конфиг шоб не описывать )

все настроено, инета нет

куда копать.. )

Они не помогут, разве что телепаты есть. Без файрволла работает?

повырубать правила?

А, это хотспот. Тут хз, не разбирался

для диагноза какие параметры нужно еще указать?

нат поднят

а где дефолтный маршрут-то в интернеты эти ваши?

это я про эту картинку

тут только маршрутизация внутренней сети

тут только маршрутизация внутренней сети

точно

щас вот просто тупо врубил хотспот на гостевой wifi - завелось с первого раза

Эти правила файрволла динамические - заворачивают на captive portal

а так

снаружи доступ появился

бывают провайдеры, где сеть работает только после выдачи через дхцп, даже если потом поставишь ип вручную такой же - не работает

бывают. и так и должно быть в сферическом правильном ipoe

а бывают недопионернеты которые выдают статику (!) на бумажке. в подсетях 192.168.0.0/16

hi all

а бывают недопионернеты которые выдают статику (!) на бумажке. в подсетях 192.168.0.0/16

Бывают

Хотя не самый плохой инет от них

Так я не спорю) Подходы к проектированию сетки разные. У пионернетика этого даже GRE правильно натится (привет Красно-синим Яйцам)

кто работал с ipv6, можно ли на миктотике в ipv6 сделать маршрутизацию по src адресу? есть 2 брокера и 2 LAN нужно каждую LAN отправить по разным маршрутам

в фаерволе ipv6 не густо

Мне вот интересно, провайдеры выдают белые ipv6 ?

писец....

я аш подавилась

Мне вот интересно, провайдеры выдают белые ipv6 ?

Белые подсети

Мне вот интересно, провайдеры выдают белые ipv6 ?

а кто-то выдает серые ipv6 ?

а кто-то выдает серые ipv6 ?

какие-какие?

кто работал с ipv6, можно ли на миктотике в ipv6 сделать маршрутизацию по src адресу? есть 2 брокера и 2 LAN нужно каждую LAN отправить по разным маршрутам

это называется PBR

"серые ипв6"

Кто из Латвии тут? Можете тиковцам побашке настучать что бы уже поскорее запили hAP AC2 Classic Editinal...

появился новый анекдот

какие-какие?

не знаю, какое-то странное получилось название)

появился новый анекдот

+

"серые ипв6"

Так то такие есть...

если проводить аналогию c IPv4 - то серые IPv6 это ULA

протокол весь придуман затем чтобы не было серых

ну конечно, не фантазируйте. ULA очень востребована для использования внутри компаний

нат всех заебал уже

протокол весь придуман затем чтобы не было серых

так то да, но все равно там есть резерв подсети для таких "серых адресов". хз зачем... но мб если тебе нужно перевести сервера в каком-нибудь банке на ипв6.. типо безопасность...

протокол весь придуман затем чтобы не было серых

я тоже так думал. но вот щас почитал и опа - есть сервые в ипв6... так что мы с тобой неучи =)

так то да, но все равно там есть резерв подсети для таких "серых адресов". хз зачем... но мб если тебе нужно перевести сервера в каком-нибудь банке на ипв6.. типо безопасность...

да всё просто. внешние адреса могут менятся. вот переехал ваш филиал по другому адресу, там другой оператор, другой пул адресов, если вам PI недоступен. и чо терь, весь план адресации перепиливать будете?

это называется PBR

с ipv6 работает?

с ipv6 работает?

должно, я не пробовал, но не вижу причин почему бы и нет

да всё просто. внешние адреса могут менятся. вот переехал ваш филиал по другому адресу, там другой оператор, другой пул адресов, если вам PI недоступен. и чо терь, весь план адресации перепиливать будете?

ну или так, да

с ipv6 работает?

читайте про mangle, там никаких отличий от IPv4 не должно быть

нат всех заебал уже

не всех =)

появился новый анекдот

Рассказывай.

не всех =)

ну если только тех, кто на внутренней связности еще не ощутил все прелести IPv6, да

читайте про mangle, там никаких отличий от IPv4 не должно быть

с ipv6 в микротике все не так как с 4 :) поэтому и спросил

с ipv6 в микротике все не так как с 4 :) поэтому и спросил

почему? а как? другой файрвол пугает?

протокол весь придуман затем чтобы не было серых

А я хочу серые, я хочу пробрасывать порты, а не выставлять голую жопу наружу...

для медика простительно не знать слово файрвол

не так то, что нельзя сделать routing mark в mangle ipv6

да всё просто. внешние адреса могут менятся. вот переехал ваш филиал по другому адресу, там другой оператор, другой пул адресов, если вам PI недоступен. и чо терь, весь план адресации перепиливать будете?

Я тоже за NAT)

и в маршрутизации ipv6 нельзя поставить routing mark

для медика простительно не знать слово файрвол

Вы хотите быть заблокированы за такой базар?

не так то, что нельзя сделать routing mark в mangle ipv6

да, надо посмотреть про это, мб и так

А я хочу серые, я хочу пробрасывать порты, а не выставлять голую жопу наружу...

по идее это рулится файром

ну

ERROR: S client not available

а что потом с теми марками делать, оно работает в ип роутин руле?

он же не умеет блокировать ничего, какой с жарова спрос

по идее это рулится файром

Не всегда, лучше уж по дефолту залочено всё что не разрешено...

для ipv6 нет

он же не умеет блокировать ничего, какой с жарова спрос

?????????

он же не умеет блокировать ничего, какой с жарова спрос

ЗАБЛОКИРОВАН!

он же не умеет блокировать ничего, какой с жарова спрос

он умеет блокировать всё, кроме того, что нужно

А я хочу серые, я хочу пробрасывать порты, а не выставлять голую жопу наружу...

Психологическое ощущение нахождения в домике) Знакомо

А так никого не смущает, что NAT != FW?

для ipv6 нет

вижу старые старые фичреквесты чуть ли не 2012 года, наверное будет в 7 версии

Можно со стороны прова просканить внутреннюю подсеть за роутером. емнип соединение пройдёт.

вижу старые старые фичреквесты чуть ли не 2012 года, наверное будет в 7 версии

а еще фасттрак. хотя на hex он не нужен, но проц.времени много не бывает)

ясно понятно, жаль

всем привет. подскажите плз, как аккуратно удалить 15к адрес-лист? что бы ЦПУ не взлетел

/ip firewall address-list remove [/ip firewall address-list find list="name"]?

А так никого не смущает, что NAT != FW?

NAT не позволяет входящим соединениям споконой подключаться без проброса, так что это в какой то степени аналог FW.

NAT не позволяет входящим соединениям споконой подключаться без проброса, так что это в какой то степени аналог FW.

если мы в сети прова, тупо шлем на роутер хомячка пакет с dst в локалке хомячка

и он уйдёт внутрь (если я ничего не напутал)

если мы в сети прова, тупо шлем на роутер хомячка пакет с dst в локалке хомячка

И? Не уйдёт.

Трансляции не было.

а зачем она? пакет попадает в цепочку forward

а не input

Без фаервола пройдет. Именно для борьбы с этим делаются правила accept established,related - остальное дроп.

где то был этот сценарий в одном из мумов

оч нехороший сценарий

так что жопа микротика в том, что они инструмент дают, а best practice только на мумах или сертификациях

так что жопа микротика в том, что они инструмент дают, а best practice только на мумах или сертификациях

что, где то иначе?

м, что такое мумы?

что, где то иначе?

цЫско

цЫско

и чего там?

ну они бюллютени по секурити выпускают

м, что такое мумы?

MUM, конференция микротиководоводов