ip address add interface=КАКОЙ_ТО_ПОРТ address=192.168.210.1/24 вот так сделай. роут сам появится. Ну и эту айпишку впиши шлюзом и ДНС на том компе

спасибо

а глобально ? может кто изза границы?

set security ike proposal mikro authentication-method pre-shared-keys set security ike proposal mikro dh-group group5 set security ike proposal mikro authentication-algorithm md5 set security ike proposal mikro encryption-algorithm 3des-cbc set security ike proposal mikro lifetime-seconds 43200 set security ike policy mikro mode main set security ike policy mikro proposals mikro set security ike policy mikro pre-shared-key ascii-text "####################" set security ike gateway mikro ike-policy mikro set security ike gateway mikro address 10.131.254.130 set security ike gateway mikro dead-peer-detection interval 60 set security ike gateway mikro local-identity inet 10.131.250.5 set security ike gateway mikro external-interface reth1.3130 set security ike gateway mikro version v2-only

/ip ipsec peer add address=10.131.250.5/32 dh-group=modp1536 dpd-interval=1m enc-algorithm=3des exchange-mode=ike2 hash-algorithm=md5 lifetime=12h \ local-address=10.131.254.130 policy-template-group=srx secret=########

я правильно понимаю что настройки идентичны?

джунипер и микрот

в чем же тогда дело может быть?

ни в какую пиры не поднимаются

хотя вчера работало все

хз че изменилось

ip address add interface=КАКОЙ_ТО_ПОРТ address=192.168.210.1/24 вот так сделай. роут сам появится. Ну и эту айпишку впиши шлюзом и ДНС на том компе

Доступа к тому компу нет). Тогда ip сменил бы

Вот Серёга даёт, даже в пути оказывает помощь коллегам. Респектую!)

Замаскарадь трафик к этой айпишке, это позволит с ней Общаться без задания шлюза на ней, так как все пакеты будут с соурс адресом микротика

в пути то чо еще делать как не трындеть с коллегами)

да просто отдельный комп стоит ему ip нельзя менять ip статический

допиши ему в интерфейс второй айпишник и все.

Коллеги, подскажите плз; есть два офиса: А и Б, соединены ВПН (eoip или l2tp) - всё ок. как заставить обоих офисов выходить в интернет только через Б? mangle + route ?

На роутере А - завернуть маршрут по умолчанию на роутер Б

только тыж не забудь /32 на роутере А прописать до роутера Б через интернет

Чтоб твой тунель не развалился

@myuriev

Чтоб твой тунель не развалился

Оно вроде автоматом делает

Оно вроде автоматом делает

Хмм, некогда такого не замечал

Во всяком случае у корбины так было пару лет назад

На роутере А - завернуть маршрут по умолчанию на роутер Б

на роутере А: /ip route add dst-address=0.0.0.0/0 gateway=IP_адрес_на_роутере_Б_от_L2TP туннеля ?

Ага

Только нужно сбрить дефотл в интернет

только аккуратно это делай, чтоб не потерял управление

если через интернет на нем сидишь

Только нужно сбрить дефотл в интернет

я тогда не очень понимаю. если убрать дефолтный маршрут в интернет на гейт провайдера — как вообще тогда L2TP поднимется без роутинга до второго филиала.

Коллеги, подскажите плз; есть два офиса: А и Б, соединены ВПН (eoip или l2tp) - всё ок. как заставить обоих офисов выходить в интернет только через Б? mangle + route ?

Уж тогда возьмите L2 от провайдера, дешевле выйдет даже, че вы страдаете

только тыж не забудь /32 на роутере А прописать до роутера Б через интернет

Чтоб твой тунель не развалился

я тогда не очень понимаю. если убрать дефолтный маршрут в интернет на гейт провайдера — как вообще тогда L2TP поднимется без роутинга до второго филиала.

Вот таким способом

Потом сиди и вангуй над такой схемой почему где отвалилось или сложности будут в будущем

ребята не замечал никто отвала Ipsec тунелей на ros 6.40.3 ? помогает только перезагрузка, flush sa и kill peer не помогают, перестает устанавливаться 1 фаза. а после ребута опять норм. тунели с дефолтными динамическими политиками.

ребята не замечал никто отвала Ipsec тунелей на ros 6.40.3 ? помогает только перезагрузка, flush sa и kill peer не помогают, перестает устанавливаться 1 фаза. а после ребута опять норм. тунели с дефолтными динамическими политиками.

Нет. Переводи на ручку и будет все предсказуемее работать

Нет. Переводи на ручку и будет все предсказуемее работать

переводить на ручку это как?

Вручную создавать правила статические

а, понял

Вот таким способом

Спасибо, не заметил сразу. Подскажите плз, а как теперь попасть на роутер А попасть напрямик из интернета? ведь активный маршрут в мир остался только на роутер Б.

попробую

Если с двух сторон ip белые статические, то совсем просто, если с другой стороны динамика, то полиси по шаблону

везде статика

Пиши в лс если не разберёшься сам. На вики вполне годная инструкция по ipsec

Лучше сначала на стенде протестируй, потом внедряй в продакшн

Не забудь сделать бэкапы с двух сторон

оно как бы работает :) но периодически отваливается нечасто, может и за 2 недели ни разу не отвалится, а может через 2 дня

Что в логах во время отвала?

Какая фаза не строится?

Режим туннельный/транспортный ?

не строится 1 фаза, режим тунельный, на втором конце не микротик

в логах дословно сейчас не вспомнить

пытается установить 1 фазу и не может

имеет ли смысл обновляться на 40.4 или 40.5 ? судя по ченджлогам там пару фиксов сделали по ipsec

На файрволл на udp порт 500 что-то приходит?

это к сожалению не наблюдал, погляжу в следующий раз, на счетчики в input глядеть?

Сначала лови на mangle preroute, потом на mangle input, потом на файрволле

Action passthru

Счётчики трафика если пойдут - тебе инфа для отладки

сделать правило на udp 500 в мангле ?

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

Так должно быть понятно :)

Да, для начала udp 500

спс

О, джедай ипсек. А можете подсказать немного теоретических изысков?)

я еще заметил, на тех роутерах где ловил отвалы, было настроено ексчендж моде - main-l2tp, не знаю как так вышло, но я переделал на main. на остальных роутерах пока не стал трогать, понаблюдаю

Подскажите, не совершаю ли я ошибку. У меня CRS125, Два бриджа, две подсети 10.1.1.0/24 и 10.2.2.0/24, например. Изолированные друг от друга. Появляется треться сеть 10.3.3.0/24, в которую должны ходить обе сети, при этом оставаясь изолированными друг от друга. Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу. Насколько я понимаю, изоляцию подсетей это не нарушит? Можно ли обойтись одним проводом не усложняя? вланов нет и не предвидится.

Я как бы думал — сделать порт, который будет в обоих бриджах + подсеть 10.3.3.3 и кинуть провод оттуда, но как бы напрягает сводить все яйца в один порт.

Я как бы думал — сделать порт, который будет в обоих бриджах + подсеть 10.3.3.3 и кинуть провод оттуда, но как бы напрягает сводить все яйца в один порт.

Какие бриджи? Вы про что?

Какие бриджи? Вы про что?

Или я чегото не понимаю, или там своя атмосфера

Подскажите, не совершаю ли я ошибку. У меня CRS125, Два бриджа, две подсети 10.1.1.0/24 и 10.2.2.0/24, например. Изолированные друг от друга. Появляется треться сеть 10.3.3.0/24, в которую должны ходить обе сети, при этом оставаясь изолированными друг от друга. Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу. Насколько я понимаю, изоляцию подсетей это не нарушит? Можно ли обойтись одним проводом не усложняя? вланов нет и не предвидится.

а почему именно бриджи используются?

Подскажите, не совершаю ли я ошибку. У меня CRS125, Два бриджа, две подсети 10.1.1.0/24 и 10.2.2.0/24, например. Изолированные друг от друга. Появляется треться сеть 10.3.3.0/24, в которую должны ходить обе сети, при этом оставаясь изолированными друг от друга. Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу. Насколько я понимаю, изоляцию подсетей это не нарушит? Можно ли обойтись одним проводом не усложняя? вланов нет и не предвидится.

судя по тому, что никто не понял, что именно вы хотите сделать, таки совершаете :)

если у вас разные подсети ip, то между ними должна быть маршрутизация. Там уже и надо настраивать, что куда маршрутизируется, а что куда не

у меня схожий кейс, в фильтре явно указал что куда можно, остальное запрет

кстати, посоны, такой вопрос. был у меня случай - ставили миротик в существуюшую говносеть, там был ужас ужас. и вот забавный аспект - когда ты указывал на одном из интерфейсов 2 айпи сразу (там были "разделенные" путем выдачи разных айпи адресов сети в одном броадкастовом домене) - начинались лютые лаги на оборудовании, которое маршрутизировалось через один из этих адресов. а когда разделили по интерфейсам нормально - все стало хорошо. проблему решили, но мне до сих пор интересно - в чем была причина?

кстати, посоны, такой вопрос. был у меня случай - ставили миротик в существуюшую говносеть, там был ужас ужас. и вот забавный аспект - когда ты указывал на одном из интерфейсов 2 айпи сразу (там были "разделенные" путем выдачи разных айпи адресов сети в одном броадкастовом домене) - начинались лютые лаги на оборудовании, которое маршрутизировалось через один из этих адресов. а когда разделили по интерфейсам нормально - все стало хорошо. проблему решили, но мне до сих пор интересно - в чем была причина?

скорее всего где-то получался луп

который не отлавливался

напрашивающаяся идея, но лупа не было

у меня такое по неопытности с вланами было (не на микротиках)

там забавно что пинги ходили отлично, TCP люто тормозил

подсети изолировались вланами и хотел похожий кейс - чтобы к серваку могли из разных вланов коннектиться а между собой нет

просто забубенил один порт в кучу вланов и навешал адреса.. при хорошем трафике с этого хоста, сетка ложилась

решил вопрос введением вланов на хосте (благо серверная сетевуха позволяла их сделать)

потом и на админский комп аналогично сделал, нашел недорогой интеловый адаптер, умеющий в вланы

так вот я потом пытался понять что пошло не так и пришел в выводу что при прохождение со снятием тега в сторонее оборудование, пакет мог вернуться в другой влан.. и дальше получался луп

а почему именно бриджи используются?

Потому что Микротики писали, что собираются отказываться от master-slave port в пользу бриджей, Да и лично мне удобнее так.

если у вас разные подсети ip, то между ними должна быть маршрутизация. Там уже и надо настраивать, что куда маршрутизируется, а что куда не

Микротики всё замечательно самостоятельно маршрутизируют, если нет запрещающих правил в routes. Ну или в firewall, как у некоторых гурманов.

Какие бриджи? Вы про что?

Вы не знаете что такое bridge в микротиках? О_о

Микротики всё замечательно самостоятельно маршрутизируют, если нет запрещающих правил в routes. Ну или в firewall, как у некоторых гурманов.

вроде есть галка отключающая маршрутизацию

Где-то была, не помню. Но вариант разрешено всё что не запрещено меня в целом-то устраивает.

А раскажите, пожалуйста, про запрещающие правила в routes. Как это делается?

Микротики всё замечательно самостоятельно маршрутизируют, если нет запрещающих правил в routes. Ну или в firewall, как у некоторых гурманов.

если все замечательно маршрутизируют, что написано в этой фразе: "Я в микротике на каждый бридж добавляю адрес 10.3.3.3/24. И с каждой группы портов спускаю по проводу. "? Вы двум бриджам присваиваете одинаковый адрес и хотите, чтобы оно как-то маршрутизировало, или что? Может микротик в этом и разберется, но лично я пока не понимаю какю логику вы при этом подразумеваете. В моем представлении должны быть в таблице маршрутизации соответствующие маршруты, в которых явно будет задано какая сеть куда маршрутизируется. Ну и в сетях микротик должен быть шлюзом как минимум для двух других подсетей. Зачем бриджам прописывать еще и адрес в третьей подсети? "спускаю по проводу" - это я вообще не понял, о чем

порт после ошибки на микроте вообще перестает работать.