l2tp

че нагуглил самое простое

l2tp

ну он один из пробивных вариантов. Так что да - это тоже годно.

Привет. Когда включаешь fasttrack в файерволле, то создается 2 правила: D accept forward (0) и fasttrack connection forward (последнее). Внимание вопрос: где надо размещать правило fasttrack connection?

Выше первого не создаш, так как оно только для подсчёта трафика (и оно динамическое),так что где-то ниже

в начале ?

Привет. Когда включаешь fasttrack в файерволле, то создается 2 правила: D accept forward (0) и fasttrack connection forward (последнее). Внимание вопрос: где надо размещать правило fasttrack connection?

пофиг вроде где

динамика там чисто ИНФОРМАТИВНАЯ

но в дефолте первое для forward

что бы ты видел сколько трафика пошло по фесттреку

Вот там смотри детали http://wiki.mikrotik.com/index.php?title=Manual:IP/Fasttrack&redirect=no

что бы ты видел сколько трафика пошло по фесттреку

/ip settings жы?

Выше первого не создаш, так как оно только для подсчёта трафика (и оно динамическое),так что где-то ниже

не, ясно что первое после динамики ?

Какое правило НАТ нужно на микротике 1.10 чтобы переслать пакет на 1.1?

не, ясно что первое после динамики ?

ку. а ты где пропадаешь?

не, ясно что первое после динамики ?

ну я ссылаюсь на его сообщение, там первое это D accept forward (0).

ку. а ты где пропадаешь?

одна из моих контор(точнее две) в новый офис переезжают

2 км кабелей ?

и это еще только физическая прокладка. а еще потом свитчи и роутер настраиватьт

Какое правило НАТ нужно на микротике 1.10 чтобы переслать пакет на 1.1?

А подробнее? ты проброс портов делаешь?

одна из моих контор(точнее две) в новый офис переезжают

хоть кто-то работает

Какое правило НАТ нужно на микротике 1.10 чтобы переслать пакет на 1.1?

роут ?

А подробнее? ты проброс портов делаешь?

умею, правило даже есть, однако микротик 1.10 получает пакет, но не передает его на 1.1

надо маршрут сделать на впн-серваке что 192.168.1.0/24 сидит за ВПН-интерфейсом к 192.168.0.1

умею, правило даже есть, однако микротик 1.10 получает пакет, но не передает его на 1.1

задачу подробнее опиши.

надо маршрут сделать на впн-серваке что 192.168.1.0/24 сидит за ВПН-интерфейсом к 192.168.0.1

эм не понял зачем что то делать на ВПН серваке если пакет на определенный порт прилетает на 1.10 и должен улететь на 1.1?

ты натом что ли балуешся?

тогда не понятен вопрос. Обычный же ДСТ-НАТ по ин-интерфейсу и ДСТ. порту, тоесть банальщина. Значит есть какой то нюанс раз спрашиваешь ?

Короче если просто, то тебе нужно и правила D_NAT и S_NAT нужно на 10 сделать, для такого трафика, скорее всего нехватает последнего.

задачу подробнее опиши.

Микротик 1.1 и 1.10 виртуальные машины в одной сети. Однако имею разные выходы в инет. Микротик 1.10 имеет интерфейс ЛТЕ, с помощью ВПН подключается к VPN Server с белым ИП. Клиент коннектится на VPN сервер (в плане пакет отправляет а не коннект VPN делает) пакет перебрасывается на микротик 1.10 и должен дальше улететь на 1.1 Вот на 1.10 все прилетает. А на 1.1 не улетает

правило такое

Однако имею разные выходы в инет

тут корень зла

прилетает по одному интерфейсу а улетает через другой. Как писал Евгений - надо маскарадить этот трафик от 1,10 к 1,1, что бы трафик возвращался через 1,10

ну, микротик 1.1 запрещает выход через себя микротику 1.10

бл_, я слепой ?.

какое правило маскарада будет? что указать в интерфейсе? LTE или PPTP?

сделай без интерфейса, огради такой трафик другими параметрами: портом, сорс адресом и тыды

аут. интерфейс=Локалка, дст. адрес=192.168.1.1 порт=222

А кто-нибудь поднимал IKEv2 между MT и StrongSWAN?

аут. интерфейс=Локалка, дст. адрес=192.168.1.1 порт=222

я не могу поставить аут локалка ибо dst-address pptp-out

НЕТ

НЕ ТУДА

Короче, Алексей, контекста и конфигов не хватает, пиши либо мне в ЛС, либо Сергею (если он не против). Либо вообще оформи как вопрос на Тостере, там помогут.

от 1,10 к 1,1

Алексей, тебе надо замаскарадить трафик от 192.168.1.10 к 192.168.1.1 по 222 порту

что бы 192.168.1.1 думал что это трафик от соур. адреса 192.168.1.10 и отвечал ему, а не пробовал отвечать твоей айпишке(хз какая она там у Клиента) через свой дефолтный шлюз

уф, вроде ничего не напутал ?

что бы ты видел сколько трафика пошло по фесттреку

Если первое динамическое правило показывает сколько трафика прошло, то тогда не ясен смысл второго правила и что оно показывает?

Второе = fasttrack connection forward

И почему его можно перемещать

Второе = fasttrack connection forward

а второе правило уже пускает нужный трафик на механизм фаст трака. И перемещать его нужно, например чтобы не весь трафик туда гнать.

а второе отправляет в фасттрак собственно

Теперь ясно

Спс

И перемещать его нужно - парни, это же манглы, там перемещай не перемещай - отработает ?(если pathtrough не отрубили в вышестоящих) . Только более конкретные критерии указывать ?

И перемещать его нужно - парни, это же манглы, там перемещай не перемещай - отработает ?(если pathtrough не отрубили в вышестоящих) . Только более конкретные критерии указывать ?

это так то файрвол, а не мангл

хм, затупил. почему то думал что это в манглах ?. эх, давно не заглядывал к фесттреку

и не файрвол, а фильтр ?

и не файрвол, а фильтр ?

1:1)

Теперь ясно

то что попало в фасттрак в другие правила не попадет уже, а будет пролетать сразу со свистом. В противном случае пакет будет проходить все правила пока не совпадет с каким-то правилом.

ERROR: S client not available

не совсем. в манглах есть тоже екшн фестрек конекшн ?.

а так как манглы ДО фильтра то я привык делать там ?. просто у меня на основании четких критериев отбора трафика, а не очередности правил ?. вот и привык что у меня это всё в манглах ?

сделаю заход номер 2)) кто использует https://routerboard.com/CRS125-24G-1S-RM ? как они под нагрузкой?

Отлично они под нагрузкой =) Хорошие железки

у меня чуть другая, но суть одна.

Идеология вланов в микротиках непонятна ?

Это да, всё управление вланами через одно место. но придрться можно =)

в тиках вроде как два вида вланов. из свитч-чипа и из ROS. вот те, которые в чипе - имхо наркоманские

почему? не пробовал из чипа, думал потестить как время будет

если чуть точнее: в тиках два места через которые можно вланами управлять. Одно с пиками точеными другое с х... Какое сам будешь юзать, какое эникею разрешишь

а которые в ROS, на 3011 20 вланов в "транке" грузят процессор нереально

если чуть точнее: в тиках два места через которые можно вланами управлять. Одно с пиками точеными другое с х... Какое сам будешь юзать, какое эникею разрешишь

не так

ну или около того, не помню

если чуть точнее: в тиках два места через которые можно вланами управлять. Одно с пиками точеными другое с х... Какое сам будешь юзать, какое эникею разрешишь

в одном случае ту управляешь, чтобы повесить логику на L3, т.е через процессор, во втрром слачае управляешь только коммутацией через чип

а которые в ROS, на 3011 20 вланов в "транке" грузят процессор нереально

подозрительно. Не могут просто вланы грузить

в бридже

их же cpu обрабтывает по идее

в одном случае ту управляешь, чтобы повесить логику на L3, т.е через процессор, во втрром слачае управляешь только коммутацией через чип

это был юмор.

их же cpu обрабтывает по идее

если в бридже то это уже не транк и не VLAN

те которые в ROS - да, на CPU. а почему они вдруг перестали быть вланами-то?

Есть у кого простой IPv6 firewall?

Есть у кого простой IPv6 firewall?

а что нужно?

Простая фильтрация всякой фигни

те которые в ROS - да, на CPU. а почему они вдруг перестали быть вланами-то?

в том плане, что это уже не VLAN грузят проц, а трафик сам по себе, который нужно гонять через CPU

а, ну да. но бридж не обязателен. можно и просто на интерфейс влан повесить

Простая фильтрация всякой фигни

/ipv6 firewall filter add action=accept chain=forward connection-state=established in-interface=WAN add action=accept chain=forward connection-state=related in-interface=WAN add action=accept chain=forward in-interface=WAN protocol=icmpv6 add action=drop chain=forward in-interface=WAN add action=accept chain=input in-interface=WAN protocol=icmpv6 add action=accept chain=input dst-port=546 in-interface=WAN protocol=udp add action=drop chain=input in-interface=WAN

а, ну да. но бридж не обязателен. можно и просто на интерфейс влан повесить

ну вот если так, то странно что грузят проц. Не 20 точно и не нормальную железку.

/ipv6 firewall filter add action=accept chain=forward connection-state=established in-interface=WAN add action=accept chain=forward connection-state=related in-interface=WAN add action=accept chain=forward in-interface=WAN protocol=icmpv6 add action=drop chain=forward in-interface=WAN add action=accept chain=input in-interface=WAN protocol=icmpv6 add action=accept chain=input dst-port=546 in-interface=WAN protocol=udp add action=drop chain=input in-interface=WAN

спс

а которые в ROS, на 3011 20 вланов в "транке" грузят процессор нереально

ага, а почему тогда 24 езернета более слабый проц CRS не грузят? Блин, вы бы еще в кенгурах и слонах трафик меряли. В пакетах в секунду надо мерять, или если уж так сложно по нормальному то в мегабитах.

ага, а почему тогда 24 езернета более слабый проц CRS не грузят? Блин, вы бы еще в кенгурах и слонах трафик меряли. В пакетах в секунду надо мерять, или если уж так сложно по нормальному то в мегабитах.

+1

на загрузку проца есть профилирование. может оно поможет понять что грузит