Jump to content
Калькуляторы

Не устанавливается соседство OSPF

Sergius87   

Sergius87
Posted · Report post

Здравствуйте, уважаемые форумчане!


При настройке  GRE-туннелей столкнулся с такой проблемой, суть которой такова:

Есть роутер CCR1036-12G-4S в центральном офисе, с него поднимается 2 GRE-туннеля (каждый через своего провайдера, Алмател и Мегафон ) до CHR  в облаке. На этих туннелях включен OSPF. И если с одним туннелем (через Алмател) всё хорошо , то со вторым (через Мегафон) - беда. OSPF не может установить отношения соседства. Причем роутер в офисе "видит" соседа CHR (он появляется на вкладке Neighbors), а вот CHR его не видит.

Дамп трафика на интерфейсе проблемного провайдера Wireshak'ом показал следующие: 
видно, что приходят hello-пакеты с CHR и уходят ответные hello от CCR.
А вот в дампе с CHR входящих hello-пакетов от CCR не видно. (Дампы во вложении)

 

Через этого же провайдера не проходят hello-пакеты и в сторону других Микротиков на удаленных площадках. Причем если просто поменять адрес источника на первого провайдера, то всё начинает работать.

Что делали:
- пробовали отключать фаервол с обеих концов туннеля.
- выставлять дефолтные настройки OSPF
- брали абсолютно другой роутер с пустым конфигом и настраивали по-минимуму.
- пинги на мультикаст адрес 224.0.0.5 проходят через туннель.
- также проходят и обычные пинги
- пробовали включать/выключать IPSEC (даже в зашифрованном туннеле hello-пакет всё равно не доходит)

- l2tp-туннель прекрасно работает


Провайдер утверждает, что у них нигде ничего не блочится.

 

Конфиг CHR

Скрытый текст

# apr/07/2020 06:45:00 by RouterOS 6.46.4
# software id = 
#
#
#
/interface bridge
add fast-forward=no name=Loopback protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-full name=WAN speed=1Gbps
set [ find default-name=ether1 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-full speed=1Gbps
/interface l2tp-server
add name=l2tp-dm user=dm
add name=l2tp-expo user=expo
add name=l2tp-izobilny user=izobilny
add name=l2tp-kasimov user=kasimov
add name=l2tp-lankey user=lankey
add name=l2tp-nl user=nl
add name=l2tp-phk user=phk
add name=l2tp-rh user=rh
add name=l2tp-rhleb user=rhleb
add name=l2tp-rzp user=rzp
add disabled=yes name=l2tp-softline user=softline
/interface gre
add allow-fast-path=no clamp-tcp-mss=no ipsec-secret="\?\?\?\?\?\? \?\?\?\?!" \
    keepalive=5s,5 local-address=109.73.14.29 name=Expo-ISP1 remote-address=\
    91.188.182.82
add allow-fast-path=no ipsec-secret="\?\?\?\?\?\? \?\?\?\?!" keepalive=5s,5 \
    local-address=109.73.14.29 name=Expo-ISP2 remote-address=188.170.16.69
add allow-fast-path=no ipsec-secret= keepalive=5s,5 \
    local-address=109.73.14.29 name=KST-ISP1 remote-address=109.236.209.165
add allow-fast-path=no ipsec-secret= keepalive=5s,5 \
    local-address=109.73.14.29 name=KST-ISP2 remote-address=88.86.81.64
add allow-fast-path=no ipsec-secret= keepalive=10s,5 \
    local-address=109.73.14.29 name=PHK-ISP1 remote-address=212.152.35.60
add allow-fast-path=no keepalive=5s,5 local-address=109.73.14.29 name=\
    PHK-ISP2 remote-address=212.69.114.85
add allow-fast-path=no ipsec-secret= keepalive=5s,5 \
    local-address=109.73.14.29 name=RHLEB-ISP1 remote-address=78.31.73.148
add allow-fast-path=no ipsec-secret= keepalive=5s,5 \
    local-address=109.73.14.29 name=RHLEB-ISP2 remote-address=83.169.208.85
add allow-fast-path=no ipsec-secret= keepalive=5s,5 \
    local-address=109.73.14.29 name=RZP-ISP1 remote-address=78.31.77.23
/interface list
add exclude=dynamic name=discover
add name=LAN
add name="Tunnel interfaces"
add include="LAN,Tunnel interfaces" name="Trusted interfaces"
add name=DMZ
add name=wan-int
add name="Guest WiFi"
/ip firewall layer7-protocol
add name=social regexp="^([a-zA-Z0-9]*\\.)\?(vk\\.com|ok\\.ru|odnoklassniki|fa\
    cebook|twitter\\.com|my\\.mail\\.ru|youtube\\.com|fonbet|baltbet|baltplay|\
    ukr\\.net|ligastavok|marathon|bkfon|leonbets|bookmakers|radio|radio).*\$"
/ip ipsec policy group
set [ find default=yes ] name=group1
/ip ipsec profile
add dh-group=modp1024 name=profile_1 nat-traversal=no
add dh-group=modp1024 name=profile_2 nat-traversal=no
add dh-group=modp1024 enc-algorithm=aes-256,3des hash-algorithm=md5 name=\
    profile_3 nat-traversal=no
/ip pool
add name=vpn_pool ranges=172.19.0.2-172.19.0.200
add name=l2tp-pool ranges=192.168.20.200-192.168.20.230
/ppp profile
add change-tcp-mss=yes local-address=172.19.0.1 name=profile-l2tp \
    remote-address=vpn_pool
set *FFFFFFFE dns-server=192.168.20.10 local-address=172.20.1.1 \
    remote-address=vpn_pool
/routing ospf instance
set [ find default=yes ] redistribute-connected=as-type-1 router-id=\
    10.255.255.10
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0 encryption-protocol=AES
/user group
add name=ftp policy="ftp,read,write,!local,!telnet,!ssh,!reboot,!policy,!test,\
    !winbox,!password,!web,!sniff,!sensitive,!api,!romon,!dude,!tikapp"
/ip neighbor discovery-settings
set discover-interface-list=none
/interface l2tp-server server
set default-profile=profile-l2tp enabled=yes ipsec-secret=dEt49uFT5r \
    keepalive-timeout=10 use-ipsec=yes
/interface list member
add disabled=yes interface=ether1 list=discover
add disabled=yes interface=l2tp-lankey list=discover
add disabled=yes interface=l2tp-dm list=discover
add disabled=yes interface=l2tp-phk list=discover
add disabled=yes interface=l2tp-expo list=discover
add disabled=yes interface=l2tp-kasimov list=discover
add interface=ether1 list=LAN
add interface=WAN list=wan-int
add interface=Expo-ISP1 list="Tunnel interfaces"
add interface=Expo-ISP2 list="Tunnel interfaces"
add interface=KST-ISP1 list="Tunnel interfaces"
add interface=KST-ISP2 list="Tunnel interfaces"
add interface=RHLEB-ISP1 list="Tunnel interfaces"
add interface=RHLEB-ISP2 list="Tunnel interfaces"
add interface=l2tp-dm list="Tunnel interfaces"
add interface=l2tp-expo list="Tunnel interfaces"
add interface=l2tp-izobilny list="Tunnel interfaces"
add interface=l2tp-kasimov list="Tunnel interfaces"
add interface=l2tp-lankey list="Tunnel interfaces"
add interface=l2tp-nl list="Tunnel interfaces"
add interface=l2tp-phk list="Tunnel interfaces"
add interface=l2tp-rh list="Tunnel interfaces"
add interface=l2tp-rhleb list="Tunnel interfaces"
add interface=l2tp-rzp list="Tunnel interfaces"
add interface=PHK-ISP2 list="Tunnel interfaces"
add interface=RZP-ISP1 list="Tunnel interfaces"
add interface=PHK-ISP1 list="Tunnel interfaces"
add list="Tunnel interfaces"
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2
/ip address
add address=192.168.20.6/24 comment="LAN IP" interface=ether1 network=\
    192.168.20.0
add address=109.73.14.29/24 comment="WAN IP" interface=WAN network=\
    109.73.14.0
add address=172.18.0.5/30 interface=PHK-ISP1 network=172.18.0.4
add address=10.255.255.10 interface=Loopback network=10.255.255.10
add address=172.18.0.25/30 interface=Expo-ISP1 network=172.18.0.24
add address=172.18.0.29/30 interface=Expo-ISP2 network=172.18.0.28
add address=172.18.0.65/30 interface=RHLEB-ISP1 network=172.18.0.64
add address=172.18.0.69/30 interface=RHLEB-ISP2 network=172.18.0.68
add address=172.18.0.49/30 interface=KST-ISP1 network=172.18.0.48
add address=172.18.0.53/30 interface=KST-ISP2 network=172.18.0.52
add address=172.18.0.73/30 interface=RZP-ISP1 network=172.18.0.72
add address=172.18.0.89/30 interface=PHK-ISP2 network=172.18.0.88
/ip dhcp-client
add !dhcp-options interface=ether1
/ip dns
set servers=192.168.20.10,192.168.20.9,8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.0.34 name=test-app.grain.local
/ip firewall filter
add action=accept chain=input comment=\
    "Forward and Input Established and Related connections" connection-state=\
    established,related src-address-list=""
add action=drop chain=input connection-state=invalid in-interface-list=\
    wan-int
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid in-interface-list=\
    "!Tunnel interfaces" out-interface-list="!Tunnel interfaces"
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=wan-int protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=wan-int \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Protected - Port Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=wan-int \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=8291 in-interface-list=wan-int log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=wan-int \
    protocol=tcp
add action=accept chain=input comment="Access Normal ping" in-interface-list=\
    wan-int limit=50/5s,2:packet protocol=icmp
add action=accept chain=input in-interface-list=wan-int protocol=gre
add action=accept chain=input comment="for VPN" dst-port=1701,4500 protocol=\
    udp
add action=accept chain=input dst-port=500 in-interface-list=wan-int \
    protocol=udp
add action=accept chain=input in-interface-list=wan-int protocol=ipsec-esp
add action=accept chain=forward comment="Allow DST-NAT traffic" \
    connection-nat-state=dstnat connection-state=new
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=wan-int
add action=reject chain=output comment="Drop custom links via PROXY" \
    dst-address-list=bad_links dst-port=80,443 log-prefix=WARNIN-SOCIAL \
    out-interface=WAN protocol=tcp reject-with=icmp-network-unreachable
add action=drop chain=forward comment="Drop custom links" dst-address-list=\
    bad_links dst-port=80,443 log-prefix=WARNIN-SOCIAL out-interface=WAN \
    protocol=tcp
add action=accept chain=forward comment="Allow access mail servers" \
    dst-address-list=lancloud
add action=accept chain=forward comment=\
    "Allow DNS request to external servers from DC" dst-port=53 \
    out-interface-list=wan-int protocol=udp src-address-list=DNS_Servers
add action=accept chain=forward dst-address-list="Reports Servers" dst-port=\
    80,443,110 protocol=tcp
add action=accept chain=forward dst-port=21,22,465,8080,38738,8443 protocol=\
    tcp
add action=accept chain=forward disabled=yes in-interface-list="Guest WiFi" \
    out-interface-list=wan-int
add action=accept chain=forward in-interface-list="Trusted interfaces" \
    out-interface-list="Trusted interfaces"
add action=accept chain=forward src-address-list=Allow_all
add action=drop chain=input comment="Drop all other packets" \
    in-interface-list=wan-int
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=WAN src-address=\
    192.168.20.0/24
add action=dst-nat chain=dstnat disabled=yes dst-port=5000 in-interface=WAN \
    protocol=tcp to-addresses=192.168.20.20 to-ports=3389
add action=dst-nat chain=dstnat comment=Antor dst-port=5001 in-interface=WAN \
    protocol=tcp to-addresses=192.168.20.17 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-port=1723 in-interface=WAN \
    protocol=tcp to-addresses=192.168.20.5
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
# Peer does not exist
add secret=123
# Peer does not exist
add secret=123
# Peer does not exist
add secret=123
/ip route
add comment="added by setup" distance=1 gateway=109.73.14.1
add distance=1 dst-address=5.8.180.28/32 gateway=192.168.20.1
add distance=1 dst-address=192.168.19.0/24 gateway=172.18.21.2
add comment=BAZA distance=1 dst-address=192.168.200.0/24 gateway=172.18.200.2
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip traffic-flow
set cache-entries=2M
/ip traffic-flow target
add dst-address=192.168.20.5 port=9996
/routing filter
add action=discard chain=ospf-in prefix=46.44.26.0/24
add action=discard chain=ospf-in prefix=212.152.35.0/24
add action=discard chain=ospf-in disabled=yes prefix=93.190.142.0/24
add action=discard chain=ospf-in prefix=80.244.233.0/24
add action=discard chain=ospf-in prefix-length=30
add action=discard chain=ospf-out prefix=109.73.14.0/24
add action=discard chain=ospf-out prefix-length=30
add action=discard chain=ospf-in prefix=176.106.144.0/24
add action=discard chain=ospf-in prefix=192.168.30.0/24
add action=discard chain=ospf-in prefix=78.31.73.144/28
add action=discard chain=ospf-in prefix=91.214.240.88/29
add action=discard chain=ospf-in prefix=78.31.77.16/28
add action=discard chain=ospf-in prefix=83.169.208.0/24
add action=discard chain=ospf-in prefix=10.1.3.45
add action=discard chain=ospf-out prefix-length=32
add action=discard chain=ospf-in prefix=10.1.2.0/24
add action=discard chain=ospf-in prefix=212.152.35.56/29
add action=discard chain=connected-in disabled=yes prefix=212.152.35.0/24
add action=discard chain=ospf-in prefix=89.108.124.0/22
add action=discard chain=ospf-in prefix=46.229.143.0/24
add action=discard chain=ospf-in prefix=10.1.3.55
add action=discard chain=ospf-in disabled=yes prefix=89.108.120.0/22
add action=discard chain=ospf-out prefix=10.1.5.0/24
add action=discard chain=ospf-out prefix=192.168.19.0/24
/routing ospf interface
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=Expo-ISP1 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=Expo-ISP2 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=RHLEB-ISP1 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=RHLEB-ISP2 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=KST-ISP1 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=KST-ISP2 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=PHK-ISP1 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=RZP-ISP1 network-type=\
    point-to-point use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 cost=20 interface=PHK-ISP2 network-type=\
    point-to-point
/routing ospf network
add area=backbone comment=PHK1 disabled=yes network=172.16.9.0/30
add area=backbone comment="TMP L2TP EXPO" network=172.20.2.0/30
add area=backbone comment=PHK network=172.18.0.0/30
add area=backbone comment=RZP network=172.18.6.0/30
add area=backbone comment=VD network=172.18.11.0/30
add area=backbone comment=video network=172.18.10.0/30
add area=backbone comment=Lankey network=172.18.21.0/30
add area=backbone comment=DM network=172.18.7.0/30
add area=backbone comment=Kasimov network=172.18.13.0/30
add area=backbone comment=Lankey network=172.18.22.0/30
add area=backbone network=172.18.23.0/30
add area=backbone comment=Izobilny network=172.18.9.0/30
add area=backbone network=172.18.0.0/24
/snmp
set enabled=yes location=vpc trap-generators=temp-exception,temp-exception \
    trap-version=2
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=croc-gw-grain
/system logging
set 0 action=disk
set 1 action=disk
set 2 action=disk
set 3 action=disk
add action=echo disabled=yes topics=bfd
add action=disk disabled=yes topics=ospf
/system ntp client
set enabled=yes primary-ntp=192.168.20.10 secondary-ntp=192.168.20.15

 

 

Конфиг CCR

Скрытый текст

# apr/07/2020 06:44:25 by RouterOS 6.46.4
# software id = RWG2-LHYN
#
# model = CCR1036-12G-4S
# serial number = 742307F9D3E2
/interface bridge
add fast-forward=no name=Loopback protocol-mode=none
add name=astue
/interface ethernet
set [ find default-name=ether1 ] name=CIFRA1-wan-ether1 speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] name=ether4-master-lan speed=100Mbps
set [ find default-name=ether5 ] name=ether5-bitpbx speed=100Mbps
set [ find default-name=ether6 ] speed=100Mbps
set [ find default-name=ether7 ] speed=100Mbps
set [ find default-name=ether8 ] speed=100Mbps
set [ find default-name=ether9 ] speed=100Mbps
set [ find default-name=ether10 ] speed=100Mbps
set [ find default-name=ether11 ] speed=100Mbps
set [ find default-name=ether12 ] speed=100Mbps
set [ find default-name=sfp1 ] advertise=10M-full,100M-full,1000M-full name=\
    sfp1-wan-megafon
set [ find default-name=sfp2 ] advertise=10M-full,100M-full,1000M-full
set [ find default-name=sfp3 ] advertise=10M-full,100M-full,1000M-full
set [ find default-name=sfp4 ] advertise=10M-full,100M-full,1000M-full
/interface l2tp-client
add allow-fast-path=yes connect-to=109.73.14.29 name=l2tp-croc password=\
     user=phk
add allow-fast-path=yes connect-to=vpn.grainholding.ru name=l2tp-croc-reserve \
    password= user=phk
/interface gre
add allow-fast-path=no ipsec-secret= keepalive=10s,5 \
    local-address=212.152.35.60 name=CROC-ISP1 remote-address=109.73.14.29
add allow-fast-path=no keepalive=5s,5 local-address=212.69.114.85 name=\
    CROC-ISP2 remote-address=109.73.14.29
add allow-fast-path=no comment="GRE to KST" ipsec-secret= \
    keepalive=5s,5 local-address=212.152.35.60 name=KST-ISP1 remote-address=\
    109.236.209.165
add allow-fast-path=no disabled=yes ipsec-secret= keepalive=\
    5s,5 local-address=212.69.114.85 name=KST-ISP2 remote-address=88.86.81.64
add allow-fast-path=no comment="GRE to RHLEB" ipsec-secret= \
    keepalive=5s,5 local-address=212.152.35.60 name=RHLEB-ISP1 \
    remote-address=78.31.73.148
add allow-fast-path=no keepalive=5s,5 local-address=212.69.114.85 name=\
    RHLEB-ISP2 remote-address=83.169.208.85
/interface vlan
add interface=ether4-master-lan name=vlan-callcentr-103 vlan-id=103
add interface=ether4-master-lan name=vlan-grain-guest-3 vlan-id=3
add interface=ether4-master-lan name=vlan-grain-wifi-4 vlan-id=4
add interface=ether4-master-lan name=vlan-phk-guest-102 vlan-id=102
add interface=ether4-master-lan name=vlan-rarus-wifi vlan-id=5
add interface=ether4-master-lan name=vlan-video vlan-id=101
add disabled=yes interface=sfp1-wan-megafon name=vlan1 vlan-id=1
add interface=ether4-master-lan name=vlan_astue vlan-id=105
/interface list
add name=wan-list
add name=wan-int
add name=corp-tun
add name=lan-int
add name=LAN
add name="Tunnel interfaces"
add include="LAN,Tunnel interfaces" name="Trusted interfaces"
add name="Guest WiFi"
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 2 baud-rate=9600 data-bits=8 flow-control=none name=usb3 parity=none \
    stop-bits=1
set 3 name=usb4
/ppp profile
add change-tcp-mss=yes name=profile1
/queue tree
add max-limit=150M name=In parent=global
add max-limit=150M name=Out parent=global
add max-limit=100M name=GRE_out packet-mark=gre_out parent=Out priority=3
/queue type
add kind=pcq name=SIP pcq-classifier=\
    src-address,dst-address,src-port,dst-port pcq-dst-address6-mask=64 \
    pcq-rate=128k pcq-src-address6-mask=64
/queue tree
add max-limit=100M name=GRE_in packet-mark=gre_in parent=In priority=3 queue=\
    pcq-download-default
add limit-at=250k max-limit=40M name=VPN_RDP_in packet-mark=vpn_rdp_in \
    parent=GRE_in priority=3 queue=pcq-download-default
add limit-at=128k max-limit=40M name=VPN_RDP_out packet-mark=vpn_rdp_out \
    parent=GRE_out priority=3 queue=pcq-upload-default
add max-limit=75M name=Web_in packet-mark=web_in parent=In priority=5 queue=\
    pcq-download-default
add max-limit=75M name=Web_out packet-mark=web_out parent=Out priority=5 \
    queue=pcq-upload-default
add max-limit=20M name=SIP_in packet-mark=sip_in parent=In priority=1 queue=\
    SIP
add max-limit=20M name=SIP_out packet-mark=sip_out parent=Out priority=1 \
    queue=SIP
add max-limit=30M name=Mail_in packet-mark=mail_in parent=In priority=5 \
    queue=pcq-download-default
add max-limit=30M name=Mail_out packet-mark=mail_out parent=Out priority=5 \
    queue=pcq-upload-default
add max-limit=2M name=DNS_in packet-mark=dns_in parent=In priority=2 queue=\
    pcq-download-default
add max-limit=2M name=DNS_out packet-mark=dns_out parent=Out priority=2 \
    queue=pcq-upload-default
add max-limit=25M name=ALL_in packet-mark=all_in parent=In queue=\
    pcq-download-default
add max-limit=30M name=ALL_out packet-mark=all_out parent=Out queue=\
    pcq-upload-default
add max-limit=20M name=VPN_Web_in packet-mark=vpn_web_in parent=GRE_in \
    priority=5 queue=pcq-download-default
add max-limit=20M name=VPN_Web_out packet-mark=vpn_web_out parent=GRE_out \
    priority=5 queue=pcq-upload-default
add max-limit=10M name=VPN_SIP_in packet-mark=vpn_sip_in parent=GRE_in \
    priority=1 queue=SIP
add max-limit=10M name=VPN_SIP_out packet-mark=vpn_sip_out parent=GRE_out \
    priority=1 queue=SIP
add max-limit=2M name=VPN_DNS_in packet-mark=vpn_dns_in parent=GRE_in \
    priority=4 queue=pcq-download-default
add max-limit=2M name=VPN_DNS_out packet-mark=vpn_dns_out parent=GRE_out \
    priority=4 queue=pcq-upload-default
add max-limit=5M name=VPN_ALL_in packet-mark=vpn_all_in parent=GRE_in queue=\
    pcq-download-default
add max-limit=25M name=VPN_ALL_out packet-mark=vpn_all_out parent=GRE_out \
    queue=pcq-upload-default
add max-limit=2M name=VPN_Winbox_in packet-mark=vpn_winbox_in parent=GRE_in \
    priority=5 queue=pcq-download-default
add max-limit=2M name=VPN_Winbox_out packet-mark=vpn_winbox_out parent=\
    GRE_out priority=5 queue=pcq-upload-default
add max-limit=5M name=VPN_LM_in packet-mark=vpn_lm_in parent=GRE_in priority=\
    4 queue=pcq-download-default
add max-limit=5M name=VPN_LM_out packet-mark=vpn_lm_out parent=GRE_out \
    priority=4 queue=pcq-upload-default
add max-limit=40M name=VPN_SMB_in packet-mark=vpn_smb_in parent=GRE_in \
    priority=6 queue=pcq-download-default
add max-limit=40M name=VPN_SMB_out packet-mark=vpn_smb_out parent=GRE_out \
    priority=6 queue=pcq-upload-default
add max-limit=35M name=VPN_Video_in packet-mark=vpn_video_in parent=GRE_in \
    priority=2 queue=pcq-download-default
add max-limit=30M name=VPN_Video_out packet-mark=vpn_video_out parent=GRE_out \
    priority=2 queue=pcq-upload-default
add max-limit=20M name=VPN_1C_in packet-mark=vpn_1c_in parent=GRE_in \
    priority=3 queue=pcq-download-default
add max-limit=20M name=VPN_1C_out packet-mark=vpn_1c_out parent=GRE_out \
    priority=3 queue=pcq-upload-default
add max-limit=10M name=VPN_ZBX_in packet-mark=vpn_zbx_in parent=GRE_in \
    priority=4 queue=pcq-download-default
add max-limit=10M name=VPN_ZBX_out packet-mark=vpn_zbx_out parent=GRE_out \
    priority=4 queue=pcq-upload-default
/routing ospf instance
set [ find default=yes ] redistribute-connected=as-type-1 router-id=\
    10.255.255.3
/interface bridge port
add bridge=astue interface=vlan_astue
add bridge=astue hw=no interface=ether6
/ip firewall connection tracking
set enabled=yes
/ip neighbor discovery-settings
set discover-interface-list=lan-int
/interface list member
add interface=sfp1-wan-megafon list=wan-int
add interface=CIFRA1-wan-ether1 list=wan-int
add interface=ether4-master-lan list=lan-int
add interface=l2tp-croc list=corp-tun
add interface=vlan-grain-guest-3 list="Guest WiFi"
add interface=vlan-phk-guest-102 list="Guest WiFi"
add interface=vlan-rarus-wifi list="Guest WiFi"
add interface=vlan-grain-wifi-4 list="Guest WiFi"
add interface=ether4-master-lan list=LAN
add interface=l2tp-croc list="Tunnel interfaces"
add interface=CROC-ISP2 list="Tunnel interfaces"
add interface=CROC-ISP1 list="Tunnel interfaces"
add interface=vlan-video list=LAN
add interface=vlan_astue list=LAN
add interface=vlan-callcentr-103 list=LAN
add interface=KST-ISP1 list="Tunnel interfaces"
add interface=KST-ISP2 list="Tunnel interfaces"
add interface=RHLEB-ISP1 list="Tunnel interfaces"
add interface=RHLEB-ISP2 list="Tunnel interfaces"
/ip address
add address=212.152.35.60/29 comment=wan-cifra1 interface=CIFRA1-wan-ether1 \
    network=212.152.35.56
add address=192.168.0.1/24 interface=ether4-master-lan network=192.168.0.0
add address=10.1.4.1/24 interface=vlan-grain-wifi-4 network=10.1.4.0
add address=192.168.30.1/24 comment="swith admin" disabled=yes interface=\
    ether4-master-lan network=192.168.30.0
add address=10.1.1.1/24 interface=vlan-grain-guest-3 network=10.1.1.0
add address=212.69.114.85/30 comment=wan-megafon interface=sfp1-wan-megafon \
    network=212.69.114.84
add address=192.168.3.1/24 interface=vlan-callcentr-103 network=192.168.3.0
add address=192.168.0.87/24 interface=ether4-master-lan network=192.168.0.0
add address=192.168.100.1/24 interface=vlan-video network=192.168.100.0
add address=192.168.105.1/24 interface=vlan_astue network=192.168.105.0
add address=192.168.5.250/24 interface=ether4-master-lan network=192.168.5.0
add address=10.1.2.1/24 interface=vlan-phk-guest-102 network=10.1.2.0
add address=192.168.10.19/24 disabled=yes interface=vlan-video network=\
    192.168.10.0
add address=192.168.30.1 interface=ether4-master-lan network=192.168.30.1
add address=10.1.5.1/24 interface=vlan-rarus-wifi network=10.1.5.0
add address=10.255.255.3 interface=Loopback network=10.255.255.3
add address=172.18.0.6/30 interface=CROC-ISP1 network=172.18.0.4
add address=172.18.0.9/30 interface=KST-ISP1 network=172.18.0.8
add address=172.18.0.13/30 interface=KST-ISP2 network=172.18.0.12
add address=172.18.0.17/30 interface=RHLEB-ISP1 network=172.18.0.16
add address=172.18.0.21/30 interface=RHLEB-ISP2 network=172.18.0.20
add address=212.152.35.58/29 interface=CIFRA1-wan-ether1 network=\
    212.152.35.56
add address=172.18.0.90/30 interface=CROC-ISP2 network=172.18.0.88
/ip cloud
set ddns-enabled=yes
/ip dhcp-relay
add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\
    vlan-grain-guest-3 local-address=10.1.1.1 name=grain_wifi_guest_relay
add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\
    vlan-grain-wifi-4 local-address=10.1.4.1 name=Grain2_WiFi_relay
add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\
    vlan-phk-guest-102 local-address=10.1.2.1 name=PHK_guest_WiFi_relay
add delay-threshold=10s dhcp-server=192.168.20.97 disabled=no interface=\
    ether4-master-lan local-address=192.168.0.1 name=LAN_relay_standby
add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\
    vlan-rarus-wifi name=rarus_wifi_relay
/ip dhcp-server network
add address=10.1.1.0/24 dns-server=10.1.1.1 gateway=10.1.1.1
add address=10.1.2.0/24 dns-server=10.1.2.1 gateway=10.1.2.1
add address=10.1.4.0/24 dns-server=10.1.4.1 gateway=10.1.4.1
/ip dns
set allow-remote-requests=yes servers=\
    8.8.8.8,8.8.4.4,192.168.20.10,192.168.0.65
/ip firewall filter
add action=accept chain=input comment=\
    "Forward and Input Established and Related connections" connection-state=\
    established,related src-address-list=""
add action=drop chain=input connection-state=invalid in-interface-list=\
    wan-int
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid in-interface-list=\
    "!Tunnel interfaces" out-interface-list="!Tunnel interfaces"
add action=add-src-to-address-list address-list=ddos-blacklist \
    address-list-timeout=1d chain=input comment=\
    "DDoS Protect - Connection Limit" connection-limit=100,32 \
    in-interface-list=wan-int protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=ddos-blacklist
add action=jump chain=forward comment="DDoS Protect - SYN Flood" \
    connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=jump chain=input connection-state=new in-interface-list=wan-int \
    jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Protected - Port Scanners" \
    src-address-list="Port Scanners"
add action=add-src-to-address-list address-list="Port Scanners" \
    address-list-timeout=none-dynamic chain=input in-interface-list=wan-int \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Protected - WinBox Access" \
    src-address-list="Black List Winbox"
add action=add-src-to-address-list address-list="Black List Winbox" \
    address-list-timeout=none-dynamic chain=input connection-state=new \
    dst-port=8291 in-interface-list=wan-int log=yes log-prefix="BLACK WINBOX" \
    protocol=tcp src-address-list="Winbox Stage 3"
add action=add-src-to-address-list address-list="Winbox Stage 3" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 2"
add action=add-src-to-address-list address-list="Winbox Stage 2" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 1"
add action=add-src-to-address-list address-list="Winbox Stage 1" \
    address-list-timeout=1m chain=input connection-state=new dst-port=8291 \
    in-interface-list=wan-int protocol=tcp
add action=accept chain=input dst-port=8291 in-interface-list=wan-int \
    protocol=tcp
add action=accept chain=input comment="Access Normal ping" in-interface-list=\
    wan-int limit=50/5s,2:packet protocol=icmp
add action=accept chain=input in-interface-list=wan-int protocol=gre
add action=accept chain=input dst-port=500 in-interface-list=wan-int \
    protocol=udp
add action=accept chain=input in-interface-list=wan-int protocol=ipsec-esp
add action=accept chain=forward comment="Allow DST-NAT traffic" \
    connection-nat-state=dstnat connection-state=new
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=wan-int
add action=accept chain=forward comment="Allow access mail servers" \
    dst-address-list=lancloud
add action=accept chain=forward in-interface-list="Guest WiFi" \
    out-interface-list=wan-int
add action=accept chain=forward in-interface-list="Trusted interfaces" \
    out-interface-list="Trusted interfaces"
add action=accept chain=forward src-address-list=Admin
add action=accept chain=forward comment=\
    "Allow only good_links for AllowINET group" dst-address-list=good_links \
    dst-port=80,443 log-prefix=229_ACCEPT out-interface-list=wan-int \
    protocol=tcp src-address-list=AllowINET
add action=accept chain=forward comment="AllowAll Inet" dst-port=80,443 \
    layer7-protocol=!social log-prefix=229_ACCEPT out-interface-list=wan-int \
    protocol=tcp src-address-list=AllowALL
add action=drop chain=input comment="Drop all other packets" \
    in-interface-list=wan-int
add action=drop chain=forward
/ip firewall mangle
add action=accept chain=prerouting dst-address=212.152.35.56/29 \
    in-interface-list=LAN
add action=accept chain=prerouting dst-address=212.69.114.84/30 \
    in-interface-list=LAN
add action=mark-connection chain=prerouting comment=\
    "Mark incoming connection for each ISP" connection-mark=no-mark \
    in-interface=CIFRA1-wan-ether1 log-prefix=cinISP1_ new-connection-mark=\
    cin_ISP1 passthrough=no
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=sfp1-wan-megafon new-connection-mark=cin_ISP2 passthrough=no
add action=mark-connection chain=prerouting comment=\
    "Mark outgoing connections for load balancing" connection-mark=no-mark \
    connection-state="" disabled=yes dst-address-list=!Local \
    dst-address-type=!local in-interface-list=LAN log-prefix=load_ \
    new-connection-mark=cin_ISP1 passthrough=yes per-connection-classifier=\
    src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark \
    connection-state="" disabled=yes dst-address-list=!Local \
    dst-address-type=!local in-interface-list=LAN new-connection-mark=\
    cin_ISP2 passthrough=yes per-connection-classifier=src-address:2/1
add action=mark-routing chain=prerouting comment=\
    "Mark connections for routing" connection-mark=cin_ISP1 \
    in-interface-list=LAN log-prefix=rout_ new-routing-mark=rout_ISP1 \
    passthrough=yes
add action=mark-routing chain=prerouting connection-mark=cin_ISP2 \
    in-interface-list=LAN new-routing-mark=rout_ISP2 passthrough=yes
add action=mark-routing chain=output connection-mark=cin_ISP1 log-prefix=\
    output_ new-routing-mark=rout_ISP1 passthrough=yes
add action=mark-routing chain=output connection-mark=cin_ISP2 log-prefix=\
    outputISP2_ new-routing-mark=rout_ISP2 passthrough=yes
add action=mark-connection chain=prerouting comment=MAIL dst-address-list=\
    lancloud new-connection-mark=mail passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=mail in-interface-list=\
    wan-int new-packet-mark=mail_in passthrough=no
add action=mark-packet chain=forward connection-mark=mail new-packet-mark=\
    mail_out out-interface-list=wan-int passthrough=no
add action=mark-connection chain=input comment=GRE new-connection-mark=gre_in \
    passthrough=no protocol=gre
add action=mark-packet chain=prerouting connection-mark=gre_in \
    new-packet-mark=gre_in passthrough=no
add action=mark-connection chain=output new-connection-mark=gre_out \
    passthrough=no protocol=gre
add action=mark-packet chain=postrouting connection-mark=gre_out \
    new-packet-mark=gre_out passthrough=no
add action=mark-connection chain=prerouting comment=WEB dst-port=80,443,8080 \
    new-connection-mark=web passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-port=80,443,8080 \
    new-connection-mark=web passthrough=no protocol=udp
add action=mark-packet chain=forward connection-mark=web in-interface-list=\
    wan-int log-prefix=web_in_ new-packet-mark=web_in passthrough=no
add action=mark-packet chain=forward connection-mark=web log-prefix=web_out_ \
    new-packet-mark=web_out out-interface-list=wan-int passthrough=no
add action=mark-packet chain=forward connection-mark=web in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_web_in passthrough=no
add action=mark-packet chain=forward connection-mark=web new-packet-mark=\
    vpn_web_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=SIP dst-port=\
    4569,5060,5061,9060,10000-20000 new-connection-mark=sip passthrough=no \
    protocol=udp
add action=mark-packet chain=forward connection-mark=sip in-interface-list=\
    wan-int new-packet-mark=sip_in passthrough=no
add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\
    sip_out out-interface-list=wan-int passthrough=no
add action=mark-packet chain=forward connection-mark=sip in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_sip_in passthrough=no
add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\
    vpn_sip_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=RDP dst-port=3389 \
    new-connection-mark=rdp passthrough=no protocol=tcp
add action=mark-connection chain=prerouting dst-port=3389 \
    new-connection-mark=rdp passthrough=no protocol=udp
add action=mark-packet chain=forward connection-mark=rdp in-interface-list=\
    wan-int new-packet-mark=rdp_in passthrough=no
add action=mark-packet chain=forward connection-mark=rdp new-packet-mark=\
    rdp_out out-interface-list=wan-int passthrough=no
add action=mark-packet chain=forward connection-mark=rdp new-packet-mark=\
    vpn_rdp_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-packet chain=forward connection-mark=rdp in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_rdp_in passthrough=no
add action=mark-connection chain=prerouting comment=DNS dst-port=53 \
    new-connection-mark=dns passthrough=no protocol=udp
add action=mark-connection chain=output dst-port=53 new-connection-mark=dns \
    passthrough=no protocol=udp
add action=mark-packet chain=forward connection-mark=dns in-interface-list=\
    wan-int new-packet-mark=dns_in passthrough=no
add action=mark-packet chain=forward connection-mark=dns new-packet-mark=\
    dns_out out-interface-list=wan-int passthrough=no
add action=mark-packet chain=forward connection-mark=dns in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_dns_in passthrough=no
add action=mark-packet chain=forward connection-mark=dns new-packet-mark=\
    vpn_dns_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=ZABBIX dst-port=\
    10050,10051 new-connection-mark=zbx passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=zbx in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_zbx_in passthrough=no
add action=mark-packet chain=forward connection-mark=zbx new-packet-mark=\
    vpn_zbx_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=1C dst-port=\
    1433,1540,1541,1560-1591 new-connection-mark=1c passthrough=no protocol=\
    tcp
add action=mark-packet chain=forward connection-mark=1c in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_1c_in passthrough=no
add action=mark-packet chain=forward connection-mark=1c new-packet-mark=\
    vpn_1c_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=VIDEO dst-port=3080,3081 \
    new-connection-mark=video passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=video in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_video_in passthrough=no
add action=mark-packet chain=forward connection-mark=video new-packet-mark=\
    vpn_video_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=SMB dst-port=445 \
    new-connection-mark=smb passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=smb in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_smb_in passthrough=no
add action=mark-packet chain=forward connection-mark=smb new-packet-mark=\
    vpn_smb_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-connection chain=prerouting comment=LiteManager dst-port=\
    5650,5651 new-connection-mark=lm passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=lm new-packet-mark=\
    vpn_lm_in out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-packet chain=forward connection-mark=lm in-interface-list=\
    "Tunnel interfaces" new-packet-mark=vpn_lm_out passthrough=no
add action=mark-connection chain=prerouting comment=Winbox dst-port=8291 \
    new-connection-mark=winbox passthrough=no protocol=tcp
add action=mark-packet chain=forward connection-mark=winbox log-prefix=\
    vpn_winbox_in_ new-packet-mark=vpn_winbox_in out-interface-list=\
    "Tunnel interfaces" passthrough=no
add action=mark-packet chain=forward connection-mark=winbox \
    in-interface-list="Tunnel interfaces" new-packet-mark=vpn_winbox_out \
    passthrough=no
add action=mark-packet chain=forward comment=ALL in-interface-list=\
    "Tunnel interfaces" log-prefix=vpn_all_in_ new-packet-mark=vpn_all_in \
    passthrough=no
add action=mark-packet chain=forward log-prefix=vpn_all_out_ new-packet-mark=\
    vpn_all_out out-interface-list="Tunnel interfaces" passthrough=no
add action=mark-packet chain=forward in-interface-list=wan-int \
    new-packet-mark=all_in passthrough=yes
add action=mark-packet chain=forward new-packet-mark=all_out \
    out-interface-list=wan-int passthrough=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=CIFRA1-wan-ether1
add action=masquerade chain=srcnat out-interface=sfp1-wan-megafon
add action=dst-nat chain=dstnat comment="RDP Toolbox" disabled=yes dst-port=\
    5002 in-interface-list=wan-int protocol=tcp to-addresses=192.168.5.2 \
    to-ports=3389
add action=dst-nat chain=dstnat comment=GES-PC disabled=yes dst-port=5002 \
    in-interface-list=wan-int protocol=tcp to-addresses=192.168.0.229 \
    to-ports=3389
add action=dst-nat chain=dstnat comment=ENTELS dst-port=5051 \
    in-interface-list=wan-int protocol=tcp src-address=89.17.40.219 \
    to-addresses=192.168.105.2 to-ports=3389
add action=dst-nat chain=dstnat comment=VOIP dst-port=5060 in-interface-list=\
    wan-int protocol=udp src-address-list="DST-NAT SIP" to-addresses=\
    192.168.3.3 to-ports=5060
add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface-list=\
    wan-int log-prefix=voip_ protocol=udp to-addresses=192.168.3.3 to-ports=\
    10000-20000
add action=dst-nat chain=dstnat dst-port=10050 in-interface-list=wan-int \
    protocol=tcp to-addresses=192.168.3.3 to-ports=10050
add action=dst-nat chain=dstnat comment="SSH Bitpbx" disabled=yes dst-port=\
    2223 in-interface-list=wan-int protocol=tcp to-addresses=192.168.3.3 \
    to-ports=22
add action=dst-nat chain=dstnat comment="Astue RDP" disabled=yes dst-port=\
    5000 in-interface-list=wan-int protocol=tcp to-addresses=192.168.105.2 \
    to-ports=3389
add action=dst-nat chain=dstnat comment="Lexema RDP" disabled=yes dst-port=\
    5003 in-interface-list=wan-int log-prefix=rdp_ protocol=tcp to-addresses=\
    192.168.0.72 to-ports=3389
add action=dst-nat chain=dstnat comment="Lexema RDP" disabled=yes dst-port=\
    5004 in-interface-list=wan-int log-prefix=rdp_ protocol=tcp to-addresses=\
    192.168.0.89 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-port=5005 in-interface=\
    CIFRA1-wan-ether1 protocol=tcp to-addresses=192.168.0.70 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=5006 in-interface=\
    CIFRA1-wan-ether1 protocol=udp to-addresses=192.168.0.70 to-ports=5006
add action=dst-nat chain=dstnat disabled=yes dst-port=554 in-interface=\
    CIFRA1-wan-ether1 protocol=tcp to-addresses=192.168.0.70 to-ports=554
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface-list=\
    wan-int protocol=tcp to-addresses=192.168.0.140 to-ports=8090
add action=netmap chain=dstnat comment="SecurOS mobile" dst-port=7777 \
    in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \
    to-ports=7777
add action=netmap chain=dstnat comment="SecurOS mobile" dst-port=8888 \
    in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \
    to-ports=8888
add action=dst-nat chain=dstnat comment="Videoserver RDP" disabled=yes \
    dst-port=3389 in-interface-list=wan-int protocol=tcp to-addresses=\
    192.168.100.2 to-ports=3389
add action=netmap chain=dstnat comment="Beward Domofon" dst-port=5001 \
    in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.118 \
    to-ports=80
add action=netmap chain=dstnat dst-port=5000 in-interface-list=wan-int \
    protocol=udp to-addresses=192.168.100.118 to-ports=5000
add action=netmap chain=dstnat dst-port=554 in-interface-list=wan-int \
    log-prefix=dom_ protocol=tcp to-addresses=192.168.100.118 to-ports=554
add action=netmap chain=dstnat comment=SecurOS_Webview dst-port=8080 \
    in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \
    to-ports=8080
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec settings
set accounting=no
/ip route
add check-gateway=ping distance=1 gateway=212.152.35.57 pref-src=\
    212.152.35.60 routing-mark=rout_ISP1
add check-gateway=ping distance=1 gateway=212.69.114.86 pref-src=\
    212.69.114.85 routing-mark=rout_ISP2
add check-gateway=ping distance=1 gateway=8.8.8.8
add check-gateway=ping distance=2 gateway=8.8.4.4
add check-gateway=ping distance=1 dst-address=8.8.4.4/32 gateway=\
    212.69.114.86 scope=10
add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=\
    212.152.35.57 scope=10
add distance=1 dst-address=172.27.0.0/21 gateway=192.168.0.13
add distance=1 dst-address=192.168.19.0/24 gateway=172.18.0.5
add distance=1 dst-address=192.168.23.0/24 gateway=192.168.0.13
add distance=1 dst-address=192.168.233.0/24 gateway=192.168.0.13
/ip route rule
add dst-address=192.168.0.0/24 table=main
add src-address=212.152.35.60/32 table=rout_ISP1
add src-address=212.69.114.85/32 table=rout_ISP2
/ip service
set telnet address=192.168.0.0/24,192.168.20.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24,192.168.20.0/24 disabled=yes port=8081
set ssh address=192.168.0.0/24,192.168.20.0/24
set api disabled=yes
set winbox address=192.168.0.0/24,192.168.20.0/24,109.73.14.29/32
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/ip tftp
add read-only=no real-filename=/pxe req-filename=.*
/ip traffic-flow target
add dst-address=192.168.0.158 port=9996
/ip upnp interfaces
add interface=ether4-master-lan type=internal
add interface=CIFRA1-wan-ether1 type=external
/routing filter
add action=discard chain=ospf-in prefix-length=28-32
add action=discard chain=ospf-out prefix-length=30-32
add action=discard chain=ospf-in prefix=83.169.208.0/24
add action=discard chain=ospf-out prefix=212.152.35.0/24
add action=discard chain=ospf-out prefix=212.152.35.56/29
add action=discard chain=ospf-out prefix=10.1.2.0/24
add action=discard chain=ospf-out prefix=10.1.1.0/24
add action=discard chain=ospf-out prefix=10.1.4.0/24
add action=discard chain=ospf-out prefix=192.168.25.0/24
add action=discard chain=ospf-out prefix=192.168.5.0/24
add action=discard chain=ospf-in prefix=172.16.2.0/24
add action=discard chain=ospf-out prefix=192.168.23.0/24
add action=discard chain=ospf-out prefix=10.1.5.0/24
/routing ospf interface
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=CROC-ISP1 network-type=point-to-point \
    use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=KST-ISP1 network-type=point-to-point \
    use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=KST-ISP2 network-type=point-to-point \
    use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=RHLEB-ISP1 network-type=point-to-point \
    use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=RHLEB-ISP2 network-type=point-to-point
add interface=vlan-video network-type=broadcast passive=yes
add interface=ether4-master-lan network-type=broadcast use-bfd=yes
add authentication=md5 authentication-key="" \
    authentication-key-id=2 interface=CROC-ISP2 network-type=point-to-point
/routing ospf network
add area=backbone network=172.18.0.0/24
add area=backbone disabled=yes network=172.18.23.0/30
add area=backbone network=192.168.0.0/24
add area=backbone network=192.168.100.0/24
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=gate.grain.ccr
/system logging
add action=echo disabled=yes topics=ospf
/system ntp client
set enabled=yes primary-ntp=192.168.0.65 secondary-ntp=192.168.20.10
/system scheduler
add name="remove udp conn" on-event=\
    "/ip firewall connection {remove [find connection mark=sip]}" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-time=startup
/tool bandwidth-server
set authenticate=no enabled=no
/tool e-mail
set address=smtp.lancloud.ru from=notify@grainholding.ru password=harddrvb \
    user=notify@grainholding.ru
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
/tool romon
set enabled=yes
/tool sniffer
set filter-interface=CROC-ISP2 filter-stream=yes streaming-enabled=yes \
    streaming-server=192.168.0.250

 

Дампы.zip

Share this post

Link to post
Share on other sites

TriKS   

TriKS
Posted (edited) · Report post
25 минут назад, Sergius87 сказал:

Провайдер утверждает, что у них нигде ничего не блочится.


Врет. Мультик подрезан. Посите дампы трафла. Не могут пакеты от вас улетать и не прилетать. Где то по пути бида.

Edited by TriKS

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted · Report post

И я к тому же склоняюсь. Тем более туннель поднимали в несколько разных точек, а результат один.

Также меня смущает, что даже через шифрованный туннель hello не проходит.

 

26 минут назад, TriKS сказал:

Посите дампы трафла.

Ответ провайдера

Скрытый текст

Добрый день.

Получить дамп для клиентского трафика с маршрутизатора возможности нет, захватить можем только трафик, который предназначается конкретно "наш IP"

 

Share this post

Link to post
Share on other sites

TriKS   

TriKS
Posted · Report post

Или вести конструктивный диалог - дескать ребята, я вот тунель поднимаю через вас - не але. Поднимаю этот же тунель через соседний провод конкурента - там але. Просьба разобратся. Но в 99% случаев если вы на домашнем тарифчике - то вас пошлют. А если пров - шарашка, то тем более, там просто некому разбираться с проблемой. Пробуйте.

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted · Report post

@TriKS Тариф у нас далеко не домашний )))  Есть от этого же прова еще линки на других площадках. Пров, кстати, Мегафон. Канал дают через радиорелейку.

А отношение саппорта такое, как будто квартиру подключили. а не несколько заводов =)

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted · Report post

На предмет размера пакета уже смотрели в вашем GRE туннеле?

 

L2TP хорошо работает - может его и использовать?

Сейчас у вас 2 туннеля, а если будет 100 или 500?

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted · Report post

@Saab95 А их у нас уже порядка 30 )))) 5 площадок по 2 провайдера объединены по схеме FullMesh. И не запускается OSPF только на одной площадке на одном провайдере. 

30 минут назад, Saab95 сказал:

На предмет размера пакета уже смотрели в вашем GRE туннеле?

Да, смотрели. Я пробовал пинговать с разными размерами пакета и всё ок. Да и другой-то трафик нормально ходит через этот туннель. Не проходят только hello-пакеты и только в одну сторону. Пинг на мультикаст адрес 224.0.0.5 проходит в обе стороны.

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted · Report post

У нас часто бывают подобные проблемы, только на арендованных L2 каналах, когда при замене одного свича где-то по ходу следования, забывают мультикаст настроить.

Но бывали и такие проблемы, когда трафик под фильтр DPI попадал случайно или специально, который и вырезал некоторые типы данных. Нужно продолжать провайдера дергать. А лучше менеджеру сразу письмо о расторжении написать. Вмиг все решат.

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
7 часов назад, TriKS сказал:

Мультик подрезан.

У ТС GRE же вроде.

 

7 часов назад, Sergius87 сказал:

Получить дамп для клиентского трафика с маршрутизатора возможности нет, захватить можем только трафик, который предназначается конкретно "наш IP"

Дык поставьте провайдерский ИП в туннель. Пусть снимут дамп :)

 

А если статикой задать соседа. То работает?

Share this post

Link to post
Share on other sites

Garra-67   

Garra-67
Posted · Report post

Релейка мультикаст фильтерит. Я так тоже долго искал почему ни isis ни ospf не работает, хотя все пингуется.
Параметр unregistered multicast на вашем влане разрешен должен быть.

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
8 минут назад, Garra-67 сказал:

Релейка мультикаст фильтерит. Я так тоже долго искал почему ни isis ни ospf не работает, хотя все пингуется.
Параметр unregistered multicast на вашем влане разрешен должен быть.

Дык он же в ГРЕ завернут

Share this post

Link to post
Share on other sites

Garra-67   

Garra-67
Posted · Report post

Попинать можно, возможно как то все равно видит и режет.

Share this post

Link to post
Share on other sites

TriKS   

TriKS
Posted (edited) · Report post
1 час назад, VolanD666 сказал:

У ТС GRE же вроде.

И что? DPI вполне может разобрать.

 

1 час назад, VolanD666 сказал:

А если статикой задать соседа. То работает?

Да что вы носитесь из темы в тему с этой статикой? Hello c порта вылетает в прова, с другой стороны - не прилетает. В этот же порт тыкают другого прова - все работает.

Edited by TriKS

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
4 минуты назад, TriKS сказал:

Hello c порта вылетает в прова, с другой стороны - не прилетает. В этот же порт тыкают другого прова - все работает.

И что дальше? Пров послал клиента самого искать причину. Теперь у клиента вариант: ругаться с провом, либо убеждать что проблема на стороне прова. Дык вот, поднятие статического соседства может быть доводом для прова, что проблема на его стороне. Вы что, провайдерам никогда не рассказывали где и что у них сломалось и что нужно сделать чтобы починить?

 

8 минут назад, TriKS сказал:

И что? DPI вполне может разобрать.

Вот это может быть причиной.

Share this post

Link to post
Share on other sites

TriKS   

TriKS
Posted · Report post
1 минуту назад, VolanD666 сказал:

Вы что, провайдерам никогда не рассказывали где и что у них сломалось и что нужно сделать чтобы починить? 

Я расказывал. У нас как бы не шарашка, где сворачивают на клиента все. Если клиент обратился с проблемой, тем более уровня "нескольких заводов" и кучи точек включения - да хоть чистый L2 ему прогоним по МПЛС. При чем можем даже через стыки с магистралами\другими провами прогнать чистейший L2 для тестов.

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
3 минуты назад, TriKS сказал:

Я расказывал. У нас как бы не шарашка, где сворачивают на клиента все.

Я и говорю про ситуацю когда звонишь провайдеру, через который стык, он шлет т.к. не хочет/не может разбираться в своей сети. И тогда включаешь фантазию и начинаешь дебажить его сеть.

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted (edited) · Report post
16 часов назад, VolanD666 сказал:

А если статикой задать соседа. То работает?

Со статикой такая же история. В одну сторону пакеты проходят, а в обратном направлении - нет

16 часов назад, VolanD666 сказал:

Дык поставьте провайдерский ИП в туннель

Не совсем понял что Вы имеете ввиду :-)

Edited by Sergius87

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
46 минут назад, Sergius87 сказал:

Не совсем понял что Вы имеете ввиду :-)

Попробуйте в desctination туннеля поставить ИП провайдера и пусть они послушают что там приходит. Ну если вы говорите что они могут слушать только то, что приходит на их ИП (вероятно этот ИП-ваш шлюз на той стороне?)

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted · Report post
2 минуты назад, VolanD666 сказал:

Попробуйте в desctination туннеля поставить ИП провайдера и пусть они послушают что там приходит. Ну если вы говорите что они могут слушать только то, что приходит на их ИП (вероятно этот ИП-ваш шлюз на той стороне?)

Я видимо неправильно выразился ))) Пров нам дает /30 сеть, где наш белый ИП и провайдерский шлюз. Пров утверждает, что не может дать дамп со СВОЕГО маршрутизатора, а может только дамп трафика, который идет на наш белый ИП =)

Судя по всему они где-то посередине его хотят вылавливать ))))

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post

Ну дык вы взяли этот трафик? Сравнили со своими дампами? Еще вы говорите про вайршаркл. На микроте есть своф сниффер. А с другого конца вы как снимаете трафик?

Share this post

Link to post
Share on other sites

Sergius87   

Sergius87
Posted (edited) · Report post

@VolanD666 Я и снимаю весь трафик через микротовский сниффер со стримом на свою тачку, где запущен вайершарк ))) На другом конце туннеля так же стоит микротик.  И так же через сниффер снимаю дамп.

Ну а в сниффере уже чередую туннельный/провайдерский интерфейс и смотрю что куда бегает =)

 

Пров уже второй день меня динамит с дамп трафика со своего оборудования. А мне оч хочется посмотреть чего к ним прилетает.

 

Сегодня буду через руководителя давить на манагеров провайдера

Edited by Sergius87

Share this post

Link to post
Share on other sites

VolanD666   

VolanD666
Posted · Report post
1 минуту назад, Sergius87 сказал:

@VolanD666 Я и снимаю весь трафик через микротовский сниффер со стримом на свою тачку, где запущен вайершарк ))) На другом конце туннеля так же стоит микротик.  И так же через сниффер снимаю дамп.

Ну а в сниффере уже чередую туннельный/провайдерский интерфейс и смотрю что куда бегает =)

Понял вас. Ну тогда тут только тыкать носом провайдера и говорить что: "У меня уходит, а у вас где в дампе?!!"

Share this post

Link to post
Share on other sites

pingz   

pingz
Posted · Report post

@Sergius87 практика показывает, когда не получается договорится, лучше начинать бюрократическую переписку, будет медленно, но вопрос решится. 

 

У меня примерно такие же проблемы были, пытался договорится, все решилось, через письма.

 

Попробуйте nbma и жестко пропишите neighbors

Share this post

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go To Topic Listing Mikrotik коммутаторы и маршрутизаторы