-
Content Count
353 -
Joined
-
Last visited
-
Days Won
2
vadimbn last won the day on June 14 2018
vadimbn had the most liked content!
Community Reputation
127 ExcellentAbout vadimbn
-
Rank
Content Generator
Equipment
-
Keenetic
UltraII, ExtraII
Recent Profile Visitors
The recent visitors block is disabled and is not being shown to other users.
-
Реально. На внешнем сервере - хоть по каждому клиенту в сети. Инструменты для этого есть - сенсор NetFlow, сервер SNMP.
-
Ну тогда попробуйте вместо GigabitEthernet0/Vlan1010 вбить Bridge1010 interface Bridge1010 mac address YOUR:OLD:MAC exit system configuration save
-
Если у вас это GigabitEthernet0/Vlan1010, то именно его и надо настраивать. interface GigabitEthernet0/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save
-
А что там может ограничивать-то? Конечно, вы можете менять любые настройки сколько угодно раз.
-
Командами interface GigabitEthernet1/Vlan1010 mac address YOUR:OLD:MAC exit system configuration save
-
Да, интерфейс есть, поднят, но подключения нет. Как вариант - идет проверка сетевого оборудования по MAC-адресу. Решить эту проблему можно двумя путями, первый - прописать этому VLAN-интерфейсу MAC-адрес старого роутера, второй - позвонить провайдеру и попросить перерегистрировать MAC.
-
Судя по этому - да. Зайдите в CLI (используя Telnet) и посмотрите свойства интерфейса, в котором есть сочетание букв и цифр Vlan1010 (обычно он называется GigabitEthernet0/Vlan1010), командой show interface GigabitEthernet0/Vlan1010
-
Конфигурируя отдельный VLAN, Вы создали новый сетевой интерфейс. Его надо настраивать отдельно. Вам выдали данные соединения в этом VLAN? IP-адрес интерфейса, шлюз, серверы имен?
-
up
-
Извиняюсь, у вас другая задача. По постановке задачи в заголовке можно было подумать, что внешнему интерфейсу присвоено несколько белых IP, и нужно пробросить порт только по одному из них. У вас же надо разрешить доступ к порту одному из адресов в интернете, здесь да, решается с помощью файрвола.
-
Ну да, каждый сходит с ума по своему. На самом деле все там прозрачно, если смотреть не в веб-интерфейс (где как раз ничего не прозрачно), а в файл конфигурации.
-
Не проще ли было бы сделать проброс не на интерфейс ISP, а именно на конкретный адрес этого интерфейса, командой ip static?
-
Что вы имеете в виду? То, что в Proposals?
-
Если нужна сеть за кинетиком, и если там при создании туннеля есть трансляция адресов - да. Для чего - у вас в политиках указаны конкретные сети, которые должны быть доступны с обеих сторон. А маскарадинг подменяет, маскирует внутреннюю сеть IP-адресом роутера. Поэтому сеть будет недоступна. IPsec-соединение там устанавливается автоматически. Например - На стороне микротика: /interface ipip add allow-fast-path=no comment="IPIP tunnel" ipsec-secret=secret_key keepalive=10s,3 local-address=1_Local_White_IP name=Name_of_interface remote-address=2_Remote_White_IP /ip address add address=172.16.1.2/30 comment="Address for Name_of_interface interface" interface=Name_of_interface network=172.16.1.0 На стороне кинетика как-то так: (config)> interface IPIP0 (config-if)> tunnel destination 1_Remote_White_IP (config-if)> ip address 172.16.1.1 255.255.255.252 (config-if)> ipsec preshared-key secret_key (config-if)> up (config-if)> exit (config)> no isolate-private secret_key должен быть и там, и там одинаковый. После этого у вас должен создаться ipip-туннель over ipsec. Появятся два интерфейса. На стороне mikrotik - Name_of_interface (может быть произвольным), на стороне Keenetic - IPIP0. Дальше можно прописать маршруты на обоих устройствах в удаленные сети через эти интерфейсы.
-
Со стороны микротика кроме собственно настроек IPsec больше ничего не делали? В микротике, как я помню, надо было создавать разрешающее srcnat правило из одной сети в другую, для обхода маскарадинга... И наверное вам будет таки проще настроить ipip over ipsec.