Ну и ещё. У конторы, где я работаю, например - несколько автономок и несколько диапазонов. И только один считается этими геоип базами российским.

ну хз, сегодня забанил по rdp очень большое количество серваков, для всех кто не из россии, пока никто не жаловался)

ну хз, сегодня забанил по rdp очень большое количество серваков, для всех кто не из россии, пока никто не жаловался)

Постоянно в чёрный список разные адреса левые попадают по такому принципу.

Постоянно в чёрный список разные адреса левые попадают по такому принципу.

просто нет смысла ловить трафик из стран в которые ты в принципе попасть не можешь) поэтому смысл оставлять для них дверь открытой

двери открытыми вообще в принципе лучше не оставлять

вопрос еще что называть дверьми

двери открытыми вообще в принципе лучше не оставлять

как тут писали выше: ощущения не те! ?

вопрос еще что называть дверьми

любой сайт, потенциально опасен тем, что подключение с ним уже разрешено и микротик его пропустит)

как тут писали выше: ощущения не те! ?

у кого с чувствительностью все в порядке, то все норм с ощущениями ?

Сперва народ возмущается и шутит над чебурнетом. Потом сам себе чебурнет делает.

любой сайт, потенциально опасен тем, что подключение с ним уже разрешено и микротик его пропустит)

ага, а любой пользователь опасен тем что может на этот сайт зайти )

ага, а любой пользователь опасен тем что может на этот сайт зайти )

отрубать пальцы пользователям и вопрос решен

ага, а любой пользователь опасен тем что может на этот сайт зайти )

я поднял вопрос только что бы понять есть ли подводные камни) но как я понял их нет, есть только два мнения, одно за второе против)

Резервирование

Для балансировки нагрузки для NAT надо обязательно указывать из какой сети должно происходить натирование. Без этого нюанса для GRE будут симптомы похожие на ваши. Для резервирования по идее это не должно быть актуальным, но я бы попробовал.

вот так всегда. знакомый знакомого. а так чтоб лично знать чето никак. а их говорят сотни тысяч

я знаю где находится Центр Борьбы Со СПИДом. машинки заезжают, людишки ходят.

подозреваю что у меня самый страшный конфиг из большинства присутсвующих ?

подозреваю что у меня самый страшный конфиг из большинства присутсвующих ?

неа. ты сольешься от вида некоторых конфигов местных товарищей

неа. ты сольешься от вида некоторых конфигов местных товарищей

я про домашние конфиги, а не про рабочие

я тут на днях такое видел, теперь спать спокойно не могу. кошмары замучали

Для балансировки нагрузки для NAT надо обязательно указывать из какой сети должно происходить натирование. Без этого нюанса для GRE будут симптомы похожие на ваши. Для резервирования по идее это не должно быть актуальным, но я бы попробовал.

Указать явно сеть… попробую Только как связан НАТ и входящий/исходящий трафик самого роутера?

подозреваю что у меня самый страшный конфиг из большинства присутсвующих ?

устраивай фаллометрию! это важно! у кого толще, длинее и ширее?

устраивай фаллометрию! это важно! у кого толще, длинее и ширее?

мне кажется имеет смысл проверить на МРТ, такая агрессия может быть признаком онкологии и я не шучу)

ща поищу тот дикий конфиг. чтоб вы тоже спать перестали

мне бы по косам, а то у меня там явные пробелы)

Указать явно сеть… попробую Только как связан НАТ и входящий/исходящий трафик самого роутера?

так вся история из-за резервирования еще и?

не, там не по косам. там по граблям

/stat@combot

combot.org/c/-1001062683398

Указать явно сеть… попробую Только как связан НАТ и входящий/исходящий трафик самого роутера?

При балансировке, может происходить натирование трафика который пришёл на один WAN и вышел с другого. Но то что без указания сети с которой исходит трафик не будет устанавливаться соединение GRE это факт.

подозреваю что у меня самый страшный конфиг из большинства присутсвующих ?

давай мериться

пароли только удалил

давай мериться

я не любитель унижать людей ???

При балансировке, может происходить натирование трафика который пришёл на один WAN и вышел с другого. Но то что без указания сети с которой исходит трафик не будет устанавливаться соединение GRE это факт.

У меня трафик манглом метится

У меня трафик манглом метится

У вас резервирование как организовано?

У вас есть возможность сейчас проверить?

У вас резервирование как организовано?

Рекурсивные маршруты

У меня трафик манглом метится

так оно падает просто так или после переключения трафика? какой смысл бороться с манглом если там никогда не отключается даже

У вас есть возможность сейчас проверить?

Позже

Хреново ловился вайфай в углу

я поднял вопрос только что бы понять есть ли подводные камни) но как я понял их нет, есть только два мнения, одно за второе против)

Есть. Метод весьма неточный. Если устраивает - пожалуйста

Позже

Буду благодарен, если напишите в личные сообщения помогло или нет. Я здесь постоянно не бываю.

так оно падает просто так или после переключения трафика? какой смысл бороться с манглом если там никогда не отключается даже

Падают провы, чаще всего в грозу… И у меня резервирование каналов до центральной точки+ OSPF. Поэтому и мангл

Буду благодарен, если напишите в личные сообщения помогло или нет. Я здесь постоянно не бываю.

раз вы такой отзывчивый по дуалвану, может мне поможете траблу найти?

никак не могу проброс портов настроить

на резервном канале

Падают провы, чаще всего в грозу… И у меня резервирование каналов до центральной точки+ OSPF. Поэтому и мангл

мне показалось что просто так через 10 минут падает. ну ок. надо ковырять нат до победного

никак не могу проброс портов настроить

Трабла в чём? Помню писал, а что точно - не помню

раз вы такой отзывчивый по дуалвану, может мне поможете траблу найти?

Попробую, но не обещаю.

Трабла в чём? Помню писал, а что точно - не помню

есть роутер, к нему подключен usb свисток и интернет по проводу. основной канал по usb свистку по проводу резерв. проброс портов на резерве не работает

манглы есть. пинги до резерва есть. винбокс по обоим каналам подключает

счетчик правила НАТа отрабатывает. коннекта нет

На резервном канале адрес белый?

да

Правило проброса покажите.

оба канала подключены как резерв, через разные дистанции в листе маршрутов

есть роутер, к нему подключен usb свисток и интернет по проводу. основной канал по usb свистку по проводу резерв. проброс портов на резерве не работает

А хост за этим же роутером или за другим где-то?

Правило проброса покажите.

0 chain=srcnat action=masquerade src-address=192.168.10.0/24 log=no log-prefix="" 1 chain=dstnat action=dst-nat to-addresses=192.168.10.5 protocol=tcp dst-port=8080 log=no log-prefix=""

и оно отрабатывает

седня даже роутер поменял на новый. с нуля настроил. толку нет

А какое не отрабатывает?

манглы есть. пинги до резерва есть. винбокс по обоим каналам подключает

В мангле метите коннекты в зависимости от ин интерфейса, потом метите помеченные коннекты рутинг марками.

А может где-то пров на юсб-свистке юзает этот порт для себя?

В мангле метите коннекты в зависимости от ин интерфейса, потом метите помеченные коннекты рутинг марками.

0 chain=prerouting action=mark-connection new-connection-mark=cin_eth1 passthrough=no in-interface=ether1 log=no log-prefix="" 1 chain=output action=mark-routing new-routing-mark=rout_eth1 passthrough=no connection-mark=cin_eth1 log=no log-prefix="" 2 chain=prerouting action=mark-connection new-connection-mark=cin_eth2 passthrough=no in-interface=ether2 log=no log-prefix="" 3 chain=output action=mark-routing new-routing-mark=rout_eth2 passthrough=no connection-mark=cin_eth2 log=no log-prefix=""

ERROR: S client not available

седня даже роутер поменял на новый. с нуля настроил. толку нет

Странно, у меня проблем нет… правда, я юзаю интерфейс-листы

А может где-то пров на юсб-свистке юзает этот порт для себя?

я хочу доступ не через usb а по проводу

Странно, у меня проблем нет… правда, я юзаю интерфейс-листы

у меня тоже не один десяток роутеров и с ними такой проблемы нет

я хочу доступ не через usb а по проводу

А, пардон, был невнимателен)))

попробуйте указать входящий интерфейс на провод для правила НАТ для проверки.

Ребята, подскажите, можно ли bgp маршруты положить в именованную таблицу ?

)

И как давно трафик отправленный через мангал в именованную таблицу перестал возвращаться в main если не находит пути ?

:)

попробуйте указать входящий интерфейс на провод для правила НАТ для проверки.

указал. счетчик тикает, коннекта нет

0 chain=prerouting action=mark-connection new-connection-mark=cin_eth1 passthrough=no in-interface=ether1 log=no log-prefix="" 1 chain=output action=mark-routing new-routing-mark=rout_eth1 passthrough=no connection-mark=cin_eth1 log=no log-prefix="" 2 chain=prerouting action=mark-connection new-connection-mark=cin_eth2 passthrough=no in-interface=ether2 log=no log-prefix="" 3 chain=output action=mark-routing new-routing-mark=rout_eth2 passthrough=no connection-mark=cin_eth2 log=no log-prefix=""

И попробуйте для проверки отключить все правила файервола.

указал. счетчик тикает, коннекта нет

Телнетом на этот порт пробовал?

0 chain=prerouting action=mark-connection new-connection-mark=cin_eth1 passthrough=no in-interface=ether1 log=no log-prefix="" 1 chain=output action=mark-routing new-routing-mark=rout_eth1 passthrough=no connection-mark=cin_eth1 log=no log-prefix="" 2 chain=prerouting action=mark-connection new-connection-mark=cin_eth2 passthrough=no in-interface=ether2 log=no log-prefix="" 3 chain=output action=mark-routing new-routing-mark=rout_eth2 passthrough=no connection-mark=cin_eth2 log=no log-prefix=""

В прерутинге маркируете коннекты, а потом в аутпут маркируете роуты? Но ведь проброс портов - это не аутпут.

И попробуйте для проверки отключить все правила файервола.

отключал, толку нет. отключал манглы, при этом пропадал доступ и пинги до роутера

В прерутинге маркируете коннекты, а потом в аутпут маркируете роуты? Но ведь проброс портов - это не аутпут.

а кто?

Только важный момент надо заранее проверить должно ли быть подключение телнетом на этот порт. А то бывает, что пишут телнетом не соединяется, когда соединения и не должно быть. Для 8080 не знаю.

построутинг?

Мне Александр (тренер который) классный конфиг дал для роутинга с маглом…

Только важный момент надо заранее проверить должно ли быть подключение телнетом на этот порт. А то бывает, что пишут телнетом не соединяется, когда соединения и не должно быть. Для 8080 не знаю.

На любой порт телнет проходит, даже на юдп… проверено опытом

Не на любой. Так же проверял. Конкретную службу на которую коннекта нет назвать не готов.

ну так куда мне смотреть

я уже все собственные варианты перебрал, вплоть до замены роутера

а кто?

Доступ к микроту это вы раскрасили.

add action=dst-nat chain=dstnat dst-address-type=local dst-port=80 protocol=tcp to-addresses=192.168.40.2 to-ports=80

Обратите внимание на: dst-address-type=local

я уже все собственные варианты перебрал, вплоть до замены роутера

Читали https://m.habr.com/post/313342/?

ну так куда мне смотреть

Минут через 10 могу кинуть свой конфиг, глянешь, может где косяк найдешь

Когда два внешних интерфейса желательно указывать этот параметр для проброса.

Минут через 10 могу кинуть свой конфиг, глянешь, может где косяк найдешь

да у меня под рукой 2 десятка роутеров с такой же рабочей конфигурацией

Читали https://m.habr.com/post/313342/?

У меня большинство конфигов с инета тупо не заработало

да у меня под рукой 2 десятка роутеров с такой же рабочей конфигурацией

Провы везде те же самые?