1. Разбиваем группы по адрес-листам (отдельными сетями или адресами) 2. На каждую группу - своё правило NAT 3. Шедулер в руки, в 6.00 включаем все группы, в 9 выключаем ненужные, в 21 включаем все, в 23.00 выключаем ненужные

Попробую

Проще всего, если разные группы получают адреса из разных подсетей. Тогда на одну группу получается 1 запись в Address Lists

Если же все делят одно пространство адресов, и выполняется это рэндомно - тогда в DHCP-сервере необходимо закреплять IP-адреса к макам

И создавать на каждый адрес свою запись в адрес-листе

Для нужных компов есть резервации

Избранных штук 15

то есть у всех динамические адреса, кроме избранных?

Да

Если групп всего две (избранные и остальные) - тогда: 1. Адрес-лист на группу избранных ip firewall address-lists add name=group1 address=192.168.1.2 ip firewall address-lists add name=group1 address=192.168.1.3 ip firewall address-lists add name=group1 address=192.168.1.4 2. Правила ната - 2 шт У первого ip firewall nat add chain=srcnat src-address-list=group1 action=masquerade У второго ip firewall nat add chain=srcnat src-address-list=!group1 action=masquerade

И всё, второе правило просто шедулером выключать

и включать

там более гибкое расписание нужно, имхо

есть номральный функционал, зачем горадить велосипед

или на один период - одно правило

есть номральный функционал, зачем горадить велосипед

"горадить" - это от "горад"? ))

конечно

/ip firewall filter add action=accept chain=forward protocol=icmp add action=accept chain=forward src-address-list=VIP add action=accept chain=forward dst-address-list=VIP add action=accept chain=forward time=6h-9h,sun,mon,tue,wed,thu,fri,sat add action=accept chain=forward time=21h-23h,sun,mon,tue,wed,thu,fri,sat add action=drop chain=forward

Я бы так сделал

а маскарадинг можно оставить всем

Тим, спс. Решение проще и лучше моего.

Огонь

После обеда буду подгонять

далее когда пеняешь настройки оказывающие влияние на sip, будь добр перерегистрировать телефон и сбрость все эти соединения из connetion tracker

бгг, минус два телефона в процессе =)

закончите опыты то свисните. но имхо дело не в нагрузке а в том что оно НАТит глючновато при двух хостах с теми же портами. У тебя там есть НАТ между серваками и юзерами? если есть то попробую еще юзера без НАТа на тот сервак что хреновей работает и проверь будет ли двусторонняя слышимость. если же НАТа нет значит моя версия не верная и просто забей на нее

бгг, минус два телефона в процессе =)

этож как так надо перерегистроровать телефоны ?)

закончите опыты то свисните. но имхо дело не в нагрузке а в том что оно НАТит глючновато при двух хостах с теми же портами. У тебя там есть НАТ между серваками и юзерами? если есть то попробую еще юзера без НАТа на тот сервак что хреновей работает и проверь будет ли двусторонняя слышимость. если же НАТа нет значит моя версия не верная и просто забей на нее

ната между серваками и юзерами нет.

этож как так надо перерегистроровать телефоны ?)

да это dlink dph-150s

оного если по питанию передернуть, можно увидеть прекрасное - post mode и наглухо слетевшую прошивку.

он не умеет через веб?

он не умеет через веб?

мне быстрее было оббежать их всех передернуть ручками, чем через веб к каждому.

заодно выявил еще двух трупообразных.

просто краем глаза глянул скрины - какие то НАТы для сипа. думал юзеры за натом ?

в чем смысл относительно обычного https://www.wmd.ru/products/mikrotik-hap-ac-lite-tower.html ?

Удобно на стол ставить?

да он заваливается от проводов)

он слишком лёгкий

вот был бы он как MAP Lite с магнитиком))

в чем смысл относительно обычного https://www.wmd.ru/products/mikrotik-hap-ac-lite-tower.html ?

дизайн для слепых что ли?))

горизонтально вроде ставится

https://static1.wmd.ru/products_images/products/large/006/mikrotik-hap-ac-lite-tower-6326.png

Ну там вопрос про расположение антенн, я думаю. Все-таки тики рассчитаны на вертикальное крепление.

ха точно спереди точки

как шрифт блайля

в квартире он и за щитком стоял и за столом валяется. и везде падает от жесткости патчкордов

Ну там вопрос про расположение антенн, я думаю. Все-таки тики рассчитаны на вертикальное крепление.

антены там в виде дорожек на плате.

ну может так светить адово не будет

антены там в виде дорожек на плате.

Ну вот поэтому и вертикально

ну хз хз. в стену светить будешь?

Чёт не могу найти замеры распределения сигнала на hAP

Но вряд ли сигнал вдоль антенн идёт

То есть лёжа она будет бить в потолок и пол

и рано или поздно пробьет пол

Кстати почему все кричат что злые хауеры из взломали. Что США. Что сбер. Разве это не стыдно ?

Для обывателя нет. Это же такаая же удобная выворачивалка наизнанку, как и с финансированием армии/полиции ради борьбы с терроризмом.

в итоге часть старых телефонов тупо увел с нового pjsip чана на обычный сип со сменой порта

Я его даже не включал

всем привет

нужна помощь в Ростове

yota подоткнуть в микротик

Что-то я совсем тупой. iBGP же чтоб настроить, достаточно коннект по локальным адресам микротиков сделать и указать идентичные AS? Или нет? Туннель через EoIP между тиками.

Да, всё проще, с масками запутался. Спасибо.

нужна помощь в Ростове

А что там сложного?

А что там сложного?

нет физически рук) ничего сложного

Роскомнадзор свирепеет

Я так думаю, старый анекдот про нюку и 127.0.0.1 опять актуален?

ERROR: S client not available

нужна помощь в Ростове

Сейчас знакомых спрошу...

http://img1.reactor.cc/pics/post/%D0%A0%D0%BE%D1%81%D0%BA%D0%BE%D0%BC%D0%BD%D0%B0%D0%B4%D0%B7%D0%BE%D1%80-%D0%BD%D0%BE%D0%B2%D0%BE%D1%81%D1%82%D0%B8-%D1%8D%D1%82%D0%BE%D0%B3%D0%BE-%D1%81%D0%BB%D0%B5%D0%B4%D0%BE%D0%B2%D0%B0%D0%BB%D0%BE-%D0%B6%D0%B4%D0%B0%D1%82%D1%8C-%D1%80%D1%83%D0%BA%D0%B0-%D0%BB%D0%B8%D1%86%D0%BE-3538647.jpeg

Чат, привет. подскажите пожалуйста, как так может быть? Между двумя микротиками поднят openvpn. На микротике1 есть правило, которое раздает инет srcnat через интерфейс WAN списку ip адресов: [admin@router1] > ip firewall nat print chain=srcnat action=src-nat to-addresses=9xxxxx src-address-list=full internet access out-interface=WAN log=no но почему то в него также попадают(и соответсвенно натятся) пакеты идущие в vpn на другой роутер через интерфейс openvpn, и приходят на удаленный комп с src-ip внешним интернет адресом роутера1. при отключении(или добавлении dst-address-list=!aster) этого правила пакеты приходят с локальным ip отправляющего компа

Чат, привет. подскажите пожалуйста, как так может быть? Между двумя микротиками поднят openvpn. На микротике1 есть правило, которое раздает инет srcnat через интерфейс WAN списку ip адресов: [admin@router1] > ip firewall nat print chain=srcnat action=src-nat to-addresses=9xxxxx src-address-list=full internet access out-interface=WAN log=no но почему то в него также попадают(и соответсвенно натятся) пакеты идущие в vpn на другой роутер через интерфейс openvpn, и приходят на удаленный комп с src-ip внешним интернет адресом роутера1. при отключении(или добавлении dst-address-list=!aster) этого правила пакеты приходят с локальным ip отправляющего компа

покажите так /ip firewall nat export

Вдруг кому пригодится. отличный редирект на соцсети

https://codepen.io/eky/pen/xlwhH

add action=src-nat chain=srcnat dst-address-list=!ats1 out-interface=WAN src-address-list="full internet access" to-addresses=91xxxxxxxx

add action=src-nat chain=srcnat dst-address-list=!ats1 out-interface=WAN src-address-list="full internet access" to-addresses=91xxxxxxxx

нет нет, покажите все правила, внешку затрите

нет нет, покажите все правила, внешку затрите

add action=src-nat chain=srcnat dst-address-list=!ats1 out-interface=WAN src-address-list="full internet access" to-addresses=91.xxxxxx add action=src-nat chain=srcnat dst-address=213.180.xxx3 out-interface=WAN to-addresses=91.xxxxxx add action=netmap chain=dstnat dst-address=92xxxxxx dst-port=22,25,80,443,465,993 in-interface=WAN protocol=tcp to-addresses=172.16.0.100 add action=netmap chain=dstnat dst-address=91.xxxxxx dst-port=993,4655 in-interface=WAN protocol=tcp to-addresses=172.16.1.42 add action=src-nat chain=srcnat out-interface=WAN src-address=172.16.0.100 to-addresses=92xxxxxx add action=netmap chain=dstnat dst-address=91.xxxxxx dst-port=25,465 in-interface=WAN protocol=tcp to-addresses=172.16.1.30 add action=netmap chain=dstnat dst-address=91.xxxxxx dst-port=80,443 in-interface=WAN protocol=tcp to-addresses=172.16.1.41 add action=src-nat chain=srcnat dst-port=25,465 out-interface=WAN protocol=tcp src-address=172.16.1.30 to-addresses=91.xxxxxx add action=src-nat chain=srcnat dst-address-list=banks out-interface=WAN to-addresses=91.xxxxxx add action=src-nat chain=srcnat dst-address=178.63.4xxx dst-port=2226 out-interface=WAN protocol=tcp to-addresses=91.xxxxxx add action=src-nat chain=srcnat out-interface=lte1 src-address-list=lte to-addresses=10.0.0.10 add action=src-nat chain=srcnat dst-address-list=SBIS dst-port=110,25,1101,80,8585,251,443 out-interface=WAN protocol=tcp to-addresses=91.xxxxxx add action=src-nat chain=srcnat dst-address=85.233.xxx dst-port=8443,80,443 out-interface=WAN protocol=tcp to-addresses=91.xxxxxx

http://pastebin.ru/s1S9uz8u

вы случаем mangle не используете?

использую

но там нет ip, с которого шлю пакеты

и в списке full internet access нет ip с которого шлю пакеты

а при отключении этого правила, паеты приходят с оригинальным srcip

походу ты заварачиваешь не в тот инетрфейс

в mangle

не, /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=lte passthrough=no src-address=172.16.0.71 add action=mark-routing chain=prerouting new-routing-mark=lte passthrough=no src-address=172.16.0.136

просто помечаю

для дальнейшей маршрутизации через lte, но это другие хосты

сделайте в фильтре лог для данного трафика

и посомтрите, он должен указать в какой инетрфейс уходит, и то что он натируется

yota подоткнуть в микротик

а что не так ?

странно, сейчас я не могу повторить эту проблему, при правке списка dst-ip.. сессии прерывал

перезагрузил роутер. проблема повторилась)

и видно, что да, натится

16:49:41 firewall,info forward: in:LAN out:<ovpn-nn-proizv>, src-mac d4:3d:7e:37:02:39, proto UDP, 172.16.1.20:5060->172.16.10.46:5060, NAT (172.16.1.20:5060->91.xxxxxx:5060)->172.16.10.46:5060, len 554

но не через WAN

а натит правило, в котором OUT IF = WAN.. ничего не понимаю :(

включил в этом правиле исключение для dst 172.16.10.46 - все норм стало

16:49:41 firewall,info forward: in:LAN out:<ovpn-nn-proizv>, src-mac d4:3d:7e:37:02:39, proto UDP, 172.16.1.20:5060->172.16.10.46:5060, NAT (172.16.1.20:5060->91.xxxxxx:5060)->172.16.10.46:5060, len 554

аа