и из них собрать ничего нельзя потому что это формальный ответ на запрос исходников?

и из них собрать ничего нельзя потому что это формальный ответ на запрос исходников?

Ну собрать можешь, но по гпл все изменения тоже опен-сорс

https://github.com/robimarko/routeros-GPL

прикольно, а не проскакивала инфа, о том скока поцентов gpl в итоговой routeros?

а у кого-нибудь наблюдаются проблемы с gre-тунелями на последнем багфиксе? до этого обновления все работало год без каких-либо изменений, сеть самая простая, два белых ip на каждом по микротику с последним багфиксом, настройка по офциальному вики после обновления ipsec подымается, а вот сам тунель висит без R, что с этим делать-то?

Чинить

что в system logging нужно включить, чтобы увидеть debug gre?

Gre !packet

А сами gre не в разных таблицах ?

Просто указаны local и remote адреса ?

делал как в вики, белые ip и серые в ip addresses из сети 0/30

https://wiki.mikrotik.com/wiki/Manual:Interface/Gre во

удинственное у меня osfp вместо статики, но так как тунель не подымается, то и маршруты не появляются

Gre !packet

а можно пояснить, у меня там в топиках ничего нет такого

Gre есть ?

Packet есть ?

пакет есть

Не

Нужен gre

бож ты мой

чувак который всем обещает уже админ

во дела ))

наобещал ( с ) ?

ну и если keepalive опцию выключить в настройках интерфейса, то R стейт появляется, но ничего не работает

Нужен gre

а что ты хочешь увидеть то? у гре разве есть хоть что то что может появится в дебаге?

да хоть что-нибудь

чтобы понять почему он не становится running

да хоть что-нибудь

а там нет ничего

в принципе

ты тупо шлешъ пакет и надеешься что на том конце е го кто т опрочитает

снифай траф на обоих концахз, может так что уувидишь

вот жеж бля багфикс прошивка

в продакшн только багфикс говорили они

https://t.me/MikrotikRu/364503

ну и если keepalive опцию выключить в настройках интерфейса, то R стейт появляется, но ничего не работает

без кипаэлайвов кстати вообще нет способа сказать работает тонель или нет) ну если не слать через него ничего. а ты не думал что проблема не в гре а где то еще? пробывал гре без айписека и пинговать концы?

сейчас не могу достучаться до второго микротика, так как доступ был через тунель :) но я вижу что он удачно устанавливает ipsec и шифрованием подымается

по icmp второй микротик доступен

пичаль))) может что то не то шифруется. или не так. ну просто в самом гре ломацо нечему особо

а вот в айписеке....

так, а может что в файрволе изменилось?

так, а может что в файрволе изменилось?

ну поройся там в других местах, я вангую что там косяк)

так ничего не трогал

так ничего не трогал

так оно само)

так, как сделать правильно downgrade? нужно скачать с архива микротика нужный all_packages-mmips-6.40.6.zip например, залить его в микротик, а потом нажать downgrade?

так, как сделать правильно downgrade? нужно скачать с архива микротика нужный all_packages-mmips-6.40.6.zip например, залить его в микротик, а потом нажать downgrade?

да

ну что же, этот откатил, осталось откатить второй и убедиться в том, что проблема в прошивке

надо было бету заливать

уже на все

да ну, если у них на багфиксе все ломается, то что будет на бете это даже лучше не представлять

ну хуже то не будет)

бридж поломается :)

ой, без гре он тебе все равно не нужен)

так, а резать gre на стороне провайдера могут?

так, а резать gre на стороне провайдера могут?

да, но у тебя ж он в айписеке бегает? тогда уже нет. могут резать айписек правда)

а зашифрованые байтеги в SA в оба контца есть?

странно и чой то оно)

за второй конец отвечает политега на другом конце

политика на канале запрещена же

ERROR: S client not available

ну значит извиняй ипсект на канале заблокирован

Всем привет очень нужна помощь За микротиком расположены сервера почта вэб и не в единственном экземпляре. Все порты проброшены и через WAN все сервера доступны НО задача стоит организовать доступ к эти ресурсам через VPN!!! На микротике создан интерфейс ovpn-client Созданы правила -> весь исходящий ходит через ovpn-client интерфейс. Застрял на входящем трафике Необходимо что бы по запросу IP_OVPNserver:80 трафик уходил в tune0 и уже на микротике раздавался Помогите плииз уже перерыл всё что мог

В чем помощь заключается? Зайти на твой микрот и настроить?

на микроте всё ок ума не приложу что нужно написать на OVPN сервере что бы совсем весь ВХОДЯЩИЙ трафик отправлялся в интерфейс tun0

на микротик то бишь

dnat чтож еще

форвард

еще маршруты

входящие метки

в iptables это в несколько правил верно?

это целая структура manglов с расставлением меток и маршрутов по ним (interface, mark connection, mark routing) тебе вряд ли помогут. гугли по запросу микротик и несколько провайдеров. исходи из того, что ovpn-подключение - это отдельный провайдер. помочь тебе сложно, потому что много нюансов, а постановка задачи, к сожалению, у тебя хромает. и рекомендую понять, что значат цепочки input и prerouting, а также - разницу между ними.

одно

один днат

Всем привет очень нужна помощь За микротиком расположены сервера почта вэб и не в единственном экземпляре. Все порты проброшены и через WAN все сервера доступны НО задача стоит организовать доступ к эти ресурсам через VPN!!! На микротике создан интерфейс ovpn-client Созданы правила -> весь исходящий ходит через ovpn-client интерфейс. Застрял на входящем трафике Необходимо что бы по запросу IP_OVPNserver:80 трафик уходил в tune0 и уже на микротике раздавался Помогите плииз уже перерыл всё что мог

только через впн или и через впн?

один роут

метки на микротике

если не планируешь без впна на веб ходить можешь его прямо в врф в правилом засунуть

без всяких меток

или вланом пробросить к впн серверу

если только через впн и впн работает и есть маршрут к сети серверов ничего пробрасывать не нужно, просто по внутренним ip ходишь к ним и всё. отмени проброс потров и никто из Инена к ним не подключится . если хо по именам ходить просто статические dns добавь в маршрутизаторы .

Как-то можно отследить потоковое видео? Что-то через L7 не особо получилось, на каких-то сайтах работало, на каких-то нет. По условиям 443 можно отрубить.

Спасибо Буду пробовать

DHCP работает на третьем уровене, ip клиента 0.0.0.0 , но обязательно через широковещательный второй уровень DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff . сервер отвечает на DSTMAC=ff:ff:ff:ff:ff:ff:ff:ff и ip 0.0.0.0 так как второй широковещательный то узлы взаимодействуют на третьем даже без "нормального" ip

Не сбивайте человека с панталыку, DHCP - это application layer, т.е. он работает на 7 уровне.

ой, без гре он тебе все равно не нужен)

Нафиг тебе GRE? По статистике в нем оптерь на 2 порядка больше, чем при наличии IP-IP туннеля. Мы все свои GRE выкинули нафиг, ибо в августе начальсь просадки и потери в каналах. Поменяли все на IPIP с нормальным IPsec и с тех пор нет ни одной просадки и поетри в принципе. ТОлько порты не забывае откравть для хождения траффика нужного и все.

Нафиг тебе GRE? По статистике в нем оптерь на 2 порядка больше, чем при наличии IP-IP туннеля. Мы все свои GRE выкинули нафиг, ибо в августе начальсь просадки и потери в каналах. Поменяли все на IPIP с нормальным IPsec и с тех пор нет ни одной просадки и поетри в принципе. ТОлько порты не забывае откравть для хождения траффика нужного и все.

откуда ты знаешь, может он через гре IPX гоняет)

а вообще потери могут быть вызваны только проблемой с MTU, у гре больше оверхед. я хз что еще может быть. ну или пров решил рандомно подропать)

Ip и порт указал реальные, если что можете сами просканировать

Похоже так умело проброшены :)

Похоже так умело проброшены :)

Что имеешь ввиду ?

Похоже так умело проброшены :)

Есть объяснение как можно не умело пробросить что бы возникла такая ситуация?

легко) например пробрасывать не указывая ничего кроме протокола и порта, а потом сидеть за этим роутером и удивляться отчего этот порт у всех открыт))))))))