@MikrotikRu
Aleksander21.07.2017
14:22:54
14:22:54
ну или двымя но аксес листами
Кирилл21.07.2017
14:23:05
14:23:05
Туда закинь эти сети
GoogleAleksander21.07.2017
14:23:53
14:23:53
тут возможна загвозка - так как если в один лист все три сети - то в сетях не будет трафика))
Кирилл21.07.2017
14:24:57
14:24:57
Или попробуй 192.168.0.0/16 дропать, выставив в качестве срц и дст )
Aleksander21.07.2017
14:25:34
14:25:34
смотри: делаем аксес лист в нем три сети
а если так ip route rule add src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=unreachable
Кирилл21.07.2017
14:25:56
14:25:56
Таааак )
Aleksander21.07.2017
14:26:11
14:26:11
в теории даже firewall не участвует
и нагрузка меньше
Кирилл21.07.2017
14:26:35
14:26:35
Это по стоимости больше чем локальный (директ коннект) маршрут
GoogleAleksander21.07.2017
14:33:30
14:33:30
Кирилл21.07.2017
14:40:42
14:40:42
И есть у меня подозрение что не сработает
Aleksander21.07.2017
14:41:08
14:41:08
ну шлюзы пинговать перестало
Kirill21.07.2017
14:41:10
14:41:10
лучше тогда в RAW блочить
Aleksander21.07.2017
14:41:45
14:41:45
эти слова мне уже не понятны\
Александр21.07.2017
14:41:46
14:41:46
Кирилл проверю вечером, но при заходе в спальню, у меня сяоми ми банд2 от телефона даже отваливается, по блютуч4 )
Там реально урановая арматура какая то
Евгений21.07.2017
14:41:55
14:41:55
А если порты разные -- каждую подсеть в свой VLAN?
Aleksander21.07.2017
14:42:36
14:42:36
так какое решение по изоляции сетей на одном микротике самое правильное?
Kirill21.07.2017
14:43:05
14:43:05
кейс в студию
Aleksander21.07.2017
14:43:31
14:43:31
Евгений21.07.2017
14:43:33
14:43:33
На радиоинтерфейсе галочка есть, а в проводах -- ХЗ, варианты...
Можно же route prohibited, не?
Aleksander21.07.2017
14:44:32
14:44:32
коллеги подскажите
на микротике три сети
192.168.0.0/24
192.168.1.0/24
192.168.3.0/24
каким правилом заблокировать хождение трафика между ними, только в инет пускать
GoogleAleksander21.07.2017
14:44:51
14:44:51
но это по подобию
Kirill21.07.2017
14:45:21
14:45:21
значит если других сетей нет, и задача сделать чтобы трафик бегал только в инет делает очень просто
Евгений21.07.2017
14:45:26
14:45:26
Запретить маршрутизацию... фаервол-то тут зачем?
Кирилл21.07.2017
14:46:49
14:46:49
Кирилл проверю вечером, но при заходе в спальню, у меня сяоми ми банд2 от телефона даже отваливается, по блютуч4 )
Там реально урановая арматура какая то
С тем что клиент в удаленной точке испытывает проблемы, это понятно и не лечится. Начинают ли лагать другие клиенты в этот момент, вот что интересно.Kirill21.07.2017
14:47:24
14:47:24
но это по подобию
/ip firewall filter
add action=drop chain=forward out-interface=!ether1 src-address=192.168.0.0/24где ether1 твой провайдер
Кирилл21.07.2017
14:51:48
14:51:48
Предлагаю дропать по 192.168.0.0/16 вместо /24.
?
/ip firewall filter
add action=drop chain=forward out-interface=!ether1 src-address=192.168.0.0/24
Сразу задел на будущее
Одним правилом все будущие сети закроют из 192.168 )
Alexey21.07.2017
14:52:04
14:52:04
Alexey21.07.2017
14:52:21
14:52:21
Ах...ная вещь!
Кирилл21.07.2017
14:54:05
14:54:05
Ах...ная вещь!
Грейлистинг на нем сейчас как, норм работает? В организации с 400 ящиков, помер после включения грейлиста )
Phillip21.07.2017
14:56:23
14:56:23
Хорошая вещь.
Грейлистинг на нем сейчас как, норм работает? В организации с 400 ящиков, помер после включения грейлиста )
У меня на 200 работало. Какой то старый ксеон. НормальноЕвгений21.07.2017
14:59:53
14:59:53
/ip route rule
add action=unreachable dst-address=192.168.88.0/27 \
src-address=192.168.89.0/24
Алексей21.07.2017
15:36:18
15:36:18
Товарищи подскажите пожалуйста, есть например 2 интерфейса в мир. Как заставить определнный IP выпустить в мир через определенный?
Evgeny21.07.2017
15:43:40
15:43:40
Товарищи подскажите пожалуйста, есть например 2 интерфейса в мир. Как заставить определнный IP выпустить в мир через определенный?
Вот для этого правила маршрутов самое оноGoogleКирилл21.07.2017
16:00:36
16:00:36
Ivor21.07.2017
16:45:22
16:45:22
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.2.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.3.0/24 action=drop
а почему файрволл предпочтительнее чем route unreacheable? или равнозначно?Кирилл21.07.2017
16:54:00
16:54:00
дешевый вариант вроде
и работает
Alexey21.07.2017
16:56:05
16:56:05
Грейлистинг на нем сейчас как, норм работает? В организации с 400 ящиков, помер после включения грейлиста )
Прекрасно работал на пограничном exchange 2010коллеги подскажите
на микротике три сети
192.168.0.0/24
192.168.1.0/24
192.168.3.0/24
каким правилом заблокировать хождение трафика между ними, только в инет пускать
У тебя наверняка есть 3 правила форварда наружу для каждой из подсеток . Просто поставь после них правило drop all forwardРазрешено все что не запрещено:)
Aleksander21.07.2017
17:01:10
17:01:10
У тебя наверняка есть 3 правила форварда наружу для каждой из подсеток . Просто поставь после них правило drop all forward
как красиво сказал что если у меня нет этих правил - от я не настоящий сварщик))Кирилл21.07.2017
17:01:21
17:01:21
а почему файрволл предпочтительнее чем route unreacheable? или равнозначно?
слушай, а не работает роутинг unreacheble для сетей
собрал лабу, повесил роуты - ходят пакетыAdminERROR: S client not available
Alexey21.07.2017
17:01:55
17:01:55
как красиво сказал что если у меня нет этих правил - от я не настоящий сварщик))
Ну я по своему подобию всегда говорю:)Я разрешаю что надо, остальное дроп. Ну сам роутер не ограничиваю
То бишь аутпут не юзаю
И все у меня через ацц листы
Andrey21.07.2017
17:04:20
17:04:20
Господа а не подскажите коробочные артистам решение? Небольшая контора в 360 адресов. Спам асасин не предлагать!
Scrollout f1 но там sa, а что с sa не так?
Oleg21.07.2017
17:17:02
17:17:02
у меня scrollout уже года 3 трудится, всё отлично с ним
Andrey21.07.2017
17:21:24
17:21:24
у меня scrollout уже года 3 трудится, всё отлично с ним
Никто не говорил что он не отличный) вопрос топикстартеру про sa не предлагать...Oleg21.07.2017
17:22:13
17:22:13
ой, я про sa не прочитал, там русские буквы и они мимо головы прошли
Сергей21.07.2017
17:24:03
17:24:03
плюсую за орф, эксч 2010 сп3, более 250 юзеров, полет нормальный
GoogleАлексей21.07.2017
17:54:39
17:54:39
Policy base routing
вот странно, в одном случае пускаю трафик в свисток Билайна и все ок, в другом случае пускаю трафик в свисток Йоты и не ок, никакие страницы не открываютсяКирилл21.07.2017
17:55:16
17:55:16
Кирилл21.07.2017
17:57:15
17:57:15
Выпей 100 коньяка, и пусть не открываются
Алексей21.07.2017
17:57:40
17:57:40
На такую сделку ссобой я пойти увы не смогу
Алексей21.07.2017
17:58:53
17:58:53
да не, тут явно я косяпорю что то... Ибо все через нее работает если пустить весь трафик
а вот если для определенного ИП то фиг
ща правила еще раз проверю
Кирилл21.07.2017
17:59:24
17:59:24
А, ну тут накорявил гдето
Рекомендую все же коньяку
Незачем много работать
Плохо заканчивается
Алексей21.07.2017
18:20:02
18:20:02
А, ну тут накорявил гдето
Вы ведь сказали про PBR. Я сейчас сравнил, все настройки и правила одинаковые, и при этом, через свисток билайна все нормально работает, а через йоту нет.
Может ли быть связано с тем что у билайна поднимается PPP интерфейс, а у йоты LTE интерфейсКирилл21.07.2017
18:21:50
18:21:50
Алексей21.07.2017
18:23:22
18:23:22
https://wiki.mikrotik.com/wiki/Policy_Base_Routing
вот так, правда с билайном работает и без последнего шага
Кирилл21.07.2017
18:27:34
18:27:34
Не знаю, может ты опечатался где там
Логика проста
Два nat, в разные интерфейсы
Так?
Открыть в Telegram