нужно ли вам в форвард дропать инвалидов - это вам решать, но для этого вам понадобится еще 1 правило

цепочка - инпут, действие - дропнуть, те кто будет инвалидами

вопрос invalid соединения нужно фильтровать в цепочке input, или до туда не добираются?

докудава дотудава

вопрос invalid соединения нужно фильтровать в цепочке input, или до туда не добираются?

откуда ж я знаю? вам нужно фильтровать инвалид соединения в цепочке инпут или у вас до туда не добираются?

вы бы написали что хотите соорудить

а можно я напишу? я хочу отмаркировать весь траффик торрентов, чтоб потом резать скорость или блочить по пользователям :-)

думаю старый Думер знает способ

докудава дотудава

согласно packet flow routers v5.36 есть простенькое на точке правило /ip firewall connection tracking set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s \ tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=\ 10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s \ tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s \ udp-stream-timeout=3m udp-timeout=10s /ip firewall filter add action=accept chain=input comment="hard security" disabled=no \ protocol=icmp add action=accept chain=input comment="hard security" connection-state=\ established disabled=no add action=accept chain=input comment="hard security" connection-state=\ related disabled=no add action=drop chain=input comment="hard security" disabled=no \ in-interface=ether1-gateway add action=accept chain=forward comment="hard security" \ connection-state=established disabled=no add action=accept chain=forward comment="hard security" \ connection-state=related disabled=no add action=drop chain=forward comment="hard security" connection-state=\ invalid disabled=no >> цель защита не только tcp rst внутренних ресурсов сети и самого оборудования

лучше свой набор сделайте

если говорить нужно ли отдельно дропать инвалид - могу только за себя ответить, я дропаю и на инпут и на форвард с линка оператора

Да чем больше изучаю https://wiki.mikrotik.com/wiki/Manual:Packet_Flow#Changes_in_RouterOS_v6 тем больше вопросов по тонкой настройке

составьте базовый набор правил, который будете в 90% случаях накатывать на новое оборудование из коробки

это и удобно и разберетесь и понятно будет вам же

если говорить нужно ли отдельно дропать инвалид - могу только за себя ответить, я дропаю и на инпут и на форвард с линка оператора

хорошо, playbook запишу

а можно я напишу? я хочу отмаркировать весь траффик торрентов, чтоб потом резать скорость или блочить по пользователям :-)

в pcq уберите src adr dst adr и добавте src port dst port в upload download соответственно

@IPtrack Логика такая. Инвалидный трафик до тебя уже дошел - дропать его или не дропать...он один черт дропнется. Поэтому смысла его дропать на инпуте не вижу. А вот в форвард он может пройти. Поэтом логично в форварде его дропать чтоб в лан лишний трафик не гонять

@IPtrack Логика такая. Инвалидный трафик до тебя уже дошел - дропать его или не дропать...он один черт дропнется. Поэтому смысла его дропать на инпуте не вижу. А вот в форвард он может пройти. Поэтом логично в форварде его дропать чтоб в лан лишний трафик не гонять

Трафик с ограниченными возможностями.

Трафик с ограниченными возможностями.

Коммутатор с поддержкой траффика с ограничеными возможностями.

сразу на помойку его эту каробку

сразу на помойку его эту каробку

Почему? Чем она тебе не угодила?

Энтерпрайз? :)

Ностальгия.

Причём свитч принимает кабель от провайдера и раздаёт на ataшки

Причём свитч принимает кабель от провайдера и раздаёт на ataшки

это норма

у нас также

Быстрое решение из говна и палок. Как-нибудь доедем, поставим нормальную железку. И ящик нормальный. Когда время будет.

Меня пугают люди, которые говорят что это нормально.

Hap mini 1200рублей

В качестве свича?

Да

О О О, на wifimag появился типа в продаже wAP LTE kit

есть у кого понимание, там в комплекте сколько LTE "плат"?

1

а можно ссылку на "плату" которую надо докупать?

И микроты стали рендеринг в брошуре делать

В вике есть

Микротовской совместимые платы

R версия требует плату, кит не требует

но я слышал что туда можно 2 платы воткнуть, не верно?

Ценник убил все хуавеи

Там 912 должна быть внутри с 2 платами - вай-фай 2 и лте

Там 912 должна быть внутри с 2 платами - вай-фай 2 и лте

912 это что? RB?

Да

Да

а можете ссылку? А то про такое и не слыхивал

К сожалению за рулем буду до 11

На mikrotik.com hardware есть фото платы

Или напомните вечером.

там по поиску LTE, плат вообще нет...

Pfsense никто случаем не юзает в роли радиуса ?

Pfsense никто случаем не юзает в роли радиуса ?

допустим, да (на самом деле нет). что за вопрос?

Парни всем привет, подскажите пожайлуста, поднимаю Ipsec тунель с loopback интефрейсов, он поднимается с лупбека на лупбек пинги бегают. Предположим что первый микрот имеет лупбек 172,20,0,1, второй 172,20,0,2.Поверех него поднимаю GRE с указанием src/dst адресов сами лупбеки, тунель поднимается, все круто, после этого вешаю ip адреса на GRE интерфейсы к примеру 10,10,25,1 на первый микротик и 10,10,25,2 на второй микротик, все начинает пинговаться. Но Когда идет трафик с локальной сети первого микротика ( 192,168,10,1) к локальной сети второго (192,168,235,1) конекты дублируються, Выглядит это так, пингую с первого микротика 192,168,10,1 адрес 192,168,235,115, в торче вижу 2 коннекта, первый с src 10,10,25,1 и на 192,168,235,115 и второй коннект с src 192,168,10.1 и на 192,168,235,115. Коннекты одинаковы по пакет рейту и кол-ву байт. При этом на 192,168,10,0.1 в нате есть правило для src 192,168,10,0/24 и dst 192,168,235,0\24 сделать accept. Что за хрень?

Пробовал отключать nat transversal между пирами - не помогает

Всем утра! Господа, вот такой вопрос, провайдер гугл нестабильно пингуется черех ТТК, через другой (платный) всё ок. ТТК грешат на микротик, сам я не сильно разбираюсь, но все настройки аналогично платному провайдеру. трейс каждый раз ведет себюя по разному... Помогите в какую сторону копать.

три разных картины при трёх попытках

Парни, очень нужен совет как решить эту проблему

Парни всем привет, подскажите пожайлуста, поднимаю Ipsec тунель с loopback интефрейсов, он поднимается с лупбека на лупбек пинги бегают. Предположим что первый микрот имеет лупбек 172,20,0,1, второй 172,20,0,2.Поверех него поднимаю GRE с указанием src/dst адресов сами лупбеки, тунель поднимается, все круто, после этого вешаю ip адреса на GRE интерфейсы к примеру 10,10,25,1 на первый микротик и 10,10,25,2 на второй микротик, все начинает пинговаться. Но Когда идет трафик с локальной сети первого микротика ( 192,168,10,1) к локальной сети второго (192,168,235,1) конекты дублируються, Выглядит это так, пингую с первого микротика 192,168,10,1 адрес 192,168,235,115, в торче вижу 2 коннекта, первый с src 10,10,25,1 и на 192,168,235,115 и второй коннект с src 192,168,10.1 и на 192,168,235,115. Коннекты одинаковы по пакет рейту и кол-ву байт. При этом на 192,168,10,0.1 в нате есть правило для src 192,168,10,0/24 и dst 192,168,235,0\24 сделать accept. Что за хрень?

Пробовал отключать nat transversal между пирами - не помогает

Парни всем привет, подскажите пожайлуста, поднимаю Ipsec тунель с loopback интефрейсов, он поднимается с лупбека на лупбек пинги бегают. Предположим что первый микрот имеет лупбек 172,20,0,1, второй 172,20,0,2.Поверех него поднимаю GRE с указанием src/dst адресов сами лупбеки, тунель поднимается, все круто, после этого вешаю ip адреса на GRE интерфейсы к примеру 10,10,25,1 на первый микротик и 10,10,25,2 на второй микротик, все начинает пинговаться. Но Когда идет трафик с локальной сети первого микротика ( 192,168,10,1) к локальной сети второго (192,168,235,1) конекты дублируються, Выглядит это так, пингую с первого микротика 192,168,10,1 адрес 192,168,235,115, в торче вижу 2 коннекта, первый с src 10,10,25,1 и на 192,168,235,115 и второй коннект с src 192,168,10.1 и на 192,168,235,115. Коннекты одинаковы по пакет рейту и кол-ву байт. При этом на 192,168,10,0.1 в нате есть правило для src 192,168,10,0/24 и dst 192,168,235,0\24 сделать accept. Что за хрень?

Обычно сначала поднимают туннель, то бишь ГРЕ, а затем поверх него ипсек

три разных картины при трёх попытках

Маршрутизация по ходу. /ip route print в студию

ERROR: S client not available

Вроде норм, как переключение между каналами реализовано?

скриптом

Походу что то с манглами

ща

Это просто раздельный доступ

Парни всем привет, подскажите пожайлуста, поднимаю Ipsec тунель с loopback интефрейсов, он поднимается с лупбека на лупбек пинги бегают. Предположим что первый микрот имеет лупбек 172,20,0,1, второй 172,20,0,2.Поверех него поднимаю GRE с указанием src/dst адресов сами лупбеки, тунель поднимается, все круто, после этого вешаю ip адреса на GRE интерфейсы к примеру 10,10,25,1 на первый микротик и 10,10,25,2 на второй микротик, все начинает пинговаться. Но Когда идет трафик с локальной сети первого микротика ( 192,168,10,1) к локальной сети второго (192,168,235,1) конекты дублируються, Выглядит это так, пингую с первого микротика 192,168,10,1 адрес 192,168,235,115, в торче вижу 2 коннекта, первый с src 10,10,25,1 и на 192,168,235,115 и второй коннект с src 192,168,10.1 и на 192,168,235,115. Коннекты одинаковы по пакет рейту и кол-ву байт. При этом на 192,168,10,0.1 в нате есть правило для src 192,168,10,0/24 и dst 192,168,235,0\24 сделать accept. Что за хрень?

И если ты соединяешь 2 сети, зачем ты используешь между ними НАТ? Ты можешь спокойно использовать маршрутизацию, чо куда пизже

сейчас как назло эти мудаки видимо что сделали, таки-стабилизировалось

Ребутни, и попробуй снова.

Так я НЕ делаю между ними NAT, он сам натит я делаю правила ACCEPT то есть не натить а пропустить прозрачно

И если ты соединяешь 2 сети, зачем ты используешь между ними НАТ? Ты можешь спокойно использовать маршрутизацию, чо куда пизже

Ребутни, и попробуй снова.

эт мне?

Для гарантированной проверки - отключаешь манглы, оставляешь только одно провайдера и тестишь. Если норм, включаешь манглы и тестишь, если не норм - косяки с настройкой. Если норм - значит был косой у провайдера

Для гарантированной проверки - отключаешь манглы, оставляешь только одно провайдера и тестишь. Если норм, включаешь манглы и тестишь, если не норм - косяки с настройкой. Если норм - значит был косой у провайдера

понял, тока микрот далеко

эт мне?

Тебе

понял, тока микрот далеко

Все равно ребутни

Все равно ребутни

уже

Так я НЕ делаю между ними NAT, он сам натит я делаю правила ACCEPT то есть не натить а пропустить прозрачно

Ты сам пишешь что делаешь правило в нате

При работе с 2мя сетями работа идёт в таблице файрвол фильтр а не не в НАТ

В таблице НАТ не нужны никакие правила на тему этих тунелей, все делаешь в фильтрах - разрешаешь прохождение пакетов из одной локалки в другую

Сначала сделай гре туннель, потом уже ипсек

Я сделал правила в нате потому что вижу дублирующие коннекты которые еще и натятся, изначально я не хотел его делать, и правила ACCEPT

Ты сам пишешь что делаешь правило в нате

Потому что туннель у тебя наоборот, как красная шапочка серая, потому что из волка, только носит она ее мясом наружу

Это нормальная схема микротиков на лупбеках

Потому что туннель у тебя наоборот, как красная шапочка серая, потому что из волка, только носит она ее мясом наружу

А что ты хочешь вообще сделать?

И зачем использовать лупбеки? Мош я чего то не понимаю

Лупбеки для удобства, классическая схема. Хочу поднять ipsec , внутри него поднять GRE , поднять OSPF. Собственно все поднимается и работает, но вот почему-то работает нат

И зачем использовать лупбеки? Мош я чего то не понимаю

И зачем использовать лупбеки? Мош я чего то не понимаю

Всё правильно делаешь