» MikroTik RouterOS (часть 4)

elovozeleniy
оптимально - только с L2-оборудованием, поддерживающим такой функционал
неоптимально - прописывать с обеих сторон ARP-записи статикой. если прописать только на роутере - то всё равно один клиент может другого убедить в том, что пакеты надо в левое место слать, а не на роутер

Chupaka
Но ведь роутер будет принтмать запросы только в статической связке мак-адрес? И даже, если злоумышленник инфицирует клиента, то дальше роутер данные не примет, так? Или я ошибаюсь?

vlary

Цитата:

Если у тебя стоит галка напротив Add Default Route, то сними ее.
И пропиши маршрут к сети за PPTP сервером.
А в той сети, где стоит PPTP сервер, пусть добавят маршрут к вашей сети через этот сервер.

После того как на PPTP сервере был прописан маршрут:
route add 192.168.9.0 mask 255.255.255.0 10.110.14.21
где 192.168.9.0 (сеть A)- сеть за микротиком; 10.110.14.21 (сеть B) - адрес выдаваемый PPTP-сервером (Windows Server 2008 R2) клиенту на микротике.
Со стороны проводных пользователей микротика пингуется только адрес 10.110.14.10 (PPTP-сервер).

468320
Цитата:

Со стороны проводных пользователей микротика пингуется только адрес 10.110.14.10 (PPTP-сервер).

Это естественно. Ты же добавил маршрут только на PPTP-сервере.
Его надо также добавить на их дефолт шлюзе. Который 10.110.14.1, я полагаю?
Прописать маршрут через 10.110.14.10.

vlary

Цитата:

Это естественно. Ты же добавил маршрут только на PPTP-сервере.
Его надо также добавить на их дефолт шлюзе. Который 10.110.14.1, я полагаю?
Прописать маршрут через 10.110.14.10.

Добавил маршрут на шлюз (10.110.14.243), но пинги не появились.

468320
Цитата:

Добавил маршрут на шлюз (10.110.14.243), но пинги не появились.

Адрес 10.110.14.243 клиенты из 192.168.9.0 теперь пингуют?
Что пытаетесь пинговать в сети 10.110.14.0? На винде входящий пинг по дефолту запрещен.
Шлюз 10.110.14.243 не пытается НАТить пакеты в 192-ю сеть?
С него пинги на адрес микротика 192.168.9.х идут?
Если добавить маршрут к сети 192.168.9.0 через 10.110.14.10 на каком-либо ПК
сети 10.110.14.0, пинги пойдут?

vlary

Цитата:

Адрес 10.110.14.243 клиенты из 192.168.9.0 теперь пингуют?
Что пытаетесь пинговать в сети 10.110.14.0? На винде входящий пинг по дефолту запрещен.
Шлюз 10.110.14.243 не пытается НАТить пакеты в 192-ю сеть?
С него пинги на адрес микротика 192.168.9.х идут?
Если добавить маршрут к сети 192.168.9.0 через 10.110.14.10 на каком-либо ПК
сети 10.110.14.0, пинги пойдут?

1. Клиенты за микротиком пингуют шлюз 10.110.14.243.
2. В сети 10.110.14.0 несколько серверов, в частности интересуют шары на одном из серверов. Если на сервере с шарами прописать маршрут как и на PPTP сервере:
route add 192.168.9.0 mask 255.255.255.0 10.110.14.21
то пинг на сервер с шарами со стороны клиентов микротика тоже появляется.
3. Шлюз (10.110.14.243) в сети 192.168.9.0 пингут только микротик (192.168.9.1).

468320
Цитата:

2. В сети 10.110.14.0 несколько серверов, в частности интересуют шары на одном из серверов. Если на сервере с шарами прописать маршрут как и на PPTP сервере:
route add 192.168.9.0 mask 255.255.255.0 10.110.14.21

Наверное, правильнее будет указать шлюзом адрес не PPTP клиента, а сервера?
И что-то кажется мне, что на сервере с шарами вообще не прописан дефолт шлюз.
А если прописан, то что-то на шлюзе не пускает пакеты между сетями.
Фаервол, НАТ криво настроен...
Короче, последовательность тебе понятна.
Сначала добиваешься, чтобы пинговался шлюз 10.110.14.243, потом - остальная сеть.

vlary

Цитата:

Наверное, правильнее будет указать шлюзом адрес не PPTP клиента, а сервера?

Вместо route add 192.168.9.0 mask 255.255.255.0 10.110.14.21 прописать route add 192.168.9.0 mask 255.255.255.0 10.110.14.20? Пробовал, вообще всякие пинги пропадают на сеть 10.110.14.0


Цитата:

И что-то кажется мне, что на сервере с шарами вообще не прописан дефолт шлюз.

Нет, шлюз прописан:



Цитата:

Сначала добиваешься, чтобы пинговался шлюз 10.110.14.243, потом - остальная сеть.

Так шлюз 10.110.14.243 уже пингуется клиентами микротика, а вот с остальными серверами, если на них самих маршрут не писать в сеть 192.168.9.0, пингов нет.

Цитата:

Chupaka

Насчет другого оборудования понятно, который поддерживает данный функционал.

Цитата:

неоптимально - прописывать с обеих сторон ARP-записи статикой. если прописать только на роутере - то всё равно один клиент может другого убедить в том, что пакеты надо в левое место слать, а не на роутер

Но тогда как себя обезопасить?

[more] Что можно улучшить в этом конфиге firewall и так же по безопасности, все правильно сделано?


#fasttrack-connection input
/ip firewall filter
add action=fasttrack-connection chain=input connection-state=established,related disabled=yes



# access to winbox разрешение доступа для Winbox
/ip firewall filter
add chain=input action=accept protocol=tcp in-interface=ether1 dst-port=8291 comment="access to winbox"


#BOGON запрещаем с этих подсетей соединения на WAN-порт(in-interface=ether1) маршрутизатора
/ip firewall filter
add action=drop chain=input in-interface=ether1 src-address-list=BOGON
#список BOGON
/ip firewall address-list
add list=BOGON address=1.0.0.0/8 disabled=no
add list=BOGON address=2.0.0.0/8 disabled=no
add list=BOGON address=5.0.0.0/8 disabled=no
add list=BOGON address=7.0.0.0/8 disabled=no
add list=BOGON address=10.0.0.0/8 disabled=no


# INPUT
#Разрешаем все уже установленные подключения (connection state=established)
add chain=input connection-state=established action=accept comment="allow established connections"
# Разрешаем все зависимые подключения (connection state=related)
add chain=input connection-state=related action=accept comment="allow related connections"
#Запрещаем недействительные соединения для цепочек input
add chain=input connection-state=invalid action=drop comment="drop invalid connections"
# ext input


# Блокируем DNS запросы на внешний интерфейс (запрещающее правило для дропа флуда на 53 порту)
/ip firewall filter
add action=add-src-to-address-list address-list="dns flood" address-list-timeout=30d chain=input dst-port=53 in-interface=ether1 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=udp src-address-list="dns flood"
add action=drop chain=input dst-port=53 in-interface=ether1 protocol=tcp src-address-list="dns flood"

# Защита от сканера портов
add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="Port scanners to list" disabled=no
# Комбинации TCP флагов, указывающих на использование сканера портов
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP NULL scan"
# Запрет подключений сканеров портов
add chain=input src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no
add chain=forward src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no

#Защита winbox - drop winbox brute forcers
/ip firewall filter
add chain=input action=drop protocol=tcp src-address-list=winbox_blacklist dst-port=8291 comment="drop winbox brute forcers"
/ip firewall filter
add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage3 address-list=winbox_blacklist address-list-timeout=60m dst-port=8291
/ip firewall filter
add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage2 address-list=winbox_stage3 address-list-timeout=1m dst-port=8291
/ip firewall filter
add chain=input action=add-src-to-address-list connection-state=new protocol=tcp src-address-list=winbox_stage1 address-list=winbox_stage2 address-list-timeout=1m dst-port=8291
/ip firewall filter
add chain=input action=add-src-to-address-list connection-state=new protocol=tcp address-list=winbox_stage1 address-list-timeout=1m dst-port=8291

# Открываем порты для VPN L2TP
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500 comment="Allow L2TP - 1"
add chain=input action=accept protocol=ipsec-esp comment="Allow L2TP - 2"

# проброс портов для торентов
/ ip firewall nat
add chain=dstnat in-interface=ether1 protocol=tcp dst-port=6881 action=netmap to-addresses=192.168.88.3 to-ports=6881 comment="torrent" disabled=no
/ ip firewall nat
add chain=dstnat in-interface=ether1 protocol=udp dst-port=6881 action=netmap to-addresses=192.168.88.3 to-ports=6881 comment="torrent UDP" disabled=no
/ ip firewall filter
add chain=forward in-interface=ether1 protocol=tcp dst-port=6881 action=accept comment="torrent" disabled=no
/ ip firewall filter
add chain=forward in-interface=ether1 protocol=udp dst-port=6881 action=accept comment="torrent UDP" disabled=no


# local input
/ip firewall filter
add chain=input src-address=192.168.88.0/24 action=accept in-interface=!ether1


# Запрет всех входящих на маршрутизатор
add chain=input in-interface=ether1 action=drop comment="Drop everything else"

# OUTPUT
add chain=output action=accept out-interface=ether1 comment="accept everything to internet"
add chain=output action=accept out-interface=!ether1 comment="accept everything to non internet"
add chain=output action=accept comment="accept everything"

# FORWARD
#fasttrack-connection forward
add action=fasttrack-connection chain=forward connection-state=established,related

# Запрет транзита '''битых''' и '''неправильных''' пакетов
add chain=forward connection-state=invalid action=drop comment="drop invalid connections"
# Разрешаем уже установленные подключения и связанные
add chain=forward connection-state=established action=accept comment="allow already established connections"
add chain=forward connection-state=related action=accept comment="allow related connections"


# (1) jumping
add chain=forward protocol=tcp action=jump jump-target=tcp
add chain=forward protocol=udp action=jump jump-target=udp
add chain=forward protocol=icmp action=jump jump-target=icmp

# (3) accept forward from local to internet
add chain=forward action=accept in-interface=!ether1 out-interface=ether1
comment="accept from local to internet"

# (4) drop all other forward
add chain=forward action=drop comment="drop everything else"

# (2) deny some types common types
add chain=tcp protocol=tcp dst-port=69 action=drop comment="deny TFTP"
add chain=tcp protocol=tcp dst-port=111 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=135 action=drop comment="deny RPC portmapper"
add chain=tcp protocol=tcp dst-port=137-139 action=drop comment="deny NBT"
add chain=tcp protocol=tcp dst-port=445 action=drop comment="deny cifs"
add chain=tcp protocol=tcp dst-port=2049 action=drop comment="deny NFS"
add chain=tcp protocol=tcp dst-port=12345-12346 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=20034 action=drop comment="deny NetBus"
add chain=tcp protocol=tcp dst-port=3133 action=drop comment="deny BackOriffice"
add chain=tcp protocol=tcp dst-port=67-68 action=drop comment="deny DHCP"

add chain=udp protocol=udp dst-port=69 action=drop comment="deny TFTP"
add chain=udp protocol=udp dst-port=111 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=135 action=drop comment="deny PRC portmapper"
add chain=udp protocol=udp dst-port=137-139 action=drop comment="deny NBT"
add chain=udp protocol=udp dst-port=2049 action=drop comment="deny NFS"
add chain=udp protocol=udp dst-port=3133 action=drop comment="deny BackOriffice"


# Фильтруем полезный ICMP
add action=accept chain=icmp comment="ICMP (0:0) echo reply" disabled=no icmp-options=0:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:0) dest / net unreachable" disabled=no icmp-options=3:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:1) dest / host unreachable" disabled=no icmp-options=3:1 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:3) dest / port unreachable" disabled=no icmp-options=3:3 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:4) dest / fragment. needed" disabled=no icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:10) dest / comm. with-dst-host prohibited" disabled=no icmp-options=3:10 protocol=icmp
add action=accept chain=icmp comment="ICMP (3:13) dest / communication prohibited" disabled=no icmp-options=3:13 protocol=icmp
add action=accept chain=icmp comment="ICMP (4:0) source quench" disabled=no icmp-options=4:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (8:0) echo request" disabled=no icmp-options=8:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (11:0) time exceeded / TTL" disabled=no icmp-options=11:0 protocol=icmp
add action=accept chain=icmp comment="ICMP (12:0) parameter problem / error" disabled=no icmp-options=12:0 protocol=icmp
add action=drop chain=icmp comment="ICMP - deny ALL other types" disabled=no protocol=icmp



# (5) drop all other forward
add chain=forward action=drop comment="drop (2) everything else"
[/more]

Chekhov
А что за цель преследуете? Что за топология, от кого и каких атак защищаетесь?
Некоторое у вас в конфиге повторяется!
Если интересуют материаллы по ыайеру, могу завтра в пм выслать

468320
Откуда взялся адрес 10.110.14.20?
Ты сам писал: адрес 10.110.14.10 (PPTP-сервер).
По уму линк PPTP-клиент - PPTP-сервер вообще должен быть
не из сети 10.110.14.0 при связи двух сетей.
Для одиночного клиентского соединения - нормально.

vlary

Цитата:

Откуда взялся адрес 10.110.14.20?

VPN-сеть

468320
Цитата:

VPN-сеть

Ни ПК, ни шлюз в той сети не обязаны ничего знать про VPN-сеть.
Указывается маршрут через PPTP-сервер (адрес на эзернете) и все.
А он уже должен знать, в какую сеть через какое соединение попасть.
Короче, тему микротика считаю исчерпанной, на нем все настроено.
Осталось правильно настроить шлюз 10.110.14.243, а это уже совсем другая история.

В чём отличие настройки микротика через Quick Setup и если в менюшках тыкаться или там же но через консоль?
Сколько сайтов видел - все пишут о необходимости не применения дефолтного конфига, а самому с нуля нащёлкать конфиг.
И в каких случаях надо самому конфиг делать а в каких можно на дефолте остаться?

fakintosh
Цитата:

И в каких случаях надо самому конфиг делать а в каких можно на дефолте остаться?

Если никогда больше не планируешь подобными железками заниматься,
а полученный результат тебя мало интересует.

vlary
Дефолт от самолично настроенного конфига технически ни чем не отличается?

fakintosh
Техническии конфиг - это набор команд после выполнения которых роутер оказывается в необходимой вам конфигурации.

Получить его можно 3-мя способами:
1. Воспользоваться вкладкой QuickSet.
Способ хорош тем, что позволяет простому домашнему пользователю получить готовое решение используя одну вкладку. Поддерживаются все основные технологии подключения к интернету, так что у обывателя тут проблем быть не должно.

2. Дефолтный конфиг. После сброса роутера в заводские настройки по умолчанию используется дефолтная конфигурация. Это набор неких правил, отредактировав которые получаем нужную нам конфигурацию. Очень удобно, когда знаешь что именно надо и где именно поправить.

3. Пустой конфиг. При сбросе роутера в заводские настройки можно запретить использовать дефолтный конфиг. Тогда роутер загрузится с чистой конфигурацией. Всё надо будет настраивать с нуля самому. Удобно, когда должна быть специфичная настройка, или нужно загрузить сохраненную ранее конфигурацию.

Но технически - и то и другое и третье лишь набор команд.

Ребята что делаю не так

40 chain=dstnat action=dst-nat to-addresses=yyy.yyy.yyy.yyy to-ports=3395
protocol=tcp dst-address= xxx.xxx.xxx.xxx in-interface=WAN dst-port=3397
log=no log-prefix=""

41 chain=srcnat action=src-nat to-addresses= xxx.xxx.xxx.xxx protocol=tcp
out-interface=WAN dst-port=3395 log=no log-prefix=""

Где xxx.xxx.xxx.xxx - старый ip-адрес, yyy.yyy.yyy.yyy - новый ip-адрес.


Пытаюсь переадресовать настроенных на старый RDP порт 3397 юзеров перевести на новый RDP port 3395

rosalin
ошибку не вижу.

Что по счетчикам?
Логи смотрели?
Попробуйте правила переставить в самый верх.

Ребята, помогите, пожалуйста, настроить гарантированную полосу. А то что-то где-то недопонимаю...
Некоторым пользователям нужен доступ по RDP к 1С, сервер RDP снаружи. Периодически кто-то забивает весь канал и удалёнка начинает подтупливать, отваливаться.
RouterOS 6.18 на RB20011UiAS.

Начал с одного простого правила. Которое не заработало.
[more]
name="queue1" target=bridge-local dst=111.222.111.111/32 parent=none packet-marks=""
priority=8/8 queue=default-small/default-small limit-at=1M/1M max-limit=2M/2M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

111.222.111.111 - сервер RDP, bridge-local - внутренний интерфейс.
[/more]

Потом решил, что нужно добавить ограничение для всего трафика и использовать маркировку пакетов:
[more]
> ip firewall mangle print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=prerouting action=mark-connection new-connection-mark=AllConnections
passthrough=yes src-address=192.168.1.0/24

1 chain=prerouting action=mark-packet new-packet-mark=AllPackets passthrough=yes
connection-mark=AllConnections

2 chain=prerouting action=mark-connection new-connection-mark=rdp_con passthrough=yes
src-address=192.168.1.0/24 dst-address=111.222.111.111

3 chain=prerouting action=mark-packet new-packet-mark=rdp_pkt passthrough=yes
connection-mark=rdp_con

4 X chain=prerouting action=mark-connection new-connection-mark=rdp_down_con passthrough=yes
src-address=111.222.111.111

5 X chain=forward action=mark-packet new-packet-mark=rdp_down_pkt passthrough=yes
connection-mark=rdp_down_con

> queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0 name="rdp" target=bridge-local parent=none packet-marks=rdp_pkt priority=8/8
queue=pcq-upload-default/pcq-download-default limit-at=2M/2M max-limit=5M/5M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

1 name="all" target=bridge-local parent=none packet-marks=AllPackets priority=8/8
queue=pcq-upload-default/pcq-download-default limit-at=0/0 max-limit=17M/17M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

Ширина канала 20 Мбит.
[/more]

Желаемого эффекта не достиг. И решил пойти методом ограничения всего остального:
[more]
ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward action=mark-connection new-connection-mark=AllConnections passthrough=yes

1 chain=forward action=mark-packet new-packet-mark=AllPackets passthrough=yes
connection-mark=AllConnections

2 chain=prerouting action=mark-connection new-connection-mark=rdp_con passthrough=yes
src-address=111.222.111.111

3 chain=prerouting action=mark-packet new-packet-mark=rdp_pkt passthrough=no
connection-mark=rdp_con

4 chain=forward action=mark-connection new-connection-mark=www_con passthrough=yes
protocol=tcp dst-address=192.168.1.0/24 src-port=80,443

5 chain=forward action=mark-packet new-packet-mark=www_pkt passthrough=yes
connection-mark=www_con

6 chain=forward action=mark-connection new-connection-mark=p2p_con passthrough=yes
p2p=all-p2p

7 chain=forward action=mark-packet new-packet-mark=p2p_pkt passthrough=no
connection-mark=p2p_con

queue simple print
Flags: X - disabled, I - invalid, D - dynamic
0 name="All" target=bridge-local parent=none packet-marks=AllPackets priority=8/8
queue=default-small/default-small limit-at=0/0 max-limit=18M/18M burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s

1 name="rdp_1c" target=bridge-local dst=111.222.111.111/32 parent=none packet-marks=rdp_pkt
priority=7/7 queue=default-small/default-small limit-at=1M/1M max-limit=2M/2M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

2 name="matras" target=192.168.1.180/32 parent=none packet-marks="" priority=8/8
queue=pcq-upload-default/pcq-download-default limit-at=0/0 max-limit=4M/4M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

3 name="www" target=bridge-local parent=none packet-marks=www_pkt priority=8/8
queue=pcq-upload-default/pcq-download-default limit-at=0/0 max-limit=9M/9M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

4 name="p2p" target=bridge-local parent=none packet-marks=p2p_pkt priority=8/8
queue=pcq-upload-default/pcq-download-default limit-at=0/0 max-limit=3M/3M
burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s

И даже такое добавил (мне кается, оно не эффективно). Остальной не маркированный трафик:

5 name="end" target=bridge-local parent=none packet-marks=no-mark priority=8/8
queue=default-small/default-small limit-at=0/0 max-limit=512k/512k burst-limit=0/0
burst-threshold=0/0 burst-time=0s/0s

matras - роутер арендаторов (питаются через наш канал).
[/more]

Но и это не спасает. На интерфейсе наблюдал до 24 Мбит. Почему-то правило для всего трафика не работает (не правильно маркирую пакеты?). Кроме того, объём трафика в разных цепочках (prerouting, forward) считается по-разному. И мне, конечно же, нужно учитывать максимальную нагрузку (а интересует, собственно, только соединение с сервером RDP).

Ещё не понятно, почему входящий трафик для внутренней сети на внутреннем интерфейсе (bridge-local) идёт как исходящий (колонка Tx - transmit).

Почему-то, если среди простых очередей выбрать родителя, а другую сделать дочерней, то в них перестаёт считаться статистика и трафик, будто перестают работать вообще.
Также не понятно, почему при построении дерева очередей и маркировке пакетов одной из дочерней выполнять в отличной от других цепочке, опять же перестаёт считаться статистика и трафик.

Simply_Kot
да разобрался , добавил forward

Подскажите как написать скрипт?
Есть 3 инет провайдера.
Роутинг прописан вручную.

ТЗ.

2 инет провайдера всегда подключенные, а 3 й нужно что бы был disable (при активности одного с двух ISP1 и ISP2)

X ;;; ISP 3
ppp-out3 ppp-out
--------------
нужно делать проверку активности роутинга (поиск делать по коменту) enable или дисабле, и если G1 и G2 дисабле

0 A S ;;; G2
0.0.0.0/0 91.**.**.1 2
1 S ;;; G1
0.0.0.0/0 91.**.**.2 3


тогда нужно что бы ppp-out3 enable

когда какой то роутинг g1 или g2 станет активный, тогда ppp-out3 перевести в disable

Tarasyan
Цитата:

Подскажите как написать скрипт?

Вот всегда меня умиляет, когда люди не владеющие глубоко вопросом,
пытаются решить проблему в лоб. А в лоб оно не решается.
Делается это настройкой Policy based routing в Mikrotik
Скриптами ты здесь не обойдешься.

У меня два провайдера настроены по этому примеру - https://geektimes.ru/post/186284/ и все работает.
Третий, это USB модем.
Поскольку плата снимается когда есть хоть какая то активность трафика в день, то мне нужно что бы он активировался когда два первых офф.

Коллеги, есть вопрос по L2TP. Понадобилось мне сделать VPN. Сделал по этой статье. Все получилось, но выявилось две проблемы: 1. трафик от клиента в Интернет стал ходить не напрямую, а через VPN-сервер; 2. На VPN-сервере доступен только IP брижда Микротика (192.168.1.1), а остальные хосты в этой же подсети недоступны. Подскажите, как допилить l2tp?

Accessor
Цитата:

1. трафик от клиента в Интернет стал ходить не напрямую, а через VPN-сервер

Это во всех ЧаВо по VPN уже написано заглавными буквами красного цвета:
в свойствах клиентского подключения снять галку "использовать шлюз в удаленной сети".
Цитата:

2. На VPN-сервере доступен только IP брижда Микротика (192.168.1.1)

Либо выдавай клиентам адреса из пула локальной сети за сервером,
либо настраивай маршрутизацию с той стороны.
Скорее всего ПК в удаленной сети не подозревают, где им искать сеть 192.168.1.0.
Если микротик с l2tp сервером не является их дефолт шлюзом.

vlary
С первым все понял. Получилось. Спасибо. А вот со вторым никак не пойму. У меня адреса выдаются из той же самой подсети 192.168.1.0/24; на бридже, как я говорил 192.168.1.1, он отзывается. Все остальные хосты - нет.

Accessor
на бридже вкл прокси арп