я лично про ДНС нихера не понял, чем 1.1.1.1 от 8.8.8.8 отличается. но если отличается то пусть будет так

Единички в рашке работают дольше восьмёрок.

Ибо восьмёрки кешируются у многих провайдеров, а единички - болт.

Единички в рашке работают дольше восьмёрок.

там вопрос был не в скорости а в безопасноти. мол восьмерки все гоструктуры слушают а еденицы нет

Единички могут не слушать лишь потому, что они умеют в dns over tls. Но кто из клиентов это умеет - вопрос.

Единички могут не слушать лишь потому, что они умеют в dns over tls. Но кто из клиентов это умеет - вопрос.

и они точняк никому не отдают свой лог?

Каждому второму в лицо тыкают.

Так же как и восьмёрки.

ну восьмерки у нас понятно лично путин логи читает )

Каждому второму в лицо тыкают.

пруфы какие-то есть?

Так то днсы не сдались операм, если у них есть сорм.

пруфы какие-то есть?

Это был сарказм.

а, ночь, тупёж и пора спать -_- сорри

Имхо через чаты я гораздо быстрее получу ответ на свой вопрос, нежели регистрироваться на блядофоруме непонятно какой активности

А потомки твой ответ как потом найдут? И получается что половина вопросов "как настроить обход ркн?" А вторая половина "помогите настроить ВПН"

И среди всей этой тупни и пересказа в комиксах бывает 1-2 интересных вопроса

Выуживать их из 3к сообщений за пару-тройку дней - ну нах. Так и остаются они или вовсе без ответа или с каким-нибудь тупым ответом какого-нибудь шамана-мышевоза который порты через netmap пробрасывает и не понимает что он сам делает.

Но у него микрот уже месяц дома и он уже иксперт

я прям вижу тех радистов которые чутко день и ночь тот сорм читают

Зачем радистов? Есть да хоть tcpdump-ом сдампленый 53/udp за сутки. Прогнать хоть грепом интерусующие запросы и вуаля

Выуживать их из 3к сообщений за пару-тройку дней - ну нах. Так и остаются они или вовсе без ответа или с каким-нибудь тупым ответом какого-нибудь шамана-мышевоза который порты через netmap пробрасывает и не понимает что он сам делает.

да лан, те, кто не через нетмап пробрасывают, тоже в массе не понимают, что делают же. Просто им сказали нельзя - ну и нельзя. А почему нельзя - это вот хз )

ставим винду, чистую, ставим в днс 8.8.8.8 и смотрим сколько за сутки незапрошенных подключений прилетает. далее через месяцок, ставим новую винду, прописываем комодовские днс или эти 1.1.1.1 если будете проверять, у меня получилось с гугловскими 1,5 ип в сутки, для всех остальных в районе 100-150

>ставим новую винду и чо? IP адрес меняется, с которого в инет ходим? Или dns-запрос на 8.8.8.8 открывает бэкдор?

да лан, те, кто не через нетмап пробрасывают, тоже в массе не понимают, что делают же. Просто им сказали нельзя - ну и нельзя. А почему нельзя - это вот хз )

Пацаны поговаривают что нетмап этот тотже самый дстнат только расширенная его версия. И ничего зазорного в его юзании для проброса портов нет

Всем привет, у меня вчера перестала работать почта на отправку из Почтовых программ (сразу на всех машинах в сети). Я так понял, Microtik не выпускает трафик на 465 порт. Где может быть проблема?

Всем привет, у меня вчера перестала работать почта на отправку из Почтовых программ (сразу на всех машинах в сети). Я так понял, Microtik не выпускает трафик на 465 порт. Где может быть проблема?

В провайдере заблочившем порт, проверяется это телнетом

В провайдере заблочившем порт, проверяется это телнетом

телнетил на разные сервера... тишина...

телнетил на разные сервера... тишина...

Фаервол на роутере выключать пробовали?

Фаервол на роутере выключать пробовали?

все блокируюшие правила отрубал....

Значит провайдер блочит. Это нормальная практика

Позвоните в тп попросите разблокировать

В провайдере заблочившем порт, проверяется это телнетом

А на хрен он это делает вообще?

Значит провайдер блочит. Это нормальная практика

Спасибо, попробую дозвониться.

От спама защищает

Но так обычно только хостеры в ДЦ делают

А не пользовательские провы

Но так обычно только хостеры в ДЦ делают

Да полно провайдеров кто так делает

Да полно провайдеров кто так делает

Провы для физиков?

Яб сказал через одного, для физиков так почти все

Всем привет. Такой вопрос: на crs на бридж навестил влан, каким образом можно запретить трансляцию маков внутри влана? Нагрузка на коммутаторы во влан выросла, в влан примерно 700 компьютеров. Если юзеров разнести по разным вланам то нагрузка падает

Звонки "а у меня на ноуте не работает исходящая почта из дома" залюбили уже

Но у него микрот уже месяц дома и он уже иксперт

Эт про меня???

Всем привет. Такой вопрос: на crs на бридж навестил влан, каким образом можно запретить трансляцию маков внутри влана? Нагрузка на коммутаторы во влан выросла, в влан примерно 700 компьютеров. Если юзеров разнести по разным вланам то нагрузка падает

что понимается под "трансляция маков"? ну и да, 700 хостов в одном влане - это такое

что понимается под "трансляция маков"? ну и да, 700 хостов в одном влане - это такое

Каждому сотруднику - свой влан??

что понимается под "трансляция маков"? ну и да, 700 хостов в одном влане - это такое

в каждому порту находящемуся в брадже подключен коммутатор, нужно что бы все маки находящиеся на порту не светились на все порты. абонентны сидят в 1 влане, он висит на бридже

а вланы по физическим портам в бридже не рассованы?

всмысле, нет четкого указания, что вот этот влан есть на порту 1,2,7,14 и т.д.?

есть. оборудование нагружается он вакханалии которая творится из-за мак адресов, судя по всему

еще бы. 700 хостов в канале. там он на половину походу забит служебным трафиком

служебный трафик зарезан. сеть PPPoE

IP сеть только в PPPoE

а коммутатор насколько тупой? Может, он сам arp-запросы шлёт на все свои порты, например? Или фигню сморозил? Я так-то не очень сетевик

служебный трафик зарезан. сеть PPPoE

есть порты. Порты в бридже. на бридже влан. На влане pppoe-концентратор - я верно понял?

меня очень смущает тот факт, что вчера добавили новый свитч в блирд и с теми же вланами, и нагрузка выросла на 20-40% на CPU коммутаторов

есть порты. Порты в бридже. на бридже влан. На влане pppoe-концентратор - я верно понял?

ага

а если сделать так - на порты повесить вланы, а эти вланы в бридж, и на бридж повесить концентратор?

в портах бриджа GePON коммутаторы

я не очень понимаю, как это влияет

коммутатор главный подключен к CCR1036, на него сходятся весь трафик и на нем же поднят pppoe

вланы, естественно, проходят через всю сеть и юзеры все в одном влане

а коммутатор насколько тупой? Может, он сам arp-запросы шлёт на все свои порты, например? Или фигню сморозил? Я так-то не очень сетевик

коммутататоры управляемые. тот что в ядре стоит crs326-24g-2s+rm, остальные неменее глупые от BDCOM

коммутатор главный подключен к CCR1036, на него сходятся весь трафик и на нем же поднят pppoe

ну так не вешай пппое на свитч, перевесь его на роутер

дык на CCR1036 он и поднят )

приват влан тогда делай, или как он там у микротиков называется

дык на CCR1036 он и поднят )

/tool profile что показывает?

20-40% на CPU коммутаторов

на CCR все в порядке

в прошлый раз такое было уже, но тогда я бридж развалил. навесил на порт влан и уже туда pppoe

ERROR: S client not available

теперь, реализация диктует вешать вланы на бридж, и не очень понятно как в этой ситуации поступить

В общем суть понятна, заводить больше вланов

а hw-offload включился на коммутаторах?

https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

тут почитай, мож поможет

https://habr.com/post/345374/

Спасибо большое

Всем здрасьте Можно ли в микроте сделать выдачу айпишников с отдельного пула по маске хост нэйма к примеру android

Добрый день! Возникла небольшая задача по объединению сетей. Для объединения решил использовать IP-IP туннель, так как везде статика. С самим объединением вопросов нет, но узлов много и они периодически добавляются. И возник вопрос: а можно ли чего-нибудь сгородить такого, скриптик какой или еще что, чтобы ответную часть туннеля создавать с клиентского микрота? Чтобы запустить на клиентском микроте скриптик, в котором поменять айпишник на айпишник этого клиента и имя туннеля, оп, оп, магия и не надо на головной роутер лезть. Гуглить пытался, но, видимо, как то не так, как надо. Прям разжевывать не обязательно, можно указать направление чтения документации или просто кинуть статьей. Спасибо)

Как то раз сталкивался с чем то подобным на чекпоинтах: там можно создать обе стороны туннеля с клиентского девайса по временному паролю (именно для создания туннеля). А железки уже сами договариваются о шифровании, о ключах, адресации, маршрутах. Это все делается автоматом

Добрый день! Возникла небольшая задача по объединению сетей. Для объединения решил использовать IP-IP туннель, так как везде статика. С самим объединением вопросов нет, но узлов много и они периодически добавляются. И возник вопрос: а можно ли чего-нибудь сгородить такого, скриптик какой или еще что, чтобы ответную часть туннеля создавать с клиентского микрота? Чтобы запустить на клиентском микроте скриптик, в котором поменять айпишник на айпишник этого клиента и имя туннеля, оп, оп, магия и не надо на головной роутер лезть. Гуглить пытался, но, видимо, как то не так, как надо. Прям разжевывать не обязательно, можно указать направление чтения документации или просто кинуть статьей. Спасибо)

Скрипт это конечно хорошо, но если сетей действительно много, а так быстрее вручную, чем написать сам скрипт и отладить его работу.

Скрипт это конечно хорошо, но если сетей действительно много, а так быстрее вручную, чем написать сам скрипт и отладить его работу.

Ну штук 30 сейчас. Не то чтобы много, конечно... Ну и интересно еще, на самом деле) вдруг еще где пригодится) думаю, вопрос можно переформулировать на "как из скрипта на одном микротике выполнить команду на другом"

Так ничего сложного в написании скрипта не вижу, только все-равно него надо руками настраивать сети, а он уже автоматом будет их использовать по названию или коментарию

теперь, реализация диктует вешать вланы на бридж, и не очень понятно как в этой ситуации поступить

все же не очень понимаю, почему это диктуется. CCR к коммутатору подключен интерфейсом, и там тож влан, или там нетегированный трафик?

Так ничего сложного в написании скрипта не вижу, только все-равно него надо руками настраивать сети, а он уже автоматом будет их использовать по названию или коментарию

с самим скриптом вопросов (пока) нет: писать их пока не умею, но по этому документации навалом. Чай не rocket science, разберусь уж, думаю. Вопрос в том, как с одного микротика выполнить нужные команды на другом. Когда тут вопрос задал, продолжил искать и, вроде как, можно по ссх выполнить нужные команды. Но в командную строку ссх не нашел как вписать пароль. Вот ищу дальше

кароч, если кому интересно, то по ссх команды выполняются, но нельзя жестко вписать пароль. поэтому нужна авторизация по ключам (не очень удобно в данной ситуации, но потенциально допустимо). пойду в сторону апи копать еще)

Ребят, подскажите, как быстро сделать проброс диапазона портов на Микротике

нужно пробросить с порты с 10000 по 20000

Ребят, подскажите, как быстро сделать проброс диапазона портов на Микротике

dst-nat

с самим скриптом вопросов (пока) нет: писать их пока не умею, но по этому документации навалом. Чай не rocket science, разберусь уж, думаю. Вопрос в том, как с одного микротика выполнить нужные команды на другом. Когда тут вопрос задал, продолжил искать и, вроде как, можно по ссх выполнить нужные команды. Но в командную строку ссх не нашел как вписать пароль. Вот ищу дальше

про управление одним тиком через другой - это жи ромон

кароч, если кому интересно, то по ссх команды выполняются, но нельзя жестко вписать пароль. поэтому нужна авторизация по ключам (не очень удобно в данной ситуации, но потенциально допустимо). пойду в сторону апи копать еще)

Есть sshpass, если что

нужно пробросить с порты с 10000 по 20000

/ip firewall nat add action=dst-nat chain=dstnat comment="nextcloud passive FTP" dst-port=31000-31100 in-interface=ether1-wan protocol=tcp to-addresses=192.168.42.164 Это работает)

dst-nat

Диапазон указывать 10000:20000 или 10000-20000 ?

Диапазон указывать 10000:20000 или 10000-20000 ?

второе, через дефис

про управление одним тиком через другой - это жи ромон

так, уже интересно. спасибо за вектор, пойду почитаю)

/ip firewall nat add action=dst-nat chain=dstnat comment="nextcloud passive FTP" dst-port=31000-31100 in-interface=ether1-wan protocol=tcp to-addresses=192.168.42.164 Это работает)

Спасибо

Есть sshpass, если что

ммм... пойду почитаю, в микроте не нашел такой команды

ммм... пойду почитаю, в микроте не нашел такой команды

А, извиняюсь, я исходную задачу не прочитал. Это просто под никсы вариант

А, извиняюсь, я исходную задачу не прочитал. Это просто под никсы вариант

а, ок)

всем спасибо) пойду гуглить про ромон и ключи ссх. Может не так страшен черт) если у кого идеи еще какие появятся - буду рад)