за что :? мы тут обсуждаем doh и eSNI

если вы удалили сообщение, то это не значит что его никто не видел :)

dns работает не только по udp, но и по tcp, не забывайте

Практика показывает, что скажем для блокировки ресурсов в офисе перенаправления UDP обычно достаточно

там настроек 2 галки поставить и все твои завороты 53 udp идут лесом

Слишком глубоко смотришь) Так-то можно телефон в руки взять и через LTE послать лесом все возможные фильтры)

речь ведь про запреты операторские

вот все настройки doh. и удачи в заворотах днс

где?

я даже скриншот прилепил

нет, если я на микроте настроил жэтот вот дох и изнутри сети кто нибудь пропишет не тот днс, не мой микрот или еще что
на самом микроте - да, я уже так сделал

твой клиент может такой же doh у себя поднять хоть на винде

эпоха перехватов днс все

ну .. можно придусвать что хочешь

Да атака на днс уже в прошлом)

А как себя микрот кпк релей на doh по нагрузке?

2011 дома

Всем привет, подскажите, пожалуйста, в чем может быть проблема в такой ситуации:

Пытаюсь заставить работать схему с IPSEC-GRE туннелем между Mikrotik и Fortigate, с OSPF-маршрутизацией поверх.
На данный момент Ph1 и Ph2 поднимаются, пинги ходят в обе стороны, Fortigate OSPF получает hello от Микротика, а вот Микротик hello-пакеты, видимо, не получает. Со стороны Фортика делаю захват трафика на туннельном интерфейсе и вижу, как Hello идут в обе стороны, со стороны Микротика как захватить пакеты - не понимаю, ни packet sniffer, ни torch на gre-интерфейсе ничего не показывают.

конфига:

/interface gre
add allow-fast-path=no !keepalive local-address=2.2.2.2 name=\
   gre-tunnel1 remote-address=1.1.1.1
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1536,modp1024
add dh-group=modp2048,modp1536,modp1024 hash-algorithm=sha256 name=ipsec-ph1
/ip ipsec peer
add address=1.1.1.1/32 exchange-mode=ike2 local-address=2.2.2.2 \
   name=ipsec-peer1 passive=yes profile=ipsec-ph1
/ip ipsec proposal
set [ find default=yes ] lifetime=12h pfs-group=modp1536
add auth-algorithms=sha256,sha1 enc-algorithms=\
   aes-128-cbc,aes-128-ctr,aes-128-gcm,camellia-128 lifetime=12h name=\
   ipsec-ph2 pfs-group=modp1536
/ip ipsec identity
add generate-policy=port-strict peer=ipsec-peer1 secret=1234567890
/ip ipsec policy
add dst-address=0.0.0.0/0 level=unique peer=ipsec-peer1 proposal=ipsec-ph2 \
   sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=\
   10.255.10.2/32 tunnel=yes



/routing ospf area
add area-id=0.0.0.88 name=area1
/routing ospf instance
set [ find default=yes ] router-id=192.168.88.1
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
   192.168.88.0
add address=10.255.10.2/30 interface=gre-tunnel1 network=10.255.10.0

/routing ospf network
add area=backbone network=10.255.0.0/16
add area=area1 network=192.168.88.0/24



/ip firewall filter
add action=accept chain=input dst-port=500,4500 protocol=udp
add action=accept chain=input protocol=gre
add action=accept chain=input protocol=ipsec-esp
add action=accept chain=input comment=\
   "defconf: accept established,related,untracked" connection-state=\
   established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
   invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
   in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
   ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
   ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
   connection-state=established,related
add action=accept chain=forward comment=\
   "defconf: accept established,related, untracked" connection-state=\
   established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
   connection-state=invalid
add action=drop chain=forward comment=\
   "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
   connection-state=new in-interface-list=WAN

/ip firewall nat
add action=accept chain=srcnat out-interface=gre-tunnel1
add action=masquerade chain=srcnat comment="defconf: masquerade" \
   ipsec-policy=out,none out-interface-list=WAN

Добрый день всем! Подскажите какой режим агрегации на микротике соответствует LACP ? Есть коммутатор HP5500, есть микротик CCR1036, необходимо между ними сделать агрегацию. С HP вроде разобрался, создал интерфейс BridgeAggregation и включил в него нужные порты, а на CCR не пойму какой bonding mode выбрать. Задача сделать линк пропускной способностью больше 1гб