Со стороны сервера надо смотреть, default profile в настройках sstp server, а профиль в ppp profiles. Там настраиваются адреса какие выдавать. Вроде так

Подскажите какие-то мануалы по скриптингу помимо вики. Конкретно, не могу понять как должна работать :tobool. Вместо ожидаемого true или false получаю на выходе саму переменную

посмотреть что выдается на стороне сервера в secure-nat/localnat

в зависимости от того как настроен сервер.

а тут вопросы про софтезер будут считаться оффтопом же? )

микротик не подерживает софтезер. Да и вообще пускать какойто непонятный екзешник которые строит впны со своим драивером занятие сомнительное

исходников нет

троянец 99%

сам бог велел

микротик не подерживает софтезер. Да и вообще пускать какойто непонятный екзешник которые строит впны со своим драивером занятие сомнительное

микротик поддерживает софтезер, когда микротик в качестве клиента)

исходников нет

исходники вполне есть.

на гитхабе кажется.

хотя сам факт того что это поделие студентов которое жрёт память как не в себя и с достаточно ограниченной документацией - вызывает подозрения

но зато бесплатно и удобно в управлении относительно.

я не вижу клиента софтезер на микротике...

я не вижу клиента софтезер на микротике...

л2тп/сстп клиент

то что там где то чето валяется на гитхабе это не тоже самое что ставишь ты себе

исходники вполне есть.

+ я его сам собинрал из сорцов

л2тп/сстп клиент

и че в бондинг их чтоли?

то что там где то чето валяется на гитхабе это не тоже самое что ставишь ты себе

последний раз я собирал то, что с гитхаба скопировано было

и че в бондинг их чтоли?

эм? штатная реализация впн клиента. от самого микротика. там правда есть некоторые странные моменты, но в целом работает

но микротики местами вообще странные

посмотреть что выдается на стороне сервера в secure-nat/localnat

Всем выдаётся нормально за исключением микрота

а как он будет езернет таскать?

Всем выдаётся нормально за исключением микрота

тебе помочь?

???

А вон у вас как) тогда посмотри что стоит в профиле у пользователя миркотика возможно что сам себе микрот адреса выдает

Чет не могу понять почему маршрут не находит. Сделал в мангле маркировку всех исходящих http и https соединений и вешаю на пакеты этого соединения роутинг марк таблицы второго провайдера, в этой таблице только один маршрут 0.0.0.0/0 via 2.2.2.2 (2.2.2.2 шлюз второго провайдера). Если маркирую только исходящие пакеты, то все работает нормально, а если маркирую вообще все пакеты в соединении (т.е. и входящие тоже), то входящий пакет почему-то смотрит только указанную меткой таблицу и не смотрит в main, хотя по доке вроде как должен. route policy пусто.

Ну и соответственно если добавлю маршрут к локальной сети в эту таблицу, то все начинает работать.

By default (when no routing-mark values are used) all active routes are in the main table, and there is only one hidden implicit rule ("catch all" rule) that uses the main table for all destination lookups. это собственно из доки, т.е. если нет политик маршрутизации и роутер не находит маршрут в указанной меткой таблице, то фоллбекает на таблицу main... но чет этого не происходит

local адресах и remote стоит пул vpn а в этом пуле что за адреса?

Чет не могу понять почему маршрут не находит. Сделал в мангле маркировку всех исходящих http и https соединений и вешаю на пакеты этого соединения роутинг марк таблицы второго провайдера, в этой таблице только один маршрут 0.0.0.0/0 via 2.2.2.2 (2.2.2.2 шлюз второго провайдера). Если маркирую только исходящие пакеты, то все работает нормально, а если маркирую вообще все пакеты в соединении (т.е. и входящие тоже), то входящий пакет почему-то смотрит только указанную меткой таблицу и не смотрит в main, хотя по доке вроде как должен. route policy пусто.

lookup only in table используется?

lookup only in table используется?

не, никаких полиси нет

не, никаких полиси нет

а у тебя в табличке маршрут до нулей?

а у тебя в табличке маршрут до нулей?

да, т.е. есть дефолтный маршрут к нулям в main и маршрут к нулям в отдельной табличке, в которую я заворачиваю веб-трафик собственно. Сорян что без конфигов, нет сейчас возможности накидать

я щас не хочу лезть, но на работе тоже манглы. и маршруты применяются правилами как раз.

да, т.е. есть дефолтный маршрут к нулям в main и маршрут к нулям в отдельной табличке, в которую я заворачиваю веб-трафик собственно. Сорян что без конфигов, нет сейчас возможности накидать

ну походу тут и проблема. нет причин переходить в main

Переделал, но все равно прилетает 1.0.0.1

Переделал, но все равно прилетает 1.0.0.1

сервер смотрел?

Что должно стоять в этих значениях? В случае подключения через l2tp когда ip назначает сервер?

ну походу тут и проблема. нет причин переходить в main

блин... спасибо огромное, что-то я затупил )

Если принудительно ставлю туда ip который будет у сервера то коннект дропается.

Что должно стоять в этих значениях? В случае подключения через l2tp когда ip назначает сервер?

Ничего

Попробуй так

по моему ты что то не там прописываешь. сстп прописывается в двух местах, в худшем случае в трёх. и там нет айпи пула вообще.

Попробуй так

Попробовал, все равно летит 1.0.0.1

ты точно правильно прописываешь сстп/л2тп клиента?

ну и да. что бы пулы которые раздаются на сервере не пересекались с пулом адресов которые в локальной сетке и в сетке выше.

ну и да. помнить что кроме как прописать клиента нужно еще потом прописать маскарадинг. а после этого настроить что бы штатный интернет не был выше по приоритету а так же опционально прописать маршрутизацию.

ну и прописать в роутс вес пути.

что бы не флудил на сервер броадкастами

Господа, а подскажите вот по этому моменту в конфигурации:

пропускать будет первые 60 пакетов за минуту, так? если за прошедшие 60 сек пришло 60 пакетов, то 61-ый отбросится?

Но при этом, если в любые 10 сек(например) придёт 500 пакетов, но за прошедшие 60сек ещё не набралось 600, то их не отбросит?

То есть, работает такое на некоем кумулятивном значении, а не на мгновенном частном? и каким стоит делать burst?

у меня наваливает примерно вот так: 1п/сек, редкими всплесками до 3-4п/сек

пропускать будет первые 60 пакетов за минуту, так? если за прошедшие 60 сек пришло 60 пакетов, то 61-ый отбросится?

Не отбросится, а не отматчится, пойдет дальше по правилам

ну да-да, не тот термин.

сама логика подсчёта интересует

Нигде по форумам не смог найти формулировку как для сторожа.

например, разницу 60/60сек, бурст 1 10/60сек, бурст 10

мне кажется, делать лимит time 1сек неразумно в мойм случае, так как поток небольшой в целом. И это не один адрес

и mode опять же: src-address или dst-address использовать

(Понапокупают микротиков. Сидели бы на зухелях и вопросы не задавали)

Всем привет hap ac2 + huawei e3372h и модем похоже по питанию отваливается. Без симки ок, определяется, а с симкой секунд 10 инет есть, начинает разгоняться и начинает lte интерфейс пропадать появляться :( Есть смысл ставить бп посильнее на сам микротик, чем из коробки или лучше usb хаб с питанием на модем? Или ещё что посоветуйете? Неохота роутер сдавать :(

лучше хаб

ну или лучше сдать hap ac2, но уж очень хорош он, да и с другими хз какая ситуация по питанию. где-то в спеках есть польтаж и тп на usb порту вообще?

сама логика подсчёта интересует

С абсолютными цифрами там сложнее, я когда тестировал там всегда разные цифры получались. Правда это возможно прошивка была не очень подхолдящей. По этому на мой взгляд лучше тестировать, но по практике работает так как хотелось бы если бюрст равен рэйту.

Если не равен получается какая-то дичь

да вот сейчас тоже потестировал:

подключаюсь с телефона l2tp/ipsec, в правиле по первому скрину 1 пакет

и адрес сразу идёт в блок-лист

ну или лучше сдать hap ac2, но уж очень хорош он, да и с другими хз какая ситуация по питанию. где-то в спеках есть польтаж и тп на usb порту вообще?

это может быть и на любом другом девайсе, так что менять шило на мыло нет смысла, внешнее питание для модема еще никогда не приносило негатива

хотя по второму скрину должно было как минимум два пакета прийти, тем более, оба должны были быть new

хотя по второму скрину должно было как минимум два пакета прийти, тем более, оба должны были быть new

на счетчике пакетов добавился только +1 на этом правиле и следующий пакет перешел к следующему правилу по списку?

Так, была ошибка с ipsec policy, вызывавшая многократные подключения. Сейчас исправил, подключается успешно телефон, дроп выключил пока. В правиле появляется 1 пакет new, и адрес сразу добавляется в блок-лист

Так, была ошибка с ipsec policy, вызывавшая многократные подключения. Сейчас исправил, подключается успешно телефон, дроп выключил пока. В правиле появляется 1 пакет new, и адрес сразу добавляется в блок-лист

А есть уверенность что матчиться должен именно dst.address?

нету такой уверенности))

?

Но сейчас выяснил, что в адрес-лист попадало из-за следующего правила. Оставил только udp 500,4500,1701, матчится 2 new пакета, и в адрес-лист не попадает

правило на инпут?

да, на инпут

или аут?

вот это правило вызывало попадание в адрес-лист

если инпут то по логике вещей должен матчиться src, если я правильно понял задумку

не исключено.

хочу блокировать долбёжку извне

тогда точно src, т.к если разные долбятся клиенты, то dst у них один и тот же :)

Аха, теперь, кажется, нормально отрабатывает, и даёт с мобилы подключиться