Tags

arm arpaname autoinstall bin_sh blocage blosxom bsd bsdfrance cblog certification chroot cluster cos dg834 dhcp diffusion dns dnsmasq dom0 domU dovecot fail-over fail2ban fibre firefox fossil freebsd ftp git guruplug install ipsec ipv6 jail kernel kimsufi lex libre linutop liste makefile mikrotik ml150 mohawk mprdmqja nanojail netbook netbsd nginx npppd ntp ntp.org openbsd openntpd openrd opensmtpd openwrt optique orke pkgng poudriere privee proxy pxe python rc.conf rescue reverse rmll routage route rrdcgi sendmail serial sieve sjail sl2009 ssd sshd symon unbound update usb var_empty vimperator vpn world xen yacc zfs

Powered by

blOg
maRkdown
awK
shEll

16/06/2017

[ mprdmqja ]

201706161915 mprdmqja

Rappel des règles

ipv4 - le dhcp (ou pas)

Mon fournisseur d'adsl proposant une ip fixe, je peux aisément me passer de client dhcp et passer en adressage fixe:

/ip adress add address=82.XXX.159.102/24 disabled=no interface=p4_free

Pour faire passer du trafic par cette interface, il me faut une route:

/ip route add distance=10 dst-address=0.0.0.0/0 gateway=82.XXX.159.254 routing-mark=to_free

Avec distance=10, je m'assure que cette route "coûtera plus cher" que celle de la fibre optique (qui vaut 0). Avec routing-mark, je vais pouvoir manipuler les paquets passant par cette interface.

ipv4 - firewall

Juste pour info, la règle de nat:

/ip firewall nat add action=masquerade chain=srcnat out-interface=p4_free

ipv4 - le ssh

Pour faire passer mon trafic ssh à destination de l'extérieur au travers de ma connexion adsl, il me suffit d'une règle mangle:

/ip firewall mangle add action=mark-routing chain=prerouting dst-address=!172.16.0.0/12 dst-port=22 new-routing-mark=to_free protocol=tcp src-address=172.16.200.0/24

ipv6

Rien de particulier, j'ai recyclé un ancien billet. Mon utilisation de l'ipv6 se contente largement du débit anémique de mon adsl. L'ipv6 de l'agrume nécessite quelques options que le mikrotik ne fournit pas encore. Parfois, la meilleur façon de solutionner un problème est de supprimer le problème.

La suite

Reste à configurer le vnp ipsec


Lien vers ce billet