MikroTik.by

Хм... А сделайте трассировку к удалённому офису с клиента, который "не ходит по подсетям удалённых офисов" при выключенном masquerade...

В удалённых офисах нужно тоже маршруты прописать к этому офису (можно добавить в PPP Secrets в поле Routes для автоматического прописывания)

Добрый. Если spectr и moloko - это и есть офисы 1 и 2, то у вас там два костыля в srcnat в виде правил masquerade для этих интерфейсов. По-хорошему бы настроить нормальную маршрутизацию между офисами (путём прописывания маршрутов на удалённые подсети во всех офисах и отключения этих masquerade) - эт...

Хм, статья занятная (первую только прочитал ). А проверьте, что у вас в Queue -> Interface Queues. Если only-hardware-queue - попробуйте выставить какой-нибудь multi-queue-ethernet-default с увеличенным буфером...

З.Ы. Уже увидел, что вы остановились на варианте с промежуточным коммутатором %)

Ну, вообще он не должен использоваться, если не настроен на роутере...

А в Терминале "/ipv6 export" пустой конфиг выдаёт?

Так на роутере у вас настроен ipv6? Провайдер его даёт?

Ну, они могут их как-то по другому учитывать, например С другими таймаутами UDP... Торренты ведь любят в DHT поспамить соединениями?..

Есть смысл для туннеля настраивать? /ip firewall raw add action=accept chain=prerouting dst-address-type=local protocol=ipsec-esp А так же для src-nat и firewall ipsec-policy=out,ipsec\in,ipsec для безопасности. Есть, т.к. вряд ли вас будут досить IPSec'ом, поэтому все пакеты можно пускать на обраб...

А, вы про этот IPIP, поверх IPSec... Не смотрели в сторону L2TP over IPSec? Там и IPSec, и UDP-транспорт...

Задайте вопрос провайдеру, для начала?

goro писал(а): ↑11 дек 2020, 18:20 Может кто подкскажет, как отфильтровать события о логоне одного из юзеров?

Например, по имени пользователя в message

Здравствуйте. Поскольку никаких деталей про "не грузятся страницы" нет - можно лишь предположить, что ограничение по числу одновременных соединений - на стороне провайдера, которое и можно обойти, ограничив на самом роутере меньшим числом. У роутера никаких серьёзных ограничений на соедине...

Приветствую. Так вы хотите телефоны в отдельный VLAN вынести? Тогда вообще проблем никаких нет, у вас на роутере будут отдельные интерфейсы (ethernet и vlan) - вы их отдельно и настраиваете, свой адрес и свой DHCP Server на каждом. Канал надо гарантировать в Интернет? А вам провайдер его гарантирует?

А Tools -> Torch на аплинк-интерфейсе пакеты улетающие показывает?

ПК, который нормально поднимает соединение, находится за первым роутером?

Вот это правило (самое верхнее) отправляет весь входящий трафик из Интернета (включая всякие OVPN) на 88.254, не меняя номеров портов. Так и должно быть?

Ну, поскольку перед Dst-NAT есть только Raw prerouting и Mangle prerouting, а там у вас, наверное, ничего интересного нет, можно заключить, что нужные пакеты до вашего роутера не долетают. Не совсем только понятно, что вы тогда в Torch видите... А про DMZ не понял, что вы имели в виду. В мануале так...

Пока вы не ответите на мои вопросы или я не найму телепата - дальше мы точно не продвинемся. На второе у меня сейчас денег нет, поэтому придётся работать не по ощущениям, а по фактическим данным.

На скриншотах далеко не вся информация. Что там на других вкладках правила NAT? Что за третье правило NAT? В него точно не уходит OVPN?

Конфиг лучше через "/export hide-sensitive" показывать

Значит, надо смотреть конфиг, статистику правил файрвола...

Здравствуйте.

Запускайте Tools -> Torch (или Packet Sniffer) на внешнем интерфейсе, пытайтесь извне подключиться на какой-нибудь порт - и смотрите, видно ли эти пакеты на интерфейсе. Если не видно - то проблема не на роутере.

Добрый. А с другой стороны в логах что?

На стороннем сервере уже даже картинка протухла

Ну так если у вас там просто кабель - то и маршрутизироваться всё должно без проблем и без IPIP.

Приветствую.

Хм... Что-то такое вспоминается, и как будто люди подключали устройство к компьютеру через промежуточный свитч, чтобы обойти проблему с пропаданием линка... Есть возможность проверить?

Свитч не будет менять маки в пакетах, он же неуправляемый: тут пакет либо пролетает, либо не пролетает. Телефоны получают адреса от MikroTik'а, правильно?..

На вопросы удобнее отвечать в обратном порядке :) 3) зачем роутер шлет ICMP (type 5, code 1) type 5 code 1 - это host redirect. Роутер сам офигевает от происходящего и говорит 192.168.1.111: "ты это, совсем тю-тю? у тебя ж нужный хост под боком, меня зачем привлекать? шли пакеты ему напрямую!&q...