создано правило нат

и все

там же и дебаг есть тема

в логах скорее всего не будет строки, что вася удалил правило нат с дескипшыном таким-то

но должен быть момент логин и что происходило с железкой. правило менялось, удалялось и т.п. вербальность можно попробовать подкрутить

еще есть дудка, для управления железками. может там и мониторинг какой-нить нужный есть. как вариант на посмотреть

там же и дебаг есть тема

дебаг для правил нат не работает

дебаг для правил нат не работает

ну я не конкретное решение тебе говорю, а идею

дебаг для правил нат не работает

имеешь в виду, что правила нат на тике нельзя дебажить?

концепция : -делаем пользователя для ssh -настраиваем логирование на syslog -при появлении в syslog записи что законектился пользователь, через ssh выгружаем конфиг -при появлении в syslog записи что вышел пользователь, через ssh выгружаем конфиг -сравниваемп конфиг

дебаг для правил нат не работает

короче настрой сетевой сислог, или на флэшку. включи дебаг на все и попробуй покурочить конфиг. и посмотри что записалось. нет нужного - ищем дальше...

имеешь в виду, что правила нат на тике нельзя дебажить?

да, нет там подробной инфы

второй вопрос - а те два конца тунеля являются дефолтными шлюзами для пользователей локалки? МОжет кто-то не через тот шлюз отвечает?

Вопрос немного уточнился. L2TP есть, но пинг проходит только между двумя микротиками (любыми адресами), в дальше в локалки ниоткуда не ходит. Может быть у меня каких-то правил еще не хватает?

короче настрой сетевой сислог, или на флэшку. включи дебаг на все и попробуй покурочить конфиг. и посмотри что записалось. нет нужного - ищем дальше...

только чтото поробывал

только чтото поробывал

а как именно? а то я проглядел видимо

Вопрос немного уточнился. L2TP есть, но пинг проходит только между двумя микротиками (любыми адресами), в дальше в локалки ниоткуда не ходит. Может быть у меня каких-то правил еще не хватает?

Ну так глянь торчем на интерфейсе идет ли запрос в локалку. Тоесть туда вообще не идет запрос или не приходит ответ

будет ясно на каком єтапе пошло не так. Так как вроде роуты же есть, должно было бы гнать трафик нормально

а при изменении в нате - скупая строка

логи как настраивал в смысле?

пока в мемори

ну тогда видимо не подходит способ

Ну так глянь торчем на интерфейсе идет ли запрос в локалку. Тоесть туда вообще не идет запрос или не приходит ответ

Спасибо! Помогло. На сервере 172.16.10.5 стояла маска 255.255.0.0 вместо 255.255.255.0, и он не туда пакеты отсылал.

пока в мемори

пиши логи в сислог сетевой. смотри там строки про изменение конфига. тут же делай запрос экспорта конфигурации. можно в зависимости от ключевого слова делать экспорт только нужной части

на ходу придумал =)

может есть какие-то хуки или еще какая фигня, которая по событиям работает...

загуглил про управление конфигурациями тика. нашел видео - https://www.youtube.com/watch?v=P2DzW0N4xaQ

сорри конечно, но улыбнуло ???

шу ингипропи апнри симира кукари нетрио

да все вообще понятно))

да все вообще понятно))

ага. но грустная часть тут в том, что нет управления конфигами как тебе надо. только костыли

хорошо что мой второй родной язык жто русский

ага. но грустная часть тут в том, что нет управления конфигами как тебе надо. только костыли

да центролизованного управления не хвататет

это вам не сфера, не доомен и не димон

да центролизованного управления не хвататет

а ты хочешь ловить злодеев, кто сломал конфиг тика?

а ты хочешь ловить злодеев, кто сломал конфиг тика?

я хотел отпирающего приходящего админа наказать

я хотел отпирающего приходящего админа наказать

забери у него админа и все изменения через сторонний сервис, а не непрямую

сначала коммит в VCS, потом раскатка на железо

кстати кто-то подобное использует?

просто мы клиенту развернули в офисе локалку, сетку, видео - сегодня ему ставили мфу ( не мы ) так там была проблема что не ходили пакеты с мфу до пк в сети ( брендмауры на вин10, надо было правила прописать) а кто мфу ставил полез в микротик правила ната править ( где топро это слышал. а потом видео удаленно работать перестало - так как пправила dstnat пропали

я хотел отпирающего приходящего админа наказать

как минимум настрой сбор логов. пусть нет данных что конкретно изменялось, но будет факт, что были измнения и где

как минимум настрой сбор логов. пусть нет данных что конкретно изменялось, но будет факт, что были измнения и где

полез править чужое железо - сделай бэкап

просто мы клиенту развернули в офисе локалку, сетку, видео - сегодня ему ставили мфу ( не мы ) так там была проблема что не ходили пакеты с мфу до пк в сети ( брендмауры на вин10, надо было правила прописать) а кто мфу ставил полез в микротик правила ната править ( где топро это слышал. а потом видео удаленно работать перестало - так как пправила dstnat пропали

ну работало и перестало - значит кто-то сломал. че тут думать-то =)

разве это не очевидно и надо предоставить конкретные факты?

разве это не очевидно и надо предоставить конкретные факты?

так там все видно в логах

но какие правила пропали не видно

хорошо что там было всего пять правил

и удалили четыре (маскакард хоть оставили))

в любом случае - сначала логи. независимо от причин. это всегда полезно. причем логи НЕ на тик писать. потом уже думать дальше, если это реально надо

да, перед логами бэкап конфига конечно же =)

а было бы их 40-60 ( как обычно и бывает) и удалили бы 5 - хрен бы кто чего вспомнил

а было бы их 40-60 ( как обычно и бывает) и удалили бы 5 - хрен бы кто чего вспомнил

вот тут из бэкапа бы и подняли

вообщем задача родилась - будем решать

имхо городить огород с диффами автоматическими - перебор в данной ситуации

вот тут из бэкапа бы и подняли

это я выгрузку конфига два раза делаю - полсе того как жащет и перед тем как выйти, но даже у меня в конторе н все так делают, хотя это и стандартная инструкиц

ну вот мы обсулживаем сеть, а ктото у клиента обслуживает voip, при этом клиент требует наличия у него паролей...

вообщем когда все в одних руках - почти ок, а вот когда рук несколько....

ну вот мы обсулживаем сеть, а ктото у клиента обслуживает voip, при этом клиент требует наличия у него паролей...

сделайте автоматический бэкап. как иначе можно за что-то отвечать?

сделайте автоматический бэкап. как иначе можно за что-то отвечать?

он есть, тут речь была как измения по ходу дела логировать

вообщем когда все в одних руках - почти ок, а вот когда рук несколько....

поэтому лучше поговорить, обяснить ситуацию с несколькими няньками у дитятки. и прийти к решению. например конфиги правят все кто ни попадя, но тогда с вас спроса нет. если конфиги правите только вы - значит только вы.

он есть, тут речь была как измения по ходу дела логировать

насколько я понял - только руками и костылями

поэтому лучше поговорить, обяснить ситуацию с несколькими няньками у дитятки. и прийти к решению. например конфиги правят все кто ни попадя, но тогда с вас спроса нет. если конфиги правите только вы - значит только вы.

так конечно с нас спроса нет и с каждого такого инциндента мы получаем деньги, там где sla жесткий - там логины и пароли не раздаются. просто - есть изменения - можно инциденты быстрее загрывать

настройте бэкап раз в сутки и ответственность сделайте с учетом такого бэкапа. если сами правили и сломали - восстановите. если другой - снова восстановите, но только то, что в бэкапе,а не то, что некто наделал

ну хз. вопрос отчасти организационный

ERROR: S client not available

да, можно еще в тик написать, чтобы запилили фичу

микротикоманы, можете объяснить пожалуйста, почему при пинге с локальной сети (bridge1) в технологичную сеть (bridge2) пинг 452мс? Я в route rule попытался изолировать bridg2 от bridge1 /ip route rule add action=unreachable dst-address=45.125.19.0/24 interface=bridge1

Эээ

простите понял

Такой айпи в инете шарахается

Какой лучше айпи дать той подсетке?

Наверняка типа 192 или 172 да?

Какой лучше айпи дать той подсетке?

любой уместный. твоя же сеть

Ну просто ничего в голову не приходит

Ай ладно

Ну и фиг с ним

10.90,90,90/24

10,66,6,0/24

10,666,10,0/24

во

а не

погнал

Ну просто ничего в голову не приходит

есть такая штука - план. надо подумать сначала. потом выдавать адреса.

Кстати парни

Если парни по пппое к микротику будут подключаться

в профиле указал локал айпи

и в сикрет их ремот айпи

Все в одной под сетки, то есть прописал им всем айпи из одной подсети

Они увидят друг друга?

Шлюз у них у всех одинаковый

Чет все молчат

Видать глупость опять сморозил

Ну отвечу сам себе тогда

А нет передумал

узнаю Семена по стилю повествования )

Они увидят друг друга?

Смотря что под этим подразумевать.

IP связь будет (пинги и т. п.). Широковещания не будет.