Sergius87 Опубликовано 9 апреля, 2020 · Жалоба Здравствуйте, уважаемые форумчане! При настройке GRE-туннелей столкнулся с такой проблемой, суть которой такова: Есть роутер CCR1036-12G-4S в центральном офисе, с него поднимается 2 GRE-туннеля (каждый через своего провайдера, Алмател и Мегафон ) до CHR в облаке. На этих туннелях включен OSPF. И если с одним туннелем (через Алмател) всё хорошо , то со вторым (через Мегафон) - беда. OSPF не может установить отношения соседства. Причем роутер в офисе "видит" соседа CHR (он появляется на вкладке Neighbors), а вот CHR его не видит. Дамп трафика на интерфейсе проблемного провайдера Wireshak'ом показал следующие: видно, что приходят hello-пакеты с CHR и уходят ответные hello от CCR. А вот в дампе с CHR входящих hello-пакетов от CCR не видно. (Дампы во вложении) Через этого же провайдера не проходят hello-пакеты и в сторону других Микротиков на удаленных площадках. Причем если просто поменять адрес источника на первого провайдера, то всё начинает работать. Что делали: - пробовали отключать фаервол с обеих концов туннеля. - выставлять дефолтные настройки OSPF - брали абсолютно другой роутер с пустым конфигом и настраивали по-минимуму. - пинги на мультикаст адрес 224.0.0.5 проходят через туннель. - также проходят и обычные пинги - пробовали включать/выключать IPSEC (даже в зашифрованном туннеле hello-пакет всё равно не доходит) - l2tp-туннель прекрасно работает Провайдер утверждает, что у них нигде ничего не блочится. Конфиг CHR Скрытый текст # apr/07/2020 06:45:00 by RouterOS 6.46.4 # software id = # # # /interface bridge add fast-forward=no name=Loopback protocol-mode=none /interface ethernet set [ find default-name=ether2 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-full name=WAN speed=1Gbps set [ find default-name=ether1 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-full speed=1Gbps /interface l2tp-server add name=l2tp-dm user=dm add name=l2tp-expo user=expo add name=l2tp-izobilny user=izobilny add name=l2tp-kasimov user=kasimov add name=l2tp-lankey user=lankey add name=l2tp-nl user=nl add name=l2tp-phk user=phk add name=l2tp-rh user=rh add name=l2tp-rhleb user=rhleb add name=l2tp-rzp user=rzp add disabled=yes name=l2tp-softline user=softline /interface gre add allow-fast-path=no clamp-tcp-mss=no ipsec-secret="\?\?\?\?\?\? \?\?\?\?!" \ keepalive=5s,5 local-address=109.73.14.29 name=Expo-ISP1 remote-address=\ 91.188.182.82 add allow-fast-path=no ipsec-secret="\?\?\?\?\?\? \?\?\?\?!" keepalive=5s,5 \ local-address=109.73.14.29 name=Expo-ISP2 remote-address=188.170.16.69 add allow-fast-path=no ipsec-secret= keepalive=5s,5 \ local-address=109.73.14.29 name=KST-ISP1 remote-address=109.236.209.165 add allow-fast-path=no ipsec-secret= keepalive=5s,5 \ local-address=109.73.14.29 name=KST-ISP2 remote-address=88.86.81.64 add allow-fast-path=no ipsec-secret= keepalive=10s,5 \ local-address=109.73.14.29 name=PHK-ISP1 remote-address=212.152.35.60 add allow-fast-path=no keepalive=5s,5 local-address=109.73.14.29 name=\ PHK-ISP2 remote-address=212.69.114.85 add allow-fast-path=no ipsec-secret= keepalive=5s,5 \ local-address=109.73.14.29 name=RHLEB-ISP1 remote-address=78.31.73.148 add allow-fast-path=no ipsec-secret= keepalive=5s,5 \ local-address=109.73.14.29 name=RHLEB-ISP2 remote-address=83.169.208.85 add allow-fast-path=no ipsec-secret= keepalive=5s,5 \ local-address=109.73.14.29 name=RZP-ISP1 remote-address=78.31.77.23 /interface list add exclude=dynamic name=discover add name=LAN add name="Tunnel interfaces" add include="LAN,Tunnel interfaces" name="Trusted interfaces" add name=DMZ add name=wan-int add name="Guest WiFi" /ip firewall layer7-protocol add name=social regexp="^([a-zA-Z0-9]*\\.)\?(vk\\.com|ok\\.ru|odnoklassniki|fa\ cebook|twitter\\.com|my\\.mail\\.ru|youtube\\.com|fonbet|baltbet|baltplay|\ ukr\\.net|ligastavok|marathon|bkfon|leonbets|bookmakers|radio|radio).*\$" /ip ipsec policy group set [ find default=yes ] name=group1 /ip ipsec profile add dh-group=modp1024 name=profile_1 nat-traversal=no add dh-group=modp1024 name=profile_2 nat-traversal=no add dh-group=modp1024 enc-algorithm=aes-256,3des hash-algorithm=md5 name=\ profile_3 nat-traversal=no /ip pool add name=vpn_pool ranges=172.19.0.2-172.19.0.200 add name=l2tp-pool ranges=192.168.20.200-192.168.20.230 /ppp profile add change-tcp-mss=yes local-address=172.19.0.1 name=profile-l2tp \ remote-address=vpn_pool set *FFFFFFFE dns-server=192.168.20.10 local-address=172.20.1.1 \ remote-address=vpn_pool /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 router-id=\ 10.255.255.10 /snmp community set [ find default=yes ] addresses=0.0.0.0/0 encryption-protocol=AES /user group add name=ftp policy="ftp,read,write,!local,!telnet,!ssh,!reboot,!policy,!test,\ !winbox,!password,!web,!sniff,!sensitive,!api,!romon,!dude,!tikapp" /ip neighbor discovery-settings set discover-interface-list=none /interface l2tp-server server set default-profile=profile-l2tp enabled=yes ipsec-secret=dEt49uFT5r \ keepalive-timeout=10 use-ipsec=yes /interface list member add disabled=yes interface=ether1 list=discover add disabled=yes interface=l2tp-lankey list=discover add disabled=yes interface=l2tp-dm list=discover add disabled=yes interface=l2tp-phk list=discover add disabled=yes interface=l2tp-expo list=discover add disabled=yes interface=l2tp-kasimov list=discover add interface=ether1 list=LAN add interface=WAN list=wan-int add interface=Expo-ISP1 list="Tunnel interfaces" add interface=Expo-ISP2 list="Tunnel interfaces" add interface=KST-ISP1 list="Tunnel interfaces" add interface=KST-ISP2 list="Tunnel interfaces" add interface=RHLEB-ISP1 list="Tunnel interfaces" add interface=RHLEB-ISP2 list="Tunnel interfaces" add interface=l2tp-dm list="Tunnel interfaces" add interface=l2tp-expo list="Tunnel interfaces" add interface=l2tp-izobilny list="Tunnel interfaces" add interface=l2tp-kasimov list="Tunnel interfaces" add interface=l2tp-lankey list="Tunnel interfaces" add interface=l2tp-nl list="Tunnel interfaces" add interface=l2tp-phk list="Tunnel interfaces" add interface=l2tp-rh list="Tunnel interfaces" add interface=l2tp-rhleb list="Tunnel interfaces" add interface=l2tp-rzp list="Tunnel interfaces" add interface=PHK-ISP2 list="Tunnel interfaces" add interface=RZP-ISP1 list="Tunnel interfaces" add interface=PHK-ISP1 list="Tunnel interfaces" add list="Tunnel interfaces" /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 /ip address add address=192.168.20.6/24 comment="LAN IP" interface=ether1 network=\ 192.168.20.0 add address=109.73.14.29/24 comment="WAN IP" interface=WAN network=\ 109.73.14.0 add address=172.18.0.5/30 interface=PHK-ISP1 network=172.18.0.4 add address=10.255.255.10 interface=Loopback network=10.255.255.10 add address=172.18.0.25/30 interface=Expo-ISP1 network=172.18.0.24 add address=172.18.0.29/30 interface=Expo-ISP2 network=172.18.0.28 add address=172.18.0.65/30 interface=RHLEB-ISP1 network=172.18.0.64 add address=172.18.0.69/30 interface=RHLEB-ISP2 network=172.18.0.68 add address=172.18.0.49/30 interface=KST-ISP1 network=172.18.0.48 add address=172.18.0.53/30 interface=KST-ISP2 network=172.18.0.52 add address=172.18.0.73/30 interface=RZP-ISP1 network=172.18.0.72 add address=172.18.0.89/30 interface=PHK-ISP2 network=172.18.0.88 /ip dhcp-client add !dhcp-options interface=ether1 /ip dns set servers=192.168.20.10,192.168.20.9,8.8.8.8,8.8.4.4 /ip dns static add address=192.168.0.34 name=test-app.grain.local /ip firewall filter add action=accept chain=input comment=\ "Forward and Input Established and Related connections" connection-state=\ established,related src-address-list="" add action=drop chain=input connection-state=invalid in-interface-list=\ wan-int add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-state=invalid in-interface-list=\ "!Tunnel interfaces" out-interface-list="!Tunnel interfaces" add action=add-src-to-address-list address-list=ddos-blacklist \ address-list-timeout=1d chain=input comment=\ "DDoS Protect - Connection Limit" connection-limit=100,32 \ in-interface-list=wan-int protocol=tcp add action=tarpit chain=input connection-limit=3,32 protocol=tcp \ src-address-list=ddos-blacklist add action=jump chain=forward comment="DDoS Protect - SYN Flood" \ connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn add action=jump chain=input connection-state=new in-interface-list=wan-int \ jump-target=SYN-Protect protocol=tcp tcp-flags=syn add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \ protocol=tcp tcp-flags=syn add action=drop chain=SYN-Protect connection-state=new protocol=tcp \ tcp-flags=syn add action=drop chain=input comment="Protected - Port Scanners" \ src-address-list="Port Scanners" add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=none-dynamic chain=input in-interface-list=wan-int \ protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment="Protected - WinBox Access" \ src-address-list="Black List Winbox" add action=add-src-to-address-list address-list="Black List Winbox" \ address-list-timeout=none-dynamic chain=input connection-state=new \ dst-port=8291 in-interface-list=wan-int log=yes log-prefix="BLACK WINBOX" \ protocol=tcp src-address-list="Winbox Stage 3" add action=add-src-to-address-list address-list="Winbox Stage 3" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 2" add action=add-src-to-address-list address-list="Winbox Stage 2" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 1" add action=add-src-to-address-list address-list="Winbox Stage 1" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp add action=accept chain=input dst-port=8291 in-interface-list=wan-int \ protocol=tcp add action=accept chain=input comment="Access Normal ping" in-interface-list=\ wan-int limit=50/5s,2:packet protocol=icmp add action=accept chain=input in-interface-list=wan-int protocol=gre add action=accept chain=input comment="for VPN" dst-port=1701,4500 protocol=\ udp add action=accept chain=input dst-port=500 in-interface-list=wan-int \ protocol=udp add action=accept chain=input in-interface-list=wan-int protocol=ipsec-esp add action=accept chain=forward comment="Allow DST-NAT traffic" \ connection-nat-state=dstnat connection-state=new add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=wan-int add action=reject chain=output comment="Drop custom links via PROXY" \ dst-address-list=bad_links dst-port=80,443 log-prefix=WARNIN-SOCIAL \ out-interface=WAN protocol=tcp reject-with=icmp-network-unreachable add action=drop chain=forward comment="Drop custom links" dst-address-list=\ bad_links dst-port=80,443 log-prefix=WARNIN-SOCIAL out-interface=WAN \ protocol=tcp add action=accept chain=forward comment="Allow access mail servers" \ dst-address-list=lancloud add action=accept chain=forward comment=\ "Allow DNS request to external servers from DC" dst-port=53 \ out-interface-list=wan-int protocol=udp src-address-list=DNS_Servers add action=accept chain=forward dst-address-list="Reports Servers" dst-port=\ 80,443,110 protocol=tcp add action=accept chain=forward dst-port=21,22,465,8080,38738,8443 protocol=\ tcp add action=accept chain=forward disabled=yes in-interface-list="Guest WiFi" \ out-interface-list=wan-int add action=accept chain=forward in-interface-list="Trusted interfaces" \ out-interface-list="Trusted interfaces" add action=accept chain=forward src-address-list=Allow_all add action=drop chain=input comment="Drop all other packets" \ in-interface-list=wan-int add action=drop chain=forward /ip firewall nat add action=masquerade chain=srcnat out-interface=WAN src-address=\ 192.168.20.0/24 add action=dst-nat chain=dstnat disabled=yes dst-port=5000 in-interface=WAN \ protocol=tcp to-addresses=192.168.20.20 to-ports=3389 add action=dst-nat chain=dstnat comment=Antor dst-port=5001 in-interface=WAN \ protocol=tcp to-addresses=192.168.20.17 to-ports=3389 add action=dst-nat chain=dstnat disabled=yes dst-port=1723 in-interface=WAN \ protocol=tcp to-addresses=192.168.20.5 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip ipsec identity # Peer does not exist add secret=123 # Peer does not exist add secret=123 # Peer does not exist add secret=123 /ip route add comment="added by setup" distance=1 gateway=109.73.14.1 add distance=1 dst-address=5.8.180.28/32 gateway=192.168.20.1 add distance=1 dst-address=192.168.19.0/24 gateway=172.18.21.2 add comment=BAZA distance=1 dst-address=192.168.200.0/24 gateway=172.18.200.2 /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ip traffic-flow set cache-entries=2M /ip traffic-flow target add dst-address=192.168.20.5 port=9996 /routing filter add action=discard chain=ospf-in prefix=46.44.26.0/24 add action=discard chain=ospf-in prefix=212.152.35.0/24 add action=discard chain=ospf-in disabled=yes prefix=93.190.142.0/24 add action=discard chain=ospf-in prefix=80.244.233.0/24 add action=discard chain=ospf-in prefix-length=30 add action=discard chain=ospf-out prefix=109.73.14.0/24 add action=discard chain=ospf-out prefix-length=30 add action=discard chain=ospf-in prefix=176.106.144.0/24 add action=discard chain=ospf-in prefix=192.168.30.0/24 add action=discard chain=ospf-in prefix=78.31.73.144/28 add action=discard chain=ospf-in prefix=91.214.240.88/29 add action=discard chain=ospf-in prefix=78.31.77.16/28 add action=discard chain=ospf-in prefix=83.169.208.0/24 add action=discard chain=ospf-in prefix=10.1.3.45 add action=discard chain=ospf-out prefix-length=32 add action=discard chain=ospf-in prefix=10.1.2.0/24 add action=discard chain=ospf-in prefix=212.152.35.56/29 add action=discard chain=connected-in disabled=yes prefix=212.152.35.0/24 add action=discard chain=ospf-in prefix=89.108.124.0/22 add action=discard chain=ospf-in prefix=46.229.143.0/24 add action=discard chain=ospf-in prefix=10.1.3.55 add action=discard chain=ospf-in disabled=yes prefix=89.108.120.0/22 add action=discard chain=ospf-out prefix=10.1.5.0/24 add action=discard chain=ospf-out prefix=192.168.19.0/24 /routing ospf interface add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=Expo-ISP1 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=Expo-ISP2 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=RHLEB-ISP1 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=RHLEB-ISP2 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=KST-ISP1 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=KST-ISP2 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=PHK-ISP1 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=RZP-ISP1 network-type=\ point-to-point use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 cost=20 interface=PHK-ISP2 network-type=\ point-to-point /routing ospf network add area=backbone comment=PHK1 disabled=yes network=172.16.9.0/30 add area=backbone comment="TMP L2TP EXPO" network=172.20.2.0/30 add area=backbone comment=PHK network=172.18.0.0/30 add area=backbone comment=RZP network=172.18.6.0/30 add area=backbone comment=VD network=172.18.11.0/30 add area=backbone comment=video network=172.18.10.0/30 add area=backbone comment=Lankey network=172.18.21.0/30 add area=backbone comment=DM network=172.18.7.0/30 add area=backbone comment=Kasimov network=172.18.13.0/30 add area=backbone comment=Lankey network=172.18.22.0/30 add area=backbone network=172.18.23.0/30 add area=backbone comment=Izobilny network=172.18.9.0/30 add area=backbone network=172.18.0.0/24 /snmp set enabled=yes location=vpc trap-generators=temp-exception,temp-exception \ trap-version=2 /system clock set time-zone-name=Europe/Moscow /system identity set name=croc-gw-grain /system logging set 0 action=disk set 1 action=disk set 2 action=disk set 3 action=disk add action=echo disabled=yes topics=bfd add action=disk disabled=yes topics=ospf /system ntp client set enabled=yes primary-ntp=192.168.20.10 secondary-ntp=192.168.20.15 Конфиг CCR Скрытый текст # apr/07/2020 06:44:25 by RouterOS 6.46.4 # software id = RWG2-LHYN # # model = CCR1036-12G-4S # serial number = 742307F9D3E2 /interface bridge add fast-forward=no name=Loopback protocol-mode=none add name=astue /interface ethernet set [ find default-name=ether1 ] name=CIFRA1-wan-ether1 speed=100Mbps set [ find default-name=ether2 ] speed=100Mbps set [ find default-name=ether3 ] speed=100Mbps set [ find default-name=ether4 ] name=ether4-master-lan speed=100Mbps set [ find default-name=ether5 ] name=ether5-bitpbx speed=100Mbps set [ find default-name=ether6 ] speed=100Mbps set [ find default-name=ether7 ] speed=100Mbps set [ find default-name=ether8 ] speed=100Mbps set [ find default-name=ether9 ] speed=100Mbps set [ find default-name=ether10 ] speed=100Mbps set [ find default-name=ether11 ] speed=100Mbps set [ find default-name=ether12 ] speed=100Mbps set [ find default-name=sfp1 ] advertise=10M-full,100M-full,1000M-full name=\ sfp1-wan-megafon set [ find default-name=sfp2 ] advertise=10M-full,100M-full,1000M-full set [ find default-name=sfp3 ] advertise=10M-full,100M-full,1000M-full set [ find default-name=sfp4 ] advertise=10M-full,100M-full,1000M-full /interface l2tp-client add allow-fast-path=yes connect-to=109.73.14.29 name=l2tp-croc password=\ user=phk add allow-fast-path=yes connect-to=vpn.grainholding.ru name=l2tp-croc-reserve \ password= user=phk /interface gre add allow-fast-path=no ipsec-secret= keepalive=10s,5 \ local-address=212.152.35.60 name=CROC-ISP1 remote-address=109.73.14.29 add allow-fast-path=no keepalive=5s,5 local-address=212.69.114.85 name=\ CROC-ISP2 remote-address=109.73.14.29 add allow-fast-path=no comment="GRE to KST" ipsec-secret= \ keepalive=5s,5 local-address=212.152.35.60 name=KST-ISP1 remote-address=\ 109.236.209.165 add allow-fast-path=no disabled=yes ipsec-secret= keepalive=\ 5s,5 local-address=212.69.114.85 name=KST-ISP2 remote-address=88.86.81.64 add allow-fast-path=no comment="GRE to RHLEB" ipsec-secret= \ keepalive=5s,5 local-address=212.152.35.60 name=RHLEB-ISP1 \ remote-address=78.31.73.148 add allow-fast-path=no keepalive=5s,5 local-address=212.69.114.85 name=\ RHLEB-ISP2 remote-address=83.169.208.85 /interface vlan add interface=ether4-master-lan name=vlan-callcentr-103 vlan-id=103 add interface=ether4-master-lan name=vlan-grain-guest-3 vlan-id=3 add interface=ether4-master-lan name=vlan-grain-wifi-4 vlan-id=4 add interface=ether4-master-lan name=vlan-phk-guest-102 vlan-id=102 add interface=ether4-master-lan name=vlan-rarus-wifi vlan-id=5 add interface=ether4-master-lan name=vlan-video vlan-id=101 add disabled=yes interface=sfp1-wan-megafon name=vlan1 vlan-id=1 add interface=ether4-master-lan name=vlan_astue vlan-id=105 /interface list add name=wan-list add name=wan-int add name=corp-tun add name=lan-int add name=LAN add name="Tunnel interfaces" add include="LAN,Tunnel interfaces" name="Trusted interfaces" add name="Guest WiFi" /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /port set 2 baud-rate=9600 data-bits=8 flow-control=none name=usb3 parity=none \ stop-bits=1 set 3 name=usb4 /ppp profile add change-tcp-mss=yes name=profile1 /queue tree add max-limit=150M name=In parent=global add max-limit=150M name=Out parent=global add max-limit=100M name=GRE_out packet-mark=gre_out parent=Out priority=3 /queue type add kind=pcq name=SIP pcq-classifier=\ src-address,dst-address,src-port,dst-port pcq-dst-address6-mask=64 \ pcq-rate=128k pcq-src-address6-mask=64 /queue tree add max-limit=100M name=GRE_in packet-mark=gre_in parent=In priority=3 queue=\ pcq-download-default add limit-at=250k max-limit=40M name=VPN_RDP_in packet-mark=vpn_rdp_in \ parent=GRE_in priority=3 queue=pcq-download-default add limit-at=128k max-limit=40M name=VPN_RDP_out packet-mark=vpn_rdp_out \ parent=GRE_out priority=3 queue=pcq-upload-default add max-limit=75M name=Web_in packet-mark=web_in parent=In priority=5 queue=\ pcq-download-default add max-limit=75M name=Web_out packet-mark=web_out parent=Out priority=5 \ queue=pcq-upload-default add max-limit=20M name=SIP_in packet-mark=sip_in parent=In priority=1 queue=\ SIP add max-limit=20M name=SIP_out packet-mark=sip_out parent=Out priority=1 \ queue=SIP add max-limit=30M name=Mail_in packet-mark=mail_in parent=In priority=5 \ queue=pcq-download-default add max-limit=30M name=Mail_out packet-mark=mail_out parent=Out priority=5 \ queue=pcq-upload-default add max-limit=2M name=DNS_in packet-mark=dns_in parent=In priority=2 queue=\ pcq-download-default add max-limit=2M name=DNS_out packet-mark=dns_out parent=Out priority=2 \ queue=pcq-upload-default add max-limit=25M name=ALL_in packet-mark=all_in parent=In queue=\ pcq-download-default add max-limit=30M name=ALL_out packet-mark=all_out parent=Out queue=\ pcq-upload-default add max-limit=20M name=VPN_Web_in packet-mark=vpn_web_in parent=GRE_in \ priority=5 queue=pcq-download-default add max-limit=20M name=VPN_Web_out packet-mark=vpn_web_out parent=GRE_out \ priority=5 queue=pcq-upload-default add max-limit=10M name=VPN_SIP_in packet-mark=vpn_sip_in parent=GRE_in \ priority=1 queue=SIP add max-limit=10M name=VPN_SIP_out packet-mark=vpn_sip_out parent=GRE_out \ priority=1 queue=SIP add max-limit=2M name=VPN_DNS_in packet-mark=vpn_dns_in parent=GRE_in \ priority=4 queue=pcq-download-default add max-limit=2M name=VPN_DNS_out packet-mark=vpn_dns_out parent=GRE_out \ priority=4 queue=pcq-upload-default add max-limit=5M name=VPN_ALL_in packet-mark=vpn_all_in parent=GRE_in queue=\ pcq-download-default add max-limit=25M name=VPN_ALL_out packet-mark=vpn_all_out parent=GRE_out \ queue=pcq-upload-default add max-limit=2M name=VPN_Winbox_in packet-mark=vpn_winbox_in parent=GRE_in \ priority=5 queue=pcq-download-default add max-limit=2M name=VPN_Winbox_out packet-mark=vpn_winbox_out parent=\ GRE_out priority=5 queue=pcq-upload-default add max-limit=5M name=VPN_LM_in packet-mark=vpn_lm_in parent=GRE_in priority=\ 4 queue=pcq-download-default add max-limit=5M name=VPN_LM_out packet-mark=vpn_lm_out parent=GRE_out \ priority=4 queue=pcq-upload-default add max-limit=40M name=VPN_SMB_in packet-mark=vpn_smb_in parent=GRE_in \ priority=6 queue=pcq-download-default add max-limit=40M name=VPN_SMB_out packet-mark=vpn_smb_out parent=GRE_out \ priority=6 queue=pcq-upload-default add max-limit=35M name=VPN_Video_in packet-mark=vpn_video_in parent=GRE_in \ priority=2 queue=pcq-download-default add max-limit=30M name=VPN_Video_out packet-mark=vpn_video_out parent=GRE_out \ priority=2 queue=pcq-upload-default add max-limit=20M name=VPN_1C_in packet-mark=vpn_1c_in parent=GRE_in \ priority=3 queue=pcq-download-default add max-limit=20M name=VPN_1C_out packet-mark=vpn_1c_out parent=GRE_out \ priority=3 queue=pcq-upload-default add max-limit=10M name=VPN_ZBX_in packet-mark=vpn_zbx_in parent=GRE_in \ priority=4 queue=pcq-download-default add max-limit=10M name=VPN_ZBX_out packet-mark=vpn_zbx_out parent=GRE_out \ priority=4 queue=pcq-upload-default /routing ospf instance set [ find default=yes ] redistribute-connected=as-type-1 router-id=\ 10.255.255.3 /interface bridge port add bridge=astue interface=vlan_astue add bridge=astue hw=no interface=ether6 /ip firewall connection tracking set enabled=yes /ip neighbor discovery-settings set discover-interface-list=lan-int /interface list member add interface=sfp1-wan-megafon list=wan-int add interface=CIFRA1-wan-ether1 list=wan-int add interface=ether4-master-lan list=lan-int add interface=l2tp-croc list=corp-tun add interface=vlan-grain-guest-3 list="Guest WiFi" add interface=vlan-phk-guest-102 list="Guest WiFi" add interface=vlan-rarus-wifi list="Guest WiFi" add interface=vlan-grain-wifi-4 list="Guest WiFi" add interface=ether4-master-lan list=LAN add interface=l2tp-croc list="Tunnel interfaces" add interface=CROC-ISP2 list="Tunnel interfaces" add interface=CROC-ISP1 list="Tunnel interfaces" add interface=vlan-video list=LAN add interface=vlan_astue list=LAN add interface=vlan-callcentr-103 list=LAN add interface=KST-ISP1 list="Tunnel interfaces" add interface=KST-ISP2 list="Tunnel interfaces" add interface=RHLEB-ISP1 list="Tunnel interfaces" add interface=RHLEB-ISP2 list="Tunnel interfaces" /ip address add address=212.152.35.60/29 comment=wan-cifra1 interface=CIFRA1-wan-ether1 \ network=212.152.35.56 add address=192.168.0.1/24 interface=ether4-master-lan network=192.168.0.0 add address=10.1.4.1/24 interface=vlan-grain-wifi-4 network=10.1.4.0 add address=192.168.30.1/24 comment="swith admin" disabled=yes interface=\ ether4-master-lan network=192.168.30.0 add address=10.1.1.1/24 interface=vlan-grain-guest-3 network=10.1.1.0 add address=212.69.114.85/30 comment=wan-megafon interface=sfp1-wan-megafon \ network=212.69.114.84 add address=192.168.3.1/24 interface=vlan-callcentr-103 network=192.168.3.0 add address=192.168.0.87/24 interface=ether4-master-lan network=192.168.0.0 add address=192.168.100.1/24 interface=vlan-video network=192.168.100.0 add address=192.168.105.1/24 interface=vlan_astue network=192.168.105.0 add address=192.168.5.250/24 interface=ether4-master-lan network=192.168.5.0 add address=10.1.2.1/24 interface=vlan-phk-guest-102 network=10.1.2.0 add address=192.168.10.19/24 disabled=yes interface=vlan-video network=\ 192.168.10.0 add address=192.168.30.1 interface=ether4-master-lan network=192.168.30.1 add address=10.1.5.1/24 interface=vlan-rarus-wifi network=10.1.5.0 add address=10.255.255.3 interface=Loopback network=10.255.255.3 add address=172.18.0.6/30 interface=CROC-ISP1 network=172.18.0.4 add address=172.18.0.9/30 interface=KST-ISP1 network=172.18.0.8 add address=172.18.0.13/30 interface=KST-ISP2 network=172.18.0.12 add address=172.18.0.17/30 interface=RHLEB-ISP1 network=172.18.0.16 add address=172.18.0.21/30 interface=RHLEB-ISP2 network=172.18.0.20 add address=212.152.35.58/29 interface=CIFRA1-wan-ether1 network=\ 212.152.35.56 add address=172.18.0.90/30 interface=CROC-ISP2 network=172.18.0.88 /ip cloud set ddns-enabled=yes /ip dhcp-relay add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\ vlan-grain-guest-3 local-address=10.1.1.1 name=grain_wifi_guest_relay add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\ vlan-grain-wifi-4 local-address=10.1.4.1 name=Grain2_WiFi_relay add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\ vlan-phk-guest-102 local-address=10.1.2.1 name=PHK_guest_WiFi_relay add delay-threshold=10s dhcp-server=192.168.20.97 disabled=no interface=\ ether4-master-lan local-address=192.168.0.1 name=LAN_relay_standby add dhcp-server=192.168.0.12,192.168.20.97 disabled=no interface=\ vlan-rarus-wifi name=rarus_wifi_relay /ip dhcp-server network add address=10.1.1.0/24 dns-server=10.1.1.1 gateway=10.1.1.1 add address=10.1.2.0/24 dns-server=10.1.2.1 gateway=10.1.2.1 add address=10.1.4.0/24 dns-server=10.1.4.1 gateway=10.1.4.1 /ip dns set allow-remote-requests=yes servers=\ 8.8.8.8,8.8.4.4,192.168.20.10,192.168.0.65 /ip firewall filter add action=accept chain=input comment=\ "Forward and Input Established and Related connections" connection-state=\ established,related src-address-list="" add action=drop chain=input connection-state=invalid in-interface-list=\ wan-int add action=accept chain=forward connection-state=established,related add action=drop chain=forward connection-state=invalid in-interface-list=\ "!Tunnel interfaces" out-interface-list="!Tunnel interfaces" add action=add-src-to-address-list address-list=ddos-blacklist \ address-list-timeout=1d chain=input comment=\ "DDoS Protect - Connection Limit" connection-limit=100,32 \ in-interface-list=wan-int protocol=tcp add action=tarpit chain=input connection-limit=3,32 protocol=tcp \ src-address-list=ddos-blacklist add action=jump chain=forward comment="DDoS Protect - SYN Flood" \ connection-state=new jump-target=SYN-Protect protocol=tcp tcp-flags=syn add action=jump chain=input connection-state=new in-interface-list=wan-int \ jump-target=SYN-Protect protocol=tcp tcp-flags=syn add action=return chain=SYN-Protect connection-state=new limit=200,5:packet \ protocol=tcp tcp-flags=syn add action=drop chain=SYN-Protect connection-state=new protocol=tcp \ tcp-flags=syn add action=drop chain=input comment="Protected - Port Scanners" \ src-address-list="Port Scanners" add action=add-src-to-address-list address-list="Port Scanners" \ address-list-timeout=none-dynamic chain=input in-interface-list=wan-int \ protocol=tcp psd=21,3s,3,1 add action=drop chain=input comment="Protected - WinBox Access" \ src-address-list="Black List Winbox" add action=add-src-to-address-list address-list="Black List Winbox" \ address-list-timeout=none-dynamic chain=input connection-state=new \ dst-port=8291 in-interface-list=wan-int log=yes log-prefix="BLACK WINBOX" \ protocol=tcp src-address-list="Winbox Stage 3" add action=add-src-to-address-list address-list="Winbox Stage 3" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 2" add action=add-src-to-address-list address-list="Winbox Stage 2" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp src-address-list="Winbox Stage 1" add action=add-src-to-address-list address-list="Winbox Stage 1" \ address-list-timeout=1m chain=input connection-state=new dst-port=8291 \ in-interface-list=wan-int protocol=tcp add action=accept chain=input dst-port=8291 in-interface-list=wan-int \ protocol=tcp add action=accept chain=input comment="Access Normal ping" in-interface-list=\ wan-int limit=50/5s,2:packet protocol=icmp add action=accept chain=input in-interface-list=wan-int protocol=gre add action=accept chain=input dst-port=500 in-interface-list=wan-int \ protocol=udp add action=accept chain=input in-interface-list=wan-int protocol=ipsec-esp add action=accept chain=forward comment="Allow DST-NAT traffic" \ connection-nat-state=dstnat connection-state=new add action=drop chain=forward comment=\ "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \ connection-state=new in-interface-list=wan-int add action=accept chain=forward comment="Allow access mail servers" \ dst-address-list=lancloud add action=accept chain=forward in-interface-list="Guest WiFi" \ out-interface-list=wan-int add action=accept chain=forward in-interface-list="Trusted interfaces" \ out-interface-list="Trusted interfaces" add action=accept chain=forward src-address-list=Admin add action=accept chain=forward comment=\ "Allow only good_links for AllowINET group" dst-address-list=good_links \ dst-port=80,443 log-prefix=229_ACCEPT out-interface-list=wan-int \ protocol=tcp src-address-list=AllowINET add action=accept chain=forward comment="AllowAll Inet" dst-port=80,443 \ layer7-protocol=!social log-prefix=229_ACCEPT out-interface-list=wan-int \ protocol=tcp src-address-list=AllowALL add action=drop chain=input comment="Drop all other packets" \ in-interface-list=wan-int add action=drop chain=forward /ip firewall mangle add action=accept chain=prerouting dst-address=212.152.35.56/29 \ in-interface-list=LAN add action=accept chain=prerouting dst-address=212.69.114.84/30 \ in-interface-list=LAN add action=mark-connection chain=prerouting comment=\ "Mark incoming connection for each ISP" connection-mark=no-mark \ in-interface=CIFRA1-wan-ether1 log-prefix=cinISP1_ new-connection-mark=\ cin_ISP1 passthrough=no add action=mark-connection chain=prerouting connection-mark=no-mark \ in-interface=sfp1-wan-megafon new-connection-mark=cin_ISP2 passthrough=no add action=mark-connection chain=prerouting comment=\ "Mark outgoing connections for load balancing" connection-mark=no-mark \ connection-state="" disabled=yes dst-address-list=!Local \ dst-address-type=!local in-interface-list=LAN log-prefix=load_ \ new-connection-mark=cin_ISP1 passthrough=yes per-connection-classifier=\ src-address:2/0 add action=mark-connection chain=prerouting connection-mark=no-mark \ connection-state="" disabled=yes dst-address-list=!Local \ dst-address-type=!local in-interface-list=LAN new-connection-mark=\ cin_ISP2 passthrough=yes per-connection-classifier=src-address:2/1 add action=mark-routing chain=prerouting comment=\ "Mark connections for routing" connection-mark=cin_ISP1 \ in-interface-list=LAN log-prefix=rout_ new-routing-mark=rout_ISP1 \ passthrough=yes add action=mark-routing chain=prerouting connection-mark=cin_ISP2 \ in-interface-list=LAN new-routing-mark=rout_ISP2 passthrough=yes add action=mark-routing chain=output connection-mark=cin_ISP1 log-prefix=\ output_ new-routing-mark=rout_ISP1 passthrough=yes add action=mark-routing chain=output connection-mark=cin_ISP2 log-prefix=\ outputISP2_ new-routing-mark=rout_ISP2 passthrough=yes add action=mark-connection chain=prerouting comment=MAIL dst-address-list=\ lancloud new-connection-mark=mail passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=mail in-interface-list=\ wan-int new-packet-mark=mail_in passthrough=no add action=mark-packet chain=forward connection-mark=mail new-packet-mark=\ mail_out out-interface-list=wan-int passthrough=no add action=mark-connection chain=input comment=GRE new-connection-mark=gre_in \ passthrough=no protocol=gre add action=mark-packet chain=prerouting connection-mark=gre_in \ new-packet-mark=gre_in passthrough=no add action=mark-connection chain=output new-connection-mark=gre_out \ passthrough=no protocol=gre add action=mark-packet chain=postrouting connection-mark=gre_out \ new-packet-mark=gre_out passthrough=no add action=mark-connection chain=prerouting comment=WEB dst-port=80,443,8080 \ new-connection-mark=web passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-port=80,443,8080 \ new-connection-mark=web passthrough=no protocol=udp add action=mark-packet chain=forward connection-mark=web in-interface-list=\ wan-int log-prefix=web_in_ new-packet-mark=web_in passthrough=no add action=mark-packet chain=forward connection-mark=web log-prefix=web_out_ \ new-packet-mark=web_out out-interface-list=wan-int passthrough=no add action=mark-packet chain=forward connection-mark=web in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_web_in passthrough=no add action=mark-packet chain=forward connection-mark=web new-packet-mark=\ vpn_web_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=SIP dst-port=\ 4569,5060,5061,9060,10000-20000 new-connection-mark=sip passthrough=no \ protocol=udp add action=mark-packet chain=forward connection-mark=sip in-interface-list=\ wan-int new-packet-mark=sip_in passthrough=no add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\ sip_out out-interface-list=wan-int passthrough=no add action=mark-packet chain=forward connection-mark=sip in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_sip_in passthrough=no add action=mark-packet chain=forward connection-mark=sip new-packet-mark=\ vpn_sip_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=RDP dst-port=3389 \ new-connection-mark=rdp passthrough=no protocol=tcp add action=mark-connection chain=prerouting dst-port=3389 \ new-connection-mark=rdp passthrough=no protocol=udp add action=mark-packet chain=forward connection-mark=rdp in-interface-list=\ wan-int new-packet-mark=rdp_in passthrough=no add action=mark-packet chain=forward connection-mark=rdp new-packet-mark=\ rdp_out out-interface-list=wan-int passthrough=no add action=mark-packet chain=forward connection-mark=rdp new-packet-mark=\ vpn_rdp_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-packet chain=forward connection-mark=rdp in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_rdp_in passthrough=no add action=mark-connection chain=prerouting comment=DNS dst-port=53 \ new-connection-mark=dns passthrough=no protocol=udp add action=mark-connection chain=output dst-port=53 new-connection-mark=dns \ passthrough=no protocol=udp add action=mark-packet chain=forward connection-mark=dns in-interface-list=\ wan-int new-packet-mark=dns_in passthrough=no add action=mark-packet chain=forward connection-mark=dns new-packet-mark=\ dns_out out-interface-list=wan-int passthrough=no add action=mark-packet chain=forward connection-mark=dns in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_dns_in passthrough=no add action=mark-packet chain=forward connection-mark=dns new-packet-mark=\ vpn_dns_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=ZABBIX dst-port=\ 10050,10051 new-connection-mark=zbx passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=zbx in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_zbx_in passthrough=no add action=mark-packet chain=forward connection-mark=zbx new-packet-mark=\ vpn_zbx_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=1C dst-port=\ 1433,1540,1541,1560-1591 new-connection-mark=1c passthrough=no protocol=\ tcp add action=mark-packet chain=forward connection-mark=1c in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_1c_in passthrough=no add action=mark-packet chain=forward connection-mark=1c new-packet-mark=\ vpn_1c_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=VIDEO dst-port=3080,3081 \ new-connection-mark=video passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=video in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_video_in passthrough=no add action=mark-packet chain=forward connection-mark=video new-packet-mark=\ vpn_video_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=SMB dst-port=445 \ new-connection-mark=smb passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=smb in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_smb_in passthrough=no add action=mark-packet chain=forward connection-mark=smb new-packet-mark=\ vpn_smb_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-connection chain=prerouting comment=LiteManager dst-port=\ 5650,5651 new-connection-mark=lm passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=lm new-packet-mark=\ vpn_lm_in out-interface-list="Tunnel interfaces" passthrough=no add action=mark-packet chain=forward connection-mark=lm in-interface-list=\ "Tunnel interfaces" new-packet-mark=vpn_lm_out passthrough=no add action=mark-connection chain=prerouting comment=Winbox dst-port=8291 \ new-connection-mark=winbox passthrough=no protocol=tcp add action=mark-packet chain=forward connection-mark=winbox log-prefix=\ vpn_winbox_in_ new-packet-mark=vpn_winbox_in out-interface-list=\ "Tunnel interfaces" passthrough=no add action=mark-packet chain=forward connection-mark=winbox \ in-interface-list="Tunnel interfaces" new-packet-mark=vpn_winbox_out \ passthrough=no add action=mark-packet chain=forward comment=ALL in-interface-list=\ "Tunnel interfaces" log-prefix=vpn_all_in_ new-packet-mark=vpn_all_in \ passthrough=no add action=mark-packet chain=forward log-prefix=vpn_all_out_ new-packet-mark=\ vpn_all_out out-interface-list="Tunnel interfaces" passthrough=no add action=mark-packet chain=forward in-interface-list=wan-int \ new-packet-mark=all_in passthrough=yes add action=mark-packet chain=forward new-packet-mark=all_out \ out-interface-list=wan-int passthrough=yes /ip firewall nat add action=masquerade chain=srcnat out-interface=CIFRA1-wan-ether1 add action=masquerade chain=srcnat out-interface=sfp1-wan-megafon add action=dst-nat chain=dstnat comment="RDP Toolbox" disabled=yes dst-port=\ 5002 in-interface-list=wan-int protocol=tcp to-addresses=192.168.5.2 \ to-ports=3389 add action=dst-nat chain=dstnat comment=GES-PC disabled=yes dst-port=5002 \ in-interface-list=wan-int protocol=tcp to-addresses=192.168.0.229 \ to-ports=3389 add action=dst-nat chain=dstnat comment=ENTELS dst-port=5051 \ in-interface-list=wan-int protocol=tcp src-address=89.17.40.219 \ to-addresses=192.168.105.2 to-ports=3389 add action=dst-nat chain=dstnat comment=VOIP dst-port=5060 in-interface-list=\ wan-int protocol=udp src-address-list="DST-NAT SIP" to-addresses=\ 192.168.3.3 to-ports=5060 add action=dst-nat chain=dstnat dst-port=10000-20000 in-interface-list=\ wan-int log-prefix=voip_ protocol=udp to-addresses=192.168.3.3 to-ports=\ 10000-20000 add action=dst-nat chain=dstnat dst-port=10050 in-interface-list=wan-int \ protocol=tcp to-addresses=192.168.3.3 to-ports=10050 add action=dst-nat chain=dstnat comment="SSH Bitpbx" disabled=yes dst-port=\ 2223 in-interface-list=wan-int protocol=tcp to-addresses=192.168.3.3 \ to-ports=22 add action=dst-nat chain=dstnat comment="Astue RDP" disabled=yes dst-port=\ 5000 in-interface-list=wan-int protocol=tcp to-addresses=192.168.105.2 \ to-ports=3389 add action=dst-nat chain=dstnat comment="Lexema RDP" disabled=yes dst-port=\ 5003 in-interface-list=wan-int log-prefix=rdp_ protocol=tcp to-addresses=\ 192.168.0.72 to-ports=3389 add action=dst-nat chain=dstnat comment="Lexema RDP" disabled=yes dst-port=\ 5004 in-interface-list=wan-int log-prefix=rdp_ protocol=tcp to-addresses=\ 192.168.0.89 to-ports=3389 add action=dst-nat chain=dstnat disabled=yes dst-port=5005 in-interface=\ CIFRA1-wan-ether1 protocol=tcp to-addresses=192.168.0.70 to-ports=80 add action=dst-nat chain=dstnat disabled=yes dst-port=5006 in-interface=\ CIFRA1-wan-ether1 protocol=udp to-addresses=192.168.0.70 to-ports=5006 add action=dst-nat chain=dstnat disabled=yes dst-port=554 in-interface=\ CIFRA1-wan-ether1 protocol=tcp to-addresses=192.168.0.70 to-ports=554 add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface-list=\ wan-int protocol=tcp to-addresses=192.168.0.140 to-ports=8090 add action=netmap chain=dstnat comment="SecurOS mobile" dst-port=7777 \ in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \ to-ports=7777 add action=netmap chain=dstnat comment="SecurOS mobile" dst-port=8888 \ in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \ to-ports=8888 add action=dst-nat chain=dstnat comment="Videoserver RDP" disabled=yes \ dst-port=3389 in-interface-list=wan-int protocol=tcp to-addresses=\ 192.168.100.2 to-ports=3389 add action=netmap chain=dstnat comment="Beward Domofon" dst-port=5001 \ in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.118 \ to-ports=80 add action=netmap chain=dstnat dst-port=5000 in-interface-list=wan-int \ protocol=udp to-addresses=192.168.100.118 to-ports=5000 add action=netmap chain=dstnat dst-port=554 in-interface-list=wan-int \ log-prefix=dom_ protocol=tcp to-addresses=192.168.100.118 to-ports=554 add action=netmap chain=dstnat comment=SecurOS_Webview dst-port=8080 \ in-interface-list=wan-int protocol=tcp to-addresses=192.168.100.2 \ to-ports=8080 /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip ipsec settings set accounting=no /ip route add check-gateway=ping distance=1 gateway=212.152.35.57 pref-src=\ 212.152.35.60 routing-mark=rout_ISP1 add check-gateway=ping distance=1 gateway=212.69.114.86 pref-src=\ 212.69.114.85 routing-mark=rout_ISP2 add check-gateway=ping distance=1 gateway=8.8.8.8 add check-gateway=ping distance=2 gateway=8.8.4.4 add check-gateway=ping distance=1 dst-address=8.8.4.4/32 gateway=\ 212.69.114.86 scope=10 add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=\ 212.152.35.57 scope=10 add distance=1 dst-address=172.27.0.0/21 gateway=192.168.0.13 add distance=1 dst-address=192.168.19.0/24 gateway=172.18.0.5 add distance=1 dst-address=192.168.23.0/24 gateway=192.168.0.13 add distance=1 dst-address=192.168.233.0/24 gateway=192.168.0.13 /ip route rule add dst-address=192.168.0.0/24 table=main add src-address=212.152.35.60/32 table=rout_ISP1 add src-address=212.69.114.85/32 table=rout_ISP2 /ip service set telnet address=192.168.0.0/24,192.168.20.0/24 disabled=yes set ftp address=192.168.0.0/24 disabled=yes set www address=192.168.0.0/24,192.168.20.0/24 disabled=yes port=8081 set ssh address=192.168.0.0/24,192.168.20.0/24 set api disabled=yes set winbox address=192.168.0.0/24,192.168.20.0/24,109.73.14.29/32 set api-ssl disabled=yes /ip ssh set allow-none-crypto=yes forwarding-enabled=remote /ip tftp add read-only=no real-filename=/pxe req-filename=.* /ip traffic-flow target add dst-address=192.168.0.158 port=9996 /ip upnp interfaces add interface=ether4-master-lan type=internal add interface=CIFRA1-wan-ether1 type=external /routing filter add action=discard chain=ospf-in prefix-length=28-32 add action=discard chain=ospf-out prefix-length=30-32 add action=discard chain=ospf-in prefix=83.169.208.0/24 add action=discard chain=ospf-out prefix=212.152.35.0/24 add action=discard chain=ospf-out prefix=212.152.35.56/29 add action=discard chain=ospf-out prefix=10.1.2.0/24 add action=discard chain=ospf-out prefix=10.1.1.0/24 add action=discard chain=ospf-out prefix=10.1.4.0/24 add action=discard chain=ospf-out prefix=192.168.25.0/24 add action=discard chain=ospf-out prefix=192.168.5.0/24 add action=discard chain=ospf-in prefix=172.16.2.0/24 add action=discard chain=ospf-out prefix=192.168.23.0/24 add action=discard chain=ospf-out prefix=10.1.5.0/24 /routing ospf interface add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=CROC-ISP1 network-type=point-to-point \ use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=KST-ISP1 network-type=point-to-point \ use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=KST-ISP2 network-type=point-to-point \ use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=RHLEB-ISP1 network-type=point-to-point \ use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=RHLEB-ISP2 network-type=point-to-point add interface=vlan-video network-type=broadcast passive=yes add interface=ether4-master-lan network-type=broadcast use-bfd=yes add authentication=md5 authentication-key="" \ authentication-key-id=2 interface=CROC-ISP2 network-type=point-to-point /routing ospf network add area=backbone network=172.18.0.0/24 add area=backbone disabled=yes network=172.18.23.0/30 add area=backbone network=192.168.0.0/24 add area=backbone network=192.168.100.0/24 /snmp set enabled=yes /system clock set time-zone-name=Europe/Moscow /system identity set name=gate.grain.ccr /system logging add action=echo disabled=yes topics=ospf /system ntp client set enabled=yes primary-ntp=192.168.0.65 secondary-ntp=192.168.20.10 /system scheduler add name="remove udp conn" on-event=\ "/ip firewall connection {remove [find connection mark=sip]}" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \ start-time=startup /tool bandwidth-server set authenticate=no enabled=no /tool e-mail set address=smtp.lancloud.ru from=notify@grainholding.ru password=harddrvb \ user=notify@grainholding.ru /tool mac-server set allowed-interface-list=LAN /tool mac-server mac-winbox set allowed-interface-list=LAN /tool romon set enabled=yes /tool sniffer set filter-interface=CROC-ISP2 filter-stream=yes streaming-enabled=yes \ streaming-server=192.168.0.250 Дампы.zip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 (изменено) · Жалоба 25 минут назад, Sergius87 сказал: Провайдер утверждает, что у них нигде ничего не блочится. Врет. Мультик подрезан. Посите дампы трафла. Не могут пакеты от вас улетать и не прилетать. Где то по пути бида. Изменено 9 апреля, 2020 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 9 апреля, 2020 · Жалоба И я к тому же склоняюсь. Тем более туннель поднимали в несколько разных точек, а результат один. Также меня смущает, что даже через шифрованный туннель hello не проходит. 26 минут назад, TriKS сказал: Посите дампы трафла. Ответ провайдера Скрытый текст Добрый день. Получить дамп для клиентского трафика с маршрутизатора возможности нет, захватить можем только трафик, который предназначается конкретно "наш IP" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 · Жалоба Или вести конструктивный диалог - дескать ребята, я вот тунель поднимаю через вас - не але. Поднимаю этот же тунель через соседний провод конкурента - там але. Просьба разобратся. Но в 99% случаев если вы на домашнем тарифчике - то вас пошлют. А если пров - шарашка, то тем более, там просто некому разбираться с проблемой. Пробуйте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 9 апреля, 2020 · Жалоба @TriKS Тариф у нас далеко не домашний ))) Есть от этого же прова еще линки на других площадках. Пров, кстати, Мегафон. Канал дают через радиорелейку. А отношение саппорта такое, как будто квартиру подключили. а не несколько заводов =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2020 · Жалоба На предмет размера пакета уже смотрели в вашем GRE туннеле? L2TP хорошо работает - может его и использовать? Сейчас у вас 2 туннеля, а если будет 100 или 500? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 9 апреля, 2020 · Жалоба @Saab95 А их у нас уже порядка 30 )))) 5 площадок по 2 провайдера объединены по схеме FullMesh. И не запускается OSPF только на одной площадке на одном провайдере. 30 минут назад, Saab95 сказал: На предмет размера пакета уже смотрели в вашем GRE туннеле? Да, смотрели. Я пробовал пинговать с разными размерами пакета и всё ок. Да и другой-то трафик нормально ходит через этот туннель. Не проходят только hello-пакеты и только в одну сторону. Пинг на мультикаст адрес 224.0.0.5 проходит в обе стороны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2020 · Жалоба У нас часто бывают подобные проблемы, только на арендованных L2 каналах, когда при замене одного свича где-то по ходу следования, забывают мультикаст настроить. Но бывали и такие проблемы, когда трафик под фильтр DPI попадал случайно или специально, который и вырезал некоторые типы данных. Нужно продолжать провайдера дергать. А лучше менеджеру сразу письмо о расторжении написать. Вмиг все решат. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба 7 часов назад, TriKS сказал: Мультик подрезан. У ТС GRE же вроде. 7 часов назад, Sergius87 сказал: Получить дамп для клиентского трафика с маршрутизатора возможности нет, захватить можем только трафик, который предназначается конкретно "наш IP" Дык поставьте провайдерский ИП в туннель. Пусть снимут дамп :) А если статикой задать соседа. То работает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Garra-67 Опубликовано 9 апреля, 2020 · Жалоба Релейка мультикаст фильтерит. Я так тоже долго искал почему ни isis ни ospf не работает, хотя все пингуется. Параметр unregistered multicast на вашем влане разрешен должен быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба 8 минут назад, Garra-67 сказал: Релейка мультикаст фильтерит. Я так тоже долго искал почему ни isis ни ospf не работает, хотя все пингуется. Параметр unregistered multicast на вашем влане разрешен должен быть. Дык он же в ГРЕ завернут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Garra-67 Опубликовано 9 апреля, 2020 · Жалоба Попинать можно, возможно как то все равно видит и режет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 (изменено) · Жалоба 1 час назад, VolanD666 сказал: У ТС GRE же вроде. И что? DPI вполне может разобрать. 1 час назад, VolanD666 сказал: А если статикой задать соседа. То работает? Да что вы носитесь из темы в тему с этой статикой? Hello c порта вылетает в прова, с другой стороны - не прилетает. В этот же порт тыкают другого прова - все работает. Изменено 9 апреля, 2020 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба 4 минуты назад, TriKS сказал: Hello c порта вылетает в прова, с другой стороны - не прилетает. В этот же порт тыкают другого прова - все работает. И что дальше? Пров послал клиента самого искать причину. Теперь у клиента вариант: ругаться с провом, либо убеждать что проблема на стороне прова. Дык вот, поднятие статического соседства может быть доводом для прова, что проблема на его стороне. Вы что, провайдерам никогда не рассказывали где и что у них сломалось и что нужно сделать чтобы починить? 8 минут назад, TriKS сказал: И что? DPI вполне может разобрать. Вот это может быть причиной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 · Жалоба 1 минуту назад, VolanD666 сказал: Вы что, провайдерам никогда не рассказывали где и что у них сломалось и что нужно сделать чтобы починить? Я расказывал. У нас как бы не шарашка, где сворачивают на клиента все. Если клиент обратился с проблемой, тем более уровня "нескольких заводов" и кучи точек включения - да хоть чистый L2 ему прогоним по МПЛС. При чем можем даже через стыки с магистралами\другими провами прогнать чистейший L2 для тестов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба 3 минуты назад, TriKS сказал: Я расказывал. У нас как бы не шарашка, где сворачивают на клиента все. Я и говорю про ситуацю когда звонишь провайдеру, через который стык, он шлет т.к. не хочет/не может разбираться в своей сети. И тогда включаешь фантазию и начинаешь дебажить его сеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 10 апреля, 2020 (изменено) · Жалоба 16 часов назад, VolanD666 сказал: А если статикой задать соседа. То работает? Со статикой такая же история. В одну сторону пакеты проходят, а в обратном направлении - нет 16 часов назад, VolanD666 сказал: Дык поставьте провайдерский ИП в туннель Не совсем понял что Вы имеете ввиду :-) Изменено 10 апреля, 2020 пользователем Sergius87 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 10 апреля, 2020 · Жалоба 46 минут назад, Sergius87 сказал: Не совсем понял что Вы имеете ввиду :-) Попробуйте в desctination туннеля поставить ИП провайдера и пусть они послушают что там приходит. Ну если вы говорите что они могут слушать только то, что приходит на их ИП (вероятно этот ИП-ваш шлюз на той стороне?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 10 апреля, 2020 · Жалоба 2 минуты назад, VolanD666 сказал: Попробуйте в desctination туннеля поставить ИП провайдера и пусть они послушают что там приходит. Ну если вы говорите что они могут слушать только то, что приходит на их ИП (вероятно этот ИП-ваш шлюз на той стороне?) Я видимо неправильно выразился ))) Пров нам дает /30 сеть, где наш белый ИП и провайдерский шлюз. Пров утверждает, что не может дать дамп со СВОЕГО маршрутизатора, а может только дамп трафика, который идет на наш белый ИП =) Судя по всему они где-то посередине его хотят вылавливать )))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 10 апреля, 2020 · Жалоба Ну дык вы взяли этот трафик? Сравнили со своими дампами? Еще вы говорите про вайршаркл. На микроте есть своф сниффер. А с другого конца вы как снимаете трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergius87 Опубликовано 10 апреля, 2020 (изменено) · Жалоба @VolanD666 Я и снимаю весь трафик через микротовский сниффер со стримом на свою тачку, где запущен вайершарк ))) На другом конце туннеля так же стоит микротик. И так же через сниффер снимаю дамп. Ну а в сниффере уже чередую туннельный/провайдерский интерфейс и смотрю что куда бегает =) Пров уже второй день меня динамит с дамп трафика со своего оборудования. А мне оч хочется посмотреть чего к ним прилетает. Сегодня буду через руководителя давить на манагеров провайдера Изменено 10 апреля, 2020 пользователем Sergius87 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 10 апреля, 2020 · Жалоба 1 минуту назад, Sergius87 сказал: @VolanD666 Я и снимаю весь трафик через микротовский сниффер со стримом на свою тачку, где запущен вайершарк ))) На другом конце туннеля так же стоит микротик. И так же через сниффер снимаю дамп. Ну а в сниффере уже чередую туннельный/провайдерский интерфейс и смотрю что куда бегает =) Понял вас. Ну тогда тут только тыкать носом провайдера и говорить что: "У меня уходит, а у вас где в дампе?!!" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 10 апреля, 2020 · Жалоба @Sergius87 практика показывает, когда не получается договорится, лучше начинать бюрократическую переписку, будет медленно, но вопрос решится. У меня примерно такие же проблемы были, пытался договорится, все решилось, через письма. Попробуйте nbma и жестко пропишите neighbors Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...