@Jaizer нас качество устраивает, а вот цена завышена (теперь понятно почему). А что там с местным законодательством? А каких провайдеров Вы пробовали, которые приземляли трафик в Белорусии?
@iCmac
указывайте обращение, как в моих сообщениях, иначе не видно Вашего сообщения в трекере.
На Вашей схеме R1 и R2 не должно быть, они входят в подмножество Интернет.
Вам надо определить с типом vpn, который Вы хотите использовать.
На М1 поднимаете серверную часть, на М3 - клиентскую.
Далее между М1 и М3 настраиваете роутинг.
Собственно на этом все.
PC4 так же подключается к М1 по vpn и попадает в сеть. Тип vpn для отдельных сотрудников можно выбрать другой.
@etosparta Вам выше привели, что надо набрать в консоли. Если все правильно сделаете, то будет работать. Так же для более правильной работы можно дополнить тем, что я написал выше. если не работает, то приведи что у Вас уже есть в фаерволле.
/ip filter firewall print
@ruskella
это правило действительно не для "всего" и не для "поля". это правило действительно для всех пакетов, подходящих под описанные условия. и одним из условий является, что правило НЕ предназначено для пакета, у которого адрес назначения лижет в сети 192.168.0.0/16
в первом сообщении Вы говорите о shh, а щас вы написал про web. Так куда вы стучитесь на микротик и куда на "сервер"?
@ruskella
ну зачем так, я же написал "днс пакет из локальной сети имеет адрес отправителя из подсети указанной в правилах, поэтому пакет маркируется.", что бы этого не было и трафик не уходил, куда ему не надо.
восклицательный знак - как и везде - отрицание
на микротик на ssh не пустит естественно, если порт уже занят dst-nat'ом. выберите другой.
@ruskella т.е. когда Вы отключаете два правила указанных выше:
0 chain=prerouting action=mark-routing new-routing-mark=233 passthrough=no src-address=192.168.4.0/24
1 chain=prerouting action=mark-routing new-routing-mark=231 passthrough=no src-address=192.168.1.0/24
начинает работать днс?
ну вроде логика прослеживается. днс пакет из локальной сети имеет адрес отправителя из подсети указанной в правилах, поэтому пакет маркируется.
для начала подправьте правила на:
0 chain=prerouting action=mark-routing new-routing-mark=233 passthrough=no src-address=192.168.4.0/24 dst-address=!192.168.0.0/16
1 chain=prerouting action=mark-routing new-routing-mark=231 passthrough=no src-address=192.168.1.0/24 dst-address=!192.168.0.0/16
@ruskella
ну если вы промаркировали соединение и пока оно открыто, оно будет ходить по этому правилу (экономите ресурсы, но не весь трафик подходит под это правило). а при маркировке пакетов, каждый пакет будет маркироваться заново и даже при открытом соединение(медленнее, но каждый пакет). другой вопрос, что не все протоколы открывают соединения. поэтому зависит от того, что вам нужно.
в качестве днс на компах прописан провайдер или микротик? микротик в интернет сам нормально ходит?
доступ из внешки - это то, о чем я писал в предыдущем своем сообщении.
@nimbo под пустым каналом я имел ввиду нерабочее время. когда, к примеру, если у Вас канал на 10Мбит/с забит не 8Мбит/с, а до 1Мбит/с.
т.е. при 1700ппс и 8 мбит/с пинг у Вас упал с 42мс до 7мс, правильно ли я понял? а можно уточнить, провайдер какую полосу отдает?
и еще, у Вас точка-точка соединение было или точка-много_точек? У меня ситуация то странная - один клиент(младшая модель) с нормальными пингами, второй клиент(более старшая модель) с высокими.
@nimbo цпу снизилось на 10% со 100% или с 30%? это наверно разные показатели. 7 мс и 42 мс это пинги были при пустом канале или при загруженном?
Сейчас тестирую как и у Вас на aes-128-cbc-sha1, второй день и разницы нет. На днях попробую вообще убрать шифрование.
@nimbo AES-256-CBC/SHA1 используется. Попробую понизить и убрать компрессию. Загрузка процессора не поднимается выше 25%, это разве не показатель того, что процессор справляется с трафиком?
@karabanov не подскажите куда еще заглянуть?)