Ещё раз: глубоко фиолетово на интерфейс

а

ну или так

Смотрится дст-адрес на момент лукапа таблицы маршрутизации

да зачем? я это понял уже

проблема была вот тут

оно будет дропать вообще по сути все icmp Ответы пришедшие на аплинк

Что за железку Crestron отложил?

Не понял вопроса

@moneron, @the_JIocb да, действительно, что-то я туплю. Извините.

оно будет дропать вообще по сути все icmp Ответы пришедшие на аплинк

Переместить его ниже естаблишед

Был уверен, что с тика можно пингануть из-за собственного ната, оказалось нет..

Можно. Указав СОБСТВЕННЫЙ срц-адрес. Но это всё равно будет аутпут+инпут

Сразу на двух интерфейсах?

Попробовал сейчас на rb951-2n проц иногда в 100% упирается. Потом отвалился gui потом сам роутер начал перезагружаться, слабоват наверное

Тут смотря скок клиентов, звонков и тд)

не извращайся и возьми отдельную железку под астер

можно даже готовую

3сх

?

Тут смотря скок клиентов, звонков и тд)

Да пару звонков внутри сети

как ваиант

не извращайся и возьми отдельную железку под астер

Какой бюджетный вариант такой желкзкег?

не извращайся и возьми отдельную железку под астер

Да астер вроде не сильно ж прожорлив) но да, легче отдельный сервачок взять)

Какой бюджетный вариант такой желкзкег?

да баксов 200-300

Да и виртуально он себя хорошо чувствует

метароутер сам по себе говно

да баксов 200-300

Да не, не на столько сильно он нужен что бы даже 100 отдать

а работаешь ты походу за спасибо ;)

а работаешь ты походу за спасибо ;)

Да маме с сестрой хочу поставить что бы болтали по декту, у не стоит оно столько денег для этой цели

Да не, не на столько сильно он нужен что бы даже 100 отдать

Если есть железка де можн виртуалку развернуть типа квм, опенвз и тд — проще перекинуть астер туда)

@moneron, @the_JIocb да, действительно, что-то я туплю. Извините.

та бывает)) я сам сегодня тупил :D

кстати

Кто-то юзает в своих продакшн фаерволах правило input WAN drop? т.е. дропать все что не разрешено

Кто-то юзает в своих продакшн фаерволах правило input WAN drop? т.е. дропать все что не разрешено

Я

Я

и как? проблем не замечали никаких? что за сеть, если не секрет?

и как? проблем не замечали никаких? что за сеть, если не секрет?

Не совсем понятен вопрос

Не совсем понятен вопрос

ну, оно ж дропает вообще всё что не разрешено

Нет

не наблюдались ли траблы какие, с доступностью чего либо

Коннекшены, открытые из локалки проходят спокойно

у меня просто, к примеру, адреса не резолвились, пока ДНС не разрешил

Правило wan input drop блокирует все новые пакеты прилетающие из интернета

я вот от греха подальше убрал это правило

Правило wan input drop блокирует все новые пакеты прилетающие из интернета

Просто оно должно быть последним

так оно и было таковым)

у меня просто, к примеру, адреса не резолвились, пока ДНС не разрешил

Вы разрешаете пользоваться своим dns из вне?

нет

Да маме с сестрой хочу поставить что бы болтали по декту, у не стоит оно столько денег для этой цели

есть мнение что дект трубки друг с другом и без астера работать могут )

нет

Тогда это правило ничего вам не испортит, главное разрешите wan output для dns

Ну и клиентам lan forward тоже

Кто-то юзает в своих продакшн фаерволах правило input WAN drop? т.е. дропать все что не разрешено

Вообще имхо это одно из самых важных правил и обязательных для меня.

Парни подскажите как сделать статистику пользователей... Смотреть кто и куда и что смотрел.. что-то типа нетфлов...

Парни подскажите как сделать статистику пользователей... Смотреть кто и куда и что смотрел.. что-то типа нетфлов...

Сквид в помощь

Привет всем

Скажите, МТ умеет скидывать сессию пользователя winbox по таймауту?

Скажите, МТ умеет скидывать сессию пользователя winbox по таймауту?

Правило напиши)

Правило напиши)

Это какое же, интересно?))

Кроме сквида есть ли альтернатива?

Скажите, МТ умеет скидывать сессию пользователя winbox по таймауту?

В адрес листы по таймеру потом дроп

В адрес листы по таймеру потом дроп

Хм… вариант

Вот чтоб микротиковцам в нормальном виде в System-Users явно это не запилить? )) Всё приходится велосипед изобретать…?

Микротик - сам по себе велосипед)

Заводской, но велосипед

Это как в анекдоте про японцев и русский самолёт

Если вдруг все же есть реальные пользователи Астериска на металле роутере расскажите напишите мне как оно работает

ERROR: S client not available

я вот от греха подальше убрал это правило

Выше все верно писали, estb&rel разрешить и никакие входящие icmp, dns и подобное, что инициирует тик, разрешать ненужно, а дальше по мере необходимости разрешать, потихоньку выстроится стабильный конфиг

Если вдруг все же есть реальные пользователи Астериска на металле роутере расскажите напишите мне как оно работает

Пробовал год назад. Виртуалка постоянно падала, теряла интерфейсы и обнулялась. Удалил через неделю.

Пробовал год назад. Виртуалка постоянно падала, теряла интерфейсы и обнулялась. Удалил через неделю.

Спасибо за информацию

Какой бюджетный вариант такой желкзкег?

задарма взять на эти пару звонков да не парится

Кто-то юзает в своих продакшн фаерволах правило input WAN drop? т.е. дропать все что не разрешено

а есть те кто не юзает?

а есть те кто не юзает?

Да)

а есть те кто не юзает?

^^

Да)

любители приключений? )

любители приключений? )

Не) прост мы аэспи)) ну и у многих клиентов наших тож нет файрволла жесткого. Прост дропают лишнее

ну в isp может там какие то свои заморочки

у нас тут в кровавом энтырпрайзе только со щитами

у нас тут в кровавом энтырпрайзе только со щитами

Если много сервисов — можн задолбаться разрешать)

я так понимаю искать частные сип гейты дешевле чем 0.15-0.20$ нет смысла, да?

Если много сервисов — можн задолбаться разрешать)

ну впн решает эти проблемы

ну впн решает эти проблемы

Но не всегда хорошо)

Но не всегда хорошо)

не всегда хорошо и отсутствие фаервола )

А зачем на микротике что то неизвестное принимать? есть 8291 и ссш, разрешаешь их со своих адресов, ну там еще л2тп+ипсек....зачем нужно больше?

Или выгоднее уже купить модем да сделат из него звонилку..

не всегда хорошо и отсутствие фаервола )

Ну вообще, все зависит от того как сеть построена и что то за сеть)

Или выгоднее уже купить модем да сделат из него звонилку..

выгоднее чего? какой там вообще кейс?

Если много сервисов — можн задолбаться разрешать)

А какие еще варианты?

выгоднее чего? какой там вообще кейс?

Хочу с компа звонить на мобильные номера по тарифам обычным, операторским, как с телефона :)

Ну вообще, все зависит от того как сеть построена и что то за сеть)

да обычные филиалы, все как у всех. по 2 isp на филиал, внп меж ними и все входящее кроме разрешенного запрещено. думаю у всех так

Хочу с компа звонить на мобильные номера по тарифам обычным, операторским, как с телефона :)

задарма.ком

за 100 руб в месяц хоть зазвонись

Украина Lifecell - мобильный $0,183

А какие еще варианты?

Вынести секурное все в отдельную сеть, там все запрещать что не разрешено)

аа, тут особенные страны

)

с особенными не подскажу

Хочу с компа звонить на мобильные номера по тарифам обычным, операторским, как с телефона :)

Гоип тады)