я уже все собственные варианты перебрал, вплоть до замены роутера

Вам надо в форварде коннекты красить, а в прерутинге роуты. Дополнительно.

нет. разные, с разных городов и стран

А есть такой же роутер, с таким же провом, но на котором всё работает?

У меня большинство конфигов с инета тупо не заработало

Надо не копипастить, а читать. Раскраска в мангле в статье описана годно.

Вам надо в форварде коннекты красить, а в прерутинге роуты. Дополнительно.

прописал как вы сказали, доступ у винбокса отвалился, пинги тоже. проброс не пашет

опа

Безопасный режим надеюсь использовали?

Я сказал прочитать статью про раскраску трафика

завелось епт

Я сказал прочитать статью про раскраску трафика

пасиба тебе дорогой человек

В смысле доступ вернулся или в смысле изначальная проблема решена.

Ну так потому что аутпут - это трафик от микротика. Нат - это форвард.)

Ну так потому что аутпут - это трафик от микротика. Нат - это форвард.)

неа, у меня завелось когда оба правила прероутинга стоит

лан я ребенка купать, чуть позже скину конфиг на котором завелось

DST-NAT находится в Prerouting и может влиять на Input так же.

в общем у меня на всех роутерах красится трафик по input, далее в output отправляется по отдельной таблице

конкретно на этом роутере проброс рбаотает только если все в прероутинге делается

и покраска и маршрутизация

я такое вижу в первый раз

балин. пока купал все опять сломалось и проброс не работает

Посмотрите в внимательно. Для доступа к роутеру коннекты красите в инпуте, а рутинг - в аутпуте. Для форварда - коннекты в форварде, а рутинг - в прерутинге

Посмотрите в внимательно. Для доступа к роутеру коннекты красите в инпуте, а рутинг - в аутпуте. Для форварда - коннекты в форварде, а рутинг - в прерутинге

а зачем красить коннекты для форварда?

Нат - это форвард

я крашу все подряд что пришло на интерфейс и отправляю обратно через этот же интерфейс

и они писали что ether2-master упразднили

но при попытке выкинуть ether2 из бриджа все ломается

собственно WTF!?

Посмотрите в внимательно. Для доступа к роутеру коннекты красите в инпуте, а рутинг - в аутпуте. Для форварда - коннекты в форварде, а рутинг - в прерутинге

http://prntscr.com/kikwwg счетчик по нулям

даже сейчас чуть подправлю скрин

но при попытке выкинуть ether2 из бриджа все ломается

Дцхп

Сервер

Завязан на езер2

Перевяжите на бридж

И все будет ок

да нет, я смотрю он уменя на бридже висит

Привет! Что такое Allow (mschap2 mschap1 chap pap) при настройке L2TP/IPSec VPN client?

Я как понимаю это какое-то шифрование и как понять какое оставлять?

И не очень понятно что такое Allow Fast Path тоже

mschap2 оставляете

mschap2 оставляете

А Allow Fast Path и Dial On Demand ставить?

он деманд не ставьте

он деманд не ставьте

Спасибо)

он деманд не ставьте

По требованию

А как понять какое Max MTU и Max MRU?

У меня Actual MTU 1280

значит такое MTU задает удаленный узел

если оно ниже значения MTU

если оно ниже значения MTU

И мне поставить 1280 или оставить в Max MTU и MRU 1450 ?

По требованию

спс )

оно всеравно согласуется

по максимальному из двух участников

он деманд не ставьте

Если Dial On Demand не поставить, пишет Status: link established, если поставить Status: waiting for packets...

Если Dial On Demand не поставить, пишет Status: link established, если поставить Status: waiting for packets...

Если не ставить - то линк просто устанавливается. Если поставить - то ждёт, пока трафик будет в этот линк, потом только установится. О чем и пишет

http://prntscr.com/kilgf4 забейте на он деманд

Если не ставить - то линк просто устанавливается. Если поставить - то ждёт, пока трафик будет в этот линк, потом только установится. О чем и пишет

+

Сергей (6) увеличил репутацию Vladimir Kuznetsoff (3)

ppp => L2tp client - Connect To => адрес сервера - User => User vpn - Password => паротль vpn - Use IPsec => + - IPsec Secret => парольIPsec - Allow Fast Path => + - Dial On Demand => - - Add Default Route => - - Allow => Оставить только mschap2 ip => firewall => Nat=> add new - chain => srcnat - Out. Interface => созданный L2tp - Action => masquerade ip => firewall => mangie=> add new - Chain => prerouting - Src. Address => 192.168.88.1-192.168.88.254 - Action => mark routing - New Routing Mark => vpn

Вот такая последвательность действий у меня. К сожалению не работает. Может что пропустил?

что не работает-то?

вы хотите, чтобы из сети 192.168.88.0/24 трафик ходил через этот l2tp?

что не работает-то?

Ну, проверяю свой ip и он не ip моего vpn а обычный

вы хотите, чтобы из сети 192.168.88.0/24 трафик ходил через этот l2tp?

Да

Обход блокировок

а в таблицу маршрутизации вы добавили маршрут, который промаркирован как vpn?

а в таблицу маршрутизации вы добавили маршрут, который промаркирован как vpn?

Видимо нет. Сделал только то что описал выше

ERROR: S client not available

А как это сделать?

с манглами не мучайтесь, есть отличный экшн в таблице mark - route-to

+

+

B (4) увеличил репутацию Сергей (7)

с манглами не мучайтесь, есть отличный экшн в таблице mark - route-to

Мне стыдно но как это сделать?

кто провайдер впн?

кто провайдер впн?

На своём серваке

L2tp + ipsec

скопируйте маршрут, который динамически l2tp создает, в роутинг марк у копии укажите vpn

как разрешить подключение к микроту только по маку через винбокс ?

и только из внутренней сети

как разрешить подключение к микроту только по маку через винбокс ?

ip service

как разрешить подключение к микроту только по маку через винбокс ?

запретить коннект по ip в сервисах

и по маку вы сможете коннектиться только физически присоединенным к роутеру

т.е. просто отключить все сервисы ?

да

понял. т..е при таком раскладе из внешки соответственно тоже нельзя будет конектиться ?

да

спасибо)

как разрешить подключение к микроту только по маку через винбокс ?

что значит "только по маку" - "только с определенного мака" ?

запретить коннект по ip в сервисах

можно разрешить с определенных ИП там же или из всей сети

можно разрешить с определенных ИП там же или из всей сети

ну он просил по маку, я ему ответил как разрешить только по маку

чтобы нельзя было набрать 192,168,1,1 и подключиться

ссш ключик еще можно крутонуть

да и презерватив на пачкорт одеть )

я мышкотык)

выше были советы

чтобы нельзя было набрать 192,168,1,1 и подключиться

желание странное. Потому что когда винбоксу говоришь "соединяться по маку" - он работает медленно, и , например, стотыш коннектов в файрволе посмотреть может и не получиться

порт нокинг + скрипт, который включает или отключает сервис

да и презерватив на пачкорт одеть )

+

Игорь Маркин (5) увеличил репутацию Антон Курьянов (3)

желание странное. Потому что когда винбоксу говоришь "соединяться по маку" - он работает медленно, и , например, стотыш коннектов в файрволе посмотреть может и не получиться

мне пока эт не надо, эт для дома