так, и в чём пробелма тогда?

вот в хочу на стенде сделать, и почему-то крокодил не ловится, не понимаю почему.

показывай

секунду

показывай

балин, заработало :) чудеса какие-то :)

извиняюсь за беспокойство :)

Господа, вопрос по быстрому. Есть один интерфейс, на нем две подсети. Есть задача — перебросить все запросы клиентов на айпи во второй подсети. Правило /ip firewall nat add action=dst-nat chain=dstnat comment="netmap clients not in allow list to captive portal" dst-port=80,443 protocol=tcp src-address=192.168.88.0/24 src-address-list=!allow to-addresses=192.168.89.2 раньше работало, когда айпи, на который перебрасывались запросы, был во внешней сети, на другом интерфейсе. Теперь оно не работает — вероятно, из-за того, что трафик во внутренней сети просто не попадает в цепочку dstnat. Что мне нужно сделать, чтобы переадресация заработала?

Микротик — RB751G, настройки стандартные через quickset

Сходу проблему решить не удалось, поэтому обращаюсь к сообществу.

Сходу проблему решить не удалось, поэтому обращаюсь к сообществу.

какая маска на хостах?

какая маска на хостах?

/24 везде

покажите весь нат

add action=dst-nat chain=dstnat comment=\ "netmap clients not in allow list to captive portal" dst-port=80,443 \ protocol=tcp src-address=192.168.88.0/24 src-address-list=!allow \ to-addresses=192.168.89.2 add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\ ether1

Собственно, даже две подсети городить не обязательно. Если есть решение, как переадресовать клиентов на хост в той же подсети, я им воспользуюсь.

Хейрпин

у тебя новый адрес в локалке или вообще это тот же роутер?

Нет, это другой адрес. Там малинка, и я на ней пилю портал авторизации через смс.

Собственно, даже две подсети городить не обязательно. Если есть решение, как переадресовать клиентов на хост в той же подсети, я им воспользуюсь.

вообще проблем не должно быть, у хоста 89.2 какой шлюз указан?

Ну так маскарадь трафик к ней. ТАк как клиент ждет ответа от МАС роутера,а прилетает от МАС малины. Надо маскарадить трафик к малине этот. что бы она отвечала роутеру, а роутер уже клиенту отсылал ответ

всё и так будет, когда pppoe клиент поднимится маршрут /32 сам пропишится как connected

да, отлично, теперь с шейпером непонятка

да, отлично, теперь с шейпером непонятка

какая непонятка

юзеру сделал бинд, таргет в очереди указываю этот бинд, горит красным

вообще проблем не должно быть, у хоста 89.2 какой шлюз указан?

192.168.89.1

Ну так маскарадь трафик к ней. ТАк как клиент ждет ответа от МАС роутера,а прилетает от МАС малины. Надо маскарадить трафик к малине этот. что бы она отвечала роутеру, а роутер уже клиенту отсылал ответ

не не сети разные

юзеру сделал бинд, таргет в очереди указываю этот бинд, горит красным

показывай

не не сети разные

а, да, проглядел. ?

Ну так маскарадь трафик к ней. ТАк как клиент ждет ответа от МАС роутера,а прилетает от МАС малины. Надо маскарадить трафик к малине этот. что бы она отвечала роутеру, а роутер уже клиенту отсылал ответ

Мне нужно, чтобы айпи источника не менялся. Чтобы малинка видела, откуда поступает запрос. В этом весь смысл.

192.168.89.1

выключи все правила в филтре, для теста

Sergiy, а ты свои сиську и 2011 подебил уже, кстати?

слушай, а на малине случааем не два адреса?

слушай, а на малине случааем не два адреса?

Точно.

Сейчас выключу второй, перезагружусь и проверю.

Sergiy, а ты свои сиську и 2011 подебил уже, кстати?

неа, руки не доходят. вчера подключал voip-шлюз и звезды фотографировал

выключи все правила в филтре, для теста

Не помогло, к сожалению.

Сейчас выключу второй, перезагружусь и проверю.

Я имел ввиду адрес из локалки клиентов. Он им напрямую отвечать мог тогда. Админ, для начала смотри на трафик. улетают ли пакеты на новый адрес посмотри торчем на интерфейсе к малине. Ну или пакет снифером. так лучше будет

по ходу бинд неправильно ставил, щас переподключится клиент...

да, service надо прописать было, всё отлично

Я имел ввиду адрес из локалки клиентов. Он им напрямую отвечать мог тогда. Админ, для начала смотри на трафик. улетают ли пакеты на новый адрес посмотри торчем на интерфейсе к малине. Ну или пакет снифером. так лучше будет

Вот я тоже так и подумал. Сейчас убрал в малине айпи из 88й подсети, перезагружаю. Что странно, service networking restart не убирает ранее добавленные адреса, они остаются до перезагрузки.

Ничего странного, так и должно быть. Догадаешься, почему?

Потому, что адреса из конфига только добавляются? Не совсем логично :/

Почему же?

Ага. Restart не обновляет конфиг, сервис просто считывает новый при перезапуске, верно?

Я не знаю, что ты имеешь в виду, но на самом деле это работает так:

Рестарт = стоп + старт. Откуда старт берёт адреса, которые нужно назначить? Очевидно, из конфига. Стоп отличается тем, что не добавляет, а удаляет адреса. Откуда он берёт список адресов, которые нужно удалить? ? Очевидно же, из конфига.

Следовательно, когда ты 88.1 (или что там у тебя) убрал из конфига - скрипт network уже не знает ни о том, что этот адрес нужно назначать, ни о том, что его нужно удалять.

а как нужно указывать что адрес надо удалять?

А если сделать reload, то все будет как нужно?

А что, для network есть эта команда?

а как нужно указывать что адрес надо удалять?

Ручками. Или сначала сделать стоп, убрать адрес из конфига, потом сделать старт.

тоесть он сравнивает конфиги на момент стопа и старта? Ясно.

Никто ничего не сравнивает. Внимательно прочти.

А что, для network есть эта команда?

user@ubuntu:~> service networking [tab-tab] force-reload reload restart start stop

тоесть он сравнивает конфиги на момент стопа и старта? Ясно.

Нет. Просто у него в памяти есть текущий конфиг, скорее всего. А может и нет, и все это не заработает. Проверять не хочу, у малины нет монитора.

Никто ничего не сравнивает. Внимательно прочти.

"Или сначала сделать стоп, убрать адрес из конфига, потом сделать старт." Как я должен был интерпритировать даную информацию?

user@ubuntu:~> service networking [tab-tab] force-reload reload restart start stop

Хм, не обращал внимания. Ну возьми да открой скрипт - увидишь, что делает релоад.

Нет. Просто у него в памяти есть текущий конфиг, скорее всего. А может и нет, и все это не заработает. Проверять не хочу, у малины нет монитора.

если бы был в памяти текущий то рестарт удалил бы адрес

показывай

не понимаю почему перестаёт работать во второй раз если остановить пинги, и удалить запись из адрес-листа /ip firewall mangle add action=mark-connection chain=prerouting connection-state=new dst-address=8.8.8.8 new-connection-mark=google passthrough=no protocol=icmp add action=mark-packet chain=postrouting connection-mark=google new-packet-mark=4 passthrough=yes /ip firewall nat add action=src-nat chain=srcnat comment=NAT out-interface=ether1-WAN to-addresses=192.168.1.155 add action=add-src-to-address-list address-list=123 address-list-timeout=0s chain=srcnat packet-mark=4 при чем счетчики тикают в мангле на оба правила, в коннекшен трекере марк google виден а в адре слист не добавляется, я уж соединение удалял, пинги останавливал, роутер даже ребутнул на всякий пожарный, а всё равно нет. только что работало при таких правилах. Да и счетчик второго правила нат перестает тикать.

"Или сначала сделать стоп, убрать адрес из конфига, потом сделать старт." Как я должен был интерпритировать даную информацию?

Ммм... А что непонятного?

Ну, пока мы все это обсуждали, у меня заработало. @erazel спасибо за подсказку насчет второго адреса!

ну я предположил что для удаления адреса надо это делать между стопом и стартом. если менять конфиг ДО стопа то это не даст результата. Как было в случае Админа

Совершенно верно, и я уже объяснил, почему.

ну я предположил что для удаления адреса надо это делать между стопом и стартом. если менять конфиг ДО стопа то это не даст результата. Как было в случае Админа

Серёга привет, скажи своё веское :)

ну я предположил что для удаления адреса надо это делать между стопом и стартом. если менять конфиг ДО стопа то это не даст результата. Как было в случае Админа

Маленький нюанс: если машина далеко, это сделать не получится. А так получается защита от дурака в каком-то смысле — поменять конфиг, применить, зайти по новому адресу, убрать старый ручками.

Серёга привет, скажи своё веское :)

не скажу. я не мониторил ветвь диалога. да и в конфигах с наскока трудно разбираюсь

не понимаю почему перестаёт работать во второй раз если остановить пинги, и удалить запись из адрес-листа /ip firewall mangle add action=mark-connection chain=prerouting connection-state=new dst-address=8.8.8.8 new-connection-mark=google passthrough=no protocol=icmp add action=mark-packet chain=postrouting connection-mark=google new-packet-mark=4 passthrough=yes /ip firewall nat add action=src-nat chain=srcnat comment=NAT out-interface=ether1-WAN to-addresses=192.168.1.155 add action=add-src-to-address-list address-list=123 address-list-timeout=0s chain=srcnat packet-mark=4 при чем счетчики тикают в мангле на оба правила, в коннекшен трекере марк google виден а в адре слист не добавляется, я уж соединение удалял, пинги останавливал, роутер даже ребутнул на всякий пожарный, а всё равно нет. только что работало при таких правилах. Да и счетчик второго правила нат перестает тикать.

в нат, твоё правило подними выше src-nat

в нат, твоё правило подними выше src-nat

дак и работало жеж и так :)

ERROR: S client not available

Маленький нюанс: если машина далеко, это сделать не получится. А так получается защита от дурака в каком-то смысле — поменять конфиг, применить, зайти по новому адресу, убрать старый ручками.

Нет никакой защиты от дурака, просто так написан скрипт. Остальное - безосновательные домыслы.

Я же сказал, что получается защита. Не имел в виду, что это предусмотрено.

в нат, твоё правило подними выше src-nat

поднял результата нет :)

может это глюк какой...

поднял результата нет :)

какой должен быть результат, если в нат попадает только пакет new

какой должен быть результат, если в нат попадает только пакет new

так, минуту...

какой должен быть результат, если в нат попадает только пакет new

по итогу мне по состоянию коннекшена в таком случае не ндао опционировать?

Я же сказал, что получается защита. Не имел в виду, что это предусмотрено.

Не защита это, а случайность, грубо говоря. Просто побочный эффект.

по итогу мне по состоянию коннекшена в таком случае не ндао опционировать?

ты кейс опиши полностью

ты кейс опиши полностью

как и говорил, хочу метить пинги до гугла, а потом по этим меткам заносить тех кто пингует в адрес-лист

используя мангл

так а зачем nat тогда?

так а зачем nat тогда?

а че мдобавалять в адрес-лист

темже mangle

как и говорил, хочу метить пинги до гугла, а потом по этим меткам заносить тех кто пингует в адрес-лист

Холмс, но зачем это вам понадобилось?

а че мдобавалять в адрес-лист

add action=add-src-to-address-list address-list=google address-list-timeout=10s chain=forward dst-address=8.8.8.8 protocol=icmp src-address-list=!google

/system reset-configuration

сдался я, может тут мне помогут

MikroTik RouterBoard hAP Mini

вот эта штука не хочет программно сбрасываться на дефаулт. точнее она сбрасывается но после к ней не подключиться ни по ip ни по mactelnet (winbox). аппаратный сброс работает штатно.

привет всем

/system reset-configuration no-defaults=yes skip-backup=yes

пробовал еще в конце команды добавить run-after-reset=ip.rsc но тоже скрипт не отрабатывает

И ты теперь по всем чатам ходишь и кросспостишь?

а это запрещено?

В этих ваших интернетах сетевой этикет порицает кросспостинг, да.

А на форумах так вообще банят за такое.

пробовал еще в конце команды добавить run-after-reset=ip.rsc но тоже скрипт не отрабатывает

а случаем на компе с которого ты пытаешь подключиться, не пару сетевых адаптеров? (виртуальных ,physicall)

да есть такое. но при чем тут это? если комп отлично подключается после аппаратного сброса микротика

А на форумах так вообще банят за такое.

на форумах разные темы ОДНОГО ФОРУМА. а тут каждый чат это ОТДЕЛЬНЫЙ ФОРУМ. Так что успокойся ?