Moneron 🇷🇺
Ну оно, в принципе, логично. Если есть кольцевая полносввязная топология, тут рстп с ума сойдёт
Moneron 🇷🇺
Поэтому горизонт — наше всё
Maksim (InCorp)
вырубил все правила, соединение пошло, что-то тупанул, спасибо :) буду искать где косяк
Moneron 🇷🇺
А учитывая, что он проставляется динамически — можно вообще не париться
Алексей
@GetSploitBot интересный бот пишешь название продукта или технологии тот в ответ выдает список уязвимостей по ним за последний месяц, по микротику тоже дает но больше чем за месяц :)
Maksim (InCorp)
Эхх, теперь там другая печаль - по ftp не открывает, по sftp всё работает
Oleg
Ахмет
Эхх, теперь там другая печаль - по ftp не открывает, по sftp всё работает
Это потому что фтп очень не любит проброс портов. Не помню точно причину, погуглите. Используйте сфтп, ничем не хуже, даже лучше.
Ахмет
Можно ещё побаловаться с режимами фтп - пассив/актив, но лично у меня танцы эти все привели к тому что я настроил сфтп, и о проблеме забыл
Maksim (InCorp)
ясно, спасибо, учту, видимо проблема микротика ибо на линуксе работает нормально через iptables
Moneron 🇷🇺
Я пробрасывал на фтп кроме 21го порты 10000-20000, которые настраивал на сервере
Maksim (InCorp)
ipsec SPI 41a65d2e3718786c not registred for
это вот что может быть? ипсек не устанавливается до конца
Andrey
Нужен совет)) есть микрот 6.34...
Andrey
есть опастность, что что-то отвалится при апдейте до крайней версии?
Andrey
настроено много чего страшного - вланы, EoIP, разные VPN...
βʌ⍺∂นʍน℘
коллеги подскажите мануал как можно приоритет VPN трафика сделать?
Евгений
вот тут красиво описано https://habrahabr.ru/post/131295/
SancheZ
Привет господа, начинающий админ просит помощи:) нужно настроить правила фаерволла на микротике. Можете накидать годных ссылок, советов? А то на данный момент правил абсолютно нет...
Evgenii
Если у вас какой нибудь HAP маршрутизатор, Используйте правила из default configuration
Что бы выгрузить Def conf, выполните команду: system default-configuration print
Оттуда возьмите секцию /ip firewall
Evgenii
Если в вашей конфигурации по умолчанию не будет этой секции, найдите default configuraton на сайте микротик
Evgenii
/ip firewall {
filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
filter add chain=input action=accept connection-state=established,related comment="defconf: accept established,related"
filter add chain=input action=drop in-interface=ether1 comment="defconf: drop all from WAN"
filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
filter add chain=forward action=accept connection-state=established,related comment="defconf: accept established,related"
filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 comment="defconf: drop all from WAN not DSTNATed"
}
Evgenii
В двух правилах присутствует интерфейс ether1, это Wan интерфейс по умолчанию.
Если вы будете подключать туннели до провайдера, то у вас появится еще один WAN интерфейс - ваш PPP туннель! Соответственно некоторые правила придется продублировать для нужных интерфейсов, в Winbox есть кнопка COPY. Либо можете использовать Interface lists, создайте лист WAN и накидайте туда интерфейсов. Затем замените интерфейс Ether1 в правилах на интерфейс лист WAN
Andrey
добрый день, уважаемые коллеги
Andrey
подскажите пожалуйста... собираюсь делать отдельный vlan под ip-телефонию
Andrey
но есть ряд внутренних пользователей, которые пользуются софтфонами под виндой + гарнитура
Andrey
как лучше поступить с ними? в оба влана пускать? тогда частично теряется смысл вланов. не могу придумать внятного решения этого велосипеда
ildar
https://habrahabr.ru/post/330362/
ildar
Вчера на хабре появилась статья
Moneron 🇷🇺
как лучше поступить с ними? в оба влана пускать? тогда частично теряется смысл вланов. не могу придумать внятного решения этого велосипеда
Если crs, то можно сдежать protocol based vlan
Andrey
смесь из 2011, dlink dgs 3100-24 и crs :)
Moneron 🇷🇺
Ну вот црс умеет протоколы во вланы закидывать
Moneron 🇷🇺
Особенно, если црс с ацл-ями
Andrey
колл-центр как раз на crs
Andrey
спасибо за наводку, Тренер :)
Kirilka
можно ли как то грепать логи микротика в терминале?
Владимир
есть некий костыльный способ. но как такового грепа нет
Anibius
Владимир
можно ли как то грепать логи микротика в терминале?
в конце статьи мной написанный скрипт. Можно переделывать под собственные нужды
http://mikrotik-ukraine.blogspot.ru/2017/02/wi-fi-mikrotik.html
Anibius
ясно, спасибо, учту, видимо проблема микротика ибо на линуксе работает нормально через iptables
у меня тоже работает нормально.разбирайтесь с настройками
Anibius
коллеги подскажите мануал как можно приоритет VPN трафика сделать?
https://www.youtube.com/watch?v=sm7QGWl7Xh8 посмотрите
Ахмет
настроено много чего страшного - вланы, EoIP, разные VPN...
Бекап, апдейт, в случае факапа даунгрейд или восстановление из бекапа, делов то
Ахмет
Господи, на каком мерзопакостном языке я стал говорить. Из все слов русское только "или"
Илья
Всем привет, рб 3011 ктото пользуется?)
Илья
Хочу 3 провайдера по 100мбит в него завернуть и таскать торренты, осилит?)
Сергей
У меня на работе стоит
Сергей
Около 20 правил, + l2tp-тунель +
Сергей
Ipsec
Сергей
Нагрузка 3-15%
Илья
А канал сколько?
Сергей
50мбит/с
Илья
Маловато, я в перспективе гиг домой поведу, и выбираю сращу помощнее))
Алексей
Господи, на каком мерзопакостном языке я стал говорить. Из все слов русское только "или"
нужен бот переводчик:
Резервное копирование, обновление, в случае неприятностей осуществить понижение прошивки или восстановление из резервной копии, в принципе не так и страшно.
все-таки буржуятина такая упрощенная, а русский язык велик и могуч :)
Ахмет
Да, дело видимо в этом
Marat
Хочу 3 провайдера по 100мбит в него завернуть и таскать торренты, осилит?)
У меня такой на канале 500 мегабит. Торренты разгонялись до 350 мегабит.
Moneron 🇷🇺
Самое то
Илья
2011ый дохнет при 130мбитах
Moneron 🇷🇺
Фасттрэк добавьте
Илья
Хммм
Алексей
а фасттрек вешается на интерфейс? или он просто в принципе применяется как общее правило?
Илья
А мануала нету?)
Andrey
думаю ещё можно оптимизировать
Илья
У меня просто вланы, и куча гумна всякого))
Илья
Причем вланы не на чипе(
Moneron 🇷🇺
Фасттрэк вланам не помеха
Marat
фасттрек в каком месте в очереди правил желательно ставить?
evgenii76
Фасттрак есть в дефолтном конфиге. Я оттуда его все время выдираю
Илья
Я чет тоже дергаю
Алексей
Ребят а можно кого-то спросить, не так давно я выяснил что в ситуации когда:
два микротика и между ними тоннель например pptp или pppoe (другие пока не пробовал, но проверю еще) то если ты хочешь например пинговать с компа одной сети комп в удаленной сети то все нормально пинги ходят, а когда например с одного микротика пингуешь участника удаленной сети на вин8 или вин10 то пинги уже не идут, как выход в прошлый раз Женя мне подсказал повесить маскарад на удаленные сети и внутриканальные адреса друг у друга, я выяснил что если хочется чтобы вообще везде всё пинговалось и с роутеров и с участников сетей обоюдно, тогда достаточно маскарадить удаленные внутриканальные адреса тоннеля на каждом из роутеров. Собственно вопрос в том что может быть неправильно что-то делается мною?и да я понимаю что это виндовый фаерволл блочит. просто непонятно почему он форвард не блочит а аутпут блочит. всё разобрался сам.
Moneron 🇷🇺
Фасттрек естаблишед, релейтед. Скопировать его и продублировать аксептом. Поднять вверх всего форварда
Алексей
Moneron 🇷🇺
Нет
Marat
Vassiliy
Доброго времени суток! вопрос к знатокам, если в офисе разрешен доступ только к корп почте, почта внешняя и для доступа в нее правило есть, как запретить юзерам получать личиную почту по pop3/imap?
Dmitry
Ну сделать запрет на все, что не к IP корпоративного почтовика.
Dmitry
ИМХО
Алексей
Доброго времени суток! вопрос к знатокам, если в офисе разрешен доступ только к корп почте, почта внешняя и для доступа в нее правило есть, как запретить юзерам получать личиную почту по pop3/imap?
может обращения на эти порты заворачивать на айпиишник корп почтовика?