Нельзя

эх

хм ниче не нажимал а autosupout.rif создался это к чему

Можно поизучать содержимое. Возможно, оно поможет понять причину.

доброй ночи, скажите, можно ли сделать микротик контроллером unifi ap точек доступа, и если можно подкиньте ссылочку, пожалуйста

Можно

Живые есть

С hairpin кто сталкивался

Поднимаешь виртуалку на metarouter и ставишь

Можно

есть мб мануал какой?

есть мб мануал какой?

Это типа чтобы не покупать мини ПК для контроллера ?)

Это типа чтобы не покупать мини ПК для контроллера ?)

микрот есть , а компьютер только изза контроллера стоит, хочется убрать

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=80 action=dst-nat to-address=192.168.0.30 to-port=80 /ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.0.30 protocol=tcp dst-port=80 out-interface=local action=masquerade

два правила для hairpin

и фактически не работает

может ко подскажет?

ау ребят

два правила для hairpin

Што это

типо что б сайт внутри открывался

микрот есть , а компьютер только изза контроллера стоит, хочется убрать

Возможно я наебал

в локалке когда проброшены порты

на внутренний вебсайт

хотя откуда ты можешь знать

если не знаешь такое понятие

по идее в инете много статей про hairpin но я когда то хотел видеорегистратор прокинуть и что-то у меня не выоодило, но потом задача пропала

надо будет как то на тестовом стенде разобраться

Вот и у мегя не получается

Через днс все норм

слуш, ну я завтра вечером могу что то такое собрать , сейчас спать пойду, если не решишь, пиши , можно подумать

хотя откуда ты можешь знать

По твоим правилам судя , это обычный проброс портов

Faststack оказывается редкостное дерьмище

файрвол работать перестает ? ?

Faststack оказывается редкостное дерьмище

воу воу палехче

Faststack оказывается редкостное дерьмище

я так и не понял что это, не пользуюсь. ничего хорошего и плохого сказать не могу)

хорошо помогает на слабых процах и больших скоростях, но есть нюансы :)

хорошо помогает на слабых процах и больших скоростях, но есть нюансы :)

видать повезло мне, ни того ни другого нема)))

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=80 action=dst-nat to-address=192.168.0.30 to-port=80 /ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.0.30 protocol=tcp dst-port=80 out-interface=local action=masquerade

Счётчики срабатывают на двух правилах? Они выше стандартных правил? Попробуй перейти на ИП сети вместо addres type=local

Счётчики срабатывают на двух правилах? Они выше стандартных правил? Попробуй перейти на ИП сети вместо addres type=local

Да вроде пробовал, счетчики не срабатывают

Правила в нате первые

Да вроде пробовал, счетчики не срабатывают

Нужно смотреть почему счётчики не срабатывают. В условиях что-то лишнее

Да вроде пробовал, счетчики не срабатывают

Если хочешь - часа через два можно будет подключиться и посмотреть

/ip firewall nat add chain=dstnat dst-address-type=local protocol=tcp dst-port=80 action=dst-nat to-address=192.168.0.30 to-port=80 /ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.0.30 protocol=tcp dst-port=80 out-interface=local action=masquerade

первое правило: при обращении извне и изнутри на свой публичный адрес, получаем подмену dst-address add action=dst-nat chain=dstnat comment=nextcloud dst-address=84.39.246.60 dst-port=80,443,20,21 protocol=tcp to-addresses=192.168.42.164 Второе: после такой подмены, ещё и src-address подменяется (на адрес роутера), если он из локальной сети был, и веб-сервер отвечает роутеру. add action=masquerade chain=srcnat comment="hairpin NAT for web services" dst-address=192.168.42.164 dst-port=80,443,21,31000-31100 out-interface=br1 protocol=tcp src-address=192.168.42.0/24

первое правило: при обращении извне и изнутри на свой публичный адрес, получаем подмену dst-address add action=dst-nat chain=dstnat comment=nextcloud dst-address=84.39.246.60 dst-port=80,443,20,21 protocol=tcp to-addresses=192.168.42.164 Второе: после такой подмены, ещё и src-address подменяется (на адрес роутера), если он из локальной сети был, и веб-сервер отвечает роутеру. add action=masquerade chain=srcnat comment="hairpin NAT for web services" dst-address=192.168.42.164 dst-port=80,443,21,31000-31100 out-interface=br1 protocol=tcp src-address=192.168.42.0/24

Вроде все так

нет, не так

в dstnat цепочке укажи свой публичный адрес, а не вот это вот dst-address-type=local

Вообще, первой правило - это просто проброс для доступа снаружи

покажите текущие правила

оно работает в цепочке PREROUTING, а второе, работающее в POSTROUTING видит, что dst-address - это адрес веб-сервера, но при этом и src-address - это локальный, поэтому надо сделать марскарад. И делает

На вики микротика же всё написано про hairpin nat

там-то всего нужно 2 правила

Не нужно там порты прописывать. При обращении на внешний адрес из локальной меняем дст на внутренний. Для пакетов с внешнего адреса в локалку меняем срц-адрес на внутренний микротика

Короче ничего не заоаботало

Остановились на днс

В статику

Слабак )))

))

Да какая разница

Так даже меньше нагрузка на микрот

О да, он прям расслабился с этого

:)

Люди веб-сервер поднимают в метароутере, чтоб он не расслаблялся

Ну нп 952 я не уверен что стоит сервер поднимать

с 64RAM-то да....

Ну а каком вебсервере тогда говорить

Смотрел, правила идентичны с 951, который я настраивал сегодня, отличия только в ip маршрутах для pptp и статике

Proxy-arp на бридже включен? (Если ещё не разобрался)

Или это не тот случай....

Proxy-arp на бридже включен? (Если ещё не разобрался)

включен конечно, самое интересное, сейчас пробовал поднять до другого маршрутизатора, тунель заработал, обе подсетки доступны, а до центрального он вроде работает, но только в одну сторону(центр не пингует филиал с компа, но на шлюзе всё пингуется)

маршруты правильные

а у тебя там случаем ipsec не включен? а настроен то правильно ?!

ау ребят

первое правило-дст-нат:дст адрес-внешний адрес микротик,дст-порт,порт на внешнем интерфейсе,аналогичный внутреннему,если не занят,может быть любой,протокол-тср,экшн дст-нат на внутренний адрес-порт...второе правило сурс-нат:сурс адрес-адрес внутренней сети,дст-адрес-внутренний адрес хоста,протокол-тср,экшн-маскарад...у меня так почтовик работал очень долгое время

:)

Народ, а на тике можно настроить DNS over TLS?

Нельзя

в ROS 7 можно будет )

т.е. никогда

вроде писали что на рутованном можно но современные прошивки не рутятся вроде

Приветствую. Если у кого-то купон на Тренинг MikroTik MTCNA в Москве, на скидку, или может что подскажет где взять?

Или промокод

Добрый день. Хотим настроить Mikrotik в связке с SELKS и отзеркалить WAN-порт. Проблема в том, что CCR1036-12G-4S не может в зеркалирование. Слышал все таки можно организовать зеркалирование на нем при помощи sniffer tool/streaming server. Кто нибудь делал такое, или мануал подскажите)

в ROS 7 можно будет )

рос7 это что-то типа снежного человека? все слышали, но никто не видел? )))

Добрый день. Хотим настроить Mikrotik в связке с SELKS и отзеркалить WAN-порт. Проблема в том, что CCR1036-12G-4S не может в зеркалирование. Слышал все таки можно организовать зеркалирование на нем при помощи sniffer tool/streaming server. Кто нибудь делал такое, или мануал подскажите)

Тебе поиграться или для СОРМ?

Тебе поиграться или для СОРМ?

Для себя настроить хотим

Для себя настроить хотим

https://wiki.mikrotik.com/wiki/Manual:Tools/Packet_Sniffer

Тебя интересует streaming-server

я так и не понял что это, не пользуюсь. ничего хорошего и плохого сказать не могу)

https://forum.ru-board.com/topic.cgi?forum=8&topic=70009&start=180#4 вот у меня была проблемка

Камрады, а что такое allow-dual-stack-queue в лизах? а то через гуй дефолт-офф, через кли дефолт-он. я себе путаницы наделал, теперь хз включать везде или выключать.

ну то есть я читал что оно делает и что оно для того, чтобы ипв4 и ипв6 дружили, но при отсутствии ипв6 лучше отключать, или пофиг, вальсируем?

рос7 это что-то типа снежного человека? все слышали, но никто не видел? )))

Half life 3