Снаружи стучитесь? Может пров перехватывать

микротик и заббик получают дхцп от одного роутера. ( предподготовка для замены этого роутера микротиком) они в одной подсети, может в этом проблема. 5.0/24 сеть - а я с забикса стучусь туда же. хотя пробовал и через внешний айпи - тоже самое.

вы как дети,,,, продавайте кирки и лопаты, ремонтируйте тачки, я так уже второй кайен на этом купил

Я свои по баксу продал, если над кем ржать реально и надо так это надомной

И больше не влазил

Есть винда, на ней поднята виртуальная машина CHR в Hyper-V. На виндовой машине есть физический интерфейс и виртуальный коммутватор, оба прокинуты в CHR. Есть еще виртуалка, которая подключена к этому виртуальному комутатору. Мне надо поднть EOIP тонель до этой виртуалки, соответственно я создаю бридж и добавляю туда EOIP тоннель. Как только я добавляю в этот бридж порт с виртуальным коммутатором машина становиться не видна. Заметил особенность, если бридж берет mac адресс от интерфейса с виртуальным коммутатором, то машина видна, но трафик через бридж не идет. Если ставлю любой другой Мак адрес на бридж, то машину на виртуальном коммутаторе становиться не видно =( Видимо надо копать в сторону настройки сети на hyper-v, ибо такой фигни на физическом mikrotik не происходит. Кто с таким сталкивался? Или может у ког-нибудь есть мысли как это можно решить?

Есть винда, на ней поднята виртуальная машина CHR в Hyper-V. На виндовой машине есть физический интерфейс и виртуальный коммутватор, оба прокинуты в CHR. Есть еще виртуалка, которая подключена к этому виртуальному комутатору. Мне надо поднть EOIP тонель до этой виртуалки, соответственно я создаю бридж и добавляю туда EOIP тоннель. Как только я добавляю в этот бридж порт с виртуальным коммутатором машина становиться не видна. Заметил особенность, если бридж берет mac адресс от интерфейса с виртуальным коммутатором, то машина видна, но трафик через бридж не идет. Если ставлю любой другой Мак адрес на бридж, то машину на виртуальном коммутаторе становиться не видно =( Видимо надо копать в сторону настройки сети на hyper-v, ибо такой фигни на физическом mikrotik не происходит. Кто с таким сталкивался? Или может у ког-нибудь есть мысли как это можно решить?

IP перевешивать с интерфэйса на бридж надо когда интерфэйс в бридж загоняешь

ща просто столько людей горя хлебануло. там он рос за неделю в 2 раза. надо бегом скорей занимать да выкупать

Вкладывать последнее (или в кредиты лезть) чтоб вкатиться в высокорисковую сферу не признак большого ума.

IP перевешивать с интерфэйса на бридж надо когда интерфэйс в бридж загоняешь

Это уже делалось, как отче наш))) так же как и перенос интерфейса dhcp сервера на бридж, тут в другом проблема)))

Вкладывать последнее (или в кредиты лезть) чтоб вкатиться в высокорисковую сферу не признак большого ума.

ты это валютным ипотечникам расскажи :)

Это уже делалось, как отче наш))) так же как и перенос интерфейса dhcp сервера на бридж, тут в другом проблема)))

Эрпы тогда постбрасывать везде где только можно

ARP кэши

fdb на вирутальных коммутаторах и реальных

ты это валютным ипотечникам расскажи :)

Одна фигня

Одна фигня

ну так горя большого горя это не отменяет. и там и там целые семьи очень серьезно пострадали от того что кто-то когда-то сильно тупанул

ну так горя большого горя это не отменяет. и там и там целые семьи очень серьезно пострадали от того что кто-то когда-то сильно тупанул

не отменяет, все хотят халявить, но никто не хочет возможных последствий

IP перевешивать с интерфэйса на бридж надо когда интерфэйс в бридж загоняешь

Кстати, в настройках по дефолта айпишник всегда висит на мастер-порте, а сам порт уже в бридже. Зачем МТ так делает?

fdb на вирутальных коммутаторах и реальных

Что такое fdb?

Что такое fdb?

forwarding database

mac-address-table

vlan-mac-port

комутационная матрица

народ, есть нормальный мануал по настройке l2tp+ipsec? уже пол-интернета перелопатил, ISAKMP-SA established, purging, deleted

Брысь

микротик-микротик работает нормально

с win10 вот такая фигня

Брысь

найс

с win10 вот такая фигня

а как делаете, опцией в l2tp-сервере или политики сами пишете?

пробовал сначала опцией.

а это взаимоисключающие настройки?

а покажите ваш пропосал?

а покажите ваш пропосал?

0 * name="default" auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp102

попробуйте вот такую: 0 * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=8h pfs-group=none

в peer что при этом должно быть?

если стоит галка в l2tp-сервере, то политика сгенерится сама, если ее нет, то ее нужно написать

в peer что при этом должно быть?

у тебя сервер на микротике а клиент на винде?

у тебя сервер на микротике а клиент на винде?

да

вот сгенерированная атоматом: 2 DA src-address=10.2.0.1/32 src-port=1701 dst-address=10.0.0.1/32 dst-port=1701 protocol=udp action=encrypt level=unique ipsec-protocols=esp tunnel=no proposal=default priority=2 ph2-count=1

да

тогда вообще по этому поводу заморачиваться не надо) включай шифрование, все будет автоматом, верно говорят

вот не работает автоматом...

ну и в пропосале можно можно добавить enc-algorithms 3des, но соединяется и без него

1 name="l2tpprofile" local-address=192.168.26.1 remote-address=pool-vpn use-mpls=no use-compression=no use-encryption=yes only-one=default change-tcp-mss=yes use-upnp=default address-list="" dns-server=192.168.26.1 on-up="" on-down=""

l2tp server: mschap2, use ipsec=yes, secret=secret

ты пропосал проверил?

в айписеках - policies - по умолчанию

proposal = * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=8h pfs-group=non

ipsec------>proposal

[root@mOG] /ip ipsec> policy print Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 0 T * group=def src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

proposal print Flags: X - disabled, * - default 0 * name="default" auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=8h pfs-group=none

пиров нет, Groups default переименована в def

не, сейчас даже в логах все чисто

для пользователя в ppp secret какой сервис написан?

any

потому что через ppp работает

но не из всех сетей

проверьте, чтобы в ip firewall filter были: 15 ;;; accept IPsec chain=input action=accept protocol=udp in-interface=eth1-gw dst-port=500,1701,4500 log=no log-prefix="" 16 ;;; accept IPsec chain=input action=accept protocol=ipsec-esp in-interface=eth1-gw log=no log-prefix=""

это есть

а обновления на венду ставите? :)

10ка

pptp работает таким образом?

обновляется сама

ERROR: S client not available

pptp работает

l2tp начинает работать, если ручками прописать пир

но соединение до конца не устанавливается

в логах пишет, что в начале беседы приведено

лог расширенный? добавьте topic l2tp и ipsec

system logging

оу, вот это дельная мысль, спасибо.

точно файрфол открыт? укажите точно два правила, как в 15 и 16

точно, точно

15:07:01 ipsec,debug (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 15:07:01 ipsec Adjusting peer's encmode UDP-Transport(4)->Transport(2) 15:07:01 ipsec key length mismatched, mine:192 peer:128.

15:07:01 ipsec,debug (trns_id=AES-CBC encklen=192 authtype=hmac-sha1) 15:07:01 ipsec Adjusting peer's encmode UDP-Transport(4)->Transport(2) 15:07:01 ipsec trns_id mismatched: my:AES-CBC peer:3DES

на винде да, aes 128 cbc

кстати на самой винде в свойствах соединения все верно указали? Ключ, тип соединения и т.п.

да, проверено не 1 раз

вообще не понятно в чем дело...

а венда 7 есть, чтобы проверить?

ну и есть ли на микротике еще туннели, зашифрованные ipsec?

https://pastebin.com/wugbtiPj

ну и как вариант подымите на микротике sstp-сервер, если не устраивает pptp — это как костыль

Добрый всем день. Столкнулись с проблемой: два провайдера, конфиг настроен по этой вики https://wiki.mikrotik.com/wiki/Per-Traffic_Load_Balancing Если с компа, который входит в любой из двух адресных листов описанных в вики пинговать сам микротик, то пингов нет, веб интерфейс и винбокс открвается, а пингов - нет. Фаервол - пустой. Если смотреть пакет сниффером, то видно что ответ от микротика улетает во внешний интерфейс. Если убрать этот хост из адресного листа - пинг появляется. Казалось бы - не хватает маршрута в маркированных таблицах, но почему перестаёт работать только пинг ?

Добрый день всем. Скажите, пожалуйста, как можно посмотреть, кому можно подключаться на определённый порт MikroTik? Сканирую сетку (настраивал человек) nmap'ом, порт 1234 видит, но он filtered и к нему нельзя подключиться. Где смотреть?

Добрый день всем. Скажите, пожалуйста, как можно посмотреть, кому можно подключаться на определённый порт MikroTik? Сканирую сетку (настраивал человек) nmap'ом, порт 1234 видит, но он filtered и к нему нельзя подключиться. Где смотреть?

в фаерволе

или в сервисах

в фаерволе

Смотрел там. Там есть 2 правила. Одно есть для 4569 для IAX2, так там нормально, клиент подключается (правило настроено для проброса), а 5060, например, точно также настроено, но к машине SIP-клиент не подключается, а просто отваливается по 408-й

Ребят скажите а как правильно реализовать, у меня есть порт на нем пул и дшсп, хочу чтоб на этом порту был впн с удаленным офисом а основная подсеть не касалась впн ни как

Ребят скажите а как правильно реализовать, у меня есть порт на нем пул и дшсп, хочу чтоб на этом порту был впн с удаленным офисом а основная подсеть не касалась впн ни как

типа мангл нужен ?

Добрый день всем. Скажите, пожалуйста, как можно посмотреть, кому можно подключаться на определённый порт MikroTik? Сканирую сетку (настраивал человек) nmap'ом, порт 1234 видит, но он filtered и к нему нельзя подключиться. Где смотреть?

может, порт UDP? =)

или это порт проброса

тогда и ответа на него не придёт