Dnssec не поможет от подмены, только туннель спасёт

dnscrypt-proxy

https://c2n.me/3WcIocz , https://clip2net.com/s/3WcIkwT , https://clip2net.com/s/3WcHAMT , https://clip2net.com/s/3WcHAp9 , https://clip2net.com/s/3WcHAhN , обманывать вас мне нет необходимости, просто хочу внести ясность. по обоим интерфейсам внутренний сервер доступен без проблем, а теперь вопрос для тех кто не верит в существование динамических правил , если я подключился к терминальному серверу то принятых переданных пакетов никак не 3 (для тех кто когда-нить видел в снифере терминальную сессию.) а трансляция проходит каждый внешний пакет.

https://dnscrypt.info/

Кстати, а кто-нить пробовал метароутер поднимать в последних росах?

https://dnscrypt.info/

Хотелось всё на мелкотике сделать, чтобы на каждой машине DNSCrypt настраивать... Эх...

Хотелось всё на мелкотике сделать, чтобы на каждой машине DNSCrypt настраивать... Эх...

Туннель до днс

Т.е. VPN до VPS... Ладно - так, так так. :)

Спаисбо

Хотелось всё на мелкотике сделать, чтобы на каждой машине DNSCrypt настраивать... Эх...

у меня стоит один OpenWRT Dir 320, на нем стоит этот самый днскрипт-прокси на 53 порту. И он является для микрота ДНС-сервером, и его же в dhcp отдаю

Профит

https://c2n.me/3WcIocz , https://clip2net.com/s/3WcIkwT , https://clip2net.com/s/3WcHAMT , https://clip2net.com/s/3WcHAp9 , https://clip2net.com/s/3WcHAhN , обманывать вас мне нет необходимости, просто хочу внести ясность. по обоим интерфейсам внутренний сервер доступен без проблем, а теперь вопрос для тех кто не верит в существование динамических правил , если я подключился к терминальному серверу то принятых переданных пакетов никак не 3 (для тех кто когда-нить видел в снифере терминальную сессию.) а трансляция проходит каждый внешний пакет.

ты из одной локалки в другую проброс делаешь? при чем тут допуск снаружи?

Профит

Множятся девайсы. Так-то удобно, согласен.

а какая теоретическая разница?

Т.е. VPN до VPS... Ладно - так, так так. :)

Я вообще завернул все торренты в ВПС в маленькой никому не нужной европейской стране. Скоро, кажется мне, вообще весь трафан заверну.

хо я из третей локалки на ПК попаду?

ты из одной локалки в другую проброс делаешь? при чем тут допуск снаружи?

Разницы никакой. Из одной сети в другую

хо я из третей локалки на ПК попаду?

причем тут вообще локалки. речь была про доступ из интернета при дефалтном маршруте

Почему так много хейтеров hAP ac2? На вид не очень, но потом привыкаешь. А внутри все норм

привыкаешь не смотреть. Вообще на шкафу стоит - с глаз долой)

причем тут вообще локалки. речь была про доступ из интернета при дефалтном маршруте

Для нат-трансляций вообще по боку, что куда транслировать. Для роутера тоже не особо важно, как перекладывать пакеты, дефолт там роут, или не дефолт.

нет речь шла про доступ и н-ной сети, если в первом приблежении, так?

а на виду - 951 как свич)

нет речь шла про доступ и н-ной сети, если в первом приблежении, так?

нет. речь была про доступ с любого ip при существуюещем маршруте нулей на определенный гейтвей

твоя схема не взлетит если стучаться снаружи. все будет лететь по дефалтному маршруту обратно

Я мб не понимаю сути спора )

Я мб не понимаю сути спора )

товарищ уверяет что при двух аплинках, один из которых в маршрутах указан ниже второго проброс портов снаружи будет работать и без манглов

и в пример приводит свою локалку

Хм... Если 2 аплинка, с 2 дефолт роутами, то без манглов, коннект и роут марков, будет работать только 1, который в данный момент активный дефолт роут.

Хм... Если 2 аплинка, с 2 дефолт роутами, то без манглов, коннект и роут марков, будет работать только 1, который в данный момент активный дефолт роут.

он говорит делай проброс. оно и так взлетит на обоих аплинках

ну так пакет с проброшенного порта уходит на микрот, микрот отправляет его по известному ему маршруту до сети-источника. Если маршрут до источника известен - то все сработает. Если нет - то улетит в дефолт. Если накуриться и поднять на роутере, на котором порт проброшен, bgp с full-view - то все сработает кстати )

ну, ок, согласен , давай попробую из-за маршрутизатора который в сети 172,17,0,0 находится

ну, ок, согласен , давай попробую из-за маршрутизатора который в сети 172,17,0,0 находится

попробуй при двух аплинках снаружи )

ну, ок, согласен , давай попробую из-за маршрутизатора который в сети 172,17,0,0 находится

Сделай 2 маршрута до одной и той же сети, с разным весом

Ща начертю схему, сек

ну давай для читоты сначала с одним

потом с двумя, всё равно один только активным будет

Вот, и на тачку в сети 10.1.6.1/24 сделай проброс с 2 интерфейсов

При этом у тебя 2 роута до сети 10.1.1.1/24 с роутера, который держит 6 сеть

И при установке соединения с машинкой в 6 сети syn будет странслирован правильно, а вот ack, вылетая обратно, будет странслирован и отправлен по текущему активному роуту.

То есть если активный роут из сети 10.1.6.0/24 идет через 10.1.4.1, то sat будет выполнен на интерфейс 10.1.4.2, и на машинку в сети 10.1.1.0/24, которая отправила syn на ip 10.1.5.2, прилетит ack с 10.1.4.2, пакет будет отброшен, соединение не будет установлено.

Блин... поток сознания, не умею я в письменном виде обьяснять такие вещи, сорян.

Ну вот собственно тут и нужон мангл, роутмарки, коннекшон марки, вот это вот всё.

У меня в данный момент штук 6 роутёров так работает

https://weblance.com.ua/389-mikrotik-gotovit-platformu-rb4011-na-baze-processorov-alpine-zayavlena-podderzhka-dual-band-wi-fi-s-mimo-4x4.html

счас расширенный лог соберу

и кусок конфига с туннелем

кипэлив?

Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: LCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: LCP closed Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: CCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: BCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: BCP down event in starting state Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: IPCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: IPCP closed Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: IPV6CP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: IPV6CP down event in starting state Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: MPLSCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: MPLSCP closed Aug/22/2018 13:26:31 l2tp,ppp,info <l2tp-verh>: terminating... - hungup Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: LCP lowerdown Aug/22/2018 13:26:31 l2tp,ppp,debug <x.y.z.a>: LCP down event in starting state Aug/22/2018 13:26:31 l2tp,ppp,info,account verh logged out, 140 25045 29122 413 237 Aug/22/2018 13:26:31 l2tp,ppp,info <l2tp-verh>: disconnected

кипэлив?

хм

на клиенте

в dial out

https://weblance.com.ua/389-mikrotik-gotovit-platformu-rb4011-na-baze-processorov-alpine-zayavlena-podderzhka-dual-band-wi-fi-s-mimo-4x4.html

Давно пора в армы микротам

Ну, это почти байка мало чем подтвержденная. Даже в статье только "кто-то что-то кому-то сказанул однажды"

запустите с сервера пинг до клиента и посмотрете будет рваться или нет

по локальным адресам туннеля

Мих, у нас на выходе к ISP из LAN всегда NAT , нет прямой маршрутизации, потому схема твоя для нашего случая, как пример, не корректна. вот схема которая мне доступна https://c2n.me/3WcO7ip но, принципиальной разницы я не вижу. 172,16,23,14 может установить связь с 172,17,50,30 и 70 , настройки микротика не менял(шлюз один) . думаю смысла нет ставить два шлюза т.к. только один будет активным.

в dial out

Там ничего не было, поставл 60. Или больеш сделать?

запустите с сервера пинг до клиента и посмотрете будет рваться или нет

Сейчас попробую.

не, по идее там убрать нужно

Мих, у нас на выходе к ISP из LAN всегда NAT , нет прямой маршрутизации, потому схема твоя для нашего случая, как пример, не корректна. вот схема которая мне доступна https://c2n.me/3WcO7ip но, принципиальной разницы я не вижу. 172,16,23,14 может установить связь с 172,17,50,30 и 70 , настройки микротика не менял(шлюз один) . думаю смысла нет ставить два шлюза т.к. только один будет активным.

Да, я забыл написать, что из 6 сети всё снатится в IP адреса роутера

не, по идее там убрать нужно

Блин, все же убрать? ?

я бы убрал

по локальным адресам туннеля

без указания интерфейса?

без, просто пинг второго конца туннеля

он же пингуется?

пинг падает вместе с туннелем

ERROR: S client not available

Пока туннель есть, он пингуется

значит кипэлив тут похоже не при чем

попробуйте всеже установить установить кипэлив значение побольше к примеру 5 мин - 300

Сейчас попробую

есть еще такойже параметр на l2tp сервере

о, кстати

на сервере он 30 стоял

а на клиенте ничего не было. В этом может быть причина?

и еще, на клиенте случайно галочка dial on demand не стоит?

нет ,сразу проверил

посмотрите еще профайл, разедл limit, может там чего

посмотрите еще профайл, разедл limit, может там чего

там ничего

это со всеми туннелями проичходит?

это со всеми туннелями проичходит?

Хм, кстати, нет

аплинк 1?

аплинк 1?

угу

как вариант, можно ради теста настроить туннель без ipsec, посмотреть будут обрывы или нет

Давно пора в армы микротам

а есть уже микроты на арм, rb3011 моделька

а есть уже микроты на арм, rb3011 моделька

1100АНх4 есть на арм

как вариант, можно ради теста настроить туннель без ipsec, посмотреть будут обрывы или нет

есть ещё два клиента, не отваливаются же... Пытаюсь в этом направлении сомтреть. Кстати, тот который отваливается, на свежей прошивке, 6.42.3 Остальные на 6.40

1100АНх4 есть на арм

Ага, спасибо. Я и не знал

есть ещё два клиента, не отваливаются же... Пытаюсь в этом направлении сомтреть. Кстати, тот который отваливается, на свежей прошивке, 6.42.3 Остальные на 6.40

везде белые адреса или есть за НАТом?

а у вас там ospf Нету случайно?

Меня всегда пугают результаты тестов микрота. Особенно их 64-байтовый тест ))

https://mikrotik.com/product/RB3011UiAS-RM#fndtn-testresults Ну беда же, 96 мегабит роутинга на 64-байтовых пакетах

а у вас там ospf Нету случайно?

нет

везде белые адреса или есть за НАТом?

сервер за белым ип, остальные по разному, в основном за натом

а проблемный клиент за натом?

Есть у кого опыт с работой микротик скрипт и viber bot?

а проблемный клиент за натом?

угу

может тип туннеля сменить, на sstp к примеру

А там нет другого клиента, который к тому же серверу ходит?