kovalr: Если и микротик и сервер включены в один коммутатор, то все адреса на микротике должны быть с маской /29. и на сервере тоже должен быть адрес с /29.
Маска указывает, что эти адреса в одной сети и к ним есть прямой доступ, а не "принимать все в рамка маски".
В правилах srcnat указывайте исходящий интерфейс(ван). В правилах dstnat - входящий (тоже ван).
В настройках ван-интерфейса не включайте proxy-arp.
запускаете mtr, и собираете статистику в мир, и из мира до сервера. Внимательно сморите или выкладываете сюда.
Роутер находится не в вашей зоне ответственности? То есть вашего - просто сервер и свич?
ILoveYAnny: Это общепринятая практика при работе с аргументами: двойной минус означает, что дальше ключей не будет, а все аргументы следует считать входными данными "как есть" (именами файлов в большинстве случаев).
Alexander: Действительно, в случае Циски это mac src=dst=собственный цискин.
Это у D-Link и еще некоторых вендоров мультикастовый дест.
Эти фреймы никак не обрабатываются.
Вообще по стандарту свич не возвращает пакет обратно, но есть исключение: https://www.juniper.net/documentation/en_US/junos1...
Возможно, у вашего провайдера что-то подобное включено, или сбоит оборудование.
Сухроб Хусамов: Не, я о другом. Вы собираетесь запускать некий непонятный сервис (по симлинку, каждый раз разный, непонятно откуда берущийся и слушающий публичный порт) ОТ РУТА с полным доступом к системе. Проломают ваш сервис - получают всю систему, а вы и не узнаете, пока абузы не начнут приходить.
Если же вы уверены в безопасности этого сервиса (то есть он не на коленке написан за ящик пива) то такой проблемы нет.
А вообще да, если у вас под рутом по паролю можно заходить на сервер, то он определенно проходной двор.
Сухроб Хусамов: я нигде не предлагал дать возможность залогиниться под рутом, не надо тут.
выдать привилегию - это дать возможность ИСКЛЮЧИТЕЛЬНО биндиться на сервисный порт без рута, просто от пользователя, и ничего более.
А вот запустить левый сервис от рута, который слушает сетевой порт и имеет возможность получать соединения извне, уверенности в безопасности которого нет - явно проходной двор.
Сухроб Хусамов: На симлинк в принципе нельзя дать capability.
Только на целевой бинарник. (скрипт тоже не подойдет, только ELF)
> usage: setcap [-q] [-v] (-r|-|) [ ... (-r|-|) ]
> Note must be a regular (non-symlink) file.
Дмитрий Шицков: Вот именно, зачем вы сюда советуете RIP/BGP/OSPF?
Здесь абсолютно та же ситуация.
Провайдерский роутер - R1, клиентские - R1.*
R1.* послал запрос, R1 выдал ему адрес и префикс + поднял роут в его сторону, R1.* навесил адрес на аплинк, выданный префикс на лан. Все. Лиза закончилась - R1 убрал роут.
У меня работает именно так, правда раздает ответы и поднимает роуты не ISC DHCP, а некротик.
Дмитрий Шицков:
>маршрут до префикса при его выделении и его же удаление, когда аренда истекла
Это как раз забота DHCP-сервера а не протоколов динамической маршрутизации, никакой провайдер в здравом уме не согласится поднимать динамику с клиентами на условиях, которые требуются для DHCP PD. Да и не нужна она тут никаким боком.
Я вообще не нашел упоминаний, что ISC DHCP самостоятельно умеет прописывать маршруты, те же PFsense дописывали собственный скрипт, мониторящий файлы с лизами и добавляющий нужные роуты.
