тогда вопрос по файрволлингу pptp

я открываю TCP 1723 и больше ничего

следовательно получаю TCP трафик (который идет с подтверждением доставки каждого пакета)

кто-то может это пояснить

этот вложенный GRE в pptp - есть ли подтверждение доставки трафика?

Скорее всего, tcp служит для установки и разрыва соединения. Но я могу ошибаться. Поправьте, если не прав

этот вложенный GRE в pptp - есть ли подтверждение доставки трафика?

Он не вложенный, он параллельно управляющему соединению (которое по tcp) работает

У меня так было когда в сети жил роутер от ростелеком, он просто в связке с микротиком ребутался…

Да стоп лол. Прошивка 42-я косячная. Нужно до 43 рц апгрейдиться.

я открываю TCP 1723 и больше ничего

А пакеты со статусом related? :)

тогда вопрос по файрволлингу pptp

Ещё надо разрешить тип протокола 47

Это gre

Без него кокос не вырастит

А пакеты со статусом related? :)

related, согласен. 47 точно, забыл как pptp открывается ) Спасибо! Кое-что поменялось в голове! ^_^

pptp не такой ущербный, но имхо l2tp лучше

Да порт там точно 1723? Не 1721? Не помню

1723

47 протокол разрешен?

Ещё надо разрешить тип протокола 47

зачем, если можно открыть прохождение пакетов со статусом related и разрешить много чего полезного, в том числе ftp, например. Вообще см. /ip fi service-port

зачем, если можно открыть прохождение пакетов со статусом related и разрешить много чего полезного, в том числе ftp, например. Вообще см. /ip fi service-port

Ну может и так

да, вот как раз related и пропускает 47

И чо не работает???

работает, чо не работать-то. Просто человек удивился, что для работы pptp достаточно открыть tcp 1723 и всё, вот и думал, что он через tcp работает. :)

этот вложенный GRE в pptp - есть ли подтверждение доставки трафика?

Pptp работает по tcp L2tp по udp

l2tp юзает gre?

Pptp работает по tcp L2tp по udp

не "по tcp", а "использует tcp", это не одно и то же

это всё равно что сказать "ftp работает по 21 порту tcp"

или сейчас ещё про ftp придётся объяснять?))))

Да стоп лол. Прошивка 42-я косячная. Нужно до 43 рц апгрейдиться.

Было так: стоял роутер от РТ, за ним МТ. Вот пока МТ от роутера РТ не отключишь - постоянно ребутался роутер РТ и такие же ошибки в лог МТ валились.

Во написал

l2tp юзает gre?

нет

это всё равно что сказать "ftp работает по 21 порту tcp"

Не не надо

вообще 47 протокол настолько плотно "плилип" к pptp, что видимо мало кто задумывается, что он может использоваться для чего-то ещё. Я недавно прикурил с iptables на линуксе, через который бегает трафик двух микротиков, связанных тоннелем eoip. Так вот, в eoip используется "голый" gre без управляющего соединения

пришлось ведь вырубать модули pptp хелперов в линуксе, чтобы оно заработало как надо

вообще 47 протокол настолько плотно "плилип" к pptp, что видимо мало кто задумывается, что он может использоваться для чего-то ещё. Я недавно прикурил с iptables на линуксе, через который бегает трафик двух микротиков, связанных тоннелем eoip. Так вот, в eoip используется "голый" gre без управляющего соединения

ЕМНИП в eoip юзается только заголовки гре. А бинарно протокол свой.

свой конечно. Ровно как можно в icmp что угодно своё запихать. От этого он icmp быть не перестанет)

просто номер протокола и всё

upnp работает только на одном internal интерфейсе, на втором почему то ничего, в логе пустота

Вопрос можно. Я с комутатора подаю 3 и 5 влан тегированными, я на микротике должен сделать интерфейс привязать к физическому порту с тегами 5 и 3 верно? http://prntscr.com/jgvn0b созданные интерфейсы же принимают тегированный трафик, а физический интерфейс не тегированный верно?

Sergey Sergeevich: Привет, подскажите, интернет на комп идет от роутера (192.168.1.1) по dhcp. Провод идущий на комп подключил к управляемуму свичу mikrotik RB260GS, от него провод в компьютер. Интернет на компе есть.Но чтобы попасть в вебморду микротика (у него ip адрес 192.168.88.1) надо настраивать ip на компьютере 192.168.88.10 и шлюз указать 192.168.88.1. После этого я могу зайти в вебморду по адресу 192.168.88.1, но на компе пропадает интернет, и я из вебморды микротика не могу обновить прошивку по интернету. Как сделать чтобы и в настройки микротика попасть, и интернет был?

Sergey Sergeevich: Привет, подскажите, интернет на комп идет от роутера (192.168.1.1) по dhcp. Провод идущий на комп подключил к управляемуму свичу mikrotik RB260GS, от него провод в компьютер. Интернет на компе есть.Но чтобы попасть в вебморду микротика (у него ip адрес 192.168.88.1) надо настраивать ip на компьютере 192.168.88.10 и шлюз указать 192.168.88.1. После этого я могу зайти в вебморду по адресу 192.168.88.1, но на компе пропадает интернет, и я из вебморды микротика не могу обновить прошивку по интернету. Как сделать чтобы и в настройки микротика попасть, и интернет был?

Проще всего - винбоксом по маку. Ну и смотреть что с конфигом - есть ли dhcp клиент на нужном интерфейсе.

Sergey Sergeevich: Привет, подскажите, интернет на комп идет от роутера (192.168.1.1) по dhcp. Провод идущий на комп подключил к управляемуму свичу mikrotik RB260GS, от него провод в компьютер. Интернет на компе есть.Но чтобы попасть в вебморду микротика (у него ip адрес 192.168.88.1) надо настраивать ip на компьютере 192.168.88.10 и шлюз указать 192.168.88.1. После этого я могу зайти в вебморду по адресу 192.168.88.1, но на компе пропадает интернет, и я из вебморды микротика не могу обновить прошивку по интернету. Как сделать чтобы и в настройки микротика попасть, и интернет был?

Установкить микротику ип 192.168.1.2/24

Установкить микротику ип 192.168.1.2/24

лучше я не смог ничего сделать

Ну или какая там маска

Народ, а не упирается ли микрот по количеству портов в бридже? Имеется достаточно костыльная схема с включением кучи клиентов по BCP и что-то периодически перестают отдельные маки с бриджа уходить на влан...

Проще всего - винбоксом по маку. Ну и смотреть что с конфигом - есть ли dhcp клиент на нужном интерфейсе.

в микротике ничего не нашел, там есть зеркалирование, пробовал входящий порт прозеркалить на выходящий, но я не понимаю как это и для чего, зеркалирование

в микротике ничего не нашел, там есть зеркалирование, пробовал входящий порт прозеркалить на выходящий, но я не понимаю как это и для чего, зеркалирование

Зеркалирование оно вообще сбоку и вам не нужно. Если не видно в нейборах винбокса, то это либо фаервол винды либо на микроте не включен mac winbox на ваш интерфейс... Проще всего сбросьте свич с опцией no-default, и исполнением например такого скрипта: :delay 60s /in br ad na=bridge-local /in br po ad brid=br interf=ether1 /in br po ad brid=br interf=ether2 /in br po ad brid=br interf=ether3 /in br po ad brid=br interf=ether4 /in br po ad brid=br interf=ether5 /ip dhcp-c ad inter=br dis=no :delay 3s /sys pac up in

в микротике ничего не нашел, там есть зеркалирование, пробовал входящий порт прозеркалить на выходящий, но я не понимаю как это и для чего, зеркалирование

Срочно продать микротик и купить два д-линка на вырученные деньги.

андроиды используют свой днс что бы им роутер не подсовывал?

настроил яндекс днс с фильтрацией, комп на порносайты не ходит, айфон не ходит, а андроид ходит как ни в чем нибывало

настроил яндекс днс с фильтрацией, комп на порносайты не ходит, айфон не ходит, а андроид ходит как ни в чем нибывало

Сжатие в хроме включено

выключено

настроил яндекс днс с фильтрацией, комп на порносайты не ходит, айфон не ходит, а андроид ходит как ни в чем нибывало

Он просто любит порнушку, разве не понятно?

о заработало. надо было страницу обновить. в кеше что ли было

андроиды используют свой днс что бы им роутер не подсовывал?

ЕМНИП есть fallback на 8.8.8.8

Дамп снять надо

но все же странно. на компе и айфоне если в гугле набрать слово порно то в выдаче ничего такого не будет

яндекс днс перенаправляет даже сам гугол куда то в особое место

но не в андроид телефоне

Но а вообще заворачивать надо весь днс на яндексовский

Если таки хотите днс фильтрацию

ну в роутере настроено выдавать клиентам яндекс днс

В файрволе на 53 порт правило

Весь траф на любой айпи на 53 удп гнать на Яндекс

ERROR: S client not available

форвард 53 доступ только к днс?

яндекса

Нет

Не дроп

chain=dstnat action=dst-nat to-addresses=78.88.8.8 to-ports=53 protocol=udp dst-port=53 log=no log-prefix=""

добавил в форвард дроп

проверил на компе nslookup vl.ru 8.8.8.8 не работает

добавил в форвард дроп

Зочееем

на андроид телефоне стер всю историю какую нашел в браузере

порно в гугле по прежнему находит

порно в гугле по прежнему находит

А почему оно не должно находиться?

А почему оно не должно находиться?

потому что ему не хочется что б оно находилось ?

таки телепатия

на компе и на айфоне не находит. потому что яндекс днс перенаправляет гугол на особый гугол который не показывает порно

ыы вылезло уведомление от яндекса, ваши запросы слишком похожи на робата пройдите тест

запросы к днсу?

яндекс в своем репертуаре

почему не работает upnp для второго внутреннего интерфейса

ребят а что деать если через винбокс не могу зайти но ничего не менял в настройках?

Может сбросился в дефолт ? По mac-у тоже не ?

пароли ниче не менял

А если все таки пробовать не по ip а по mac зайти ?

Чудны дела твои Господи ?

на 6.42.1 вы обновляли? :)

У меня такое было когда я фаервол "настроил" ?

на 6.42.1 вы обновляли? :)

да написано же версия

Получилось только с помощью другого микрота через мак тел нет зайти

Потом поправил фаер и всё норм