Ну так пуши чё уже вне закона?

телега пушами обновляет адреса... как думаешь что ркн сделает?

Ну так пуши чё уже вне закона?

нет еще. только миллионы адресов ит компаний

Мде

Ну так пуши чё уже вне закона?

пока нет. гугл вроде уже сказал, что эта технология теперь "вне закона". так что может обойдется, не забанят

пока нет. гугл вроде уже сказал, что эта технология теперь "вне закона". так что может обойдется, не забанят

чо ?

пока нет. гугл вроде уже сказал, что эта технология теперь "вне закона". так что может обойдется, не забанят

чо-чо? почему вне закона?

стандартный вопрос: что делал, что получил?

Раньше была своя таблица маршрутизации

обычный инструмент, ниче гугл про это не говорил

Но с ней глюки на ipv6 возникли

Дада. Ipv4 роутинг влияет на ipv6. Может манглы такие..

чо ?

ща найду

чо-чо? почему вне закона?

https://meduza.io/news/2018/04/19/google-otklyuchila-vozmozhnost-ispolzovat-svoy-domen-dlya-obhoda-blokirovok

https://meduza.io/news/2018/04/19/google-otklyuchila-vozmozhnost-ispolzovat-svoy-domen-dlya-obhoda-blokirovok

тут про другое вообще

аа.. ну тогда виноват

я думал, это как раз по этой теме

если коротко, то гугл сказал, что был старый софт, а теперь будет новый

и это было до блокировок

и это было до блокировок

"незадолго"

так что они не запретили, а сделали деприкейтед

и на место деприкейтед новое вышло чот на J начинается

в сми ор стоит, фильтровать над и читать внимательно, а не только заголовки

Ну только ipv6 спасёт

Не понимаю поч нужен для этого внешний ип только

интересно чо чделает ркн, если все повально тор будут ставить

заплачет наверн

Как запилить два тоннеля к двум разным айпи (допустим, что они мнется и привязаны только к поддоменам)

Совсем нет идей? В идеале сделать 0.0.0.0/0 для самого микротика через вторую таблицу маршрутизации. Но вторая таблица не содержит маршрутов до локальных сегментов. И в итоге микро теряет с локалкой связь...

То есть каким-то образом нужно заставить микротик игнорить 0.0.0.0/0 в таблице main и в случае отсутствия маршрута в main смотреть в unsec (вторая таблица). Вопрос — как?..

интересно чо чделает ркн, если все повально тор будут ставить

TOR - не панацея... По портам шарахнуть можно...

Совсем нет идей? В идеале сделать 0.0.0.0/0 для самого микротика через вторую таблицу маршрутизации. Но вторая таблица не содержит маршрутов до локальных сегментов. И в итоге микро теряет с локалкой связь...

не особо понял что надо. но 1специфмик маршрут на транспорт к первому тоннелю через прова 2)другой специфик - на транспорт ко второму тоннелю, так же к прову ... х)дефолт куда вам там надо

как бы наличие дефолта вообще е обязательный параметр

TOR - не панацея... По портам шарахнуть можно...

можн, если штучно, а если массово - шарахалки нехватит

можн, если штучно, а если массово - шарахалки нехватит

deny any any

не особо понял что надо. но 1специфмик маршрут на транспорт к первому тоннелю через прова 2)другой специфик - на транспорт ко второму тоннелю, так же к прову ... х)дефолт куда вам там надо

А айпи эти динамик...

можн, если штучно, а если массово - шарахалки нехватит

Оно конечно так... В целом.... Но попробовать то могут... И кое что конечно накроется...

А вот ещё: «еще зацепило adobe creative cloud, docker и Jetbrains». И мало кто из СМИ пишет про то, что ТГ на самом деле массово банит каналы террористов - это ведь не так интересно. Может, и правда вся эта история больше против ICO Телеграма, а не переписки террористов https://t.me/ISISwatch

А айпи эти динамик...

а как вы туннель собирать будете, если у вас ip с другой стороны меняется все время?

Плюс три аплинка...

То есть есть ща три 0.0.0.0/0 к провам

а как вы туннель собирать будете, если у вас ip с другой стороны меняется все время?

Так л2тп. Айпи той стороны узнается резолвингом дднс микротика

некст-хоп на интерфейс можно делать, не обязательно на ip

приоритет куда сначала ходить по метрикам разобрать

самый простой способ был телега

Он не работает при падении линка.

приоритет куда сначала ходить по метрикам разобрать

Приоритет по провам стоит в текущих 0.0.0.0/0. В прошлой итерации (в которой ломается ипв6) эти три 0.0.0.0/0 висят в таблице unsec

И манглом на output по dst adr.list делается mark route до айпи тоннелей

И манглом на output по dst adr.list делается mark route до айпи тоннелей

Но это такой лагодромище... Почему-то когда отваливался 0.0.0.0/0 в main таблице внутрь тоннеля выдавало dest.unreachable даже до айпи в адрес листе (которые по идее должны ходить в unsec)

Он не работает при падении линка.

отлично работает, надо просто этот линк проверять снаружи а не изнутри

да вроде нормальная схема. транспорт отдельно, траффик в отдельной таблице. я единственное не понял, как это все в в6 связано

ну по итогу проблема 100% на хексе, надо смотреть конфиг и что там может быть не так

на хексе что то в конфе не так, борода какая то

надо конфиг изучать

он где то трафик срезает

вникать надо, может просто этот трафик в мангле из обработки выкидывать надо, аксептить просто, может более точно правила указать, может еще что то

вот кстати с манглом накочячить вообще легко, особенно большим. какое0нибудь правило 2й раз обработает пакет, и он пойдет совсем не туда, куда вы планировали

вообще я б динамику поднимал(ospf) в туннелях, и будет вам и балансировка, и дефолт, и все что хотите

Рц3 пробовали на ас2?

Рц3 пробовали на ас2?

А что даёт?

Коллеги, подскажите что не так. Есть 931-2nd и точка cap2nd . На 931 поднял капсман, точка увидела и начала вещать ssid, а сам 931 ничего не вещает, хотя в wireless вот такая надпись.

попробовал реализовать port-knocking

списки разрешенных адресов успешно формируются, а коннекта нет, при этом прирастает счетчик последнего запрещающего правила

реализовал аналогичную конструкцию на CCR1009-8G-1S - работает!

мысли, мнения?

ERROR: S client not available

мысли, мнения?

версии рос?

РОС одинаковые

вот так удобоваримее будет

было лучше)

ну ладн

картинку на телефоне то еще удовольствие разглядывать

/ip firewall filter add action=fasttrack-connection chain=forward comment="fasttrack enable all interfaces" connection-state=established,related in-interface=!ipip-Tunnel out-interface=!ipip-Tunnel add action=add-src-to-address-list address-list=allowed_managment address-list-timeout=2h chain=input comment="add verified connections to list allowed_managment - tcp" dst-port=xxy in-interface-list=wan_interfaces log=yes protocol=tcp add action=accept chain=input comment="permit icmp" in-interface=bridge1.wan protocol=icmp add action=accept chain=input comment="deny tcp managment from WAN except allowed_managment" disabled=yes dst-port=21,22,23,80,8291 in-interface-list=wan_interfaces protocol=tcp src-address-list=allowed_managment add action=accept chain=input comment="deny udp managment from WAN except allowed_managment" disabled=yes dst-port=21,22,23,80,8291 in-interface-list=wan_interfaces protocol=udp src-address-list=allowed_managment add action=drop chain=input comment="deny tcp managment from WAN except allowed_managment" dst-port=21,22,23,80,8291 in-interface-list=wan_interfaces protocol=tcp src-address-list=!allowed_managment add action=drop chain=input comment="deny udp managment from WAN except allowed_managment" dst-port=21,22,23,80,8291 in-interface-list=wan_interfaces protocol=udp src-address-list=!allowed_managment add action=drop chain=input comment="drop all except dst-nated" connection-nat-state=!dstnat connection-state=new in-interface=bridge1.wan add action=drop chain=forward comment="drop invalid-state connections" connection-state=invalid add action=drop chain=input comment="drop input from wan" in-interface=bridge1.wan

минутка смешного юмора

https://twitter.com/i_am_romochka/status/986936174538383365?s=21

причем если включить явное разрешающее правило, которое щас выключено - то работает!

причем если включить явное разрешающее правило, которое щас выключено - то работает!

логично

приятнотакое слышать после юмора

я разобрался кстати

собственно ничего особенного, просто на ССР огромный список правил файрволла и где то в конце было разрешающее правило на эти порты без дополнительных условий

Он новый 6к стоит. За 4 я бы подумал.

Здравствуйте, уважаемые специалисты. Подскажите, пожалуйста, есть ли способ одновременно задействовать 2 линии провайдера? У нас сейчас настроено переключение на резервный канал, если основной падает, там задержка между запусками скрипта, для телефонии это вылазит обрывами (АТС в облаке). Можно ли сделать так, чтобы для пользователей внутри сети было совершенно незаметно, если основной канал падает? Если да - по каким ключевым словам искать? :)

тебе нужен впн. Или даже два. Они оба строятся до некого сервера снаружи и при падении одного - переключается всё на другой. Это возможно сделать без разрыва звонка.

тебе нужен впн. Или даже два. Они оба строятся до некого сервера снаружи и при падении одного - переключается всё на другой. Это возможно сделать без разрыва звонка.

2 впна к серверу с суперстабильным интернетом, а оттуда уже к АТС будет подключаться?

посоны, а где вы свои впн-сервера держите, на амазоне? я просто хочу взять инстанс и на нем сервер впн поднять ipsec, чтоб на микротике прописать и автоматически обходить все запреты ркн

А ничего что сам амазон полёг под блокировками ркн?

2 впна к серверу с суперстабильным интернетом, а оттуда уже к АТС будет подключаться?

Да, именно так

Спасибо, предложу вариант начальству.

2 впна к серверу с суперстабильным интернетом, а оттуда уже к АТС будет подключаться?

И как это будет реализовано топологически? Можно чуть подробнее развернуть идею??

Быстрый вопрос. В Filter в Content regexp или хотя бы маску * можно?

И как это будет реализовано топологически? Можно чуть подробнее развернуть идею??

Бондинг поверх eoip?

Колхозненько + будет разрыв звонка

Бондинг поверх eoip?

Дык вот в том и проблема, что разрыв звонка практически неизбежен... А в этом и есть суть проблемы спрашивавшего....

Чтобы ни пакета не потерялось нужен бондинг в режиме мирроринга. Или как он там

Но тогда полоса будет половинная от суммарной

Чтобы ни пакета не потерялось нужен бондинг в режиме мирроринга. Или как он там

Да примерно так... Но что то мне внутренне не нравиться... Какой то подвох... Сейчас в голове схемку соберу - может оформится сомнение во что то конкретное...

? +2,082 | Total: 18,858,345 ▲ 0.011% ? Percent of global IPs: ~0.509% Blocked subnets: 94.177.224.0/21 - Unknown — According to https://usher2.club

аруба пошла