коллеги, прочитайте из книжки Эви Немет "Системной администрировани Линукс" десять страниц про сети )

кстати в ptp соединениях в микроте можно выставить, чтобы они сами дефолт устанавливали, и даже с нужным дистансом )

И я не понял про вторую итерацию.

кстати в ptp соединениях в микроте можно выставить, чтобы они сами дефолт устанавливали, и даже с нужным дистансом )

В любом коммутируемом.

И я не понял про вторую итерацию.

Ну надо попасть на 1.2.3.4 - А есть два маршрута 6.7.8.9/32 gw 192.168.250.250 И 0.0.0.0/0 gw 6.7.8.9

Сначала система использует второй маршрут, дефолт, т.к. первый не ведет на 1.2.3.4

А потом использует первый, пытаясь попасть на "дефолтный" 6.7.8.9

Получается "две итерации"

Зачем ей попадать на 6.7.8.9, если нужно на 1.2.3.4?

6,7,8,9 - это маршрут до ВПН сервера через провайдера

Зачем ей попадать на 6.7.8.9, если нужно на 1.2.3.4?

Потому что этот адрес в дефолтном маршруте прописан

6,7,8,9 - это маршрут до ВПН сервера через провайдера

Да

далее для 0.0.0.0/0 gw=vpn-tunnel (указываем имя интерфейса)

А 192.168.250.250 - шлюз прова

весь траффик будет ходить через впе-интерфейс

но сам туннель будет ходить через провайдера

всёж нормально

всёж нормально

Две итерации)

ну оно как бы не совсем так

это не будет 2 хопа

туннель-то уже установлен

это не будет 2 хопа

Не. Это будет два просмотра таблицы маршрутов

ну хорошо, пусть будет 2 итерации. Пакет всё равно не будет гулять туда-сюда, он сразу пойдёт в туннель.

работать-то такая схема будет?

весь траффик микротика пойдёт через туннель

ну хорошо, пусть будет 2 итерации. Пакет всё равно не будет гулять туда-сюда, он сразу пойдёт в туннель.

Конечно. Это все будет происходить до отправки пакета. Я про "ход мыслей железки до отправки пакета")

а что там железка делает - это надо код смотреть

ну дык и? ну и пусть себе делает

а альтернатива - мангл

ну дык и? ну и пусть себе делает

Да пусть) я про то, что можно цепочки. Маршрут до точки, которая описана другим маршрутом и т.п

нетфильтр отлавливает пакет, метит, в таблице маршрутов чёрт знает в каком месте находит маршрут с данной меткой (какой он там по списку будет?)

Схема работать будет, если ты в одной подсети с впн сервером

когда надо гонять выборочно - удобнее метить. Когда надо всё туда - делать маршрут туда

это не цепочки.

это инкапсуляция

ну почти

Схема работать будет, если ты в одной подсети с впн сервером

????

на основании чего такие заявления?

при установке ВПН-соединения в винде же то же самое происходит - маршрут до впн-сервера - через самое первое соединение, а потом уже 0.0.0.0/0 - через впн-интерфейс

это не цепочки.

Ну да))) "цепочки" у мт - зарезервированное слово))) посягнул)

парни, доброй пятницы подскажите плз где почитать про признаки взломанного микрота? у знакомого интересная ситуация - множество исходящих соединений от адреса микротика на 23 порт

а ВПН не означает, что вы в одной подсети?

просто трафик внутри pptp ничего не знает про то, что он внутри pptp например. Это просто такой же интерфейс. Что он фактически внутри другого не имеет никакого значения

ну с впн-сервером - обычно не в одной сети, иначе обычно незачем так делать

после установки впн-туннеля - в одной

да, формулировка не совсем ясная была

ну с впн-сервером - обычно не в одной сети, иначе обычно незачем так делать

Ага. Сам на 127.0.0.1 сидишь и поднимаешь тоннель до 127.0.0.2 :)

если адреса динамические - то да)

Не установишь тоннель с маршрутом 0.0.0.0/0 на впн сервер в другой подсети, так как трафик не полезет на провайдера чтоб соединение установить

Шлюз не будет reachable

когда надо гонять выборочно - удобнее метить. Когда надо всё туда - делать маршрут туда

У меня прокси есть. И выборочность сделал настройкам винды родными. Там есть прокси по "конфигу". Указал какие маски для прокси учитывать, а остальное напрямую летает. Удобно. И все проги на компе общевиндовые настройки прокси смотрят

Не установишь тоннель с маршрутом 0.0.0.0/0 на впн сервер в другой подсети, так как трафик не полезет на провайдера чтоб соединение установить

Может вы не так чего поняли, но все работает и даже тест скинули выше

У меня прокси есть. И выборочность сделал настройкам винды родными. Там есть прокси по "конфигу". Указал какие маски для прокси учитывать, а остальное напрямую летает. Удобно. И все проги на компе общевиндовые настройки прокси смотрят

Это при том, что дома мт нет) обычный soho простой

Не установишь тоннель с маршрутом 0.0.0.0/0 на впн сервер в другой подсети, так как трафик не полезет на провайдера чтоб соединение установить

Потому нужно море специфик до впн-сервера. Впн поднимется - и будет ричебл

ну зухель через entware позволяет поиметь пракетически полноценный линукс

Как пойдет трафик до сервера? Никак, так как дефолтный маршрут идёт не на провайдера, а идёт на необнаруживаемый хост

Потому нужно море специфик до впн-сервера. Впн поднимется - и будет ричебл

А не поднимется - пригодится запасной с большей метрикой. Хороший вариант.

Может вы не так чего поняли, но все работает и даже тест скинули выше

так он изначально говорил, что это БУДЕТ работать, ибо маршрут более специфичный

Потому нужно море специфик до впн-сервера. Впн поднимется - и будет ричебл

Да

слова @vsmith сходятся с опытом

так он изначально говорил, что это БУДЕТ работать, ибо маршрут более специфичный

Выше вон пишет, что "никак")

Ну так маршрутизация так работает в принципе)

Просто здесь этого не видно

Ну надо попасть на 1.2.3.4 - А есть два маршрута 6.7.8.9/32 gw 192.168.250.250 И 0.0.0.0/0 gw 6.7.8.9

ERROR: S client not available

Просто здесь этого не видно

Чего именно не видно?)

Это был поток мыслей, сопровождающих Понимание)

Чего именно не видно?)

Провайдера

Провайдер 192.168.250.250

А 192.168.250.250 - шлюз прова

Вот

А

Проебал я эту мессагу

Непривычно, что сети серые)

Тады ок

А

Легенда "размазана" вокруг) сори)

Непривычно, что сети серые)

Пров из прошлого ;)

А вот когда не знаешь ip впн сервера - тогда начинаются приседания

нужен третий сервер))

Никто не сталкивался с тем, что хотспот после остановки сессии (на его странице), все равно продолжает давать доступ в интернет? Правда страница хотспота упорно делает вид, что интернет заблокирован (показывает форму логина, если зайти на нее напрямую). На роутере 2 точки (приватная и публичная с хотспотом), включена https авторизация у хотспота. Что это может быть?

А вот когда не знаешь ip впн сервера - тогда начинаются приседания

Типа нечем отднсить?

Угу. Билайн такое даёт. Пришлось городить скрипт, чтобы разрешать и в маршруты запихивать

Боль в том, что l2tp сервер билайна доступен и с других провайдеров)

Угу. Билайн такое даёт. Пришлось городить скрипт, чтобы разрешать и в маршруты запихивать

Дают типа bestvpn.beeline.ru c динамическим адресом?

Ага

Да... тогда на костылях верхом на велосипеде)

"Костылем крутим педали велосипеда" :)

А из каких "народных" материалов собран костыль - умолчим.

Утрирую)

Еще такое вспомнилось "хороший костыль становится протезом"

Никто не сталкивался с тем, что хотспот после остановки сессии (на его странице), все равно продолжает давать доступ в интернет? Правда страница хотспота упорно делает вид, что интернет заблокирован (показывает форму логина, если зайти на нее напрямую). На роутере 2 точки (приватная и публичная с хотспотом), включена https авторизация у хотспота. Что это может быть?

Не сталкивался

Да не, все нормально, скриптом. Был бы один провайдер - было бы проще.

Не сталкивался

Да вот фиг его знает, что это может быть, настройка то стандартная

Да вот фиг его знает, что это может быть, настройка то стандартная

Нужно вникать в теорию работы, прикидывать где сбоить может и мониторить эти места.

Нужно вникать в теорию работы, прикидывать где сбоить может и мониторить эти места.

Это чтоб именно болячку выявить. А как костыль - тем же скриптом, может, рвать сессию или еще чего дополнительно делать по окончанию срока/оплаты/разлогина и т.п

Угу. Билайн такое даёт. Пришлось городить скрипт, чтобы разрешать и в маршруты запихивать

Роутерос сейчас создаёт /32 роут до впн-сервера самостоятельно, костыли нинужны

Это чтоб именно болячку выявить. А как костыль - тем же скриптом, может, рвать сессию или еще чего дополнительно делать по окончанию срока/оплаты/разлогина и т.п

Хм, а костыли это идея. Вы про те, что при логине и логауте можно задать?

Да. Но адрес сервера неизвестен, только имя