F
Kukushonok Kuzya
блин, через wine захлопывается winbox когда policy открываю. Никто не сталкивался?
Мб свежий винбокс взять?
Size: a a a
2021 March 03
KK
Мб свежий винбокс взять?
да все попробовал
KK
wine нужно поковырять
KK
src и dst адреса. И проброс порта на сервер для айписека не нужен.
Проброс это для остального обычного трафика. ipsec только для одного
VP
Kukushonok Kuzya
Проброс это для остального обычного трафика. ipsec только для одного
Если проброс на адресе пира, то будет мешать.
KK
Если проброс на адресе пира, то будет мешать.
нет не на адресе пира, а на свободном адресе на интерфейсе. Я его специально для пиров оставляю
AD
Подскажите неумному :)
В микротик hAP Lite приходит на порт 1 микс из untagged и tagged
Если микротику сказать сделай DHCP client на ether1 то этот ether1 отлично цепляет адрес из нетегированного
Но стоит сделать bridge из ether1 ether2 итд
и уже попытаться бриджом получить адрес по DHCP то searching и ничего не работает.
Где я наступил на грабли ? :)
В микротик hAP Lite приходит на порт 1 микс из untagged и tagged
Если микротику сказать сделай DHCP client на ether1 то этот ether1 отлично цепляет адрес из нетегированного
Но стоит сделать bridge из ether1 ether2 итд
и уже попытаться бриджом получить адрес по DHCP то searching и ничего не работает.
Где я наступил на грабли ? :)
AD
задача собственно на два порта нетегированный трафик вывести, на другие два тегированный в режиме acсess
AD
делал как тут https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
AV
а запустите dhcp клиент на бридже и посмотрите что будет )
VB
Kukushonok Kuzya
add action=dst-nat chain=dstnat dst-address=x.x.x.61 in-interface=ether1 protocol=tcp to-addresses=192.168.36.11
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.36.11 to-addresses=x.x.x.61
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
это нат
вот мне нужно, что-бы 192.168.36.11 был доступен через ipsec соседу
add action=src-nat chain=srcnat out-interface=ether1 src-address=192.168.36.11 to-addresses=x.x.x.61
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface=ether1
это нат
вот мне нужно, что-бы 192.168.36.11 был доступен через ipsec соседу
еще надо fasttrack оключить или исключить из него то, что под ipsec попадает
KK
еще надо fasttrack оключить или исключить из него то, что под ipsec попадает
типа как у меня в маскараде? ipsec-policy=out,none
AD
Alexandr Vasilev
а запустите dhcp клиент на бридже и посмотрите что будет )
searching без получения адреса
VB
Alexey Drinkin
searching без получения адреса
на сам бридж нетегированным какой влан назначили?
AD
очевидно что после бриджевания портов операции идут на бридже а не на порту.
VB
Kukushonok Kuzya
типа как у меня в маскараде? ipsec-policy=out,none
да
AD
на сам бридж нетегированным какой влан назначили?
никакой, по дефолту. полагаю что это равнозначно pvid 1
VB
но еще может быть потебуется и на in,none
VB
Alexey Drinkin
никакой, по дефолту. полагаю что это равнозначно pvid 1
а в списке вланов есть динамически созданный 1 влан с нетегированным бриджем?
AD
вообще странно как-то это всё. там делов то .
создать бридж
приписать порты в бридж
выставить pvid для портов
создать vlanы
указать порты для вланов и tag untag
запустить vlan filtering
вуаля.
бриджу сказать чтобы по дхцп получал адрес чтобы достучаться можно блоы
создать бридж
приписать порты в бридж
выставить pvid для портов
создать vlanы
указать порты для вланов и tag untag
запустить vlan filtering
вуаля.
бриджу сказать чтобы по дхцп получал адрес чтобы достучаться можно блоы