По описанию понятно лишь то, что у ваз закончилиь адреса

адреса есть )

Конфиг сервера, что ж еще)

Адреса выдёт сам nas или биллинг?

они серые

список клиентов - полученные ими адреса

Адреса выдёт сам nas или биллинг?

хороший вопрос !

адреса прилетают по радиус на нас

Можно попробовать тогда взять radclient и прикинуться насом. И посмотреть таблицу сессий, опять-таки.

Можно попробовать тогда взять radclient и прикинуться насом. И посмотреть таблицу сессий, опять-таки.

а силами микротика никак не прикинуться и посмотреть?

сеть нарезана влан на коммутатор, отключал-включал по очереди, не помогает (

в каждом влане свой пппое

Мне не удалось вот так, с ходу, найти как заслать с микротика произвольный запрос на радиус.

а встречал подобное, но на микротике радиус не было, чисто адрес листы, которые бтллинг заливал по ссш. Просто миктротик перестал отбрабатывать более 150 правил в simple queue и все

Вы проверьте - может там висят сессии в радиусе, незакрытые.

Если их до фига накопилось, вот адреса и кончились.

на биллинге рестратили и радиус и аккаунтинг и прочее (((

Рестарт не поможет, если сессии в БД лежат.

ща спрошу у напарника, у меня к биллингу доступа нема (

количество пппое сессий в БД и на миротике совпадает (

Прискорбно.

Не то слово

Мне не удалось вот так, с ходу, найти как заслать с микротика произвольный запрос на радиус.

https://freeradius.org/radiusd/man/radclient.html#lbAF возможно радиус откуда попало не возьмет запрос

А вообще микротик может глюкануть подобным образом?

address pool - типичная причина

Туннели на 200 должны кончиться по лицензии

1016 6 уровень лицензии, на нём неограниченное колличество всякого, в том числе и пппое сессий

address pool - типичная причина

А причем адрес пул? Не дхцп же, а по радиус все летит

Может не летит

Так биллинг говорит, что улетело все и даже не осталось

что в таблице radactive?

Как DPI через впн обходить? Создал список, внес туда сайт...впн поднял, в мангле прероутинг через впн dst adress - dpiunblock...один фиг кидает на страницу заглушку провайдера. Если все пустить через впн работает, но нужно списком

Dpi где ты нашел? Может блок листы?

Как DPI через впн обходить? Создал список, внес туда сайт...впн поднял, в мангле прероутинг через впн dst adress - dpiunblock...один фиг кидает на страницу заглушку провайдера. Если все пустить через впн работает, но нужно списком

А днс как ходит?

dns гугловый

днс тоже через впн кинь

dns гугловый

Может пров и днс инжектит

иногда провайдер перхват и подмену ставит (dpi)

Как DPI через впн обходить? Создал список, внес туда сайт...впн поднял, в мангле прероутинг через впн dst adress - dpiunblock...один фиг кидает на страницу заглушку провайдера. Если все пустить через впн работает, но нужно списком

Дык уже обошел. Проблема именно в ущконаправлености)

Dpi где ты нашел? Может блок листы?

Так прикол то в том, что если весь траф через впнку то все работает, если через адреслист то нифига.

Пров применяет 3 блока: обычный dpi, запросы по https на запрещенные ресурсы и поддомены запрещенных ресурсов лочит

Кстати списком работают те сайты, попытка на которые попасть без впн пишет что Не удаётся установить соединение с сайтом. Соединение сброшено. Занес в список и вуаля. А те сайты которые перекидываюся на заглушку провайдера - не работают по списку.

Так днс обманывается через основной канал.

Через впн он не обманывается.

Может так?

Может так?

Не понял

Когда всё идёт через vpn, то в том канале провайдер не подделывает dns-ответы.

хм ну да логично, вопрос только как запросы к запрещенному сайту пустить через впн

микрот может я уверен но мне знаний нехватает

что-то вроде цепочки: запрос-ответ провайдера на веб заглушку-добавление в список микротика-перенапраувление на впн

теория ясна на практике как

Доброй ночи, есть кто-нибудь живой?

Помогите плиз, уж третий час голову ломаю

аналогичная конфига на дрвух микротах и на одном из них не форвардятся обратно пинги

куда смотреть

манглы роуты - всё по аналогии

Значит, не все

на целевом хосте который пингую, вижу ответы уходят обратно, но через микрот не проходят до компа за микротом

просто тыщу раз переконфиженный микрот, вот хочу всё однообразно сделать, и чую, что где-то не досмотрел, а где не знаю

Смотреть на входящем и исходящем интерфейсе с помощью torch наличие icmp пакетов адресованых к/от хоста

разве что версии рос разные, не работает на последнем бугфиксе...

разве что версии рос разные, не работает на последнем бугфиксе...

Nikolai: Смотреть на входящем и исходящем интерфейсе с помощью torch наличие icmp пакетов адресованых к/от хоста

Nikolai: Смотреть на входящем и исходящем интерфейсе с помощью torch наличие icmp пакетов адресованых к/от хоста

вижу что приходят пакеты

ERROR: S client not available

что еще может быть

Firewall?

Куда приходят? На какой интерфейс? Запросы или ответы?

Чаще всего или маршруты или фаервол

Чаще всего или маршруты или фаервол

бля

спасибо, подзапарился

одну хуенюшечку забыл в роуты дописать

Бывает

Может правило в фаерволе дропать icmp

Может правило в фаерволе дропать icmp

не, таких нету правил, делал всё по аналогии с другим микротом, и вот одну хуенюшечку забыл в роуты дописать и мучался, а досмотреть именно в роутах совсем из башки вылетело

щас всё пашет

что-то вроде цепочки: запрос-ответ провайдера на веб заглушку-добавление в список микротика-перенапраувление на впн

У меня собрано так. В L7 прописан ^.+(адрес заглушки).*$ Firewall - Input: Источник: не 192.168.123.0/24 Назначение: 192.168.123.0/24 Цепочка: forward L7: правило выше Действие: добавить в список. Firewall - Mangle Список назначения: список выше Действие: маркировать IP - Routes Адрес назначения: 0.0.0.0/0 Шлюз: VPN - интерфейс Метка: метка выше.

dns гугловый

Я так понимаю нужно сделать фильтр в l7, чтобы часть запросов на определенные домены шла на 8.8.8.8 и соответственно маршрут в впн. Остальные запросы днс шли на 77.88.8.8 мимо впн.

Не совсем понятно зачем так делать. Лучше сделать, чтобы с определенных локальных ip днс запросы шли в впн, а остальные плебеи работали через фильтры провайдера

У меня собрано так. В L7 прописан ^.+(адрес заглушки).*$ Firewall - Input: Источник: не 192.168.123.0/24 Назначение: 192.168.123.0/24 Цепочка: forward L7: правило выше Действие: добавить в список. Firewall - Mangle Список назначения: список выше Действие: маркировать IP - Routes Адрес назначения: 0.0.0.0/0 Шлюз: VPN - интерфейс Метка: метка выше.

хм...192.168 - локалка?

Да

У меня собрано так. В L7 прописан ^.+(адрес заглушки).*$ Firewall - Input: Источник: не 192.168.123.0/24 Назначение: 192.168.123.0/24 Цепочка: forward L7: правило выше Действие: добавить в список. Firewall - Mangle Список назначения: список выше Действие: маркировать IP - Routes Адрес назначения: 0.0.0.0/0 Шлюз: VPN - интерфейс Метка: метка выше.

чтото нихрена...пакеты в правиле пошли а все ровно заглушка

заработало после того как убрал Источник: не 192.168.123.0/24 Назначение: 192.168.123.0/24

лол

привет микротозадротам

лол

чего? реально если убрать локалку работает...вернуть не работает. Открывает со второго раза, первый раз записывает адрес лист обновляешь страницу и все работает

чего? реально если убрать локалку работает...вернуть не работает. Открывает со второго раза, первый раз записывает адрес лист обновляешь страницу и все работает

да не в этом "лол"

ники у @ikotii и @Myp3a сравни

да не в этом "лол"

т.к. 2 провайдера ,то пробовал интерфейс строго указать ну и соответственно свои заглушки у каждого...заглушки работают с интерфейсом нет

по сути правило замыкается на forwqart 7layer add adress без привязки к адресам и интерфейсам

ники у @ikotii и @Myp3a сравни

Всмыыысле айкотя

Незнаю откуда, но знаю что ингресс

:)

ингресс вездессущ

меня кто-то знает о-о