Александр Романов

Вбивание IPSec-секрета при настройке GRE-туннеля как раз даёт GRE over IPsec. Считаю это более правильным подходом, ибо нефиг провайдеру знать, какие туннели мы строим (хотя, да кому мы нужны )). При таком подходе летает чистый ESP. При любой из описанных Вами конфигураций, сети будут видеть друг друга при правильно настроенной маршрутизации. Считаю IPsec с интерфейсом гораздо более удобным и понятным, чем IPsec в туннельном режиме.

Как вариант, вижу создание ещё одного дерева с другой скоростью для других пакетных марок. А в мангле продублировать правила с изменёнными пакетными марками, поставить их выше существующих (по адрес-листу, например) и в правиле указать время действия. Нажал абонент кнопку -- добавили его в адрес-лист -- и к нему начинает применяться другая пакетная марка, соответственно он попадёт уже в другую, более быструю очередь.
На 100% истину не претендую, но ИМХО должно сработать.

А ещё обратите внимание на то, что дерево очередей можно перенести в Simple queues со всей древовидной структурой. Для многоядерных ЦПУ это будет гораздо выгоднее, т.к. в Queue tree родительская очередь залипает на одно ядро.

PCQ рулит. Есть даже русский мануал на эту тему: https://wiki.mikrotik.com/wiki/%D0%A0%D1%83%D0%BA%...

Достаточно, по сути одного правила.

/ip firewall filter add chain=forward in-interface=vlanX out-interface=vlanY connection-state=new,invalid action=drop

И объясните, зачем Вам маскарад? Две сети на одном роутере прекрасно будут работать без него, если Вы ещё чего-нть там не накостыляли.
С точки зрения Микротика, вланы -- обычные интерфейсы. Они ничем не отличаются от любых других интерфейсов, и маршрутизация происходит так же. Соответственно, в фаерволе разрграничения вводятся абсолютно в полном соответствии с логикой происходящего.

На mk2 переделайте дст-нат, указав не ин-интерфейс, а дст-адрес=1.1.1.1. Этого должно быть достаточно

А ещё есть замечательная утилита Torch, которой можете посмотреть, что за трафик на порту. И да, закрыайте ДНСы

Я бы на Вашем месте не делал это всё только на 226, а докупил, например, hEX. На 226 просто разрулил вланы по портам, а на роутере уже настраивал бы маршрутизацию и дхцп сервера. Посмотрите в сторону этого решения, новый hEX r3 недорогой и весьма хорош по производительности. 226, всё-таки, свитч со всеми вытекающими

Измените Ваш маршрут по умолчанию. Пропишите в качестве гейтвея не интерфейс, а ip-адрес шлюза вашего провайдера.
Вообще это нормальное поведение. Если мешают нули - используйте фильтрацию в винбоксе - очень удобно:

Здравствуйте! Онлайн-видео курса Вы не найдёте:
1. Это противоречит политике компании
2. Это не даст Вам тех знаний, которые получите, посетив очный курс

Я провожу обучение первому курсу MTCNA по разным городам России и приемлимым ценникам. Буду рад видеть Вас в числе своих студентов. Мой сайт с расписанием и ценами. Все вопросы задавайте на e-mail.

Здравствуйте! Ваш фаервол достаточно полон, но немного не оптимален. Обратите внимание, fasttrack у Вас относится к etsablished и related подключениям (что абсолютно верно), а в input для этого два правила. Их можно свести в одно. Под правилом fasttrack техподдержка микротик рекомендует добавить точно такое же правило с действием accept для тех пакетов, которые идут по slowpath. Invalid'ы дропаем, тут всё верно. А дальше Вы немного нагромоздили. Если микротик не запрещает что-то в фаерволе – значит, трафик разрешён. Поэтому разрешение lan-wan – лишнее. Чтобы защититься от попадания в Вашу локалку можно использовать параметр connection-nat-state. Если у Вас более одного wan-интерфейса – сделайте interface-list и добавьте их туда, если один – это не обязательно. А правило такое:

/ip firewall filter
add chain=forward in-interface-list=WANs connection-nat-state=!dst action=drop

Этим правилом Вы защищаетесь от попыток маршрутизации в Вашу локалку. При этом, если Вы пробрасываете порты с помощью dst-nat, проброс произойдёт. Интерфейс-лист можно заменить на in-interface=<имя одного wan>.
А Ваши jump'ы – это избыточное, хотя не неправильное решение.

Если у Вас провайдер отдаёт пул, то зачем использовать 5 интерфейсов с одним адресом, если можно использовать один интерфейс с пятью адресами? А дальше уже src-nat делайте такого вида: сорс - серая подсеть какого-либо влана, аут-интерфейс - wan, действие - src-nat в нужный вам адрес на wan'e.

Фаервола, который есть в конфигурации по умолчанию, достаточно, чтобы защитить Вас от атак снаружи, при условии что ether1 - это WAN-интерфейс. Если это не WAN - тогда поменяйте интерфейс в drop-правилах на необходимый. А так - отключайте неиспользуемые службы. Я для себя всегда оставляю только winbox и ssh, всё остальное нафиг (ну ладно, иногда нужен ftp). Цепочка для фильтрации входящего (направленного непосредственно к микротику) трафика - это input. А вообще - учите мат.часть, сходите, отучитесь на MTCNA, получите хорошее представление о принципах работы фаервола.

Поставьте на микротик пакет wireless-rep и поднимите на нём репитер. Вот вам и расширение зоны покрытия