И напиши, что на одноядерных микротах производительность накроется жопой до мегабит 20

надо просто поставить ещё один микротик! (с)Saab

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

для гостевого wifi лучше всего настраивать arp inspector

ip services лучше разрешать из доверенных сетей, а не менять порты

NAT повозможности описывать менбшим правилами, если это возможно

и если порты не меняются, то ненадо их указывать

NAT повозможности описывать менбшим правилами, если это возможно

Может ты ему писал?)))

именнно

Вообще чем меньше правил в файере, тем лучше)

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

wpa-psk - нелучший метод

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

tkip - забудь про 802.11n

Вообще чем меньше правил в файере, тем лучше)

Ну тут была задача именно защитить по максимуму.

Скажите пожалуйста еще вот что, как проверить скорость интернета непосредственно с микротика

tkip - забудь про 802.11n

Ага, пасиб, поправлю

Скажите пожалуйста еще вот что, как проверить скорость интернета непосредственно с микротика

Если до другого микрота, то есть BTserver/Client

Если до другого микрота, то есть BTserver/Client

Это да, другого микротика нету

Это да, другого микротика нету

Забить

Ок

Это да, другого микротика нету

btest.exe с другой стороны. Но вообще мерить так скорость криво. Процессор не тем занят )

Скажите пожалуйста еще вот что, как проверить скорость интернета непосредственно с микротика

https://forum.mikrotik.com/viewtopic.php?t=104266

Скажите пожалуйста еще вот что, как проверить скорость интернета непосредственно с микротика

Btest до публичных серверов

Ребят, а покритикуйте пожалуйста (ток по делу) https://nixman.info/?p=2752 В общем такой себе базовый мануальчик по поднятию офисного роутера из микротика. Полноценной лабы сейчас нет возможности поднять, так что мог кой чего упустить ;)

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 - Несовсем верно правило составлено. Добавьте туда адрес-листы. Без них будет натиться любая сетка (а это не всегда нужна). А во-вторых если вы будете достукиваться из одной локальной сети на другую то он пакет отправит в нат.

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 - Несовсем верно правило составлено. Добавьте туда адрес-листы. Без них будет натиться любая сетка (а это не всегда нужна). А во-вторых если вы будете достукиваться из одной локальной сети на другую то он пакет отправит в нат.

fixed, спасибо

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 - Несовсем верно правило составлено. Добавьте туда адрес-листы. Без них будет натиться любая сетка (а это не всегда нужна). А во-вторых если вы будете достукиваться из одной локальной сети на другую то он пакет отправит в нат.

эээмм чё?

эээмм чё?

у него правило отправлять все на нат. из локалки в локалку нат не нужен

/ip firewall nat add action=masquerade chain=srcnat comment="NAT Internet" out-interface=ether1 - Несовсем верно правило составлено. Добавьте туда адрес-листы. Без них будет натиться любая сетка (а это не всегда нужна). А во-вторых если вы будете достукиваться из одной локальной сети на другую то он пакет отправит в нат.

во первых, негоже локальный трафик выпускать без srcnat, вопервых вопрос безопастности, во вторых некоторые провайдеры "бьют за это по рукам", а во вторых под нат попадёт только трафик который уходит с первого интерфейса, каким образом он будет натит локальные сети?

Лицензия RouterOS выгадно http://forum.nag.ru/forum/index.php?showtopic=127862 Предлагаю лицензию 6-тово уровня всего за 100 рублей. Просто положите 100 рублей на qiwi +79601238070. Лицензия к вам придет по смс

Было уже?

Лицензия RouterOS выгадно http://forum.nag.ru/forum/index.php?showtopic=127862 Предлагаю лицензию 6-тово уровня всего за 100 рублей. Просто положите 100 рублей на qiwi +79601238070. Лицензия к вам придет по смс

нее, я хотел запостить, но думал раньше грохнут )

Грохнули же

интересно,хоть 1 повелся

Лицензия RouterOS выгадно http://forum.nag.ru/forum/index.php?showtopic=127862 Предлагаю лицензию 6-тово уровня всего за 100 рублей. Просто положите 100 рублей на qiwi +79601238070. Лицензия к вам придет по смс

Грохнул уже)

то ли шутка, то ли спам)

Но прикольно

разбираться не стал)

да и там сам ТС сообщение удалил

заменил текст на DELETED

во первых, негоже локальный трафик выпускать без srcnat, вопервых вопрос безопастности, во вторых некоторые провайдеры "бьют за это по рукам", а во вторых под нат попадёт только трафик который уходит с первого интерфейса, каким образом он будет натит локальные сети?

Что значит без срцнат? В правиле же указана цепочка? Про локалки понятно

Просто интересно

Что в этом правиле не так и как оно должно быть?

Что в этом правиле не так и как оно должно быть?

в правиле всё так

А насчет чего про безопасность говорили?

блин, я не тому ответил

у него правило отправлять все на нат. из локалки в локалку нат не нужен

вот сюда должен был

вот сюда должен был

Терь понял:) а то прочитал и Чо то подливкой прыснул в трусцы:)

во первых, негоже локальный трафик выпускать без srcnat, вопервых вопрос безопастности, во вторых некоторые провайдеры "бьют за это по рукам", а во вторых под нат попадёт только трафик который уходит с первого интерфейса, каким образом он будет натит локальные сети?

Я имею ввиду трафик между локальными сетями. многие провайдеры отдают серые сети клиентам(по dhcp, либо по другим технологиям)[а знаю я таких не понаслышке]. Так вот бывали такие ситуации, что при указании dst адреса из своей локальноый сети, мой трафик развернулся через провайдера. Так вот я и говорю просто маскарадить все и вся без адресов-листов в сторону прова нельзя.

Непонял

Вот у меня дома провайдер отдаёт 10.0.0.0/22

А дома у меня 172.20.17.0/24

Почему я должен что-то не натить

ок. вот появится у тебя сеть 172,20,18,0/24 а прова такая же будет. угадай куда трафик полетит

Один в один сеть?

Тогда тебя не спасёт обычный нат

Поможет vrf

ок. вот появится у тебя сеть 172,20,18,0/24 а прова такая же будет. угадай куда трафик полетит

https://habrahabr.ru/post/282858/

Тогда тебя не спасёт обычный нат

достаточно правиле nat в dst address или list сделать так: !172.20.18.0/24 и не надо будет никаких врф

достаточно правиле nat в dst address или list сделать так: !172.20.18.0/24 и не надо будет никаких врф

А нечего что у тебя одна из сетей не будет работать, так как два одинаковых маршрута не могут быть

Один из них будет не активный

А нечего что у тебя одна из сетей не будет работать, так как два одинаковых маршрута не могут быть

нат - это не маршрутизация. почему-то у меня все работает и причем нормально и стабильно

Эмм

Ок

Смотри

Ты добавляешт адрес, на интерфейс провайдера 172.20.18.200/24

Микротик создаёт коннектед. Маршрут 172.20.18.0/24

На интерфейсе провайдера

Ты добавляешт адрес, на интерфейс провайдера 172.20.18.200/24

стоп. стоп. зачем адрес не интерфейс провайдера. эта сеть может быть за 10.0.0.0/22

Микротик создаёт коннектед. Маршрут 172.20.18.0/24

при коннектед-сети да, поскольку она приоритетная

ERROR: S client not available

Ок, я понял тебя какая-то внутренняя сеть провайдера

Например у меня интерзет днс хранит в сети 192.168.21.0/24

Если у меня такая-же подсеть

И я ненатю этот трафик

Допустим с адреса 21.2 отправлю днс запрос на сервер 21.100

И придёт он в локалку, на другой хост.

Впервых этот адрес будет искаться в локальной сети

Допустим с адреса 21.2 отправлю днс запрос на сервер 21.100

у тебя не будет тут маршрутизации. это один сегмент

Ну

Тогда в чем проблема та?

Зачем адрес листы?

Ну а даже если каким-то образом такой пакет улетит

То как ты думаешь какому хосту ответит днс сервер?

Начнем с того, что если провайдер отдает серые адреса, тогда необходимо сменить адрксацию в своей сети дабы не городить колхоз

Начнем с того, что если провайдер отдает серые адреса, тогда необходимо сменить адрксацию в своей сети дабы не городить колхоз

Без колхоза жизнь не мила)))

А так да

Начнем с того, что если провайдер отдает серые адреса, тогда необходимо сменить адрксацию в своей сети дабы не городить колхоз

разочарую. эти сети же могут быть и у провайдера. меняй-не меняй пофиг будет. да и к тому же никто из нас не может знать что может в сети прова творится...

ок. расскажу про свою ситуацию и как настроено.

ок. расскажу про свою ситуацию и как настроено.

Ждемс

есть провайдер. есть pppoе-соединение. получаю адресацию из сети 10.0.0.0/8, а при трассировке есть еще и 172 сеть. Есть впн. он отдает 2 сети динамически 10.35.7.0/24 и 10.35.8.0/24. так вот если я на прова сделаю полный маскарад, то сети за впн я уже не увижу. весь трафик на эти сети занатиться. Вот чтобы избежать этого. в правиле маскарадинга я исключаю эти сети в dst-list: !FULL(адрес-лист в котором эти сети). И все фурычит нормально.

Маска какая?

А ну птп значит /32

/32

всем привет

подскажите, пожалуйста, на микротике можно при прохождении пакета оставлять ttl как есть, не уменьшая его?

МОжно

видел там только назначение определенного

но запрета на уменьшение не видел

Там есть increase

в мангле смотреть?

есть провайдер. есть pppoе-соединение. получаю адресацию из сети 10.0.0.0/8, а при трассировке есть еще и 172 сеть. Есть впн. он отдает 2 сети динамически 10.35.7.0/24 и 10.35.8.0/24. так вот если я на прова сделаю полный маскарад, то сети за впн я уже не увижу. весь трафик на эти сети занатиться. Вот чтобы избежать этого. в правиле маскарадинга я исключаю эти сети в dst-list: !FULL(адрес-лист в котором эти сети). И все фурычит нормально.

Какой впн?

во, нашел, спасибо!