Всем привет. Кто-то использует ццр1072 в качестве браса?

Всем привет. Кто-то использует ццр1072 в качестве браса?

Коллеги тестировали, помоему в 5 гиг трафа уперлись

Проц в полку уперся

а по количеству водключений что-то известно?

а по количеству водключений что-то известно?

В личку кину контакт, спроси.

Кстати насчёт удаленного управления железяками. Кто нибудь назначал на "сером" микроте для винбокса кастомный порт вроде 9238, а потом пытался пробросить его через l2tp vpn на белый айпи и разрешить для того, чтобы можно было соединиться с серым микротом из всемирки по комбинации "ip-белого-микрота:порт-серого" ?

а не проще ip firewall nat add action=dst-nat chain=dstnat dst-address=82.207.145.45 dst-port=8391 protocol=tcp to-addresses=192.168.158.5 to-ports=8291 add action=masquerade chain=srcnat dst-address=192.168.158.5 dst-port=8291 protocol=tcp

тоесть с нестандартного порта натим на стандартный порт серого микротика и маскарадим что бы он отвечал через белый адрес, а не через свой шлюз(подозреваю тут у тебя проблема)

Romon не проще?

не в курсе умеет ли ромон ВПН ?

лично у меня не показывает соседей по ВПН

а не проще ip firewall nat add action=dst-nat chain=dstnat dst-address=82.207.145.45 dst-port=8391 protocol=tcp to-addresses=192.168.158.5 to-ports=8291 add action=masquerade chain=srcnat dst-address=192.168.158.5 dst-port=8291 protocol=tcp

у меня туннель впн внутри l2tp. Цепочка 192.168.10.0↔️10.7.7.1(айпи белого роутера в туннеле)↔️10.7.7.2(айпи серого роутера в туннеле)↔️192.168.77.0

лично у меня не показывает соседей по ВПН

у меня по ипсек/л2тп показывает

скрин давай ?

у меня туннель впн внутри l2tp. Цепочка 192.168.10.0↔️10.7.7.1(айпи белого роутера в туннеле)↔️10.7.7.2(айпи серого роутера в туннеле)↔️192.168.77.0

ну вот и нать на 10,7,7,2 ?

натил. Болт, не пущает

ты вообще с какого хочешь натить? с 10,7,7,1?

натил. Болт, не пущает

замаскарадь тот трафик . я так подозреваю серый роутер отвечает тебе через свой ВАН-интерфейс ?. Так что надо включить маскарадинг на белом роутере,

Маскарадинг 10.7.7.2? Или подсети за серым роутером? В фаере серого микрота правило инпут есть. Пакеты бегут и впускает только когда стучусь либо сидя в локалке 10.0, либо когда подрубился к белому роутеру по впн

имею ввиду трафик тот что ты пробрасываешь. Что бы он шел от адреса белого. Так ответы будут идти белому, а он уже тебе их будет отправлять

лично у меня не показывает соседей по ВПН

да точно не туда посмотрел. там же по l2

имею ввиду трафик тот что ты пробрасываешь. Что бы он шел от адреса белого. Так ответы будут идти белому, а он уже тебе их будет отправлять

я так понимаю это на белом роутере маскарад ковырять?

ага

Смотри, синяя линя путь трафика от клиента к серому без маскарадинга. Серый не имеет роута на адрес клиента, поэтому отвечает через свой дефолтный шлюз красная линяя - с маскарадингом. Тоесть как пришло так и вернулось тем же путем. Ну это так, версия ?

у меня туннель впн внутри l2tp. Цепочка 192.168.10.0↔️10.7.7.1(айпи белого роутера в туннеле)↔️10.7.7.2(айпи серого роутера в туннеле)↔️192.168.77.0

а на примере этой цепочки вариант правила какой? айпи серого роутера получается 192.168.77.1:9238

Доброго времени. Тут присутствующие, vpls между сайтами используете?

а на примере этой цепочки вариант правила какой? айпи серого роутера получается 192.168.77.1:9238

нам надо адрес тот который знает белый роутер. Поэтому используй адрес в ВПН-тунеле

нам надо адрес тот который знает белый роутер. Поэтому используй адрес в ВПН-тунеле

Маршруты от удаленной подсети к локальной и впн-овской и обратно оно ж не должно сломать?

нет. Но нарисуй схему как оно у тебя вообще подключено. Если от клиента есть роут на серую подсеть то зачем вообще эти НАТы ? ?

Кто-то прыгал с 6.27 на 6.40.5 сразу? особенно интересно владельцы CCR

Прошу прощения не туда

Ты туда наблевал чтоли?

Кто-то прыгал с 6.27 на 6.40.5 сразу? особенно интересно владельцы CCR

работает на ццр1009 пока вполне норм, правда были нюансы незначительные. Взять хотя бы косяк прошивки с l2tp+ipsec при включенном upnp, через некоторое время перестают коннектится клиенты. Решается либо отказом от юза upnp, либо прошивка на самый последний релиз кандидат. Но в случае прошивки на кандидата вылезает другой косяк, при использовании 2х провайдеров клиентам подсетей, которые раскиданы по разным интернет-каналам, даже в случае явного прописывания внутренних и гугловских DNS в дхцп их подсетей, периодически сразу после ребута он ловит DNS второго провайдера и тулит его клиентам всех подсетей.

работает на ццр1009 пока вполне норм, правда были нюансы незначительные. Взять хотя бы косяк прошивки с l2tp+ipsec при включенном upnp, через некоторое время перестают коннектится клиенты. Решается либо отказом от юза upnp, либо прошивка на самый последний релиз кандидат. Но в случае прошивки на кандидата вылезает другой косяк, при использовании 2х провайдеров клиентам подсетей, которые раскиданы по разным интернет-каналам, даже в случае явного прописывания внутренних и гугловских DNS в дхцп их подсетей, периодически сразу после ребута он ловит DNS второго провайдера и тулит его клиентам всех подсетей.

Какие например?

Господа, а можно ли в микротике сделать доступ на определенные сайты через прокси?

Господа, а можно ли в микротике сделать доступ на определенные сайты через прокси?

Ты богу костылей помолился? Тогда по полю content маркируешь конекшн, а уже тот конекшин натишь на прокси Если известны айпишки сайтов и на тех айпишках ТОЛЬКО это сайты то вообще по ДСТ. адресу можно НАТить на прокси

Господа, а можно ли в микротике сделать доступ на определенные сайты через прокси?

packet mark

по петле нет предложений?

Ты богу костылей помолился? Тогда по полю content маркируешь конекшн, а уже тот конекшин натишь на прокси Если известны айпишки сайтов и на тех айпишках ТОЛЬКО это сайты то вообще по ДСТ. адресу можно НАТить на прокси

мне исходящий трафик нужен. хочу на пару сайтов ходить через прокси, не настраивая при этом браузер

ну решение я тебе подсказал, правда костыльное - ловить по контенту запрос к имени сайта и отправлять исходящий трафик в том конекшине на прокси

знать бы как

Какие например?

отредактировал прошлый ответ

transperent proxy называется

критерий отбора трафика тебе подсказали выше

работает на ццр1009 пока вполне норм, правда были нюансы незначительные. Взять хотя бы косяк прошивки с l2tp+ipsec при включенном upnp, через некоторое время перестают коннектится клиенты. Решается либо отказом от юза upnp, либо прошивка на самый последний релиз кандидат. Но в случае прошивки на кандидата вылезает другой косяк, при использовании 2х провайдеров клиентам подсетей, которые раскиданы по разным интернет-каналам, даже в случае явного прописывания внутренних и гугловских DNS в дхцп их подсетей, периодически сразу после ребута он ловит DNS второго провайдера и тулит его клиентам всех подсетей.

К счастью не юзаю l2tp )

кто нибудь реализовывал ?

К счастью не юзаю l2tp )

ну а у нас яблочки, нам нада )

ну а у нас яблочки, нам нада )

:)

кто нибудь реализовывал ?

что? проксирование?

да

на микроте никогда не делал

да

то что тебе надо называется transperent proxy

перехват трафика по критерию отбора и заруливание на проксю

микротик умеет прокси?

микротик умеет прокси?

https://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy

кто нибудь реализовывал ?

https://wiki.mikrotik.com/wiki/How_to_make_transparent_web_proxy

псиб, почитаем. хттпс поддерживает ?

псиб, почитаем. хттпс поддерживает ?

наверное нет;

нет

чтобы https надо фактически mitm делать на проксе

а не проще ip firewall nat add action=dst-nat chain=dstnat dst-address=82.207.145.45 dst-port=8391 protocol=tcp to-addresses=192.168.158.5 to-ports=8291 add action=masquerade chain=srcnat dst-address=192.168.158.5 dst-port=8291 protocol=tcp

Коль будете в Одессе - пишите в личку телеграмму ) Угощу чем нибудь местным и вкусным)

что, помогло?

парадокс наверное, но https как раз должен защищать от перехвата (кеширования, проксирования) трафика

Таки да )

Ех, позновато. я недели две назад как раз был в Одессе ?

А в чем конкретно был затык, выяснилось? Ответ не тудой возвращался?

ERROR: S client not available

Ех, позновато. я недели две назад как раз был в Одессе ?

ну жизнь не заканчивается же, тем более город располагает к повторным посещениям ) Уютненько тут )

А в чем конкретно был затык, выяснилось? Ответ не тудой возвращался?

по видимому да, так как видно было, что винбокс явно ждал ответа на запрос, так как видел, что пакеты уходили исправно, и в роутерах счётчики тикали в правилах инпут на фаере серого и в правиле ната на первом.

всё-таки роутер-ось замечательная штука для тех сисадминов, кто любит самые разные задачки периодически порешать )))

ага, и лучше всего чужие . что бы если что то сразу у себя решить ?

ага, и лучше всего чужие . что бы если что то сразу у себя решить ?

Во во ))) Периодически протрахаешься с настройкой, но зато раз настроив работает потом как часы и коварно поджидает, когда тебе потребуется ещё чего-нибудь эдакое с её помощью сотворить )))

слейв, походу у тебя тот вилан чей-то слейв

?

ну обычно это самая распространенная причина

это врядли

только что всё норм было

почему покраснел - не понятно

может он упал? ну интерфейс где вилан заведен

или кто то паралельно завел тот вилан в бридж ?

бриджей нету

а эта буква I что значит

Адрес на интерфейс нужно повесить

Адрес на интерфейс нужно повесить

есть

а эта буква I что значит

Invalid

А влан Running?

бляя

Адрес на интерфейс нужно повесить

вы правы

Хехе )

только что всё норм было

Обманщик ?

кнопку Copy забыл нажать перед тем как вписать адрес

Кнопку "Сорри" ))

Как же раньше то было нормально если ты адрес не завел? ?

я хотел создать новый дхцп сервер копированием

а вместо этого поменял существующий

Кнопку "Сорри" ))

дада, сорри сорри

уррри, где у него кнопка?