ELPASO: a mas to nekde v chlazene serverovne? nebo nekde pohozene?
tady to bude kdovikde (mozna na pude, kde muze byt v lete peklo..)

VLASTIS: edgemax router lite, cena 2k. ja osobne na tom pouzivam 2 ISP, ale routovani skrz SOURCE BASED POLICY ROUTING, ale jde tam nastavit i testovani dostupnosti viz https://community.ubnt.com/...eMAX-Configuration-Examples/EdgeMAX-Automatic-WAN-Failover/ta-p/420301

psal jsem to do LAN/WAN auditka - bezi mi na tom jeden zakaznik - 15 VLAN, 50 FW pravidel, 2x NAT dohromady cca 10 pravidel, routuje to i kamerovej system a uptime 14 mesicu :) za 2k CZK imho docela fpohode

Ahoj,
potreboval bych poradit box na nasledujici:
pripojeni pres 2 ISP (10/10 a zaloha 2/2 mbit ) a poteboval bych automatizovane testovan funkcnost obou a v pripade delsiho vypadku (napriklad 2 minuty ?) prepnout routing pres druheho ISP.
Takze ciste jen router s podminenym routingem

Muzete mi poradit vhodny box?

Diky

cus, potrebuju nejakou miniaturni antenu pro prijem jak 2.4 tak 5GHz, existuje neco? rad bych to pripojil na http://www.i4wifi.cz/...-klienti/RBGroove-52HPn-outdoor-klient-2-4-5-GHz-802-11n-TDMA-1x-LAN-L3.html a umistil na otaceni mechanismus na strese auta - proto prave shanim antenu pro obe pasma - mam ale dojem, ze kazde pasmo ma totalne jinou charakteristiku a ze asi univerzalni antena je sci-fi. ale presto, nevite nekdo o necem? velikost je - diky umisteni - celkem dulezity faktor.

WOJTISHEK: pokud se snazis pripojit ke sve domaci VPN na stejnem portu (1194/udp) a jsi na stejnem segmentu s firemnim VPN serverem, pak to vypada, ze tvou snahu o spojeni mikrotik taktez NATuje (a posle request na firemni VP server namisto ven do netu na tvuj domaci VPN server).
Tedy to vypada, ze NAT mas definovany na *vsech* interfacech a nemas jej specifikovany pouze na vnejsim interface pro verejnou IP. tedy zkus toto pravidlo predelat tak, aby NATovalo: 1/ pouze a jen pakety, ktere prijdou na vnejsi interface 2/ pouze a jen pro pakety, ktere prijdou na IP xx.xx.xx.xx (verejna IP pro "firemni" VPN)

AHARAZ:
Howto Save Mikrotik Logs to Remote SYSLOG Server | Syed Jahanzaib Personnel Blog to Share Knowledge !
http://aacable.wordpress.com/2011/11/29/howto-save-mikrotik-logs-to-remote-syslog-server/

tak chcel som len toto :)
a dakujem za vsetku pomoc :)

REASON: Ne, jen neni uplne jasne co vsechno potrebujes. Puvodne jsi psal i "cas". Je cas zacatek kouminkace, nebo je to delka spojeni? V tom je dost rozdil na jedno staci log na druhe potrebujes netflow. Je take otazka co je komunikace - packet, nove spojeni, nove spojeni a k nemu vsechny related?
Ja jsem asi uz dost zatizeny vic komplexnim resenim a tak mam problem v podobnem zadani videt neco jednoducheho...

Kazdopadne predpokladam ze reseni pro tebe je:

Pokud Ti staci zacatek, tak muzes udelat pravidlo FW odpovidajici smeru a treba tomu ze je to nove spojeni jako akci pak bude mit log a dostanes napr.:
Jul 1 00:10:43 Jul 1 00:10:43 192.168.1.2 192.168.1.2 user notice firewall,info FIREWALL-forward forward: in:ether3 out:ether1, src-mac 0a:0b:0c:0d:0e:0f, proto TCP (RST), 192.168.1.1:38095->74.x.x.x:80, len 40

Pak musis nastavit jeste system logging na spravnou akci pro firewall a pak v logging action nastavit stroj se syslogem co to ma chytat....


Pro srovnani z netflow dostanes, neco jako:

Flow Record:
Flags = 0x00000000
size = 52
mark = 0
srcaddr = 36.249.80.226
dstaddr = 92.98.219.116
First = 1125377992 [2005-08-30 06:59:52]
Last = 1125377992 [2005-08-30 06:59:52]
msec_first = 338
msec_last = 338
dir = 0
tcp_flags = 0
prot = 17
tos = 0
input = 5
output = 3
srcas = 1299
dstas = 0
srcport = 3040
dstport = 1434
dPkts = 1
dOctets = 404

tako je mozne ze pri dd-wrt zapnem log a posiela mi to krasne ip, port smer lan -> wan a mk toto nedokaze??

HTD: Má množinu možností kam netflow z MK posílat, tam je otázka do čeho to bude integrovat, nebo jestli to jen archivuje.

Kažodpaně by bylo stejně potřeba vedět k čemu to má sloužit.
Třeba zjistí že potřebuje mít i MAC adresu zdroje a tam s MK narazí, pokud se něco nezměnilo.

AHARAZ: Pomoci netflow a pak to tahat do ntop serveru

REASON: Neni to spis resitelne pomoci netflow ? Protoze tohle vsechno imho neulogujes pomoci logovacich pravidel FW na externi server (treba ukonceni spojeni imho nedas, ale strilim od boku). Ale treba o necem nevim.

YAPLIK:
ahoj

logovat komunikaciu smerom von zo siete stym ze remote server by bol nejaky kiwi deamon na odchyt logu. IP ,port, cas napr/

jiný port je asi jednodušší řešení *self_facepalm*
Díky moc

nebo jinej port....
asi by sel i njakej firewall rule " paklize to nejde z tydle adresy, tak to natuj na.."

WOJTISHEK: mam dojem ze openvpn umi i tcp. nekde na to prejdi

prosím o radu:

máme v práci Mikrotik 750 s WebFig 5.19. Skrze IP - Firewall - NAT jsem nastavil dstnat chain pravidlo na udp (17) protocol 1194 dst. port (OpenVPN) s akcí dst-nat na adresu vpn serveru a na port 1194 proto, aby byli kolegové schopní se připojit zvenčí k datům. Ale od té chvíle se mi přestalo dařit připojit z firmy na domácí VPNku (řešenou vlastně úplně stejně, akorát bez mikrotiku doma).

Při pokusu o připojení se v connections zobrazí src. address jako moje vnitřní IP, dst. address jako vnější IP domácí (doposud správná cesta), ale další údaje jsou nesprávné (asi) - Reply src. address je vnitřní IP firemního vpn serveru a Reply dst. address je vnitřní IP Mikrotiku.

podotýkám, že na Mikrotiku je nastaven VPN server pro přístup k nastavení routeru skrze VPN, ale nemohu najít to místo, kde bych tohle přesměrování mohl vypnout.

zároveň jsem dohledal, že je 1194 zapnut i ve filter rules jako input chain - 6 (tcp) na vnitřní interface s akcí accept a v interfaces je nastaven OVPN server.

nějaké tipy a rady pls jak to rozběhat? zatím jsem s Mikrotikem moc zkušeností neměl a nerad bych to tady celé rozesral...

zdar
potreboval by som pomoct nastavit mk aby posielal logi o ip aktvite (lan-wan) ale zial netusim ako na to
dakujem

Dotaz. Zvlada Mikrotik standardni IPsec tunely napr. oproti Ciscu, Fortigate Zyxellu atd? Diky za info

Hm, udělala se zima, vychladla střecha nad dílnou kde je na půdičce RB a internet se jakž takž rozběhnul. CCQ 40 - 55% Takže tím je to jasný.