жесть

Подскажите, как решить задачу. Есть микротик с айпишником из внутренней сети 192.168.a.b, при обращении на который на порт xxxxx нэтмапится на внешний адрес с портом yyyyy. Как на другом микротике со своим выходом в Интернет (но из той же внутренней сети) перехватывать и переадресовывать за NAT пакеты, отправляемые на 192.168.a.b:xxxxx?

не очень понятно есть микротик с внутренним адресом 192.168.a.b, и все что прилетает на порт xxxx уходит на некий публичный адрес:yyyy ?

ага. и это нужно перехватывать и засылать на другой адрес

да, именно!

как это правильно сделать?

а цель то какая?

:) забрать чужой трафик видимо

отправитель дропнет трафик от второго микрота

занести в контору свой роутер, подцепить по вафле или шнуру и вытаскивать пакеты предназначеные роутеру

цель, сделать так, чтобы на удалённом объекте (есть связь по радиоканалу) внешний сервис был доступен через свой Интернет

вот сейчас канал между объектами упал из-за аварии в сети питания, и сервис недоступен.

цель, сделать так, чтобы на удалённом объекте (есть связь по радиоканалу) внешний сервис был доступен через свой Интернет

а на устройстве которое шлет траффик нет возможности поменять шлюз по умолчанию?

вот сейчас канал между объектами упал из-за аварии в сети питания, и сервис недоступен.

fail over каналы на одном микротике стройте

fail over не нужен

и не надо придумывать второй микротик

fail over не нужен

нужен выделенный канал для устройства?

у каждого объекта свой выход в Интернет. Но исторически сложилось, что внешний сервис был доступен через главный филиал

а вот теперь внутренняя сеть упала, Интернет у всех есть, а нужного сервиса нет :)

понятно, что я запутался )

рисуйте схему

без топологии сети не могу как то помочь

Схема не нужна. Нужно dsnat'ить пакеты для 192.168.a.b, который назначен на интерфейсе на другом маршрутизаторе

Схема не нужна. Нужно dsnat'ить пакеты для 192.168.a.b, который назначен на интерфейсе на другом маршрутизаторе

ага. ну как хотите )

Ну и OSPF присутствует в сети на всех маршрутизаторах

Ну и OSPF присутствует в сети на всех маршрутизаторах

да да.

Схема не нужна. Нужно dsnat'ить пакеты для 192.168.a.b, который назначен на интерфейсе на другом маршрутизаторе

с моделью OSI знакомы?

Есть главный офис со своими сетями 192.168.x и WAN IP на RB. Есть удалённые филиалы 192.168.y на RB. Радиоканалы между филиалами. У одного из филиалов появился свой WAN IP от другого провайдера. В главном офисе исторически был виртуальный IP 192.168.a.b для внешнего сервиса, который dsnat'ит все пакеты для порта xxxxx на колокейшн. Вот теперь удалённому филиалу надо заворачивать все запросы на 192.168.a.b и самому эти пакеты dsnat'ить.

Да, я знаком с моделью OSI

Как то ваша сеть странно "эволюционирует" (отсылочка к нику ))

Да, костыли на костылях :)

как бы не выдали бы ей премию имени вас =)

Как то ваша сеть странно "эволюционирует" (отсылочка к нику ))

Приспосабливается к новым условиям

Есть главный офис со своими сетями 192.168.x и WAN IP на RB. Есть удалённые филиалы 192.168.y на RB. Радиоканалы между филиалами. У одного из филиалов появился свой WAN IP от другого провайдера. В главном офисе исторически был виртуальный IP 192.168.a.b для внешнего сервиса, который dsnat'ит все пакеты для порта xxxxx на колокейшн. Вот теперь удалённому филиалу надо заворачивать все запросы на 192.168.a.b и самому эти пакеты dsnat'ить.

долго читал, но мало что понял из объяснения. не смогу вам помочь

Вот смотрите. Есть сеть 192.168.1.0/24 Из неё пользователи обращаются к сервису по адресу 192.168.0.1:12345. Мне нужно, чтобы RB перехватывал пакеты для этого адреса и перенаправлял их через dsnat на внешний IP, а потом возвращал пакеты обратно отправителю из 192.168.1.0/24

Естественно, что IP 192.168.0.1 в сети присутствует, но на другом маршрутизаторе

пользователи из сети 192.168.1.0/24 - у них сеть 192.168.0.1 через что доступна?

через df gw?

и DF GW - это RB в этой сети?

ну пишешь правило, по которому пакеты на 12345 отправляются на 93.70.12.15:54321. На 93.70 пишешь правило на форвард с порта 54321, и в обратную сторону аналогично

НО

Я не уверен что можно отправлять пакеты, предназначенные для локального адреса и порта на внешний айпишник. Вообще для этого впн делается, и маршрутизация между сетями по впн, вроде так как то должно работать

так как минимум безопаснее

пользователи из сети 192.168.1.0/24 - у них сеть 192.168.0.1 через что доступна?

через свой RB с внешним IP, который знает маршрут к 192.168.0.0/24 из таблицы OSPF

через свой RB с внешним IP, который знает маршрут к 192.168.0.0/24 из таблицы OSPF

надо правило nat сделать тогда /ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.1.1 dst-port=4445 log=yes log-prefix=4445 protocol=tcp to-addresses=95.168.81.28 to-ports=91

все запросы на 192.168.1.1 на порт 4445 натить на 95.168.81.28 порт 91

Спасибо, простой проброс сработал! :) Я думал, что нужно отдельно пакеты до nat'а маркировать. Вопрос закрыт.

Есть вопрос: можно ли из filters делать редирект?

Или костыли сооружать?

Есть вопрос: можно ли из filters делать редирект?

В нате есть такой экшн

Есть вопрос: можно ли из filters делать редирект?

только из nat

В нате есть такой экшн

Эт я знаю. Окей. А можно как то логическую цепочку из filters в nat построить?

Объясняю, есть два клиента, все различия между ними только в filter-id

И мне одного нужно редиректить, а второго не трогать)

ну тогда тебе надо перенести это дело в mangle, а уже по меткам можно будет решать, перенаправлять или нет.

ну тогда тебе надо перенести это дело в mangle, а уже по меткам можно будет решать, перенаправлять или нет.

То есть из фильтров в мангл можно?)

2011 висит на starting services, netinstall нефига не видить.. Вот фигня

Блин rx прыгает

ну возраст видимо. не переживай так, рано или поздно такое случается...с каждым мужчиной. Но спасибо что поделился с нами. Держись там.

это можно прям к двум предыдущим сообщениям отнести

ну возраст видимо. не переживай так, рано или поздно такое случается...с каждым мужчиной. Но спасибо что поделился с нами. Держись там.

))

Висит и прыгает

Ну пиздец...

Надеюсь меня пронесёт

и ведь пронесет. будешь в сортире читать продолжение )

и ведь пронесет. будешь в сортире читать продолжение )

Плоско как мой график времени ответа ICMP

ERROR: S client not available

коллеги, а подскажите кто как проверяет доступность хостов в netwatch? суть проблемы - проверятеся 8.8.8.8 раз в пять минут если упало, то переключайся на резерв если поднялось то переключайся обратно и сейчас у меня получилось смешно упала связность до 8.8.8.8, прошло 8 секунд, запустилась проверка до 8.8.8.8, ага, переключились на резерв прошло еще 10 секунд и связность восстановилось, но прошло только пять минут, прежде чем переключились с резерва есть какие то решения более интелектуальных проверок? проверяем каждые 10 секунд и если в течении 6 проверок - фейл, тогда на резерв. проверяем каждые 10 секунд и если в течении 6 проверок - ок, тогда на основного прова

можно дополнительные ипы проверять чтобы точно определить падение именно интернета, а не какой-то там подсети

рекурсивные маршруты

с ними можно использовать чек гетвей в роутах

Periodically (every 10 seconds) check gateway by sending either ICMP echo request (ping) or ARP request (arp). If no response from gateway is received for 10 seconds, request times out. After two timeouts gateway is considered unreachable. After receiving reply from gateway it is considered reachable and timeout counter is reset.

в общем проверяет каждые 10 сек и только если на второй раз гетвей даун, то только тогда помечает роут как унреачбл

спасибо, но мне нужно определенные действия делать по факту проверок, рекурсивные маршруты не подойдут

ну тогда скриптами делать двойную тройную проверку различных хостов

спасибо

Имеет смысл таки несколько хостов проверять. Регулярная хрень с нашим вышестоящим провайдером: У них железка для удовлетворения роскомнадзора стоит. Так вот она с завидным постоянством блочит 8.8.8.8

https://wiki.mikrotik.com/wiki/Improved_Netwatch_II

Имеет смысл таки несколько хостов проверять. Регулярная хрень с нашим вышестоящим провайдером: У них железка для удовлетворения роскомнадзора стоит. Так вот она с завидным постоянством блочит 8.8.8.8

Отличная железка

Ребят, подскажите скорость передачи 450 Кб/cек при ширине канала 10 мб/cек в l2tp vpn MPPE128 stateless между двумя 951Ui-2nD норма?

Ребят, подскажите скорость передачи 450 Кб/cек при ширине канала 10 мб/cек в l2tp vpn MPPE128 stateless между двумя 951Ui-2nD норма?

Нет. Если цифры не отличаются в плане бит/сек байт/сек

И при этом загрузка проца на 951 не упирается в потолок

ширина 10 мбит, скорость передачи едва до 450 доходит

протокол не smb случаем?

он самый

Оверхед?

Хотя не

нагрузка на цп

едва 5 % достигает

он самый

smb в принципе не умеет быстро передавать данные через впн

Не помню только с чем именно это связано. Вроде как чувствителен к latency

Недавно в локальной сети пришлось терпеть такую же скорость.

пинг между хостами внутри vpn 45 мс

как бы раскочегарить этот паравозик)

Зачем оно надо? Какие данные передаваться будут? Мб есть альтернативы

nfs сейчас везде есть

два офиса, в одном радиоканал от МТС, во втором местный провайдер, стыка у них нет

два офиса, в одном радиоканал от МТС, во втором местный провайдер, стыка у них нет

Зачем стык? Какие данные передаваться будут?