Evgenii
Если кратко, то:
Запрос пойдет так: ПК1 -> роутер -> сервер
Но так как сервер видит, что отправитель находится в той же сети что и он сам, ответ пошлет напрямую:
сервер -> ПК1
Этот пакет и будет отброшен.. так как ПК1 ожидает ответа от Роутер!
Короче нужено добавить SRC-NAT на роутере.
PS: спасибо за статью, будут теперь тоже всех в нее тыкать
blyumazeiko
Это надо для того что бы и сам локальный комп имел выход в интернет верно
Evgenii
это для того, что бы Local.profbez.pro работало на компах из той же сети, в которой находится сервер.
Видимо вам это не нужно
blyumazeiko
А, не комп в сети 1. Сейчас смотрю как с него в интернет выйти
Anibius
Это все уже давно не требуется
В моем регионе и впн-сессию поднимать не нужно.воткнул и оно настройки получило
Maksim (InCorp)
Без микротика работает? Поробуйте забиндить сайт на локальный IP NGINX через localhost, если будет работать, то пишите сюда, продолжим обсуждение!
без микротика работает, проброс через iptables отрабатывает нормально
Anibius
BUG:
TIK-APP кто пользует? У меня после обновления до 6.39.2 пропала возможность изменить настройки wlan2(сам интерфейс тоже пропал),через webfig - работает.
Evgenii
без микротика работает, проброс через iptables отрабатывает нормально
Тогда должно и с микротиком работать.. тем более, что вы отправляете весь трафик 80 порта на сервер, но половина сайтов у вас работает (которые биндятся на тот же порт, половина нет..) А что за ошибка в браузере? Есть что в консоли? F12, затем выполнить запрос, затем посмотреть во вкладку network
Maksim (InCorp)
Тогда должно и с микротиком работать.. тем более, что вы отправляете весь трафик 80 порта на сервер, но половина сайтов у вас работает (которые биндятся на тот же порт, половина нет..) А что за ошибка в браузере? Есть что в консоли? F12, затем выполнить запрос, затем посмотреть во вкладку network
Переключил обратно на старый шлюз, пока нет возможности посмотреть(
Evgenii
Переключил обратно на старый шлюз, пока нет возможности посмотреть(
Ну вы пишите как чего, интересно что там. У меня без проблем похожая схема работает, кроме dst-nat ничего не нужно..
Алексей
Ух ты, не знал, что для этого название придумали)))
Так ты на моем роутере ж его видел... :)
Dmitriy
Коллеги здравствуйте, подскажите какой самый правильный способ реализации hairpin nat?
Dark
Странная тенденция, однако, уже второй роутер после обновления оси помирает.. первый был 450-й, второй вчера 750-й, качают прошиву, уходят в ребут и все привет, только netinstall спасает. Есть умные мысли почему так может происходить?
Алексей
Коллеги здравствуйте, подскажите какой самый правильный способ реализации hairpin nat?
add action=dst-nat chain=dstnat comment="videoreg web access" dst-address-list=\
out-ip-addresses-list dst-port=8040 protocol=tcp to-addresses=192.168.1.249 \
to-ports=80
add action=masquerade chain=srcnat comment="videoreg web access masq" \
dst-address=192.168.1.249 dst-port=80 protocol=tcp src-address=\
192.168.1.0/24
Алексей
не знаю уж самый ли он правильный но работает
Алексей
вместо аддресс листа используйте своё значение
Evgenii
Коллеги здравствуйте, подскажите какой самый правильный способ реализации hairpin nat?
Если вы спрашиваете такое, значит у вас уже есть dst-nat на какой то внутренний сервер. Просто добавьте SRC-NAT (masquerade) на него же (на те пакеты, где dst-ip = ip вашего сервера)
Dmitriy
Если вы спрашиваете такое, значит у вас уже есть dst-nat на какой то внутренний сервер. Просто добавьте SRC-NAT (masquerade) на него же (на те пакеты, где dst-ip = ip вашего сервера)
У меня netmap на сервер сделан, в силу ограничений провайдера
Evgenii
У меня netmap на сервер сделан, в силу ограничений провайдера
netmap для одного сервера не нужно.. netmap - позволяет сделать src-nat или dst-nat сразу для целой сети.. Вероятно вы использовали net-map просто по незнанию и у вас ровно такой же результат какой вы получили бы c dst-nat
Anibius
Коллеги здравствуйте, подскажите какой самый правильный способ реализации hairpin nat?
https://spw.ru/solutions/natpart5/
Zhyhanov
Dim-soft
Подскажите, столкнулся с МТС pppoe соединение устанавливается, но сканером pppoe серверов не видно - как так ?
Николай 🌵
както-так )
Dim-soft
Подскажите, можно из микротика сделать smtp smarthost ? чтобы трафик пришедший на IP первого микротика уходил и возвращался с IP второго, между ними есть L3 связность
Evgenii
Подскажите, можно из микротика сделать smtp smarthost ? чтобы трафик пришедший на IP первого микротика уходил и возвращался с IP второго, между ними есть L3 связность
Про смарт хост ничего не знаю, но трафик можно извернуть как вам надо)
Dim-soft
Про смарт хост ничего не знаю, но трафик можно извернуть как вам надо)
Трафик на часть почтовых доменов по зеленому, часть по красному
Dim-soft
Evgenii
По dst ip разделение?
Dim-soft
а актуализировать MX записи - не хочу
Evgenii
Ну домены можно в ip преобразовать через адрес листы
Evgenii
Ip - firewall - address lists
Evgenii
Создавайте листы и используйте их в мангле в прероутинге, отфильтрованный трафик маркируйте маршрутами
Evgenii
/ip firewall mangle
add action=mark-routing chain=prerouting comment=toBlockedRoskomnadzor dst-address-list=\
Roskomnadzor new-routing-mark=toBlockedRoskomnadzor passthrough=yes
Вот пример маркировки с использованием адрес листа
Dim-soft
Создавайте листы и используйте их в мангле в прероутинге, отфильтрованный трафик маркируйте маршрутами
там не записи вида А. там записи MX, c ними сложнее
Dim-soft
плюс мне надо еще и exchange это объяснить 😊
Evgenii
чушь несу, MX записи микротик увы не умеет отслеживать
Anibius
Он роутер и кофе не готовит
Алексей
Новый Dude edition приколен :)
Владимир
Да что-то дороговато имхо
mrgreyves
Здорова, орлы!Подскажи пожалуйста по вланам в D-link. Свитч d-link dgs-1510-28. Несколько редимов vlan можно выставить (access, trunnk, hybryd). С первыми двумя все понятно, а вот что такое hybrid непонятно. Подскажите что это?
Maxim
hybrid - это когда на порту и транк и аксесс
mrgreyves
Понял, спасибо)
Maxim
может литься и тегированный трафик и нетегированный
mrgreyves
так и предполагал, решил уточнить на всякий случай)
Kirilka
сообщения по порядку прочитал)
Maksim (InCorp)
Maxim
Maksim (InCorp)
Настройки стандартные
Maksim (InCorp)
Почему у меня рваные графики?
Maxim
Сеть, сервер сборщик тупит
Алексей
парни никто не пользовался tools/graphing? вопрос такого плана, эти графики хранятся во внутренней флешь памяти, и если удаляешь рулсы то физически из памяти они тоже удаляются?
Maksim (InCorp)
Все остальные графики других серверов, сетевых устройств нормальные
Maxim
Maksim (InCorp)
Спасибо :)
Kirilka
кстати, snmp какой версии вы используете в связке zabbix-mt ?
2 или 3?
это соцопрос.
Maxim
2
FoxPDLL
Только на MT такая проблема
Эмм. Козел конечно задроченный но жить будет. Время опроса адекватное поставьте. Если верить графику Вы его дергаете раз в секунду
Maksim (InCorp)
Эмм. Козел конечно задроченный но жить будет. Время опроса адекватное поставьте. Если верить графику Вы его дергаете раз в секунду
На дефолтных настройках так криво показывает, сейчас эспериментирую с множителем и временем + сменил snmp 1 на 2
FoxPDLL
Раз в минуту или 5 мин
FoxPDLL
Вам и сиска раз в секунду шыш шо отдаст
Kirilka
ну snmp 1 вообще лучше не использовать (нижайше полагаю)
Андрей
Товарищи, ХЭЛП). объект, стоят 18 точек доступа wap-ac. и на некоторых из них стоят пароли, не пойму зачем..... соответственно попасть на них не возможно винбоксом. есть какой то способ узнать пароль, или сбросить?
Андрей
ногами уж больно далеко до туда ехать(
FoxPDLL
Терморектальный криптоанализ?
Maxim
ногами уж больно далеко до туда ехать(
насколько помниться узнать пароль не вариант. Сбрасывать или нетинсталить и заново настраивать
Maxim
ну и к слову, если ехать далеко, то подобный вид криптоанализа бездейственен ибо требует непосредственной близости объекта и субъекта)
Андрей
я может щас задам дико глупый вопрос, но все таки..... как мне узнать какой клиент на какой точке сидит?