Перейти до

PPPoE не проходит через VLAN


Рекомендованные сообщения

Здравствуйте уважаемые господа специалисты! 


 

Подскажите пожалуйста, есть схема (также прикрепил картинку): Провайдер - Dlink 3200-28 - Сервер FreeBSD

 

Провайдер выдает подключение по РРРоЕ, напрямую без коммутатора все работает, через коммутатор нет. В коммутаторе 2 порта объединены в отдельный нетегированный VLAN. Подключение забираю с помощью MPD5. Подскажите что еще настроить чтобы пропустило РРРоЕ? 

post-42918-0-65484000-1497602651_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах

 

Здравствуйте уважаемые господа специалисты! 

 
Подскажите пожалуйста, есть схема (также прикрепил картинку): Провайдер - Dlink 3200-28 - Сервер FreeBSD
 
Провайдер выдает подключение по РРРоЕ, напрямую без коммутатора все работает, через коммутатор нет. В коммутаторе 2 порта объединены в отдельный нетегированный VLAN. Подключение забираю с помощью MPD5. Подскажите что еще настроить чтобы пропустило РРРоЕ? 

 

pppoe circuit_id_insertion выключен?

Ссылка на сообщение
Поделиться на других сайтах

Ну а в mpd на какой интерфейсе забираете?

На em0

 

Прикрепляю конфиги и лог

 

# cat /usr/local/etc/mpd5/mpd.conf
startup:
        set user user user
        set console self 127.0.0.1 5005
        set console open
        set web self 0.0.0.0 5006
        set web open


default:
#       load pppoe_server
        load pppoe_client


pppoe_server:
        create bundle template B
        set ipcp ranges 1.1.1.1/32 127.0.0.2/32
        set ipcp dns 1.1.1.1
        set ccp yes mppc
        set mppc yes e40
        set mppc yes e56
        set mppc yes e128
        set mppc yes stateless
        set ecp disable dese-bis dese-old


        create link template common pppoe
        set link enable multilink
        set link action bundle B
        set link disable chap pap eap
        set link enable pap
        load radius
        set pppoe service "*"


        create link template em1 common
        set link max-children 1000
        set pppoe iface em1
        set link enable incoming
radius:
        set radius server localhost hardpass5 1812 1813
        set radius retries 3
        set radius timeout 3
        set radius me 127.0.0.1
        set auth acct-update 45
        set auth enable radius-auth
        set auth enable radius-acct
        set radius enable message-authentic


pppoe_client:
        create bundle static B1
        set iface route default
        set iface enable tcpmssfix
        set ipcp ranges 0.0.0.0/0 0.0.0.0/0
        set ipcp enable req-pri-dns
        set ipcp enable req-sec-dns
        create link static L1 pppoe
        set link action bundle B1
        set auth authname nas
        set auth password 7324897
        set link max-redial 0
        set link mtu 1480
        set link keep-alive 10 60
        set pppoe iface em0
        set pppoe service ""
        open
# ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether 00:d4:48:cd:12:96
        inet 0.0.0.0 netmask 0xff000000 broadcast 255.255.255.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
        ether 00:30:48:d9:76:37
        inet 172.16.20.1 netmask 0xffffff00 broadcast 172.16.20.255
        inet 172.16.21.1 netmask 0xffffff00 broadcast 172.16.21.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet 127.0.0.1 netmask 0xff000000
        inet 1.1.1.1 netmask 0xffffffff
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        groups: lo
ng0: flags=8890<POINTOPOINT,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1500
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
/var/log/mpd.log
Jun 16 13:45:50 shurovo mpd: caught fatal signal TERM
Jun 16 13:45:50 shurovo mpd: [B1] IFACE: Close event
Jun 16 13:45:50 shurovo mpd: [B1] IPCP: Close event
Jun 16 13:45:52 shurovo mpd: [B1] Bundle: Shutdown
Jun 16 13:45:52 shurovo mpd: [L1] Link: Shutdown
Jun 16 13:45:52 shurovo mpd: process 21382 terminated
Jun 16 13:45:52 shurovo mpd: Multi-link PPP daemon for FreeBSD
Jun 16 13:45:52 shurovo mpd:
Jun 16 13:45:52 shurovo mpd: process 29852 started, version 5.8 (root@110amd64-quarterly-job-01 08:16 29-Apr-2017)
Jun 16 13:45:52 shurovo mpd: CONSOLE: listening on 127.0.0.1 5005
Jun 16 13:45:52 shurovo mpd: web: listening on 0.0.0.0 5006
Jun 16 13:45:52 shurovo mpd: [B1] Bundle: Interface ng0 created
Jun 16 13:45:52 shurovo mpd: [L1] Link: OPEN event
Jun 16 13:45:52 shurovo mpd: [L1] LCP: Open event
Jun 16 13:45:52 shurovo mpd: [L1] LCP: state change Initial --> Starting
Jun 16 13:45:52 shurovo mpd: [L1] LCP: LayerStart
Jun 16 13:45:52 shurovo mpd: [L1] PPPoE: Connecting to ''
Jun 16 13:46:01 shurovo mpd: [L1] PPPoE connection timeout after 9 seconds
Jun 16 13:46:01 shurovo mpd: [L1] Link: DOWN event
Jun 16 13:46:01 shurovo mpd: [L1] LCP: Down event
Jun 16 13:46:01 shurovo mpd: [L1] Link: reconnection attempt 1 in 2 seconds
Jun 16 13:46:03 shurovo mpd: [L1] Link: reconnection attempt 1
Jun 16 13:46:03 shurovo mpd: [L1] PPPoE: Connecting to ''
Ссылка на сообщение
Поделиться на других сайтах

 

 

Здравствуйте уважаемые господа специалисты! 

 
Подскажите пожалуйста, есть схема (также прикрепил картинку): Провайдер - Dlink 3200-28 - Сервер FreeBSD
 
Провайдер выдает подключение по РРРоЕ, напрямую без коммутатора все работает, через коммутатор нет. В коммутаторе 2 порта объединены в отдельный нетегированный VLAN. Подключение забираю с помощью MPD5. Подскажите что еще настроить чтобы пропустило РРРоЕ? 

 

pppoe circuit_id_insertion выключен?

 

выключен

Ссылка на сообщение
Поделиться на других сайтах

Ученик, снова вы со своими школьными попытками сделать провайдера :facepalm:

И снова вы ни о чем говорите. Есть что-то дельное подскажите, а нет просьба не засорять тему. 

Ссылка на сообщение
Поделиться на других сайтах

Вопрос. А зачем принимать канал от прова на свич? Что мешает убрать свич и принимать сервером? При необходимости можно свич поставить после сервера.

Ссылка на сообщение
Поделиться на других сайтах

Вопрос. А зачем принимать канал от прова на свич? Что мешает убрать свич и принимать сервером? При необходимости можно свич поставить после сервера.

Видимо бюджета на вторую сетевуху в сервак не хватает :)

Ссылка на сообщение
Поделиться на других сайтах

В длинке где-то настройки кривые.

Traffic segmentation включен(выключить), storm control включен в жестком режиме(выключить), влан между портами криво прописан.

Ссылка на сообщение
Поделиться на других сайтах

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ
 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

Ссылка на сообщение
Поделиться на других сайтах

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ

 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

 

Как ты представляешь себе запрет ставить свич? Тем более для PPPoE.
Ссылка на сообщение
Поделиться на других сайтах

Вопрос. А зачем принимать канал от прова на свич? Что мешает убрать свич и принимать сервером? При необходимости можно свич поставить после сервера.

В принципе, логично принимать аплинки на коммутатор... Возможно необходимо будет принимать отдельные сервисы/другие_вкусняшки в отдельном VLAN. Поэтому аплинки - в коммутатор, и уже по своей сети прогоняем их в точку назначения.

Ссылка на сообщение
Поделиться на других сайтах

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ
 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

А действительно, уточните у провайдера... Поделитесь с провайдером топологией и информацией "не работает"... Может действительно, что-то с их стороны.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

 

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ
 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

А действительно, уточните у провайдера... Поделитесь с провайдером топологией и информацией "не работает"... Может действительно, что-то с их стороны.

 

3 раза уже задавал этот вопрос, аплинк серьезный, не думаю что у них проблема. 

Відредаговано Ученик
Ссылка на сообщение
Поделиться на других сайтах

 

 

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ
 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

А действительно, уточните у провайдера... Поделитесь с провайдером топологией и информацией "не работает"... Может действительно, что-то с их стороны.

 

3 раза уже задавал этот вопрос, аплинк серьезный, не думаю что у них проблема. 

 

Это подтверждает мое мнение.

Серьезные аплинки по пппое инет не наливают. Разве что серьезный аплинк и домашний интернет для колхоза.

Ссылка на сообщение
Поделиться на других сайтах
И снова вы ни о чем говорите. Есть что-то дельное подскажите, а нет просьба не засорять тему. 

Подскажу. Если, как вы выразились

 

 

аплинк серьезный

взять у него чистый Л2. Но ведь серьезность аплинка заканчивается тарифом 100Мбит за 100-150 грн?  :D

 

 

Это подтверждает мое мнение.

Именно. Чел просит, чтоб мы его научили купить инету за 100 грн, а продать его за тыщу. Ну тоесть другими словами - уважаемые провайдеры, научите вас наипать)))) Вы его темы поглядите на этом форуме. Сразу все вопросы отпадут :D

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах

 

 

Похоже никто не прочитал это:

 

 

Провайдер выдает подключение по РРРоЕ
 

Провайдер выдает (наливает инет) по РРРоЕ.

Похоже провайдер немного "перестраховался" от таких абонентов. :)

А действительно, уточните у провайдера... Поделитесь с провайдером топологией и информацией "не работает"... Может действительно, что-то с их стороны.

 

3 раза уже задавал этот вопрос, аплинк серьезный, не думаю что у них проблема. 

 

Аплинк серъезный? По ПППоЕ? Гы!!! Почем? и дайте два...

Ссылка на сообщение
Поделиться на других сайтах

 

Легко и непринужденно :)

Слушаю внимательно.

 

Тебе это не надо, если надо пиши в личку, а колхозники пусть своим умом постигают.

Відредаговано sanyadnepr
Ссылка на сообщение
Поделиться на других сайтах

 

 

Легко и непринужденно :)

Слушаю внимательно.

 

Тебе это не надо, если надо пиши в личку, а колхозники пусть своим умом постигают.

 

Ясно, главное красивый понт.
Ссылка на сообщение
Поделиться на других сайтах

 

 

 

Легко и непринужденно :)

Слушаю внимательно.

 

Тебе это не надо, если надо пиши в личку, а колхозники пусть своим умом постигают.

 

Ясно, главное красивый понт.

 

Красивый понт - дороже денег. ;)

Но к этому топику и моим постам в нем, не относится.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від ibrokeit
      Вітаю!
      Зіштовхнулися з проблемою із вланами на ZTE C300 (2.1.0) GTGHK.
      Загалом все працює нормально, але в окремих вланах просто перестає бігати трафіг, на ону відстутні мак-адреси, хоча статус порта full-1000.
      Якщо із таким же конфігом перевести ону в інший влан — все починає працювати (до певного часу). Виглядає так, що спрацьовує якесь блокування по номеру влану на рівні spanning-tree або детектора кілець (перше відключено, інше, якщо відключати — ситуацію не міняє).
      Чи може хтось підказати в якому напрямі копати рішення проблеми?
      Дякую
    • Від Georgianairlink
      нужен OID, чтобы увидеть это с помощью snmp
      interface TGigaEthernet0/1 description test switchport trunk vlan-allowed 352,362,365,509,514-515,518,528,565-566,590 switchport trunk vlan-allowed add 720-723,1543-1546,2021,2201,2208,2378,2441 switchport trunk vlan-untagged 1 switchport mode trunk  
    • Від Alain_MG
      Всем привет, Я работаю над проектом GPON с оборудованием OLT GP2508. Я пришел к этапу «АВТОРИЗАЦИЯ» на уровне сервера Freeradius. Мой сабик и вопрос в том, что я хочу создать профиль 512M например на сервере Freeradius, и еще я не хочу ограничение пропускной способности не на уровне сервера PPPoE а скорее на OLT, как сделать чтобы профиль создавался на OLT будет на уровне RADIUS? СПАСИБО
    • Від subhan
      У нас есть сервер Ubilling. к которому соединены 5 брасов. Каждый Nas работает по отдельному влану. В вланах браса в определенное время мы видим пустой трафик который поднимается. Например в норме если 200мб то 500мб. В влане котором видится пустое поднятие трафика, также и поднимается трафик во всех портах свитча. Это исправляется на время только при ребуте определенного Nas. Проблема раньше была только в одном Nas-э, щас и на других Nas-ах тоже данная проблема. Это проблема только наблюдается во вланах которые подключены в Ubilling.

      Можете пожалуйста, помочь в данной проблеме.
    • Від apels1n
      Доброго времени суток, есть два микрота CCR1036 в качестве брасов. На первом ~800 абонов, на втором ~1000. Оба микрота имеют шейпер на simple queue и нат. С обоими микротами есть проблема, а именно при пппое скорость загрузки 950+ мегабит, а скорость отдачи еле достигает 350 мегабит. Если мерять минуя пппое и шейпер, воткнувшись в микрот напрямую и получув адрес по дхцп, то скорость стабильно 970 мегабит в обе стороны. Пробовал поменять pps для шейпера, поставил вместо 50 pps 500 и скорость отдачи начала доходить до 400 мегабит. У микротов аплинки 10г по оптике, средний трафик с микрота в районе 1.5 - 2 Гбита. Упора в процессор нет, средняя нагрузка в пределах 15-30%. Подскажите в чём может быть дело?
       
      Конфиг
      /interface bridge add admin-mac=08:55:31:B4:51:F8 auto-mac=no name=bridge1 add disabled=yes name=loopback /interface ethernet set [ find default-name=ether2 ] comment=Test_routers /interface vlan add interface=sfp-sfpplus2 name=vlan36 vlan-id=36 add interface=sfp-sfpplus2 name=vlan101 vlan-id=101 add interface=sfp-sfpplus2 name=vlan102 vlan-id=102 add interface=sfp-sfpplus2 name=vlan103 vlan-id=103 add interface=sfp-sfpplus2 name=vlan104 vlan-id=104 add interface=sfp-sfpplus2 name=vlan105 vlan-id=105 add interface=sfp-sfpplus2 name=vlan106 vlan-id=106 add interface=sfp-sfpplus2 name=vlan107 vlan-id=107 add interface=sfp-sfpplus2 name=vlan108 vlan-id=108 add interface=sfp-sfpplus2 name=vlan109 vlan-id=109 add interface=sfp-sfpplus2 name="vlan1426" vlan-id=1426 add interface=sfp-sfpplus2 name=vlan1543 vlan-id=1543 /interface list add name=management /ip pool add name=pool1 ranges=192.168.100.10-192.168.100.20 /ip dhcp-server add address-pool=pool1 interface=ether7 name=dhcp-88 /port set 0 name=serial0 set 1 name=serial1 /ppp profile add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=198.18.0.1 name=\ PPPtP add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=XX.XX.XX.100 \ name=PPPoE use-compression=no use-encryption=no /queue type set 0 pfifo-limit=500 /routing bgp template set default as=4XXX9 disabled=no input.filter=bgp-in nexthop-choice=\ force-self output.filter-chain=bgp-out .redistribute=connected router-id=\ XX.XX.XX.100 routing-table=main /interface bridge port add bridge=bridge1 interface=ether8 pvid=101 /ip neighbor discovery-settings set discover-interface-list=management /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes forward=no max-neighbor-entries=8192 /interface list member add interface=ether8 list=management /interface pppoe-server server add default-profile=PPPoE disabled=no interface=vlan101 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan102 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan103 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan104 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan105 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan106 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan107 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan108 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan109 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan36 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 service-name=vlan36 add default-profile=PPPoE disabled=no interface=ether2 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 /interface pptp-server server set default-profile=PPPtP /ip address add address=XX.XX.XX.100/25 comment="UP IP (NAT no_money)" interface=\ sfp-sfpplus2 network=XX.XX.XX.0 add address=XX.XX.XX.59 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.59 add address=XX.XX.XX.60 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.60 add address=XX.XX.XX.61 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.61 add address=XX.XX.XX.62 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.62 add address=XX.XX.XX.63 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.63 add address=XX.XX.XX.64 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.64 add address=XX.XX.XX.65 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.65 add address=XX.XX.XX.66 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.66 add address=XX.XX.XX.67 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.67 add address=XX.XX.XX.68 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.68 add address=XX.XX.XX.69 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.69 add address=XX.XX.XX.70 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.70 add address=XX.XX.XX.71 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.71 add address=XX.XX.XX.72 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.72 add address=XX.XX.XX.73 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.73 add address=XX.XX.XX.74 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.74 add address=198.18.0.100 comment="For OSPF" disabled=yes interface=loopback \ network=198.18.0.100 add address=192.168.100.1/24 comment=test interface=ether7 network=\ 192.168.100.0 add address=XX.XX.XX.59/29 interface="vlan1426 " network=\ XX.XX.XX.56 add address=10.5.4.2/30 comment="local-management(DONT_TOUCH)" interface=\ ether8 network=10.5.4.0 add address=XX.XX.XX.4/29 interface=vlan1543 network=\ XX.XX.XX.0 /ip dhcp-server network add address=192.168.100.0/24 dns-server=XX.XX.XX.1 gateway=192.168.100.1 netmask=24 /ip dns set servers=XX.XX.XX.1 ip firewall address-list add address=XX.XX.XX.0/24 disabled=yes list=bgp-networks add address=city24.ua comment=city24.ua list=allow_negative add address=privat24.ua comment=privat24.ua list=allow_negative add address=next.privat24.ua comment=next.privat24.ua list=allow_negative /ip firewall nat add action=same chain=srcnat comment="Corp100 -> XX.XX.XX.100" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.100.0/24 to-addresses=XX.XX.XX.100 add action=same chain=srcnat comment="192.168.240.0/24 -> XX.XX.XX.59" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.240.0/24 to-addresses=XX.XX.XX.59 add action=same chain=srcnat comment="192.168.241.0/24 -> XX.XX.XX.60" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.241.0/24 to-addresses=XX.XX.XX.60 add action=same chain=srcnat comment="192.168.242.0/24 -> XX.XX.XX.61" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.242.0/24 to-addresses=XX.XX.XX.61 add action=same chain=srcnat comment="192.168.243.0/24 -> XX.XX.XX.62" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.243.0/24 to-addresses=XX.XX.XX.62 add action=same chain=srcnat comment="192.168.244.0/24 -> XX.XX.XX.63" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.244.0/24 to-addresses=XX.XX.XX.63 add action=same chain=srcnat comment="192.168.245.0/24 -> XX.XX.XX.64" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.245.0/24 to-addresses=XX.XX.XX.64 add action=same chain=srcnat comment="192.168.246.0/24 -> XX.XX.XX.65" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.246.0/24 to-addresses=XX.XX.XX.65 add action=same chain=srcnat comment="192.168.247.0/24 -> XX.XX.XX.66" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.247.0/24 to-addresses=XX.XX.XX.66 add action=same chain=srcnat comment="192.168.248.0/24 -> XX.XX.XX.67" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.248.0/24 to-addresses=XX.XX.XX.67 add action=same chain=srcnat comment="192.168.249.0/24 -> XX.XX.XX.68" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.249.0/24 to-addresses=XX.XX.XX.68 add action=same chain=srcnat comment="192.168.250.0/24 -> XX.XX.XX.69" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.250.0/24 to-addresses=XX.XX.XX.69 add action=same chain=srcnat comment="192.168.251.0/24 -> XX.XX.XX.70" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.251.0/24 to-addresses=XX.XX.XX.70 add action=same chain=srcnat comment="192.168.252.0/24 -> XX.XX.XX.71" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.252.0/24 to-addresses=XX.XX.XX.71 add action=same chain=srcnat comment="192.168.253.0/24 -> XX.XX.XX.72" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.253.0/24 to-addresses=XX.XX.XX.72 add action=same chain=srcnat comment="192.168.254.0/24 -> XX.XX.XX.73" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.254.0/24 to-addresses=XX.XX.XX.73 add action=same chain=srcnat comment="192.168.255.0/24 -> XX.XX.XX.74" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.255.0/24 to-addresses=XX.XX.XX.74 add action=same chain=dstnat disabled=yes dst-address-list=pub_dns \ same-not-by-dst=no to-addresses=XX.XX.XX.1 add action=same chain=srcnat comment="negative 192.168 -> XX.XX.XX.100" \ dst-address-list=allow_negative out-interface=sfp-sfpplus2 \ same-not-by-dst=yes src-address-list=negative to-addresses=XX.XX.XX.100 add action=dst-nat chain=dstnat comment="Negative redirect to Billing" \ dst-port=80,443 log-prefix=Negtive protocol=tcp src-address-list=negative \ to-addresses=XX.XX.XX.236 to-ports=2096 add action=masquerade chain=srcnat dst-address-list=fix-blocked-sites \ out-interface-list=bypass src-address-list=!negative to-addresses=\ 78.154.181.59 /ip firewall raw add action=drop chain=prerouting comment=Block-RU disabled=yes \ dst-address-list=block add action=drop chain=prerouting comment="Full block TCP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=tcp \ src-address-list=negative add action=drop chain=prerouting comment="Full block UDP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=udp \ src-address-list=negative add action=drop chain=prerouting comment=Block-WInBox-not-from-management \ dst-port=8291 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SSH-not-from-management \ dst-port=7722 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SNMP-not-from-zabbix dst-port=\ 161 protocol=udp src-address=!XX.XX.XX.236 /ip route add disabled=no dst-address=0.0.0.0/0 gateway=XX.XX.XX.1 /ppp aaa set interim-update=5m use-radius=yes /radius add address=XX.XX.XX.236 comment=Billing service=ppp /radius incoming set accept=yes port=XXXX /routing bgp connection add as=4XXX9 disabled=no input.filter=ospf-in listen=yes local.address=\ XX.XX.XX.100 .role=ibgp name=border nexthop-choice=force-self \ output.filter-chain=ospf-out .redistribute=connected remote.address=\ XX.XX.XX.1/25 .as=4XXX9 router-id=XX.XX.XX.100 routing-table=main \ templates=default add cisco-vpls-nlri-len-fmt=auto-bits connect=yes listen=yes local.role=ibgp \ name=mikrot101 nexthop-choice=force-self remote.address=XX.XX.XX.101 \ .as=4XXX9 .port=179 templates=default /routing filter rule add chain=ibgp-in disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" add chain=ibgp-out disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" /system logging set 0 topics=info,!ppp,!pppoe set 1 topics=error,!ppp /system ntp client set enabled=yes /system ntp client servers add address=0.ua.pool.ntp.org add address=1.ua.pool.ntp.org add address=2.ua.pool.ntp.org add address=3.ua.pool.ntp.org /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=management /tool mac-server mac-winbox set allowed-interface-list=management /tool mac-server ping set enabled=no  
×
×
  • Створити нове...