обновляется. но пакет вайфая нужен там новый, старый надо отключать. вот точные имена не помню

а, через капсмена. это не пробовал. утверждать не буду

Ну вот я потыкался, теперь руками все 9 точек обновляю

превет, ребята

есть тут мастера оспфа?

мастеров нет, только постраждавшие от него ? . Лично я настраивал ОСПФ методом Сааба - включить нужные сети и всё .

обновляется. но пакет вайфая нужен там новый, старый надо отключать. вот точные имена не помню

Это если ты их отдельно ставил, так-то они часть base-system, сами удалятся

scpx, так чего там с оспф? Авось у кого то будут идеи. озвучивай траблу

че-то хрень какая-то на одной из удаленных точек. Все работает, но через некоторое время соседи переходят в фулл ту даун. В фаерволе при этом разрешен форвардинг бфд пакетов. (счетчик разрешающего правила тикает непрерывно). При отключенном фаерволе все работоед без проблем. под рукой пока ноута нет, хочется уже разобраццо, в чем проблема. Еду в маршрутке, тут водила-тоджык арет че-то на своем в трубу, может, у него спросить? ?

Что перво-наперво глянуть еще можно?

тоже интересно. так как сталиквался с таким у друга - через некоторое время ОСПФ начал "дребезжать", роуты то появлялись то пропадали

какая-то плавающая проблема. то вываливается все, то хуяк..... и заработало. и так перманентно.

hap lite Сильное говно? а то попросили сильно дешевый роутер на 50 мбит инета

Да вроде ничего. Мощность wi-fi 17 дБм

только что с хаплайтом еще одну хрень поймал - не захотел обновлятся на 6,36 при дополнительных пакетах. 400 килобайт места не хватило ?

какая-то плавающая проблема. то вываливается все, то хуяк..... и заработало. и так перманентно.

Какая конфигурация сети? Падает stub точка или какая то центровая?

Какая конфигурация сети? Падает stub точка или какая то центровая?

угу. тупиковая, за которой пара сетей висит. ( У меня знания по данной теме совсем поверхностные. Сконфигурировано все по хрестоматийным примерам из различных вики). В общем, вроде разобрался. Всего-то потребовалось указать явно интерфейсы в правиле, где разрешен ospf протокол. Спасибо за отзывчивость. Кста, а как правильно выгрузить статик роуты из центра в одну из точек? Достаточно ли в инстансе указать redistribute-static=as-type-1?

приветствую подскажите, пожалуйста, как мне заставить роутер пускать меня к апачу по порту, отличному от 80-го?

привет

dst-nat настроить

настроено-перенастроено, на 80-й то порт пускает

апач находится за микротиком?

2 правила - dst-nat и filters

да, уточню, на нужный порт пускает внтури локалки, а мне нужно еще и извне туда попасть, также, как и на 80-й порт

угу, апач внутри

момент, сейчас покажу, как все крутится

скрины или export правил сделай

filter rules и NAT

88.8 - локальный комп с апачем

а зачем там вообще нат?

на 80й порт из внешнего интернета я хожу спокойно, как и на все остальные, хоть той же cs - 27015 и подобные

а вот на 88 порт хочу зайти - получается только изнутри

хм, хороший вопрос

/ip firewall nat> export

в терминале сделай

секунду

угу. тупиковая, за которой пара сетей висит. ( У меня знания по данной теме совсем поверхностные. Сконфигурировано все по хрестоматийным примерам из различных вики). В общем, вроде разобрался. Всего-то потребовалось указать явно интерфейсы в правиле, где разрешен ospf протокол. Спасибо за отзывчивость. Кста, а как правильно выгрузить статик роуты из центра в одну из точек? Достаточно ли в инстансе указать redistribute-static=as-type-1?

Линки не по wifi между роутерами?

[admin@MikroTik] > /ip firewall nat export # jul/28/2016 00:59:31 by RouterOS 6.35.4 # software id = XEPE-7VQ5 # /ip firewall nat add action=masquerade chain=srcnat comment="default configuration" \ out-interface=pppoe-out1 add action=dst-nat chain=dstnat dst-address=94.--.--.-- protocol=tcp \ to-addresses=192.168.88.8 add action=dst-nat chain=dstnat dst-address=94.--.--.-- protocol=udp \ to-addresses=192.168.88.8 add action=src-nat chain=srcnat dst-address=192.168.88.8 protocol=tcp \ src-address=192.168.88.0/24 to-addresses=192.168.88.1

последнее правило подменяет адреса всех пакетов из сети 88.0/24 к 88.8 на 88.1 зачем?)

на 88.8 проброшены все соединения по протоколам tcp/udp - странное решение, тоже

иначе я со своего 88.8 не могу попасть на внешний ип, который ведет на меня же

да, мне нужно, чтобы все шло на 88.8

и логично бы было, чтобы и к апачу я также мог достучаться, как и ко всем остальным, но вот почему-то нет

на самом 88.8 фаервол есть?

то есть по 80 порту - ок, по 88 или любому другому - ок, но только внутри, снаружи - не ок

хммм

минутку

черт.. дело было не в бабине..

спасибо большое

да не за что

а вообще, конфиг странноватый

бобине*

я бы сделал немного по-другому

хм, а как?

бэкап я сделал - гулять так гулять

конкретные порты или диапазоны пробрасывал бы внутрь.

а какая разница, если я периодически запускаю что-то странное, типа апача на 88 порту?

меньше возиться выходит

угу. тупиковая, за которой пара сетей висит. ( У меня знания по данной теме совсем поверхностные. Сконфигурировано все по хрестоматийным примерам из различных вики). В общем, вроде разобрался. Всего-то потребовалось указать явно интерфейсы в правиле, где разрешен ospf протокол. Спасибо за отзывчивость. Кста, а как правильно выгрузить статик роуты из центра в одну из точек? Достаточно ли в инстансе указать redistribute-static=as-type-1?

Redistribute - да, добавить диапазон в networks

меньше возиться выходит

а локальные сетевые сервисы фаерволом нормально закрыты?

да, все спрашивают разрешения, если хотят выйти наружу

Короче для тупиковых ветвей stub router в микротике есть бага. При кратковременном обрыве линка роутер клинить и они перестают вязаться. Помогает ресет ospf процесса.

ERROR: S client not available

стесняюсь спросить, 88,8 - винда?

кстати, никому в мск не нужен routerboard rb951g-2hnd с умершей или почти умершей памятью?

стесняюсь спросить, 88,8 - винда?

фанат числа 8 с:

а, да, винда, дебиан - когда как

ладно, еще раз спасибо, пойду дальше ковыряться

давай

народ. кто что думает про этот набор правил: http://forum.mikrotik.com/viewtopic.php?t=83387

?

кстати парни, вчера на хоботе нашли(точнее нарыли на форуме тика http://forum.mikrotik.com/viewtopic.php?t=93517#p466594 ) интересное решение если надо несколько МАС на одном физическом интерфейсе. Поднять там VRRP-интерфейсов несколько. Они себе присваивают посделовательные МАС-и. Интересное решение, даже не думал о таком.

Кстати, после перешивки в 6.36 wap ac которой подтвердили rma вдруг нормально заработала %)

А может кто-нибудь подсказать что происходит с AP3/5? Настроены идентично

На питание не похоже, ибо не ребутаются

Доброго времени суток, может кто-нибудь, что-нибудь подсказать про новые дудко клиенты? Пробывали запускать в вайне под линуксом вылетает с ошибкой. Серверная часть стоит на CCR.

Доброго времени суток. Подскажите пожалуйста как побороть: есть входящий IPSec туннель, который должен смотреть строго в определённый /32 адрес внутри локалки. И есть сама локалка в которой все машины должны в этот туннель ходить. Текущее решение: втык перед микротиком ещё одного роутера, который WANом смотрит в мир и отдаёт в WAN микротика пресловутый адрес, к которому подвязан туннель. Очень хочется всё силами микротика, но всё никак не соображу, возможно ли.

тоесть смотреть в определенный адрес внутри локалки? перефразируйте

Доброго времени суток. Подскажите пожалуйста как побороть: есть входящий IPSec туннель, который должен смотреть строго в определённый /32 адрес внутри локалки. И есть сама локалка в которой все машины должны в этот туннель ходить. Текущее решение: втык перед микротиком ещё одного роутера, который WANом смотрит в мир и отдаёт в WAN микротика пресловутый адрес, к которому подвязан туннель. Очень хочется всё силами микротика, но всё никак не соображу, возможно ли.

лучше схему

Доброго времени суток. Подскажите пожалуйста как побороть: есть входящий IPSec туннель, который должен смотреть строго в определённый /32 адрес внутри локалки. И есть сама локалка в которой все машины должны в этот туннель ходить. Текущее решение: втык перед микротиком ещё одного роутера, который WANом смотрит в мир и отдаёт в WAN микротика пресловутый адрес, к которому подвязан туннель. Очень хочется всё силами микротика, но всё никак не соображу, возможно ли.

Кажется, я про это слышал грязный хак. Сейчас поищу

Мы аутсорс. Многие наши клиенты бросают нам VPN. Есть одни сволочи, которые выделили под нашу организацию айпишник /32 и пляшите как хотите. Нам из за них пришлось перед роутером поставить ещё один, а Микротику на wan выдать этот /32 айпишник. Туннель поднимается и все компы в сети успешно бегают к заказчику в сеть. Но с внешним роутером приходится неиллюзорно плясать вприсядку чтобы мимо него ходили остальные туннели и ничто ни с чем не конфликтовало. Эта конфигурация сети мягко говоря напряагет. Или я всё равно сумбурно?

сумбурно

на какой адрес поднимается айписек?

что мешает с микротика поднимать ВПН?

Мы аутсорс. Многие наши клиенты бросают нам VPN. Есть одни сволочи, которые выделили под нашу организацию айпишник /32 и пляшите как хотите. Нам из за них пришлось перед роутером поставить ещё один, а Микротику на wan выдать этот /32 айпишник. Туннель поднимается и все компы в сети успешно бегают к заказчику в сеть. Но с внешним роутером приходится неиллюзорно плясать вприсядку чтобы мимо него ходили остальные туннели и ничто ни с чем не конфликтовало. Эта конфигурация сети мягко говоря напряагет. Или я всё равно сумбурно?

а почему не хватать тот же ИП и не сувать свой трафик им, или я что-то не понял ?!

Айвор, давай схему визуальную. ну и ТТХ - между какими айпишками должен айписек подниматься, какая айпишка вам дана провайдером и т.д.

Ну предположим, пусть будет 123.45.67.89/32. Если его поднять с микротика, то в туннель попадёт строго один компьютер за ним с адресом 123.45.67.89. А надо чтобы все. Поэтому сейчас 123.45.67.89 это WAN Микротика, и в туннель ходит вся локалка.

ясно, айписек поднять не в тунельном режиме. в том корень зла?

Да. на «том конце провода» прямая политика — или используете это или мы находим более покладистых. то есть повлиять на общую настройку — никак.

что прям таки уперлись что тунельный режим айписека им не подходит?

щас, решим. и не такой костыляли

Вот прям таки упёрлись. Есть такая компания с яйцом…