маска сети, не то чтобы прям учавствует в лоб во всех файрвольных играх. В пакете нет такого понятия как маска, в правилах оно может быть, но это от лукавого

А когда из вне кто-то будет слать на 192.168.254.111, пакет будет попадать через out-interface = eth3

А когда из вне кто-то будет слать на 192.168.254.111, пакет будет попадать через out-interface = eth3

вроде бы нет, если у тебя будет connected маршрут, то выходить будет через него, а маска /32 сделает его приоритетьнее чем твой локальный

Тоесть в одном направление играет одна пара интерфейсов (ether1 и vrrp) а вдругом направлении ether1 и ether3

что как-бы не очень гуд

Тоесть в одном направление играет одна пара интерфейсов (ether1 и vrrp) а вдругом направлении ether1 и ether3

ну вот и пишу, что нет, такого не будет.

/32 только для 192.168.254.254

а не для 192.168.254.111

сделай такой конфиг, покажи таблицу роутинга

вместе посмотрим

Сча

Хм. Какую бы максимально узкую дырку для него придумтаь.

у меня на wan input три accept правила разрешен icmp разрешены установленные и вторичные соединения все остальное дроп. на wan интерфейсе висит dhcp client, работает корректно

Ребята, вопрос по свитчингу 1100AHx2

чот я туплю на L2+L3

надо в три порта транком пустить три влана, один из них нативом

еще три порта - в аксесс

это настроил

сбриджевал два мастер-порта в разных свитчах

а вот куда айпишники вешать в разных вланах - ума не приложу\

чот адово туплю

выдёргивать вланы субинтерфейсами из бриджа и на них?

А кроме как сабинтерфейсу айпишник не назначишь

2 ADC dst-address=192.168.254.0/24 pref-src=192.168.254.253 gateway=ether3 gateway-status=ether3 reachable distance=0 scope=10 3 ADC dst-address=192.168.254.254/32 pref-src=192.168.254.254 gateway=v1010-hypervisor-vrrp gateway-status=v1010-hypervisor-vrrp reachable distance=0 scope=10

> /ip route check 192.168.254.111 status: ok interface: ether3 nexthop: 192.168.254.111

Всем привет) помогите плиз что-то туплю

астроил сети / хотспот / на микротике все было ок (дома) отключил роутер привез его на работу поставил нифига не работает , пингу терминал и это вот

2 ADC dst-address=192.168.254.0/24 pref-src=192.168.254.253 gateway=ether3 gateway-status=ether3 reachable distance=0 scope=10 3 ADC dst-address=192.168.254.254/32 pref-src=192.168.254.254 gateway=v1010-hypervisor-vrrp gateway-status=v1010-hypervisor-vrrp reachable distance=0 scope=10

блин, чёт я пока офф. Если что позже гляну

Всем привет) помогите плиз что-то туплю

DNS проверяй

DNS на микротике самом?

Ага

/ip dns который

решение о маршрутизации действительно принимается до input

и если пакет не предназначем роутеру - он отправляется в форвард

о чем вообще речь ?

это из комментов к https://habrahabr.ru/post/244385/

я помоему слал тебе схему прохождения пакетов там решение о маршрутизации принимается три раза, после prerouting, после local process и в конце output

в инпуте маркать коннекшен, в оутпут мангле вешать маркировку маршрута по пометкам и потом по ним роутить

к вопросу о том, что 1100AHx4 это дорого, есть вот такие вещи в продаже: ASUS RT-AC5300 https://www.ulmart.ru/goods/3774491, так они еще и дороже, давно я не смотрел на цены домашних точек доступа :)

Грузится минуты две-три, но это ерунда

Грузится минуты две-три, но это ерунда

. Отличный радиус действия, в двухкомнотной квартире везде 4 деления

это будет работать - если пакеты входящие для маршрутизатора и предназначены для какого либо айпи назначенного на нем

И - интернет

красиво

/ip dns который

Спасибо , помогло))

о конекшинаx в инпуте. Все зависит от того для чего делать. Если 'кудой пришло тудой и уxоди' то вполне норм вариант

Да и автор наверное ощибается в том что маркировать конект моюно только по первому пакету

Да и прероутинг и инпут имеют существеную разницу - в прероутинге будем чекать и форвард. А єто лишняя нагрузка на проц.

Да и прероутинг и инпут имеют существеную разницу - в прероутинге будем чекать и форвард. А єто лишняя нагрузка на проц.

@erazel вы не родственники?

или муж и жона?

а зачем вообще нужно маркировать коннект не по первому пакету?

ну, пример нужности скажите

Всем доброго вечера. Чем могут быть вызваны потери vpn между 2 филиалами. В обоих используются микротики Нагрузка на микротике небольшая (к которому филиалы подключены) и микротик филиала тоже не особо нагружен (проц и сетка). Потери до 6-7% (таймаут)

Потери между чем и чем?

это l2 от провайдера?

или через интернет линк?

Потери между чем и чем?

Одним микротим и другим

Одним микротим и другим

впн - это что значит? Посмотри мои другие вопросы. Я как бы намекаю на более развёрнутое описание слова "ВПН"

или через интернет линк?

Через интернет. OpenVpn. l2tp

Через интернет. OpenVpn. l2tp

потери между САМИМИ устройствами есть? А от каждого из них до его шлюза? А от каждого из них до шлюза соседа?

потери между САМИМИ устройствами есть? А от каждого из них до его шлюза? А от каждого из них до шлюза соседа?

Есть между микротиками, есть между устройствами (ПК, телефоны) в головном офисе и филиале. Микротик и есть шлюз. С шлюза (микрота в головном офисе) есть потери до микрота и устройств, как и наоборот

ERROR: S client not available

или муж и жона?

Догадливый. Это я сидел с телефона жены.

Догадливый. Это я сидел с телефона жены.

Ну мог бы и выдумать что жена CCIE

Что бы опять наши олухи клеились?

Есть между микротиками, есть между устройствами (ПК, телефоны) в головном офисе и филиале. Микротик и есть шлюз. С шлюза (микрота в головном офисе) есть потери до микрота и устройств, как и наоборот

Ещё раз. От микротика, до его шлюза как связь? А от микротика до шлюза провайдера на второй стороне как связь?

Есть между микротиками, есть между устройствами (ПК, телефоны) в головном офисе и филиале. Микротик и есть шлюз. С шлюза (микрота в головном офисе) есть потери до микрота и устройств, как и наоборот

Не верный ответ. Спрашивают о качестве самого интернета между микротиками

Всё ребят, я офф, не проебите без меня)

Что бы опять наши олухи клеились?

аааа, это она у тебя с веснушками?

Ещё раз. От микротика, до его шлюза как связь? А от микротика до шлюза провайдера на второй стороне как связь?

Все отлично с микротиком и шлюзом провайдера в головном офисе и шлюза провайдера в филиале. От микрота в филиале тоже нет обрывов до шлюза провайдера головного офиса и тамошнего. Дело в vpn

Сейчас снова нормализовалось все. Ребутну наверное в филиале, так как оно уже год без ребута работает. Авось полегчает. Всем большое спасибо за помощь

ну чо кто там рассказывал про 7 версию после hl3 ?

https://lenta.ru/news/2017/07/11/hl/

https://lenta.ru/news/2017/07/11/hl/

я недавно только 1ую прошел первый раз

я тоже. на новом движке она огонь

правда я это делаю раз в 2-3 года

я недавно только 1ую прошел первый раз

я вторую

имхо для полного погружения надо с первой до последней разом

как в дум прямо таки

как раз есть приятный brutaldoom

подними поверх отдельный l3 туннель и проверь с ним, не делай l2 среду

Таки в этом л2 поднял еоип и пробросил влан, и таки проблем видимо нет (удалённо настраиваю нынче). Следовательно траблы на стороне прова, верно?

Опять л2 по л3-тоннелям гоняют... ничему народ не учится

Л2 по л3 самый писк

Опять л2 по л3-тоннелям гоняют... ничему народ не учится

Подскажите тогда как решить проблему озвученную выше.

Опять л2 по л3-тоннелям гоняют... ничему народ не учится

даешь бродкаст размером с нашу огромную страну

Опять таки, если я верно понимаю, это лишь поиск неисправности, не более.

Вам Господь и протокол TCP/IP дали маршрутизацию для решения таких задач

А нафига вообще вилан между офисами?

Вам Господь и протокол TCP/IP дали маршрутизацию для решения таких задач

Т.е. вы не читали в чём проблема? Сейчас продублирую.

Други, нужна помощь. Два некротика, 1036 с одной стороны, 1009 с другой. Прошивки 6.38.7. Территориально в разных городах. Между ними провайдерский L2 VPN, которые не может прокидывать VLAN. 1036 - головной. На нём заведён VLAN, повешан как аксесс на порт с L2 кабелем. На 1009 принимаем этот кабель. Порт закинут в бридж портом для свича. На бридж назначен адрес, роуты прописаны статические. Вроде бы всё работает, да не особо. Этот самый VPN на одних компьютерах работает, на других не работает. При этом внешний канал работает отлично. Смотрю привязку ARP - на 1009 привязка есть с маком, на 1036 (удалённом) только IP-адрес без мака. Подскажите что не так и как починить.

возьмите у оператора корректные настройки чтобы ваш провайдерский л2впн работал. потом переделывайте всё

и используйте этот провайдерский л2впн просто как способ туда сюда гонять трафик через этот сегмент