я могу ошибаться, но определить connection state ДО conntrack как-то затруднительно. А RAW именно до. (откуда и скорость, собственно).

вы правы. я ошибся про RAW

я могу ошибаться, но определить connection state ДО conntrack как-то затруднительно. А RAW именно до. (откуда и скорость, собственно).

Не, эти правила в рав не поместить.

вы правы. я ошибся про RAW

Ага, я уже опытным путем проверил??

Инвалиды так-то не самые критичные. Это всего лишь пакеты, не принадлежащие открытым соединениям (и не syn)

У меня ещё в RAW висят объединение Nat сетей через ipsec с действием no-track. Это типа ацепта или зачем так?

Господа параноики, стройте HoneyPot ! давно призываю. Удовлетворение от пополняющегося банлиста обеспечено

Инвалиды так-то не самые критичные. Это всего лишь пакеты, не принадлежащие открытым соединениям (и не syn)

Сюн флуд у меня протектится. Где-то 25%

Господа параноики, стройте HoneyPot ! давно призываю. Удовлетворение от пополняющегося банлиста обеспечено

Ага. У меня ща 400+ айпи там ?

Господа параноики, стройте HoneyPot ! давно призываю. Удовлетворение от пополняющегося банлиста обеспечено

?

Aleksey Freeman (0) увеличил репутацию Institor (1)

У меня ещё в RAW висят объединение Nat сетей через ipsec с действием no-track. Это типа ацепта или зачем так?

подозреваю для производительности сделано. Тут надо осторожно

Это из примера взято. Я с сетями на ВЫ

посдкажите, что сейчас лучше взять из роуеров недорогих от микротика? у меня в соседней фирме есть такой "Mikrotik hEX (RB750Gr3)" за 3590 рублей и вот такой "Mikrotik hEX PoE lite" за 3490 рублей.

что из них лучше, ПОЕ не пользуюсь совсем. Так что можно питанием по сети принебречь.

тогда лучше hex

hEX

hEX

который первый? Mikrotik hEX (RB750Gr3)

а то ХЕКС у них у обоих в названии есть

посдкажите, что сейчас лучше взять из роуеров недорогих от микротика? у меня в соседней фирме есть такой "Mikrotik hEX (RB750Gr3)" за 3590 рублей и вот такой "Mikrotik hEX PoE lite" за 3490 рублей.

WiFi нужен7 Если нет, то Mikrotik hEX (RB750Gr3) отличный вариант

RB750Gr3

не нужен там вай-фай

Ну тогда точно его

понял, спасибо.

у меня магазин, 3 компа (1 комп касса) + 1 кассовый аппарат онлайн да + 2 компа менеджеры. А ну и видео регистратор. Это вся нагрузка на роутер. выдать IP чуток фильтровать левые сайты и гонять видео трафик от видео регистратора на видео хранилище. Да ВПН-ка. Не более.

более чем достаточно

а вот на сайте местного регарда, есть RB750Gr3 и RB750Gr2, стоят одиноково. Разница между ними сильно большая?

G3 - наверное сеть 1000 мб, а G2 до 100 мб.

да, 2 -100, 3- гигабит

у2-ки проц 1 ядро, у 3 - 4 ядра + аппаратное шифрование

Gr3 имеет более мощный процессор и аппаратное ускорение IPSec

отлично, спасибо большое.

а вот на сайте местного регарда, есть RB750Gr3 и RB750Gr2, стоят одиноково. Разница между ними сильно большая?

Gr2 не бери, он старый. Это совсем другой роутер, Gr3 гораздо лучше

А на 3011 аппаратное прикрутили?

А как можно прикрутить аппаратное?)

можно обеспечить поддержку, если в железе возможность есть, а софт не умеет

проц поддерживает, а софт нет, обещали, не знаю прикрутили ли

Ааа

меня в rb3011 всегда огорчало отсутствие aes-ni

Или как там

Вроде всё что нужно для жизни есть

а шифрования нет

проц поддерживает, а софт нет, обещали, не знаю прикрутили ли

То что обещали знаю, вррде даже в whats new было что-то написано про хардваре акселерейшон импрувед

А может не хардваре

последнее в ченйджлоге было в 6.42.2 ipsec - improved reliability on IPsec hardware encryption for ARM devices except RB1100Dx4;

Подскажите не получаеться проброс портов натсроить. когда то все работало сейчас не работает. вот лог по правилу 18:23:23 firewall,info 10.x.x.x dstnat: in:Internet VLAN13x out:(unknown 0), src-mac 6c:3b:x:x:x:x, proto TCP (SYN), 95.x.x.x:53667->5.x.x.x:2380, len 48 смушает "unknown 0". ROS v6.42.5. настроин l2tp сервер. подлючения устанавливеться и по внутренним адресам все работает. но надо настроить проброс портов временно.

а проброс куда? ничего не понятно, покажите dnat правило

я три раза прочитал, ниче не понял. там без поллитру не разобрать

это лог самого dnat правила? если да то out интерфейс еще неизвестен

сдеалйте в фильтр лог правило на форвард, там будут интерфейсы

chain=dstnat action=dst-nat to-addresses=10.x.x.x to-ports=2380 protocol=tcp dst-address=5.x.x.x dst-port=2380 log=yes log-prefix="10.x.x.x"

не вижу смысла в днат лог ставить, все вроде правильно

что не работает?

проброс и не работает

в фильтер сделайте лог правило chain=forward dst addr = ваш 10.x.x.x, action=log

там будет видно интерфейсы

или лучше указать in interface и порт, т.к. улететь пакет может совсем не на 10.x.x.x

chain=dstnat action=dst-nat to-addresses=10.x.x.x to-ports=2380 protocol=tcp dst-address=5.x.x.x dst-port=2380 log=yes log-prefix="10.x.x.x"

Из IP 10.x.x.x в ИЗ IP 5.x.x.x ?

да, по логам там фигня какая-то

Вернее не из 2 раза, а В 2 раза, а откуда?

In.interface может стоит указать?

Приветствую всех! Возник такой вопрос: как лучше реализовать и реализуемо ли следующее: есть ад хочу через радиус подключить к микротику, и подключать интернет через группы безопасности. Инет нужен не всей локалке а именно тем кто в ГБ. Реализуемо ли такое?

И, кстати, если порт входящий и исходящий совпадает, то его не обязательно указывать в action to port

в фильтер сделайте лог правило chain=forward dst addr = ваш 10.x.x.x, action=log

спасибо за наводку. походу какой фильтр блочить. сейчас сделал широкое правило accept заработл проброс

У ipsec входной интерфейс = ISP интерфейсу?

коллеги, кто подскажет, почему туннель GRE+IPSec поднимается, а данные не ходят... элементарный пинг не проходит

коллеги, кто подскажет, почему туннель GRE+IPSec поднимается, а данные не ходят... элементарный пинг не проходит

А разрешено сетям видеть друг друга?

ERROR: S client not available

разрешил - толку ноль

У меня в роут листе статика

Если в фаерволе есть правило drop , ! intetface-list=LAN, никто ничего не пропустит из туннеля, пока явно не разрешите.

нет, я адреса на интерфейсах туннеля пигную

нет, я адреса на интерфейсах туннеля пигную

Маршрут

В обе стороны должен быть

Маршрут

какой маршрут? это адреса на интерфейсах GRE и вообще, у меня OSPF

какой маршрут? это адреса на интерфейсах GRE и вообще, у меня OSPF

Так адреса же пингуются пишешь

какой маршрут? это адреса на интерфейсах GRE и вообще, у меня OSPF

Вот сразу полную картину бы

Gre - это туннель же, а надо 2 сети соединить через него

Так адреса же пингуются пишешь

неверно понял))

Gre - это туннель же, а надо 2 сети соединить через него

У него оспф

Gre - это туннель же, а надо 2 сети соединить через него

да, надо, только пинг между айпишниками туннеля не ходит

да, надо, только пинг между айпишниками туннеля не ходит

Фаервол открой для протокола гре , был такой глюк

Если не работает , то убери шифрование

Как кстати настраивал ? Вручную или через интерфейс ГРЕ ?

через интерфейс

Убери на время и попробуй

Убери на время и попробуй

тот же хрен, только в профиль при чём, рядом такой же туннель на ура работает

тот же хрен, только в профиль при чём, рядом такой же туннель на ура работает

Ну ток смотреть , так не нагадаешь

тот же хрен, только в профиль при чём, рядом такой же туннель на ура работает

Кстати, я тоже параллельно l2tp-ipsec не смог запустить. L2tp туннель открываю, а ipsec через него молчит

Нет ли ограничений по шифрованию?

Кстати, я тоже параллельно l2tp-ipsec не смог запустить. L2tp туннель открываю, а ipsec через него молчит

у меня без проблем работает

L2TP с айписеком норм работают , но на винде 10 это дичь , через одну машину работает

L2TP с айписеком норм работают , но на винде 10 это дичь , через одну машину работает

не знаю, не встречал проблем от слова "вообще"

Я для мобильного тика делал. Чтоб сам цеплялся, если я где-то в опе мира

не знаю, не встречал проблем от слова "вообще"

Фортит

туннель между двумя тиками?

туннель между двумя тиками?

Client to site

Вот на 7 винде , как по маслу , а на 10 хуй

на 10ке даже сеть не всегда работает :)

http://winitpro.ru/index.php/2017/10/24/reshaem-problemu-podklyucheniya-k-l2tp-ipsec-vpn-serveru-za-nat/