я же описал что в моей случае для этой задачи она не нужна

зачем юзать динамическую маршрутизацю если надо сделать site to site между двумя точками, с обоих сторон по одной сетки /24

зачем юзать динамическую маршрутизацю если надо сделать site to site между двумя точками, с обоих сторон по одной сетки /24

встречный вопрос - в чем сложность сделать гре+ипсец, а не просто ипсец?

ну просто так, из жизни

и заодно не подбирать MTU

ибо мту будет меньше, то есть пакетов будет больше при передачи одной еденицы информации. А чем прощего всего положить control plane любого сетевого оборудования? packet rate

динамическую маршрутизацию использовали в этом кейсе?

Нет

поэтому не имея необходимости делать маленький mtu - плохой подход

mtu в любом случае подбирать

будь то чистый ipsec или ipsec+ что угодно

Вот есть у меня железки одного китайского бренда, которые умеют хардварный айписец, и они делают именно так - сразу бросают ipsec. С тех пор я эту схему люто ненавижу, возможно это влияет на то мнение, которое сейчас высказываю.

просто тут дело в другом , в китае ребята уважают ipsec, там альтернативы просто нет, все остальное бреет лютый китайский фаервол

еще есть softEtherVPN

его еще юзают но это другая тема

У вас какая то специфика по каналам что вы MTU подбираете?

по разному бывало, конкретно в этом контексте специфики каналов нет. Ethernet в чистом виде с mtu 1500

на сколько я помню было 1420

Ну так да. L2tp/ipsec, вот вам и шифрование

там как раз смысл в том, что шифрование БЕЗ ипсек

да, оно проще/хуже, но это уже другой немного вопрос

там как раз смысл в том, что шифрование БЕЗ ипсек

Пример?

Пример?

цитата была с офф.вики. опять неправда?

цитата была с офф.вики. опять неправда?

Ну вы уверены, что вот это use-encryption работает в l2tp и шифрует именно трафик, а не участвует в аутентификации?

Мне просто с телефона не очень удобно сейчас искать описание протокола

Ну вы уверены, что вот это use-encryption работает в l2tp и шифрует именно трафик, а не участвует в аутентификации?

в этом смысле - нет, не уверен. но зачем тогда писать про "encrypted links"?

на сколько я помню было 1420

Это где такой мту?

А вообще, у гре оверхед меньше чем у л2тп, пптп, еоип

И он изи

а обязательно задавать адреса для гре? будет ли работать маршрутизация, если шлюзом просто тунель указать?

Будет

я тут понял начал понимать разницу между "клиент-серверным л2тп" и "классичеким гре" =)

Будет

да, просто гре так выглядит изее некуда =)

Хай всем

у когонибудь были проблемы с вифи на RB941-2nD-TC (hAP lite)

эфир конечно загружен, но с другим роутером в этом же эфире проблем не было

че-то я сломал гре. пробовал ипсек там использовать, а теперь даже просто гре не поднимается... :-/

че-то я сломал гре. пробовал ипсек там использовать, а теперь даже просто гре не поднимается... :-/

Отключает ипсек

Отключаешь ипсек, делаешь просто гре

Далее добавляешь ипсек

Делай по порядку

Заработало одно, делаешь следующее

Заработало одно, делаешь следующее

в том и дело, что просто гре перестал подыматься. хотя работало

Сбрасывай и по новой

Сбрасывай и по новой

что именно?

я могу только туннель. конфиг роутера никак низя. в работе он. и один из них в другом городе

туннель пробовал уже пересоздавать. разные интерфейс указывать для локального и ремотного - нифига. сниффер на интерфейсах про гре тоже не показывает нифига

у меня тож такое было, адрес непрально написал, вместо 80 - 89 =) Истина в мелочах порой

я адреса уже именами указываю. у меня специально для этого подготовлены записи в днс

а когда задан параметр keepalive - я должен видеть эти пинги снифером на WAN интерфейсе? или на самом тунельном интерфейсе?

просто у меня на обоих роутерах в сниффере пусто

Посмотри в /ip ipsec ничего не осталось лишнего?

Посмотри в /ip ipsec ничего не осталось лишнего?

похоже остатки ипсек мешали. поубирал все подозрительное - гре поднялись. понаблюдаю как будут себя вести

)

но если так, то мне не очень нравится такое поведение. можно незная долго ломать голову

Ребят, подскажите, как в хотспоте разрешить 137,138...445 порты?

но если так, то мне не очень нравится такое поведение. можно незная долго ломать голову

Пишите баг-репорт. Я серьезно.

По умолчанию как то кривой работает, и периодически все отваливантся

Ребят, подскажите, как в хотспоте разрешить 137,138...445 порты?

https://wiki.mikrotik.com/wiki/Manual:Customizing_Hotspot#Firewall_customizations

Ребят, подскажите, как в хотспоте разрешить 137,138...445 порты?

В файерволе

Спасибо большое

Пишите баг-репорт. Я серьезно.

да, похоже не помешает. но сначала надо самому четко понять косяк это или фича

Просто увидел незнакомые чейны, и растерялся чет

Унауф ннада

Hs-unauth?

hs-unauth для неввторизованных. hs-auth для авторизованных

Ушел )) Буду к ночи )

Hs-unauth?

Да, правила писать перед остальными

hs-input это весь трафик?)

ERROR: S client not available

hs-input это весь трафик?)

по логике это на сам роутер или что там

или для этих неведомых хотспотов иначе устроено?

по логике это на сам роутер или что там

+

кстати про гре тунели. про них написано, что для работы ипсек надо укзать оба адреса - тогда автоматом сгенерятся необходимые настройки ипсек. если у меня два прова в офисе и да в филиале - надо делать 4 тунеля, т.к. там будет жестко указано откуда и куда подключаться...

чую, что в таком случае будет "правильнее" руками настраивать ипсек...

А зачем тебе 4ре тунеля?

source-address то можно указать локальный

в таком случае не важно сколько к тебя будет провайдеров

трафик тунеля будет ходить через того где у тебя дефолт

я делал такую схему правда на кошках, source-interface loopback X

Товарищи кто использует смс информирование у себя на модемах?

Ребя, а какие ща бестпрактисы в организации вайфая в миниотеле? С авторизацией

Товарищи кто использует смс информирование у себя на модемах?

информирование о чем?

для отправик смс нужно переключаться на 2г/3г, тогда интернет отвалится :(

я делал такую схему правда на кошках, source-interface loopback X

попробую, спасибо

информирование о чем?

о чем угодно, меня интересует сколько денег уходит, нашли ли адекватный тариф только под смс

И видел ли кто в МСК переходники miniPcie to PCIe

в тех переходниках всё равно не будет слота для симки

в переходниках нет, а вот вставить карточку mini pcie можно

Еще вопрос, у кого нибудь реализовано выполнение скриптов на микротике из чата Telegram?

На хабре видел тему

да я по ней и делаю, однако есть проблема. Там человек сделал защиту от дурака чтобы бот отвечал только хозяину. Меня же он за хозяина не считает =((((

Своего бота делай

свой и сделан

Чат ид проверь

Это три шага у ботфазера

проверил, он бы и не писал в мой чат я так понимаю.

Это три шага у ботфазера

свой сделан, у меня уведомления сделаны в других группах

Ребя, а какие ща бестпрактисы в организации вайфая в миниотеле? С авторизацией

Например купить у меня WifiSocial. Как раз под микроты заточено

Например купить у меня WifiSocial. Как раз под микроты заточено

О как. Где почитать? В гугле?

Да тоже интересно

Оооочень