[РЕШЕНО] EoIP - Попасть из одной подсети в другую

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

[РЕШЕНО] EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Добрый вечер, что-то я запутался

Имеем - удалённый микротик (RB5HacD2HnD-TC)- подсеть 192.168.2.0/24, поднят EoIP туннель ко мне, EoIP в бридже
У меня (RB3011) - подсеть 192.168.7.0/24 - EoIP не в бридже

С RB3011 и своей подсети я вижу 192.168.2.0/24
С удалённого RB5HacD2HnD-TC я НЕ вижу 192.168.7.0/24

Что есть:

Маршрут на удалённом на 192.168.7.1 прописан и показывает reacheble
src-NAT на удалённом прописан вида

Код: Выделить всё

chain=srcnat action=accept src-address=192.168.2.0/24 dst-address=192.168.7.0/24
На моём прописан обратный src-nat вида

Код: Выделить всё

chain=srcnat action=accept src-address=192.168.7.0/24 dst-address=192.168.2.0/24
На моём прописан маршрут на 192.168.2.0/24 через EoIP

На интерфейсах включён proxy-arp

Удалённый должен увидеть мой RB3011 - для некоторых сервисов, ткните носом неразумного :)

UPD - правила ната пришлось задизейблить, иначе изнутри своей сети (192.168.7.2-192.168.7.10) я не вижу 192.268.2.0/24

UPD2 через 8 часов - OSPF начало работать и пролезло на 192.168.2.1 - но пингов на 192.168.7.1 так и нет, что-то я не понимаю

UPD3 - локализовалась проблема именно на RB3011 - так как на 2 другие сети, которые существуют на RB3011 (172.16.0.0/24 и 198.51.100.0/24) пинги с 192.168.2.0/24 - ходят. Обе сети не в бридже на 3011, а значит что-то в настройках бриджа надо править

UPD4 - arp ping пошёл на 192.168.7.1 - обычный не хочет, что-то тут не то :)
Последний раз редактировалось Sir_Prikol 29 окт 2018, 17:02, всего редактировалось 1 раз.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Если на обоих маршрутизаторах есть маршруты к подсетям другого маршрутизатора — то никакие NAT'ы и Proxy-ARP'ы не нужны. Смотрите трассировки с обеих сторон.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Код: Выделить всё

traceroute to 192.168.2.1 (192.168.2.1), 64 hops max, 52 byte packets
 1  192.168.201.1 (192.168.201.1)  137.623 ms  72.821 ms  73.634 ms
 2  192.168.7.1 (192.168.7.1)  89.455 ms  224.969 ms  246.969 ms
 3  192.168.2.1 (192.168.2.1)  271.455 ms  269.712 ms *
Это из другой подсети на 192.168.2.1 - всё пашет - сеть вижу

Код: Выделить всё

tool traceroute 192.168.7.1
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS        
 1                                  100%    5 timeout                                               
 2                                  100%    5 timeout                                               
 3                                  100%    4 timeout                                               
 4                                  100%    4 timeout                                               
 5                                  100%    4 timeout                                               
Удалённый

Код: Выделить всё

tool traceroute 192.168.0.1
 # ADDRESS                          LOSS SENT    LAST     AVG    BEST   WORST STD-DEV STATUS        
 1 192.168.0.1                        0%    8  52.8ms    52.9    52.8    53.1     0.1    
на другую подсеть

Маршруты на удалённом

Код: Выделить всё

 ip route print 
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          EoIP                                 1
 1 ADS  0.0.0.0/0                          xxx.xxx.xxx.xx                1
 2 ADC  xxx.xxx.xxx.0/20      xxx.xxx.xxx.xx    ether1                    0
 3 ADo  172.16.0.1/32                      192.168.2.2             110
 4 ADo  172.16.0.101/32                    192.168.2.2             110
 5 ADo  172.16.0.102/32                    192.168.2.2             110
 6 ADo  172.16.0.206/32                    192.168.2.2             110
 7 ADo  172.16.0.207/32                    192.168.2.2             110
 8 ADo  172.16.0.254/32                    192.168.2.2             110
 9 ADo  172.16.251.0/24                    192.168.2.2             110
10 ADo  192.168.0.0/24                     192.168.2.2             110
11 ADC  192.168.2.0/24     192.168.2.1     bridge                    0
12   S  192.168.7.0/24     192.168.2.2     EoIP                      1
13 ADo  192.168.7.0/24                     192.168.2.2             110
14 ADo  198.51.100.0/24                    192.168.2.2             110
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

А увидеть 192.168.7.0/24 необходимо, тогда DLNA побежит нормально, capsmasn могу и с 192.168.0.1 - забрать, а вот остальное - не переделать :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Может не парить голову и навесить на это дело vlan, тогда, по всем канонам, оно заработает
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

А DLNA разве не широковещалкой/мультикастом общается? Я всегда думал, что через маршрутизацию оно не пролазит :) Только всякие PIM.

Удалённая сторона 192.168.2.2 нормально пингует?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

У меня DLNA бегает через EoIP везде :)
Удалённая сторона 192.168.2.2 нормально пингует?
Да, с 192.168.2.1 - идёт нормальный пинг на 192.168.2.2

Код: Выделить всё

ping 192.168.2.2
  SEQ HOST                                     SIZE TTL TIME  STATUS                                
    0 192.168.2.2                                56  64 55ms 
    1 192.168.2.2                                56  64 55ms 
    2 192.168.2.2                                56  64 55ms 
    3 192.168.2.2                                56  64 55ms 
    4 192.168.2.2                                56  64 55ms 
    5 192.168.2.2                                56  64 55ms 
    6 192.168.2.2                                56  64 55ms 
    7 192.168.2.2                                56  64 55ms 
    8 192.168.2.2                                56  64 55ms 
    9 192.168.2.2                                56  64 55ms 
   10 192.168.2.2                                56  64 55ms 
   11 192.168.2.2                                56  64 55ms 
   12 192.168.2.2                                56  64 55ms 
    sent=13 received=13 packet-loss=0% min-rtt=55ms avg-rtt=55ms max-rtt=55ms 

Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Через EoIP с маршрутизацией или таки с коммутацией (с обеих сторон в бридже)?

А трассировка выше была с .2.1 или с другого устройства в этой подсети?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

DLNA с коммутацией - работает

Трассировка была с 2.1
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Так коммутация — это и есть широковещалка/мультикаст. А с маршрутизацией такой номер не пройдёт, как мне кажется.

Сейчас снифер в руки — и смотреть, куда именно пакеты улетают и почему они туда не долетают... Или, например, правила файрвола с log=yes
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

В сниффере пусто, icmp вообще отсутствует, остальные просто :: и всё. Параллельно ещё одна проблема вылезла, видимо взаимосвязана, но отпишусь уже утром, сил нет
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Это на какой стороне? Пакеты даже не вылетают? И что такое "::"?
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Конфиг RB3011

111.111.111.111 - первиый аплинк
222.222.222.222 - второй аплинк
444.444.444.444 - третий аплинк, через которого анонсирую белую сеть 333.333.333.0/22
198.51.100.0/24 - 4 аплинк (бекап, если рухнули все)


При такой конфигурации через EoIP вижу все сети, кроме 192.168.7.0/24
При этом я хожу на белую сеть и на 192.168.2.0/24

На любом белом адресе вход в логах светится через рутер (хотя вроде не натится)
Как только я меняю в

Код: Выделить всё

/ip firewall nat
add action=masquerade chain=srcnat comment=Internet log-prefix=nat22 \
    out-interface=!WiFi+LAN src-address=!333.333.333.0/22
src-address на dst-address то вход в белую сеть у меня изнутри локалки пропадает, в логах белой сети светится правильный ip входа, но на выходе вообще начинает светить IP провайдера, через кого я забираю сеть

Код: Выделить всё

/ip firewall address-list
add address=0.0.0.0/8 list=BOGONS
add address=10.0.0.0/8 list=BOGONS
add address=100.64.0.0/10 list=BOGONS
add address=127.0.0.0/8 list=BOGONS
add address=169.254.0.0/16 list=BOGONS
add address=172.16.0.0/12 list=BOGONS
add address=192.0.0.0/24 list=BOGONS
add address=192.0.2.0/24 list=BOGONS
add address=198.18.0.0/15 list=BOGONS
add address=198.51.100.0/24 list=BOGONS
add address=203.0.113.0/24 list=BOGONS
add address=224.0.0.0/3 list=BOGONS
add address=192.168.0.0/16 list=BOGONS
add address=isp-servis.ru list=blocked-addr
add address=oxygenno.fun list=blocked-addr
add address=fast-torrent.ru list=blocked-addr
add address=7-zip.org list=blocked-addr
add address=st.unibytes.com list=blocked-addr
add address=api.telegram.org list=blocked-addr
add address=ucrm.ubnt.com list=blocked-addr
add address=addons.mozilla.org list=blocked-addr
add address=dev-ucrm-billing-demo.ubnt.com list=blocked-addr
add address=192.168.7.0/24 list=my-network
add address=198.51.100.0/24 list=my-network
add address=nolapro.com list=blocked-addr
add address=2ip.ru list=blocked-addr
add address=updates.tdesktop.com list=blocked-addr
add address=updates.theme-fusion.com list=blocked-addr
add address=secure-a.vimeocdn.com list=blocked-addr
add address=nextcloud.com list=blocked-addr
add address=lastpass.com list=blocked-addr
add address=172.16.0.0/12 list=my-network
add address=192.168.0.0/16 list=my-network
add address=hideip.me list=blocked-addr
add address=lostfilm.tv list=blocked-addr
add address=111.111.111.111 list=wan-list
add address=222.222.222.222 list=wan-list
add address=444.444.444.444 list=wan-list
add address=198.51.100.254 list=wan-list
add address=193.164.16.1 list=wan-list
add address=nulledfiles.ru list=blocked-addr
add address=nzix.org list=blocked-addr
add address=333.333.333.0/22 list=Dostup_iz_lokalki
add address=192.168.2.0/24 list=Dostup_iz_lokalki
/ip firewall filter
add chain=input comment="PPTP Access" protocol=gre
add chain=input comment="PPTP Access" dst-port=1723 protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
    established,related routing-mark=!to_tor
add action=accept chain=input dst-port=12443 in-interface-list=WAN \
    log-prefix=sstp protocol=tcp
add action=accept chain=input log-prefix=ping protocol=icmp
add action=accept chain=forward connection-state=established,related \
    routing-mark=!to_tor
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=\
    32,256,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    10m chain=detect-ddos connection-limit=500,32
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    10m chain=detect-ddos connection-limit=500,32
add action=drop chain=forward comment="Drop Invalid connections" \
    connection-state=invalid
add action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \
    in-interface-list=WAN protocol=tcp src-address-list=ftp_blacklist
add action=accept chain=output content="530 Login incorrect" dst-limit=\
    1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist \
    address-list-timeout=1h chain=output content="530 Login incorrect" \
    protocol=tcp
add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \
    in-interface-list=WAN protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist \
    address-list-timeout=1h chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=22 \
    protocol=tcp
add action=drop chain=input comment="DROP Telnet brutforce" dst-port=23 \
    in-interface-list=WAN protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist \
    address-list-timeout=30m chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp src-address-list=telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=23 \
    protocol=tcp
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=30m chain=input comment=\
    "DDoS - Limit incoming connections, add IP to Blacklist (WAN List)" \
    connection-limit=100,32 in-interface-list=WAN protocol=tcp
add action=tarpit chain=input comment=\
    "DDoS - capture and hold connections, try to slow the attacker " \
    connection-limit=3,32 protocol=tcp src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS - SYN Flood protect (WAN List)" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=WAN \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
/ip firewall mangle
add action=accept chain=prerouting comment="\D7\E0\F1\F2\FC \F1\E5\F2\E8 \E8\
    \E7 \EB\EE\EA\E0\EB\EA\E8 (333.333.333.0/22 \E8 192.168.2.0/24)" \
    dst-address-list=Dostup_iz_lokalki log-prefix=net22
add action=mark-routing chain=prerouting dst-address-list=ddosed \
    new-routing-mark=ddoser-route-mark passthrough=no src-address-list=ddoser
add action=mark-routing chain=output comment=\
    "Telegram (router) \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" dst-address-list=\
    tor-traff log-prefix=telega new-routing-mark=vpn_lv passthrough=no \
    src-address=!333.333.333.0/22
add action=mark-routing chain=prerouting comment=\
    "Email \EE\F2\F1\FB\EB\EA\E0 \F7\E5\F0\E5\E7 ISP1" dst-port=25 \
    in-interface=WiFi+LAN log-prefix=email new-routing-mark=route_isp_01 \
    passthrough=no protocol=tcp
add action=mark-routing chain=prerouting comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\
    \E0 \F2\E5\EB\E5\E3\E8 \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" \
    dst-address-list=tor-traff log-prefix=tor new-routing-mark=vpn_lv \
    passthrough=no src-address=!333.333.333.0/22
add action=mark-routing chain=prerouting comment=\
    "\CB\E8\F7\ED\FB\E5 \F7\E5\F0\E5\E7 \CB\E0\F2\E2\E8\FE" dst-address-list=\
    blocked-addr log-prefix=tor new-routing-mark=vpn_lv passthrough=no \
    src-address=!333.333.333.0/22
add action=accept chain=prerouting dst-address=192.168.2.0/24
add action=accept chain=prerouting dst-address=192.168.7.0/24
add action=accept chain=prerouting dst-address=192.168.88.0/24
add action=accept chain=prerouting dst-address=172.16.0.0/24
add action=accept chain=prerouting dst-address=172.16.253.0/24
add action=accept chain=prerouting dst-address=172.16.1.0/24
add action=accept chain=prerouting dst-address=198.51.100.1
add action=accept chain=prerouting dst-address=192.168.0.0/24
add action=mark-routing chain=prerouting comment="OVPN \C1\E8\EB\EB\E8\ED\E3" \
    dst-address=172.16.0.0/24 new-routing-mark=to_billing_vpn passthrough=no
add action=mark-routing chain=prerouting comment="\CA\EB\E8\E5\ED\F2\FB" \
    dst-address=172.30.0.0/22 new-routing-mark=to_client passthrough=no
add action=mark-routing chain=prerouting comment="Public network" \
    dst-address=172.16.253.0/24 new-routing-mark=to_misha passthrough=no
add action=mark-routing chain=prerouting comment="OVPN \CB\E0\F2\E2\E8\FF" \
    dst-address=172.16.1.0/24 new-routing-mark=to_ovpn_lv passthrough=no
add action=mark-routing chain=prerouting comment=\
    "OVPN \CC\EE\F1\EA\E2\E0 RB1100hx4" dst-address=172.16.251.0/24 \
    log-prefix=moscow new-routing-mark=to_ovpn_moscow passthrough=no
add action=mark-routing chain=prerouting comment=60GHz dst-address=\
    192.168.88.0/24 new-routing-mark=to_60ghz passthrough=no
add action=mark-routing chain=prerouting comment=D-Link disabled=yes \
    dst-address=10.90.90.0/24 new-routing-mark=to_dlink passthrough=no
add action=change-ttl chain=prerouting comment="\CF\F0\FF\F7\E5\EC \F1\E5\F2\
    \FC \EE\F2 \E2\FB\F8\E5\F1\F2\EE\FF\F9\E5\E3\EE \EF\F0\EE\E2\E0\E9\E4\E5\
    \F0\E0" disabled=yes new-ttl=increment:1 passthrough=yes
add action=change-mss chain=forward disabled=yes new-mss=1360 passthrough=yes \
    protocol=tcp tcp-flags=syn tcp-mss=1453-65535
add action=mark-connection chain=input comment=PCC connection-state=new \
    in-interface=00.pppoe-ISP01 new-connection-mark=conn_isp_01 passthrough=\
    yes
add action=mark-connection chain=input connection-state=new in-interface=\
    00.pppoe-ISP02 new-connection-mark=conn_isp_02 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=\
    03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=input connection-state=new in-interface=\
    "04.ISP_04(SXT)" new-connection-mark=conn_backup passthrough=yes
add action=mark-connection chain=prerouting connection-state=related \
    in-interface=00.pppoe-ISP01 new-connection-mark=conn_isp_01 passthrough=\
    yes
add action=mark-connection chain=prerouting connection-state=related \
    in-interface=00.pppoe-ISP02 new-connection-mark=conn_isp_02 passthrough=\
    yes
add action=mark-connection chain=prerouting connection-state=related \
    in-interface=03.ISP_03 new-connection-mark=conn_isp_03 passthrough=yes
add action=mark-connection chain=prerouting connection-state=related \
    in-interface="04.ISP_04(SXT)" new-connection-mark=conn_backup \
    passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_01 \
    new-routing-mark=route_isp_01 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_02 \
    new-routing-mark=route_isp_02 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_isp_03 \
    new-routing-mark=route_isp_03 passthrough=yes
add action=mark-routing chain=output connection-mark=conn_backup \
    new-routing-mark=route_backup passthrough=yes
add action=mark-connection chain=prerouting dst-address-type=!local \
    new-connection-mark=IT39_PCC_1 passthrough=yes per-connection-classifier=\
    both-addresses:3/0 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local \
    new-connection-mark=IT39_PCC_2 passthrough=yes per-connection-classifier=\
    both-addresses:3/1 src-address-list=BOGONS
add action=mark-connection chain=prerouting dst-address-type=!local \
    new-connection-mark=IT39_PCC_3 passthrough=yes per-connection-classifier=\
    both-addresses:3/2 src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_1 \
    new-routing-mark=IT39_1 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_2 \
    new-routing-mark=IT39_2 passthrough=yes src-address-list=BOGONS
add action=mark-routing chain=prerouting connection-mark=IT39_PCC_3 \
    new-routing-mark=IT39_3 passthrough=yes src-address-list=BOGONS
add action=mark-connection chain=prerouting connection-mark=no-mark \
    new-connection-mark=oTher passthrough=yes
add action=mark-routing chain=prerouting comment=\
    "SIP \F7\E5\F0\E5\E7 \C4\E8\E0\EB\EE\E3" log-prefix=phone \
    new-routing-mark=route_isp_01 passthrough=yes src-address=192.168.7.29
add action=mark-routing chain=prerouting comment=\
    "\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 TTK (\CC\EE\E9)" \
    disabled=yes new-routing-mark=route_isp_03 passthrough=yes src-address=\
    192.168.7.7
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
    \E9 IP \F7\E5\F0\E5\E7 \D2\D2\CA (\CC\EE\E9 thunderbolt)" disabled=yes \
    new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.32
add action=mark-routing chain=prerouting comment=\
    "\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 TTK (ASUS)" \
    new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.31
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.241
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.242
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.243
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.244
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (\DF\F1\E5\ED\FC\F1\EA\EE\E5)" \
    new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.246
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (\CE\EB\E5\ED\E8\F7\E5\E2)" \
    new-routing-mark=route_isp_03 passthrough=yes src-address=192.168.7.247
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.45
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.46
add action=mark-routing chain=prerouting comment=\
    "\CA\EB\E8\E5\ED\F2 \F7\E5\F0\E5\E7 TTK (BRAS)" new-routing-mark=\
    route_isp_03 passthrough=yes src-address=192.168.7.47
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
    \E9 IP \F7\E5\F0\E5\E7 Yota (\C4\FE\E4\E8\EA)" disabled=yes \
    new-routing-mark=to_yota passthrough=yes src-address=192.168.7.15
add action=mark-routing chain=prerouting comment=\
    "\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 Yota (Amour)" \
    disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
    192.168.7.18
add action=mark-routing chain=prerouting comment=\
    "\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 Yota (\CC\EE\E9)" \
    disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
    192.168.7.7
add action=mark-routing chain=prerouting comment=\
    "\C2\ED\F3\F2\F0\E5\ED\ED\E8\E9 IP \F7\E5\F0\E5\E7 LV (\CC\EE\E9)" \
    disabled=yes new-routing-mark=vpn_192_168_2_0 passthrough=yes \
    src-address=192.168.7.7
add action=mark-routing chain=prerouting comment="\C2\ED\F3\F2\F0\E5\ED\ED\E8\
    \E9 IP \F7\E5\F0\E5\E7 Yota (\D2\E5\F1\F2\EE\E2\FB\E9 \E1\E8\EB\EB\E8\ED\
    \E3)" disabled=yes new-routing-mark=to_yota passthrough=yes src-address=\
    192.168.7.39
/ip firewall nat
add action=masquerade chain=srcnat comment=Internet log-prefix=nat22 \
    out-interface=!WiFi+LAN src-address=!333.333.333.0/22
add action=masquerade chain=srcnat comment=\
    "\CC\E0\F1\EA\E0\F0\E0\E4 \E4\EB\FF SSTP" dst-address=192.168.7.2 \
    dst-port=12443 protocol=tcp
add action=dst-nat chain=dstnat comment=SSTP dst-port=12443 log=yes \
    log-prefix=sstp protocol=tcp to-addresses=192.168.7.2 to-ports=12443
add action=dst-nat chain=dstnat comment=L2TP disabled=yes dst-port=1701 \
    in-interface-list=WAN protocol=udp to-addresses=192.168.7.2 to-ports=1701
add action=dst-nat chain=dstnat comment=PPtP disabled=yes dst-port=1723 \
    in-interface-list=WAN log-prefix=pptp protocol=tcp to-addresses=\
    192.168.7.2 to-ports=1723
add action=masquerade chain=srcnat comment="Local (\F0\E0\E7\EE\E1\F0\E0\F2\FC\
    \F1\FF \F1 nat \E4\EB\FF \F1\E0\E9\F2\EE\E2)" dst-address=192.168.7.178
add action=masquerade chain=srcnat comment=OVPN dst-address=!172.16.0.254 \
    out-interface=OVPN_billing
add action=masquerade chain=srcnat comment=OVPN out-interface=all-ppp
add action=masquerade chain=srcnat comment=\
    "\D1\EF\E8\F1\EE\EA \D0\CA\CD (pptp)" disabled=yes out-interface=\
    00.pptp-To-LV
add action=masquerade chain=srcnat comment="All Ethernet" disabled=yes \
    out-interface=all-ethernet
add action=dst-nat chain=dstnat comment="WEB 80 port (WAN List)" \
    dst-address-list=wan-list dst-address-type="" dst-port=80 log-prefix=www \
    protocol=tcp to-addresses=192.168.7.178 to-ports=80
add action=dst-nat chain=dstnat comment=\
    "WEB 8080 port (WAN List) SpeedTest server by oOkla" dst-address-list=\
    wan-list dst-address-type="" dst-port=8080 log-prefix=www protocol=tcp \
    to-addresses=192.168.7.178 to-ports=8080
add action=dst-nat chain=dstnat comment="WEB - 443 port (WAN List)" \
    dst-address-list=wan-list dst-address-type="" dst-port=443 protocol=tcp \
    to-addresses=192.168.7.178 to-ports=443
add action=dst-nat chain=dstnat comment=\
    "PLEX DLNA (\C4\EE\F1\F2\F3\EF \EA \F1\E5\F0\E2\E5\F0\F3) WAN List" \
    dst-address-list=wan-list dst-port=32400 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=32400
add action=dst-nat chain=dstnat comment="PLEX DLNA - (WAN List)" \
    dst-address-list=wan-list dst-port=13099 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=32400
add action=dst-nat chain=dstnat comment="RDP - 3389 port (WAN List)" \
    dst-address-list=wan-list dst-port=3389 protocol=tcp to-addresses=\
    192.168.7.23 to-ports=3389
add action=dst-nat chain=dstnat comment="SSH - 22 port (WAN List)" \
    dst-address-list=wan-list dst-port=22 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=22
add action=dst-nat chain=dstnat comment="FTP - 21 port (WAN  List)" \
    dst-address-list=wan-list dst-port=21 log-prefix=sxt protocol=tcp \
    to-addresses=192.168.7.178 to-ports=21
add action=dst-nat chain=dstnat comment="Hosting management (WAN List)" \
    dst-address-list=wan-list dst-port=8443 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=8443
add action=dst-nat chain=dstnat comment="Hosting update (WAN List)" \
    dst-address-list=wan-list dst-port=8447 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment="IRC Server - 6667 port (WAN List)" \
    dst-address-list=wan-list dst-port=6667 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=6667
add action=dst-nat chain=dstnat comment="SMTP - 25 port (WAN List)" \
    dst-address-list=wan-list dst-port=25 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=25
add action=dst-nat chain=dstnat comment="POP3 - 110 port (WAN List)" \
    dst-address-list=wan-list dst-port=110 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=110
add action=dst-nat chain=dstnat comment="WEB \C7\E0\E3\EB\F3\F8\EA\E0" \
    dst-address-list=wan-list dst-port=81 protocol=tcp to-addresses=\
    185.225.198.2 to-ports=81
add action=dst-nat chain=dstnat comment=robokassa_1 dst-address=\
    111.111.111.111 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1444
add action=dst-nat chain=dstnat comment=robokassa_2 dst-address=\
    222.222.222.222 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1444
add action=dst-nat chain=dstnat comment=robokassa_3 dst-address=\
    444.444.444.444 dst-port=1444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1444
add action=dst-nat chain=dstnat comment=robokassassl_1 dst-address=\
    111.111.111.111 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1443
add action=dst-nat chain=dstnat comment=robokassassl_2 dst-address=\
    111.111.111.111 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1443
add action=dst-nat chain=dstnat comment=robokassassl_3 dst-address=\
    444.444.444.444 dst-port=1443 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=1443
add action=dst-nat chain=dstnat comment=webssl_billing_1 dst-address=\
    111.111.111.111 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=443
add action=dst-nat chain=dstnat comment=webssl_billing_2 dst-address=\
    222.222.222.222 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=443
add action=dst-nat chain=dstnat comment=webssl_billing_3 dst-address=\
    444.444.444.444 dst-port=444 protocol=tcp to-addresses=192.168.7.24 \
    to-ports=443
add action=dst-nat chain=dstnat comment=nginxproxy1_1 dst-address=\
    111.111.111.111 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy1_2 dst-address=\
    222.222.222.222 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy1_3 dst-address=\
    444.444.444.444 dst-port=7080 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7080
add action=dst-nat chain=dstnat comment=nginxproxy2_1 dst-address=\
    111.111.111.111 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy2_2 dst-address=\
    222.222.222.222 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy2_3 dst-address=\
    444.444.444.444 dst-port=7081 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=7081
add action=dst-nat chain=dstnat comment=nginxproxy3_1 dst-address=\
    111.111.111.111 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy3_2 dst-address=\
    222.222.222.222 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy3_3 dst-address=\
    444.444.444.444 dst-port=8893 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8893
add action=dst-nat chain=dstnat comment=nginxproxy4_1 dst-address=\
    111.111.111.111 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy4_2 dst-address=\
    222.222.222.222 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy4_3 dst-address=\
    444.444.444.444 dst-port=8894 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8894
add action=dst-nat chain=dstnat comment=nginxproxy5_1 dst-address=\
    111.111.111.111 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8895
add action=dst-nat chain=dstnat comment=nginxproxy5_2 dst-address=\
    222.222.222.222 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8895
add action=dst-nat chain=dstnat comment=nginxproxy5_3 dst-address=\
    444.444.444.444 dst-port=8895 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8895
add action=dst-nat chain=dstnat comment=web_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=80
add action=dst-nat chain=dstnat comment=web_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=80
add action=dst-nat chain=dstnat comment=web_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=80
add action=dst-nat chain=dstnat comment=web_4 disabled=yes dst-address=\
    198.51.100.254 dst-port=80 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=80
add action=dst-nat chain=dstnat comment=webssl_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=443
add action=dst-nat chain=dstnat comment=webssl_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=443
add action=dst-nat chain=dstnat comment=webssl_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=443
add action=dst-nat chain=dstnat comment=webssl_4 disabled=yes dst-address=\
    198.51.100.254 dst-port=443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=443
add action=dst-nat chain=dstnat comment=pop3_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=110
add action=dst-nat chain=dstnat comment=pop3_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=110
add action=dst-nat chain=dstnat comment=pop3_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=110 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=110
add action=dst-nat chain=dstnat comment=smtp_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=25
add action=dst-nat chain=dstnat comment=smtp_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=25
add action=dst-nat chain=dstnat comment=smtp_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=25 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=25
add action=dst-nat chain=dstnat comment=irc_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=6667
add action=dst-nat chain=dstnat comment=irc_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=6667
add action=dst-nat chain=dstnat comment=irc_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=6667 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=6667
add action=dst-nat chain=dstnat comment=hosting_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=8443 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=8443
add action=dst-nat chain=dstnat comment=hosting_update_1 disabled=yes \
    dst-address=111.111.111.111 dst-port=8447 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=hosting_update_2 disabled=yes \
    dst-address=222.222.222.222 dst-port=8447 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=hosting_update_3 disabled=yes \
    dst-address=444.444.444.444 dst-port=8447 protocol=tcp to-addresses=\
    192.168.7.178 to-ports=8447
add action=dst-nat chain=dstnat comment=ssh_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=22
add action=dst-nat chain=dstnat comment=ssh_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=22
add action=dst-nat chain=dstnat comment=ssh_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=22 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=22
add action=dst-nat chain=dstnat comment=ftp_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=21 log-prefix=sxt protocol=tcp to-addresses=\
    192.168.7.178 to-ports=21
add action=dst-nat chain=dstnat comment=ftp_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=21 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=21
add action=dst-nat chain=dstnat comment=ftp_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=21 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=21
add action=dst-nat chain=dstnat comment=plex_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=plex_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=plex_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=13099 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_1 disabled=yes dst-address=\
    111.111.111.111 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_2 disabled=yes dst-address=\
    222.222.222.222 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=plexint_3 disabled=yes dst-address=\
    444.444.444.444 dst-port=32400 protocol=tcp to-addresses=192.168.7.178 \
    to-ports=32400
add action=dst-nat chain=dstnat comment=web_billing_1 disabled=yes \
    dst-address=111.111.111.111 dst-port=81 protocol=tcp to-addresses=\
    192.168.7.24 to-ports=80
add action=dst-nat chain=dstnat comment=web_billing_2 disabled=yes \
    dst-address=222.222.222.222 dst-port=81 protocol=tcp to-addresses=\
    192.168.7.24 to-ports=80
add action=dst-nat chain=dstnat comment=web_billing_3 disabled=yes \
    dst-address=444.444.444.444 dst-port=81 protocol=tcp to-addresses=\
    192.168.7.24 to-ports=80
/ip firewall raw
add action=accept chain=prerouting protocol=gre
add action=add-dst-to-address-list address-list=ddosed address-list-timeout=\
    10m chain=detect-ddos comment="Detect DDoS"
add action=add-src-to-address-list address-list=ddoser address-list-timeout=\
    10m chain=detect-ddos
add action=drop chain=prerouting src-address-list=ddoser
add action=drop chain=prerouting src-address-list=port_scanners
add action=add-src-to-address-list address-list=dnsflood \
    address-list-timeout=1h chain=prerouting comment=\
    "DNS flood protect (WAN List)" dst-port=53 in-interface-list=WAN \
    protocol=udp
add action=drop chain=prerouting src-address=!198.51.100.0/24 \
    src-address-list=dnsflood
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="Port scanners to list" \
    protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="NMAP FIN Stealth scan" \
    protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="SYN/FIN scan" protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="SYN/RST scan" protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="FIN/PSH/URG scan" protocol=\
    tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=port_scanners \
    address-list-timeout=1h chain=input comment="NMAP NULL scan" protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Это всё хорошо, но я не вижу ответа на свой вопрос :)

А конфиг ну очень длинный, поверхностно пробежался - ничего не увидел, а дальше проще всё-таки отследить конкретный пакет, чем теоретизировать.

С натом всё просто: если адрес меняется - значит, это делает правило NAT. Для исключений белых адресов из НАТа я предпочитаю просто сделать "ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept" в самом верху - и забыть вообще о возможности их случайного натирования.
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept
при замене на dst-address заработало, я же говорю, что-то не понятное идёт, часть src-address приходится менять на dst-address

По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.

Специально создал отдельный бридж, навесил на него IP и проверил, как только тот-же IP сменил с бриджа на интерфейс (любой на RB3011) то пинг пошёл.

Пойду немного покурю мануалы по бриджам в микротике. Сниффер, при трейсе и пинге на бриджевые IP адреса - молчит как швед под Полтавой.
Ой чую, где-то в настройках бриджа косяк, вот только локализовать дальше пока не вышло. Ну хоть главное выяснилось, что это только с бриджами такая веселуха.

Видимо всё-таки придётся смотреть в сторону vlan
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Sir_Prikol писал(а): 29 окт 2018, 14:56
ip fi nat add chain=srcnat src-address=333.333.333.0/22 action=accept
при замене на dst-address заработало, я же говорю, что-то не понятное идёт, часть src-address приходится менять на dst-address
Жесть какая-то. Что значит "приходится"? Сам же отвечу: значит, что-то где-то непредсказуемо настроено :) Когда что-то делаешь со своей конфигурацией, неплохо бы понимать, что именно делаешь. Плохо, когда конфигурация заставляет тебя без понимания делать какую-то ересь :)
Sir_Prikol писал(а): 29 окт 2018, 14:56 По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.

Специально создал отдельный бридж, навесил на него IP и проверил, как только тот-же IP сменил с бриджа на интерфейс (любой на RB3011) то пинг пошёл.
Там ProxyARP везде выключен? %) Если да - тогда похоже на то, что Firewall Filter мешает. Из кусков конфига не понятно, что там за такие "to_tor" и когда они могут помешать.
Sir_Prikol писал(а): 29 окт 2018, 14:56 По основной проблеме, выяснилось следующее, с сети 192.168.2.0/24 пингуются ТОЛЬКО IP на интерфейсах, ни один IP на бридже не пингуется.
Смотреть, куда и в каком виде летит пакет пинга. Третий раз уже в пустоту советую, больше не буду.
Sir_Prikol писал(а): 29 окт 2018, 14:56 Пойду немного покурю мануалы по бриджам в микротике. Сниффер, при трейсе и пинге на бриджевые IP адреса - молчит как швед под Полтавой.
Настройки снифера остались за кадром, поэтому по существу комментировать, увы, нечего.
Sir_Prikol писал(а): 29 окт 2018, 14:56 Видимо всё-таки придётся смотреть в сторону vlan
А это как поможет?..
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

После глобальных переделок и настроек удалось добиться следующего:

Удалённая сеть пингует всю 192.168.7.0/24 ТОЛЬКО если явно укажу пинг через бридж на удалёнке

Код: Выделить всё

ping 192.168.7.178 interface=bridge 
  SEQ HOST                                     SIZE TTL TIME  STATUS                                
    0 192.168.7.178                              56  63 56ms 
    1 192.168.7.178                              56  63 56ms 
    2 192.168.7.178                              56  63 56ms 
    3 192.168.7.178                              56  63 56ms 
    4 192.168.7.178                              56  63 56ms 
    5 192.168.7.178                              56  63 56ms 
    6 192.168.7.178                              56  63 56ms 
    7 192.168.7.178                              56  63 56ms 
    8 192.168.7.178                              56  63 56ms 
    sent=9 received=9 packet-loss=0% min-rtt=56ms avg-rtt=56ms max-rtt=56ms 
Соответственно, осталось только понять почему явно указанный маршрут на удалённом RB не даёт тоже самое, пока не укажу интерфейс
Жесть какая-то. Что значит "приходится"? Сам же отвечу: значит, что-то где-то непредсказуемо настроено
К счастью я свою конфигурацию понимаю, а вот эти моменты dst-address и src-address пошли с одного обновления и именно косякнули на RB3011, саппорт развёл руками и предложил откатиться. Я тогда ещё весь принцип работы переделывал, ибо работало и перестало (Уже в какой-то теме писал об этои)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Удалённая сеть пингует всю 7,0/24, или удалённый маршрутизатор пингует? Спешу напомнить, что это разные вещи всё-таки, тем более с точки зрения настроек.

В Route Rules точно правил никаких нет? :)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Мне уже так надоело тыкать в просьбу отследить пакеты, что готов просить удалённый доступ WinBox'ом xD
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Всё, мне тоже это надоело, ошибка найдена :)

Сам дурак, был прописан НЕ правильный рутинг марк, символ слился, заметил только когда перенёс настройки в блокнот, поправил символ и все пакеты побежали :)

Прошу прощение за свою собственную глупость
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Chupaka писал(а): 29 окт 2018, 16:44 Мне уже так надоело тыкать в просьбу отследить пакеты, что готов просить удалённый доступ WinBox'ом xD
Всегда готов дать :) Просто я облизываю по тихоньку всё что наверчено, но иногда нужен совет более шарящего человека.
Дома: CCR2004 (7-ISP(GPON)белый IP)
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Chupaka »

Ура! =)

Сам не люблю такие моменты, где нельзя проверить, существует ли лейба, которую ты добавляешь... Например, в том же Google Cloud, Network-теги :)
Аватара пользователя
Sir_Prikol
Сообщения: 560
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: EoIP - Попасть из одной подсети в другую

Сообщение Sir_Prikol »

Вот и я о том-же, пока перелопатишь побайтно - употеешь, а конфиг - сами видели, не совсем маленький :)
Дома: CCR2004 (7-ISP(GPON)белый IP)
Ответить