так что ты наверное прав

вики у микротика такое. Есть вещи интересные и нужные, а есть просто неприкрытая ложь.

актуализировано слабо

Ну это лучше чем русские статьи, переведённые с эфиопского о том что проброс портов нужно делать через netmap

Revision as of 17:49, 18 March 2014

https://wiki.mikrotik.com/index.php?title=Manual:IP/IPsec&diff=prev&oldid=26186

про pfs=none появилось в 2014 и не менялось больше

вроде же выяснили, что категорическое неприятие нетмапа имеет свои корни, но с практической точки зрения оно не имеет смысла

реквестирую пояснение за netmap\dst-nat

:>

мы отвелеклись. ятак и не услышал правильного варианта как запретить л2тп без ипсекса

ну на нетмап тратиться несколько больше ресурсов, дополнительные структуры в памяти висят

а очень инетресно

реквестирую пояснение за netmap\dst-nat

https://t.me/mikrotik_wiki

Да замена адреса быстрей и проще чем

отмотай там на пару недель назад, на 5 июля

use ipsec - required в настройках l2tp сервера?

мы отвелеклись. ятак и не услышал правильного варианта как запретить л2тп без ипсекса

возможно странный ответ, но

Да замена адреса быстрей и проще чем

в смысле БЫСТРЕЕ? )

это разве не здесь?

соотвественно: no - нет req - нужно, но не обязательно yes - строго да

а, ну да, yes, не required

по крайней мере у меня не работает без ipsec если стоит да

)

так, хватит флудить , а ?

Это кто поудолил мои месенджиры?

соотвественно: no - нет req - нужно, но не обязательно yes - строго да

честно-честно?

и л2тп не будет работать без ипсека?

кстати все же require в вики так написано, по крайней мере )))) When require is selected server will accept only those L2TP connection attempts that were encapsulated in the IPSec tunnel.

и л2тп не будет работать без ипсека?

у меня не работает :)

ipsec CRL has expired(12) at depth:0 SubjectName:/CN=client1 ipsec,error can't verify peer's certificate from store, Вылезло после обновления на багфикс 6.40.8, придётся все серты перегенерировать?

Ребята, кто знает ngnix ?

Я знаю

мы отвелеклись. ятак и не услышал правильного варианта как запретить л2тп без ипсекса

Закрыть удп порт l2tp, открыть только протоколам ipsec

next generation internet exchange?..

?

мужики вопрос не могу с синтаксисом разобраться :if ([/queue tree get 111111_DW bytes]>200) do=блаблабла Конкретнее это строка скрипта Мне нужно чтоб после if был диапазон :if ([/queue tree get 111111_DW bytes]>200) мне нужно чтоб условие было от 100 до 200

что то по разному уже пробовал

:if ([/queue tree get 1111_DW bytes]<200000000) do=[/queue tree set 1111_DW limit-at=32k max-limit=1024k queue=1024_dw comment=""] :if ([/queue tree get 1111_DW bytes]>200000000) do=[/queue tree set 1111_DW limit-at=32k max-limit=320k queue=320_dw comment=""] :if ([/queue tree get 1111_DW bytes]>250000000) do=[/queue tree set 1111_DW limit-at=10k max-limit=32k queue=32_dw comment=""] вот второе условие должно быть в диапазоне.

от 100 до 200 допустим

https://wiki.mikrotik.com/wiki/Manual%3AScripting#Logical_Operators

https://wiki.mikrotik.com/wiki/Manual%3AScripting#Logical_Operators

да эта страница не новая для меня. но что то не хотит

что именно не хотит?

скрипт просто останавливается

при разных вариантах попыток вычленить объем трафика из кьюрис по условию что он в этом диапазоне

я вам ссылку на логические операторы дал

там есть замечательный оператор and

почему бы не применить его?

попробую. т.е. 2 условия чтоб соблюдались7

ну вы так написали

у меня - yes и Все равно работает без ipsec

А если required?

По логике, require сильнее yes

?

require - требовать. yes - просто использовать. Нужно ставить require

спасибо

поставил

Привет. Вопрос. Есть офис и 20 филиалов. Филиалы между собой не соединены, с офисом - да. В каждый филиал нужно передать 3-4 маршрута через офис и маршруты до соседних филиалов. Какую динамическую маршрутизацию выбрать?

Привет. Вопрос. Есть офис и 20 филиалов. Филиалы между собой не соединены, с офисом - да. В каждый филиал нужно передать 3-4 маршрута через офис и маршруты до соседних филиалов. Какую динамическую маршрутизацию выбрать?

OSPF, подойдёт в принципе

RIPv2, на самом деле.

ERROR: S client not available

ну

если не заморачиваться

то и v1 покатит :D

для коротких веток рип прекрасен

v1 classful безмасочный, вряд ли покроет адресное.

ospf жрет ресурсы. хотя на 20 филиалах и не очень важно, вот если бы их было 200...

ospf жрет ресурсы. хотя на 20 филиалах и не очень важно, вот если бы их было 200...

бить на арии и всё.

в некоторых случаях помогает. но не особо.

для хаб-спок архитектуры оспф не очень подходит.

а вот рип - прекрасен.

для хаб-спок архитектуры оспф не очень подходит.

хаб спок?

hub-n-spoke. центральный узел и много филиалов, на него прямыми туннелями приходящих.

а РИП как работает? ну в двух словах

а то я с ним вообще не сталкивался

рип примитивный донельзя. говорит "вот такой префикс, вот в стольки хопах от меня".

он состояние канала не отслеживает?

не отслеживает. да его в общем-то никто из динамиков не отслеживает :)

ОСПФ же

имено наличие/живость

мм. каким образом?

наличие - да, состояние - нет.

но наличие все динамики отслеживают по сути своей

из-за этого на всяких ВПН не советуют ОСПФ так как из-за флапа интерфейсов идут масовые перерасчеты базы

разорван канал - нет анонсов :)

вот в том и прелесть рипа, что он дистанс-вектор, а не линк-стейт, у него нет базы, которую надо пересчитывать.

прилетел анонс - добавили хоп и разослали всем, кому надо рассылать

а если анонс не прилетел то его убирает из базы?

у него нет базы :)

ну как оно отслеживает что связь пропала?