Телеграмм чат группы miktrain страница 23142

parrot.ru

Рейтинг популярных групп и каналов

В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Mikrotik-Training

5773 membersпожаловаться на группу

2021 March 17

MJ

Malk John in Mikrotik-Training

Vladimir Prislonsky

Здесь все нормально. Пересечений нет. Что Вас смущает?

со стороны подсетей за чекпоинтом (100,0\24 3,0.\24), конкретно вот прям ща с хоста 192.168.100.204 беру например VNC viewer (VNCсервер есть на компе 10.11.0.191 за микротиком, как понятно) и жму коннект - не соединяет. Выделяю правило вот первое которое на микроте (да, оно established) и жму enable (оно переподключается), возвращаюсь на хост 192.168.100.204 - запускаю вьювер - есть контакт. Тут же иду на хост 192,168,3,50 (напомню, established тоже с сетью 10,11,0,0), повторяю то же самое всё и работает. А с 192.168.100.204 уже не работает (established как был так и есть на всех правилах)

источник

13:07пожаловаться #1

MJ

Malk John in Mikrotik-Training

Vladimir Prislonsky

Если src /14, то должна быть или такая политика или использовать NAT

да это я условно написал, с точки зрения одного правила на все подсети (тоже странно будет и колхоз, имхо)

источник

13:08пожаловаться #2

A

Aslan in Mikrotik-Training

Malk John

да это я условно написал, с точки зрения одного правила на все подсети (тоже странно будет и колхоз, имхо)

не должно быть "одного правила на все подсети", если у вас разные подсети.

источник

13:09пожаловаться #3

С

Станислав in Mikrotik-Training

Alexandr Bashkatov

Привет народ, есть вопрос как будет выглядеть правило в ситуации, когда есть wi-fi с тегом, который смотрит в гостевую сетку, там особняком стоит DHCP сервер, но в этой сети так же есть другие компы со статикой, и вот нужно сделать так, чтобы те кто цепляется по Wi-fi к гостевой сети, не видели те машины со статикой, а только видели адрес прокси. Буду благодарен за помощь.

чейн форвард экшн дроп адрес-лист=!список_статики ин-интерфейс=гостевой дст-адрес=!адрес_прокси

источник

13:10пожаловаться #4

MJ

Malk John in Mikrotik-Training

при require трафик не ходил

да, сейчас стоит на всех правилах require. Чекну, спасибо

источник

13:10пожаловаться #5

A

Aslan in Mikrotik-Training

Станислав

чейн форвард экшн дроп адрес-лист=!список_статики ин-интерфейс=гостевой дст-адрес=!адрес_прокси

эээ... А этот трафик будет через ЦП проходить?

источник

13:12пожаловаться #6

MJ

Malk John in Mikrotik-Training

Malk John

со стороны подсетей за чекпоинтом (100,0\24 3,0.\24), конкретно вот прям ща с хоста 192.168.100.204 беру например VNC viewer (VNCсервер есть на компе 10.11.0.191 за микротиком, как понятно) и жму коннект - не соединяет. Выделяю правило вот первое которое на микроте (да, оно established) и жму enable (оно переподключается), возвращаюсь на хост 192.168.100.204 - запускаю вьювер - есть контакт. Тут же иду на хост 192,168,3,50 (напомню, established тоже с сетью 10,11,0,0), повторяю то же самое всё и работает. А с 192.168.100.204 уже не работает (established как был так и есть на всех правилах)

хотя icmp echo ходит в обе стороны и с обеих сторон без проблем согласно всем правилам

источник

13:12пожаловаться #7

A

Aslan in Mikrotik-Training

Malk John

со стороны подсетей за чекпоинтом (100,0\24 3,0.\24), конкретно вот прям ща с хоста 192.168.100.204 беру например VNC viewer (VNCсервер есть на компе 10.11.0.191 за микротиком, как понятно) и жму коннект - не соединяет. Выделяю правило вот первое которое на микроте (да, оно established) и жму enable (оно переподключается), возвращаюсь на хост 192.168.100.204 - запускаю вьювер - есть контакт. Тут же иду на хост 192,168,3,50 (напомню, established тоже с сетью 10,11,0,0), повторяю то же самое всё и работает. А с 192.168.100.204 уже не работает (established как был так и есть на всех правилах)

Причина может быть и в файерволе, и в роутинге. Может и в манглах, может в NAT.

источник

13:13пожаловаться #8

С

Станислав in Mikrotik-Training

эээ... А этот трафик будет через ЦП проходить?

ну правило то так будет выглядеть

источник

13:14пожаловаться #9

A

Aslan in Mikrotik-Training

Станислав

ну правило то так будет выглядеть

а работать оно будет? )

источник

13:14пожаловаться #10

A

Aslan in Mikrotik-Training

Malk John

хотя icmp echo ходит в обе стороны и с обеих сторон без проблем согласно всем правилам

порт открывается телнетом, когда внц не может подключиться?

источник

13:14пожаловаться #11

С

Станислав in Mikrotik-Training

Malk John

хотя icmp echo ходит в обе стороны и с обеих сторон без проблем согласно всем правилам

мту? я не помню как с ним дела при тонельном ипсеке обстоят. но лично я бы рекомендовал гре/ипсек строить например, и решать подобные вопросы маршрутизацией, а не политиками

источник

13:15пожаловаться #12

A

Aslan in Mikrotik-Training

Malk John

хотя icmp echo ходит в обе стороны и с обеих сторон без проблем согласно всем правилам

я бы предложил выложить весь конфиг на пастебин (/export hide-sens terse), причём обоих микротиков. Но сам читать не буду - уйду скоро :)
Слишком во многих местах может мисконфиг спрятаться.

источник

13:16пожаловаться #13

A

Aslan in Mikrotik-Training

Malk John

хотя icmp echo ходит в обе стороны и с обеих сторон без проблем согласно всем правилам

опять же, с роутингом, в теории, всё ОК, если трейс проходит правильно. Но это без учёта манглов...

источник

13:17пожаловаться #14

A

Aslan in Mikrotik-Training

мож там правила особые на внц, которые трафик маркируют, и трафик потом заворачивается куда не надо.

источник

13:17пожаловаться #15

MJ

Malk John in Mikrotik-Training

Станислав

мту? я не помню как с ним дела при тонельном ипсеке обстоят. но лично я бы рекомендовал гре/ипсек строить например, и решать подобные вопросы маршрутизацией, а не политиками

не, тут точно не мту

источник

13:18пожаловаться #16

MJ

Malk John in Mikrotik-Training

я бы предложил выложить весь конфиг на пастебин (/export hide-sens terse), причём обоих микротиков. Но сам читать не буду - уйду скоро :)
Слишком во многих местах может мисконфиг спрятаться.

вторая сторона ЧекПоинт - я писал выше)

источник

13:18пожаловаться #17

MJ

Malk John in Mikrotik-Training

порт открывается телнетом, когда внц не может подключиться?

проверю

источник

13:18пожаловаться #18

A

Aslan in Mikrotik-Training

Malk John

вторая сторона ЧекПоинт - я писал выше)

да, точно )

источник

13:19пожаловаться #19

A

Aslan in Mikrotik-Training

Malk John

проверю

и посмотрите, нет ли залипших соединений в IP - Firewall - Connections в момент, когда подключиться не можете.
И посмотрите аналогично на чекпойнте.

источник

13:20пожаловаться #20