Вики почитайте пожалуйста

Вики почитайте пожалуйста

нашел, спасибо

Пожалуйста

в цисках nat-трансляция по дефолту тоже что-то около суток живёт вроде. и тоже непонятно, нафига.

В теории-то можно, но по факту хрен вы добавите все ютюбовские адреса в address list. Это реально только с простыми сайтами, которые не используют всякие cdn и внешние ресурсы.

tls-sni

tls-sni

И как это поможет?

подскажите как правильно сделать загрузку выгрузку конфигураций на микротики

если можно ссылку на ман

И как это поможет?

главное умную аббревиатуру в чат кинуть, остальное неважно :)

главное умную аббревиатуру в чат кинуть, остальное неважно :)

Нет, он прав

Только не tls-sni а tls-host

Нет, он прав

тогда расскажи, интересно

tls-host ну это немного другое

https://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter tls-host (string; Default: ) Allows to match https traffic based on TLS SNI hostname. Accepts GLOB syntax for wildcard matching. Note that matcher will not be able to match hostname if TLS handshake frame is fragmented into multiple TCP segments (packets).

Получается, что можно промаркировать трафик по заголовкам SNI

В отличие от добавления домена в address list, этот метод позволяет выделять поддомены и творить всякую черную магию через wildcard, а также не зависеть от того, верные ли IP отдал DNS сервер. Например, google.com в разных регионах резолвится на разные адреса.

Только не tls-sni а tls-host

Прошу прощения, немного ошибся)

Господа, подскажите плз. Кажется я что-то упускаю. У меня есть сеть, в ней роутер не микротик. Также там стоит микротик, на котором запущен VPN клиент. На микротике в firewall - nat есть маскарад с out interface - vpn И проброшены порты с компа в сети. Dst address - адрес, который получает клиент VPN. Но почему-то с VPN-сервера достучаться на порты не могу.

наверно потому, что обратный пакет уходит через шлюз по умолчанию?

Костыльный маскарад от мт в сторону компа должен помоч вроди

наверно потому, что обратный пакет уходит через шлюз по умолчанию?

Но к нему ж вроде как микротик обращается с локального адреса

Костыльный маскарад от мт в сторону компа должен помоч вроди

Это как?

С чего бы это? С адреса клиента, поможет src nat

Это как?

Чтото типа out interface=bridge1 dst addr=pc action=srcnat/masquarade

Спасибо! Пробую

Чёт с srcnat не удалось

Включил tcpdump на компе

приходит пакет с ip vpn-сервера Уходит на тот же ip - как я понимаю - на маршрутизатор

подскажите как правильно сделать загрузку выгрузку конфигураций на микротики

Гугли "микротик plink" это если с винды собирать

Вчера батником в ~20 тиках удаленных за 40сек правила обновил

подскажите как правильно сделать загрузку выгрузку конфигураций на микротики

https://youtu.be/E8NsgpW18C4 я рекомендую так. Причем не только микроты

Привет всем. А как в simple queue задать интерфейс лист? Это вообще возможно?

Доброе время суток! Подскажите как настроить фаервол. Есть 5 виланов они все имеют доступ в интернет но не между собой. И должен быть 6-ой вила какой может попасть везде.

То есть 5 изолировать и 1 типо менеджмент влан ?

список интерфейсов, создаете лист to-inet, туда добавляете вланы, потом в фильтр правило forward разрешающее с этого списка на WAN, а след. правило запрещающнее форвард

перед запрещающим добавьте разрешающе прввило forward для 6 влана

То есть 5 изолировать и 1 типо менеджмент влан ?

Да

Мне тоже интересно как такое сделать

Доброе время суток! Подскажите как настроить фаервол. Есть 5 виланов они все имеют доступ в интернет но не между собой. И должен быть 6-ой вила какой может попасть везде.

5 виланов в интерфейс лист, правило дропа для ин-интерфейслиста и аут-интерфейс листа равных тому листу.

Привет ребят, ptr создавать на каждый dhcp lease только скриптом?

Привет ребят, ptr создавать на каждый dhcp lease только скриптом?

PTR-записи в DHCP??? Шта?

В DNS на каждый dhcp lease

В DNS на каждый dhcp lease

DNS static что ли?

После того как dhcp зализил кому-то ip, хочу чтобы он делал автоматически dns запись (ptr)

После того как dhcp зализил кому-то ip, хочу чтобы он делал автоматически dns запись (ptr)

Микротиковский не умеет вроде

Микротиковский не умеет вроде

Благодарю

Даже с собственным днсом

С собственным dns можно, но только через скрипт

Благодарю

По идее можно скриптом попробовал напердолить - брать список лисов, и вливатьв ДНС

Не надо брать список. Есть такая штука - lease script. Вызывается при каждой выдаче.

Не знал

Script that will be executed after lease is assigned or de-assigned. Internal "global" variables that can be used in the script:leaseBound - set to "1" if bound, otherwise set to "0"leaseServerName - dhcp server nameleaseActMAC - active mac addressleaseActIP - active IP address

В переменных прилетают все необходимые данные

Остаётся из таблицы выудить hostname и сделать dns ptr

а что такое "rx fcs error" в статистике ethernet-интерфейса?

CRC - неверная контрольная сумма пакета

а что такое "rx fcs error" в статистике ethernet-интерфейса?

https://routers.ga/?page_id=79

PTR-записи в DHCP??? Шта?

это ж классика для active directory

это ж классика для active directory

для AD, возможно, классика, для МТ только с помощью костылей

для AD, возможно, классика, для МТ только с помощью костылей

Не вижу костыльности в штатном скрипте. Hostname там есть.

ERROR: S client not available

Не вижу костыльности в штатном скрипте. Hostname там есть.

я фигугурально выразился))

Вот если б не передавалась переменная hostname, пришлось бы городить костыли, а так одной строчкой

Привет ребят, ptr создавать на каждый dhcp lease только скриптом?

https://wiki.mikrotik.com/wiki/Setting_static_DNS_record_for_each_DHCP_lease

для AD, возможно, классика, для МТ только с помощью костылей

В AD тоже запускается некий код, создающий запись PTR. Тоже костыль?

В AD тоже запускается некий код, создающий запись PTR. Тоже костыль?

ну я ж написал что фигурально выразился...

https://wiki.mikrotik.com/wiki/Setting_static_DNS_record_for_each_DHCP_lease

Завелось

Завелось

супер)

Господа, кто юзал crs 328 пое который ? Норм с камерами ? Не тупят ?

Господа, кто юзал crs 328 пое который ? Норм с камерами ? Не тупят ?

А там нормальный стандарт POE?

А там нормальный стандарт POE?

328 он ваще красава. 802.3af/at/passive PoE

А там нормальный стандарт POE?

А что, в описании продукта не написано что ли?

Max Power consumption 44W

на 24 порта... ниочем

The device consumes up to 44 W leaving guaranteed 450 W (3x150 W per every 8 Ethernet ports) to power your PoE devices

Когда?

Max Power consumption 44W

150вт на группу из 8 портов

Кароч 15 камер внутренних вывезет ?

Кароч 15 камер внутренних вывезет ?

вывезет.

даже PTZ’шные вывезет.

150вт на группу из 8 портов

ссылкой киньте... в упор не вижу...

Когда?

В 6.43 rc

мож модель другую смотрю

даже PTZ’шные вывезет.

Каеф

AE

ссылкой киньте... в упор не вижу...

https://mikrotik.com/product/crs328_24p_4s_rm

https://mikrotik.com/product/crs328_24p_4s_rm

хмм.... модель та...

хмм.... модель та...

https://i.mt.lv/cdn/rb_files/CR328-24P-4SplusRM-180424120301.pdf