Не замерял

вот хорошо бы от теории к практике бы перейти.

давайте сначала. Вот у меня есть n линков, часть из них резервируется. Я по каждому из линков поднимаю ipsec. Поверх резервируемых линков, раз у меня везде мои железки, пускаю ospf с bfd сигнализацией

Скорость перестроения маршрутов становится равной скорости переключения ospf - ЧЯДНТ?

скорости создания и включения интерфейсов у вас не равны скорости работы OSPF, так как скорость установки сесии ей не равна, а туннели в случае DPD придётся переподнимать

и DPD выключает пир, он его детектит как мёртвый в одну сторону

включение на повторную проверку по истечению таймаута

Я DPD привёл как пример.

и как будет жить сеть, если связь моргнула и поднялась назад? DPD отметил пир мёртвым на сколько то секунд и всё. Или у вас все туннели на мгновенные реакции настроны и все таймауты 1с?

Я DPD привёл как пример.

а как по-другому вы будете детектить мёртвый линк в тунеле IPSec?

Чят, подскажите, а я могу понимать к по какому домену обратились к микротику?

других ручек туннельный ipsec вам не дал

Хочу на конкретный ИП за напиши форвордить трафик в зависимости от домена

Эм... ещё раз - если с обеих сторон ваши железки, что мешает гонять любую удобную вам сигнализацию поверх ипсека?

Хочу на конкретный ИП за напиши форвордить трафик в зависимости от домена

лучше использовать nginx

и переключаться на живой канал

лучше использовать nginx

Нджинкс за натом это умеет?

Эм... ещё раз - если с обеих сторон ваши железки, что мешает гонять любую удобную вам сигнализацию поверх ипсека?

ох. Видимо вам ничего не мешает. Дерзайте =)

Да как бы уже...

Я не разбираюсь в вебе от слова совсем :)

Нджинкс за натом это умеет?

да, можно выставить и будет ок

Года два работает, никто не жаловался

Да как бы уже...

рад за вас =)

да, можно выставить и будет ок

Что выставить?

Что выставить?

ну порты за нат выставьте у сервера на котором будет nginx. или опишите всю задачу

Хочу при обращении на 80 порт в зависимости от домена пробрасывать трафик на разные хосты

Хочу при обращении на 80 порт в зависимости от домена пробрасывать трафик на разные хосты

это не вся задача. Это ваши хосты? Ваши домены? или это сторонние сайты. Порт где? На вашем адресе или где-то публичный чужой?

Есть дом. Есть home.lex.la – домен висящий на микротике. Хочу поднять хттп-сервер за натом и сделать доступным его из мира по lex.la

Не лишившись вебки микротика на 80 порту из интранета

Хочу при обращении на 80 порт в зависимости от домена пробрасывать трафик на разные хосты

если это ваш адрес, за которым у вас сейчас веб сервер, то можно настроить это средствами вебсервера - так умеют все. Если у вас несколько серверов и нужно разрулить где-то на балансировщике, то ставите nginx он смотрит на проброшенный трафик (он опубликован так как у вас сейчас опубликован веб сервер) и вы его настраивает на режим прокси, в настройках можно указать при каком доменном имени на какой веб сервер в итоге отправлять запросы

Не лишившись вебки микротика на 80 порту из интранета

а вот это уже не получится (или откройте только для локалки), просто перенесите её на другой порт и не мучайтесь

а вот это уже не получится (или откройте только для локалки), просто перенесите её на другой порт и не мучайтесь

ну почему не получится, достаточно добавить пару матчей в правило dnat на http-сервер

ну почему не получится, достаточно добавить пару матчей в правило dnat на http-сервер

ну да, так тоже можно. Имхо вариант с портом и проще и безопаснее.

если это ваш адрес, за которым у вас сейчас веб сервер, то можно настроить это средствами вебсервера - так умеют все. Если у вас несколько серверов и нужно разрулить где-то на балансировщике, то ставите nginx он смотрит на проброшенный трафик (он опубликован так как у вас сейчас опубликован веб сервер) и вы его настраивает на режим прокси, в настройках можно указать при каком доменном имени на какой веб сервер в итоге отправлять запросы

То есть хттп запрос содержит домен обращения и энджикс за натом сможет понять к чему было обращение?

То есть хттп запрос содержит домен обращения и энджикс за натом сможет понять к чему было обращение?

да. http://nginx.org/ru/docs/http/ngx_http_proxy_module.html#proxy_pass

То есть хттп запрос содержит домен обращения и энджикс за натом сможет понять к чему было обращение?

даже сможет по локейшину (куску URL) или правилам направлять запросы. Он для этого (в том числе) был придуман

Я знаю, что энджинХ умеет быть проксёй, я не был уверен, что он понимает куда было обращение, находясь за натом

Я знаю, что энджинХ умеет быть проксёй, я не был уверен, что он понимает куда было обращение, находясь за натом

хост передайтся в заголовках HTTP (и HTTPS), в том плане, что нат не помеха

Супер, спасибо!

О. Раз уж мы говорили про IPsec: никто не пользовался (туннельным) IPsec с клиентами на iOS?

Им как-нибудь можно передать адрес DNS-сервера для использования внутри VPN (вместе со списком доменов для поиска)?

О. Раз уж мы говорили про IPsec: никто не пользовался (туннельным) IPsec с клиентами на iOS?

Пользуюсь

Им как-нибудь можно передать адрес DNS-сервера для использования внутри VPN (вместе со списком доменов для поиска)?

Разве дхцп на нужном интерфейсе этого не делает?

Я не пользуюсь l2tp

В настройках iOS это называется "Cisco VPN"

т. е. туннельный IPsec с psk и xauth

и расширением для split-include

У микротика в /ip ipsec mode-config есть настройки system-dns и static-dns, но я не смог заставить iOS их учитывать.

Т. е. я вписываю туда адрес DNS-сервера, доступного через этот VPN (т. е. лежащего внутри split-include подсетей), и он не работает.

Т. е. я вписываю туда адрес DNS-сервера, доступного через этот VPN (т. е. лежащего внутри split-include подсетей), и он не работает.

можешь экспортнуть твои настройки, я быстренько стенд у себя подниму проверю

уже выпилил, сейчас пересоздам и экспортну

/ip ipsec policy group add name=individuals /ip ipsec proposal add name=individuals auth-algorithms=sha1 enc-algorithms=aes-128-cbc pfs-group=modp2048 /ip ipsec policy add group=individuals proposal=individuals action=encrypt ipsec-protocols=esp src-address=10.159.230.0/24 template=yes /ip pool add name=individuals ranges=10.159.233.2-10.159.233.254 /ip ipsec mode-config add name=individuals split-include=10.159.230.0/24 static-dns=10.159.230.1 address-pool=individuals add address=0.0.0.0/0 auth-method=pre-shared-key enc-algorithm=aes-128 exchange-mode=ike2 generate-policy=port-strict mode-config=individuals passive=yes policy-template-group=individuals secret=123 На iOS всё как обычно.

Только это iOS, а не IOS, на всякий случай =)

Только это iOS, а не IOS, на всякий случай =)

у тебя сертификаты не логины и пароли?

Пока что у меня ещё ничего нет, только pre-shared key.

Будут сертификаты, т. к. мт не умеет логины/пароли с ike2.

Если вообще будут, потому что DNS нужен и если я его не сделаю, то для отдельно стоящих машин подниму OVPN.

Будут сертификаты, т. к. мт не умеет логины/пароли с ike2.

а линк поднимается?

Линк поднимается, адреса пингуются, а заресолвить условный router.lan не могу.

(router.lan прописан в static DNS микротика, если что; remote requests, разумеется, включены)

щас сек тогда

го в лс

какая максимальная мощность на hap ac lite? в capsman забить чуть ослабленно, пересекаются 2 точки, разведенные по разным каналам - есть у кого ответ?

какая максимальная мощность на hap ac lite? в capsman забить чуть ослабленно, пересекаются 2 точки, разведенные по разным каналам - есть у кого ответ?

Что имеешь в виду? Если тебе покрытие важно сделать грамотным, то его и делай, параметр мощность радиотракта точки влияет на него (на хорошее покрытие) не то чтобы прямо в лоб. Лучше померять сейчас как точки вещают в эфире чемто от ekahau (у них там мерялка бесплатная)

какая максимальная мощность на hap ac lite? в capsman забить чуть ослабленно, пересекаются 2 точки, разведенные по разным каналам - есть у кого ответ?

А сама циферка 30 максимальная. Но выкручивать ее не стоит

А сама циферка 30 максимальная. Но выкручивать ее не стоит

Ок, спс

Всем привет. Подскажите пожалуйста как на микротике запретить к smb (папкам шары винды) на компьютере ? Дроп пакетов по портам netbios на ip не помогает

ERROR: S client not available

Чот в 6.38.3 странные проблемы с iBGP.

внутри локалки - только через bridge firewall

EoIP упал, поднялся и всё, маршруты не ловятся. Приходится ребутать.

Всем привет. Подскажите пожалуйста как на микротике запретить к smb (папкам шары винды) на компьютере ? Дроп пакетов по портам netbios на ip не помогает

внутри сети?

если между сетями - 135 и 445

внутри сети?

Да

Да

если трафик идёт через роутер - то файрвол на бридже и запрет, но очень похоже (в том плане что чаще всего так) что он у вас идёт через коммутатор. Запретите все виндовым файрволом и групповыми политиками

если трафик идёт через роутер - то файрвол на бридже и запрет, но очень похоже (в том плане что чаще всего так) что он у вас идёт через коммутатор. Запретите все виндовым файрволом и групповыми политиками

Спасибо.

если трафик идёт через роутер - то файрвол на бридже и запрет, но очень похоже (в том плане что чаще всего так) что он у вас идёт через коммутатор. Запретите все виндовым файрволом и групповыми политиками

так же можно использовать "Use IP Firewall" в настройках бриджей

так же можно использовать "Use IP Firewall" в настройках бриджей

ээммм, как бы это и есть "файрвол на бридже"

ээээм, как бы есть фильтр еща на L2

ээээм, как бы есть фильтр еща на L2

но его нельзя использовать для этой задачи. Но ок, замечание к формулировке принято =)

почему нельзя?

почему нельзя?

потому что из него нельзя влоб прочитать номер порта (того что l3)

))))

прикольно, не знал. Пасиб.

Есть потенциальный клиент, недавно переехали в новый офис. "Ядро сети" kinetik ultra 2 Скорость 70 мб/с Площадь офиса 150 м2 12-13 Стационарных раб мест 10 устройств по wifi Что им поставить в качестве вайли, а что в качестве роутера?

И да, здравствуйте

Есть потенциальный клиент, недавно переехали в новый офис. "Ядро сети" kinetik ultra 2 Скорость 70 мб/с Площадь офиса 150 м2 12-13 Стационарных раб мест 10 устройств по wifi Что им поставить в качестве вайли, а что в качестве роутера?

а самого зюкселя не хватает?

Говорят проседает

Интернет пропадает и нужно ребутать

Микротик же вывезет 70мб?

Говорят проседает

3011 взять, должно с запасом быть. На дальнюю часть офиса поставить этот зюксель в режиме AP чтобы расширить покрытие через медный провод

Микротик же вывезет 70мб?

=))))

=))))

Ну что ты смеешься? я с такими скоростями не работал

Микротик же вывезет 70мб?

лехко и непринужденно

Кстати, у микротика вайфай сделан из говна и мочи, или это мне так везет?

опять же смотря какой

lite может поперхнуться