:foreach i in=[/ip firewall connection find dst-address~":5060" protocol~"udp"] do={:if ([/ip firewall connection get $i timeout] < 00:58:00) do={ /ip firewall connection remove $i;:log info ("drop_hover_sip_conn: " . [:tostr [/ip firewall connection get $i dst-address]])}}

а можно же через интерфес лисьт

лист

Коллеги, приветствую всех. Вопрос к знающим.  Есть два филиала в разных городах.  Условно 192.168.0./24 и 192.168.1./24. Сеичас работает так.  В каждом из филиалов есть свой роутер.  Настроена маршрутизация, поднят IPSec-тунель. Есть задача обеспечить отказоустойчивость этого VPN, чтобы простой после отвала канала как со стороны филиала А, так и со стороны филиала Б  был бы минимальным,  Планируется купить еще по 1 инэт каналу  для каждого из филиалов. Можно ли на микротиках реализовать следующую схему?

Физика: (LAN1)-|роутер|=(2 канала от разных провайдеров и с той и с другой стороны)=|роутер|-(LAN2)

Логика: (LAN1)-|роутер|---IPSEC---|роутер|-(LAN2)

Адреса от Провайдеров белые ?

Абсолютно белые

Тогда GRE туннель с настройкой ipSec и адресацией типа x.x.x.x/30

Второй GRE туннель также с ipSec и адресацией типа y.y.y.y/30

Ну и OSPF на всё это дело

Да, хороший варинат, спасибо

Если есть вопросы, звони

:)

Вообще я заказчику настраивал по такой схеме через двух Провайдеров четыре GRE туннеля

Ну, на самом деле, на оборудовании будет сильно больше IPSec, но именно отказоустойчивый нужен один

У меня сеичас легендарный DLINK стоит dfl-260e стоит на эдже

Вот его менять хочу )

Тогда надо роутер с аппаратной поддержкой ipSec

Разумеется, с аппаратной.