достоверно глянуть не могу, так как 443 порт с локалки не доступен , хотя я его открыл

443 с локалки - см. пункт 1 в моём изначальном сообщении

This page is not secure.

кинь в личку внешний адрес

443 с локалки - см. пункт 1 в моём изначальном сообщении

я уже до твоего сообщения так сделал 80 порт начал работтаь 22 тоже, а 443 не хочет.. сделал тупо аналогично

Здравствуйте, коллеги. У клиента в сети есть машинка к которой надо подключаться снаружи по определенному порту делаю проброс dst-nat'ом, открываю порт в firewall. Правило для дропа всего нового, инвалидного в инпуте в списке последнее. Включаю его - пропадает подключение к машине внутри. Раньше это работало на RRAS в 2008r2 без брандмауэра вообще.

Причём по нужному порту никаких движений не видно когда дроп включён.

Полагаю, что для захода на машину внутри не один этот порт открывать надо, но информации что конкретно открыть/пробросить - нет. За сутки набегает больше 50мб дропнутых запросов на подключение и не совсем понятно в каком направлении надо перелопачивать логи что бы с этим разобраться.

чет не спитсо :(

"не совсем понятно в каком направлении надо перелопачивать логи что бы с этим разобраться" ну дропы разбирают только в случае если например кто-то ломится на 53 порт и хочется что бы не дай Бог эта гадость не начала ломиться куда-то еще, а так то вообще пофиг кто и что там дропается, дропается да и фиг с ним

"У клиента в сети есть машинка к которой надо подключаться снаружи по определенному порту делаю проброс dst-nat'ом" отрубаем дропы, смотрим что именно дропается на дропе на нашем IP, ищем причину, устраняем) просто правило перед дропом всего, с дропом только того трафика который дропается только с нашими условиями и будет понятно в чем причина и проблема

методом исключения по частям

Полагаю, что для захода на машину внутри не один этот порт открывать надо, но информации что конкретно открыть/пробросить - нет. За сутки набегает больше 50мб дропнутых запросов на подключение и не совсем понятно в каком направлении надо перелопачивать логи что бы с этим разобраться.

а вообще если по условию нужно зайти с определенного IP то видимо просто нет разрешающего правила с этого IP по заданным параметрам) иначе бы он тупо не попал в дроп, всё что разрешено не может попасть в дроп по определению

было бы проще если бы были скрины какие что ли)

госпади ну зачем ты научил их пробрасывать порты

а вообще если по условию нужно зайти с определенного IP то видимо просто нет разрешающего правила с этого IP по заданным параметрам) иначе бы он тупо не попал в дроп, всё что разрешено не может попасть в дроп по определению

В том то и дело там подключение с множества неизвестных ip. Буду выводить логи куда-то и уже в них искать знакомые адреса, мб что-то найду.

госпади ну зачем ты научил их пробрасывать порты

А чему не научил?

В том то и дело там подключение с множества неизвестных ip. Буду выводить логи куда-то и уже в них искать знакомые адреса, мб что-то найду.

ну т.е. стоит блок для новых подключений извне и микротик должен сам догадаться что блокировать а что нет, так получается?)

В том то и дело там подключение с множества неизвестных ip. Буду выводить логи куда-то и уже в них искать знакомые адреса, мб что-то найду.

можно ограничить по региону ipcountry http://www.iwik.org/ipcountry/mikrotik/RU /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU /import file-name=RU

ну т.е. стоит блок для новых подключений извне и микротик должен сам догадаться что блокировать а что нет, так получается?)

Что не дропать указано в правилах на инпут выше правила дропа. Вот есть удаленная машина клиент, в которой два параметра: ip и порт, на микротике порт открыт, dst-nat есть - но не работает. К машине за nat вопросов нет, т.к. при заходе с известного микротику ip все норм, при отключении правила дропа - тоже. И тут три варианта: либо микротиковский брандмауэр не работает, либо не все условия выведены в правила, либо у меня руки не из плеч. Последовательно разбираюсь со всеми тремя.

можно ограничить по региону ipcountry http://www.iwik.org/ipcountry/mikrotik/RU /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/RU /import file-name=RU

Спасибо - попробую.

Что не дропать указано в правилах на инпут выше правила дропа. Вот есть удаленная машина клиент, в которой два параметра: ip и порт, на микротике порт открыт, dst-nat есть - но не работает. К машине за nat вопросов нет, т.к. при заходе с известного микротику ip все норм, при отключении правила дропа - тоже. И тут три варианта: либо микротиковский брандмауэр не работает, либо не все условия выведены в правила, либо у меня руки не из плеч. Последовательно разбираюсь со всеми тремя.

варианта два, не разрешен трафик который должен входить, либо запрещен трафик который не разрешен)))))) ну при условии, что нет проблем в нате и мапинге

отрубаем все дропы, врубаем первый дроп, смотрим, работает, ок врубаем второй, смотрим, и т.д.

далее находим правило которое дропаем вбиваем перед ним наши условия, которые относятся к нашему трафику и смотрим что там не так

варианта два, не разрешен трафик который должен входить, либо запрещен трафик который не разрешен)))))) ну при условии, что нет проблем в нате и мапинге

Вот. И задача из логов понять, что разрешать, а что не запрещать. Сама машина за nat это чёрный ящик доставшийся в наследство. И сбор логов пока не организован, а в самом микротике он крутится с бешеной скоростью: в дропе множество событий с кучей разных ip, портов.

Там вобщем на данный момент два правила. То которое разрешает входящий трафик на замапленый порт и дроп всех новых подключений снаружи. Но ясность в вопросе появилась. Спасибо - буду копать.

Под микротик кде есть?

Под микротик кде есть?

да, Winbox называется

Делал вчера настройку связки Hex PoE + Wap_AC по данной статье. https://asp24.ru/mikrotik/domashnyaya-besprovodnaya-set-na-mikrotik-primer-polnostyu-ruchnoy-nastroyki/ Проблема в том что после перевода в Bridge wap_Ac при подключении устройств по Wi-Fi DHCP получаю с 0.0.0.0/24

а не с DHCP hexа

Здарова

День добрый. На сабжах можно указать разные psk remote/local для ikev2?

Чет какой-то наплыв туристов в группе

На свет тянутся

Ага уже после 500 человек начался наплыв

А откуда все летят то?)

Наплыв когда на МУМе упоминается группа..)))

Так ща в Турции вроде. Не думаю что там упомянули

А сколько там сейчас наших, которые поехали на отдых

Раунд. :)

здесь уже народа больше чем на ntwrk, а флудят меньше)

Коллеги вопрос такой возник: достаточно странное поведение CHR Mikrotik выступающего в роли DHCP сервера для локалки с более чем 500 адресов, а именно: есть достаточное количество зарезервированных адресов, время аренды более 30 мин. Но иногда возникают проблемы с тем что зарезервированные адреса на клиенте не получают, и соответственно сеть на клиентах отваливается. Как можно такое поправить или на что в первую очередь посмотреть

"более 30 минут" - это сколько? 35-40 мин? Или неделя?

если текучки (типа конференц-зала) нет, то спокойно можно делать интервал в сутки, или неделю

30:01

500 клиентов каждые 15 минут пытаются аренду себе продлить.... ну хз надо ли такое

И всё в одном бродкаст-домене, да?

может маску рсширить и время аренды увеличить хотя бы до 12 часов? слишком часто уж

Маску мы не знаем. Вдруг там уже /8

для чего расширять-то?

ERROR: S client not available

для чего расширять-то?

если там большая текучка и надо 500 адресов и стоит там скажем \23 то ставим 22 и забываем хотя да. мы не знаем где, что и зачем

и для зарезервированных адресов можно выставлять и отдельно Lease Time что бы лишний раз не дергались

Либо у кого-то учеба идёт ?

И он рекламирует канал

Ребята ! Вновь вошедшие, подскажите, откуда вы идёте ?

Ребята ! Вновь вошедшие, подскажите, откуда вы идёте ?

жалко?

Простите, в кармане начались кнопки.

Нажались*

Delete message or Edit ?

нет вроде Москва так рано не встает что бы в 7 утра на занятия

в Екатеринбурге идет https://academy.nag.ru/program возможно там

временная зона примерна та что надо

Лол трудно ботам подобрать пустой пароль)

ага, сам на такое натыкался ;)

ос 6.42.6, как ни странно

а RS нашёл учётку

День добрый. На сабжах можно указать разные psk remote/local для ikev2?

Up.

Вопрос-офтопик: за сколько в мск можно найти админа?

Вопрос-офтопик: за сколько в мск можно найти админа?

за полчаса

Вопрос-офтопик: за сколько в мск можно найти админа?

а какая квалификация нужна?

Порядок цен интересует? Квалификация - 2-5 лет стаж, exchange 2013, Windows server 2012, Hyper-V, кластер, схд ibm V3700, поддержка рабочих мест. С коллегой дискутировали, моё мнение что в МСК дешевле 70 не найти более или менее годного...

Порядок цен интересует? Квалификация - 2-5 лет стаж, exchange 2013, Windows server 2012, Hyper-V, кластер, схд ibm V3700, поддержка рабочих мест. С коллегой дискутировали, моё мнение что в МСК дешевле 70 не найти более или менее годного...

от 60 до 85

фига вам человек-оркестр нужен