Нигде

Можно посмотреть на сайте реселера https://telecom-sales.ru/kommutatoryi/?property=517%3A+System+software%3A+SwOS

а вот нубский вопрос Если на микротике 6 подсетей, то как им запретить друг в друга ходить? В fw сделать 15 пар записей? Это аж 30 записей будет! А если подсетей 10, то вообще 90 записей нужно будет! Или можно на каждую сеть одну запись сделать типа /ip firewall filter add chain=forward action=drop connection-state=new src-address=!192.168.1.0/24 dst-address=192.168.1.0/24 ?

а вот нубский вопрос Если на микротике 6 подсетей, то как им запретить друг в друга ходить? В fw сделать 15 пар записей? Это аж 30 записей будет! А если подсетей 10, то вообще 90 записей нужно будет! Или можно на каждую сеть одну запись сделать типа /ip firewall filter add chain=forward action=drop connection-state=new src-address=!192.168.1.0/24 dst-address=192.168.1.0/24 ?

ip -> routes -> rules

ip -> routes -> rules

там тоже придётся попарно делать, то есть на n подсетей нужно будет n*(n-1) записей.

там тоже придётся попарно делать, то есть на n подсетей нужно будет n*(n-1) записей.

нет

если у вас запрещен ход с сети1 в сеть2

то при попытке пойти в сеть1 с сети2, вы получите конекшн тайм-аут

ибо ответить сеть1 не сможет

а при попытке пойти с сети1 в сеть2 — дестенейшн анричбл

И, кстати, я сначала там в /ip routes и делал, когда у меня было 2 подсети, а потом меня зафукали, сказали, что только fw, только хардкор!

И, кстати, я сначала там в /ip routes и делал, когда у меня было 2 подсети, а потом меня зафукали, сказали, что только fw, только хардкор!

Зачем изобретать велосипед и тратить ресурсы фаервола там, где можно обойтись маршрутами? Я хз, мб это и не правильно)) Но доступ ограничивает? ограничивает. Потому не вижу в этом какой-то постыдности

Зачем изобретать велосипед и тратить ресурсы фаервола там, где можно обойтись маршрутами? Я хз, мб это и не правильно)) Но доступ ограничивает? ограничивает. Потому не вижу в этом какой-то постыдности

Я уже участвовал в этом разговоре, только был на другой стороне! ?

Зачем изобретать велосипед и тратить ресурсы фаервола там, где можно обойтись маршрутами? Я хз, мб это и не правильно)) Но доступ ограничивает? ограничивает. Потому не вижу в этом какой-то постыдности

У ФВ есть одно преимущество. С его помощью можно отдельные IP всё-таки пропускать в другую подсеть

А вот второй нубский вопрос, гораздо более обширный. Если подсети в отдельных VLAN, каждый в своём, то надо этим подсетям на микротике блокировать доступ друг в друга, или он уже по умолчанию будет заблокирован?

Не надо, если в разных вланах)

А вот второй нубский вопрос, гораздо более обширный. Если подсети в отдельных VLAN, каждый в своём, то надо этим подсетям на микротике блокировать доступ друг в друга, или он уже по умолчанию будет заблокирован?

По умолчанию разрешен

Не надо, если в разных вланах)

Наоборот, надо

Два разных ответа!

Речь про inter vlan routing? Разрешено, если не запрещено

Наоборот, надо

Хм

Думаю, тут дело в реализации VLAN в микротике. Вот новое добавили через Bridge VLAN Filtering - оно как работает, с разрешением или уже с запретом будет?

С запретом

Я этот Bridge VLAN Filtering неделю уже курю, но пока только кашляю! ?

Добрый день,скажите,а есть ли разница,в контексте микротика,между-создаю бриджи,в каждый добавляю по порту эзернет и навешиваю свою подсеть и то же самое с виланами?

Я этот Bridge VLAN Filtering неделю уже курю, но пока только кашляю! ?

В вики есть норм, но да с нуля там практическую часть тяжко вкурить

С запретом

Надо просто провести эксперимент! Щя этим и займусь!

Сам делал буквально пару недель назад

Добрый день,скажите,а есть ли разница,в контексте микротика,между-создаю бриджи,в каждый добавляю по порту эзернет и навешиваю свою подсеть и то же самое с виланами?

имо разницы нет, с поднятыми на физпортах vlan микротик работает так же как и с самими физпортами. А так в вопросе мало контекста, про какую именно разницу речь?

имо разницы нет, с поднятыми на физпортах vlan микротик работает так же как и с самими физпортами. А так в вопросе мало контекста, про какую именно разницу речь?

спасибо,именно об этой разнице я и спрашивал

А id обычно выставляют по адресам loopback )

а смысл выставлять руками, если автоматика делает ровно то же самое, если не указать id?

не знаю ответа на это

откуда-то у меня в голове было что routerid ospf я задаю по адресу loopback

откуда-то у меня в голове было что routerid ospf я задаю по адресу loopback

ну разве что пачка лупбеков есть и надо конкретный, а не тот, который автоматом будет выбран

откуда-то у меня в голове было что routerid ospf я задаю по адресу loopback

Это в Циске, рекомендации такие

а вот нубский вопрос Если на микротике 6 подсетей, то как им запретить друг в друга ходить? В fw сделать 15 пар записей? Это аж 30 записей будет! А если подсетей 10, то вообще 90 записей нужно будет! Или можно на каждую сеть одну запись сделать типа /ip firewall filter add chain=forward action=drop connection-state=new src-address=!192.168.1.0/24 dst-address=192.168.1.0/24 ?

нубский ответ - а почему не запретить все и и не разрешить потом что надо?

причем разрешить с помощью адрес листов можно очень экономно по количеству правил

Народ вопрос, а реально ли пробросить mac-telnet на другой микрот?

а смысл выставлять руками, если автоматика делает ровно то же самое, если не указать id?

а есил автоматика потом сделает какую то хуету при изменении конфига?)

Народ вопрос, а реально ли пробросить mac-telnet на другой микрот?

romon?

romon?

пошел читать)

пошел читать)

но это через тики

Есть кто с зараженными тиками сталкивался?

Есть кто с зараженными тиками сталкивался?

https://t.me/router_os вот тут точно сталкивались

https://t.me/router_os вот тут точно сталкивались

Okay, thnx

бля реклама в духе твоя мама умрет через два дня если не зарепостишь это сообщение

Ну, чувак видно вместо школы учился мемчики смотреть

Добрый день всем!

Тут можно постить вопросы по микротикам и есть шанс получить разверунтый ответ?:)

Тут можно постить вопросы по микротикам и есть шанс получить разверунтый ответ?:)

Если вопрос грамотный, то можно

а вот нубский вопрос Если на микротике 6 подсетей, то как им запретить друг в друга ходить? В fw сделать 15 пар записей? Это аж 30 записей будет! А если подсетей 10, то вообще 90 записей нужно будет! Или можно на каждую сеть одну запись сделать типа /ip firewall filter add chain=forward action=drop connection-state=new src-address=!192.168.1.0/24 dst-address=192.168.1.0/24 ?

кстати если подумать то проще всего одной записью в фв - добавить все эти сетки в адресс лист и запретить ходить из адресс листа в адресс лист этот

Есть кто с зараженными тиками сталкивался?

тут периодически по ночам страдальцы появляються с просьбой вылечить их железки

Есть два внешних канала и у обоих каналов - динамические адреса и шлюзы. То есть я рассматриваю самый плохой вариант. Общее пожелание: я хочу детектить падение канала не только когда он является активным, но и когда он не активен, то есть является запасным, чтобы во время узнать о падении запасного канала и исправить это падение. Задача: при падении одного канала - слать месседж в телегу через другой канал. Сама отправка месседжа - понятно как делается скриптом или из Netwatch. Критерий падения канала - отсутствие пинга на какой-то один узел в интернете, допустим, 8.8.8.8. Но! Нужно чтобы этот узел был одним и тем же для обоих внешних каналов. Я понимаю, что проверка связи с узлом делается через Netwatch, как вариант. Но! я не понимаю как обеспечить пинг через нужный канал при условии, что один адрес должен пинговаться с двух каналов. Знаю о наличии маршрутов типа blackhole, понимаю, что наличие такого маршрута поможет перестроить маршрутизаию при использование Netwatch. Дальше - тупик. Мало знаний.

тут периодически по ночам страдальцы появляються с просьбой вылечить их железки

пусть шапку читают здесь https://t.me/router_os

Если вопрос грамотный, то можно

Вопрос грамотный?:)

Есть два внешних канала и у обоих каналов - динамические адреса и шлюзы. То есть я рассматриваю самый плохой вариант. Общее пожелание: я хочу детектить падение канала не только когда он является активным, но и когда он не активен, то есть является запасным, чтобы во время узнать о падении запасного канала и исправить это падение. Задача: при падении одного канала - слать месседж в телегу через другой канал. Сама отправка месседжа - понятно как делается скриптом или из Netwatch. Критерий падения канала - отсутствие пинга на какой-то один узел в интернете, допустим, 8.8.8.8. Но! Нужно чтобы этот узел был одним и тем же для обоих внешних каналов. Я понимаю, что проверка связи с узлом делается через Netwatch, как вариант. Но! я не понимаю как обеспечить пинг через нужный канал при условии, что один адрес должен пинговаться с двух каналов. Знаю о наличии маршрутов типа blackhole, понимаю, что наличие такого маршрута поможет перестроить маршрутизаию при использование Netwatch. Дальше - тупик. Мало знаний.

может два виртуальных роутера на каждый канал, а затем на основном через каждого из них пытаться отправить?

тем самым ты решишь вопрос динамических адресов

(прикрутив к виртуальным интерфейсы со статикой в сторону к основному)

Есть два внешних канала и у обоих каналов - динамические адреса и шлюзы. То есть я рассматриваю самый плохой вариант. Общее пожелание: я хочу детектить падение канала не только когда он является активным, но и когда он не активен, то есть является запасным, чтобы во время узнать о падении запасного канала и исправить это падение. Задача: при падении одного канала - слать месседж в телегу через другой канал. Сама отправка месседжа - понятно как делается скриптом или из Netwatch. Критерий падения канала - отсутствие пинга на какой-то один узел в интернете, допустим, 8.8.8.8. Но! Нужно чтобы этот узел был одним и тем же для обоих внешних каналов. Я понимаю, что проверка связи с узлом делается через Netwatch, как вариант. Но! я не понимаю как обеспечить пинг через нужный канал при условии, что один адрес должен пинговаться с двух каналов. Знаю о наличии маршрутов типа blackhole, понимаю, что наличие такого маршрута поможет перестроить маршрутизаию при использование Netwatch. Дальше - тупик. Мало знаний.

Рекурсивные маршруты с указанием scope и target scope

получиться что у тебя 2 возможных маршрута через известные IP

тут периодически по ночам страдальцы появляються с просьбой вылечить их железки

Мне не страдальцы нужны, а сталкивавшиеся с бедою люди. Интересует как глючит на них firewall

Рекурсивные маршруты с указанием scope и target scope

где почитать про это можно?

а в лог пишется если падает рекурсивный маршрут... интересно

Рекурсивные маршруты с указанием scope и target scope

Можно подробней?

Есть два внешних канала и у обоих каналов - динамические адреса и шлюзы. То есть я рассматриваю самый плохой вариант. Общее пожелание: я хочу детектить падение канала не только когда он является активным, но и когда он не активен, то есть является запасным, чтобы во время узнать о падении запасного канала и исправить это падение. Задача: при падении одного канала - слать месседж в телегу через другой канал. Сама отправка месседжа - понятно как делается скриптом или из Netwatch. Критерий падения канала - отсутствие пинга на какой-то один узел в интернете, допустим, 8.8.8.8. Но! Нужно чтобы этот узел был одним и тем же для обоих внешних каналов. Я понимаю, что проверка связи с узлом делается через Netwatch, как вариант. Но! я не понимаю как обеспечить пинг через нужный канал при условии, что один адрес должен пинговаться с двух каналов. Знаю о наличии маршрутов типа blackhole, понимаю, что наличие такого маршрута поможет перестроить маршрутизаию при использование Netwatch. Дальше - тупик. Мало знаний.

ты можешь пинговать через другую таблитцу роутинга. если не нужен флудпинг - дополнительно ничего городить не надо, скрипт простой можно набросать

Привет! Настраиваю гсотевую вайфай по этому мануалу http://mikrotik.vetriks.ru/wiki/Wi-Fi:%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B3%D0%BE%D1%81%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D0%B1%D0%B5%D1%81%D0%BF%D1%80%D0%BE%D0%B2%D0%BE%D0%B4%D0%BD%D0%BE%D0%B9_%D1%81%D0%B5%D1%82%D0%B8_Wi-Fi Но при создании nat правила мне ui выдает in/out-interface matcher not possible when interface (wlan1) is slave - use master instead (bridge)

В чем может быть проблема?

В чем может быть проблема?

а как перевести то что говорит что у нее есть бридж вот его и используйте а сам wlan1 - является вторичным по отношению к бриджу

А почему в моем случае так? Вроде я не кастомизировал никак настройки микротика

Привет! Настраиваю гсотевую вайфай по этому мануалу http://mikrotik.vetriks.ru/wiki/Wi-Fi:%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B3%D0%BE%D1%81%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D0%B1%D0%B5%D1%81%D0%BF%D1%80%D0%BE%D0%B2%D0%BE%D0%B4%D0%BD%D0%BE%D0%B9_%D1%81%D0%B5%D1%82%D0%B8_Wi-Fi Но при создании nat правила мне ui выдает in/out-interface matcher not possible when interface (wlan1) is slave - use master instead (bridge)

У тебя wlan указан как порт bridge /bridge port - тут смотреть

где почитать про это можно?

https://wiki.mikrotik.com/wiki/Manual:Using_scope_and_target-scope_attributes

https://wiki.mikrotik.com/wiki/Manual:Using_scope_and_target-scope_attributes

спасибо

а как перевести то что говорит что у нее есть бридж вот его и используйте а сам wlan1 - является вторичным по отношению к бриджу

Очень интересный мануал, может быть там имелось ввиду "wan1" а не "wlan1"? Сильно вряд ли, что там нужно натить трафик, который идет в wifi, который при этом в бридже

Очень интересный мануал, может быть там имелось ввиду "wan1" а не "wlan1"? Сильно вряд ли, что там нужно натить трафик, который идет в wifi, который при этом в бридже

надо начинать читать отсюда http://mikrotik.vetriks.ru/wiki/Wi-Fi:%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B1%D0%B5%D1%81%D0%BF%D1%80%D0%BE%D0%B2%D0%BE%D0%B4%D0%BD%D0%BE%D0%B9_%D1%81%D0%B5%D1%82%D0%B8_Wi-Fi

А почему в моем случае так? Вроде я не кастомизировал никак настройки микротика

см здеь это 1 часть а у тебя 2 часть http://mikrotik.vetriks.ru/wiki/Wi-Fi:%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0_%D0%B1%D0%B5%D1%81%D0%BF%D1%80%D0%BE%D0%B2%D0%BE%D0%B4%D0%BD%D0%BE%D0%B9_%D1%81%D0%B5%D1%82%D0%B8_Wi-Fi

Спасибо!

Только зачем делать бридж, если и так все работает?

Очень интересный мануал, может быть там имелось ввиду "wan1" а не "wlan1"? Сильно вряд ли, что там нужно натить трафик, который идет в wifi, который при этом в бридже

обязательно надо натить гостевую сеть.

Только зачем делать бридж, если и так все работает?

на бридже у вас ипи локальной сети

обязательно надо натить гостевую сеть.

Конечно, только куда ее надо натить?

Только зачем делать бридж, если и так все работает?

ну и к этому бриду вообще то надо в портаз добавить езернет 3,4,5 ну для примера

Конечно, только куда ее надо натить?

в инет

да там ошибка конечно ван1

Только зачем делать бридж, если и так все работает?

там ошибка надо натить в ван1

в инет

Логично, а накой черт тогда выходным интерфейсом в этом мануале указан wlan1, а не интерфейс провайдера?

там ошибка надо натить в ван1

А если у меня wpn?

vpn

ок

Ребят, а у hAP ac2 на внутреннем uart есть консоль?

Или хотя бы он может вывести консоль на внешний USB-TTL переходник?

Ребят, а у hAP ac2 на внутреннем uart есть консоль?

На форуме писали что он программно отключен, и способ заставить его работать есть только у разработчиков, не в паблике

Абидна

Есть ли смысл в закрытии 25го порта, если нету почтового сервера?