Почему нет?май

Здравствуйте. Не поможете с проблемкой. Удаленные микротики коннектятся к центральному по l2tp ipsec и при каждом коннекте любой точки в логе на центральном появляется куча следующих сообщений: 06:58:54 route,ospf,error Discarding packet: locally originated 06:58:54 route,ospf,error src address=10.42.1.254. Может кто сталкивался? Загуглить не получается, везде натыкаюсь на ответ забить.

а что за адрес? єто адрес в Л2ТП?

Серьёзно?

В вики про радиус написано, что радиус умеет аккаунтинг. За деталями можно в вики микротика и в документацию по радиусу

Здравствуйте. Не поможете с проблемкой. Удаленные микротики коннектятся к центральному по l2tp ipsec и при каждом коннекте любой точки в логе на центральном появляется куча следующих сообщений: 06:58:54 route,ospf,error Discarding packet: locally originated 06:58:54 route,ospf,error src address=10.42.1.254. Может кто сталкивался? Загуглить не получается, везде натыкаюсь на ответ забить.

а не получается что у Л2тП клиентов одинаковый адрес?

или в одном тунеле у сервака адрес такой же как у клиента в другом

Нет

Проверил на 5 раз. Адреса выдаются из пула динамически.

но 1,254 это чей адрес?

Это адрес l2tp сервера

Делаю белый список dns адресов. Как правильно добавить его в addresses list. Только regexp'ом или есть иные способы?

Просто имя

Просто имя

Там список целый

Делаю белый список dns адресов. Как правильно добавить его в addresses list. Только regexp'ом или есть иные способы?

успехов

Черный список работал успешно

в смысле, что их много)

Можно конкретнее? Впервые настраиваю

либо regexp, либо каждый адрес вручную

скорее второе)

А каждый адрес вручную - для каждого адреса одно правило нужно будет?

ага

Вредные советы какие то

Белый список интернета?

А каждый адрес вручную - для каждого адреса одно правило нужно будет?

Если название у списка одно, то одно правило

EZ, прочитал 3тысячи сообщений в этом чяте!

Такое впечатление что есть dhcp relay и он отрабатывает раньше snooping

Как это?

Стратеджи...

Не с того порта скриншот, но пофиг. Все с точностью до наоборот. Ветрами, опт82 енабле, опт 82 стратеджи дроп для клиентов, и кип для свичей

На антрастед портах

Делаю белый список dns адресов. Как правильно добавить его в addresses list. Только regexp'ом или есть иные способы?

Любопытно, какую задачу решаете?

JG920A-CMW52 0-R1120 2018-5-14 Remarks Fixed bugs у меня есть)

все именно так настроено. и что у вас есть микротик с dhcp? он поднимает панику если видит другой dhcp?

Не с того порта скриншот, но пофиг. Все с точностью до наоборот. Ветрами, опт82 енабле, опт 82 стратеджи дроп для клиентов, и кип для свичей

так это страгегия ЗАМЕНЫ опции 82. для провайдера это означает тащить ли опцию с пограничного свича или заменять. обычно они тащат. вы говорили что это стратегия блокировки DHCP? немного не то что я ожидаю

ну что значит нет? я скачал и даже загрузился сегодня днем.

все именно так настроено. и что у вас есть микротик с dhcp? он поднимает панику если видит другой dhcp?

Мы ж про hp говорили? Микрот к у меня или радио или роутинг... Свичей есть пара, но они не на доступе. Хотя Лабу могу собрать.

так это страгегия ЗАМЕНЫ опции 82. для провайдера это означает тащить ли опцию с пограничного свича или заменять. обычно они тащат. вы говорили что это стратегия блокировки DHCP? немного не то что я ожидаю

Ну вот у меня он стоит на доступе. Один порт трастед, один порт опт.82+кип, за ним свич, остальные- клиенты. На них опт82+дроп.

Ну вот у меня он стоит на доступе. Один порт трастед, один порт опт.82+кип, за ним свич, остальные- клиенты. На них опт82+дроп.

да мы про HP. ну так вы делали эксперимент и ответы DHCP не попадают другим клиентам? суть моего первоначального вопроса : почему же эти ответы прилетают из untrusted в trusted. Я делаю этот вывод исходя из алертов микротика

Хотя... Может просто умников не было... Был бы он ближе 100 км. Можно было б затестить.

Хотя... Может просто умников не было... Был бы он ближе 100 км. Можно было б затестить.

drop тут означает удалять любую опцию от умников пытающихся имитировать у провайдера чужую квартиру)

да мы про HP. ну так вы делали эксперимент и ответы DHCP не попадают другим клиентам? суть моего первоначального вопроса : почему же эти ответы прилетают из untrusted в trusted. Я делаю этот вывод исходя из алертов микротика

Никогда не видел ответов из антрастед портов

Никогда не видел ответов из антрастед портов

ну а откуда вы знаете? включен dhcp alert в микроте? или по-моему isc dhcpd тоже с алертами

drop тут означает удалять любую опцию от умников пытающихся имитировать у провайдера чужую квартиру)

Это какгбе я и так знаю... Просто делюсь тем, что у меня настроено и работает. Но пляски вокруг снупинг были, да.

Это какгбе я и так знаю... Просто делюсь тем, что у меня настроено и работает. Но пляски вокруг снупинг были, да.

ну так и в чем они заключались? именно drop для option 82?

ну так и в чем они заключались? именно drop для option 82?

А вот никто не помнит уже. Конфиг то на нем - палка/веревка...

Возможно именно включение опт82 спасло

А вот никто не помнит уже. Конфиг то на нем - палка/веревка...

Ну выгрузите мне конфиг, если не жалко

Sergey: Народ посоветуйте трубу только не айфон на 2 симки с хорошим дисплеем и т.п. бюджет рублей 15-20

Возможно именно включение опт82 спасло

сейчас у меня точно как на картинке порт-аплинк настроен. туда прилетает иначе бы микротик не орал

Ну выгрузите мне конфиг, если не жалко

Это в пн. С мобилы неудобняк совсем. А вланов нету там? Просто снупинг в теории на вланах работает.

Это в пн. С мобилы неудобняк совсем. А вланов нету там? Просто снупинг в теории на вланах работает.

стараюсь не усугубять без надобности. в этой конфигурации нет вланов совсем

небось с 802.11ад ап

Товары для геймеров

Чем ущербнее дизайн - тем круче

8 ант

чем больше ант на маршрутизаторе, тем больше мне хочется его купить в качестве кандидата на место на полке

я собираю маршрутизаторы - хобби такое

у меня есть все hAP, половина всех RB, crossroards

Любопытно, какую задачу решаете?

Хочу сделать доступ к 10.0.0.0/8, нескольким внешним сайтам, CDN, а все остальное запретить.

стараюсь не усугубять без надобности. в этой конфигурации нет вланов совсем

Прям в азарте я... Не может с антрастед порта прилететь дхцп-аск. Дхцп сервис включен? Есть предположение, что в нем было дело. Но не факт...

Прям в азарте я... Не может с антрастед порта прилететь дхцп-аск. Дхцп сервис включен? Есть предположение, что в нем было дело. Но не факт...

дык. отмиррорить в влан что-ли и там захватить в файл на микротике? не очень владею этой техникой и нет желания отрубить аплинк случайно. это все удаленно происходит. я не там

самые крутые маршрутизаторы в моей коллкеции CISCO ASR1002HX CISCO SYSTEMS 7609 MikroTik CCR1036-12G-4S-EM MikroTIk CCR1072-1G-8S+ Extreme Networks MLXe-32 AVAYA ERS8600 Alcatel-Lucent 7500 Alcatel-Lucent 7950XRS

фсмыслий. ну и шуточки.

нет

1036 используедзо в сети

1072 не дает ему скучать

я споткнулся об cisco 12000. шел по атс и углядел) это считается?

а на компе арп -а что показывает?

Адрес DHCP есть (динамический), адреса шлюза нет. Пробовал руками под админом добавить статический , но The ARP entry addition failed: Access is denied. Другие записи спокойно добавляются.

а с самого микротика шлюз пингуется? Гетвей и клиент точно в одно физическом бродкаст домене?

Попинговал - недоступен

я споткнулся об cisco 12000. шел по атс и углядел) это считается?

У нас на работе два 9922

Ребят, всем ку! кто на питоне писал под микротик?

Какое api взять?

Что то гуглю толкового не нагуглю

может, микротиковский api?

Ваш к.о.

Ваш к.о.

xd

Да тупанул что то под утро

Попинговал - недоступен

не понял, как так, адрес на самом микротике и не пингуется? ?

На скриншотах я ведь верно указал адреса?

На скриншотах я ведь верно указал адреса?

ну да вроде верно, не вижу ошибки. Но может я очевидного не замечаю

Не подскажете почему оно между ариями маршруты не пробрасывает?

Эмм, а зачем ты арии добавляешь ?

Кто-нибудь щупал SXTsq Lite2?

Давай вводные

На арии сеть делят тогда, когда есть много маршрутов и по ним летит много обновлений. Ария в этом случае позволяет проводить агрегацию. Неофициально в пожилых доках была рекомендация делить арию, при достихении количества 60-80 роутеров. Это на старых процах о объёмах памяти. Либо в одну отдельную арию вырезают сеть с линками клиентского VPN, чтобы единичные /32 маршруты при подключении/отключении клиентов не дергали вызовы пересчёта топологии. Но это особый случай. Там только VPN-концентратор выносится за пределы area0, и то частично.

/stat@combot