Если нагрузить iperf в 10 потоков то можно канал раскачать до 50 мбит.

Если нагрузить iperf в 10 потоков то можно канал раскачать до 50 мбит.

Странно… тем более сисиары… они ж без аппаратного шифрования, всё через проц?

А шифрование то какое стоит? Можно настройки пропосал?

ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-128-cbc lifetime=1d name=default pfs-group=modp1024

ip ipsec proposal set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-128-cbc lifetime=1d name=default pfs-group=modp1024

Загадка… пров, случаем, гре не режет?

после перехода на 6.43.2 стали странно работать тунели, пинги / пакеты ходят между адресами туннеля, между лан портами, но подсети видят только в одну сторону. где искать ошибку ?

Загадка… пров, случаем, гре не режет?

не, все ок. тоннель строится без проблем. проблема только в низкой скорости download из сети за 1009 аплоад туда - нормальный

не, все ок. тоннель строится без проблем. проблема только в низкой скорости download из сети за 1009 аплоад туда - нормальный

Тут, мне кажется, пров виноват

вот мне тоже кажется ))

но btest между линками - 500! ))

а мне кажется не первый раз после обновлений туннели не работают )

не, все ок. тоннель строится без проблем. проблема только в низкой скорости download из сети за 1009 аплоад туда - нормальный

MTU пробовали крутить ?

MTU пробовали крутить ?

Кстати, да, вариант

да, менял в диапазоне от 1500 до 1300

и mss тоже менял

на выходе только хуже получалось ))

окей, попробую сегодня на l2tp переехать, посмотрим

А провы с обоих сторон одинаковые?

А провы с обоих сторон одинаковые?

нет

нет

Я бы копал в сторону провайдеров

что именно копать?

А до после смены РОС началось или до этого тоже было?

после перехода на 6.43.2 стали странно работать тунели, пинги / пакеты ходят между адресами туннеля, между лан портами, но подсети видят только в одну сторону. где искать ошибку ?

оказалось что Detect Internet всё сломал - отключил и всё ок

кто подскажет как от сетки провайдера приходит трафик? т.е. схематически он где и как в микрот попадает? пытаюсь понять как его можно изолировать, ну вернее как все что прилетает из сетки провайдера можно было бы засунуть в блоклист, что бы лишний раз по портам не бегало это зверье или это не отследить как-то универсально?

Применить стандартные настройки файрволла не?

в дефолтном фаерволе есть правило defconf: drop all from WAN not DSTNATed, ин интерфейс - локалка прова, из сетки провайдера прилетает не только мусор, поэтому блочить все как то ниочень

Подскажите плз - если в правилах фаера разрешен весь ICMP (в input), а в /ip settings значение accept-redirects = 0, то первым отработает /ip settings или фаер? В итоге icmp redirect включен будет или выключен?

В идеальном мире он пройдёт файрволл, но не будет принят к сведению.

сегодня вебинар по теме Реализация IDS/IPS системы на Mikrotik + Suricata ?

сегодня вебинар по теме Реализация IDS/IPS системы на Mikrotik + Suricata ?

обнщал на следующей неделе

сегодня вебинар по теме Реализация IDS/IPS системы на Mikrotik + Suricata ?

+

вот только что письмо прилетелео

Напоминаем, что через час состоится полезный вебинар на тему: Реализация IDS/IPS системы на Mikrotik + Suricata

в 11

по ссылке там тема - ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЕРВЕРА ASTERISK И VOIP-ИНФРАСТРУКТУРЫ ИСПОЛЬЗОВАНИЕМ СРЕДСТВ БЕЗОПАСНОСТИ

оно и есть?

сегодня вебинар по теме Реализация IDS/IPS системы на Mikrotik + Suricata ?

Да, только что напоминание пришло

А оно, видимо не переименовал Роман

ок. спасибо. ждём тогда

+

Во сколько вебинар и где найти ?

Во сколько вебинар и где найти ?

https://www.youtube.com/c/MikrotikTraining/live

https://www.youtube.com/c/MikrotikTraining/live

благодарю

в дефолтном фаерволе есть правило defconf: drop all from WAN not DSTNATed, ин интерфейс - локалка прова, из сетки провайдера прилетает не только мусор, поэтому блочить все как то ниочень

а что, кроме мусора, может прилететь из локалки провайдера?

Например, последняя серия Американского Вандала с ретрекера.

если юзаем ntp dns прова, апдейты ип по дхчп

Например, последняя серия Американского Вандала с ретрекера.

Это dstnat (если речь о торрентах или вс)

если юзаем ntp dns прова, апдейты ип по дхчп

Это не форвард цепочка

Это не форвард цепочка

я в курсе

Игорь хочет блочить все из локалки прова

DNS из локалки не прилетит, если его не запросить

мое утверждение нужно блочить весь форвард не попавший под правило дст-нат, тупо блочить все это так себе решение

NTP в принципе тоже, я что-то не встречал multicast ntp в сетях

АААА ОООО

не так понял значит ))

это да

NTP в принципе тоже, я что-то не встречал multicast ntp в сетях

ntp умеет микрот раздавать

в дефолтном фаерволе есть правило defconf: drop all from WAN not DSTNATed, ин интерфейс - локалка прова, из сетки провайдера прилетает не только мусор, поэтому блочить все как то ниочень

очень интересная картина маслом получается когда переносишь данное правило в мангл и смотришь что там твориться) жесть одним словом

да это просто недопонимание. Дефолтное правило отличное

Пойду я какой-то ещё arp отключу. И nd тоже.

Какого цвета футболки хотите на MUM? anonymous poll Черные – 10 ??????? 48% Фиолетовые – 5 ???? 24% Белые – 3 ?? 14% Желтые – 2 ? 10% Зеленые – 1 ? 5% Синие ▫️ 0% ? 21 people voted so far.

Решение очень хорошее

это как раз хорошо

это как раз хорошо

я то понимаю ) мусора с сети провайдера нет

тоже подсирает

за 2 недели

коллеги пытаюсь настроить IPSEC тунль

коллеги пытаюсь настроить IPSEC тунль

И?

он поднимается но дальше чем до микротика трафик не доходит

куда копать

в фаервол. Отключить дропы для начала

потом полиси смотреть

куда копать

Без шифрования траффик ходит?

в том то и дело и с шифрование трафик ходит, но дальше чем до внетренего шлюза удаленного микротика не доходит

я так понимаю что фаервол

но уже все выключал

слышно норм

слышно норм

он не тут )

вопрос снят, одно из правило дропало трафик

Пора

Подскажите, в DNS запутался.... Заблокировал весь input кроме белого списка IP адресов... DHCP выдает адрес роутера как DNS сервер. Правильно ли я понимаю, что чтобы всё работало, надо: 1) в настройках DNS allow-remote-requests=yes 2) в настройках firewall filter надо разрешить все входящие на 53/UDP

Подскажите, в DNS запутался.... Заблокировал весь input кроме белого списка IP адресов... DHCP выдает адрес роутера как DNS сервер. Правильно ли я понимаю, что чтобы всё работало, надо: 1) в настройках DNS allow-remote-requests=yes 2) в настройках firewall filter надо разрешить все входящие на 53/UDP

2) не все входящие, а только из локальной сети

2) не все входящие, а только из локальной сети

Тогда DNS сервер перестает отдавать ответы

162 18.365459 10.67.76.1 10.67.76.163 DNS 65 Standard query response 0x001a Server failure A ya.ru

(это в Wireshark)

Народ, подскажите про fasttrack, зачем делать еще и разрешпющие правила, если и так он должен байпасс этих правил делать

Тогда DNS сервер перестает отдавать ответы

Ерунду говоришь. INPUT разрешаешь к 53 TCP/UDP из локальной сети. Остальным запрещено. Разумеется DNS allow-remote-requests=yes

добрый день, кто-нибудь тестировал новую дудку на Mikrotik RB1100AHx4 Dude edition ? сколько она узлов номально обрабатывает? стабильно ли работает?

Народ, подскажите про fasttrack, зачем делать еще и разрешпющие правила, если и так он должен байпасс этих правил делать

не все пакеты могут попасть под фасттрэк

Ерунду говоришь. INPUT разрешаешь к 53 TCP/UDP из локальной сети. Остальным запрещено. Разумеется DNS allow-remote-requests=yes

Щас попробую собрать все во едино

добрый день, кто-нибудь тестировал новую дудку на Mikrotik RB1100AHx4 Dude edition ? сколько она узлов номально обрабатывает? стабильно ли работает?

я юзаю Zabbix

Тогда DNS сервер перестает отдавать ответы

Он перестанет отадавать ответа из инета, а из локалки будет. А, если Вы разрешите отовсюду отдавать ответы, Вас DNS-флуд замучает

Трансляция: https://www.youtube.com/c/MikrotikTraining/live Получать напоминания об этом и последующих вебинарах: http://mikrotik-training.ru/webinar/