хотя у меня проблема была с гсп

вешал 4 вапы на него ... на 1,17 скакало пое, критикал эррор пое и сбрасывал питание

херасе

как-то так

;))

?

отлично. копирну:)

))))))

?

Тут такое дело. Надо подключиться по ВПН к организации с макбука и мобильного инетрнета. МТС отлично блокирует впн, спасибо ему, на маке есть ещё IKEv2, и в новой прошивке некрота есть IKEv2, настраивал ли кто?

А на каком основании они его блокируют? Может, нахуй МТС?

Тут такое дело. Надо подключиться по ВПН к организации с макбука и мобильного инетрнета. МТС отлично блокирует впн, спасибо ему, на маке есть ещё IKEv2, и в новой прошивке некрота есть IKEv2, настраивал ли кто?

Эм, первый раз слышу, чтобы они блокировали VPN. Больше 10 лет пользуюсь.

Эм, первый раз слышу, чтобы они блокировали VPN. Больше 10 лет пользуюсь.

Хорошо тебе.

Если только речь не про GRE, который вообще через NAT не работает

Тут такое дело. Надо подключиться по ВПН к организации с макбука и мобильного инетрнета. МТС отлично блокирует впн, спасибо ему, на маке есть ещё IKEv2, и в новой прошивке некрота есть IKEv2, настраивал ли кто?

Не правда у самого МТС и все работает

Не правда у самого МТС и все работает

Ты лучший, по делу есть что ответить?

IKEv2 не юзал, L2tp+ipsec , нормально полет

Дарова, как там у микротика с OpenVPN, и что предпочтительнее: L2TP/IPSec или OpenVPN, если сервером будет сам микротик?

Тут такое дело. Надо подключиться по ВПН к организации с макбука и мобильного инетрнета. МТС отлично блокирует впн, спасибо ему, на маке есть ещё IKEv2, и в новой прошивке некрота есть IKEv2, настраивал ли кто?

Блокирует?

По поводу описанной моим коллегой Юрием проблемы - нашли у себя такой же 260GS в сети (из той же партии), но прошивка просто 2.0, а не 2.0p - работает. С 2.0p вопрос остаётся открытым - кто нибудь сталкивался и откуда она вообще взялась?:-) Пообщаюсь пока с поставщиком и тп микротика.

Если только речь не про GRE, который вообще через NAT не работает

При чем тут гре и нат?

При чем тут гре и нат?

потому что МТС сервые адреса раздаёт из 10й подсети, а что @PalenoYobanoe имеет в виду под VPN я не знаю - не телепат.

Все же нат тут ни при чем, если впн есть

Гре идет между пирами впн, ему пуфик на нат вне впн

Гре идет между пирами впн, ему пуфик на нат вне впн

это если GRE внутри VPN, а может он GRE использует как VPN)

Если только речь не про GRE, который вообще через NAT не работает

и с чего бы это GRE через NAT не работает ? У меня вот на телефоне MTS и VPN юзаю PPTP(что по сути GRE) и чет у меня и за 2 и 3-мя натами все всегда работает ...

и с чего бы это GRE через NAT не работает ? У меня вот на телефоне MTS и VPN юзаю PPTP(что по сути GRE) и чет у меня и за 2 и 3-мя натами все всегда работает ...

как повезёт, смотря насколько умный NAT, но в общем случае он скорее не работает.

https://wiki.openwrt.org/doc/howto/vpn.nat.pptp

в линуксе обычный модуль ядра

если есть nf_nat_pptp, то да

а ты думаешь у мтс бордеры на линуксе ?

ну с новыми законами может уже и да

я думаю там какие то сетевые железки, кторорые GRE хавают без проблем

как повезёт, смотря насколько умный NAT, но в общем случае он скорее не работает.

^

я же не написал, что "нет, никогда не работает".

вот не поверите, 10 лет у меня мтс, 5 лет использую GRE, 100% успешных подключений

ну вон выше товарищ жалуется, хотя он так и не написал какой VPN/Туннель у него не работает

@IlyaKnyazev а чего MTCTCE решили на выходных сделать?

или у вас такое частенько?

Если впн не работает, смотрите в сторону МТУ

Возможно какое-то оборудование не пропускает > 1500

Товарищи, позвольте офтопный маленький вопрос. А бывает ли ipmi в виде адаптера чтоли? Ну тоесть если не поддерживает мать добавить функционал

Только не пинайте если совсем глупый вопрос

Товарищи, позвольте офтопный маленький вопрос. А бывает ли ipmi в виде адаптера чтоли? Ну тоесть если не поддерживает мать добавить функционал

У асусов были специальные адаптеры для WS мат плат. Но там должна была быть поддержка ASUS-iKVM

Есть просто kvm over ip

раньше только такие и были

Товарищи, позвольте офтопный маленький вопрос. А бывает ли ipmi в виде адаптера чтоли? Ну тоесть если не поддерживает мать добавить функционал

отдельные модули есть, но на матери должна быть поддержка. так называемый BMC - Baseboard Management Controller. Адаптер цепляется шиной на спец.разъем на матери.

сталкивался с таким на платформе Intel

Товарищи, позвольте офтопный маленький вопрос. А бывает ли ipmi в виде адаптера чтоли? Ну тоесть если не поддерживает мать добавить функционал

В серверах asus

Asmb у них зовется

ну вы же понимаете у меня обычная материнка msi z170, просто ESXi не получает с нее данные, думал можно чего нить воткнуть

Не

печаль беда

коллеги, расскажите общий принцип одновременной настройки мультиван и маркировки входящего трафика для возврата в тот же интерфейс

я сейчас понял, что у меня какая-то фигня в mangle, т.к. поменял дефолтный маршрут и один филиал (впн) отвалился

указал жестко для этого случая маршрут в прежний интерфейс, который сейчас не дефолт - коннект поднялся

я вот думаю может я че-то не так сделал и у меня столько времени было неправильно =)

Баян уэе

ой вей

коллеги, расскажите общий принцип одновременной настройки мультиван и маркировки входящего трафика для возврата в тот же интерфейс

а какие на данный момент сейчас настройки mangle?

Народ, кто TR-69 использует по-серьезному?

Друзья. Объясните плиз. Есть кусок кода, выдраный с микротиковского примера. пихаем его в script выполняем. Все хорошо. Вставляем его в дефолт конфиг, делаем флаш. И в файле вместо сертификата какой то мусор.

ERROR: S client not available

http://wiki.mikrotik.com/wiki/Tr069-best-practices Собстно код

Вместо сертификата получаем мусор в файле

Роман я пытаюсь

Вернее точно буду

В файле вот это вместо сертификата # jan/ 1/1970 18: 0:29 by RouterOS 6.38.1 # software id = YQES-R39R # # NAME TYPE SIZE CREATION-TIME 0 flash disk dec/31/1969 18:00:00 1 tmp_acs_ca_cert.txt .txt file 0 jan/01/1970 18:00:29 2 flash/skins directory dec/31/1969 18:00:01

То есть тупо скопипасченый код.

Убрал только удаление файла, что бы понять что происходит.

Если просто в терминал вывалить, получаем тот же результат что и при флаш.

коллеги, расскажите общий принцип одновременной настройки мультиван и маркировки входящего трафика для возврата в тот же интерфейс

/ip firewall mangle add action=mark-connection chain=prerouting in-interface=ISP1 new-connection-mark=ISP1-MARK passthrough=no add action=mark-connection chain=prerouting in-interface=ISP1 new-connection-mark=ISP2-MARK passthrough=no add action=mark-routing chain=output connection-mark=ISP1-MARK new-routing-mark=ISP1-TABLE passthrough=no add action=mark-routing chain=output connection-mark=ISP2-MARK new-routing-mark=ISP2-TABLE passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1-TABLE passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2-TABLE passthrough=no /ip route add distance=1 gateway=ISP1-INTERFACE routing-mark=IPS1-TABLE add distance=1 gateway=ISP2-INTERFACE routing-mark=IPS2-TABLE

Если просто в терминал вывалить, получаем тот же результат что и при флаш.

у меня 6.38 сделал также в терминале и оно нормально записало.

:global acsCaCertTxt "-----BEGIN CERTIFICATE---— \ MIIDCDCCAfCgAwIBAgIIBQ68Phid9+owDQYJKoZIhvcNAQELBQAwDzENMAsGA1UE \ AwwEbXlDYTAeFw03MDAxMDIwMDM0MDZaFw03MTAxMDIwMDM0MDZaMA8xDTALBgNV \ BAMMBG15Q2EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDILvvnEc/8 \ 53jevX3MW4qjn9CNdHLexUZSL8qSXzE5sik1kaNOdckOXC8/Ku0qO95elaBaXmLe \ QsIQbVtZ768SBQc7q4RaG3AEauLfNl0BS3kl91/nSvYKp20Nvn7LP7CVZj8D81S+ \ z4lYgab00X6hT65r8cOI4idaJNWkB9+vFujiPpg0H4IEthgslvCu0i2C7VMrZps/ \ lTI4xD7kUU4ySzpMUDD3SiA1cEtR8SC5gspYFqtUB2Chk4DTeqWzPCT9eIKclIKM \ eh/5w7eLCKyjqIBDwWixuHGW7uFffHjmkgtmzG35W/qmgXGXG+BC8NomxmKxdxCT \ ZpQCbisMKieTAgMBAAGjaDBmMA8GA1UdEwEB/wQFMAMBAf8wDgYDVR0PAQH/BAQD \ AgEGMB0GA1UdDgQWBBR5poVfi8tXHrD3sEidlLLzm1k3xzAkBglghkgBhvhCAQ0E \ FxYVR2VuZXJhdGVkIGJ5IFJvdXRlck9TMA0GCSqGSIb3DQEBCwUAA4IBAQChVt7s \ YNL+U7p0OoxdKgCqP3JyrVOAYDs51243IR83BM3WQybWaDcEv50/R668icnnNHgN \ GKQ6OjgQbia7ZW38JWlD/n59WDjk9T63lHh5RHmrhPlIDUN8Wh89v6N2q8YQy+rj \ o2lOcbZOJTSIirSBcokMRw45yJNO9HU02E9Bl5nb1hq6/xP4pbTS3t8bL+Xpg0eJ \ herz/Ap62k/ToRP+yFYN90z8sDHHvKWnq1W60xreLQ95D5IOego0dIWDC8J/a551 \ Z2AklvEhKfJTQ6zylrhPDy5bySadxy8lAV82+gEZ1AQyS2UXzRAUgCCCzdEmgiWE \ 6Du6ubASPAEmYfhC \ —---END CERTIFICATE-----"; /file print file=tmp_acs_ca_cert.txt; delay 2; /file set tmp_acs_ca_cert.txt contents=$acsCaCertTxt;

В общем в коде ошибка : забыли перед delay. И код с сертификатом нужно оформить в {}

обратите внимание на косую черту

обратите внимание на косую черту

Да, спасибо. Нужно экранировать перенос строки. Но можно проще.

{} помогло.

{} помогло.

ну да как вариант. в таком случае логичный и правильный, нежели через экранирование

И :

Останавливалось в этом месте.

Вообще есть какой нибудь отладчик?

Задолбался писать :log info

Кстати у меня 6.38.1 и hAP AC lite

На нем эксперементировал

а какие на данный момент сейчас настройки mangle?

сейчас так: /ip firewall mangle add action=mark-connection chain=input comment=isp1 connection-state=new in-interface=pppoe-isp1 new-connection-mark=isp1-connection-mark-input passthrough=yes add action=mark-routing chain=output comment=isp1 connection-mark=isp1-connection-mark-input new-routing-mark=to_isp1_static passthrough=no add action=mark-connection chain=forward comment=isp1 connection-state=new in-interface=pppoe-isp1 new-connection-mark=isp1-connection-mark-forward passthrough=yes add action=mark-routing chain=prerouting comment=isp1 connection-mark=isp1-connection-mark-forward in-interface=ether5-lan new-routing-mark=to_isp1_static passthrough=no add action=mark-connection chain=input comment=isp2 connection-state=new in-interface=pppoe-isp2 new-connection-mark=isp2-connection-mark-input passthrough=yes add action=mark-routing chain=output comment=isp2 connection-mark=isp2-connection-mark-input new-routing-mark=to_isp2_static passthrough=no add action=mark-connection chain=forward comment=isp2 connection-state=new in-interface=pppoe-isp2 new-connection-mark=isp2-connection-mark-forward passthrough=yes add action=mark-routing chain=prerouting comment=isp2 connection-mark=isp2-connection-mark-forward in-interface=ether5-lan new-routing-mark=to_isp2_static passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting in-interface=ISP1 new-connection-mark=ISP1-MARK passthrough=no add action=mark-connection chain=prerouting in-interface=ISP1 new-connection-mark=ISP2-MARK passthrough=no add action=mark-routing chain=output connection-mark=ISP1-MARK new-routing-mark=ISP1-TABLE passthrough=no add action=mark-routing chain=output connection-mark=ISP2-MARK new-routing-mark=ISP2-TABLE passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP1 new-routing-mark=ISP1-TABLE passthrough=no add action=mark-routing chain=prerouting connection-mark=ISP2 new-routing-mark=ISP2-TABLE passthrough=no /ip route add distance=1 gateway=ISP1-INTERFACE routing-mark=IPS1-TABLE add distance=1 gateway=ISP2-INTERFACE routing-mark=IPS2-TABLE

спасибо за пример. это с рабочей конфигурации?

С моего роутера

Парни, а какой сервер то используете? Софт для tr-69?

а как вообще-то этот протокол tr-069 работает на практике. С точки зрения управления. Есть опыт у кого?

С моего роутера

в моем конфиге есть откровенный косяк? смотрю твой конфиг и не могу распарсить как оно работает

вроде маркировка соединений и маршрутов на основе меток соединений - понятно

Ну твой я не изучал, свой скинул, как пример рабочей конфигурации.

маркировка маршрутов в прероутинге непонятна

Парни, а какой сервер то используете? Софт для tr-69?

FreeASC