешь

а ну показывай правила ната

щас такое: add action=masquerade chain=srcnat comment="Local Networks" out-interface=ether1 src-address=10.0.0.0/8

/ip firewall nat add action=src-nat chain=srcnat comment="Local Networks" out-interface=ether1 src-address=10.0.0.0/8 to-addresses=<public ip> - менял, например, на такое

хм, получается оно не хочет маскарадить дважды маршрутизируемый трафик?

получается так

ща покажу, как в сниффере выглядит

попробуй укажи ИН-интерфейс еще

авось от этого поппустит тик

https://gyazo.com/8c602cbb115179c31b7153bd29705d26

С входящим не так просто: [admin@AP1_MikroTik] /ip firewall nat> set 0 in-interface=HomeNetworkOutside_Eth2 failure: ingoing interface matching not possible in output and postrouting chains

Парни, а ну напомните в двух словах в чем суть TCP MSS

чем оно от MTU отличается?

ну кроме того что одно для ТСР а другое для интерфейса ?

а то стояло МСС=1210, не отрывался рутрекер. подогнали МТУ под это дело - заработало

Парни, а ну напомните в двух словах в чем суть TCP MSS

При согласовании TCP сессии роутер объявляет сторонам рекомендуемый размер mss. Циса рекомендует выставлять на 1380.

Утречко! Комрады, скажите а в симпл queue расположение праваил как работает? Режу 10.5.5.0/24 - всем 2Мб/c, но хосту 10,5,5,10 - нужен анлим Рапологаю сначала всем рубить, потом анлим хосту - все равно режет всем, на оборот - такая же история

как в фаерволе. Порядок имеет значение

Верно будет, сначала всем - порезать, а потом одтельным хостам болше дать, верно??

наоборот

Хммм... Добро... Ну не отрабатывает анлим на отдельный хост ( Работает только обрезка всем, т.е. последнее правило - всем по 3Mb/s

Когда то делал подобное, но решил не заморачиваться, и сделал на основе меток коннектов. Резать no-mark, а избранных помечал

но это костыль был на скорую руку)

а еслми на отдельный хост не анлим назначить, а 1000 Mb/s допустим?

Не пробовал, но вариант ) 10х! )

Дмитрий - о да! Так работает )

Утречко! Комрады, скажите а в симпл queue расположение праваил как работает? Режу 10.5.5.0/24 - всем 2Мб/c, но хосту 10,5,5,10 - нужен анлим Рапологаю сначала всем рубить, потом анлим хосту - все равно режет всем, на оборот - такая же история

анлима нет, есть илюзия и призрачность бытия

а серьезно то анлим это НЕ ЗАДАНО

тоесть первым правилом ставь то анлимовское. ставишь какое то КОНКРЕТНОЕ значение, просто ПОБОЛЬШЕ, ПОБОЛЬШЕ, а ниже уже правила ограничений для других

упс, опоздал с советом

Сергей - да да, именно так все и вышло! Благодарю!

ERROR: S client not available

ну что поделаешь, проспал я ?.

ну что поделаешь, проспал я ?.

а все почему? до поздна курил MSS

Ну это бывает, что уж тут )

))

говорили тебе. отложи до завтра

да я что, просто в кораблики до позна играл, а с дестроером паралельно ?

Ну эт святое )))) морфлоту салют )

да я их запускаю раз в несколько дней. просто вчера что то никчему настроения не было, вот целый день и гонял ?

а все почему? до поздна курил MSS

+1 =)

да не курил я МСС, я курил чего оно не действует, а то стояло 12хх МСС в манглах, а вот через впн трафик не пролазил ?. Вот и спросил, думал чего то я упустил.

Да и вообще, будто вы не помните что такое боевой задор

вот иногда цепляет и позабыв про сон и еду ты с головой лезешь ?

вот иногда цепляет и позабыв про сон и еду ты с головой лезешь ?

А потом в универ не можешь пойти, потому что будильник пролюбил...

да и работу проспал..

да я раньше 10 итак никогда на работу не приезжаю ?

хотя официально на 9 ?

да я раньше 10 итак никогда на работу не приезжаю ?

распущенность и не десциплинированность)

угу. вот только проблема. никто не знает где я ?. Я сижу на отдельном этаже. у нас несколько комплексов. тоесть всегда могу отмазатся что поехал в другой комплекс ?

бывают дни что никому не понадоблюсь за весь день. так и сижу - железо ковыряю чисто для себя.

работа мечта))

проблема в том что ЗАРПЛАТА НЕ МЕЧТЫ ?

тоесть если не линится и левачить то жить можно. но мне ЛЕНЬ ?

равновесие)

зато вот так сидя в чатах изучаю понемногу разные технологии. пообщаешся с умными людьми - сам чего то наберешся ?

проблема в том что ЗАРПЛАТА НЕ МЕЧТЫ ?

а она где-то есть?

)))))

а она где-то есть?

тут у всех разные понятия о зарплате мечты)

ну мне 100 к в притирочку на троих (я+жена+ребенок) ))))

не говорю уже о постоянно растущих амбициях

))))

где 100к платят??? Мы идем к вам!! )

не платят. это две работы + немного халтур