/ip dns static add address=127.0.0.1 regexp=blablabla.ru ttl=5m

он имел ввиду *.blablabla.ru

тогда маршруты ручками на клиентской машине

во работает

*.blablabla.ru попадает под регексп этот

тогда не придется маршруты на клиентах прописывать

наверняка это не совсем правильно но работает по крайней мере

во работает

тебе это ответили в первой мессаге

всем спасибо

*.blablabla.ru попадает под регексп этот

неа, не попадает

Коллеги, всем ещё раз доброго дня!

*.blablabla.ru попадает под регексп этот

от регэкспа в микротик одно название осталось только

Я мучался с ними в L7 - то еще удовольствие

вопрос к залу) в микроте как определённый траф пустить через определённый ифейз, в правиле NAT->masquerade интерфейс указать исходящий?

или ещё в кучу маркировать пакеты нужно?

ну если он определенный то надо сначала указать (промакрировать) этот определенный трафик

ну если он определенный то надо сначала указать (промакрировать) этот определенный трафик

скажем есть интернет на ether 1 (метрика 0) и ether3 (метрика 5). вот я хочу icmp для теста пустить через именно ether3 )

наверняка это не совсем правильно но работает по крайней мере

Можно еще посмотреть в сторону netmap в NAT.

скажем есть интернет на ether 1 (метрика 0) и ether3 (метрика 5). вот я хочу icmp для теста пустить через именно ether3 )

для теста удобней тулзой встроенной

для теста удобней тулзой встроенной

trace?

Можно еще посмотреть в сторону netmap в NAT.

а подробнее можно?

trace?

tool ping

а подробнее можно?

netmap - creates a static 1:1 mapping of one set of IP addresses to another one. Often used to distribute public IP addresses to hosts on private networks

То есть сопоставляет одну сеть с другой один к одному

tool ping

а, да, попробую, спасибо

То есть сопоставляет одну сеть с другой один к одному

так проблема не в микроте а в клиенте

Если клиент из впн пула обращается к 10.10.1.10, то это правило пересылает его на 192.168.4.10

так проблема не в микроте а в клиенте

Клиент будет обращаться к адресам из выданной ему подсети

А микрот подменять адрес

А микрот подменять адрес

клиент не знает куда посылать пакеты

у микрота адрес его локалки 192.168.4.254 , пул для впн 10.10.1.0/24, микрот из пула впн -10.10.1.1 , у меня на ноуте 10.10.1.2 , так вот с ноута на микрот по 10 адресу пинги есть, а если пинговать 192.168.4.254 то пингуется не микрот, потому что трасифорвка уходит в другую сторону и не находит конца

вот ТЗ

Знает) 10.10.1.0/24 - коннектед интерфейс, на него маршрут создается динамически

Только вопрос в том, зачем такой геморрой. Проще выдавать клиентам адреса из общего пула локалки, раз им нужно получить в нее доступ

хочет человек своим клиентам раздавать, почему нет

потому что: https://www.iana.org/assignments/iana-ipv4-special-registry/iana-ipv4-special-registry.xhtml и https://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xhtml

"Но это же не закон, скорее сборник рекомендаций" (с)

Только вопрос в том, зачем такой геморрой. Проще выдавать клиентам адреса из общего пула локалки, раз им нужно получить в нее доступ

так то можно и оно работает только что то мне подсказывает что это не совсем правильно

Я в похожей ситуации вынужден был поднять pptp/l2tp на линукс, и маршруты опциями клиентам выдавать посредством dnsmasq

Всем привет. Кто подскажет, есть ли возможность, объяснить микротику, что зона *.domen.loc находится в 1.1.1.0/24? Суть такова. Приходится удаленно работать. На микротике поднят ГРЕ. С другой стороны ГРЕ развернут локальный домен, ну а там уже определенные сервисы

а возможность есть

так то можно и оно работает только что то мне подсказывает что это не совсем правильно

Попробуйте netmap в таком случае

А вообще не должно быть. Главное чтоб пулы не пересекались

Попробуйте netmap в таком случае

попробовал но видимо что то не так настроил мжет , но пакеты не пошли

и чтобы сеть была одна. Если будут разные сети - будет упс

Коллеги, куда копать, если в туннеле траффик не шифруется ? INSTALLED SAs по нулям

use-ipsec?

Поставь обязательное использование шифрования

Поставь обязательное использование шифрования

Спасибо, проблему решил. Разбираюсь с phase1 negotiation failed

тут, случаем, нет админа который в RalfRinger микротики настраивает?

Привет!

Кто с таким сталкивался

грузит проц сервис unclassified и куда смотреть

Чтобы выявить

Может DDoS какой нибудь?

Вариант с убиранием галочки Allow Remote Requests в IP DNS, закрыть 53й порт, ещё был случай с Proxy

Вариант с убиранием галочки Allow Remote Requests в IP DNS, закрыть 53й порт, ещё был случай с Proxy

Спасибо

Сейчас попробую

netinstall поможет, похоже ломанули тик

Подскажите почему при смене статуса не выполняются комманды в netwatch?

записаны криво скорее всего

если вставить команды в терминал они выполняются корректно

interface gre disable [find comment="GRE"] ip address disable [find comment="GRE"] interface sstp-client disable [find comment="GRE"] routing ospf network disable [find commen t="GRE"] routing ospf network enable [find commen t="LAN"]

И так тоже не работает

/interface gre disable [find comment="GRE"] /ip address disable [find comment="GRE"] /interface sstp-client disable [find comment="GRE"] /routing ospf network disable [find commen t="GRE"] /routing ospf network enable [find commen t="LAN"]

попробуй вместо них просто писать в лог что-то

тригерятся ли вообще у тебя эти скрипты

ну и вообще что-то в лог писать перед выполнением

Если ставить выполнение этих же команд через скрипт то счетчики на скриптах срабатывают, а вот сами скрипты не выполняются

и есть интерфейсы с такими комментариями?

Конечно

можешь обернуть всё в :do {} on-error={}

можешь обернуть всё в :do {} on-error={}

Это в случаие скрипта?

пофигу, у тебя же в нетвотче тоже скрипт

в обработке ошибки какую нибудь запись в лог поставь

Парни, помогите пожалуйста: Овпн сервер на Микротике, key usage - tls server, subject alt name - DNS vpn-сервера, при подписании сертификатов указывал его. Далее - сертификат клиента - key usage - tls client, subject alt name Не указывал. При подключении из винды наблюдаю вот это:

конфиг: dev tun proto tcp-client remote vpn.server.address port 1194 nobind persist-key persist-tun tls-client remote-cert-tls client ca CA-NAME.crt cert USERNAME.crt key USERNAME.key auth-user-pass auth.txt askpass key.txt verb 5 mute 10 pull cipher AES-256-CBC auth SHA1 auth-nocache dev-node ovpn ifconfig 172.22.254.2 172.22.254.1

remote-cert-tls server не меняет ситуацию на микротике пробовал Require client certificate с галочкой и без неё

при этом схожий конфиг для клиента на микротик, только в Subject alt name прописан Ip микротика и всё работает

можешь обернуть всё в :do {} on-error={}

не совсем понимаю как это в скрипт обернуть

Подскажите почему при смене статуса не выполняются комманды в netwatch?

политики доступа для скриптов проверь, в новой версии там должны быть максимум 4 стоять, не помню точно каких

3 стоит

http://joxi.ru/Vm6ONVjhDRMv12

микро

а, там уже

3 стоит

ну правильные? рид ребут можно помню

микро

микротик головного мозга )))

ну правильные? рид ребут можно помню

Разобрался, проблема была в неправильном переносе команды на новую строку

Может глупый вопрос, есть вот такая штука, про@бан пароль , есть варианты восстановить? Через консоль порт мб или там на нем ещё usb есть

Ротерсканом если ось старая и 80 порт торчит

Ротерсканом если ось старая и 80 порт торчит

Нет , только ссш

подскажите , достаточно таких правил для защиты ? add action=drop chain=input comment="drop input to services" dst-port=21,22,23,80,161,43,8080,8291,8728,8729,2000 in-interface-list=inet log=yes \ log-prefix="drop input to services" protocol=tcp add action=drop chain=input comment="drop input to services" dst-port=21,22,23,80,161,43,8080,8291,8728,8729,2000 in-interface-list=inet log=yes \ log-prefix="drop input to services" protocol=udp add action=drop chain=input comment="DNS drop" dst-port=53 in-interface-list=inet log=yes log-prefix="drop wan DNS" protocol=udp add action=drop chain=input comment="DNS drop" dst-port=53 in-interface-list=inet log=yes log-prefix="drop wan DNS" protocol=tcp add action=accept chain=input connection-state=established in-interface-list=inet add action=accept chain=input connection-state=related in-interface-list=inet add action=drop chain=input in-interface-list=inet add action=drop chain=input connection-state=invalid

недостаточно

для начала нужно вынуть кабель

?

и одеть гандон на рж45\

а по серьезному я не понимаю, зачем так делать