Найдено 45 результатов

freewood
09 янв 2019, 17:19
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Re: Разделение сети на VLAN

Центральный это обычный CRS125, в который воткнуты остальные коммутаторы. /interface ethernet switch vlan Тут добавил какие вланы на каких интерфейсах. Но все еще веселее стало, у меня один из коммутаторов соединен с центральным через провайдерский джунипер. И как только я на центральном настроил вл...
freewood
06 янв 2019, 21:50
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Re: Разделение сети на VLAN

На центральном коммутаторе сделал таблицу vlan и все сразу как надо стало, обнаружение работает только в vlan99.
Я то по незнанию думал, что он автоматически пакеты с тегами знает куда пихать. :)
freewood
03 янв 2019, 20:08
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Re: Разделение сети на VLAN

Частично - это как? Все discovery-пакеты должны летать только в 99-м вилане. Они где-нибудь ещё не могут в вилан с компьютерами утекать? Только на роутере, на нем специально оставил обнаружение на всех интерфейсах кроме внешних. Но он же, как я понимаю, не может (не должен) проксировать пакеты обна...
freewood
02 янв 2019, 20:57
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Re: Разделение сети на VLAN

VLAN точно не был добавлен в тот момент в основной бридж? Какой же он слейв, не должен он слейвом быть, если он не в бридже... Точно, видимо что-то не так натыкал и интерфейс на момент присвоения адреса был в каком-то мосту. Не будет трафик уходить нетегированным. Представьте VLAN как трубу, в кото...
freewood
02 янв 2019, 16:13
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Re: Разделение сети на VLAN

Спасибо большое за ответ. bridge-mgmnt я сделал специально, т.к. на mgmnt-vlan99 не дает навесить адрес, ругается, что это slave интерфейс. Вот момент про хождение трафика я не много не понял. Если допустим мост bridge-mgmnt будет иметь pvid=1 (или отключенный vlan filtering), то почему нетегированн...
freewood
02 янв 2019, 03:03
Форум: Маршрутизация, коммутация
Тема: Разделение сети на VLAN
Ответы: 10
Просмотры: 6610

Разделение сети на VLAN

Всем привет. Заморочился тут все таки разобраться как в микротах VLANы работают и что-то я в отчаянии. Вроде бы в вики у них все грамотно расписано, но на свою сеть не могу сообразить как правильно экстраполировать это. К тому же после 6.41 они предлагают VLANы разруливать через мост, но при этом мы...
freewood
07 май 2018, 13:03
Форум: Общие вопросы
Тема: IKEv2 Туннель и генерация политик
Ответы: 8
Просмотры: 9847

Re: IKEv2 Туннель и генерация политик

Mode-config мы указываем в свойствах пира, а шаблон только позволяет сгенерировать полиси если сети входят в диапазон указанный в src-address и dst-address. Т.е. конкретно в моем конфиге что бы полиси создавалось по шаблону, мне надо было бы на серверной части создать mode-config с указанием пула ад...
freewood
06 май 2018, 21:16
Форум: Общие вопросы
Тема: IKEv2 Туннель и генерация политик
Ответы: 8
Просмотры: 9847

Re: IKEv2 Туннель и генерация политик

Вообщем посидел поразбирался, погонял тесты на двух виртуалках с CHR. Шаблоны политик используются как элемент ограничения, но конфигурацию сами по себе они не предоставляют. Что бы пушить на клиенты политики для сетей, нужно использовать mode-config, через "Address pool" отдается адрес са...
freewood
29 апр 2018, 00:28
Форум: Общие вопросы
Тема: IKEv2 Туннель и генерация политик
Ответы: 8
Просмотры: 9847

Re: IKEv2 Туннель и генерация политик

В логах при попытке согласования вылетает TS_UNACCEPTABLE и ошибка ipsec "policy not found/generated"
В свойствах пиров собственно указываю generate-policy=port-strict (port-override так же пробовал).
freewood
28 апр 2018, 08:03
Форум: Общие вопросы
Тема: IKEv2 Туннель и генерация политик
Ответы: 8
Просмотры: 9847

Re: IKEv2 Туннель и генерация политик

Поленился сразу конфиг приложить, собственно он такой. Офис: /ip ipsec peer add address=y.y.y.y/32 dh-group=modp1536 dpd-interval=1m enc-algorithm=aes-128 exchange-mode=ike2 secret=secret send-initial-contact=no policy-template-group=test Склад: /ip ipsec peer add address=x.x.x.x/32 dh-group=modp153...
freewood
27 апр 2018, 19:34
Форум: Общие вопросы
Тема: IKEv2 Туннель и генерация политик
Ответы: 8
Просмотры: 9847

IKEv2 Туннель и генерация политик

Вопрос короткий на самом деле. Настроил IKEv2 туннель между двумя офисами, но в одном офисе IP динамический, а в другом сразу два IP (два провайдера). В итоге пытался сделать шаблон полиси с предопределенными src/dst-address, а что бы sa-src/dst-address генерировался при согласовании. Но при такой к...
freewood
25 янв 2018, 09:54
Форум: Общие вопросы
Тема: Simple Queues и приоритезация по протоколам
Ответы: 4
Просмотры: 3345

Re: Simple Queues и приоритезация по протоколам

Все заработало великолепно, спасибо.
freewood
24 янв 2018, 17:49
Форум: Общие вопросы
Тема: Simple Queues и приоритезация по протоколам
Ответы: 4
Просмотры: 3345

Re: Simple Queues и приоритезация по протоколам

А слона то я и не приметил... спасибо большое )
freewood
24 янв 2018, 17:04
Форум: Общие вопросы
Тема: Simple Queues и приоритезация по протоколам
Ответы: 4
Просмотры: 3345

Simple Queues и приоритезация по протоколам

Привет. Бьюсь с приоритезацией трафика через SQ, нифига не получается, хотя вроде бы с документацией все сходится, как и с живыми примерами. Есть такой конфиг: /ip firewall mangle add action=mark-connection chain=forward connection-mark=no-mark dst-address-list=mango new-connection-mark=mango-conn p...
freewood
20 фев 2017, 09:25
Форум: Общие вопросы
Тема: Обойти NAT провайдера.
Ответы: 8
Просмотры: 11007

Re: Обойти NAT провайдера.

maxim_minton писал(а): 17 фев 2017, 12:17 Это я понял, только проблема в том, что у меня нет другой машины/маршрутизатора с реальным IP. Я думал через IPv6, но и там как оказалось тоже засада.
VPS за ~150р в месяц возьмите любую, вот вам и машина с реальным IP
freewood
12 янв 2017, 13:37
Форум: Маршрутизация, коммутация
Тема: IPsec VPN - проблема
Ответы: 19
Просмотры: 11107

Re: IPsec VPN - проблема

IKE туннель у вас не получится настроить с серым IP, разве что только вам провайдер пробросы сделает. С серым IP можно использовать IPSEC только поверх какого-то транспорта, например L2TP, и клиентом должен выступать ваш роутер.
local-address - в настройках пира указывать не надо.
freewood
11 янв 2017, 08:32
Форум: Маршрутизация, коммутация
Тема: IPsec VPN - проблема
Ответы: 19
Просмотры: 11107

Re: IPsec VPN - проблема

Написано, но только в разделе remote peers. Это адрес на интерфейсе роутера с которым соединен удаленный ipsec peer. Соответсвенно если на роутере несколько внешних адресов, то указав один из них в свойствах пира, мы разрешим последнему подключаться только к данному ip адресу роутера.
freewood
28 дек 2016, 13:56
Форум: Маршрутизация, коммутация
Тема: IPsec VPN - проблема
Ответы: 19
Просмотры: 11107

Re: IPsec VPN - проблема

при поднятии IPSec не должны появляться новые маршруты?
Не, ipsec на микротике через "/ip ipsec policy" всю маршрутизацию делает.
freewood
23 ноя 2016, 09:30
Форум: Маршрутизация, коммутация
Тема: Site-to-Site L2VPN
Ответы: 9
Просмотры: 7818

Re: Site-to-Site L2VPN

Если сеть одна, то proxy-arp действительно не нужен. Может в фаерволле что-то блокирует? Сейчас ради эксперимента на виртуалках два CHRа запустил, со следующими настройками все заработало без всяких проблем. Настройка первого микротика. /interface bridge add name=br0 /interface ethernet set [ find d...
freewood
22 ноя 2016, 08:42
Форум: Маршрутизация, коммутация
Тема: Queue Tree загрузка CPU
Ответы: 13
Просмотры: 12764

Re: Queue Tree загрузка CPU

mr.hak777, отчего же, simple queue точно так же поддерживает приоритезацию трафика.
freewood
18 ноя 2016, 11:13
Форум: Маршрутизация, коммутация
Тема: Site-to-Site L2VPN
Ответы: 9
Просмотры: 7818

Re: Site-to-Site L2VPN

Честно говоря по данной проблеме не имею что сказать. Но я бы наверное попробовал бы ipip+ipsec туннель между микротиками (настраивается за минуту), интерфейсы этих туннелей засунуть в бридж, на бридже включить proxy-arp. По идее должно завестись без проблем.
freewood
17 ноя 2016, 08:35
Форум: Беспроводная связь
Тема: переодически "отваливается" интернет по Wi-Fi
Ответы: 7
Просмотры: 8809

Re: переодически "отваливается" интернет по Wi-Fi

Как минимум попробовать вот это

Код: Выделить всё

/system logging add action=memory topics=wireless,info
freewood
16 ноя 2016, 09:19
Форум: Беспроводная связь
Тема: переодически "отваливается" интернет по Wi-Fi
Ответы: 7
Просмотры: 8809

Re: переодически "отваливается" интернет по Wi-Fi

А в логах на микротике в момент пропадания интернета на телефоне что происходит?
freewood
15 ноя 2016, 05:44
Форум: Общие вопросы
Тема: ipip туннель не работает
Ответы: 6
Просмотры: 6575

Re: ipip туннель не работает

Обновлялся, к слову, один из роутеров, с 6.36.2 до 6.37.1 Вчера вечером отключил ipsec туннель, удалил оба ipip туннеля. При этом, что самое важное, ничего не менял в фаерволле и маршрутах. Создал заново два туннеля, все завелось с шифрованием без каких либо вопросов. Вообщем мистика какая-то. FastT...
freewood
14 ноя 2016, 16:31
Форум: Общие вопросы
Тема: ipip туннель не работает
Ответы: 6
Просмотры: 6575

Re: ipip туннель не работает

Сейчас у меня в mangle маркируются только входящие подключения, что бы они уходили через соответствующий маршрут обратно, а не через дефолтный. В целях эксперимента отключил полностью iptunnel-isp2 на обоих роутерах. Соответственно сейчас только один туннель через дефолтный маршрут, с маршрутизацией...