DM
Hasper
а для чего локал ?
нагрузку с контроллера снять, скорость сильно проседает
Size: a a a
2020 December 09
IS
дай /caps-man export
VP
нагрузку с контроллера снять, скорость сильно проседает
Смотрите в сторону правильности настройки вланов и попадания на капсмане интерфейса капы в бридж с нужным pvid.
В качестве контроллера что за железяка и сколько всего капов?
В качестве контроллера что за железяка и сколько всего капов?
DM
Смотрите в сторону правильности настройки вланов и попадания на капсмане интерфейса капы в бридж с нужным pvid.
В качестве контроллера что за железяка и сколько всего капов?
В качестве контроллера что за железяка и сколько всего капов?
8 капов, контроллер hex s
D
Сидим работает, вдруг бац микротик отъезжает. весь в офис без инета.
Ребут - , но не доступен, ничего не работает как и прежде.
Пришлось ресет делать.
У кого то было такое ? Что за ерунда!?🙄
Ребут - , но не доступен, ничего не работает как и прежде.
Пришлось ресет делать.
У кого то было такое ? Что за ерунда!?🙄
VP
8 капов, контроллер hex s
Должно хватать и без локалфорвардинга.
DM
Должно хватать и без локалфорвардинга.
хм, подключился по воздуху с клиента.
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
VP
хм, подключился по воздуху с клиента.
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
Причем тут свитч?
DM
Причем тут свитч?
да я проверял вообще в нужном влане мне мак приходит или нет)
S
хм, подключился по воздуху с клиента.
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
мак клиента на свитч прилетает в нужном влане, на контроллере тоже вижу мак в нужном мне влане, но дхцп так и не ходит
show mac address-table address 18:CF:5E:FB:82:83
MAC Address Table
------------------------------------------------------------
MAC VLAN Port Type Aging
--- ---- ---- ---- -----
18:cf:5e:fb:82:83 150 Gi1/0/6 dynamic aging
Total MAC Addresses for this criterion: 1
Ну тут 2 вопроса. Дхцп в нужном влане? И не запрещен ли через acl?
VP
да я проверял вообще в нужном влане мне мак приходит или нет)
Я же Вам написал куда смотреть. Вы смотрите посередине. Ну, как знаете.
DM
Ну тут 2 вопроса. Дхцп в нужном влане? И не запрещен ли через acl?
в нужном. ацлок нет, если бы они ограничивали то без выключенного локал форвардинга не работало бы тоже)
АМ
Cumberbatch
/interface list member
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
#default #firewall #ipv4
add list=LAN interface=bridge comment="defconf: eth2-eth5"
add list=WAN interface=ether1 comment="defconf"
/ip firewall nat
add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
#default #firewall #ipv4
Добрый. Сорри за глупый возможно вопрос. Но файрвол на разных железках по разному добавляется?)
KG
Александр Макаров
Добрый. Сорри за глупый возможно вопрос. Но файрвол на разных железках по разному добавляется?)
На всех железках где есть routeros одинаково
АМ
На всех железках где есть routeros одинаково
у меня вот на ccr и hap lite как то по разному добавились.
H
Александр Макаров
у меня вот на ccr и hap lite как то по разному добавились.
на сколько ?
АМ
Hasper
на сколько ?
на ccr в фильтрах 12 правил против 13 на hap, в нат на сср пусто а в хап маскарад дефолтный, на сср в мангл 3 правила добавилось а в хап было пусто (пока свое одно не добавил), в сср в raw 1 правило добавилось а в хап 0
ГП
Александр Макаров
на ccr в фильтрах 12 правил против 13 на hap, в нат на сср пусто а в хап маскарад дефолтный, на сср в мангл 3 правила добавилось а в хап было пусто (пока свое одно не добавил), в сср в raw 1 правило добавилось а в хап 0
Проверяйте ошибки
ГП
Может где то нет тех интерфейсов или листов, и т.д.
ГП
Если нет сущности, то правило не добавляется.