Zdravím,
dokáže mi někdo pomoc jak vytvořit pro IPsec v Mikrotiku graf? Hledal jsem i na internetu, ale neúspěšně. V mikrotiku mam vytvořené značkovaní paketů, ale pokud vložím dané značky do QUEUES SIMPLE tak se údaje nepřenesou do grafu.
/ip firewall mangle
add action=mark-packet chain=prerouting comment=IPsec disabled=no dst-address=192.168.1.0/24 new-packet-mark=ipsec-in passthrough=no src-address=192.168.2.0/24
add action=mark-packet chain=postrouting disabled=no dst-address=192.168.2.0/24new-packet-mark=ipsec-out passthrough=no src-address=192.168.1.0/24
/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=192.168.2.0/24 interface=all limit-at=0/0 max-limit=0/0 name=queue1 packet-marks=ipsec-in parent=none priority=8 queue=\
default-small/default-small target-addresses=192.168.1.0/24 total-queue=default-small
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Mikrotik Graf IPsec
zip píše:Zdravím,
dokáže mi někdo pomoc jak vytvořit pro IPsec v Mikrotiku graf? Hledal jsem i na internetu, ale neúspěšně. V mikrotiku mam vytvořené značkovaní paketů, ale pokud vložím dané značky do QUEUES SIMPLE tak se údaje nepřenesou do grafu.
/ip firewall mangle
add action=mark-packet chain=prerouting comment=IPsec disabled=no dst-address=192.168.1.0/24 new-packet-mark=ipsec-in passthrough=no src-address=192.168.2.0/24
add action=mark-packet chain=postrouting disabled=no dst-address=192.168.2.0/24new-packet-mark=ipsec-out passthrough=no src-address=192.168.1.0/24
/queue simple
add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s direction=both disabled=no dst-address=192.168.2.0/24 interface=all limit-at=0/0 max-limit=0/0 name=queue1 packet-marks=ipsec-in parent=none priority=8 queue=\
default-small/default-small target-addresses=192.168.1.0/24 total-queue=default-small
nahod si na linux smokeping a mas po probleme
0 x
Odhaduji, že se vůbec neaplikují ty markovací pravidla v mangle. Rostou jim čítače?
Pokud je kombinace pre/postrouting a src/dst-address taková, že se má pravidlo uplatnit na WAN straně routeru, tak nefunguje, protože v mangle post/prerouting prochází paket obalený IPsec záhlavím a není vnitřní adresy vidět.
Takže buď přesunout markování, ať se děje na LAN straně routeru, což při takto postavených pravidlech by mělo stačit prohodit src/dst-address u obou pravidlech nebo markovat na WAN straně dle IPsec záhlaví, takže IP adresy těch IPsec bran plus ESP protokol.
Pokud je kombinace pre/postrouting a src/dst-address taková, že se má pravidlo uplatnit na WAN straně routeru, tak nefunguje, protože v mangle post/prerouting prochází paket obalený IPsec záhlavím a není vnitřní adresy vidět.
Takže buď přesunout markování, ať se děje na LAN straně routeru, což při takto postavených pravidlech by mělo stačit prohodit src/dst-address u obou pravidlech nebo markovat na WAN straně dle IPsec záhlaví, takže IP adresy těch IPsec bran plus ESP protokol.
0 x