nkusnetsov

@Olejon, всего до 200 одновременных PPPoE-сессий. По сообщениям камрадов, иногда сессий проскакивает на несколько единиц больше - до 210. Но серьёзно расчитывать на такое превышение не стОит.

@Olejon , четвертого уровня вполне хватит. Ограничение у L4 - 200 подключений точка-точка. Если у Вас менее 200 PPPoE клиентов на устройстве, то вполне достаточно. https://wiki.mikrotik.com/wiki/Manual:License#License_Levels Конфиг лучше сохранить в 2 вариантах. Через "/export" и через "/export compact"

@DRiVen , я то в курсе. Это McSea отмочил про перестановку правил, а теперь отмазывается. Видимо, Вы не имели дело с действительно большим количеством правил в фаерволе. Чтобы их удобно читать - в правом верхнем углу окна winbox есть выпадающий список-фильтр. Очень помогает.

Вы прежде чем столь категорично высказываться изучите алгоритмы прохожления пакетов. А то с Вашей рекомендации по постановке правила src-nat ниже dst-nat людям смешно   В пределах одного src-ip различать клиентов можно средствами веб-сервера на уровне 7. Когда их действительно много за одним IP - это кривой провайдер. Таких терпил даже гугл на капчу редиректит.

@denilkor , чтобы получить более гибкий вариант для Вас: 1) Завести полноценную альтернативную таблицу маршрутизации "serv" (routing-mark=serv), в которой есть маршруты такие же как и в таблице "main", за исключением default route (0.0.0.0/0) ведущего через туннель 192.168.100.1. 2) в фаерволе, в mangle-prerouting маркировать входящие соединения по критерию in-interface=sstp. Далее в mangle-prerouting, для пакетов принадлежащих отмеченным соединениям, делать mark-routing=serv (пускать их по альтернативной таблице маршрутизации) Таким образом, все соединения входящие через sstp, ответные пакеты будут отсылать обратно через тот же sstp

Не надо так делать. Если сделаете, то все удаленные клиенты для сервера будут представляться одним серым IP-адресом роутера main. Проще говоря, сервер не увидит IP клиентов и не сможет различать клиентов по IP.

@denilkor , простой вариант - заставить ВСЕ пакеты сервака идти через VPN-линк. /ip route add distance=1 gateway= 192.168.100.1 check-gateway=ping routing-mark=serv /ip route rule add src-address=192.168.88.10/32 table=serv

@denilkor , как-то так оно происходит у Вас:

Во-первых, не ленитесь. Раз уже нарисовали схему, допишите адресацию к ней. Во-вторых, причина в том, что ближний к серверу роутер(slave) отправляет ответы клиенту сразу в Интернет. Отправляет со своего внешнего slave-IP в то время, когда клиент ждёт ответ со стороны main-IP роутера(main) к которому обратился.

Есть 5 гигабитных портов, Wi-Fi 2,4 + 5 ГГц и поддержка аппаратного IPSec https://mikrotik.com/product/hap_ac2

Ваше "открытие" годовалой давности. Новость вполне в стиле "рашн-СМИ", для бабок на базаре. Уязвимость была обнародована более года назад в составе "пакета кибероружия цру" "Vault 7". Год назад её устранили в обновлениях 6.37.5(bugfix) и 6.38.5(stable). Непонятно какие цели преследует нынешний вброс старого говна на вентилятор от ЛК. Может, хотят о проделанной за год работе отчитаться. Бурную деятельность изобразить в прессе. Если какие-то дятлы держат устаревшие прошивки в продакшне - это сугубо их личные проблемы. На устаревших прошивках у всех производителей можно уязвимости найти.

@zhekius , Вам нужно использовать разные протоколы для туннелей. Например, l2tp для первого и sstp для второго. Дальше элементарно решается маркировкой исходящих пакетов и альтернативной таблицей маршрутизации. Оба канала можно использовать хоть одновременно, хоть по отдельности.

И этот человек говорит о неточности у кого-то. Вы хотя бы переводите на русский корректно. От "наиболее длинного" маршрута весьма повеселился. Различайте на письме пожалуйста длинну маршрута и длинну префикса (маски). В остальном согласен. Но спрашивающий страдает от неполноты таблицы main. Может теперь чуть начнет разбираться.

Переведите с английского слово "MAIN". Подумайте хорошенько. Она не может быть "альтернативной". В данном случае Вы бредите. Очевидно, Вы неправильно представляете себе механизм работы маршрутизации в Linux. Linux-based маршрутизаторы для внутренних целей, для пакетов порожденных системой используют именно таблицу MAIN.

@Ivanoff , откуда у вас 3.31 на CCR? Когда начался выпуск CCR такой прошивки уже небыло. Вероятно вы путаете с версией boot loader. Загляните в /system->packages или в консоли "/system res print". Там увидите реальную версию. 6.41 пока ставить не рекомендую - слишком много с ней проблем у разных людей. Продакшн лучше держать на ветке "bugfix". Актуальная версия из неё - 6.39.х

@mr.Simon , используйте routeros только из bugfix-ветки. На сегодня это 6.39.х . Если угораздило обновиться до 6.41 - убирайте её нафиг. Отключите на bridge STP. Он в этой ситуации там не нужен. Задайте бриджу принудительно admin-mac. Собственный IP-адрес должен висеть на бридже, а не на подчинённом интерфейсе.

@newtomy , надо добавить дефолтный маршрут через 3.3.3.2 во вторую таблицу /ip route add gateway=3.3.3.2 routing-mark=table2 В таблице main должен существовать маршрут через 3.3.3.3 /ip route add gateway=3.3.3.3

Именно сюда. Но не правило, а альтернативный маршрут в отдельную таблицу.

Вот и ответ. Количество сообщений = количеству зарегистрированных на ТД клиентов. Поиск в таблице регистрации надо провести единожды (один новый мак) по leaseActMAC, типа /int wire reg; :foreach i in=[find mac-address=$leaseActMAC]

@newtomy , создаете вторую таблицу маршрутизации. В основной (main) default route через 3.3.3.2 Во второй (table2) default route через 3.3.3.3. Затем создаёте правило типа: /ip ro ru add disabled=no src-address=2.2.2.0/24 table=table2 И весь трафик от сети 2.2.2.0/24 чудесным образом полетит через второй NAT

@Yur0k , а в логах что? Команда "/log error $comment" тоже несколько раз отрабатывает?

@newtomy , у вас адреса 3.3.3.1/24, 3.3.3.2/24 и 3.3.3.3/24 принадлежат одному и тому же устройству и висят все трое на интерфейсе eth2 ? Это линк на провайдера? У провайдера шлюз для всех один и тот же, например, 3.3.3.254 ?

@Yur0k , попробуйте в fetch использовать keep-result=no

@Yur0k , у Вас обрабатываются ВСЕ, в том числе, ранее выданные адреса в конструкции :foreach i in=[find dynamic=yes]

@yKpon , 100Мбит/с оптического линка не получите. Только 1G или 10G.