@MikrotikRu
Evgeniy01.02.2017
06:09:20
06:09:20
поймешь концепцию - будет проще конфигурять
Доброе утро! Если VPN-сервер за NAT, достаточно пробросить порты правилом в NAT? В Firewall ничего не надо добавлять?
если у тебя тик, зачем "впн сервер за нат"?
unt0njs01.02.2017
06:12:51
06:12:51
хотя там будет 1-3 клиента
Google
Ivan01.02.2017
06:14:46
06:14:46
Отлично айписек на тике летает
unt0njs01.02.2017
06:22:13
06:22:13
Тогда последний вопрос:
Для IPsec over L2TP нужно открыть UDP 500, UDP 4500. chain=input action=accept protocol=udp to-ports=500,4500, поместить его выше input drop? И вообще, как сделать это все более безопасным?
Maxim ??01.02.2017
06:48:32
06:48:32
выше дропа однозначно ставить надо
Evgeniy01.02.2017
06:51:11
06:51:11
смотри где делается нат, а где фильтрация
или ты уже про настройку сервера впн на самом тике?
если на самом тике - то да, надо в input разрешать
unt0njs01.02.2017
07:15:46
07:15:46
или ты уже про настройку сервера впн на самом тике?
Да. Насчет таблицы, я понял, что сначала делается prerouting. DST-NAT в прероутинге, значит, дальше он не пойдет?
МихаилEvgeniy01.02.2017
07:29:12
07:29:12
Да. Насчет таблицы, я понял, что сначала делается prerouting. DST-NAT в прероутинге, значит, дальше он не пойдет?
если есть правила dst-nat, то по этой схеме делается это измение пакета. пакет идет далее по цепочке. а вот куда - зависит от того, что в пакете. если изначально пакет был адресован роутеру и был сделан дст-нат на впн-сервер в локалке - пойдет через форвард и применяться правила фильтрации будут из соответствующей цепочки
Tim01.02.2017
07:56:38
07:56:38
Ребята, такой вопрос. У нас мини аеспи, PPPoE терминируем на CCR1016, а удаленные L2 сегменты прицеплены по EoIP (короче как сааб завещал).
Проблема такая - когда отключаем большую часть сети, в тот момент когда PPPoE сессии ещё висят, некротик начинает дико жрать CPU. Profile позкаывает что это firewall.
Это длится секунд 20-30, за это время успевают отпасть OSPF пиры и начинается полная жопа. На 6.38 это было сильно выражено, на 6.38.1 вроде полегче, проц занят на 85%, всё тормозит, но вроде не отваливается..
А обычно какая нагрузка в %? Отключение большой части сети это сколько PPPoE сессий из скольки всего?Google
Василий01.02.2017
08:16:46
08:16:46
А обычно какая нагрузка в %? Отключение большой части сети это сколько PPPoE сессий из скольки всего?
30-40%
Отключается 350 сессий из 450 всего
Archawka01.02.2017
09:24:42
09:24:42
Чат, добрый день, подскажите пожалуйста. Имеется RB2011 и два CRS226. Достал три SFP+ DAС, хочу их три связать этими кабелями. Какие мне настройки проверить на всех трех, чтоб не случилось петли?
Tim01.02.2017
09:25:42
09:25:42
30-40%
Отключается 350 сессий из 450 всего
А Firewall у тебя сложный? Сколько правил input, forward, output? Conn-track включён?
fx00f01.02.2017
09:30:17
09:30:17
Чат, добрый день, подскажите пожалуйста. Имеется RB2011 и два CRS226. Достал три SFP+ DAС, хочу их три связать этими кабелями. Какие мне настройки проверить на всех трех, чтоб не случилось петли?
Это как вы их физически свяжите?)))А, ну да... там же 2s+
Archawka01.02.2017
09:32:48
09:32:48
fx00f01.02.2017
09:33:05
09:33:05
Да я с 125 перепутал
Archawka01.02.2017
09:33:55
09:33:55
принудительно на sfp1 226-1 поставлю 1g FD, и опаньки, даже sfp+ dac должен прокатить по заверениям сайта микротик
fx00f01.02.2017
09:34:39
09:34:39
принудительно на sfp1 226-1 поставлю 1g FD, и опаньки, даже sfp+ dac должен прокатить по заверениям сайта микротик
Хз, если дак микротовский, то он на авто стартанет без проблемВасилий01.02.2017
09:42:33
09:42:33
А Firewall у тебя сложный? Сколько правил input, forward, output? Conn-track включён?
не особо сложный,
по 40-50 правил, но там не сквозные, а по цепочкам.
Шейпер через адрес-листы, коннтрэк есть для релейтед/эстаблишд в файрволе
По сути проблема возможно просто в перегрузке роутера, при отвале сессий как и при ребуте тормоза всегда есть, просто тут они критического масштаба достигли.Archawka01.02.2017
09:45:37
09:45:37
Хз, если дак микротовский, то он на авто стартанет без проблем
вопрос что должно стоять где-то в глобальных настройках. сейчас интерфейсы потушены, я втыкаю в них кабель, включаю интерфейсы - где смотреть настройки противодействия петлям?fx00f01.02.2017
09:47:00
09:47:00
Tim01.02.2017
10:13:26
10:13:26
не особо сложный,
по 40-50 правил, но там не сквозные, а по цепочкам.
Шейпер через адрес-листы, коннтрэк есть для релейтед/эстаблишд в файрволе
По сути проблема возможно просто в перегрузке роутера, при отвале сессий как и при ребуте тормоза всегда есть, просто тут они критического масштаба достигли.
Настройки Pppoe сервера нужны, ip pool, ip firewall, ip settingsMaxim ??01.02.2017
10:15:06
10:15:06
конфиг скинь :)
Василий01.02.2017
10:21:38
10:21:38
Алексей01.02.2017
10:21:47
10:21:47
Товарищи здравствуйте, а можете по скриптам проконсультировать? почему может переменная не отпарвляться в телеграмм?
/tool fetch url="https://api.telegram.org/bot_token/sendMessage\?chat_id=-chat_id&text=$Name Added to White list"
$Name не пишется
Sergiy01.02.2017
10:24:14
10:24:14
потому что кто то кавычки не там поставил наверное, или синтаксис бота не выдержал.
GoogleАлексей01.02.2017
10:25:17
10:25:17
но ведь весь url вместе с текстом помещается в кавычки?
Sergiy01.02.2017
10:25:50
10:25:50
разве может быть пробел в УРЛе?
попробуй проверь вручную
набери в браузере эту строку, толкьо значения подставь
Sergiy01.02.2017
10:27:44
10:27:44
и что с chat_id? странное значение у него
может там тоже переменная должна быть?
Алексей01.02.2017
10:28:25
10:28:25
это я просто убрал данные, там тупо стоит id. Поймите в телеграмм приходит сообщение Added to White list
не указывается лишь сам $Name (в данном случае IP адрес)
Sergiy01.02.2017
10:29:10
10:29:10
глянь в енвиронменте
Алексей01.02.2017
10:29:17
10:29:17
да, на почту сообщение приходит с IP адресом
Sergiy01.02.2017
10:30:04
10:30:04
ну значит кирилица в переменной, и ты этого не видишь ?. ну раз всё работает. а переменную не кажет значит это НЕ ТА переменная ?. Да звучит тупо, но обычно на таких мелочах и прокалываешся
Алексей01.02.2017
10:34:19
10:34:19
так, а ты уверен что у переменной есть значение?
В переменной уверен потому что на почту она приходит с адресом. Саму переменную проверил, она на англицкомSergiy01.02.2017
10:35:08
10:35:08
может знак $ нужно экранировать как и знак ?
url="http://xxx.ho.ua/adr.php\?i=$number&p=$pass"
у меня так спокойно работаетGoogleSergiy01.02.2017
10:36:49
10:36:49
Алексей. ну реально, хфигня какая-то ?. не может быть что бы переменная имела значение, была верно написана но не вставлялась
попробуй шутки ради убери пробел и текст после переменной. тупо ее в телеграм отсылай. глянем что будет.
или, впиши свой урл, и по нему РНРшкой слови масив $_GET ? .
чисто для разбора что там конкретно передает тик ?
Алексей01.02.2017
10:39:23
10:39:23
Ну вот вообще странно, убрал весь текст оставил =$Name и вообще ничего не пришло. Поставил 123 пришло 123
Sergiy01.02.2017
10:39:45
10:39:45
значит таки ты в имени ошибся
работаем над переменной
AdminERROR: S client not available
Sergiy01.02.2017
10:40:18
10:40:18
ты ее глобальной сделал? она точно в енвиронменте есть?
Алексей01.02.2017
10:40:30
10:40:30
нет она локал
Sergiy01.02.2017
10:40:32
10:40:32
скопируй ее имя из того скрипта где она таки приходит ?
чисто что бы мы ее видели в енвиронменте
или ты ее назначаешь в одном скрипте а испольузешь в другом? ?
Алексей01.02.2017
10:41:17
10:41:17
в этом же
Sergiy01.02.2017
10:41:45
10:41:45
делай глобалом и запускай скрипт. проверишь появиться ли у нее значение
Алексей01.02.2017
10:41:48
10:41:48
назначил
появилось в енвиронменте однако перед ней два квадрата (чую тут и засада)
GoogleSergiy01.02.2017
10:42:43
10:42:43
думаешь тик ругается непечатными выражениями?
Sergiy01.02.2017
10:44:47
10:44:47
а с чего такое странное значение?
ты каким путем значение получаешь? копни еще туда. может еще где аукнуться, не только в телеграме
Алексей01.02.2017
10:47:08
10:47:08
http://pastebin.com/qubLX4Vs
если не трудно посмотрите, я не автор скрипта, просто модифицировал под себя
Sergiy01.02.2017
10:52:47
10:52:47
не, к сожалению я тоже в скриптах плаваю :(
Алексей01.02.2017
10:54:23
10:54:23
неужто это пробелы какие нибудь?
Yuriy01.02.2017
10:54:59
10:54:59
запиши значения руками и попробуй
:global Name 192.168.1.1
выполни /tools fetch
:put [$Name]
192.168.1.1
Алексей01.02.2017
11:01:25
11:01:25
Я всю строку /tool fetch поместил в скрипт, если указываю text=123 все ок, указываю =$Name ничего ен приходит. В енвиронменте висит переменная Name 192.168.1.1
Поместил перед скриптом :put [$Name] 192.168.1.1 ничего не приходит все равно
Sergiy01.02.2017
11:03:06
11:03:06
пут ставь не в скрипт, а отдельно в консоли выполни
Алексей01.02.2017
11:04:47
11:04:47
:put [$Name]
192.168.1.1 ошибку вообще выдает в 14 символе о_О
вот в скрипте при экранировании пишет тупо \$Name
Uml01.02.2017
11:12:40
11:12:40
а что если линка нет мы не можем настроить дхцп на этом порту?
Sergiy01.02.2017
11:26:29
11:26:29
:foreach B in=[$A] do={:set Name "$Name
$B"}
я вот только не врубился что это ?
может оно пробелы какие доставляет и т.д.
а ну кто шарит в скриптах и может пояснить логику работы
Алексей01.02.2017
11:27:08
11:27:08
но при этом пробелы ПЕРЕД адресом
Открыть в Telegram