Иван Моисеев: Выложите полностью весь конфиг файервола, не жадничайте. Затрите ip-адреса сверхсекретные. А фасттрэк - есть экшн такой чудесный. Свежая вича от МТ.
Никита Сизов: Файервол работает, сравнивая пакеты со всеми правилами по порядку. Правила бывают not passthrough и passthrough. Совпав с первыми, пакет не проходит дальнейшую цепочку, совпав со вторыми - продолжает движение по правилам. Стандартные цепочки (инпут, аутпут и форвард) проверяются всегда. Цепочку с другим именем мы можем использовать, выделив пакет и применив к нему action=jump, указав в качестве jump target имя кастомной цепочки. Внутри этой цепочки сохраняется всё тот же принцип: правила выполняются сверху вниз. Достигнув конца цепочки и не подпав ни под одно not passthrough правило, пакет выплёвывается обратно в основной файервол. Данная последовательность при первом коннекте добавляет ип-адрес, с которого произведена попытка входа на 22й порт в адрес-лист ssh_stage1 с таймаутом 1 мин и выплёвывает пакет на разрешающее input правило. Если в течение этой минуты происходит ещё одна попытка входа с того же ип-адреса, от попадает в лист ssh_stage2 на 1 мин, также вылетая на разрешение, затем ssh_stage3 также на 1 мин с разрешением. Если после этого производится очередная попытка входа, то ип попадает в список ssh_blacklist на 10 дней. Всем адресам из этого списка запрещено подключаться по SSH протоколу (верхнее правило drop). Нижнее forward правило на тот случай, если у вас настроен dst-nat внутрь сетки, и порт мапится на 22. В таком случае это правило блокирует доступ ко внутренним ssh-хостам для ип-адресов из списка ssh_blacklist
Max Cohen: В таком случае разберитесь сначала с ADSL-модемом. Попробуйте подключиться с компа. При создании PPPoE клиента убедитесь, что выставили правильный интерфейс. Попробуйте использовать утилиту PPPoE scan. Разберитесь сначала с этим.
Первая с параметрами вашей точки, вторая запрещает коннект ко всему остальному. Важно: порядок имеет значение! Поэтому запись с вашей точкой разместите выше запрещающей
Иван Пантелеев: default-authentication=no актуально только на мастерточке. Но в таком случае обязательна запись в access-list, чтобы ваша точка-клиент смогла подключиться. На клиентской точке эта настройка не сыграет роли. Nv2 - хорошо. Кстати, у него собственная аутентификация, он не использует профили безопасности. Если на точке-клиенте жёстко выставите частоту - учтите, что если мастерточка переедет на другой канал - клиентская её больше не найдет (см коммент к предыдущему ответу). Если Вы указываете SSID в connect-list, то для того, чтобы точка подключилась, сделайте это поле неактивным в настройках интерфейса. А в коннект-лист добавьте записи следующего вида:
В условии задачи - 3 WAN по PPPoE. В конфигурации, которую Вы привели, всего 2 WAN и ни одного намёка на PPPoE подключения. Для начала создайте их, после чего настраивайте.
На скриншоте ошибка в том, что нужно сначала перейти в /ip firewall nat перед добавлением правила. Используйте TAB и ? в консоли, очень помогает. И разделы в ней очень схожи с винбоксом.
LAA: Специально сейчас решил проверить. Настроил ДСТ-нат на веб-морду НАСа внутри сети, и в файерволе закрыл порт на инпут самым первым правилом. Морда открылась без каких-либо проблем. Заменил chain на forward - правило заработало. Так что я тоже знаю, о чём говорю. Если в ДСТ-нат указан ип-адрес не роутера, пакет попадает в forward.
А АртёмЪ вам написал не про ширину канала 5 МГц, а про 5ГГц Wifi. Это немного разные вещи. В частоте 5 ГГц эфир чистый и скорости, если препятствия между клиентом и точкой несущественные, впечатляют, особенно в стандарте 802.11ac
Qubc: 5МГц уменьшает ширину канала и пропускную способность, но канал становится более устойчивым к помехам. И да, ваши пользовательские Wi-Fi девайсы не будут с этой частотой работать. Только между микротиками
