Спасибо, добавление src-address-list=!forbidden помогло!
нагрузка на cpu заметно упала, ну и тонель остался работоспособным
Найдено 10 результатов
- 10 фев 2019, 15:10
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
- 09 фев 2019, 15:15
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Re: Вопрос про firewall mark-routing
Да, отключение помогает! притом модификация (dst-address-list=!forbidden) add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related dst-address-list=!forbidden не помагает. я не совсем в курсе что этот fasttrack делает, такое вот поведе...
- 09 фев 2019, 14:50
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Re: Вопрос про firewall mark-routing
Да тут я перепутал fasttrack с fastpath, а какое правило вы имеете ввиду, c fasttrack только одно, "стандартное" add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related его отключить? (C отключением route cache все идеально,...
- 09 фев 2019, 12:57
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Re: Вопрос про firewall mark-routing
Приветствую,
отключение fast path на тунеле не давало результата, но потом нашел причину, все стало резко хорошо после выключения IP->Settings->Route Cache, (это как написанов документации - will also disable fast path )
отключение fast path на тунеле не давало результата, но потом нашел причину, все стало резко хорошо после выключения IP->Settings->Route Cache, (это как написанов документации - will also disable fast path )
- 07 фев 2019, 09:41
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Re: Вопрос про firewall mark-routing
Вот все что есть /ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related add action=drop chain=input comment="defconf: drop...
- 06 фев 2019, 22:42
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Re: Вопрос про firewall mark-routing
Отальные правила только те что были по умолчанию. По поводу Change-MSS тут немного интересней, галка "Clamp TCP MSS" установлена (по умолчанию), но без правил Change-MSS именно rutracker.org перестает нормально работать, в то время как например Linkedin.com и некоторые другие работают (вне...
- 06 фев 2019, 08:15
- Форум: Общие вопросы
- Тема: Вопрос про firewall mark-routing
- Ответы: 12
- Просмотры: 4493
Вопрос про firewall mark-routing
Приветствую Есть обычный gre-tunnel между mikrotik и сервером вне россии, нужно траффик например к заблокированному rutracker.org направить через этот туннель, а остальной по умолчанию. Если сделать routing таким образом (ниже) то все работает: /ip firewall mangle add out-interface=gre-tunnel action...
- 22 янв 2019, 20:34
- Форум: Маршрутизация, коммутация
- Тема: IPSec VPN настройка policy
- Ответы: 5
- Просмотры: 1346
Re: IPSec VPN настройка policy
Неполучилось к сожалению, только ipsec соединение перестало устанавливаться
- 22 янв 2019, 09:41
- Форум: Маршрутизация, коммутация
- Тема: IPSec VPN настройка policy
- Ответы: 5
- Просмотры: 1346
Re: IPSec VPN настройка policy
Вот все что есть: # jan/22/2019 13:40:38 by RouterOS 6.43.8 # software id = SRI9-6MWU # # model = RouterBOARD 962UiGS-5HacT2HnT # serial number = 6F12077131D3 /ip ipsec peer profile add dh-group=modp1024 name=myvpn /ip ipsec peer add address=myvpn.com exchange-mode=ike2 generate-policy=port-strict m...
- 20 янв 2019, 17:54
- Форум: Маршрутизация, коммутация
- Тема: IPSec VPN настройка policy
- Ответы: 5
- Просмотры: 1346
IPSec VPN настройка policy
Добрый день, помогите настроить роутер "mikrotik hAP ac" есть vpn ipsec сервер в инете, настроен на использование shared secret, в mikrotike настроен ipsec peer, соединение с сервером успешно устанавливается (появляются installed SA) если на закладке ipsec/peers нажать Enable. Вопрос как н...