Maksel
-
Публикации
4 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Maksel
-
-
К слову, в последнем срезе при указанном в конфиге service name абоны с пустым service name игнорятся - неплохо было бы это сделать опциональным.
Просмотрел посление посты, не увидел решения.
Это очень актуально, к примеру в сети несколько серверов pppoe, для проверок нужно подключаться к конкретному.
Раньше было довольео просто при service-name=pr102, сервер принимал и конекты с пустым service name и pr102.
Теперь чтобы сервер начал принимать конекты абоненто, а у них как правили в пусто service name, приходится писать pppoe set Service-Name *,
но теперь теряется возможность проверяь другие сервера, т.е мне надо подключиться к pr101, но конекты все ловит этот сервер где прописано *.
Возвращаю pppoe set Service-Name pr102 - абоненты перестают подключаться.
Надо или вернуть как было, или сделать вкл-выкл. принимать сессия с пустым service name или нет?
-
Разобрался.
Надаже такое. как чувствовал что где чего-то нехватает. От нечего делать открыл в WinBox ip-firewall-connections и включил Tracking. Думаю дай хоть посмотрю что это такое. И о чудо все все заработало.
Так что обидно, что в доках микротика, в нат раделе про то что обязательно нужно включить Tracking ничего несказано.
Всем спасибо.
-
Народ помогите.
Есть две OS 2.9.27(crack) на обычном компе и 3.23 на RouteBoard 433AH (лиц. 5 level).
Активировал VPN сервер и хочу или занатить или замаскарадить трафик - и не получается. В разделе Firewall создаю единственное правило
3.23: /ip firewall nat add chain=srcnat src-address=10.0.0.0/20 action=masquerade
и ничего, пробовал и через WinBox и в версии 2.9.27 не работает.
если создать правило в 3.23: /ip firewall filter add chain=forward то смотрю в WinBox пакеты через это павило проходят, а вот через nat нехотят.
В доках вычитал:
Packages required: system
License required: Level1 (number of rules limited to 1) , Level3
Пакет system активный, и вот мысля такая, может nat не работает на Level 5 и 6.
И еще заметил, что когда захожу через WinBox в ip-firewall-nat и нажимаю создать правило, появляется окошко New NAT Rule и подвисет все на 10-20 сек.
Что я делаю не так ?
Запретить ipv6 на коммутаторах доступа?
в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Опубликовано · Изменено пользователем Maksel · Жалоба на ответ
Добавлю еще информации:
У абонента флудит роутер ipv6 multicast
22:49:10.029208 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.043079 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.058325 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.074276 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.089977 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.105564 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.120958 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.137882 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.152060 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.168015 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit 22:49:10.183501 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
Последствие - нагрузка CPU до 50%, свитч иногда не отвечает на ping.
Решение
Коммутатор D-Link DES-3200 rev C1
Обычные ACL не сработают, т.к. ipv6 multicast забирается процессором, потому используем:
сreate cpu access_profile profile_id 1 ethernet ethernet_type config cpu access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x86DD port 1-16 deny enable cpu_interface_filtering
и обязательно:
config multicast vlan_filtering_mode all filter_unregistered_groups