В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

MikrotikClub

2433 membersпожаловаться на группу
2020 February 18

C

Cumberbatch in MikrotikClub
Денис Ю
Добрый. Плиз подскажите. Поднял l2tp сервер. Три клиента, один пользователь на всех. На сервере поднимаются для двух клиентов динамические интерфейсы. Это норма? А как тогда маршруты настроить? Заводить на каждого пользователя статический интерфейс? Сенк
Да. И в секрете Route добавить
источник
08:01пожаловаться#1

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
Да. И в секрете Route добавить
сенк
источник
08:05пожаловаться#2

ДЮ

Денис Ю in MikrotikClub
Плиз подскажите. l2tp сервер. Клиент тоже микрот. Соединение не устанавливается. Отключаю последнее правило в файерволле - инпут дроп всё. Коннект есть. Включаю это правило. Но соединение еще висит некоторое время, минут 30 точно, пакеты летят. Потом дисконнект и заново не поднимается, до тех пор пока опять не отключишь правила. Как отследить, что может дропать?
источник
08:12пожаловаться#3

C

Cumberbatch in MikrotikClub
Денис Ю
Плиз подскажите. l2tp сервер. Клиент тоже микрот. Соединение не устанавливается. Отключаю последнее правило в файерволле - инпут дроп всё. Коннект есть. Включаю это правило. Но соединение еще висит некоторое время, минут 30 точно, пакеты летят. Потом дисконнект и заново не поднимается, до тех пор пока опять не отключишь правила. Как отследить, что может дропать?
Разрешить udp/1701,500,4500 и IPSec-esp
источник
08:13пожаловаться#4

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
Разрешить udp/1701,500,4500 и IPSec-esp
разрешены
источник
08:14пожаловаться#5

YP

Yakov Portnov in MikrotikClub
Денис Ю
разрешены
поднять над drop invalid и крайне рекомендую правила ставить группами согласно цепочкам, так получается нагляднее и видно в какой последовательности идут правила внутри цепочки
источник
08:16пожаловаться#6

C

Cumberbatch in MikrotikClub
Денис Ю
Плиз подскажите. l2tp сервер. Клиент тоже микрот. Соединение не устанавливается. Отключаю последнее правило в файерволле - инпут дроп всё. Коннект есть. Включаю это правило. Но соединение еще висит некоторое время, минут 30 точно, пакеты летят. Потом дисконнект и заново не поднимается, до тех пор пока опять не отключишь правила. Как отследить, что может дропать?
А точно последнее  дроп все? Включите на нем логирование и смотрите что оно дропает
источник
08:18пожаловаться#7

C

Cumberbatch in MikrotikClub
Денис Ю
разрешены
Надеюсь тут нету new
источник
08:19пожаловаться#8

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
А точно последнее  дроп все? Включите на нем логирование и смотрите что оно дропает
да, дроп все. много чего сыпется. сложно выловить нужное.
источник
08:34пожаловаться#9

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
Надеюсь тут нету new
нет
источник
08:34пожаловаться#10

C

Cumberbatch in MikrotikClub
Денис Ю
разрешены
А выведите эти правила через
/ip firewall filter export
источник
08:35пожаловаться#11

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
А выведите эти правила через
/ip firewall filter export
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
   established,related
add action=accept chain=input comment=gre in-interface-list=Internet \
   log-prefix=666666666 protocol=gre
add action=accept chain=input comment="established and related connections" \
   connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="l2tp, ipsec" dst-port=1701,500,4500 \
   in-interface-list=Internet protocol=udp tcp-flags=""
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-esp
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-ah
add action=drop chain=input comment="invalid connections" connection-state=\
   invalid in-interface-list=Internet log-prefix=8888888
add action=drop chain=forward connection-state=invalid in-interface-list=\
   Internet
источник
08:37пожаловаться#12

C

Cumberbatch in MikrotikClub
Денис Ю
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
   established,related
add action=accept chain=input comment=gre in-interface-list=Internet \
   log-prefix=666666666 protocol=gre
add action=accept chain=input comment="established and related connections" \
   connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="l2tp, ipsec" dst-port=1701,500,4500 \
   in-interface-list=Internet protocol=udp tcp-flags=""
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-esp
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-ah
add action=drop chain=input comment="invalid connections" connection-state=\
   invalid in-interface-list=Internet log-prefix=8888888
add action=drop chain=forward connection-state=invalid in-interface-list=\
   Internet
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-esp


ipsec-policy=\
   in,ipsec удалите.
источник
08:40пожаловаться#13

ДЮ

Денис Ю in MikrotikClub
Cumberbatch
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-esp


ipsec-policy=\
   in,ipsec удалите.
50 и 51 порт?
источник
08:41пожаловаться#14

C

Cumberbatch in MikrotikClub
Денис Ю
50 и 51 порт?
Чего 50,51 порт?
источник
08:42пожаловаться#15

ДЮ

Денис Ю in MikrotikClub
выделенные?
источник
08:42пожаловаться#16

ДЮ

Денис Ю in MikrotikClub
источник
08:42пожаловаться#17

C

Cumberbatch in MikrotikClub
Денис Ю
Зачем тут это параметр? Вы понимаете его значение?


ipsec-policy=\
   in,ipsec
источник
08:43пожаловаться#18

C

Cumberbatch in MikrotikClub
Денис Ю
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
   established,related
add action=accept chain=input comment=gre in-interface-list=Internet \
   log-prefix=666666666 protocol=gre
add action=accept chain=input comment="established and related connections" \
   connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="l2tp, ipsec" dst-port=1701,500,4500 \
   in-interface-list=Internet protocol=udp tcp-flags=""
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-esp
add action=accept chain=input in-interface-list=Internet ipsec-policy=\
   in,ipsec protocol=ipsec-ah
add action=drop chain=input comment="invalid connections" connection-state=\
   invalid in-interface-list=Internet log-prefix=8888888
add action=drop chain=forward connection-state=invalid in-interface-list=\
   Internet
И я просил только определенные правила. Уважайте пожалуйста тех кто хочет вам помочь и кто будет это все читать.
источник
08:44пожаловаться#19

ДЮ

Денис Ю in MikrotikClub
Извините. Я просто хотел показать расположение выбранных правил относительно других, типа вверху ничего не дропается.
источник
08:45пожаловаться#20