покажите конфигурацию bonding на микротиках и портов на циске

Вот - https://pastebin.com/iRH1TeSv

.

оу..сорри..не тот чат

Привет, народ. Посоветуйте доходчивый мануал по настройке впн между 4 микротиками

топология? кольцо? звезда? восьмерка?

эм, не задавался таким вопросом

Вот - https://pastebin.com/iRH1TeSv

попробуйте на интерфейсах коммутатора прописать channel-group 23 mode on вместо channel-group 23 mode active

Хотя, у вас схема не дорисована. МТ сколько линков имеет, 2 или 3 ?

Два, одним в асу, второй а провайдера для инета

угу :) и зачем ASA 3 ip из одной сети. вероятно там 3 интерфейса

На интерфейсе одна ип, остальное виртуальное внутри для разных сервисов, у которых порты пересекаются

А кто-нибудь уже регистрировался на MUM2018? Который в Питере будет

Добрый день! Помогите советом или ссылкой. Хочу настроить PPP. С одной стороны openvpn сервер с другой микротик-клиент. Со стороны сети микротика вижу локалку за сервером. Но со стороны сервера не вижу локалку за микротиком. Хотя сам микротик пингую (по его локальному адресу). Может кто сталкивался

Даже режимы балансировки нагрузки есть до уровня L3

ЕСТЬ и ХОРОШО РАБОТАЮТ это несколько разные вещи ?. Но думаю это уже не раз сказали ?

не знал, что так можно. пока ещё не очень плотно знаком с микротиком.

Дорастешь до, хотя бы С или D то будешь знать ?. Вон В уже сколько знает ?

Добрый день! Помогите советом или ссылкой. Хочу настроить PPP. С одной стороны openvpn сервер с другой микротик-клиент. Со стороны сети микротика вижу локалку за сервером. Но со стороны сервера не вижу локалку за микротиком. Хотя сам микротик пингую (по его локальному адресу). Может кто сталкивался

а роуты то на серваке есть на локалку за тиком?

а роуты то на серваке есть на локалку за тиком?

да в /etc/openvpn/server.conf добавил запись push "10.1.0.0 255.255.0.0" в файл клиента добавил: iroute 10.1.0.0 255.255.0.0 push "redirect-gateway def1" route -n .... 10.1.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0 .... на микротике в фильтрах запись chain=forward action=accept in-interface=ovpn....

Добрый день! Помогите советом или ссылкой. Хочу настроить PPP. С одной стороны openvpn сервер с другой микротик-клиент. Со стороны сети микротика вижу локалку за сервером. Но со стороны сервера не вижу локалку за микротиком. Хотя сам микротик пингую (по его локальному адресу). Может кто сталкивался

у меня было что в сети провайдера при маршруте 10.0.0.0/8 совпадало с адресами в сети провайдера (т.е. 10.0.0.0/8 тоже), поэтому пришлось писать маршрут поуже

да в /etc/openvpn/server.conf добавил запись push "10.1.0.0 255.255.0.0" в файл клиента добавил: iroute 10.1.0.0 255.255.0.0 push "redirect-gateway def1" route -n .... 10.1.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0 .... на микротике в фильтрах запись chain=forward action=accept in-interface=ovpn....

это роуты на клиенте. А на самом серваке роуты добавились? Сори если туплю, просто с овпн не работал, не читаю их синтаксис ? 10.1.0.0 это локалка за тиком или серваком?

это роуты на клиенте. А на самом серваке роуты добавились? Сори если туплю, просто с овпн не работал, не читаю их синтаксис ? 10.1.0.0 это локалка за тиком или серваком?

роуты на серваке route -n .... 10.1.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0

за тиком

за тиком 10.1.0.0

Если развернуто, то будет выглядеть вот так: root@debian:/etc/ppp/ip-up.d# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.1.1 0.0.0.0 UG 1 0 0 eth0 10.1.0.0 10.8.0.2 255.255.0.0 UG 0 0 0 tun0 10.8.0.0 10.8.0.2 255.255.255.0 UG 0 0 0 tun0 10.8.0.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0 10.10.0.0 10.8.0.2 255.255.255.252 UG 0 0 0 tun0 192.168.0.0 0.0.0.0 255.255.252.0 U 0 0 0 eth0

попробуйте на интерфейсах коммутатора прописать channel-group 23 mode on вместо channel-group 23 mode active

ничего не изменилось, к сожалению.

в микроте два свича. можно ли сделать один, чтобы было пару транков и лановский бридж?

Подскажите, на какой версии ROS wAP LTE выдаёт нормальную скорость?

Больше 15МБит не прокачивает на ROS 6.41 =(

Pretty accurate https://9gag.com/gag/aDx3wDB?ref=android

Подскажите, на какой версии ROS wAP LTE выдаёт нормальную скорость?

Товарищи! Есть кто имеет опыт возни с LTE в ROS?

Define please возьни

Там не так много настроек, чтобы возиться. В 6.41 сделали lte passthru, но еще не тыкал

Товарищи! Есть кто имеет опыт возни с LTE в ROS?

стоит работает, местами 25+ прокачивает

стоит работает, местами 25+ прокачивает

Какая версия Hardware/ROS? Какая конфигурация LTE(PPP/Ethernet) ? Используется-ли fasttrack?

current-firmware: 3.24current-firmware: 3.24 version: 6.41rc56 (testing) /interface lte set [ find ] apn-profiles=internet.mts.ru name=lte1 network-mode=lte /interface lte apn add apn=internet.mts.ru authentication=chap default-route-distance=1 ip-type=ipv4-ipv6 ipv6-interface=ether1 password=mts user=mts

fasttrack не используется

У меня все 40-45мбит на SXT LTE качает в центре Мск. RouterOS 6.39.3 / fw 3.41

Записал. Большое спасибо! Попробую откатиться на 6.39.3 и если не поможет - попробую 6.41rc56

Хотя был баг с мертвым коннектом. Connection state - running, но трафика нет. Рестарт интерфейса помог. Висело пару месяцев без внимания. Обратил внимание по лежащему vpn. Багрепорт не делал.

Доброго времени суток. Понимаю что подобный вопрос здесь звучал не единожды, но все же... ответа нигде не могу найти. Есть 3 провайдера, настраиваю через адрес листы, все работает чудесно, единственное, что не доступны внешнии адреса всех трёх каналов. Подскажите в какую сторону копать?

Добрый день. Вчера задавал вопрос про доступность своего внешнего ip при маркировке трафика. Посмотрел видео (раз 20 наверное) все очень хорошо, за исключением 2-х вещей. 1. Я правильно понял, что нужно создавать loopback bridge для каждого канала? 2. Сделал все один в один как в презентации, но по прежнему не могу пинговать свой внешний адрес(((

Rc зло

Rc зло

на тот момент другого выхода не было

Всем привет, второй день воюю с OSPF Очень часто приходит ошибка http://joxi.ru/Dr8jPqeckgzya2 На роутере соседе бесконечно валится http://joxi.ru/nAyoJy3uX6jVLm

current была только 6.40.5 на тот момент

Никак не могу понять где я не правильно сделал, по конфигам я все 6 роутеров в блекбон закинул

У тика был баг на 6.40.3, связанный с LTE, тут бурно обсуждалось в конце октября

Всем привет, второй день воюю с OSPF Очень часто приходит ошибка http://joxi.ru/Dr8jPqeckgzya2 На роутере соседе бесконечно валится http://joxi.ru/nAyoJy3uX6jVLm

Там же английским по белому все написано

Добрый день. Вчера задавал вопрос про доступность своего внешнего ip при маркировке трафика. Посмотрел видео (раз 20 наверное) все очень хорошо, за исключением 2-х вещей. 1. Я правильно понял, что нужно создавать loopback bridge для каждого канала? 2. Сделал все один в один как в презентации, но по прежнему не могу пинговать свой внешний адрес(((

не можешь пинговать свой адрес это как? ответы не приходят? Пингуешь из внешки или из локалки?

Там же английским по белому все написано

Не вижу(

Если из внешки ты точно ловишь новые конекты по ин-интерефейсу и вешаешь нужные конекшнмарки?

не можешь пинговать свой адрес это как? ответы не приходят? Пингуешь из внешки или из локалки?

У меня 3 внешних адреса через 3-х разных провайдеров. С локалки пингую любой из этих адресов и ответа нет. Соответственно hairpin nat работать не будет.

Если из внешки ты точно ловишь новые конекты по ин-интерефейсу и вешаешь нужные конекшнмарки?

Из вне все хорошо работает.

подозреваю ты вешаешь конекшмарки по ДСТ.адресу. А маршртуа на локалку в тех таблицах маршрутизации у тебя нет.

Не вижу(

Вы в интерфейсах запутались. Микротик об этом прямо говорит.

подозреваю ты вешаешь конекшмарки по ДСТ.адресу. А маршртуа на локалку в тех таблицах маршрутизации у тебя нет.

Да, на дст.

Лови пакеты на mangle preroute по ip адресу

Парни а в фаирволе правило action accept chain input дефолтное?

оно внутри пустое, по логике оно разрешает весь входящий трафик, ибо не чего не указано в нем

add action=accept chain=input comment=\

Лови пакеты на mangle preroute по ip адресу

Я их и ловлю там, только на интерфейсе провайдера. Как в видео.

По дефолту пустой файрволл разрешает весь трафик

Я их и ловлю там, только на интерфейсе провайдера. Как в видео.

Смотри схему

Всем привет. Ребят, взял на тест микротик, RB951Ui-2HnD, подключаю питание...горит 5 порт, и ни один порт при подключение по LAN не реагирует. Пробовал сбросить, нажав RES, так он тоже не реагирует.

По дефолту пустой файрволл разрешает весь трафик

значится и правило дефолтное?)

Да, на дст.

правила покажи, что бы тут не в оракулов играться ?. Подозревать можно многое, но видя правила можно будет более конкретно предполагать Ну и таблицу маршрутов

ERROR: S client not available

правила покажи, что бы тут не в оракулов играться ?. Подозревать можно многое, но видя правила можно будет более конкретно предполагать Ну и таблицу маршрутов

Сейчас

http://mikrotik-trainings.com/docs/MikroTik_PacketFlow_Routing24.jpg

значится и правило дефолтное?)

Нет правил- все разрешено

Очень часто встречаю файрволлы, в которых есть несколько разрешающих правил и одно запрещающее (wan dns flood)

Лови пакеты на mangle preroute по ip адресу

подозреваю что просто по дст. адресу вешает конмарки/роутмарки, а в таблицах нет роута на локалку(как я писал выше). Так что надо увидеть таблицу маршрутов и манглов ?

Ну пакет в блоке роутинг дисижн уезжает не в тот чейн

Уходит в форвард цепочку вместо инпут

Потому не доезжает до локал процесса, а уезжает в сеть провайдера

Ну или куда-то еще

правила покажи, что бы тут не в оракулов играться ?. Подозревать можно многое, но видя правила можно будет более конкретно предполагать Ну и таблицу маршрутов

add action=mark-connection chain=prerouting connection-state=new dst-address=1.1.1.0/30 in-interface=ether2 new-connection-mark=beeline_conn passthrough=no add action=mark-routing chain=output connection-mark=beeline_conn new-routing-mark=beeline_routing passthrough=no add action=mark-routing chain=output dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address=1.1.1.0/30 add action=mark-routing chain=prerouting connection-mark=beeline_conn in-interface-list=external new-routing-mark=beeline_routing passthrough=no add action=mark-routing chain=prerouting dst-address-list=!local new-routing-mark=beeline_routing passthrough=no src-address-list=via_beeline

Ты по мануалам Кирилла делал?

Я повторил его мануал - все работало четко

подозреваю что просто по дст. адресу вешает конмарки/роутмарки, а в таблицах нет роута на локалку(как я писал выше). Так что надо увидеть таблицу маршрутов и манглов ?

/ip route add distance=1 gateway=1.1.1.1 routing-mark=beeline_routing add distance=254 gateway=loopbackbeeline pref-src=1.1.1.2 /ip route rule add action=lookup-only-in-table routing-mark=beeline_routing table=beeline_routing

Вот еще route

Помогите. Микротик настроен почти по дефолту. адрес микротика 192.168.88.1/24 и 192.168.15.2/24 на бридже. eth1 - инет, белый или серый айпи, непринципиально. eth2-4 - локалка eth2 - подключен голосовой шлюз CISCO SPA112, у которого по дефолту айпи 192.168.15.1/24 С микротика он пингуется. Правило доступа к голосовому шлюзу извне. /ip firewall nat add action=dst-nat chain=dstnat comment="Web access to VOIP Cisco gateway" dst-port=5050 protocol=tcp to-addresses=192.168.15.1 to-ports=80 почему оно не работает?

А у тебя адрес лист bogons есть?

/ip route add distance=1 gateway=1.1.1.1 routing-mark=beeline_routing add distance=254 gateway=loopbackbeeline pref-src=1.1.1.2 /ip route rule add action=lookup-only-in-table routing-mark=beeline_routing table=beeline_routing

у тебя маршрутов на локалку нету чтоли?

Ты по мануалам Кирилла делал?

Сначала сам делал, сегодня посмотрел презентацию и сделал по ней.

у тебя маршрутов на локалку нету чтоли?

Есть

Сначала сам делал, сегодня посмотрел презентацию и сделал по ней.

Не вижу в мангл правилах ссылки на bogons addr lists

Не вижу в мангл правилах ссылки на bogons addr lists

У меня он local

А, вижу, да

external - это interface list внешних провайдеров

Помогите. Микротик настроен почти по дефолту. адрес микротика 192.168.88.1/24 и 192.168.15.2/24 на бридже. eth1 - инет, белый или серый айпи, непринципиально. eth2-4 - локалка eth2 - подключен голосовой шлюз CISCO SPA112, у которого по дефолту айпи 192.168.15.1/24 С микротика он пингуется. Правило доступа к голосовому шлюзу извне. /ip firewall nat add action=dst-nat chain=dstnat comment="Web access to VOIP Cisco gateway" dst-port=5050 protocol=tcp to-addresses=192.168.15.1 to-ports=80 почему оно не работает?

может быть все что угодно. например firewall filter

Я чот не помню, чтобы в мануале Кирилла было упоминание интерфейс листов

Если не красить трафик, то через обычный шлюз все работает. Если добавляю свой локальный адрес в адрес лист via_beeline все работает, только не могу пинговать ни один из трех внешних ip.

может быть все что угодно. например firewall filter

там дефолт правила. плюс два для досутпа извне по winbox и ssh

может быть все что угодно. например firewall filter

/ip firewall filter add action=accept chain=input comment="web access" dst-port=5051,8291 \ protocol=tcp add action=accept chain=input comment="SSH access" dst-port=2225 protocol=tcp \ src-address-list="Pushe IP" add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment=\ "defconf: accept established,related,untracked" connection-state=\ established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=\ invalid add action=drop chain=input comment="defconf: drop all not coming from LAN" \ in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept in ipsec policy" \ ipsec-policy=in,ipsec add action=accept chain=forward comment="defconf: accept out ipsec policy" \ ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \ connection-state=established,related add action=accept chain=forward comment=\ "defconf: accept established,related, untracked" connection-state=\ established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" \ connection-state=invalid add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=WAN

Я чот не помню, чтобы в мануале Кирилла было упоминание интерфейс листов

По его мануалу там !ether1? но он так же говорил, что можно по листам. У него так сделано, на тот случай, если забудет внести в интерфейс лист. Да и как у него я тоже пробовал - не работает!

Создай правило chain preroute in-interface=lan dst-addr=wan адрес роутера action passthru, поднимай на самый верх, смотри счетчики пакетов

Аналогичный в chain=input