@MikrotikRu
Anton28.08.2017
16:01:28
16:01:28
Чо, посоны - придумали решение задачи с туннелем и HTTPS?
Aleksey28.08.2017
16:17:21
16:17:21
Всем привет! Пользователь MikroTik из Калининграда. Сертифицирован по MTCNA, MTCRE. Сюда попал по приглашению @karetah
Alexei28.08.2017
16:18:03
16:18:03
Чо, посоны - придумали решение задачи с туннелем и HTTPS?
почти, дома дети не дают, давайте завтра продолжимGoogleAlexei28.08.2017
16:18:19
16:18:19
завтр буду на живую тестить
ну как бы в лабе
в теории уже в принципе вроде как понятно что надо сделать
хочу реализовать на стенде
Alexei28.08.2017
16:20:20
16:20:20
мсье провокатор? :)
интересно чем спровоцирован, интерес такой незаурядной личности, к таким тривиальным проблемам смертных? :)
Anton28.08.2017
16:22:06
16:22:06
мсье провокатор? :)
Не исключено. Что не отменяет неудобства кучи сообщений вместо одной красиво изложенной мысли.GoogleAnton28.08.2017
16:22:16
16:22:16
интересно чем спровоцирован, интерес такой незаурядной личности, к таким тривиальным проблемам смертных? :)
Лишними запятыми, например.Alexei28.08.2017
16:23:19
16:23:19
естественно простого ответа на простой вопрос не последует, смерды должны додумывать сами :)
Евгений28.08.2017
16:27:15
16:27:15
capsman + 3 cap2nd = 20 мегабит входящая \ 70 исходящая (канал 100мегабит). подскажите, что может быть? хочу входящую побольше
Sergiy28.08.2017
16:56:16
16:56:16
Всем привет! Пользователь MikroTik из Калининграда. Сертифицирован по MTCNA, MTCRE. Сюда попал по приглашению @karetah
мало, что то сертификатов мало, фу ?Anton28.08.2017
16:57:45
16:57:45
Покажи свой MTCINE. ?
Алексей28.08.2017
17:02:25
17:02:25
capsman + 3 cap2nd = 20 мегабит входящая \ 70 исходящая (канал 100мегабит). подскажите, что может быть? хочу входящую побольше
Смотреть в сторону стандарта, канала и режима Ce eCcapsman + 3 cap2nd = 20 мегабит входящая \ 70 исходящая (канал 100мегабит). подскажите, что может быть? хочу входящую побольше
По поводу то нормально? Может быть канал плохой сам по себе?Евгений28.08.2017
17:03:43
17:03:43
Отдача до 80 доходит
Скачивается до 25максимум
Алексей28.08.2017
17:04:12
17:04:12
Значит частоты смотреть. Каналы заняты может
Чем принимаете? Кто клиент.
?
Евгений28.08.2017
17:06:41
17:06:41
Алексей28.08.2017
17:08:41
17:08:41
Се расширение диапазона от канала в +.
еС в минус
Евгений28.08.2017
17:08:54
17:08:54
Аа, ок
Алексей28.08.2017
17:08:57
17:08:57
С = channel
Е = extension
Получается что от той частоты что задали позволяет расширяться в + от канала или в минус
Google
Nikolai28.08.2017
17:30:02
17:30:02
Сначала посмотреть загрузку частот. Про простому - через wifi analyzer. Или по-серьезнее, через snooper
А потом уже играть с каналами. Иначе, это будет игра в угадайку с херовым результатом.
Иногда имеет смысл вообще уйти от "Се"/"еС" в полосу 20MHz и не цеплять лишних помех
fluid28.08.2017
19:34:22
19:34:22
а в чем можно нарисовать лабу нормально, пейнт не предлагайте :)
Kirill28.08.2017
19:34:42
19:34:42
visio
Temfluid28.08.2017
19:36:47
19:36:47
спасибо
Alex
Alexander28.08.2017
20:01:33
20:01:33
просьба после 22.00 МСК не меншнить через собаку. еще раз придётся проснуться - вызывающий уйдёт в readonly на пару суток.
Anton28.08.2017
20:02:28
20:02:28
Т.е. после 22:00 можно спамить и не накажут?
fluid28.08.2017
20:11:51
20:11:51
fluid28.08.2017
20:11:54
20:11:54
задача: в сети R1 разрешить доступ в интернет через vpn только для 10.2.1.1, в сети R2 разрешить доступ через этот же vpn только для 10.0.0.1, сейчас я понимаю, что реализовал это крайне неправильно, оно как-то работает, но из-за кучи натов доступ из одной сети в другую не работает нормально, подскажите пожалуйста, как бы это правильно реализовать?
Anton28.08.2017
20:14:01
20:14:01
Почему ты думаешь, что сейчас неправильно?
Alexander28.08.2017
20:16:00
20:16:00
fluid28.08.2017
20:16:00
20:16:00
на R1 я сделал мангл по прероутингу для 10.2.1.1 и 10.3.0.1, которым нужен выход через vpn, сделал отдельный для них нат с указанием интерфейса vpn-service
Anton28.08.2017
20:17:09
20:17:09
mangle можно убрать. Тебе же никто не мешает указать src-addr сразу в таблице nat.
Ещё и производительность вырастет.
fluid28.08.2017
20:23:48
20:23:48
хорошо, начнем с R1, как тогда прописать маршрут чтобы нужный мне клиент выходил через интерфейс vpn? сейчас у меня 0.0.0.0/0 с указанием интерфейса и марк роутинга
GoogleAnton28.08.2017
20:25:27
20:25:27
Ты лучше покажи /ip firewall nat export; /ip firewall mangle export.
AdminERROR: S client not available
fluid28.08.2017
20:26:43
20:26:43
/ip firewall nat
add action=masquerade chain=srcnat out-interface=portlane src-address-list=portlane
add action=masquerade chain=srcnat out-interface=eth1-gw
add action=dst-nat chain=dstnat dst-port=53 protocol=tcp to-addresses=10.2.0.1 to-ports=53
add action=dst-nat chain=dstnat dst-port=53 protocol=udp to-addresses=10.2.0.1 to-ports=53
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=portlane passthrough=yes src-address-list=portlane
там еще куча всякого выключенного говна
Anton28.08.2017
20:28:55
20:28:55
Так, ты ставишь roting-mark. Значит, у тебя есть маршрут, который её использует, верно?
fluid28.08.2017
20:29:04
20:29:04
да, все так
/ip route
add distance=1 gateway=portlane routing-mark=portlane
add distance=1 dst-address=10.2.0.0/21 gateway=bridge pref-src=10.2.0.1 routing-mark=portlane scope=10
первый для выхода через интерфейс, второй для доступа в локальную сеть
Anton28.08.2017
20:34:41
20:34:41
Так, я сейчас немного туплю, ибо время позднее, поэтому прямо сразу могу написать простое: адреса на выходе статические? Если да - замени masquerade на srcnat (добавив to-address) - чуть-чуть быстрее будет. Хотя на глаз не заметишь.
fluid28.08.2017
20:35:10
20:35:10
хорошо :)
правда portlane выдает всегда динамический адрес, а провайдер статический, не думаю, что это как-либо повлияет
Anton28.08.2017
20:41:04
20:41:04
Там, где динамический - оставь маскарад.
У меня дома похожая конфигурация: есть гостевая сеть, есть моя. Из моей в туннель офиса можно, из гостевой нельзя.
Наиболее кошерно это таки с mangle выглядит (но у меня конфиг сложнее), так что твой конфиг считаю корректным.
fluid28.08.2017
20:46:53
20:46:53
хорошо, а как тогда быть с R2, там у меня сделано тоже самое
там на микротике l2tp клиент и для него повторено тоже самое, что и на R1 для portlane
и вот это мне кажется какой-то дичью, но как сделать это правильно я не знаю :)
Anton28.08.2017
20:48:49
20:48:49
там на микротике l2tp клиент и для него повторено тоже самое, что и на R1 для portlane
Кстати, L2TP замени на IP-IP, если уж негровтык с негровтыком.В adress list на R1 есть адреса из сетей, которые за R2, так?
fluid28.08.2017
20:50:26
20:50:26
да, 10.3.0.1
GoogleAnton28.08.2017
20:51:26
20:51:26
Но тогда на R2 у тебя должен быть конфиг немного проще. Тебе ведь нужно просто смаршрутизировать адрес/сеть на R1 - ведь на нём уже VPN куда-то дальше поднят.
fluid28.08.2017
20:51:59
20:51:59
а мне не нужно, чтобы все ходили через R1 из R2
Anton28.08.2017
20:53:40
20:53:40
Ну так в этом случае и нужен mangle routing-mark и на R2.
Если тебе нужно, чтобы выбираемый gateway зависел от src-addr - то тебе придётся использовать routing-mark.
Хотя может быть, что на R2 /ip firewall mangle можно заменить на /ip route rule.
Правда, /ip route rule также вешает routing-mark, так что практически тот же mangle тебе.
fluid28.08.2017
21:05:37
21:05:37
так, а маскарейд для адресов на R2 нужен?
Anton28.08.2017
21:06:14
21:06:14
Маскарад нужен только в том случае, если ты делаешь NAT, но не знаешь, какой адрес на выходном интерфейсе.
А там, где у тебя внутренние адреса - и сам NAT не нужен.
fluid28.08.2017
21:09:16
21:09:16
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=backbone src-address-list=backbone
add action=masquerade chain=srcnat out-interface=eth1-gw
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=backbone passthrough=yes src-address-list=backbone
сейчас вот так на R2, маскарейд для адресов выключен
Открыть в Telegram