МВ
А если фильтровать по списку мак как в вифи адрес лист ?
Ну так запросто, address-pool=static-only
Size: a a a
2020 March 31
PK
Всем привет. Мб кто-то сталкивался с проблемой - есть 2 роутера 951(настройки фаервола, и т.д - идентичны). На обоих настроена маркировка траффика по условию из layer7(к примеру ^.+(facebook).*$). Суть проблемы - на одном из устройств данное условие игнорируется, т.е траффик с данным условием не маркируется.
Y
Всем привет. Мб кто-то сталкивался с проблемой - есть 2 роутера 951(настройки фаервола, и т.д - идентичны). На обоих настроена маркировка траффика по условию из layer7(к примеру ^.+(facebook).*$). Суть проблемы - на одном из устройств данное условие игнорируется, т.е траффик с данным условием не маркируется.
Фасттрек?
PK
Фасттрек?
неа, отсутствует.
Y
Мужики, есть проблема.
У меня есть удалённый роутер с одним портом. В порт воткнут свитч. К нему подключили устройство с прописанной статикой в другом адресном пространстве.
Как мне не сломав ничего получить доступ к этому устройству и сменить на нём адресацию. Для начала хочу его хотя бы с роутера пропинговать.
У меня есть удалённый роутер с одним портом. В порт воткнут свитч. К нему подключили устройство с прописанной статикой в другом адресном пространстве.
Как мне не сломав ничего получить доступ к этому устройству и сменить на нём адресацию. Для начала хочу его хотя бы с роутера пропинговать.
Y
неа, отсутствует.
Тогда просто экспортните конфиг с рабочего и залейте в нерабочий. Я сомневаюсь в идентичности конфигов.
Y
Ну или сравните конфиги.
МВ
Мужики, есть проблема.
У меня есть удалённый роутер с одним портом. В порт воткнут свитч. К нему подключили устройство с прописанной статикой в другом адресном пространстве.
Как мне не сломав ничего получить доступ к этому устройству и сменить на нём адресацию. Для начала хочу его хотя бы с роутера пропинговать.
У меня есть удалённый роутер с одним портом. В порт воткнут свитч. К нему подключили устройство с прописанной статикой в другом адресном пространстве.
Как мне не сломав ничего получить доступ к этому устройству и сменить на нём адресацию. Для начала хочу его хотя бы с роутера пропинговать.
На роутер - соседний адрес, srcnat на подсеть устройства, dstnat на IP устройства и порт для настройки
Y
На роутер - соседний адрес, srcnat на подсеть устройства, dstnat на IP устройства и порт для настройки
1. В IP-Addresses добавляем нужную подсеть. Так?
2. Делаем srcnat из нашей подсети в нужную?
3. Ну с dstnat проброс порта. Тут понятно.
2. Делаем srcnat из нашей подсети в нужную?
3. Ну с dstnat проброс порта. Тут понятно.
МВ
Y
Спасибо! Сейчас в сейфмоде буду пробовать))
VP
В первом правиле лучше соурснат. Маскарад может "ошибиться"
МВ
В первом правиле лучше соурснат. Маскарад может "ошибиться"
Не сталкивался. Вроде же должен подставляться pref-src из коннектед маршрута?
VP
Не сталкивался. Вроде же должен подставляться pref-src из коннектед маршрута?
Так их два будет. )
МВ
Так их два будет. )
Для указанного dst-address=10.0.0.1 - один. Или он реально может подставить 192.168.88.1 (например)? Не встречал такого поведения пока
VP
Для указанного dst-address=10.0.0.1 - один. Или он реально может подставить 192.168.88.1 (например)? Не встречал такого поведения пока
dst-address это условие срабатывания он на сам маскарад не влияет. ЕМНИП будет браться более младший адрес из нескольких
МВ
dst-address это условие срабатывания он на сам маскарад не влияет. ЕМНИП будет браться более младший адрес из нескольких
Это люди пишут про netfilter. Почему в ROS должно быть по-другому? https://serverfault.com/questions/869751/how-does-masquerade-choose-an-ip-address-if-there-are-multiple
VP
Это люди пишут про netfilter. Почему в ROS должно быть по-другому? https://serverfault.com/questions/869751/how-does-masquerade-choose-an-ip-address-if-there-are-multiple
Не вижу здесь противоречия. Сейчас соберу лабу и проверю. Возможно я запамятовал и это касается только соседних адресов.
МВ
Не вижу здесь противоречия. Сейчас соберу лабу и проверю. Возможно я запамятовал и это касается только соседних адресов.
IP берётся из
/ip ro check <dst-address>
если перевести на язык ROS
/ip ro check <dst-address>
если перевести на язык ROS
VP
IP берётся из
/ip ro check <dst-address>
если перевести на язык ROS
/ip ro check <dst-address>
если перевести на язык ROS
Проверил. Вы совершенно правы. Подставляет корректно.
И дст адрес в правиле не влияет
И дст адрес в правиле не влияет