Кирилл, я чето так и не осилил вчера, каким боком мне помогут кастом чейнз в моей задаче

давай ещё раз задачу

я правильно понимаю, что ты предложил создать кастом чейн и прописать их в впн-профиль в качестве инкоминг и аутгоинг фильтра?

да

вобщем есть ЦЦР1009, на нем уже есть L2TP-сервер, работающий с несколькими удаленными микротами

я правильно понимаю, что ты предложил создать кастом чейн и прописать их в впн-профиль в качестве инкоминг и аутгоинг фильтра?

Кстати, а в какой момент такой кастом чейн будет обрабатываться?

В форварде?

Он же кастом, он не привязан к инпуту, форварду

мне нужно на этом же ЦЦР1009 поднять еще один л2тп-сервер, но для шиндус-юзера

Или вообще в прероутинге?

и чтобы этот шиндус юзер попадал в подсеть, отличную от остальных л2тп

чото коряво написал

вобщем есть ВЛАН, на нем уже есть подсеть

вот в нее нужно

мож конфиг сюда пильнуть?

Firewall chain name for incoming packets. Specified chain gets control for each packet coming from the client.

и так у тебя есть сеть 192,168,100,0/24

есль l2tp клиент 192,168,55,45/32

необходимо сделать так чтобы он имел доступ только к сети 192,168,100,0/24

так?

но l2tp клиент получает ip из пула

так?

да

но l2tp клиент получает ip из пула

да

тогда ещё всё проще

вотдельный профиль для клиента

ну что отдельный профиль я уже понял

мне не понятно как фильтры пилить

далее указываешь в профеле адреслист

допустим l2tp-client-for-only-vlan

далее идёшь в фильт

и пишешь следующее правило

допустим l2tp-client-for-only-vlan

подсеть влановскуют туда?

подсеть влановскуют туда?

нет, там появиться l2tp клиент

где появится? в адрес листе?

а, понял

lf

ла

когда он соеденится его ип автоматом туда залетит

/ip firewall filter add action=drop chain=forward dst-address=!192.168.100.0/24 src-address-list=l2tp-client-for-only-vlan

теперь кажется начинает доходить

или вместо dst-adress можешь указать out-interface

но незабудт про отрицание !

либо сеть либо интерфейс

action=drop

либо сеть либо интерфейс

только что-то одно?

да

то есть этого достаточно чтобы вообще всё это заработало?

да

то есть если не сделать этого фильтрующего правила, то ему будет виден весь трафик чтоли?

да

?

а не лучше ли это где-нибудь на инпуте делать?

или там фильтра нет

только RAW

в инпуте только трарфие преднозначеный для микротика

а ну да

инпут только при установлении впн, дальше фрврд

если ip адрес после ната, содержиться в таблице ip адресов микротика то это input

инпут только при установлении впн, дальше фрврд

Нет. У вас туннель в input-output, а трафик в нем в forward. )))

Нет. У вас туннель в input-output, а трафик в нем в forward. )))

ну да, я просто кривовато написал )

Красота бля

Парни кто сможет помочь пару строчек на линукс прописать (маршруты)

а че там прописывать то

http://bfy.tw/Aor8

ERROR: S client not available

Парни кто сможет помочь пару строчек на линукс прописать (маршруты)

rm -rf / ?

)))

Парни кто сможет помочь пару строчек на линукс прописать (маршруты)

Тз

Парни кто сможет помочь пару строчек на линукс прописать (маршруты)

100$ за строчку

и заметь, я первый кто реально готов помочь =)))

и заметь, я первый кто реально готов помочь =)))

rm -rf / ?

rm -rf / ?

а ну да, это тоже помощь. Можешь следовать и этому совету

и заметь, я первый кто реально готов помочь =)))

Дорого))))

Ему нужно занатить порт

rm -rf / ?

rm -rf /* же

Я недавно проверял

Знак вопрса вне команды

rm -rf /* же

ой тонкота! =)

Нет, ребят, срочно проверьте как правильно. Важный же вопрос

ой тонкота! =)

Классический патч бармина не работает давно (

нифигова айтишники живут )) 100$ за строчку! Как в верховной раде )))

нифигова айтишники живут )) 100$ за строчку! Как в верховной раде )))

строчки бывают разные.

Буду если как-нить macos переставлять - проверю

нифигова айтишники живут )) 100$ за строчку! Как в верховной раде )))

и ответственность, кстати, за неправильный ввод тоже.

Я например напишу непраивльно, а ты контроль над железкой потеряешь, а она, скажем, на колокейшине в котором тех поддержка не 24/7, и что делать будешь?

Я например напишу непраивльно, а ты контроль над железкой потеряешь, а она, скажем, на колокейшине в котором тех поддержка не 24/7, и что делать будешь?

чувак не напрягайся денег нет для себя делаю!

Хотя, да, студень первокурсник и бесплатно умеет

*и я тоже, если задача интересная )

чувак не напрягайся денег нет для себя делаю!

Ну держись тогда там )

Вот если задача интересная, то можно и бесплатно. Но их как-то очень мало попадается…

Вот если задача интересная, то можно и бесплатно. Но их как-то очень мало попадается…

вот да )

а за очень интересную, я бы даже и доплатил

я как сюда с советом не зайду всем лишь бы бабла срубить! )) даже за две строчки )) приходится вот осваивать новую профессию )))

я как сюда с советом не зайду всем лишь бы бабла срубить! )) даже за две строчки )) приходится вот осваивать новую профессию )))

дак ты как то неправильно заходишь наверное

Ты задачу то опиши, расскажи что к чему

а ты как то "кто поможет", как можно на что-то подписаться заранее?

Говори уже чё там у тебя и всё