ну так а проблема в чём ?

*неаккуратненько

Подскажите, wap lte kit или sxt lte?

Подскажите, wap lte kit или sxt lte?

Что подсказать то?

что выбрать. что лучше

Разные железки для разных решений

sxt lte kit )

ну так а проблема в чём ?

В доступе к микротику из дальней сетке

sxt lte kit )

мощнее?

а из дальней сетки есть доступ к узлам в ближней сетке ?

Да, есть

а каким образом пробуешь доступ к микротику из дальней сетки ?

да не важно каким. Даже пинга нет

мощнее?

Даже и так, хотя бы мощнее. + 3G есть на всякий случай, + PoE out, + поддержка LTE Passthrough

Даже и так, хотя бы мощнее. + 3G есть на всякий случай, + PoE out, + поддержка LTE Passthrough

спасибо!

мощнее?

Мощнее - не значит лучше. Они для разных задач.

кинь скрин правил input того микротика к которому нет д. только в скрине должны быть поля которые есть в правиле , например https://c2n.me/3WfLkw9

Ща доберусь до ноута. С телефона не очень удобно

проблема , скорее всего в правилах или в сервисах у тебя стоит ограничение на подключения из опред.сети но не из удалённой https://c2n.me/3WfLqrI

Нет там ограничений. Ограничения не пишут если есть порт-нокинг

тогда цепочка input а или uotput , т.е. есть вариант что микротик получает пакет но не может его отправить.

Я по внешнему IP захожу свободно по порт-нокингу и белому списку

тогда цепочка input а или uotput , т.е. есть вариант что микротик получает пакет но не может его отправить.

Вот скорее всего не может отправить. Так как счётчик инпута тикает

тогда необходимо смотреть output

Я по внешнему IP захожу свободно по порт-нокингу и белому списку

если с дальней стороны запустить пинг, и смотреть торчем на проблемном микротике, пакеты есть?

Вот тут у меня и непонимание. Аут - это ISP интерфейс, так как туннельного интерфейса нету

если с дальней стороны запустить пинг, и смотреть торчем на проблемном микротике, пакеты есть?

Надо попробовать

и как дальняя сетка подключена к проблемному тику, впн?

Ipsec на собственном туннеле

Оба внешних - белые

туннель какой?

тип туннеля

Уже задумываюсь перестроить на ipip туннель, чтобы явно указывать интерфейс

А откуда есть доступ к микроту?

только хотел порекомендовать ipip :)

А откуда есть доступ к микроту?

Отовсюду по белому листу

Господа ! а у всех , у кого нормально-закрытый стевой экран, в конце есть правила запрещающие всё ? https://c2n.me/3WfMAAq , так может имеет смысл их на время отключить и пробовать ? для меня это и так понятно , я просто уточняю. Искать проблему проще если сетевой экран палки в колёса не суёт.

Отовсюду по белому листу

А туннель в белом листе?

только хотел порекомендовать ipip :)

Ну с этим картина выглядит яснее, но хочу понять, где собака зарыта

тогда нужн опонимать как настроено сейчас

А туннель в белом листе?

А это как? ?

А это как? ?

Если инпут возможен только из физических интерфейсов- то значит нету

Инпут из туннеля разрешен?

выше говорили что input счётчик тикает

Если инпут возможен только из физических интерфейсов- то значит нету

Ну почему же? IPIP например не физический, а его можно?

там есть особенности прохождения пакетов ipsec через фаервол

там есть особенности прохождения пакетов ipsec через фаервол

Их тоже нужно разрешить

Инпут из туннеля разрешен?

VPN работает хорошо (иногда отваливается правда), а доступ к тику не могу получить

VPN работает хорошо (иногда отваливается правда), а доступ к тику не могу получить

Инпут и форвард разные штуки

показали бы настройки, касательно туннеля, гадать можно долго

И фаервол)

там есть особенности прохождения пакетов ipsec через фаервол

Как вариант.

показали бы настройки, касательно туннеля, гадать можно долго

Покажу. На пути к ноуту

Инпут и форвард разные штуки

Ну тут речь не про них

Ну тут речь не про них

Если ты разрешил форвард без инпута- логично что управления нет

Но проходить пакеты будут

Если ты разрешил форвард без инпута- логично что управления нет

Я практически не использую форвард

Я практически не использую форвард

Ты же говорил что сеть есть, а управления нет

Сеть- это форвард

ребят, а есть гуру fasttrack?...

нет

...)))

ну задавай вопрос , может кто то занет ответ.

1. На сколько снижается производительность при отключении?

да, да, кстати ipsec и fastrack не особо дружат

мне не ипсек)

ERROR: S client not available

https://asp24.ru/mikrotik/perenapravlenie-ip-adresov-na-vtorogo-provaydera-v-mikrotik-routerboard/

вот так настроил - все работает. но при включенном фасттрэке - скорость = 0

выключаешь - все становится в рамках тарифа провайдера)

https://c2n.me/3WfNmEf

Ты же говорил что сеть есть, а управления нет

Не использую такие правила отдельно. Или это в целом о понятии форвардинга?

Не использую такие правила отдельно. Или это в целом о понятии форвардинга?

А?

да, да, кстати ipsec и fastrack не особо дружат

Отключен. В рав - но трак есть

может быть можно как то подрихтовать фасттрэк, чтобы он правильно работал?

Не использую такие правила отдельно. Или это в целом о понятии форвардинга?

Тебе в любом случае нужно разрешить инпут для управления, если в конце есть правила дропать все

может быть можно как то подрихтовать фасттрэк, чтобы он правильно работал?

покажите mangle

Если такого правила нет- то нужно сделать)

Тебе в любом случае нужно разрешить инпут для управления, если в конце есть правила дропать все

Да делаю я это - не помогает. Аутпут надо ковырять. Ща доползу до ноута

покажите mangle

хмм...намекате поставить мои правила выше динамических от фасттрэка?

ну и правило output не забывай, потому как для доступа к самому микроту нужны обе ц. input output

Если у тебя порткнокинг - либо нужно добавить туннель в набор интерфейсов где он либо нужен, либо нет

но он говорит так нельзя

хмм...намекате поставить мои правила выше динамических от фасттрэка?

не просто хотел просомтреть как маркируете, сразу пакеты или соединения?

Если у тебя порткнокинг - либо нужно добавить туннель в набор интерфейсов где он либо нужен, либо нет

Нет туннеля в интерфейса, в этом и загвоздка

Значит нет туннеля

ip firewall mangle print Flags: X - disabled, I - invalid, D - dynamic 0 D ;;; special dummy rule to show fasttrack counters chain=prerouting action=passthrough 1 D ;;; special dummy rule to show fasttrack counters chain=forward action=passthrough 2 D ;;; special dummy rule to show fasttrack counters chain=postrouting action=passthrough 3 ;;; VIPNET chain=prerouting action=mark-routing new-routing-mark=vipnet passthrough=no src-address=10.1.0.10 log=no log-prefix="" 4 ;;; SALU chain=prerouting action=mark-routing new-routing-mark=SALU passthrough=no src-address=10.1.1.21 log=no log-prefix=""

Если есть туннель - он интерфейс

хмм..в випнете значит тоже тормозит также(

Значит нет туннеля

Видишь суслика? Нет? А он есть ?

Если есть туннель - он интерфейс

там походу голый ipsec

Если есть туннель - он интерфейс

Есть ipsec со встроенным туннелем

Есть ipsec со встроенным туннелем

А?

там походу голый ipsec

Можно и так сказать

Есть ipsec со встроенным туннелем

Пруфы)

Как это

Туннель в айписеке..б

Айписек - это же всего навсего шифрование