TLOUDEV: super, dekuji moc.

LEXXA: IMHO by v podstate mohly byt stejne, jelikoz jsou to ruzne tabulky, ale ciste kvuli prehlednosti pridavam ke konexim "_conn" suffix

TLOUDEV: uz jsem doma. dekuji. jen posledni otazka. conn mark a packet mark musi byt odlisne? vsude v navodech nachazim ze znacka paketu je stejna (mozna proto me to zmatlo)

..a to packet pravidlo - si vsimni - ma podminku connection-mark=.... cili omarkujes pouze packety nalezici tomu spojeni. tyto packetmarks jsou pak zakladem pro HTB (resp. queue tree)

LEXXA: ehm...
presne naopak. passthrough urcuje, zda paket bude pokracovat do dalsich pravidel, cili o connmark das passthrough yes a u packetmark das passthrough no, abys eliminoval zbyla mangle pravidla.

0 chain=prerouting action=mark-connection new-connection-mark=vpn_conn passthrough=yes protocol=tcp src-address=X.X.X.X in-interface=QOS-BRIDGE src-port=7000 in-bridge-port=EXT

1 chain=prerouting action=mark-packet new-packet-mark=forvpn passthrough=no in-interface=QOS-BRIDGE connection-mark=vpn_conn in-bridge-port=EXT

TLOUDEV: takze udelam pravidlo 1 kde definuji spojeni a markuji bez passthrough. pak pravidlo 2 kde markuji pakety ktery maji danou connection mark s passthrough?

(shodou okolnosti jsem to same resil asi pred mesicem, takze jsem to celkem musel nastudovat)

LEXXA: hele uplne jesem nepochopil, kde se ukryva ta otazka - spis mi to prijde jako konstatovani. ohledne tutorialu si vsimni, ze oznaci nejprve spojeni s parametrem passthrough, a pote samotne pakety nalezici spojeni. v zasade je oznaceni spojeni kvuli oznaceni paketu. (connmark vs packetmark). do front jdou pakety - nikoli spojeni. je na tom neco nejasneho? klidne se ptej ;-)

mam takovou otazku.
uplne nerozumim frontam a "nejak jsem to nastavil"
ve firewall mangle jsem oznacoval pakety podle nejakych kriterii a pak jsem udelal queue tree. slapalo to snad nejak a snad dobre (mam definovane priority a nedefinoval jsem rychlost)
vcera je popadl amok a misto oznacovani paketu jsem ty same pravidla preklikal aby oznacovaly spojeni.
problem je v tom ze uz nevim jak presvedcit frontu aby zasahla protoze tam se ocekava oznaceny paket.
snazil jsem se googlit ale vsechny tutorialy tak nejak oznacuji pakety a to je vse.

za radu budu vdecny

AHARAZ: Dík za kopanec.

Jasně, že to celou dobu funguje, bohajeho já sem takovej kretén.
Mám tady vedle sebe hozenej jen ten MT k němu starý wla jako klienta pro připojení wifiny z mobilu a nějakej DSL modem kde sem píchlej do lan portu a využívám ho jen jako AP, na který se připojuju s bookem když chci nastavovat MK. Je pravda že tam na lan de nastavit jen IP a maska, nikoliv brána, to mě v tu chvíli vůbec nedocvaklo.

PISTA1:
Ja pouzivam na pobocky OVPN a SSTP pro cestujici Windows, protože mi vyslo pred lety jako nejmene problematicke. A tahle se chova spatne nastaveni firewallu a nebo routovani.

Jeste by mohl byt problem v tom ze APcko .200 nevi kde je brana... Coz tedy APcko v bridge modu vedet nemusi k tomu, aby plnilo svoji funkci, ale pak nebude odpovídat na ping do jiné site... Ale perdpokladam zes zkousel ping i na něco jiného za Mikrotikem.
A tedy mit maskaradu jinam, nez do internetu nemá smysl, protoze se pak schova cela sit při routovani "uvnitr".

TLOUDEV: Povolený ICMP pro wan mám na svým RB kvuli tomu abych si moh pingnout z netu, tady postrádá smysl. Ty vrchní pravidla sem překopíroval z netu abych vůbec rozjel tunel. Tohle bylo u toho ale nemá to na nic vliv takže to mám vyplý.

AHARAZ: 1,2 To sem zkoušel a nemá to na to vliv.

Sem to teď zkoušel smazat a nastavit to celý znova, samodřejmě že nic.

Já jen doprd... fakt nechápu z jakýho důvodu to jednostraně nefunguje, když sou na obou MT absolutně stejný nastavaní a pravidla.

PISTA1:
1. maskaradu si dej jen na iface do internetu. protoze jinak ti to skreje tu vnitrni sit za mikrotik i pro vpnku - teda pokud to na obrazku byl skutecne ping z nejakho pc a ne primo z mikrotiku
2. pravidlo pro forward si udelej i z druhe strany tj z 192.168.10/24 na 192.168.20.1

PISTA1: v tech pravidlech nevidim zadne input pravidlo pro sit 2. input accept icmp mas jen pro 1 wan. ale je fakt, ze nevim, jaka je default input policy. navrch tam mas na inputu globalni pravidlo jump-target ppp, ale chain ppp nevidim.

sem to vzal ze zoufalství do práce, jestli to náhodou nedělá připojení přes sdílenou wifi z mobilu a co myslíte, nedělá :(

to bude string

LEXXA: Treba to nebude fungovat. Nezkousel jsem to. Zadat ano, ale co to prideli a jak to nevim.

KUTNY: nechapu jakto ze me to nenapadlo.

LEXXA:
ip dhcp-server option set 6 code=6 value="'1.2.3.4,5.6.7.8'"

KUTNY: zkousel jsem '1.2.3.4','4.3.2.1' a '1.2.3.4';'4.3.2.1' v kazdem pripade to mikrotik vyhodnocuje jako data type missmatch.