мммм

а маскарад на алл-ппп нужен??????

?????

зачем?

X_x

я в шоке

ни разу эти правила так не строил

вот эта штука.

?

Эээ

какой-то оверкилл на мой взгляд

что с ней делать?

ну смотри

маскарад тебе нужен только чтобы твои внутренние клиенты ходили в интернет

не более того

нижнию строчку адали

т.к. со стороны провайдера у тебя один айпи

я бы обе удалил ))))

Щачем натить локалку в локалку?

удали все, маскарад на интерфейс провайдера

т.е. у тебя маскарад должен быть только на интерфейсе WAN

которые по пптп тоже

Щачем натить локалку в локалку?

иногда нужно

когда с обоих сторон одинаковые айпи

но это костыли

если маскарад убрать - ВСЕ работает, кроме выхода локальных клиентов в инет

Ну, я тоже таким занимаюсь, но просто потому что никто с той стороны новые подсети в ипсек не пропишет

мне проще изначально каждому офису давать новую подсетку

только иногда голову поломать надо

что с ней делать?

ты там как?

маскарад нужен когда роутов нет на твою подсеть, например ВПН к роутеру на котором ты роуты прописать не можешь ?

делаю

делаю

Можно в маскараде указать дестенейшн адрес всё кроме твоих сетей.

если маскарад убрать - ВСЕ работает, кроме выхода локальных клиентов в инет

так и есть

Не помню как в кли, но в винбоксе восклицательный знак просто

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-uplink

cltkfk nfr

сделал так

а разве там не через РРРОЕ ?

заработало?)

мне проще изначально каждому офису давать новую подсетку

Тебе проще, потому что у тебя только своя сеть. А у нас заказчики с заказчиками, которые свои сети перепиливать не будут, а адреса пересекаются.

нет

/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1-uplink

На ппое ж

а чего тогда дефолтный маршруты на скринах через РРРОЕ?

Ну и опять же у тебя сейяас всё что не бридж подчеть натится

судя по трасеру и роутам ппое шлюз, и натить с него надо конечно

На ппое ж

dct hfdyj jlyj b nj ;t

Исключение ткни там

да тупо аут интерфейс указать нужный, "РРОЕ чего то там"

/ip firewall nat add action=masquerade chain=srcnat dst-address=!192.168.0.0/16 out-interface=pppoe-mgn

так?

в принципе пойдет.

маршрут все ровно идет не туда

Покажи трейс с микротика прям

товарищи, кто с CRS дело имеет, подскажите пытаюсь по http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN делать самый примитивный вариант. все порты в одном master-switch. инет от провайдера приходит в ether1, комп воткнут в ether2. всё - untagged. пока вланы не трогаю, инет на клиенте есть. делаю так: /interface ethernet switch ingress-vlan-translation add ports=ether1 customer-vid=0 new-customer-vid=10 sa-learning=yes add ports=ether2 customer-vid=0 new-customer-vid=10 sa-learning=yes /interface ethernet switch vlan add ports=ether1,ether2 vlan-id=10 learn=yes /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2 - инет ломается. почему - не понимаю.

(crs12-24g-1s)

tool traceroute 192.168.6.1 # ADDRESS LOSS SENT LAST AVG BEST WORST STD-DEV STATUS 1 192.168.6.1 0% 3 80.7ms 80.3 79.9 80.7 0.4

это он то же всеть прова идет

товарищи, кто с CRS дело имеет, подскажите пытаюсь по http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN делать самый примитивный вариант. все порты в одном master-switch. инет от провайдера приходит в ether1, комп воткнут в ether2. всё - untagged. пока вланы не трогаю, инет на клиенте есть. делаю так: /interface ethernet switch ingress-vlan-translation add ports=ether1 customer-vid=0 new-customer-vid=10 sa-learning=yes add ports=ether2 customer-vid=0 new-customer-vid=10 sa-learning=yes /interface ethernet switch vlan add ports=ether1,ether2 vlan-id=10 learn=yes /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2 - инет ломается. почему - не понимаю.

ethr1 вытажи из мастер сивтча , точнее 24 порт и в 24 воткни инет

товарищи, кто с CRS дело имеет, подскажите пытаюсь по http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN делать самый примитивный вариант. все порты в одном master-switch. инет от провайдера приходит в ether1, комп воткнут в ether2. всё - untagged. пока вланы не трогаю, инет на клиенте есть. делаю так: /interface ethernet switch ingress-vlan-translation add ports=ether1 customer-vid=0 new-customer-vid=10 sa-learning=yes add ports=ether2 customer-vid=0 new-customer-vid=10 sa-learning=yes /interface ethernet switch vlan add ports=ether1,ether2 vlan-id=10 learn=yes /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2 - инет ломается. почему - не понимаю.

в инструци написано еслти ты его используешь как свитч

товарищи, кто с CRS дело имеет, подскажите пытаюсь по http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Port_Based_VLAN делать самый примитивный вариант. все порты в одном master-switch. инет от провайдера приходит в ether1, комп воткнут в ether2. всё - untagged. пока вланы не трогаю, инет на клиенте есть. делаю так: /interface ethernet switch ingress-vlan-translation add ports=ether1 customer-vid=0 new-customer-vid=10 sa-learning=yes add ports=ether2 customer-vid=0 new-customer-vid=10 sa-learning=yes /interface ethernet switch vlan add ports=ether1,ether2 vlan-id=10 learn=yes /interface ethernet switch set drop-if-invalid-or-src-port-not-member-of-vlan-on-ports=ether1,ether2 - инет ломается. почему - не понимаю.

чтобы прокинут vlan достаточно , создать интерйейсы влан

это он то же всеть прова идет

я не понимаю откуда вывод такой

?

и почему у прова та же подсетка якобы

подскажите можно ли сертификат (и закрытый ключ) в rsc скриптом добавлять, не из отдельного файла по import а прямо из скрипта данные ?

это он то же всеть прова идет

я по задержкам сужу, на том конце канал дерьмо, ping>500 должен быть

ERROR: S client not available

я по задержкам сужу, на том конце канал дерьмо, ping>500 должен быть

закрой пинг в сеть 100 через интерфейс провацдера

ethr1 вытажи из мастер сивтча , точнее 24 порт и в 24 воткни инет

дык наоборот пишут - все порты в одном свитче должны быть Note: Multiple master-port configuration is designed as fast and simple port isolation solution, but it limits part of VLAN functionality supported by CRS switch-chip. For advanced configurations use one master-port within CRS switch chip for all ports, configure VLANs and isolate port groups with port isolation profile configuration

дык наоборот пишут - все порты в одном свитче должны быть Note: Multiple master-port configuration is designed as fast and simple port isolation solution, but it limits part of VLAN functionality supported by CRS switch-chip. For advanced configurations use one master-port within CRS switch chip for all ports, configure VLANs and isolate port groups with port isolation profile configuration

да если ты делаешь свитч а не роутер

чтобы прокинут vlan достаточно , создать интерйейсы влан

интерфейсы vlan создавать надо, я так понял, если мне нужно вланы тащить в роутер-ос (cpu), а мне не нужно

да я и хочу свитч, а не роутер

погоди

ну сбрость настрорйки в ноль и будет у тебя свитч

да

он в дефолте как ситч

и почему у прова та же подсетка якобы

вот держи маршрут до 89.1 он то же должен на второй микротик вести

дальше - хочу выделить два порта в отдельный влан (антаггед на интерфейсах)

и на этом - ломается. почему - не понимаю )

https://www.youtube.com/watch?v=7DzCtxDQtOI

http://mum.mikrotik.com/presentations/RU16V/presentation_3291_1458572750.pdf

Вот человек все разживал))

спасибо, сейчас гляну)

Всем ку)

Я прибыть к вам с тупым вопросом))

спасибо, сейчас гляну)

да незачто

Я не понимаю

Повторюсь, что доменное имя не показатель

есть хреновый телефон флай iq440 с ведром на борту 4.0.4 и эта редиска не может подключиться к вайфаю парольному, кричит, что проблемы аунтификации. Гугл мне сказал мальчик введи парольнормально или понизить уровень шифрования. Ну и вопрос где это сделать ? Я чет тупить.

Повторюсь, что доменное имя не показатель

так я маршрут строю до 192.168.0.1 а пров сам уже в доменное имя переводит и вообще зачем маршрут к прову идет

И на который пункт именно смотреть?

а может дело в кналда wifi какая часто та стоит?

ну ссид же видит должно работать

щя посмотрим

так я маршрут строю до 192.168.0.1 а пров сам уже в доменное имя переводит и вообще зачем маршрут к прову идет

БЛИН !!! ЗАКРОЙ ТЫ ЧЕРЕЗ ФАЭРВОЛ

ну ссид же видит должно работать

нет так самсунг с делинком не дружит