это сколько надо не заходить что бы 20к месаг насобиралось?

недельку, наверное

Две

это сколько надо не заходить что бы 20к месаг насобиралось?

Затрудняюсь уточнить. Думаю пару недель.

Кто больше?

В соседнем чатике посмотрел, последнее прочитанное было 27 сентября. Ну и этот с того-же времени не открывал.

Как узнать что расходует канал без очередей? Никак?

torch

И тут вопрос

Это наш адрес пытаются DDoS-ить?

кто-то что-то качает

Как лучше дать приоритет телефонии? Создать parent очередь в simple quee и в ней 2 подочереди для телефонии и остального трафика?

кто-то что-то качает

Я бы так подумал, если бы 80-е порты были в dst, но они в src

отдает веб сервер с 80, а дст ваш адрес и порты НАТа

теперь становитесь торчем на интерфейс лок сети и смортеите кто качает

отдает веб сервер с 80, а дст ваш адрес и порты НАТа

Но отдавать он должен источнику

Это же МЫ устанавливаем соединение, а не вебсервер

для микротика веб сервер источник, а получатель он

микротик

для микротика веб сервер источник, а получатель он

Это именно для торча так?

для микротика веб сервер источник, а получатель он

Потому как для фаервола такое утверждение не верно

хз, по наблюдениям делаю вывод

точ не фаервол

торч*

да, но я ожидал там увидеть такую же логику

Пойду изучать торч

та же логика будет в firewall connections

а утилита BTest не совместима с бандвич тестом в последних прошивках?

Забыл сказать если удалить все правила всё равно блокируется :)

Попробуйте /ip firewall mangle add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn

должно помочь, если ping с некоторым уменьшенным mss проходит

в icmp нет mss

для микротика веб сервер источник, а получатель он

Да, для торча это так,в случае если смотрим внешний интерфейс

а причёт тут icmp? У него просто пинг идёт, а вот сайты не открываются

У меня аналогично было с l2tp/ipsec - все сайты открываются, а рутрекер - нет. При этом всё пингуется, естественно. Помогло включение tcp-mss=yes на l2tp-интерфейсе

кто-то с оптикой ростелекома в регионах через микротик дружит? или проще eltex в режиме моста и не париться?

У него не l2tp-out, но pppoe-out

Попробуйте /ip firewall mangle add action=change-mss chain=postrouting disabled=yes new-mss=clamp-to-pmtu out-interface=internet1 passthrough=yes protocol=tcp tcp-flags=syn

вроде помогло.. будем смотреть дальше. спасибо.

Доброго всем , никто на openwrt или на ещё чем не делал нажатие кнопки у йоты для активации 64к канала ?

а причёт тут icmp? У него просто пинг идёт, а вот сайты не открываются

ping - это icmp. и "ping с некоторым уменьшенным mss" - это дичь. потому что в icmp нет mss

я имел в виду вот это.

размер пакета по умолчанию у Ping небольшой, и он будет проходить по-любому. А вот если увеличить, то проблема, вызванная слишком большим mss вылезет

проблема превышения MTU

Да, я неправильно выразился. Не MSS, а packet size следует говорить для пинга

чукча не сетевик

ПОмогите со скриптом: Есть 3 переменных в одном скрипте : :local time [/sys clock get time]; :local date [/sys clock get date]; :local me [/sys identity get]; Так вот время и дата отрабатывают, а идентити нет

что не так?

наверное не get а print

с терминала работает... со скрипта нет

ПОмогите со скриптом: Есть 3 переменных в одном скрипте : :local time [/sys clock get time]; :local date [/sys clock get date]; :local me [/sys identity get]; Так вот время и дата отрабатывают, а идентити нет

:local me [/sys identity get name];

:local me [/sys identity get name];

А почему не работает так?

Попробуй обрезать начало и записать в переменную то, что после =

Подскажите как правильно настроить маршрутизацию для выделенного впн сервера?

Почему у меня по такой схеме нифига не работает, хотя кажется должно? В одном сегменте сети компьютер и 2 маршрутизатора, один из них прописан у клиента как шлюз по умолчанию, а за другим находится другая сеть. Получается что клиент обращается к серверу в другой подсети через шлюз по умолчанию, а ответ ему приходит напрямую, потому что на обратном пути другой маршрутизатор в курсе что они с клиентом в одном домене. NAT нигде нету, почему не работает-то?

А почему не работает так?

Почему не работает? Работает. Просто выводом будет не имя роутера, а "name=имя роутера" Считай, что это массив.

:local me [/sys identity get name];

да, срасибо!

Можно ли как-то обойтись без выделенной сети между роутером и впн сервером ?

я не программист просто, токо открываю для себя этот удивительный мир брутфорса :D

Причем UDP и пинги норм работают, а проблема с tcp.

кто скажет как долго проживет mSD для Dude в микротике

ERROR: S client not available

Почему у меня по такой схеме нифига не работает, хотя кажется должно? В одном сегменте сети компьютер и 2 маршрутизатора, один из них прописан у клиента как шлюз по умолчанию, а за другим находится другая сеть. Получается что клиент обращается к серверу в другой подсети через шлюз по умолчанию, а ответ ему приходит напрямую, потому что на обратном пути другой маршрутизатор в курсе что они с клиентом в одном домене. NAT нигде нету, почему не работает-то?

А у клиента есть маршрут 192.168.202.0/24 gw 192.168.201.3 ?

А у клиента есть маршрут 192.168.202.0/24 gw 192.168.201.3 ?

нету, но он же и не нужен по идее - он шлёт всё на шлюз по умолчанию, а шлюз уже дальше

если нет, то клиент свой пакет отправляет на свой GW, тот уже шлёт на сервер. А вот роутер сервера знает про сеть клинта, и обратно шлёт ему напрямую

А почему не работает так?

Всегда проверяй в консоли

на верхнем роутере тоже нету NAT?

если нет, то клиент свой пакет отправляет на свой GW, тот уже шлёт на сервер. А вот роутер сервера знает про сеть клинта, и обратно шлёт ему напрямую

ну да, так и есть, но NAT нету нигде - ему ответ приходит с нужных IP

на верхнем роутере тоже нету NAT?

там нат только наружу в инетрнет, это соединение не натится

Почему у меня по такой схеме нифига не работает, хотя кажется должно? В одном сегменте сети компьютер и 2 маршрутизатора, один из них прописан у клиента как шлюз по умолчанию, а за другим находится другая сеть. Получается что клиент обращается к серверу в другой подсети через шлюз по умолчанию, а ответ ему приходит напрямую, потому что на обратном пути другой маршрутизатор в курсе что они с клиентом в одном домене. NAT нигде нету, почему не работает-то?

чота не понимаю в чем проблема.. в том что обратно трасса идет по другому маршруту?

Сложные пароли :)

ну да, так и есть, но NAT нету нигде - ему ответ приходит с нужных IP

Раз НАТ нет на верхнем роутере, в заголовках пакета так и остается сурсом 201.1, сервер туда и отвечает.

Блокировать ip после нескольких неудачных попыток

Хах, знакомые адресочки)

ЫЫ

https://github.com/teckerpro/MikroTik-pptpBan

клиенты втои все с какой страны ?

Сложные пароли :)

Пароли сложные , кроме паролей .. как отбивается

?

клиенты втои все с какой страны ?

Россия , но могут и свои ломать

https://github.com/teckerpro/MikroTik-pptpBan

Только с этим нельзя ошибаться в пароле. Попозже поправлю

https://wiki.vt100.ru/doku.php?id=mikrotik_anti_ddos

но тоже есть нюанс: почему-то при активном лазании по пикабу и ржд, они попадают в блок))

user tech

твои логины ?

Это стандарный юзернейм?

Россия , но могут и свои ломать

/tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU /import file-name=RU

твои логины ?

Да, который мог быть в коде на гитхабе

я 5.188.0.0/16 целиком в бан отправил

Россия , но могут и свои ломать

далее данный лиск в акцепт на PPPtP

Раз НАТ нет на верхнем роутере, в заголовках пакета так и остается сурсом 201.1, сервер туда и отвечает.

да, туда и отвечает, в чем проблема-то? клиент на 202.2 обратился с сурсом 201.1, получил ответ с сорс 202.2 и дст 201.1 ната же нету нигде