Какой способ обхода Fasttrack + IPsec нежелателен на Некротике: использовать маркировку Mangle или добавить 2 правила Filter перед Fasttrack?

1. На Некротике использование маркировки Mangle нежелательно, так как она может привести к обходу Fasttrack и ухудшению производительности сети. Рекомендуется добавить 2 правила Filter перед Fasttrack.

2. Для настройки подключения по протоколу IPSec между маршрутизатором RB5009 и точкой доступа HAP ax3, рекомендуется использовать правила (rules) для установления безопасного туннеля между устройствами. Необходимо учитывать возможность наличия двух различных интернет-провайдеров и настроить маршрутизацию для обеспечения корректной работы туннеля.

3. Для обеспечения безопасности сети можно использовать метки (tags) для классификации трафика и применения политик безопасности к определенным пакетам данных. Также можно использовать функции Mangle, Filter и Tarpit для дополнительной защиты сети.

4. Для обеспечения безопасности сети и настройки правил Firewall можно использовать следующий фрагмент кода настройки FireWall:

```
/ip firewall filter
add chain=input protocol=tcp dst-port=500 action=accept comment="Allow IPSec traffic"
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IPSec traffic"
add chain=input action=drop comment="Drop all other incoming traffic"
```

Этот фрагмент кода позволит разрешить только трафик по протоколу IPSec (порт 500) и отклонить все остальные входящие пакеты.

Правильный вариант это добавить правила для ipsec выше правила fasttrack. 
 
 
add action=accept chain=forward comment="IPsec before fasstrack" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPsec before fasstrack" ipsec-policy=out,ipsec