MikroTik.by

У IPIP меньше overhead инкапсуляции, так что бОльшие пакеты пролазят без фрагментации

Вы процитировали мой вопрос про значение слова "через", не объяснили его - и опять использовали. Вопрос всё ещё в силе :) Вы имеете в виду, что source IP у DNS-запросов от роутера к серверу провайдера - стыковочный? Проще всего, наверное, SRC-NAT настроить для пакетов DNS, чтобы спрятать з...

Здравствуйте. Я вообще не вижу пока, где Mikrotik фигурирует в работе компа. Шлюзом у него Kerio, весь трафик туда и должен ходить... Как вообще Mikrotik или любой другой хост в этой сети может влиять на работу VPN? Кстати, что значит "отваливается"? UPD: "не проходит трафик из локалк...

Приветствую. Что за проброс? Что такое в вашем понимании "через"? Это "от" или "к"? В чём именно заключается проблема?

Это на какой стороне? GRE-интерфейс с обеих сторон есть? И тут, скорее, должен быть GRE через IPSec, а не наоборот...

В конце сохранение чего куда? Другие устройства проверяли? В логе роутера что пишет в момент попытки подключения?

Что получается? Если вы GRE-тоннель подняли - то он определённо должен быть...

Понятнее не стало. Какая направленность?..

А сообщение на скриншоте от кого?

Без подробностей?..

VTI в RouterOS не поддерживается, увы.

И я не имел в виду простую установку галки IPSec у GRE-тоннеля. Что если на Микротике создать вручную всё для IPSec между адресами роутеров - и поднять в этом IPSec лишь GRE-тоннель (без галки IPSec)?

Ну, если используют эксплойт - то надо обновить ПО сервера, для начала?.. Чтобы закрыть используемую уязвимость

Хм... Если хотите проверять, что там IP-адрес - ну так почему бы не искать "\\d+\\.\\d+\\.\\d+\\.\\d+" вместо ".*"?..

PaulRest1 писал(а): ↑10 апр 2024, 21:54 IPSec через GRE, но не через добавление интерфейса

Это, простите, как? Если GRE есть - то это уже интерфейс...

Вот кусок вашего конфига: add action=mark-routing chain=prerouting connection-mark=WAN1_conn \ in-interface=Local new-routing-mark=to_WAN1 add action=mark-routing chain=prerouting connection-mark=WAN2_conn \ in-interface=Local new-routing-mark=to_WAN2 add action=mark-routing chain=prerouting connect...

Не зная текущих настроек, могу предложить только пойти в IP -> Routes и там в маршруте по умолчанию (0.0.0.0/0) выставить нужный шлюз (адрес того роутера).

Приветствую. Похоже на опечатку где-то Без текущего конфига сложно комментировать. "/export hide-sensitive file=xxx" в Терминале, затем файл сюда, например.

В IP Firewall Connections есть соединения с меткой WAN2?

"А потом пришёл лесник и всех разогнал"

Не проще отсылку в Телеграм засунуть внутрь блока do { ... }, который с on-error={}? Если добавление в address-list закончится с ошибкой - то до fetch дело не дойдёт, а ошибку проглотит on-error

Какие порты сканят? На что обратить внимание на скрине? Что обозначают числа в столбцах? Объём трафика?

И что за "защита от скана микротик"?

Отмена миссии! Отмена миссии! Надо просто сделать "/ip firewall address-list get $i address" вместо "/ip firewall address-list get $i" Все так обрабатываются

Хм... Возможно, related, но там даже дублируется "Chain = forward; Protocol = (6)tcp; connection state = released; Action = drop;" с разным описанием... Так что с наскоку не разберёшься

Кажется, вот так можно всё же /32 найти (т.к. они выводятся без маски):

Там мрак какой-то с этим отрицанием... Тестирую на версии 7.14.1: /ip/firewall/address-list> print where list=test address~".*/24\$" Columns: LIST, ADDRESS, CREATION-TIME # LIST ADDRESS CREATION-TIME 88 test 1.2.3.0/24 2024-04-01 23:14:21 /ip/firewall/address-list> print where list=test !a...

Начните с правила типа такого (connection-bytes под себя отрегулируйте) /ip firewall filter add chain=forward protocol=tcp dst-port=7777 connection-bytes=100000-0 \ action=add-src-to-address-list address-list=HUGE_7777_CONNECTIONS И посмотрите, что в этот адрес-лист будет попадать. Если за пару часо...

Т.е. вы подозреваете какую-то DoS-атаку? Есть какой-то "нормальный" объём трафика по одному соединению? Если это сервер авторизации - то соединения вполне могут быть короткоживущими. Тогда можно по превышении объёма данных (параметр connection-bytes) добавлять IP-адрес источника в блок-лист.