Ребят, вопрос: есть микротик, он держит входящие pptp и внутри них поднимает EoIP. Есть, соответственно, клиентские микротики. Так вот после примерно суток работы в таком режиме головной микротик подвешивается намертво. Кто-нибудь может что-то подсказать?

что за микрот?

сейчас попробую

кажется понял в чем моя ошибка

Ребят, вопрос: есть микротик, он держит входящие pptp и внутри них поднимает EoIP. Есть, соответственно, клиентские микротики. Так вот после примерно суток работы в таком режиме головной микротик подвешивается намертво. Кто-нибудь может что-то подсказать?

ну логи смотри, что тут скажешь. логи шли на отдаленный сислог сервер, что бы при ребуте они не терялись

кажется понял в чем моя ошибка

кажется я понял больше -)

Ребят, вопрос: есть микротик, он держит входящие pptp и внутри них поднимает EoIP. Есть, соответственно, клиентские микротики. Так вот после примерно суток работы в таком режиме головной микротик подвешивается намертво. Кто-нибудь может что-то подсказать?

меньше извращений, будь проще и микротик заработает -)

что за микрот?

RB951G-2HnD

Ребят, вопрос: есть микротик, он держит входящие pptp и внутри них поднимает EoIP. Есть, соответственно, клиентские микротики. Так вот после примерно суток работы в таком режиме головной микротик подвешивается намертво. Кто-нибудь может что-то подсказать?

Оно друг в друга завёрнуто и ходит по каналу, или что? А в ГРЕ всё это не пихнуть сверху?

он хочет l2 c натом впн

-)

А пппое откуда? Првоайдер что ли даёт?

Спасибо за помощь) но пока чет толку ноль =D

он хочет l2 c натом впн

я хочу раздачу dhcp и загрузку тонких клиентов по сети

У него это нормальный ник. Он с ним сто лет ходит.

а чем тебе мой ник Alpha_ceph ненравится?

я хочу раздачу dhcp и загрузку тонких клиентов по сети

сделай мплс

RB951G-2HnD

прошивка

прошивка

6.11

Можно просто Аяяй

6.11

накоти хотя бы 6,27

Да, 11 это еще очень ранний релиз 6 ветки. ошибок было много

окай. попробую. А это можно сделать безболезненно и удаленно?

да

Парни, пробросил (pub-nat) порт netmap на локальный адрес. И правила в firewall на него не действуют. видимо последовательность обработки пакетов не дает. Помогите как быть, хочу отфильтровать этот проброшенный порт

всё же покажи правила. И глянь прилепленное сообщение. там последовательность обработки. Может ты УЖЕ не верные адреса ловишь, так как ДСТНАТ их изменил до фильтра

окай. попробую. А это можно сделать безболезненно и удаленно?

Да.

Я и с 5 на 6 апался удалённо.

окай. попробую. А это можно сделать безболезненно и удаленно?

удаленно можно. безболезнено? хз. В ТЕОРИИ - да. Но есть небольшой шанс словить циклическую загрузку

0,00000000001% ))

удаленно можно. безболезнено? хз. В ТЕОРИИ - да. Но есть небольшой шанс словить циклическую загрузку

Это будет катастрофа. Нет сейчас физического доступа к железке

Это будет катастрофа. Нет сейчас физического доступа к железке

да не ссы я 100 раз так делал

0,00000000001% ))

я три раза ловил. 2 раза дома и раз на работе. Это за 3,5 года использования тиком

Это будет катастрофа. Нет сейчас физического доступа к железке

Ну тогда пока настрой шедулер на ребут, а как будет доступ - обновляй.

может проша корявая?

я хочу раздачу dhcp и загрузку тонких клиентов по сети

l2tp+ospf + next server в дхцп

может проша корявая?

да обычная прошивка с сайта микротика. заново заливал ее нетинсталом и всё нормально запускалось. так что не в прошивке дело было. У меня 2011, зависало на моменте starting services, может с другими моделями такого не будет

тфу тфу не разу не было.. один раз за 5 лет сдох 750 -й

да обычная прошивка с сайта микротика. заново заливал ее нетинсталом и всё нормально запускалось. так что не в прошивке дело было. У меня 2011, зависало на моменте starting services, может с другими моделями такого не будет

Я всегда обновлял стандартным апдейтером.

А вот с заливкой прошивки на сам тик и ребут - давал весьма внезапные результаты порой.

Я всегда обновлял стандартным апдейтером.

это как? нетинсталом?

NAT chain=pub-nat action=netmap to-addresses=192.168.51.13 to-ports=8888 protocol=tcp dst-port=50611 Filter Rules chain=forward action=drop connection-nat-state=dstnat protocol=tcp dst-port=50611

это как? нетинсталом?

систем-пакетд-чек фор апдетс

ну еще входящий интерфейс

Кирил, два вопроса 1. нафиг другой чейн? там длинная цепочка обработки? Просто не ясно что там дальше будет 2. Для проброса порта может всё же лучше попробовать ДСТнат екшн?

систем-пакетд-чек фор апдетс

да пофиг тогда. Но да, я так же чисто чекал за апдейтами ?

А, стоп, туплю

Кирил, ты же сделал ТУ ПОРТ 8888, а ловишь 50611

НАТ идет ДО фильтра, поэтому лови уже по измененному порту

около 7Мбит дает.. в 3011 при этом около 30% цпу кушает

ну это тупо копирование по SMB

AES256-CBC

да пофиг тогда. Но да, я так же чисто чекал за апдейтами ?

Ну там же и поставить можно.

AES256-CBC

ну так норм

Кирил, ты же сделал ТУ ПОРТ 8888, а ловишь 50611

Все, спасибо, словил пакет. А имя Кирилл пишется с двумя "л"

=)

NAT chain=pub-nat action=netmap to-addresses=192.168.51.13 to-ports=8888 protocol=tcp dst-port=50611 Filter Rules chain=forward action=drop connection-nat-state=dstnat protocol=tcp dst-port=50611

что это за порнография?

я ленивый ?

КИРИЛЛ

Николай, отстань, мне уже иННокентия хватило ?

Привет керил

ты што, курилл?

?

кирилл нат не замутил

все) все теперь сделал) работает! Спасибо вам большое

ERROR: S client not available

Всем привет!

И тебе, добрый человек, коль не шутишь

А как тут шутить :) Группа по названию серьёзная!

да пиздец

Скажите есть кто с Камчатки?

ого, ну и занесло тебя. но вряд ли это поможет. у вас между соседями как у нас между странами ?

Не не у нас дом на доме буквально ?

Собственно можно сразу в лоб вопрос? Сеть Ростелекома сегодня у знакомого на 2х объектах 951 с открытыми DNS портами к службе сервис заваливал в глобал на порты udp 4444 трафик под 12 мегабит. Вылечилось только обновлением прошивки. Так и не понял как сломали прошивку через службу DNS....

Может кто сталкивался?

что такое глобал?

Внешняя сеть

как понял был включен днс аллов ремоте реквест? и открыт из интернета

Да

ты был усилителем, на тебя лили запросы с фейковым ип, а твой днс из резолвил и отправлял уже большие ответы на какой то ип и порт 4444

что не так, ничего неполомали, нормальная работа днс, надо просто настроитьт фаерволл что бы из интернета до днса микротика запросы не проходили

Да да закрыл но есть одно но

тогда ты не будешь участником ддос атаки

трафик на тебя не сразу перестанет идти

Я заблокировал весь входящий трафик на DNS остановил службу очистил кэш и после запуска служба заваливала процессор на 80 и сама слала и это при блокированном входящем трафике

Ребутил и т.д. Обновил версию и все сразу пропало.

А так все верно до этого входящий к исходящему был 1:15

Я с начало не поверил себе но когда повторил на втором экземпляре все было точно также до обновления прошивки не чего не посажало.

Помогало ?

Ребята кто -нить использовал Evolution ?

Я заблокировал весь входящий трафик на DNS остановил службу очистил кэш и после запуска служба заваливала процессор на 80 и сама слала и это при блокированном входящем трафике

именно поэтому я обычно блокирую не входящий, а исходящий udp 53

Ребята кто -нить использовал Evolution ?

почтовый клиент? или ты про что?

=( ))))))))))))))

http://mikrotik.axiom-pro.ru/scripts/evolution.php

первый раз о таком слышу

Ну я как бы до этого заблокировал весь исходящий трафик на pppoe заблокировал но сервис все равно надрывался только в этот раз матах трафик на счетчике

Ребутил и т.д. Обновил версию и все сразу пропало.

значит ты на руткит попал, поломали тик