хотя я и не много с ипсек работал)

первый раз такое слышу

читайте стандарт ipsec

зачем нужен тунель если нет трафика

фот как появится так и поднимется он

У меня в нате два правила, как в вики: add action=accept chain=srcnat dst-address=192.168.11.0/24 src-address=192.168.10.0/24 add action=accept chain=srcnat dst-address=192.168.110.0/24 src-address=192.168.10.0/24 Плюс в raw: add action=notrack chain=prerouting dst-address=192.168.11.0/24 src-address=192.168.10.0/24 add action=notrack chain=prerouting dst-address=192.168.10.0/24 src-address=192.168.11.0/24 add action=notrack chain=prerouting dst-address=192.168.20.0/24 src-address=192.168.10.0/24 add action=notrack chain=prerouting dst-address=192.168.10.0/24 src-address=192.168.20.0/24 add action=notrack chain=prerouting dst-address=192.168.100.0/24 src-address=192.168.10.0/24 add action=notrack chain=prerouting dst-address=192.168.10.0/24 src-address=192.168.100.0/24 add action=notrack chain=prerouting dst-address=192.168.110.0/24 src-address=192.168.10.0/24 add action=notrack chain=prerouting dst-address=192.168.10.0/24 src-address=192.168.110.0/24 В файрволле untracked разрешён, да.

кстати, ля…

add action=accept chain=srcnat dst-address=192.168.11.0/24 src-address=192.168.10.0/24 add action=accept chain=srcnat dst-address=192.168.110.0/24 src-address=192.168.10.0/24 это и есть исключение

обратите внимание что тунель ляжет как кончится время жизни ключей

и новые без трафика не создадутся

тупо пустите в тунель трафик и он будет у вас стоять как вкопанный

а по нему, по ходу практически ничего не ходит. там 60 байт за всю история работы, там 40. а не артефакт ли это тех времён, когда туннели были ещё l2tp\ipsec, а не просто ipsec...

а если нет тунеля то он поднимется на время жизни ключей и потом умерет успешно и поднимется потом только тогда когда трафик хоть в одном из направлений пойдет

* а если нет ТРАФИКА

То есть чтобы он не укладывался, нужно в периоды полной пассивности чем-то бросаться в туннель, чтобы не увял?

да

и новые без трафика не создадутся

но ок, люди начинают работу, начинает ломиться трафик, но ничего не происходит. хотя вы говорите, что любой трафик в любую сторону подымет ттуннель назад.

нужен аналог цисковского кипэлайф

я так понимаю, вопрос бы вообще не стоял…

нужен аналог цисковского кипэлайф

я из тех юродивых, который циски только на картинках видел, потому что для всех фирм дорогие. поэтому термин мне знаком чисто эмпирически путём перевода слова. :)

а по нему, по ходу практически ничего не ходит. там 60 байт за всю история работы, там 40. а не артефакт ли это тех времён, когда туннели были ещё l2tp\ipsec, а не просто ipsec...

при l2tp+ipsec там динамическая запись по идеи создается

Там надо было как-то писать темплейты. В вики по поводу теммплейтов на тот давний период всё было как-то куцо, поэтому помудохавшись пару дней так и эдек, из за общей срочности задачи я забил и сделал как есть. Видит бог, более двух лет пахало без сбоев…

Народ, кто соединял Hik с микротом по SFP, поддержка хика утверждает что их модули (HK-1.25G-20-1310 HK-1.25G-20-1550) совместимы, кто может подтвердить/опровергнуть ?

Я выяснил, в чем был неправ при настройке капа

Нужно не в квиксет лезть

А system - reset configuration - поставить галку caps mode

Там надо было как-то писать темплейты. В вики по поводу теммплейтов на тот давний период всё было как-то куцо, поэтому помудохавшись пару дней так и эдек, из за общей срочности задачи я забил и сделал как есть. Видит бог, более двух лет пахало без сбоев…

я не с самого начала слежу за вашей траблой, так у вас L2TP+IPSEC ???

У меня все капы на квиксете. Причём даже не через панель, а путём зажатия кнопки reset и активации cap-mode. Так точку можно раскрутить, ресет зажать, провод воткнуть и отправить всё что нужно раздавать даже не залезая ни в какие настройки.

я не с самого начала слежу за вашей траблой, так у вас L2TP+IPSEC ???

нет. у меня ipsec site to site.

нет. у меня ipsec site to site.

ну тогда конечно все просто

нет. у меня ipsec site to site.

написал в приват

нужен аналог цисковского кипэлайф

Зарядите netwatch. Или в шедулере пинг-скрипт

ну да такой костыль все и делают

иещее самое глявное это точное время на 2 сторонах, если у вас это не железки а вирталные роутеры то очень очень будте внимательны к времени

У меня все капы на квиксете. Причём даже не через панель, а путём зажатия кнопки reset и активации cap-mode. Так точку можно раскрутить, ресет зажать, провод воткнуть и отправить всё что нужно раздавать даже не залезая ни в какие настройки.

На сколько секунд надо ресет зажать, чтобы в кап мод перевести?

Я обычно до мигания юзер лед зажимаю ресет, и роутер сбрасывается на дефконф

На сколько секунд надо ресет зажать, чтобы в кап мод перевести?

эээээ. у меня на точках есть специальный диод, который начинает мигать когда нужно отпускать.

Надо инструкцию откопать

я находил в вики мануале точное описание. там есть.

Ок, ща отправлюсь

Enabling CAPs mode To connect this device to a wireless network managed by CAPsMAN, keep holding the button for 5 more seconds, LED turns solid, release now to turn on CAPs mode (total 10 seconds)

https://wiki.mikrotik.com/wiki/Manual:Reset_button

Уже нагуглил

подскажите, а можно ли как-то в микротике увидеть список всех клиентов в том числе тех, у кого статитка назначена вручную ну или хотябы отдельно тех, у кого такая статика, а то в арп они имеют айпи и мак, что несколько неудобно, хотелось бы видеть хотябы имя еще

А это поможет? Я как-то выдал всем dhcp принудительно, чтобы как-то проконтроллировать. Увидел несколько десятков «Admin-PC» и сильно всплакнул, помянув любителей дефолтных имён. ))

да, мне лень лезть под потолок чтобы подключить мышу на видеорегистратор)) ну а так его получается только вычеркивать из списков)

Сделал в datapath локал форвардинг, мало что изменилось

Чзх - не пойму

Мне кажется, что косяк в дискавери интерфейсе

мистика SRC106-1C-5S factory firmware 3.41 current firmware 3.41 upgrade firmware 3.35

как так?

Ты не с той стороны времени встал

мистика SRC106-1C-5S factory firmware 3.41 current firmware 3.41 upgrade firmware 3.35

Текущее по старее дефолтногл

Они некоторое время назад меняли принципы нумерации версий. Может отсюда артефакт вылез?

мб. ну и оно по нажатию upgrade не обновляется нифига

добрый день

мож не по теме но тут сетевики

помогите форвардин фигануть через шлюз не по умалчанию. У меня тачка выступает в роли шлюза, на тачке чистый инет а клиент идёт через tun0

я бы и на тике сделал это но не хватает проца на шифрование

https://yandex.ru/search/?text=linux%20policy%20routing&lr=50

тож маркировать надо

вроде вьезжаю немного

https://yandex.ru/search/?text=linux%20policy%20routing&lr=50

какраз что надо. спс

надо просто запомнить слова policy based routing

народ, а какой диапазон маков у микротика по дефолту? надо найти порт в коммутаторе, в который включен микрот.

E4-8D-8C (hex) Routerboard.com E48D8C (base 16) Routerboard.com Mikrotikls SIA Riga Riga LV1009 LV

6C-3B-6B (hex) Routerboard.com 6C3B6B (base 16) Routerboard.com Mikrotikls SIA Riga Riga LV1009 LV

CC-2D-E0 (hex) Routerboard.com CC2DE0 (base 16) Routerboard.com Mikrotikls SIA Riga Riga LV1009 LV

4C-5E-0C (hex) Routerboard.com 4C5E0C (base 16) Routerboard.com Mikrotikls SIA Riga LV1009 LV

B8-69-F4 (hex) Routerboard.com B869F4 (base 16) Routerboard.com Mikrotikls SIA Riga Riga LV1009 LV

D4-CA-6D (hex) Routerboard.com D4CA6D (base 16) Routerboard.com Mikrotikls SIA Riga LV-1009 LV 00-0C-42 (hex) Routerboard.com 000C42 (base 16) Routerboard.com Pernavas 46 Riga LV-1009 LV

64-D1-54 (hex) Routerboard.com 64D154 (base 16) Routerboard.com Mikrotikls SIA Riga Riga LV1009 LV

это надолго

нет, это вроде все

народ, а какой диапазон маков у микротика по дефолту? надо найти порт в коммутаторе, в который включен микрот.

Просканируй сеть сканером, который по макам напишет производителя. Например soft perfect network scanner

а если есть бриджи -мак вообще рандомный может быть

Только в настройках, надо это включить будет сканера

подскажите, если у меня два провайдера в одном микротике, сетка юзеров, допустим 192.168.5.0/24, через нат у этой сетки работает инет через провайдера 1 и мне нужно одного юзера этой сети пустить через провайдера 2, что мне нужно сделать для этого? второй маскарад для ипа? добавить второй маршрут 0.0.0.0/0 ? без маркировки пакетов никак?

в мангл есть экшн route-to он, наверное, поможет

мб. ну и оно по нажатию upgrade не обновляется нифига

перезагрузи. у тебя редкий случай когда микрот НАДО презагрузить

сяп. я, в общем-то уже

подскажите, если у меня два провайдера в одном микротике, сетка юзеров, допустим 192.168.5.0/24, через нат у этой сетки работает инет через провайдера 1 и мне нужно одного юзера этой сети пустить через провайдера 2, что мне нужно сделать для этого? второй маскарад для ипа? добавить второй маршрут 0.0.0.0/0 ? без маркировки пакетов никак?

в правиле ната, можно указать scr ip

можно составить списки адресов и указать каким через какого прова идти через src-nat

Нат не роутит, а только построутит

Нат не роутит, а только построутит

а может прероутит?

Dst-nat - да. Но тут он разве применим?

кто-нибудь юзал wifi-мост в режиме NV2 ? Работает стабильно?

хочу на Mikrotik SXT Lite2 сделать

В пятёрке отлично работает.

я тоже делал на пятерке

работает идеально

пятерка - это вы о чем? RouterOS пятой версии?

SXT 5

аа, понял. А на вышеуказанной мной модели будет работать? Просто они в наличие есть в магазине под боком, а SXT5 только под заказ через хз сколько времени