user71

Прокрался ночью выпаял флешку прочитал програматором запаял назад и был таков.

Причем тут нат вообще? Он просто меняет адреса пофакту выхода с интерфейса. Сначало нужно настроить роутинг. В таблицах должен быть менее приоритетный дефолт icmp net unreach чтобы уже промаркированые соединения уничтожались при падении линка и устанавливались снова уже с другой меткой.

@grifin.ru ипсек это полика шифрования. если политика есть - оно шифрует, нет - не шифрует. За отправку туда\сюда ипсек не отвечает, за это отвечают роуты. Если у вас настроен ипсек в тунельном режиме тогда ипсек через модконфиг назначает ипы ну и маршруты добавляются соотвествено. В транспорт мод можно добавить мануальную политику discard после шифрования, тогда оно либо шифруется либо дропается. роутбазе ипсек в микротиках нереализован увы. Но можно поднять л2тп ипсек.

:D ага

дергать патчкорды по топологии.

Ясен пень не работает. Прероутинг это входящий трафик.

@maxkst менеджмент можно сделать по разному. Можно повесить софтовый влан на интерфейс с ипишником и типа менеджмент. Но ничто не мешает свитчу слать любой трафик в такой менеджмент, да цпу будет его игнорить. Я же говорю о том чтобы изолировать изнутри свитча. Он просто отправлять туда ничего не будет... у тебя же много црсок попробуй

@maxkst вы как то определитесь изолирован влан или нет. Если вы блокируете трафик на цпу с изолированого влана значит влан ваш не изолирован от цпу. Как вы изолируете влан? Может мы друг друга не понимаем, но если включить изоляцию цпу порта равно как включить все порты в изолированый влан кроме цпу, маршрутер моментально превращается в кирпичер и никакого способа кроме ресета несуществует. Не имеет значения какой то там арп не арп мак не мак просто по факту - "не тот влан тег" в цпу порт ничего незалетит. а теги принудительно вешаются на портах.

@maxkst свитч! )))) у него есть таблица хостов которые он видит у себя на портах посмотрит ао талице на каком порту этот мак и отправит туда.

6.34.6 самая лучшая последняя прошивка. А дальше только баги добавляли

@maxkst на основе маков вланов таблицы вланов секур мод на порту ацл. Как то так.... Выдели свой трафик в отдельный влан и не добавляй туда цпу порт. Или выдели цпу порт в отделтный влан.

@maxkst цпу свитч порт изолируй от всего этого мракобесия. Прямо со стороны свитча и все.

Фф это вообще все. В том числе и цпу свитча. Он ддосит свитчем цпу. Любой другой пк в такой сетки тоже может ахринеть. Просто от огромного пакет рейта на вход.

@maxkst от чего от этого?

@jffulcrum так. Я отправляю мультикаст пакет. В маке указываю мультикаст адрес для того что бы коммутатор сделал что? Или вы хотите чтобы он в л7 влез и почитал о чем там вообще речь? Да флудит во все порты этоже мультикаст ну а как иначе то? В этом же и суть мультикаста чтобы из одного потока силами комутатора сделать многопотоков. Возьмите свитч который не умеет мкаст и он не будет срать во все порты. А взаправду будет искать хост с мультикаст маком. @maxkst даже не знаю что ответить.... а что броадкаст ? Ну есть такое да и чего?   Да! Потому что ты уже маршрутизируешь свой мультикаст.

Ахахахах где же вы такой чуши понабрались? Коммутаторы на арп никогда не отвечают потому что коммутатор л2 девайс ему абсолютно все равно какой у кого ип как бы...арпы шлют маршрутеры. Есно цпу. Снупинг запилили уже давно. Коммутатор должен подписыватся на ваши подписки или как?   Вы путаете мак лернинг и л3 днс.

Proposal несовпадают. Криптографию одинаковую сделай

@Bushi угу все может быть. нужно отправить что нибудь инвалидное чтобы он ответил ))

Вообщем беда. Есть два аплинка. Первый - основной самый обычный тунель c дефолтом, второй - врф с привязынный к мплсу (отдельная таблица, любой трафик попавший туда будет инкапсулирован в мплс и отправлен одному маршрутору и только ему, неважно что впизнуть можно себя впихнуть он сходит и сделает петлю). Нужно сделать ченибудь чтобы при отвале первого автоматом активировался второй. Сделал отдельный врф, импортировал туда "мплсный врф" тот который второй аплинк, руками вбил туда же дефолт на первый аплинк. Ниче не работает )))) обисню почему. 1 аплинк этот ипип тунель который не понимает когда он упал, кипалив 10сек 10 раз итого 100 секунд он соображает о падении, пока кипалив не положит тунель DAC маршрут на этот интерфейс будет активен а следовательно и дефолт тоже будет активен, можно делать чек пинг это быстрее но тоже долго. OSPF понимает намного быстрее что все пропало, но оспф никак не может повлиять на директ аттач маршрут.... Еще немного подумав, прописал дефолт на 1 линк через lo соседа, рекурсивный да. и вот оно стало отрабатывать прямо сразу. Дистрибуция lo соседа это оспф, оспф понимает сразу, как только 1 линк валится рекурсивный дефолт переделывается на через 2 линк. Но беда в том что "через 2 линк" не равно через мплс до второго линка. Мне нужно что бы рекурсия через второй линк строилась через врф который привязан к мплсу а не через просто через маин. Либо чтобы рекурсивный маршрут становитлся менее приоритетным и активировался ипмортированый дефолт с врф. Как можно решить такую задачу?

Видимо Ace63 просто что-то не так настроил. Судя по описанию - пустил трафик через цпу. Как свитч железка вполне себе, 300+ гигабит в свитчинге по официальным докам что вообщем то соотвествует канальной скорости всех портов (16*10г + 1г)*2. Кто не верит, у кого не работает, можете посмотреть методику тестирования и попробовать самостоятельно ну если "5 гигабит не может" сдадите назад. Совсем неверущим можно погуглить доки на используемый свитч чип в этой crs Marvell Prestera DX 98DX8216

@vop да но это не так прикольно. у них же там наверно прозрачный прокси стоит? ну вот, поставить себе локально тоже прокси, сказать ему прокси чейн и показать на гос прокси, а дальше гнать хттпс через этот прокси чейн -) интересно а в рашке такой прокси прокатит для обхода блокировки телеги?   скажите ип этого прокси щас потыкаю палочкой   или кто под ддосом сидит )))) можно редиректнуть туда   глобальный прокси этоже такой отракцион развлечений!!! )))) непонимаю че все сидят грустят

а если https over https ,-)

@DAF какая позорная проблема.

Хочу ипв6 роутинг

@pagecom хм... интересный вопрос. Нужно купить китайскую клавиатуру!   Ну ладно можно не покупать а установить экранную китайскую клавиатуру. )))))) ளமமவயூஉஞைஒஒமூஹஸ்ரீஃஃஃஃஜேளொமுமீஓஊஊத