У меня так дома сделано. beeline с его iptv

но. возникает вопрос, что делать с резервированием если пров падает, как мне зарулить трафик на резерв, который скажем на eth4 висит?

4-5 порты в бридже

Скриптом?

Скриптом?

у устройства которое воткнутно в eth3, назначен, скажем 109.10.10.2 и шлюз используется 109.10.10.254 и теперь мне этот трафик надо отправить натить в eth4

по идее - никак ) между eth1 и eth2 - свичинг

у тебя резерв что из того же бродкаста что и основной канал?

или как устройство на езер3 должно быть доступно?

у тебя резерв что из того же бродкаста что и основной канал?

Нет, другой пров, но с /30

ну а устройство на езер3 ты как собрался переносить на другого провайдера?

тогда только нат 1:1, что бы при наличии ИСП1 оно работало через него и было доступно по внешней айпишке. А при работе через ИСП2 просто работало ?

2 бриджа и запихивать нужный порт в один или другой

Вощим благодаря последним приобретенным знаниям, пришлось переписать минимальный типовой конфиг на корпоративной вики

ну а устройство на езер3 ты как собрался переносить на другого провайдера?

Вот мне и интересно, возможно ли что то придумать.

Вощим благодаря последним приобретенным знаниям, пришлось переписать минимальный типовой конфиг на корпоративной вики

Причесал бы. Инпут отдельно форвард отдельно

Причесал бы. Инпут отдельно форвард отдельно

Не, мне так легче понимать, не нужно глазами бегать по строкам

Вот мне и интересно, возможно ли что то придумать.

никак, роут то в мире ведет на ИСП1. у тебя же не своя AS ?

я пробовал, правда

никак, роут то в мире ведет на ИСП1. у тебя же не своя AS ?

Мангал использовать

Метить пакеты

никак, роут то в мире ведет на ИСП1. у тебя же не своя AS ?

Ну 2 VPN через 2 провайдеров на ДЦ с tier-3. И там уже своя AS и все такое

И юзайте хоть 10 провов единовременно

я пробовал, правда

На самом деле удобнее именно по цепочкам раскладывать. Форвард посередине инпута отвлекает

Метить пакеты

в где? между eth1 и eth3 свичинг

в где? между eth1 и eth3 свичинг

Разобрать

Разобрать

а как предлагаете тогда на устройстве за eth3 иметь публичный айпи от ISP1 ?

И юзайте хоть 10 провов единовременно

маршрут из мира на айпишку всеравно вдеет через ИСП1. крутись не крутись а через ИСП2 трафик к ней не пойдет

а как предлагаете тогда на устройстве за eth3 иметь публичный айпи от ISP1 ?

Нат 1:1

а как предлагаете тогда на устройстве за eth3 иметь публичный айпи от ISP1 ?

захерачить недавнюю схему с извращенными субинтерфейсами)))

маршрут из мира на айпишку всеравно вдеет через ИСП1. крутись не крутись а через ИСП2 трафик к ней не пойдет

Я про ситуацию с натом

???

с натом то понятно. но єто только даст инет на устройство. Но всеравно айпишку не сделает доступной через несколько провов ?

Парни я убежал )) Суббота )))

с натом то понятно. но єто только даст инет на устройство. Но всеравно айпишку не сделает доступной через несколько провов ?

пащиму не сделает доступной через несколько провов?

а как предлагаете тогда на устройстве за eth3 иметь публичный айпи от ISP1 ?

а это обязательное условие?

пащиму не сделает доступной через несколько провов?

айпишка белая. провайдеро-привязаная

может отказаться от белого адреса? и получить возможность настроить файловер

куда пойдет трафик на эту айпишку? Правильно, в АS первого провайдера

так в ас или на ипшку?

может отказаться от белого адреса? и получить возможность настроить файловер

белый адрес отдельно, фейловер отдельно

с НАТ 1:1 можно будет иметь и то и то

айпишка белая. провайдеро-привязаная

Не, я чот не пойму, в чем проблема ходить либо на тот адрес либо на другой и попадать на один фиг тот же самый сервор?

так в ас или на ипшку?

а айпишка то АС принадлежит, не?

Вы ж файловер хотели

А днсами ваще балансировку сделать

Я чет не понимаю в чем автор увидел опасность, что без указанного правила сразу всё плохо

Опасность в том, что твой маршрутизатор могут заюзать как маршрутизатор из той же подсети. У рукожопых провайдеров это доступно . У нормальных нет.

с натом то понятно. но єто только даст инет на устройство. Но всеравно айпишку не сделает доступной через несколько провов ?

Не, ну да. Будет с двух доступна

Опасность в том, что твой маршрутизатор могут заюзать как маршрутизатор из той же подсети. У рукожопых провайдеров это доступно . У нормальных нет.

да мы уже разобрали, я не знал такого момента что NAT микротик не такой NAT как cisco)))

Mikrotik еще и state оказывается отслеживает

да мы уже разобрали, я не знал такого момента что NAT микротик не такой NAT как cisco)))

Понял:) он в первую очередь маршрутизатор:)

кстати о стейтах

А уж потом все остальное

Понял:) он в первую очередь маршрутизатор:)

ачо маршрутизатор cysco не маршрутизатор?

друг неделю промудохался с амазоновским ВПН. так как они сделали его на бл___м ipsec и трафик к другой подсети шел через ВАН интерфейс. его маскарадило и как результат всё неработало ?. Догадались поделать исключения в правиле маскарадинга для ДСТ. адреслиста ? Тоесть с Амазон-сети пинговало локалку, с локалки амазон-сеть не пинговало ?

ачо маршрутизатор cysco не маршрутизатор?

Смысл в том что побоку циска или жунипер или элтекс и т.д.

Смысл в том что побоку циска или жунипер или элтекс и т.д.

ну вот как оказалось не побоку, есть свои нюансы у микротика

Вопрос не в бренде а в принципе работы маршрутизатора как устройства

всем спасибо. буду двигаться в сторону nat 1 : 1

всем спасибо. буду двигаться в сторону nat 1 : 1

Бестпрактикс

Вопрос не в бренде а в принципе работы маршрутизатора как устройства

Я же еще раз говорю - если вы сравните то как оно на микротике и не микротике, вы поймете, что такой нюанс что NAT на микротике интересует только new

думаешь на циске всегда будет маскарадить?

и две локалки через интерфейс с маскарадингом не соеденить?

думаешь на циске всегда будет маскарадить?

Оно будет отслеживать state?

не знаю

спрашиваю

и две локалки через интерфейс с маскарадингом не соеденить?

а причем тут это?

ERROR: S client not available

Оно будет отслеживать state?

Циска оса

Циска оса

давай пусть будет пока на аса)

Не будем усложнять)

давай пусть будет пока на аса)

Там Нат стейт отслеживается

Там Нат стейт отслеживается

Пусть будет 2911

а причем тут это?

ну частный случай когда может попортить жизнь. например два офиса в одном бродкасте провайдера. В фильтре разрешил форвард, прописал роуты. Вот и интересно заработает ли

Пусть будет 2911

Оно роутер, а не флаервол

Оно роутер, а не флаервол

А mikrotik 951 файрвол а не ровтер?

Оно роутер, а не флаервол

поясни

Хотя можно врубить инспект и будет тебе нев

А mikrotik 951 файрвол а не ровтер?

Роутер с ф-цией файера

поясни

ISG

Роутер с ф-цией файера

А 2911 не ровтер с фией файера?

спасибо, пояснил ?

А 2911 не ровтер с фией файера?

Как бы на микроте файер посильнее, согласись?

спасибо, пояснил ?

Позиционируется как сервисный гейтвей. Из файера имеет инспект и акл

А микротик полноценно в l7 может

Как бы на микроте файер посильнее, согласись?

относительно чего сильней? я л7 ваще не использую

относительно чего сильней? я л7 ваще не использую

Стейты коннектов как ловить будем?

Нью стейты ограничивать?

Стейты коннектов как ловить будем?

а ничо не понимаю, циска не умеет в стейты шталь?

у меня умеет

а ничо не понимаю, циска не умеет в стейты шталь?

Блять!

На 2911 ограничь ка подключения на 80 порт в 5 new в секунду

Аса может, да! Но не ios

На 2911 ограничь ка подключения на 80 порт в 5 new в секунду

Так сходу - только про секунды не может, да и то, мне кажца через class-map можно прикрутить

Кос не равен файеру

Самый прикол в том, что зачем ты сюда эти секунды прикрутил?) Остальное то может, да?)

Стейты же отслеживает. Но речь не о ACL вообще сейчас, а о том как в фундаментальном понимании работает NAT

Стейты же отслеживает. Но речь не о ACL вообще сейчас, а о том как в фундаментальном понимании работает NAT

Тут согласен

То что по терминологии цуско который тн оверлоад пат

Нат работает по своим канонам