сейчас скину куда-нибудь

на пастебин

https://pastebin.com/N2RSqrDP

а может, у фасстрака нужно добавить connection-state ?

как у следующего за ним акцепта?

потому что вы в фасстрак весь форвард отправляете. А это значит Fasttracked packets bypass firewall, connection tracking

то есть у вас весь форвард без коннекшн-трекинга остается

established и related добавил...

странно что без них было(

чуда не произошло

конфиг файлом кинуть?

нужно исключить трафик к провайдера из фасттрэк

и не понятно что у вас там с топологией сети, большая сложная сеть?

да нет, вроде. просто много л2тп

просто 10.0.0.0/8

ну тогда вам, наверно, фасттрэк не нужен

что за железка?

1100AHx4

если не нужно - тогда ether3 убираете из бриджа, создаете на eth3 влан vlan40_eth3 , и пихаете его в бридж. А колько естественно будет, у вас в порт на коммутаторе прилетает l2 одно и тоже и тегом и нейтивом, а с другой стороны они в бридже встречаются

ой, я же забыл про сторону некротика, на коммуте-то фреймы loop detection не встречаются, они через бридж микротика встречаются

та.., отключайте

догнал, спасбио

хмм...а вдруг в будушем

загрузка процессора какая?

2%

+-

лол

отключайте, когда перестанет хватать, включите и будете мутить

там просто 200 л2тп

но им интернет не нужен

мда, если 2 правила перед фасттрэком сделать

то всё нормально работает

мда, если 2 правила перед фасттрэком сделать

а какие два правила?

add action=accept chain=forward comment=Established/Related connection-state=established,related dst-address=10.1.1.21 add action=accept chain=forward comment=Established/Related src-address=10.1.1.21

ну это соответственно адрес какой исключить

я так и не понял до конца с фастрэком, в каких случаях его можно или нужно применять? может кто объяснит на пальцах

как я понимаю...траффик который попадает под него исключается из проверки на файрволл

и видимо мангл

и очереди

ну т.е. у меня на тике 2 локалки на разных интерфесах, траф между ними если пустить черз фасттрек

то ресов меньше уйдет

ЦПУ

по идеи должно быть меньше

соединение, получившее статус Established/Related далее будет пересылать пакеты напрямую, без необходимости в дополнительной обработки или фильтрации при помощи Firewall.

хмм..чет мне кажется все не так у меня правильно..

ну ок, включил, раньше 100мбит ложило процессор в 95-98% ofc 20-30

щас*

кстати не влияет на спидтеск скорость как у вас

может я мангл неправильно написал? chain=prerouting action=mark-routing new-routing-mark=SALU passthrough=no src-address=10.1.1.21 dst-address=!10.0.0.0/8 log=no log-prefix=""

но я казал in interface

интерфейс локалки

желательно марктровать соединения

а потом делать mark routing

вот такая история в коннекшенах

где можно прочитать про скриптинг под микротик?

да..только у меня отвалился forum.mikrotik.com?)

UNDER MAINTENANCE

молодцы ребята) что сказать)

да..только у меня отвалился forum.mikrotik.com?)

У меня тоже:)

да..только у меня отвалился forum.mikrotik.com?)

+, тоже

+

А правда что у микротика склад згорел?

не, горело рядом, их склад слегка зацепило

ERROR: S client not available

микротик, почти как тесла)

https://russian.rt.com/nopolitics/foto/547995-zavod-tesla-pozhar-foto

https://russian.rt.com/nopolitics/foto/547995-zavod-tesla-pozhar-foto

наверняка "Калашников" подсуетился ??

наверняка "Калашников" подсуетился ??

а с микротиком Элтекс или Наг ?

не, горело рядом, их склад слегка зацепило

Фух))

Охуенно выглядит кстати

Охуенно выглядит кстати

ну да, пока не начал пользоваться

я так и не понял до конца с фастрэком, в каких случаях его можно или нужно применять? может кто объяснит на пальцах

фасттрэк трафик пролетатет мимо всего, это тупо соединенные две точки и между ними ничего нет)

для маршрутизации 2-х локалок через микротик это понятно

а для выхода в инет, мангл будет метить, конекшены и марк-роутинг работать будет?

для маршрутизации 2-х локалок через микротик это понятно

есть еще такая вещь как untraked но я пока не доехал в чем отличие от фасттрэка)

/ip ipsec peer add address=192.168.1.1/32 \ exchange-mode=ike2 \ dpd-interval=120s \ dpd-maximum-failures=5 \ enc-algorithm=aes-128 \ hash-algorithm=sha1 \ nat-traversal=no \ secret="aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" В ответ cli пишет: failure: Unsupported property by IKEv2 Что ему не нравится? Руками IKE2 выставить можно (в gui)

решил я вопрос с IPsec и подключением к удаленному тику из локальной сети пакеты возвращаясь дропаются стандартными правилами, надо сделать форвард из удаленной локалки в локальную локалку (тавтология какая-то)

решил я вопрос с IPsec и подключением к удаленному тику из локальной сети пакеты возвращаясь дропаются стандартными правилами, надо сделать форвард из удаленной локалки в локальную локалку (тавтология какая-то)

я норм конфигуратор ipsec нашел для микрота, https://tugibaev.ru/mikrotik_ipsec/

там набор настроек включает все фиревольные правила.

По крайней мере в образовательных целях конфигуратор пойдет

там набор настроек включает все фиревольные правила.

чет там много лишнего

чет там много лишнего

только ремувы лишние в основном

(они подразумевают удаление старых настреок)

/ip firewall filter add src-address=10.0.0.1 action=accept chain=input comment=to_192.168.2.0/24 /ip firewall filter add dst-address=10.0.0.1 action=accept chain=output comment=to_192.168.2.0/24 /ip firewall filter add src-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24 /ip firewall filter add dst-address=192.168.2.0/24 action=accept chain=forward comment=to_192.168.2.0/24

вот оттуда. ничего не смущает?

?а что должно?

а зачем аутпут, если у нас маскарад?

чтобы пакеты обратные уходили не в интернет а в туннель к оппоненту

в противном случае будет односторонняя связь

ну вот у меня за это отвечает no track в raw

а вот с тиком мозг поломал, так как no track его перепрыгивает :)

поэтому сделал форвард из удаленной сети в локальную в фильтре

я вот щас не понимаю что не так с моей командой =_=