@MikrotikRu
Fire05.07.2018
04:58:33
04:58:33
подскажите, ipip тунель на каком порту работает?
B05.07.2018
04:58:50
04:58:50
От эт спросил
Dmitry05.07.2018
04:59:18
04:59:18
спасибо но не завелось!
GoogleEvgeniy05.07.2018
05:00:13
05:00:13
Всем привет парни банальный вопрос как пробросить порты, делал по интрукции https://bit.ly/2NlD8cf пакеты всё равно не идут подскажите пожалуйста
общая схема:
1. сделать дст-нат
2. разрешить трафик после ната в форвардеB05.07.2018
05:00:34
05:00:34
Evgeniy05.07.2018
05:01:00
05:01:00
B05.07.2018
05:01:25
05:01:25
А нат же сам по себе не примет решение о маршрутизации
Dmitry05.07.2018
05:01:26
05:01:26
нужно открыть порт для radmin
B05.07.2018
05:01:33
05:01:33
)
Evgeniy05.07.2018
05:02:09
05:02:09
Dmitry05.07.2018
05:02:22
05:02:22
B05.07.2018
05:03:14
05:03:14
)
GoogleEvgeniy05.07.2018
05:03:24
05:03:24
если это непонятно - очень советую сначала почитать про устройство иптаблес. например на опеннете. это очень поможет
Ilya05.07.2018
05:03:41
05:03:41
про нетфильтр, если быть точным
B05.07.2018
05:03:45
05:03:45
)))
Evgeniy05.07.2018
05:04:33
05:04:33
2 пункт как реализовать
тут нужно обратить внимание когда делается нат и когда фильтр. тут поможет packet flow diagram.или я путаю название диаграммы?
короче на том же опеннете в статье про иптаблес есть схема. довольно наглядная
Антон05.07.2018
05:11:51
05:11:51
Проще фаервол вообще выключить на время теста
B05.07.2018
05:12:39
05:12:39
И в работе он мешает, только тормозит
Антон05.07.2018
05:12:44
05:12:44
Чем объяснять про пакеты флоу
Dmitry05.07.2018
05:13:04
05:13:04
да. но ему пока не принципиально имхо, судя по вопросам =)
в chain указываю forward protocol tcp in interface примеру WAN а в Action что ставить?B05.07.2018
05:13:21
05:13:21
Дим
Антон05.07.2018
05:13:30
05:13:30
B05.07.2018
05:13:48
05:13:48
Давай доеду до работы, настрою ...
Evgeniy05.07.2018
05:14:29
05:14:29
в chain указываю forward protocol tcp in interface примеру WAN а в Action что ставить?
в зависимости что нужно. аксепт напримерB05.07.2018
05:14:54
05:14:54
Скачай пока Тим13
Dmitry05.07.2018
05:15:06
05:15:06
да есть всё
GoogleB05.07.2018
05:15:14
05:15:14
Я через 30 минут зайду в офис ... пока на кутузе толкаюсь
B05.07.2018
05:15:44
05:15:44
) настрою и пусть спрашивает зачем эти правила
Dmitry05.07.2018
05:16:31
05:16:31
?
Evgeniy05.07.2018
05:17:07
05:17:07
) настрою и пусть спрашивает зачем эти правила
мне больше в голове откладывается когда сам поделаю несколько раз. да, можно спросить что к чему, но надо сделать именно самому. тактильная память или типа того =)жжешь =)
B05.07.2018
05:18:31
05:18:31
Да я сам только начал отходит от этих магических вуду настроек, когда не знаешь работу протокола, а тебе говорят постучи там... введи эту команду и так попробуй сделать, а в конце говорят отключи фаервол
И все работает магия
Сидишь обрядов провёл и счастлив - работает
Ну так что ... какие ритуалы нужно сделать сегодня ...
B05.07.2018
05:20:06
05:20:06
О а у меня вопрос ... как на схт поднять вайрелес соединение и с двух разных маков получить два разных адреса
Антон05.07.2018
05:20:07
05:20:07
Ну если чувак вообще не в теме, а вы ему про пакет флоу
Антон05.07.2018
05:20:28
05:20:28
Само собой проще фф отключить
B05.07.2018
05:21:22
05:21:22
) мы же занимаемся дебагом и ждём какой-то логики
Может поставить лог в чёлочках
Цепочках
GoogleB05.07.2018
05:21:50
05:21:50
И следить за этой логикой )
Уважаемые знатоки ! Как в вайрелес соединении получить адреса или отвечать с одного интерфейса с двух маков ?
Коль, я твою статью вчера читал )
Привет
Очень душевно написано )
А ещё вопрос ! Будет ли работать интернет на машинах за роутером, если у роутера нет ни одного нат правила !
Но есть два тунеля и два мангала
Nikolai05.07.2018
05:27:49
05:27:49
Привет. Что-то я вопроса подробности не понял. Что ты пытаешься построить?
B05.07.2018
05:28:02
05:28:02
А ещё есть pppoe соединение и провайдер даёт /29 маску как повесить адреса этой сети на роутере
AdminERROR: S client not available
B05.07.2018
05:28:22
05:28:22
Привет. Что-то я вопроса подробности не понял. Что ты пытаешься построить?
Я хочу с других клиентов маки которых я получил сидетьПровайдер вайрелес
Я спылесосил маки клиентов ... и маки точек ... провёл атаку и получил хендшейк ... части клиентов
Потом понял что вривязка по маку
И теперь два варианта ) либо я строю нат на схт и подменяя мак получаю интернет ... второй вариант я строю бридж и опять же если псевдобридж получаю интернет с маком на вайрелес интерфейсе ...
Усложняем задачу и я хочу двух клиентов держать
Nikolai05.07.2018
05:31:22
05:31:22
Так это, mode=station создаёт только единичный интерфейс. Несколько на одной физике не создать, как у AP
"надо больше микротиков" (c)Saab95
GoogleNikolai05.07.2018
05:41:07
05:41:07
Может и есть. Сидит тихохонько, читает весь здешний бред ?
Лично мне уже стало часто лень отвечать тут на недоформулированные вопросы и потоки сознания некоторых несознательных граждан и играть в угадайку по их потоку сознания.
Потому и пишу тут всё реже.
Сделай вот так.
У меня работает
#
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
add action=src-nat chain=srcnat dst-address=192.168.0.0/24 src-address=\
192.168.10.0/24 to-addresses=192.168.0.254
add action=netmap chain=dstnat connection-mark="" disabled=yes in-interface=\
lte1 protocol=tcp to-addresses=192.168.0.5
add action=netmap chain=dstnat dst-port=554 in-interface=lte1 protocol=tcp \
to-addresses=192.168.0.50
add action=netmap chain=dstnat dst-port=49311 in-interface=lte1 protocol=tcp \
to-addresses=192.168.0.50
add action=netmap chain=dstnat disabled=yes dst-port=83 in-interface=lte1 \
protocol=tcp to-addresses=192.168.0.6
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
out-interface=lte1
Ох, вот от Вас-то такого пролёта не ожидал.
Кроме NetMap - фиг с ним, хоть он и совсем не для проброса портов предназначен, есть тонкость с критериями:
Когда используется in-interface, то невозможно сделать hairpin nat. Т.е. при необходимости попадать по внешнему IP на внутренний сервер, ничего не выйдет.
Для более корректной работы "проброса порта", рекмендуется использовать критерий dst-address, вместо in-interface. Особено, если снаружи IP "белый"Vladimir05.07.2018
05:51:19
05:51:19
удачи в использовании dst-address вместо in-interface на lte
Nikolai05.07.2018
05:52:05
05:52:05
удачи в использовании dst-address вместо in-interface на lte
Вы не умеете получать на интерфейсе статику?Nikolai05.07.2018
05:53:40
05:53:40
В общем случае, когда заводят сервер, без такого не обойтись.
Статика может быть и "серая", с провайдерским пробросом 1-в-1. Это ничего не меняет.
ну и hairpin-nat - это такое....
Либо hairpin-nat, либо split dns. Для совместимости подключения по "проброшенным портам" два основных пути.Ilya05.07.2018
06:07:46
06:07:46
https://youtu.be/-e0zWivFyQI?t=11m44s
Вот же нетмапа предназначение
сети мапить
Nikolai05.07.2018
06:10:32
06:10:32
Когда-то очень давно, какой-то негр запилил с помощью нетмапа "проброс порта" и выложил это в Интернет.
С тех пор люди обезьяничают, не понимая сути. "так работает же".
И продолжают пассатижами гвозди забивать - "так забиваются же" ?
Александр05.07.2018
06:12:30
06:12:30
Ох, вот от Вас-то такого пролёта не ожидал.
Кроме NetMap - фиг с ним, хоть он и совсем не для проброса портов предназначен, есть тонкость с критериями:
Когда используется in-interface, то невозможно сделать hairpin nat. Т.е. при необходимости попадать по внешнему IP на внутренний сервер, ничего не выйдет.
Для более корректной работы "проброса порта", рекмендуется использовать критерий dst-address, вместо in-interface. Особено, если снаружи IP "белый"
Спасибо, что Вы были о бо мне высокого мнения. искренне жаль что разочаровал Вас.Vladimir05.07.2018
06:13:47
06:13:47
аналогия с пассатижами притянута за уши конечно же
Nikolai05.07.2018
06:13:49
06:13:49
Александр, Вы не обижайтесь, пожалуйста. Ошибиться может каждый человек. Я сам порой в смежных областях могу отжечь мощно.
Vladimir05.07.2018
06:14:04
06:14:04
в чем вред использования нетмапа для порта?
B05.07.2018
06:14:29
06:14:29
Спасибо, что Вы были о бо мне высокого мнения. искренне жаль что разочаровал Вас.
не парься ! ну все нормально же !все будет хорошо
но не у всех
и не всегда
Александр05.07.2018
06:14:56
06:14:56
Александр, Вы не обижайтесь, пожалуйста. Ошибиться может каждый человек. Я сам порой в смежных областях могу отжечь мощно.
Я на Вас совершенно не обиделся. Буду обязалельно испавлять свои ошибки
Открыть в Telegram