хз, чем он легче) настроек ровно столбько же

Нагрузкой уасЯ

А ты структуру пакета сравнивал? ?

http://packetlife.net/blog/2012/feb/27/gre-vs-ipip-tunneling/

По сути сейчас GRE нужен только в том случае, когда тебе внутри туннеля необходимо гнать не IP, а другой протокол.

ну вот я ещё не понял нужно мне или нет ))) только вчера поднял эту петрушку

Не нужно.

хотя какая разница провайдер всёравно гре режет

У тебя там сервак, который является точкой выхода в инет для обхода блокировок, так?

так

хотя какая разница провайдер всёравно гре режет

Интересно, а как он может это делать, если оно внутри IPsec? ? Пров не может узнать, что внутри же.

Интересно, а как он может это делать, если оно внутри IPsec? ? Пров не может узнать, что внутри же.

я хз, но по факту ипсек поднимается, а гре нет, у всех на ттк в городе не пашут гре

так

А в этих ваших интернетах ничего, кроме IP не используется. На то он и Internet Protocol.

ARP тебе не нужен на тот сервак, например.

я хз, но по факту ипсек поднимается, а гре нет, у всех на ттк в городе не пашут гре

Я бы всё-таки проверил, действительно ли работает ESP. То, что сессия устанавливается, ещё не значит, что происходит инкапсуляция и шифрование.

sudo hping3 -0 -H 47 -e '1234567890' —traceroute 195.68.*.* HPING 195.68.*.* (eth0 195.68.*.***166): raw IP mode set, 20 headers + 10 data bytes hop=1 TTL 0 during transit from ip=10.42.*.* name=UNKNOWN примерно так это выглядит)) просто после роутера по 47 протоколу ничего никуда не идёт) а с другова провайдера sudo hping3 -0 -H 47 -e '1234567890' —traceroute 195.68.*.* HPING 195.68.*.* (enp3s0 195.68.*.*): raw IP mode set, 20 headers + 10 data bytes hop=1 TTL 0 during transit from ip=172.28.*.*** name=gateway hop=2 TTL 0 during transit from ip=188.168.168.1 name=bras.ysk.sakhttk.ru hop=3 TTL 0 during transit from ip=188.168.64.6 name=188.168.64.6.static.sakhttk.ru hop=4 TTL 0 during transit from ip=217.150.48.134 итд..

Сорри, уже поздняя ночь у меня, так что я не совсем раскурил вывод hping в контексте задачи, подумаю ещё позже.

??

Но точно тебе могу сказать, что если у тебя не работает GRE внутри ESP - это требует отдельного изучения. Сам ESP отфильтровать несложно же, однако внутри него зашифрованные данные, и для провайдера это должно выглядеть как случайный поток.

ну еслиб у меня одного, так ни на цысках ни на жуниперах ни на тиках не поднимается гре у ттк местного

Следовательно, провайдер не должен иметь возможности определить, GRE у тебя внутри ESP идёт или любой другой протокол.

ну еслиб у меня одного, так ни на цысках ни на жуниперах ни на тиках не поднимается гре у ттк местного

Нешифрованный - вполне может быть, это логично. Я же и говорю - этот вопрос требует дополнительного изучения.

Кстати, на всякий случай - а покажи /ip ipsec export же.

@toperx, ещё здесь?

Ага, работы подвалило ...

Ждать экспорт есть смысл? Спать скоро собираюсь...

не, может позже) спокойной ночи)

Господа, я правильно понимаю что если использовать свой портал то и разрешать и запрещать доступ на микротике через api ?

/stat@combot

combot.org/chat/-1001062683398

Вы предлагаете каждый день смотреть на рейтинг флуфа участников чата?

без микротика гуд

вот и нашли в чем дело.сбрасываете роутер

Можно как то через консоль прописывать, допустим, маршруты для интерфейса, которые еще не подключен? lte1 например

ну если будешь знать его имя то что запрещает то?

ну если будешь знать его имя то что запрещает то?

тем, что для несуществующего интерфейса даже отключенное правило нельзя создать

другое дело если интерфейс существует, но не поднят

Можно как то через консоль прописывать, допустим, маршруты для интерфейса, которые еще не подключен? lte1 например

интерфейс существует, но не поднят или это динамический?

Господа. глупый вопрос- как удалить пустой Address list в Firewall?

/ip firewall address-list remove [/ip firewall address-list find list="PrivateWiFi"]

не канает(

в правилах нигде уже не используется эта группа.

интерфейс существует, но не поднят или это динамический?

нет его, точнее не разу не вставлялся туда

тогда никак, не даст микротик что-то делать с несуществующим интерфейсом

в смысле, модем не вставлялся

/ip firewall address-list remove [/ip firewall address-list find list="PrivateWiFi"]

работает ваш пример

работает ваш пример

не удаляет скотино :(

на одинаковых тунелях на одних есть на других нет

не удаляет скотино :(

значит где-то числится этот список в правилах

ясно, копать короче9

на одинаковых тунелях на одних есть на других нет

есть что?

так динамический

т.е. у вас включен л2тп сервер, но статического интерфейса нет, а логин юзера для доступа есть.. вот интерфейс и создается динамически

ясно, копать короче9

/ip firewall address-list add address=1.1.1.1 list=ololo /ip firewall address-list add address=2.2.2.2 list=ololo /ip firewall address-list remove [/ip firewall address-list find list="ololo"] проверить же проще простого )

/ip firewall address-list add address=1.1.1.1 list=ololo /ip firewall address-list add address=2.2.2.2 list=ololo /ip firewall address-list remove [/ip firewall address-list find list="ololo"] проверить же проще простого )

не, команда работает)

проверить надо где теперь эта зада сидит)

так тоже не сложно

сделайте экспорт и в текстовом найдите вхождение

сделайте экспорт и в текстовом найдите вхождение

Мда, спасиб, нашел)

Господа. глупый вопрос- как удалить пустой Address list в Firewall?

он сам удалится после ребута

он сам удалится после ребута

Не, он удаляется сразу, если он пустой, у меня же он использовался в дебрях, поэтому не удалялся

Не, он удаляется сразу, если он пустой, у меня же он использовался в дебрях, поэтому не удалялся

у меня прост было что незаюзаный лист висел, ребутнул я роутер и он ушел :)

ERROR: S client not available

это скорее глюк какой, т.к. если есть лист, в нем есть записи, но лист нигде не пользуется, он не удалится при ребуте..

Здравствуйте, какие порты необходимо прокинуть на устройстве которое раздаёт интернет, чтобы работал VPN настроеный на микротике?

pptp?

pptp?

Да

Здравствуйте, какие порты необходимо прокинуть на устройстве которое раздаёт интернет, чтобы работал VPN настроеный на микротике?

1723, и гре

tcp/1723 и 47

Спасибо

как в микротике очистить conntrack?

из консоли

/system reboot ?

а что то типо /ip firewall conntrack flush

но такой нет

Серж, задисаблить потом заенаблить контрак

Кстати, команда обрыва соединения в сосноли есть? Из ГУЯ же можно.

ip firewall connection tracking set enabled=no

пото ясен фраг поставить enabled=auto

Кстати, команда обрыва соединения в сосноли есть? Из ГУЯ же можно.

это где?

на циске asr ребутом чистится

:D

делаешь clear ip nat trans

и все

это где?

- кнопка же, нэ?

/ip firewall connection remove [find ]

- кнопка же, нэ?

нету

нету

Есть, ну ты чего?

/ip firewall connection remove [find ]

Вот, да.

а, минус, проглядел, каюсь

в общем как в обычной жизне единственный кто всё знает это хрен, так и в консоли микротика кнопка которая всё знает это ТАВ . ? . Не знаешь что то - жми ТАВ и смотри варианты дальнейшего развития команды ?

Sergiy, кстати, а не помнишь ли, возможно ли найти номер элемента? Например, номер правила межсетевого экрана.

Принт делаешь он номера пишет, не?