Если у тебя на МТ поднят DNS-сервер проверь что-б он висел на IP-адресе, назначенном на интерфейс vlan176-2

Ты не путаешь DHCP?

И в каком месте прописан? в DHCP ? или в DNS?

да примерно много в интернете есть, а как реально там накручено

Там Passive POE, т.е. пиание по неиспользуемым парам (для 100М, гигабит по другому), можно тестером потыкать акуратно

В DHCP Network прописан в качестве DNS локальный айпи микрота как обычно

И в каком месте прописан? в DHCP ? или в DNS?

/ip dns print servers: 1.1.1.1,8.8.8.8,5.3.3.3 dynamic-servers: allow-remote-requests: yes max-udp-packet-size: 4096 query-server-timeout: 2s query-total-timeout: 10s max-concurrent-queries: 100 max-concurrent-tcp-sessions: 20 cache-size: 2048KiB cache-max-ttl: 1w cache-used: 202KiB

Да, пока всё правильно

Там Passive POE, т.е. пиание по неиспользуемым парам (для 100М, гигабит по другому), можно тестером потыкать акуратно

ну а в гигабитном пое у микротика

Интерфейс vlan176-2 это что? аплинк?

Если у тебя на МТ поднят DNS-сервер проверь что-б он висел на IP-адресе, назначенном на интерфейс vlan176-2

я спрашиваю к тому что в конфиге по дефолту нет таких правил персонально для 53 UDP для DNS запросов....

А у меня без них перестает все работать..

Интерфейс vlan176-2 это что? аплинк?

влан аплинка естественно.

влан аплинка естественно.

Окей. Делай: chain=input action=accept protocol=udp in-interface=$localbridge src-port=53 log=no

Только $localbridge поменяй на имя бриджа/интерфейса, смотрящего в локальную сеть

у меня их штук 7 по колву вланов

ну а в гигабитном пое у микротика

2 или 4 трансформатора с отводом от средней точки в инжекторе

Окей. Делай: chain=input action=accept protocol=udp in-interface=$localbridge src-port=53 log=no

У меня и в нынешней конфе все работает...

меня интересует почему в дефолтной не так и все работает7

В дефолтной это в какой?

Дефолтный МТ - пустой МТ =D

имеется ввиду сгенерированный дефолтный конфиг

Ну, очевидно что он блокирует инпут на WAN кроме established,related. А для LAN там все разрешено

Дефолтный МТ - пустой МТ =D

Нет. Дефолтный МТ = МТ с defconf

Нет. Дефолтный МТ = МТ с defconf

Это у наркоманов. Приличные люди настраивают оборудование с нуля

Это у наркоманов. Приличные люди настраивают оборудование с нуля

Это у Mikrotikls.

Это у Mikrotikls.

Простите, не понял Вас

Простите, не понял Вас

"если нужно объяснять - то не нужно объяснять".

"если нужно объяснять - то не нужно объяснять".

Okay

Это у наркоманов. Приличные люди настраивают оборудование с нуля

Зачем? Defconf весьма адекватный, если не совсем экзотика нужна.

Зачем? Defconf весьма адекватный, если не совсем экзотика нужна.

Ну, это кагбэ религиозный вопрос

Ну, это кагбэ религиозный вопрос

Да вряд ли. Вопрос общей адекватности человека. Ну ещё есть те, кому не хватает секса.

Да вряд ли. Вопрос общей адекватности человека. Ну ещё есть те, кому не хватает секса.

Есть те, кто генерит конфиги, тестит и заливает их автоматом в самых безумных вариациях. Таким людям адекватные дефолтные конфиги на йух не фусрались

Есть те, кто генерит конфиги, тестит и заливает их автоматом в самых безумных вариациях. Таким людям адекватные дефолтные конфиги на йух не фусрались

Не повод назвать всех остальных наркоманами

Я на мелких Микротиках отказываюсь от дефолт конфы и делаю с нуля. Потому что работы столько же как и при изменении дефолтной на нужную

Не повод назвать всех остальных наркоманами

Таки ещё какой повод. Ты либо вливаешь заранее проверенный конфиг(хоть из СУК, хоть из блокнота) и уверен что с новым релизом нихуя не поменялось

Я на мелких Микротиках отказываюсь от дефолт конфы и делаю с нуля. Потому что работы столько же как и при изменении дефолтной на нужную

А потом начинают жаловаться что взломали

А потом начинают жаловаться что взломали

А в дефолтной конфе есть защита от взлома? Надо же, не знал!

Таки ещё какой повод. Ты либо вливаешь заранее проверенный конфиг(хоть из СУК, хоть из блокнота) и уверен что с новым релизом нихуя не поменялось

При чем тут релизы?

А то потом начинается - в одной версии ОС мы блочим untracked, в другой - не блочим и т.д.

А в дефолтной конфе есть защита от взлома? Надо же, не знал!

Дефолтный файрвол неплохой

Дефолтный файрвол неплохой

Пустой который?

А то потом начинается - в одной версии ОС мы блочим untracked, в другой - не блочим и т.д.

При обновлении не меняется конфиг, если не сбрасывать. Так что мимо

Пустой который?

Который defconf.

При обновлении не меняется конфиг, если не сбрасывать. Так что мимо

Так я не про обновление, а про деплой конфига на новую версию софта. В одной версии ROS у тебя при defconf акцептится estab,related,untracked на WAN, в другой - то-же самое без untracked

Ну и нахуя это когда можно влить заранее проверенный и оттестированный конфиг?

Так я не про обновление, а про деплой конфига на новую версию софта. В одной версии ROS у тебя при defconf акцептится estab,related,untracked на WAN, в другой - то-же самое без untracked

Што? Если вы льете свой конфиг, при чем тут дефолт???

Што? Если вы льете свой конфиг, при чем тут дефолт???

А при том, что это надёжнее defconf

Поведение defconf может поменяться от версии к версии ROS, со своим конфигом такое не прокатит

Если у вас уже есть свой конфиг для роутера, о чем вообще этот разговор. Речь шла о первоначальной настройке.

Текущая версия defconf вполне адекватна для soho применений

Текущая версия defconf вполне адекватна для soho применений

Ну, хомякам норм, спору нет. Нахуа он нормальным админам?

Корона не жмет?

Который defconf.

Он точно там ( в /ip firewall filter) есть? Нсяп там при дефконфе пусто.

Корона не жмет?

Дык пропили-ж ещё в 2009-м

Он точно там ( в /ip firewall filter) есть? Нсяп там при дефконфе пусто.

Кто он? Дефолтный фильтр фильтрует все что не established related

Кто он? Дефолтный фильтр фильтрует все что не established related

Может человек галочку настройки фуриволла не нажал? Потому и нет правил...

Ну, хомякам норм, спору нет. Нахуа он нормальным админам?

Нормальные админы рулят цисками и джуниперами. Спускайтесь с олимпа

Нормальные админы рулят цисками и джуниперами. Спускайтесь с олимпа

Мне ещё SE120 зашёл, хотя многим не нравится

Народ, какой роутер посоветуете для 45vlan в которых внутри /24 из которых всегда активны 10-15 хостов, 4vlan для транспорта в котором трафик 1гбитсек всегда почти, и для 60L2TP ipsec в которых тоже внутри /24 и 10-15 активных хостов?

А на счёт деление на "нормально/не нормально" по вендорам это как-то странно)

Может человек галочку настройки фуриволла не нажал? Потому и нет правил...

Галочки там точно нет, скорее я запамятовал, мне вот казалось, что в списке пусто и первое правило как раз я всегда сам добавлял

Первый запуск я вижу вот так

А на счёт деление на "нормально/не нормально" по вендорам это как-то странно)

Не более странно, чем отрицание полезности defconf и упоминание наркомании ?

У Вас старый ROS, обновитесь

Первый запуск я вижу вот так

Ну там и написано, wan protected

У Вас старый ROS, обновитесь

Это не мой, это первая попавшаяся фотка из Инета

А, тогда ок)

Ну там и написано, wan protected

Это я уже увидел, удивился

Начиная с 6.42.2 поменялся конфигуратор

Начиная с 6.42.2 поменялся конфигуратор

Ну у меня в коробках 951 новые лежат явно с меньшей версией

Не более странно, чем отрицание полезности defconf и упоминание наркомании ?

Я таки не понимаю зачем настраивать что-то руками или автоконфигуратором когда можно сделать своё, да ещё и с тестами

Ну у меня в коробках 951 новые лежат явно с меньшей версией

Потому когда их подключаешь первый раз, то там вот такое как на скрине

Можно, но зачем? Если дефолт подходит для ситуации.

Я таки не понимаю зачем настраивать что-то руками или автоконфигуратором когда можно сделать своё, да ещё и с тестами

Время на создание инструмента автоматизации решения не должно превышать времени решения "вручную"

Можно, но зачем? Если дефолт подходит для ситуации.

После дефолта ещё FastPath вкручивать. И вафель тюнить. И в iBGP с туннелями..

После дефолта ещё FastPath вкручивать. И вафель тюнить. И в iBGP с туннелями..

Он там вручён

Он там вручён

Таки не соглашусь. на 6.43.2 FP defconf'ом не настраивается

Время на создание инструмента автоматизации решения не должно превышать времени решения "вручную"

Ну, это хорошее утверждение для бизнеса и днищевое для профессионала

Можно, но зачем? Если дефолт подходит для ситуации.

У нас на работе с таким девизом монтажники видеонаблюдение делают. А мы потом мучаемся, потому что все регистраторы с адресом 192.168.1.1, а все камеры в диапазоне 1.2 -1.31 Приходится ездить и перестраивать.

Ну, это хорошее утверждение для бизнеса и днищевое для профессионала

Обоснуете?

Ну, это хорошее утверждение для бизнеса и днищевое для профессионала

Что хорошо для бизнеса, хорошо и для профессионала. Если автоматизация не обещает заметного прироста производительности (например роутеров 3 штуки), тратить на нее время это прямые убытки

Время на создание инструмента автоматизации решения не должно превышать времени решения "вручную"

Вручную - сколько раз решается?

Ну, мир кагбэ идёт к SDN/ПКС, управление такими сетями на 70% автоматизированное. Настраивать железки лапками кагбэ не удобно при большом масштабе или при необходимости шаблонизации конфигураций

Вручную - сколько раз решается?

Один. Разовая задача новая

У нас на работе с таким девизом монтажники видеонаблюдение делают. А мы потом мучаемся, потому что все регистраторы с адресом 192.168.1.1, а все камеры в диапазоне 1.2 -1.31 Приходится ездить и перестраивать.

Ключевые слова "подходит к ситуации". И то, монтажники могут в три клика на основе дефконф поменять пул

Ключевые слова "подходит к ситуации". И то, монтажники могут в три клика на основе дефконф поменять пул

Ты хорошего мнения о монтажниках видеонаблюдения!!

Ты хорошего мнения о монтажниках видеонаблюдения!!

Это за рамками дискуссии

Это за рамками дискуссии

Принято

Если они не могут поменять пул, они тем более не настроят с нуля. Нужно готовить заранее, если типовая работа скорее всего уже есть готовые конфиги, и речь вообще не об этом

Если они не могут поменять пул, они тем более не настроят с нуля. Нужно готовить заранее, если типовая работа скорее всего уже есть готовые конфиги, и речь вообще не об этом

Вернемся в русло дискуссии . Вот сеть, надо новый микрот поставить в соседнем здании и к нашей сети подключить. Мне гораздо проще с нуля в нём всё сделать, чем исправлять дефолтную конфу.

Дефконф это такая попытка со стороны микротика быть ближе к народу, и это надо ценить. Чтоб монтажник смог пул поменять не влезая в дебри консоли и не стреляя себе в ногу, настраивая файрволл с нуля. Товарищи с олимпа могут что угодно говорить, их право не пользоваться (для этого там кнопка удалить конфиг), но ценность его нельзя недооценивать

Вернемся в русло дискуссии . Вот сеть, надо новый микрот поставить в соседнем здании и к нашей сети подключить. Мне гораздо проще с нуля в нём всё сделать, чем исправлять дефолтную конфу.

Вкусовщина. Если типовой офис, мне проще поменять пару параметров.

Дефконф это такая попытка со стороны микротика быть ближе к народу, и это надо ценить. Чтоб монтажник смог пул поменять не влезая в дебри консоли и не стреляя себе в ногу, настраивая файрволл с нуля. Товарищи с олимпа могут что угодно говорить, их право не пользоваться (для этого там кнопка удалить конфиг), но ценность его нельзя недооценивать

В таком ракурсе согласен

Если таких задач много, делается конфиг и заливается заранее просто. Уже свой.

Вкусовщина. Если типовой офис, мне проще поменять пару параметров.

Тебе надо отключить дхцп, убрать фв, маскарад, переделать бридж, вставить vlan'ы, всунуть вифи в капсман... Не, мне с нуля проще.

Я даже и не знаю, что там вообще от дефконфа остаётся-то

Просто надо исходить из реалий, если организация не it ориентированная и не открывает постоянно новые сайты, у админа будет работа помимо автоматизации конфигурирования сетевой инфраструктуры