Версия для печати темы
forum.0day.community _ Системное администрирование _ Mikrotik
Автор: mussy Oct 7 2018, 23:12
Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.
Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?
Автор: Console Oct 8 2018, 6:47
Ну тут скорей вопрос уровня паранои..и какая задача стоит Если просто соеденить два удаленых офиса может и хватит EOIP, но там условно есть ограниечение на количество машин.
Если вам нужно не просто соеденить два офиса, а действительно обеспечить еще и защиту логичней наверное IPSec VPN в том же микротике. Или отдельное специализированое оборудывание.
Автор: Vitaliy_y Oct 8 2018, 7:04
eoip, l2tp без шифрования не несут никакой защиты.
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит, если нужно гонять ethernet over ip тогда l2tp обернутый ipsec, на нормальных железках качается 100-200 мегабит, если нужны простые туннели можно через ikev2, но там с маршрутизацией поиграться надо.
дальше ospf или bgp, анонсишь сети и сидишь в масле
У меня филиалы бегают через l2tp/ipsec, roads через ikev2
Автор: mussy Oct 8 2018, 11:23
пробовал включать IPsec в свойствах EOIP туннеля, TTL вырастает в два раза =(
Автор: mussy Oct 8 2018, 11:35
(Vitaliy_y @ Oct 8 2018, 8:04)
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит
Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)
Автор: tiss Oct 9 2018, 19:25
(mussy @ Oct 8 2018, 11:35)
Сейчас пробую между CHR и 2011. Но планирую между CHR`ами и RB760 (Hex S)
Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.
Автор: Tiger Oct 17 2018, 12:46
(tiss @ Oct 9 2018, 20:25)
Посмотри hap ac2 - говорят там около 150 Мбит можно выжать.
300-400+ стабильно в 5ке.
Дома стоит такой.
Автор: Smog Oct 17 2018, 14:20
hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.
Автор: post_val Oct 17 2018, 22:23
(Smog @ Oct 17 2018, 15:20)
hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.
Сколько клиентов? Как по мне, для филиалов маловато. Для дома - очень хорош.
Автор: tiss Oct 18 2018, 6:57
(Tiger @ Oct 17 2018, 12:46)
300-400+ стабильно в 5ке.
Вот честно не понял комментария - в какой пятерке?
(post_val @ Oct 17 2018, 22:23)
Сколько клиентов?
А при чем тут клиенты? Я в одиночку загоняю в 40к+ пакетов в секунду на внешнем порту. Все ж от задачи будет зависеть
Автор: x1shn1k Oct 18 2018, 10:20
(tiss @ Oct 18 2018, 7:57)
Вот честно не понял комментария - в какой пятерке?
Частота 5GHz
Автор: Tiger Oct 18 2018, 11:49
(tiss @ Oct 18 2018, 7:57)
Вот честно не понял комментария - в какой пятерке?
Частота 5GHz
Автор: mussy Oct 19 2018, 15:38
Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
NAT
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none
1 chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24
dst-address=192.168.1.110 dst-port=3389 log=no log-prefix=""
2 chain=srcnat action=masquerade protocol=udp src-address=192.168.1.0/24
dst-address=192.168.1.110 dst-port=3389 log=no log-prefix=""
3 ;;; RDP - Server2 - WAN->LAN
chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=tcp in-interface=WAN1 dst-port=3389 log=yes log-prefix=""
4 chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=udp in-interface=WAN1 dst-port=3389 log=yes log-prefix=""
5 ;;; RDP - Server2 - LAN->WAN
chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=tcp src-address=192.168.1.0/24 dst-address=*тут внешний адрес*
dst-port=3389 log=no log-prefix=""
6 chain=dstnat action=netmap to-addresses=192.168.1.110 to-ports=3389
protocol=udp src-address=192.168.1.0/24 dst-address=*тут внешний адрес*
dst-port=3389 log=no log-prefix=""
Firewall
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 ;;; accept established,related,untracked
chain=input action=accept connection-state=established,related,untracked
log=no log-prefix=""
2 ;;; drop invalid
chain=input action=drop connection-state=invalid log=no log-prefix=""
3 ;;; ICMP
chain=input action=drop protocol=icmp in-interface=WAN1 log=no
log-prefix=""
4 X ;;; defconf: drop all not coming from LAN
chain=input action=drop in-interface-list=!LAN log=no log-prefix=""
5 ;;; accept in ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=in,ipsec
6 ;;; accept out ipsec policy
chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec
7 ;;; fasttrack
chain=forward action=fasttrack-connection
connection-state=established,related log=no log-prefix=""
8 ;;; accept established,related, untracked
chain=forward action=accept
connection-state=established,related,untracked log=no log-prefix=""
9 ;;; drop invalid
chain=forward action=drop connection-state=invalid log=yes log-prefix=""
10 ;;; drop all from WAN not DSTNATed
chain=forward action=drop connection-state=new
connection-nat-state=!dstnat in-interface-list=WAN log=yes log-prefix=""
11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix=""
12 chain=input action=accept protocol=udp in-interface=WAN1 dst-port=161
log=no log-prefix=""
13 X ;;; PORTS
chain=forward action=accept protocol=tcp in-interface=WAN1
dst-port=443,7002 log=yes log-prefix=""
14 chain=input action=drop protocol=tcp in-interface=WAN1 dst-port=53 log=no
log-prefix=""
15 chain=input action=drop protocol=udp in-interface=WAN1 dst-port=53 log=no
log-prefix=""
UPnP включен
Автор: tiss Oct 20 2018, 7:54
(mussy @ Oct 19 2018, 15:38)
Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
UPnP включен
1. На дефолтном конфиге иФОБС работает без проблем
2. UPnP - это ему не нужно
3. Мне не нравится твое 13 правило
4. иФОБС веб версия или win32 приложение?
Автор: mussy Oct 20 2018, 11:44
tiss
Это я пробовал принудительно написать разрешение на forward этих протоколов. Правило не активно
Автор: YaAllex Oct 21 2018, 13:23
Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.
ПС. Небольшие замечания
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
1. Что бы UPnP заработал нужно не только включить, но и настроить(указать внешние/внутренние интерфейсы).
2. У вас включен FastTrack(с ним могут быть неожиданности) -> из документации
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
When FastTrack is enabled, the traffic will bypass queues, firewall and other RouterOS features. When using FastTrack make sure that it is configured properly and does not interfere with other configuration.
Это отличная опция, но почитать "как оно работает" все же стоит.
3. Настройка Nat:
а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?
б)
Проброс портов осуществляется обычно до маскарадинга.
Автор: tiss Oct 21 2018, 16:56
(YaAllex @ Oct 21 2018, 13:23)
а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?
Не верно. Первое правило отработает если пакет идет в ван-интерфейс.
(YaAllex @ Oct 21 2018, 13:23)
Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.
Я обычно делаю три правила - акцепт в цепочках ин, аут и форвард и ставлю их первыми. Если в таком варианте пакет не улетает в мир... А вот потом уже отключаю запретки.
Автор: mussy Oct 21 2018, 17:55
2 YaAllex
Да, интерфейсы указывал для UPnP. По NAT tiss написал. Без этих правил клиенты из внутренней сети не могут зайти на проброшенный порт сервиса, если обращаются не по внутреннему, а по внешнему адресу.
Самое интересное, что на сервере, куда проброшен порт 3389, работает iFobs, а у бухов не работает... Не понимаю =(
Автор: tiss Oct 21 2018, 19:22
Дорвался до конфига, где работает иФОБС - простая как угол дома.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input in-interface=eth1-WAN src-address-list="white list"
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
Я вот задумался - внешний айпи белый? И посмотрел, как сделан доступ рдп из мира:
add action=dst-nat chain=dstnat dst-address=*внешний айпи* dst-port=3389 in-interface=eth1-WAN protocol=tcp to-addresses=192.168.7.252 to-ports=3389
Автор: mussy Oct 21 2018, 20:48
tiss
да, внешний IP белый.
Автор: Vitaliy_y Oct 21 2018, 21:04
Маскарадинг при белом внешнем вреден.
11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix="" убрать или добавить список белых.
нетмап не в тему.
что трассы говорят?
сделайте експорт и выложите сюда, без паролей.
0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none
уберите ipsec-policy=out
или
add action=src-nat chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24 to-addresses=whiteip
hairpin nat лучше делать как велит вики
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade
Да,и, что бы пукан потом не горел не выставляйте голым задом 3389 наружу, залюбят, ломанут и будет вава,
настройте port knocking как самое простое решение, благо дело можно запускать на любых платформах.
Автор: tiss Oct 21 2018, 21:34
(Vitaliy_y @ Oct 21 2018, 21:04)
Маскарадинг при белом внешнем вреден.
Зато при динамическом удобен
Автор: Console Nov 29 2018, 10:19
Что бы не плодить тем, кто подскажет.. в микротике есть уже правило на проброс порта.., но нужно расширить диапазон вместо одного десять портов подрят. 10 отдельных правил или можно указать дапазон.
p.s. может все таки закрепить тему?
Автор: lD1PS1l Nov 29 2018, 11:44
можно указать диапазон
Автор: Console Nov 29 2018, 17:09
(lD1PS1l @ Nov 29 2018, 11:44)
можно указать диапазон
банально через - или как? буду благодарен за пример через Winbox, не консольную команду.
Автор: Siroga Nov 29 2018, 17:21
(Console @ Nov 29 2018, 17:09)
банально через - или как? буду благодарен за пример через Winbox, не консольную команду.
в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk
на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)
Автор: Console Dec 1 2018, 18:51
(Siroga @ Nov 29 2018, 17:21)
в налаштуваннях правила прописати порти через дефіс, наприклад 8000-8100, це на вкладці General і на вкладці Action
http://prntscr.com/lokjlk
на вкладці general відкриваются зовнішні порти, а на вкладці action - переадресовується трафік із зовнішніх на внутрішні (т.е. на комп в локалці чи інший девайс)
Получилось ок..
Еще вопрос... Нашел в инте такую штку от перебора... вроде ввел в терминале... но потом winbox через пару секунд разорвал соединение...
CODE Format
/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop address-list-timeout=30m chain=input comment=Perebor_portov_add_list dst-port=8291 in-interface=wan log=yes log-prefix=Attack protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=wan src-address-list=perebor_portov_drop
Название интерфейся я тут сократил для форума..
Автор: YaAllex Dec 1 2018, 19:13
Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор
Автор: Console Dec 1 2018, 19:21
(YaAllex @ Dec 1 2018, 19:13)
Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор
Ну я бы сказал у вас полное право
Идея была, что все кто стучится на winbox при неверном пароле, при первом разе попадали в бан на 30 минут, в 2 случае на всегда..
бралось от сюда..
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
http://mikrotik-ukraine.blogspot.com/2016/08/wan-mikrotik.html
Автор: YaAllex Dec 1 2018, 19:29
Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают.
Я так понимаю маршрутизатор удален(вы из-вне настраиваете)?
Автор: Console Dec 1 2018, 19:35
(YaAllex @ Dec 1 2018, 19:29)
Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают. SSH должен работать(если не запрещен)
Справедливо..... SSH отключен. Устройство в офисе, сейчас работает не в боевом режиме.. вот пока смотрю учусь набиваю шишки..
Если не сложно разжевать из ссылочки... как сделать защиту от перебора?
Автор: YaAllex Dec 1 2018, 19:48
Для начала вам лучше реализовать защиту от самоблокирования,имхо. Простейшие :
а) создать правило, которое разрешает коннектится к маршрутизатору с определенных белых ай-пи, поставить это правило выше запрещающих.
б) настроить впн
И только потом думать о защите от перебора.
SSH отключен.
Я не внимателен.
Через 30 минут подключитесь по SSH (если параметр указан верно address-list-timeout=30m) и удалите 1 правило, добавляющее в адрес лист всех стучащих на 8291 порт. После чего можете снова пользоваться винбоксом.
По поводу ссылки "как сделать защиту от перебора" - https://bozza.ru/art-264.html (вроде достаточно подробно разжевано).
Автор: Vitaliy_y Dec 2 2018, 11:22
Научитесь не использовать пароли для критичных сервисов, создайте пользователя с правами ssh read write и заведите авторизацию по сертификам, нет пароля - нет проблем и пусть себе боты сканят сколько влезет.
Если уж сильно приспилило используйте port-knocking для порта ssh.
почитайте про ssh -L, очень удобно пробрасывать на локальный тазик все нужно с микрота, в том числе и любимый порт winbox.
Белые листы с айпишиниками могут сыграть злую шутку когда у вас будет сеть с микротов и один из них взломают.
Как продолжение мысли и вожможные вопросы, хорошая практивка заводить в системе несколько пользователей, первого для ssh с авторизацией по сертификатам для торчащего 22-го порта наружу и второго для всего остального закрытого от доступа из вне по паролю, не умеет winbox с сертификатами работать.
Пысы, не открывайте сервисы управления для внутресетей, я в послее время скрываю все для всех, постучался, зашел на ssh или пробросил что нужно, поковырялся и закрыл.
Автор: Console Dec 4 2018, 18:48
Чудо юдо правило я убрал, пока поставил вайтлист на доступ из мира на 1 адрес, и на 2 адреса из локальной. Сети микротиков пока не предвидется но совет полезный..
Угрозы из локальной у меня нет... специфика такая.. но советы отднозначно полезные.
Нужно учится работать с SSH...
Глянуть возможности VPN..
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...
В любом случае спасибо..
Автор: YaAllex Dec 4 2018, 20:10
В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *
Автор: Console Dec 4 2018, 21:02
(YaAllex @ Dec 4 2018, 20:10)
В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *
Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..
Автор: YaAllex Dec 4 2018, 21:19
Но это для ssh, винбокс GUI и не по SSH конектится и туда не прикрутить ключ-сертификат.. или я не правильно понял..
По поводу перевода Winbox-а на авторизацию по ключу не могу подсказать - не имел такого опыта.
И это я не правильно понял фразу:
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...
- подразумевалось "прикрутить ключ к авторизации винбокса"
Автор: Console May 4 2019, 13:10
И снова вопросы)
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
CODE Format
## Generic IP address list input
## Based on a script written by Sam Norris, ChangeIP.com 2008
## Edited by Andrew Cox, AccessPlus.com.au 2008
:if ( [/file get [/file find name=ipaddress.txt] size] > 0 ) do={
# Remove exisiting addresses from the current Address list
/ip firewall address-list remove [/ip firewall address-list find list=online_block]
:global content [/file get [/file find name=ipaddress.txt] contents];
:global contentLen [ :len $content ];
:global lineEnd 0;
:global line "";
:global lastEnd 0;
:do {
:set lineEnd [:find $content "\n" $lastEnd ];
:set line [:pick $content $lastEnd $lineEnd];
:set lastEnd ( $lineEnd + 1 );
#If the line doesn't start with a hash then process and add to the list
:if ( [:pick $line 0 1] != "#" ) do={
:local entry [:pick $line 0 $lineEnd ]
:if ( [:len $entry ] > 0 ) do={
/ip firewall address-list add list=online_block address=$entry
}
}
} while ($lineEnd < $contentLen)
}
Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..
Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_and_Scripting_to_add_IP_Address_Lists
CODE Format
Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.
Как быть если список то больше 4096, перебирать или я снова что то завтыкал..
Автор: imenno May 4 2019, 13:59
а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.
Автор: YaAllex May 4 2019, 14:13
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
(Console @ May 4 2019, 14:10)
И снова вопросы)
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
CODE Format
## Generic IP address list input
## Based on a script written by Sam Norris, ChangeIP.com 2008
## Edited by Andrew Cox, AccessPlus.com.au 2008
:if ( [/file get [/file find name=ipaddress.txt] size] > 0 ) do={
# Remove exisiting addresses from the current Address list
/ip firewall address-list remove [/ip firewall address-list find list=online_block]
:global content [/file get [/file find name=ipaddress.txt] contents];
:global contentLen [ :len $content ];
:global lineEnd 0;
:global line "";
:global lastEnd 0;
:do {
:set lineEnd [:find $content "\n" $lastEnd ];
:set line [:pick $content $lastEnd $lineEnd];
:set lastEnd ( $lineEnd + 1 );
#If the line doesn't start with a hash then process and add to the list
:if ( [:pick $line 0 1] != "#" ) do={
:local entry [:pick $line 0 $lineEnd ]
:if ( [:len $entry ] > 0 ) do={
/ip firewall address-list add list=online_block address=$entry
}
}
} while ($lineEnd < $contentLen)
}
Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..
Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_and_Scripting_to_add_IP_Address_Lists
CODE Format
Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.
Как быть если список то больше 4096, перебирать или я снова что то завтыкал..
Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.
(imenno @ May 4 2019, 14:59)
1. а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962.
2 Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.
1 называется балансировка каналов - google в помощь(информации прилично).
2 - тут нюансы,т.к. резервных каналов больше 2х, нужно будет править скрипт переключения, но почему бы и нет - гуглите, что то типа "переключение на резервный канал mikrotik"
Автор: Console May 4 2019, 15:15
(imenno @ May 4 2019, 14:59)
а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.
_https://weblance.com.ua/263-mikrotik-advanced-failover-avtomaticheskoe-pereklyuchenie-mezhdu-osnovnym-kanalom-i-3g-proverka-osnovnogo-internet-kanala-i-otpravka-sms-uvedomleniy-iz-mikrotik.html
Вот к примеру гугл выдал, + вопрос еще какой сценарий.
(YaAllex @ May 4 2019, 15:13)
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.
Мм.. тут скорее скрипт другой нужен если я правильно понимаю, он открывает фаел вычитывает все, заагоняет в переменную "контент" и потом с нее уже делает список в микротике. Так тратится меньше ресурсов и быстрей скрипт выполняется. А что бы обойти проблему нужен костыль, он лезит в фаел читает строку, проверяет на наличие в списке микротика, нету, добавляет, запускает цикл по новой, есть в списке читает следующую строкую. Таким образом в переменной будет не весь список, а только один адрес..
Но как говорится на словах все это хорошо, осталось сделать
Походу проще использовать python + API routeOS
P.S. вчера вечером поковырял и получилось, код правда програмистам показывать не зя, батхерт будет
Рядом с скриптом должен быть ipaddress.txt с ip адресами построчно(нужно убрать закоменченые строки)
Должен быть user с правами работы через api
Включен сервис api (прописывал аксес лист на свой адрес)
Ну в общем он сыроват, минусы:
-
логин и пароль в открытом виде- практически не обработаны ексепшены
- ошибка в логике пропуска уже добавленого ip адерса.(утром еще раз глянул и осознал)
- повторяющиеся куски кода
- ручная подгрузка файла с ransomwaretracker.abuse.ch/blocklist/
- долбонуто названые переменные..
- нужно детальней изучить уровень необходимых разрешений у юзера, ибо тестил на отдельном с полными правами
Есть еще над чем порабоать...
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
CODE Format
import routeros_api
def rb4011():
""" Grab ip from mikrotik """
connection = routeros_api.RouterOsApiPool('you_ip', username='you_user', password='you_password', port=you_port)
api = connection.get_api()
list_address = api.get_resource('/ip/firewall/address-list')
old_list = list_address.get(list='10M')
results = [item['address'] for item in old_list]
connection.disconnect()
return results
def ip_list():
""" Grab ip from .txt """
new_1 = []
with open('ipaddress.txt') as ip_table:
my_list = ip_table.read().splitlines()
for line in my_list:
new_1.append(line)
return new_1
deploy_ip = set(rb4011() + ip_list())
print(deploy_ip)
lines = deploy_ip
with open('deploy_ip.txt', "w") as file:
file.writelines("%s\n" % line for line in lines)
send = routeros_api.RouterOsApiPool('you_ip', username='you_user', password='you_password', port=you_port)
api = send.get_api()
list_address = api.get_resource('/ip/firewall/address-list')
with open("deploy_ip.txt", "r") as file:
try:
my_list = file.read().splitlines()
for line in my_list:
list_address.add(address=line, list="10M")
send.disconnect()
except:
print('Failure: already have such entry ' + line)
pass
Автор: mussy Jul 22 2019, 10:43
Ребята, такой вопрос.
Хочу использовать Mikrotik исключительно для моста между двумя офисами. Как наилучшим образом это сделать?
Хочу использовать EOIP +IPsec.
Рабочую схему с подключением нескольких VMware виртуалок в разных датацентрах с помощью Mikrotik CHR уже давно применяю. А вот с реальной сетью что-то торможу с реализацией.
Правильно ли я понимаю, что мне нужно следующее:
1. запросить у провайдера обоих офисов дополнительные статические IP (которые будет только для того, чтобы Mikrotik1 видел Mikrotik2)
2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.
Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик?
Автор: YaAllex Jul 22 2019, 17:39
(mussy @ Jul 22 2019, 11:43)
2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.*
Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик? **
* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.
**У вас в сети несколько активных маршрутизаторов?
Автор: mussy Jul 22 2019, 20:57
(YaAllex @ Jul 22 2019, 18:39)
* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.
**У вас в сети несколько активных маршрутизаторов?
нужно установить в удаленных офисах эти микротики, две штуки. Сетевое оборудование там какое-то есть. К нему у меня доступа нет.
Соответсвенно схема будет такой
Провайдер -> Роутер Офис1 -> Свитч -> пользовательские ПКМикротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет
Автор: YaAllex Jul 23 2019, 21:00
Микротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет
EoIP - микротиковский проприетарный туннельный протокол точка-точка, те вам понадобятся:
1 )static ip на обоих железках, которые хотите соединить.
2) два микротика или умеющие работать с EoIP линукс-маршрутизатора.
По поводу, должен стоять микротик за другим маршрутизатором - решайте сами( там возня с натом будет, а вот сможете ли побороть
)
Автор: Console Jul 24 2019, 14:43
Вопрос, куплен MikroTik hAP lite RB941-2nD-TC
И вот такая картинка по работе с Wi-Fi, я понимаю что там 150 линк, почему на загрузке такой провал...
Из того что пробовал:
-различные прошивки (беты, стабильные, лонг, пару разных версий)
-убирал пароль на подключение
-менял каналы
Подключался:
-Lenovo ThinkPad e580
-Redmi Not 7
-MacBook Air 13" Early 2015 A1466
По RJ-45 ок проблем нету, да и если бы +- даулоуд с аплодом были в пределах 60 вопросов не было..
Кто что может посоветовать?
Точка нужна для подключение пары телефонов, ноубука, как бы вроде и так работает, но явно полова..
Автор: gonivo Jul 24 2019, 22:53
Посканируйте частоты Wireless -> freq usage, частоту подберите почищще. Проверьте все ли галки chain во вкладке HT отмечены. В Band поставьте only-N, channel width любая 20/40.
Перед сканом частот поставьте advanced mode - country - debug, откроются все частоты. Только потом с умом выбирайте, там будут и неподдерживаемые обычным железом.
Что не нравиться в микротиках - нельзя поставить 40 мгц онли.
Автор: gonivo Jul 24 2019, 23:08
(mussy @ Jul 22 2019, 21:57)
Микротик я не могу поставить перед роутером.
Можете. Микротик умеет объединять 2 порта бриджом или свичом если есть аппаратная поддрежка. Потом на бридж прописываете 2-й белый айпи от прова, вешаете EOIP tun и объединяете его с портом смотрящим в локалку вторым бриджом. Но осторожнее с дхцп в офисах, оно будет раздавать айпи и через туннели.
Автор: Fanta Aug 6 2019, 16:31
Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?
Автор: Tiger Aug 7 2019, 9:11
(Fanta @ Aug 6 2019, 17:31)
Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?
Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).
Автор: Fanta Aug 7 2019, 10:00
(Tiger @ Aug 7 2019, 10:11)
Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).
потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне"
Автор: Tiger Aug 7 2019, 13:28
(Fanta @ Aug 7 2019, 11:00)
потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне"
Обычный Микротик будет за глаза. Например CRS125-24G-1S-IN. Или CRS326-24G-2S+RM если блоки питание надо задублировать.
При их цене можно вообще не париться с гарантией и просто купить 1 "запасную". Всё равно будет дешевле раз в 15 чем Cisco 2960 самая простая.
Автор: Vitaliy_y Aug 7 2019, 13:59
CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.
Автор: Fanta Aug 7 2019, 16:50
(Vitaliy_y @ Aug 7 2019, 14:59)
CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.
і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?
Автор: Tiger Aug 7 2019, 16:54
(Fanta @ Aug 7 2019, 17:50)
і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?
Если включить hardware offload получаем 98-99% утилизации всех портов в синтетике. Коммутатору RAM не нужна для пропускания трафика, она для загрузки ОС\конфигурации. CPU не участвует так же, если включен hardware offload.
Автор: Tiger Aug 21 2019, 16:33
Народ, а как лучше настроить информирование по E-mail о том что девайс покинул зону Wi-Fi?
Мониторить DHCP сервер и Lease на предмет есть там запись о конкретном МАС или нет, если нет - отправлять письмо. Но вот как скрипт написать что-то не могу додумать.
ЗЫ. Отправлять по SNMP\Syslog в PRTG\Splunk не предлагать, это домашний роутер
Автор: mak_v_ Aug 21 2019, 16:50
Дергать лог на предмет "disonnected" и слать, не?
Автор: Tiger Aug 21 2019, 16:54
(mak_v_ @ Aug 21 2019, 17:50)
Дергать лог на предмет "disonnected" и слать, не?
Так тоже вариант, только не понимаю что где писать то? Типо в самом Микротике в вкладке скрипты создать скрипт, который смотрит лог на предмет совпадения строки и отправляет?
Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping
Автор: Fanta Aug 21 2019, 20:40
(Tiger @ Aug 21 2019, 17:54)
Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping
рівно до тих пір поки та сторона "приймає" пінг ))
Автор: Tiger Aug 22 2019, 8:51
(Fanta @ Aug 21 2019, 21:40)
рівно до тих пір поки та сторона "приймає" пінг ))
Само собой. Но "та сторона" мною и настраивается, поэтому проблем не будет
Автор: imenno Nov 17 2019, 16:17
ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте
Автор: nerve Nov 18 2019, 10:43
(imenno @ Nov 17 2019, 16:17)
По схеме как-то так набросал.
план захвата клиентами рдп через впс и интернет по впн до миркотика сервера 1с.
вот какие ассоциации эта картинка вызвала и стиль речи))
почему клиентам не сделать впн подключения до микротика и не городить звездолеты?
Автор: imenno Nov 18 2019, 11:33
(nerve @ Nov 18 2019, 10:43)
план захвата клиентами рдп через впс и интернет по впн до миркотика сервера 1с.
вот какие ассоциации эта картинка вызвала и стиль речи))
почему клиентам не сделать впн подключения до микротика и не городить звездолеты?
У части провайдеров нет внешнего ИП и провайдер может переключиться в случае отвала первого, будет и адрес другой уже. Потому нужно как-то так, где ип постоянный и потом переадресация по туннелю на микротик и далее на сервер.
Автор: mak_v_ Nov 18 2019, 12:28
магия...
1) Поднимаете на впн на впс
2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру
3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц
Автор: Alexis Nov 18 2019, 12:36
(mak_v_ @ Nov 18 2019, 12:28)
магия...
1) Поднимаете на впн на впс
2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру
3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц
Еще как вариант.
1) Ставим 2-й микротик VPS
2) на микротике впн-клиент 962, который будет коннектится к микротик - VPS
3) клиенты впн коннектятся к микротикe - VPS
Автор: gonivo Nov 22 2019, 2:32
(imenno @ Nov 17 2019, 16:17)
ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции
В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте
Скрипт переключения на резервный пров:
:local gt1 prov1;
:local opt;
:local g;
:set g [ping 8.8.8.8 interval=00:00:00.350 count=20];
:set opt [/ip r get value-name=distance number=[/ip r find comment=$gt1]];
:if (($g>14) and ($opt=15)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=10;
:log info "$gt1 UP";};
:if (($g<8) and ($opt=10)) do={/ip r set numbers=[/ip r find comment=$gt1] distance=15;
:log info "$gt1 DOWN";};
/ip route создать 2 маршрута по умолчанию, основного с коментом prov1 и distance=10, и резерв с distance=12.
ВПН придется подымать на серваке и коннектиться микротиком. На лане в микротике повесить нат а на серваке добавить маршрут подсети в которой 1с на айпи впн клиента микротика. В теории както так.
Автор: Console Jan 27 2020, 17:42
А тут поймал себя на топографическом кретинизме...
Есть микротик, белый адрес, за ним сервер(за nat), серверу нужно иногда ходить на smtp для отправки от туда почты( есть сервер почты, есть порт 25).... вроде все просто...
И тут я жестко туплю...
1. маскарад есть
2. правило на выпуск трафика есть
3. по логу правило срабатывает...
Но сервис никак не может подключиться и отправить почту... по логу отправляется SYN, но в конекшенах на фаерволе нет соединения..
UP.... рядом такое же правило на ICMP, работает...
Автор: mak_v_ Jan 28 2020, 0:13
ну раз syn ушел, то syn+ack должен вернуться. Если его нет на внешнем, то вероятная причина - блокировка "по пути следования"
Автор: Console Jan 29 2020, 13:16
Да действительно, провайдер блокировал транзитный вариант, порешал..
Автор: Alekssander Feb 14 2020, 12:06
Приветствую.
Подскажите плиз по очередям.
Есть MikroTik RB2011UiAS-2HnD-IN.
Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова)
Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао.
На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический.
Находил разные мануалы. Пытался воедино слепить, но получилась каша...
Автор: gonivo Feb 15 2020, 16:03
(Alekssander @ Feb 14 2020, 12:06)
Приветствую.
Подскажите плиз по очередям.
Есть MikroTik RB2011UiAS-2HnD-IN.
Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова)
Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао.
На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический.
Находил разные мануалы. Пытался воедино слепить, но получилась каша...
А не проще ли на каждый виртуальный вайфай выделить отдельную подсеть, а потом в Simple Queues прописать шейперы на каждую подсеть?
Автор: Alekssander Feb 15 2020, 21:47
(gonivo @ Feb 15 2020, 16:03)
А не проще ли на каждый виртуальный вайфай выделить отдельную подсеть, а потом в Simple Queues прописать шейперы на каждую подсеть?
Так собственно под каждый виртуальный Вай-Фай и создается подсеть. Только вот с очередями беда. Толком не получилось сделать.
Автор: gonivo Feb 16 2020, 2:52
Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?
Автор: Alekssander Feb 16 2020, 9:57
(gonivo @ Feb 16 2020, 2:52)
Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?
Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50
Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так.
Автор: gonivo Feb 16 2020, 20:14
(Alekssander @ Feb 16 2020, 9:57)
Насколько я понял, общая скорость нужна для ограничения виртуальным. Общая суммированная ограниченная скорость должна совпадать с общей. Типа общая 50, значит все виртуальные например 30+10+10=50
Я уже не помню как было красиво написано в мануалах, которые находил. Как-то так.
Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40.
для 2-х независимых скоростей (20+20) общая очередь не нужна.
Автор: Alekssander Feb 17 2020, 11:30
(gonivo @ Feb 16 2020, 20:14)
Там скорее всего описано динамическое шейпирование, когда к примеру 2 пользователя по 30мбит а общий канал 40.
для 2-х независимых скоростей (20+20) общая очередь не нужна.
Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик.
Автор: gonivo Feb 17 2020, 14:08
(Alekssander @ Feb 17 2020, 11:30)
Так я как раз хочу ограничить скорость виртуальной точке. Чтобы физическая имела постоянную скорость и виртуальная не забрала на себя трафик.
Так одного правила на подсеть виртуальной хватит
Чтото в духе:
/que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M
Автор: Alekssander Feb 17 2020, 16:01
(gonivo @ Feb 17 2020, 14:08)
Так одного правила на подсеть виртуальной хватит
Чтото в духе:
/que si add name="queue22" target=192.168.10.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=50M/50M
Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость.
Burst Limit / Burst Threshold не нужно указыать?
В Target лучше указать подсеть? Или выбрать интерфейс/бридж?
В терминале не силён. Что-то так понимаю про маркировку пакетов?
В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения.
И для локалки, и для физического Вай-Фая можно не указывать очереди?
Автор: gonivo Feb 17 2020, 19:08
(Alekssander @ Feb 17 2020, 16:01)
Я так понимаю max-limit (target-upload/target download) ставлю желаемую скорость.
Burst Limit / Burst Threshold не нужно указыать?
В Target лучше указать подсеть? Или выбрать интерфейс/бридж?
В терминале не силён. Что-то так понимаю про маркировку пакетов?
В Адвансед вкладка Queue Type - pcq-download-default / pcq-upload-default соответственно советовали ставить такие значения.
И для локалки, и для физического Вай-Фая можно не указывать очереди?
Burst Limit / Burst Threshold не указывать.
Да, в Target подсеть.
Маркировка для Simple Queues не обязательна. А в данном случае и не нужна.
В Адвансед вкладка Queue Type - default-small/default-small (kind pfifo). Желательно в queue types default-small queue size 500.
"И для локалки, и для физического Вай-Фая можно не указывать очереди?" - interface queues - там пофиг, можешь указать чтото с pfifo.
Если будешь иметь час та натхнення, почитаешь что такое pcq. это не совсем обычный тип очереди и ее нужно саму конфигать.
Автор: Alekssander Feb 27 2020, 17:59
Может баян, может все, кто в теме знают, но я с Микротиком можно сказать знакомлюсь.
Настраивал две точки Mikrotik wAP ac (RBwAPG-5HacT2HnD). Будет связь между офисом и складом.
Почитал про фирменный протокол nv2. Решил протестить. Пока в офисе. Между точками несколько гипсокартонных стен.
При включении Wireless Protocol - 802.11 пинг был от 10 до 1200мс. При чём скорость постоянно прыгала. И практически любые помехи влияли. При включении Wireless Protocol - nv2 пинг стал 2-4мс. Помехи практически не влияли. Пинг стабильный.
Может кому пригодится. Я например не знал и данный функционал меня очень обрадовал.
Автор: gonivo Feb 27 2020, 18:30
Есть еще nstreme. Но по личным наблюдениям nv2 как то постабильнее.
Коллега недавно советовал отключать шифрование, делать открытую точку доступа и привязку по макам чтоб халявщики не лезли.
Не применяйте устаревшее шифрование TKIP, начиная с n - стандарта его не поддерживают и точка переключится на старый b/g.
Автор: Alekssander Feb 28 2020, 17:13
(gonivo @ Feb 27 2020, 18:30)
Есть еще nstreme. Но по личным наблюдениям nv2 как то постабильнее.
Коллега недавно советовал отключать шифрование, делать открытую точку доступа и привязку по макам чтоб халявщики не лезли.
Не применяйте устаревшее шифрование TKIP, начиная с n - стандарта его не поддерживают и точка переключится на старый b/g.
Сегодня решил попробовать nstreme. Ужасно. Может требуется более тонкая настройка.
Связь не стабильна. Можно сказать её вообще нет. Даже при выставлении у клиента Wireless Protocol - nstreme связь плохая.
Вернул всё в зад.
Автор: gonivo Feb 28 2020, 19:56
(Alekssander @ Feb 28 2020, 17:13)
Сегодня решил попробовать nstreme. Ужасно. Может требуется более тонкая настройка.
Связь не стабильна. Можно сказать её вообще нет. Даже при выставлении у клиента Wireless Protocol - nstreme связь плохая.
Вернул всё в зад.
А сколько там по сигналам? По Freq Usage на АР и клиенте смотрели что там творится в эфире?
При норм сигнале даже на базовом 802.11g должно мегабит 40 давить в режиме 1 AP - 1 клиент.
Автор: Alekssander Feb 28 2020, 23:07
(gonivo @ Feb 28 2020, 19:56)
А сколько там по сигналам? По Freq Usage на АР и клиенте смотрели что там творится в эфире?
При норм сигнале даже на базовом 802.11g должно мегабит 40 давить в режиме 1 AP - 1 клиент.
http://piccy.info/view3/13681587/770d0f084fce7c90c00f0dde276e442a/http://i.piccy.info/a3c/2020-02-28-21-06/i9-13681587/342x487-r
Автор: Console Mar 17 2020, 12:37
На фоне карантинов)
Есть необходимость настроить на микротике OpenVPN сервер для нескольких виндовых клиентов... но столкнулся с проблемой..
На простом логине пароле ок, работает проблем нет, но при попытке добавить проверку по сертификату возникли проблемы.
На сервере явно указал aes256 и SHA1, но работает только если блоуфиш алгоритм....
rb4011
Автор: Vitaliy_y Mar 17 2020, 13:42
(Console @ Mar 17 2020, 12:37)
На фоне карантинов)
Есть необходимость настроить на микротике OpenVPN сервер для нескольких виндовых клиентов... но столкнулся с проблемой..
На простом логине пароле ок, работает проблем нет, но при попытке добавить проверку по сертификату возникли проблемы.
На сервере явно указал aes256 и SHA1, но работает только если блоуфиш алгоритм....
rb4011
поднять ipsec ike2 или l2tp ipsec, и на винде бубнить ничего не надо и на микротике все ок
openvpn на микроте нужно уметь, там граблей много.
в клиентах на openvpn в конфиге что по шифрованию? там может быть явно bf-crypt указан.
Автор: Console Mar 17 2020, 13:46
(Vitaliy_y @ Mar 17 2020, 13:42)
поднять ipsec ike2 или l2tp ipsec, и на винде бубнить ничего не надо и на микротике все ок
openvpn на микроте нужно уметь, там граблей много.
в клиентах на openvpn в конфиге что по шифрованию? там может быть явно bf-crypt указан.
Я явно указывал aes256, но потом на сервер получал ошибку "не поддерживаемый дайджес авторизации", при явно указаном SHA1
Автор: Vitaliy_y Mar 17 2020, 18:52
(Console @ Mar 17 2020, 13:46)
Я явно указывал aes256, но потом на сервер получал ошибку "не поддерживаемый дайджес авторизации", при явно указаном SHA1
Так, ничего не понял
на сервере что включено в auth и chiper? там можно убрать md5 и null остальное оставить по умолчанию, да и вариантов aes256 несколько, конкретно микрот любит aes256-cbc, собственно blowfish тоже не плохо работает.
Автор: -13- Mar 17 2020, 20:42
гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него
в офф.гайде какой-то совсем древний с виду описан плюс на базе ntopng который с ограничениями во фри версии
цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем, были ли потери на стороне провайдера.
ставил https://github.com/robcowart/elastiflow
капец перегружен деталями, вроде нашел пару дашбордов с данными которые мне нужны, но не смог переименовать exporter с айпишника на человекопонятное имя роутера, и плюс elastiflow дофига прожорливый по ресурсам, ему надо даже на 2 роутера с 10Гб суточного трафика на каждом - гигов 10 оперы
пока свернул его, может есть нормальные опробованные альтернативы
Автор: Fanta Mar 17 2020, 20:59
(-13- @ Mar 17 2020, 20:42)
гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него
в офф.гайде какой-то совсем древний с виду описан плюс на базе ntopng который с ограничениями во фри версии
цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем, были ли потери на стороне провайдера.
ставил https://github.com/robcowart/elastiflow
капец перегружен деталями, вроде нашел пару дашбордов с данными которые мне нужны, но не смог переименовать exporter с айпишника на человекопонятное имя роутера, и плюс elastiflow дофига прожорливый по ресурсам, ему надо даже на 2 роутера с 10Гб суточного трафика на каждом - гигов 10 оперы
пока свернул его, может есть нормальные опробованные альтернативы
https://www.manageengine.com/products/netflow/
Автор: Tiger Mar 18 2020, 9:57
(Fanta @ Mar 17 2020, 20:59)
https://www.manageengine.com/products/netflow/
В бесплатной редакции 2 интерфейса и 100 мбит максимум
Мы Zabbix используем. Для десятка другого можно тупо аплаенс ставить и не париться с архитектурой.
Автор: Console Mar 18 2020, 12:41
(Vitaliy_y @ Mar 17 2020, 18:52)
Так, ничего не понял
на сервере что включено в auth и chiper? там можно убрать md5 и null остальное оставить по умолчанию, да и вариантов aes256 несколько, конкретно микрот любит aes256-cbc, собственно blowfish тоже не плохо работает.
Вариант первый не рабочий:В конфиге клиента явно ничего не говорю про auth и chiper
На сервере оставляю SHA1 в auth и aes256 в chiper
По логам сервера получаю disconnected unsupported cipher
Вариант второй не рабочий:В конфиге клиента явно указываю aes256
На сервере оставляю SHA1 в auth и aes256 в chiper
По логам сервера получаю disconnected unsupported auth digest
Вариант третий рабочий:В конфиге клиента явно ничего не указываем в auth и chiper
На сервере оставляю SHA1 в auth и blowfish в chiper
Конектится..
Автор: -13- Mar 22 2020, 9:15
(Tiger @ Mar 18 2020, 9:57)
Мы Zabbix используем. Для десятка другого можно тупо аплаенс ставить и не париться с архитектурой.
Заббикс, а каким образом, может есть ссылки на гитхаб, темплейты и прочее?
Я нашел вот https://www.zabbix.com/forum/zabbix-help/382987-netflow-monitoring и решил что заббикс не умеет такого вообще
А сейчас посильнее погуглил и нашел https://books.google.ru/books?id=CTDWBgAAQBAJ&pg=PA63&lpg=PA63&dq=zabbix+netflow&source=bl&ots=BPzTXrSe83&sig=M_SIQw_mNYDrTdkUfJzOywfTC_A&hl=en&sa=X&ved=0ahUKEwimh_PYrr_bAhUEMJoKHR8LBZI4ChDoAQgmMAA#v=onepage&q=zabbix%20netflow&f=false
Автор: Tiger Mar 22 2020, 10:10
(-13- @ Mar 22 2020, 9:15)
Заббикс, а каким образом, может есть ссылки на гитхаб, темплейты и прочее?
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Я нашел вот https://www.zabbix.com/forum/zabbix-help/382987-netflow-monitoring и решил что заббикс не умеет такого вообще
А сейчас посильнее погуглил и нашел https://books.google.ru/books?id=CTDWBgAAQBAJ&pg=PA63&lpg=PA63&dq=zabbix+netflow&source=bl&ots=BPzTXrSe83&sig=M_SIQw_mNYDrTdkUfJzOywfTC_A&hl=en&sa=X&ved=0ahUKEwimh_PYrr_bAhUEMJoKHR8LBZI4ChDoAQgmMAA#v=onepage&q=zabbix%20netflow&f=false
Это
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера
лучше не NetFlow а SNMP (меньше затрат на мониторинг). В Zabbix просто собираем SNMP с каждого устройства и храним сколько надо историю.
Это
какой айпишник в локальной сети ее генерировал и зачем
уже надо разбирать именно NetFlow, но так как нам надо только тут и сейчас, история не интересует, то пользуемся обычным ntop.
В твоём случаи если есть небольшой бюджет ManageEngine таки решит все задачи. Если нет - собирать самому стэк из продуктов.
Автор: koder Mar 22 2020, 19:40
MikroTik hAP lite
Можно ли настроить раздавать интернет с другого роутера? Как?
Автор: mak_v_ Mar 22 2020, 20:46
(koder @ Mar 22 2020, 19:40)
MikroTik hAP lite
Можно ли настроить раздавать интернет с другого роутера? Как?
Да, руками.
Автор: Tiger Mar 22 2020, 20:47
(koder @ Mar 22 2020, 19:40)
MikroTik hAP lite
Можно ли настроить раздавать интернет с другого роутера? Как?
Да можно. Вариантов много. Бридж классический, NAT, роутинг. Необходимо понимать что надо в итоге. Нужны ли сети из первого маршрутизатора во второй.
Если тупо инет - расценивай первый роутер как gateway провайдера и все. Настройки те же.
Автор: nerve Mar 23 2020, 10:09
(-13- @ Mar 17 2020, 20:42)
гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него
цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем,
nfsen.
дешево и сердито.
ставишь его на отдельный сервер и отдаешь ему статистику с ротиков микро)
у меня не ротики, но на роутере одном стоял для порядка сколько-то лет, что я даже забыл про него, а вот недавно пригодился прям очень даже. стали жаловаться, что инет отваливается и вообще какая-то хня происходит. в консоли роутера лоада нет, но необычно высокий interrupt rate по сетевым, что натолкнуло на мысль залезть в статистику nfsen и посмотреть что там.
а там
http://piccy.info/view3/13719290/a2af15d00ae5c560bbd0815b8345d373/http://i.piccy.info/a3c/2020-03-23-08-10/i9-13719290/673x279-r
в итоге нашел айпишник генеривший трафик, залочил его а потом и вовсе отключил от сети. там оказался какой-то троян
Автор: koder Mar 23 2020, 16:10
(Tiger @ Mar 22 2020, 21:47)
Да можно. Вариантов много. Бридж классический, NAT, роутинг. Необходимо понимать что надо в итоге. Нужны ли сети из первого маршрутизатора во второй.
Если тупо инет - расценивай первый роутер как gateway провайдера и все. Настройки те же.
Интернет нужен с роутера - нет никаких сетей
В данном случае какая настройка?
Автор: Tiger Mar 23 2020, 19:44
(koder @ Mar 23 2020, 16:10)
Интернет нужен с роутера - нет никаких сетей
В данном случае какая настройка?
Я же написал. Расценивай роутер, с которого берешь интернет как роутер провайдера.
Роутер А имеет адрес 192.168.1.1 это будет шлюз для роутера Б. Сеть за роутером Б должна отличаться от сети роутера А. Всё.
Автор: mak_v_ Mar 23 2020, 22:11
(Tiger @ Mar 23 2020, 19:44)
Я же написал. Расценивай роутер, с которого берешь интернет как роутер провайдера.
Роутер А имеет адрес 192.168.1.1 это будет шлюз для роутера Б. Сеть за роутером Б должна отличаться от сети роутера А. Всё.
Ну исходя из стартпоста вопрошающего - самый правильный ответ был https://forum.0day.kiev.ua/index.php?s=&showtopic=551874&view=findpost&p=6585900, но вы решили "начать". Теперь будьте любезны - "заканчивайте"...
Подогрею: А что такое отличаться, простая сейть жеж, вайфай там и шнурки... объясните..Ну и откуда я знаю что там у провайдера. может у него совсем другой роутер..
П.с. После такого рода поставленных вопросов, вы действительно считаете что надо писать про роутинг, инкапсуляцию, маски и т.д.?
Автор: Tiger Mar 24 2020, 12:14
(mak_v_ @ Mar 23 2020, 22:11)
П.с. После такого рода поставленных вопросов, вы действительно считаете что надо писать про роутинг, инкапсуляцию, маски и т.д.?
Я просто постарался объяснить человеку как это настроить. Не понял с технической точки зрения - объяснил на пальцах.
Нахамить в стиле "Ыыы нуб лол руками" можно, но вроде как форумы задумывались не для того. И это не раздел Флейм, тут мы пытаемся удержать ещё "Ту" атмосферу.
Автор: Vitaliy_y Mar 24 2020, 12:22
(koder @ Mar 23 2020, 16:10)
Интернет нужен с роутера - нет никаких сетей
В данном случае какая настройка?
quickset в winbox, сделает 95% для настройки обычного домашнего роутера
Автор: Tiger Mar 24 2020, 12:46
(Vitaliy_y @ Mar 24 2020, 12:22)
quickset в winbox, сделает 95% для настройки обычного домашнего роутера
Это если прошивка относительно свежая. Раньше не было его. До 6й вроде.
Автор: mak_v_ Mar 24 2020, 13:57
(Tiger @ Mar 24 2020, 12:14)
Я просто постарался объяснить человеку как это настроить. Не понял с технической точки зрения - объяснил на пальцах.
Нахамить в стиле "Ыыы нуб лол руками" можно, но вроде как форумы задумывались не для того. И это не раздел Флейм, тут мы пытаемся удержать ещё "Ту" атмосферу.
Ну не совсем так.
Просто человек купил техологичный девайс, а настраивать не купил. И проще сэконмить свое и его время, при таких вопросах,отправив его на обучение , ну либо к тому, кто сделает молча, без объяснений.
А вот техническими терминами кормить после тех вопросов, по крайней мере, странно.
Плюсую по поводу Quickset - если его не одолеет, то возможно и не надо будет помощь
Автор: Tiger Mar 24 2020, 17:01
(mak_v_ @ Mar 24 2020, 13:57)
А вот техническими терминами кормить после тех вопросов, по крайней мере, странно.
Человек задал вопрос - как? Я ответил. Уже после его второго вопроса понял что от техники надо отходить и объяснил на пальцах. Без технических терминов.
Автор: uvv802 Mar 29 2020, 21:53
Коллеги!
Есть несколько доменных имен, на которых периодически меняются ip
Как сформировать address list ip для этих доменных имен?
Автор: Tiger Mar 29 2020, 22:23
(uvv802 @ Mar 29 2020, 22:53)
Коллеги!
Есть несколько доменных имен, на которых периодически меняются ip
Как сформировать address list ip для этих доменных имен?
Через Layer 7 скрипты. Пару страниц назад пример приводил.
Автор: Vitaliy_y Mar 30 2020, 9:31
(uvv802 @ Mar 29 2020, 22:53)
Коллеги!
Есть несколько доменных имен, на которых периодически меняются ip
Как сформировать address list ip для этих доменных имен?
Домены вместо ip укажите в листе
Автор: Tiger Mar 30 2020, 15:34
(Vitaliy_y @ Mar 30 2020, 10:31)
Домены вместо ip укажите в листе
Нельзя в правилах писать fqdn там только IP или правило. Хотя да, надо полное ТЗ что надо сделать.
Автор: uvv802 Mar 30 2020, 16:30
Еще вопрос. Можно ли как-то маркировать IPTV трафик?
Задача - дать приоритет IPTV
Сложность в том, что пров дает доменное имя для подключения с ip x.x.x.x, но сам стрим идет с ip y.y.y.y, и этот ip периодически меняется.
Пока вручную torch-ем отловил этот ip и загнал его в addresses list, но это так себе решение
Вот и хочется отловить на входе трафик iptv, чтоб загнать его в приоритет без привязки к доменному имени и ip/
Реально?
Автор: uvv802 Mar 30 2020, 19:36
Отвечу сам себе.. погуглив whireshark попробую отловить и маркировать L7
GET /0122/mpegts?token=************ HTTP/1.1
Host: *.*.*.*
User-Agent: Enigma2 HbbTV/1.1.1 (+PVR+RTSP+DL;openATV;;;)
Accept: */*
Connection: close
HTTP/1.0 200 OK
Content-Type: video/mpeg
Connection: close
X-Playback-Id:
UPD:
повесил на wan интерфейс в prerouting маркировку траффика Layer7 protocol правило Content-Type: .*(.*video.*| *mpeg.*)
теперь, только запускаю IPTV - маркирует траффик и даю ему более высоки приоритет.
Автор: imenno Mar 30 2020, 23:05
Я вот с вечера борюсь, никак соединение не может установить. Подключил оптику от провайдера в SFP порт и пока ничего, вроде все правильно, пытается установить подключение и сразу отключается. Микротик 962. Буду прову писать, что за на нафиг.
На 1000 линк не поднимается. В общем когда убираю галку auto negotiation в закладке sfp1\эзернет, то поднимается линк только на 100ку. Но дальше все равно соединение не поднимается, когда привязываю интерфейс pppoe-out1 к sfp1 (sfp1 не в бридже).
Автор: H_U_L_K Mar 30 2020, 23:23
PON или FTTH?
Автор: imenno Mar 30 2020, 23:36
(H_U_L_K @ Mar 31 2020, 0:23)
PON или FTTH?
По GPON.
В телеге поддержка ответила, если не настроите, придет мастер и поставит GPON ONU модем или терминал, не знаю как правильно, бесплатно. Такая коробка небольшая. Там вход 1 оптика и выход 1 на витую пару.
Автор: Vitaliy_y Mar 31 2020, 17:13
(imenno @ Mar 31 2020, 0:36)
По GPON.
В телеге поддержка ответила, если не настроите, придет мастер и поставит GPON ONU модем или терминал, не знаю как правильно, бесплатно. Такая коробка небольшая. Там вход 1 оптика и выход 1 на витую пару.
Микрот gpon не поддерживает, помнится мне
(uvv802 @ Mar 30 2020, 20:36)
Отвечу сам себе.. погуглив whireshark попробую отловить и маркировать L7
GET /0122/mpegts?token=************ HTTP/1.1
Host: *.*.*.*
User-Agent: Enigma2 HbbTV/1.1.1 (+PVR+RTSP+DL;openATV;;;)
Accept: */*
Connection: close
HTTP/1.0 200 OK
Content-Type: video/mpeg
Connection: close
X-Playback-Id:
UPD:
повесил на wan интерфейс в prerouting маркировку траффика Layer7 protocol правило Content-Type: .*(.*video.*| *mpeg.*)
теперь, только запускаю IPTV - маркирует траффик и даю ему более высоки приоритет.
Не правильно, через фильтр l7 пойдет весь трафик для отлова нужного и будет лишне грузить проц, про fasttrack можете забыть
Автор: uvv802 Mar 31 2020, 19:18
Не правильно,
как правильней?
.. максимум в пике поймал нагрузку 12% при одновременном просмотре хд каналов с двух устройств..
а так 3-8%.
Автор: gonivo Apr 1 2020, 20:50
(imenno @ Mar 31 2020, 0:36)
По GPON.
В телеге поддержка ответила, если не настроите, придет мастер и поставит GPON ONU модем или терминал, не знаю как правильно, бесплатно. Такая коробка небольшая. Там вход 1 оптика и выход 1 на витую пару.
Есть SFP модули с ONU в середине, но они глючные. Для GEPON (не путать с GPON) один как то купили, но у него были проблемы с поддержкой вланов. Избавились.
Автор: H_U_L_K Apr 1 2020, 21:11
Любой PON через sfp это костыли, пока что.
Лучше всего использовать провайдерский ONU, они не дорогие (в пределах 15 баксов) и точно совместимы с провайдерской сетью.
Автор: imenno Apr 1 2020, 23:28
(H_U_L_K @ Apr 1 2020, 22:11)
Любой PON через sfp это костыли, пока что.
Лучше всего использовать провайдерский ONU, они не дорогие (в пределах 15 баксов) и точно совместимы с провайдерской сетью.
Окай, так и сделал. Пускай свой ONU поставят.
Автор: Beaf Apr 6 2020, 15:30
Приветствую,
подскажите реально ли такое реализовать,
настроен watchdog, при отсутствии интернета понятное дело роутер перезагружается
но выяснил что быстрее и практичней использовать release и renew
вопрос, можно ли добавить в задачи что при отсутствии пинга на указанный ресурс с периодичностью в 2 минуты, роутер будет проверять и в случае чего приводить в действие эти команды?
Автор: post_val Apr 6 2020, 17:34
а зачем перезагружать микрот, при пропадении инета?
Автор: Robbie Apr 7 2020, 20:22
(Beaf @ Apr 6 2020, 16:30)
https://настройка-микротик.укр/skript-obnovlenie-dhcp-klienta-v-mikrotik-oshibka-dhcp-client-lost-ip-address/
Автор: Beaf Apr 8 2020, 10:55
(post_val @ Apr 6 2020, 18:34)
а зачем перезагружать микрот, при пропадении инета?
Потому что после перезагруки он появляется, либо после release|renew
(Robbie @ Apr 6 2020, 21:22)
https://настройка-микротик.укр/skript-obnov...ost-ip-address/
То что надо, спасибо
Автор: post_val Apr 8 2020, 11:34
(Beaf @ Apr 8 2020, 11:55)
Потому что после перезагруки он появляется, либо после release|renew
То что надо, спасибо
Век живи, век учись. Везде статические адреса. Не знал таких нюансов.
Автор: Beaf Apr 8 2020, 11:40
(post_val @ Apr 8 2020, 12:34)
Век живи, век учись. Везде статические адреса. Не знал таких нюансов.
Статика то статикой, но вот роутер получает ее по dhcp
почему происходит пропадание не знаю
, могу сказать что происходит такое только если NASу дать задачу закачивать что-то с торрента (любого)
Читал что виноват DNS провайдера, но мне и гугловские не помогли
Автор: Console Apr 8 2020, 13:42
Ну еще костыльный метод, выключить включить интерфейс...
Автор: gonivo Apr 9 2020, 0:41
(Beaf @ Apr 8 2020, 11:55)
Потому что после перезагруки он появляется, либо после release|renew
То что надо, спасибо
Проще Tools - Netwatch
Автор: post_val Apr 9 2020, 16:25
(Beaf @ Apr 8 2020, 12:40)
Статика то статикой, но вот роутер получает ее по dhcp
Тогда зачем использовать dhcp клиент? Пропишите руками, да и все.
(Beaf @ Apr 8 2020, 12:40)
почему происходит пропадание не знаю
, могу сказать что происходит такое только если NASу дать задачу закачивать что-то с торрента (любого)
Читал что виноват DNS провайдера, но мне и гугловские не помогли
Не совсем понимаю, каким образом может DNS провайдера быть связан с неответом DHCP сервера. Но, как костыль, подойдёт скрипт из статьи, до момента, пока пингуется 1.1.1.1
Автор: Beaf Apr 10 2020, 12:26
(post_val @ Apr 9 2020, 17:25)
Тогда зачем использовать dhcp клиент? Пропишите руками, да и все.
Не совсем понимаю, каким образом может DNS провайдера быть связан с неответом DHCP сервера. Но, как костыль, подойдёт скрипт из статьи, до момента, пока пингуется 1.1.1.1
вот кстати комментарий из статьи на которую дали ссылку:
"Ошибка возникает в том случае, когда DHCP сервер не отвечает на запрос dhcp-client release. И как оказалось, обычный роутер типа Tp-Link и Asus продолжает работать без проблем, а MikroTik совершает действие «lease stopped locality». Интернет пропадает и ситуация не из приятных. Причем, ошибка возникает по причине интернет провайдера."Поэтому не знаю каким образом, но как-то связан.
Указание статикой не решает вопрос, к сожалению.
Автор: post_val Apr 10 2020, 17:14
(Beaf @ Apr 10 2020, 13:26)
вот кстати комментарий из статьи на которую дали ссылку:
"Ошибка возникает в том случае, когда DHCP сервер не отвечает на запрос dhcp-client release. И как оказалось, обычный роутер типа Tp-Link и Asus продолжает работать без проблем, а MikroTik совершает действие «lease stopped locality». Интернет пропадает и ситуация не из приятных. Причем, ошибка возникает по причине интернет провайдера."
Поэтому не знаю каким образом, но как-то связан.
Указание статикой не решает вопрос, к сожалению.
Да, я читал. А скрипт решает вопрос?
Автор: Beaf Apr 11 2020, 14:15
(post_val @ Apr 10 2020, 18:14)
Да, я читал. А скрипт решает вопрос?
Да, решил, все отлично отрабатывает, когда "залипает инет" (по другому назвать не могу) во время закачки NASa,
поставил тайминг 20 сек., если ставить меньше, роутер уходит в renew по кд )
Автор: Console Apr 16 2020, 20:14
Ребят, подскажите скрипт для отправки письма в случае когда mikrotik загрузился ок?
Шото гуглю и пока не очень(
Автор: Alexis Apr 16 2020, 21:14
(Console @ Apr 16 2020, 21:14)
Ребят, подскажите скрипт для отправки письма в случае когда mikrotik загрузился ок?
Шото гуглю и пока не очень(
Если сделать по линку? Перезагрузка + проверка линка интернета если все хорошо, отправляем письмо на почту.
Автор: Console Apr 16 2020, 21:17
(Alexis @ Apr 16 2020, 22:14)
Если сделать по линку? Перезагрузка + проверка линка интернета если все хорошо отправка письма на почту.
Вариант, к примеру шлюз WAN, на UP. спс
Автор: Alekssander Apr 16 2020, 21:41
(Console @ Apr 16 2020, 22:17)
Вариант, к примеру шлюз WAN, на UP. спс
У меня есть вариант, который отправляет письмо о пропавшем/возобновившемся пинге.
Если такое подойдёт то покажу как у меня.
Автор: imenno Apr 16 2020, 22:14
Из локалки не пускает внутр локалки через внешний ИП в запросе. Где-то что-то блочит. Вот проброшены порты в локалку на один из внутр адресов. С телефона через моб инет ВнешнийИП:порт заходит. То же самое внутри локалки, нет соединения. На гавеном тплинке такого не было и пускало с такими же настройками. Любая попытка внутри локалки ввести внешнийИп:порт - нет соединения. Чтобы проверить проброс, работает ли, приходится сторонним инэтом пользоваться с телефона. Куда копать, что смотреть. На линксис такая же беда. У кого было такое?
Автор: Console Apr 16 2020, 22:14
(Alekssander @ Apr 16 2020, 22:41)
У меня есть вариант, который отправляет письмо о пропавшем/возобновившемся пинге.
Если такое подойдёт то покажу как у меня.
Я сделал через Netwatch спс
Автор: Vitaliy_y Apr 17 2020, 8:21
(imenno @ Apr 16 2020, 23:14)
Из локалки не пускает внутр локалки через внешний ИП в запросе. Где-то что-то блочит. Вот проброшены порты в локалку на один из внутр адресов. С телефона через моб инет ВнешнийИП:порт заходит. То же самое внутри локалки, нет соединения. На гавеном тплинке такого не было и пускало с такими же настройками. Любая попытка внутри локалки ввести внешнийИп:порт - нет соединения. Чтобы проверить проброс, работает ли, приходится сторонним инэтом пользоваться с телефона. Куда копать, что смотреть. На линксис такая же беда. У кого было такое?
Hairpin nat
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Автор: Console Apr 17 2020, 15:08
все же нужна доработка
CODE Format
tool e-mail send
[email protected] [email protected] subject="Down" body="ping BAD"
Метку времени
в тело письма можно добавить?
Автор: imenno Apr 17 2020, 20:15
(Vitaliy_y @ Apr 17 2020, 9:21)
Hairpin nat
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Да, спс, вот нашел то же самое в картинках)))
https://xn----7sba7aachdbqfnhtigrl.xn--j1amh/mikrotik-hairpin-nat-dostup-s-lokalnoj-seti-po-vneshnemu-ip/
Это все правда под конкретный адрес нужно писать каждый раз правило. Как сделать такое вот для всего трафика с любых внутренних ип на другой внутренний ип через внешний.
По линксис нашел в настройках "Filter Internet NAT Redirection" и убрать галочку. Но не работает все равно. Там есть еще правила маршрутизации, поиграюсь с ними.
пс. заработало, отключив "фильтр интернет нат переадресации" и "быстрая переадресация" и тут уже для всех адресов.
Автор: Sasha74 Apr 30 2020, 19:46
хочу прокинути порт ssh через вхідний Mikrotik1(білий ІР) на Mikrotik2(контролер CAPSman) у внутрішній мережі
на перший по SSH заходить - все налаштовано.
на другий по SSH заходить тільки із внутрішньої мережі
налаштування Mikrotik1 такі:
в firewall перше правило
add action=accept chain=forward comment=Allow_access_over_SSH dst-port=22 in-interface=pppoe-out protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out
add action=dst-nat chain=dstnat comment=SSH dst-address=XX.XXX.XXX.XX dst-port=55557 in-interface=pppoe-out protocol=tcp \
to-addresses=192.168.1.2 to-ports=22
в Mikrotik2 firewall пустий, всі інтерфейси об'єднані в брідж і в наті маскарадинг на цьому бриджі
що не так?
Автор: H_U_L_K Apr 30 2020, 20:13
В фаерволе на первом микротике это единственное правило? Другие пробросы портов работают?
У меня похожее было когда провтыкал отключить дроп форварда.
Автор: gonivo Apr 30 2020, 21:15
(Sasha74 @ Apr 30 2020, 20:46)
хочу прокинути порт ssh через вхідний Mikrotik1(білий ІР) на Mikrotik2(контролер CAPSman) у внутрішній мережі
на перший по SSH заходить - все налаштовано.
на другий по SSH заходить тільки із внутрішньої мережі
налаштування Mikrotik1 такі:
в firewall перше правило
add action=accept chain=forward comment=Allow_access_over_SSH dst-port=22 in-interface=pppoe-out protocol=tcp
Обратное правило добавь под ним:
add action=accept chain=forward comment=Allow_access_over_SSH src-port=22 out-interface=pppoe-out protocol=tcp
Автор: Sasha74 Apr 30 2020, 21:39
(gonivo @ Apr 30 2020, 22:15)
Обратное правило добавь под ним:
add action=accept chain=forward comment=Allow_access_over_SSH src-port=22 out-interface=pppoe-out protocol=tcp
попробував - не допомагає, поясніть логіку будь ласка, при прокидці RDP такого правила нема, хоча там і першого правила теж нема
наскільки я розумію, при проходженні першого правила пакети маркуються established і проходять по іншому правилу
Автор: gonivo Apr 30 2020, 22:06
(Sasha74 @ Apr 30 2020, 22:39)
попробував - не допомагає, поясніть логіку будь ласка, при прокидці RDP такого правила нема, хоча там і першого правила теж нема
наскільки я розумію, при проходженні першого правила пакети маркуються established і проходять по іншому правилу
1-ше правило пропускає пакети як new так і established і related бо стан з`єднання не вказаний. Але тільки у напрямку до клієнта.
Оскільки що зі зворотніми пакетами мені невідомо, то написав про зворотне правило.
Рознеси ssh на обох мікротіках по різних портах, щоб при прокиданні порт з локальним не накладався.
Автор: Sasha74 Apr 30 2020, 22:53
справа точно не в фаєрволі - дозволяв усе
Автор: gonivo Apr 30 2020, 23:47
На мікротіку2 інет точно є?
Автор: IceWallow_Come May 1 2020, 22:46
Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти
Автор: mak_v_ May 2 2020, 9:38
Открыть фаервол
Автор: VoliaMan May 2 2020, 10:04
(IceWallow_Come @ May 1 2020, 23:46)
Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти
открыть порт 8192
Автор: Console May 2 2020, 12:29
(IceWallow_Come @ May 1 2020, 23:46)
Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти
Вы из какого сегмента сети пробуите подключится?
Ниже простая инструкция
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
_https://www.technotrade.com.ua/Articles/mikrotik_quickset_setup_2012-10-12.php
(VoliaMan @ May 2 2020, 11:04)
открыть порт 8192
Это для Winbox..
Автор: IceWallow_Come May 2 2020, 13:34
(Console @ May 2 2020, 13:29)
Вы из какого сегмента сети пробуите подключится?
Захожу удаленно, по ip адресу . При подключении в локальную сеть - все получается.
Автор: gonivo May 2 2020, 17:20
(IceWallow_Come @ May 2 2020, 14:34)
Захожу удаленно, по ip адресу . При подключении в локальную сеть - все получается.
Все правильно, так и должно быть. Иначе вирусняки сожрут.
В феерволе открой доступ с домашнего IP.
Автор: IceWallow_Come May 2 2020, 20:11
(gonivo @ May 2 2020, 18:20)
Все правильно, так и должно быть. Иначе вирусняки сожрут.
В феерволе открой доступ с домашнего IP.
А не могли бы выложить сюда скрин где это нужно сделать? Так как я не на объекте и придется просить "местных" ))
Автор: gonivo May 3 2020, 1:27
(IceWallow_Come @ May 2 2020, 21:11)
А не могли бы выложить сюда скрин где это нужно сделать? Так как я не на объекте и придется просить "местных" ))
http://piccy.info/view3/13785515/99166b2c103b1ad0699e028ee63d3a67/1200/http://i.piccy.info/a3c/2020-05-02-23-30/i9-13785515/800x389-r
Автор: IceWallow_Come May 4 2020, 18:07
(gonivo @ May 3 2020, 2:27)
http://piccy.info/view3/13785515/99166b2c103b1ad0699e028ee63d3a67/1200/http://i.piccy.info/a3c/2020-05-02-23-30/i9-13785515/800x389-r
Огромное спасибо! Все получилось! И я еще на всякий случай прописал в ip - services, напротив 80-го порта свой домашний ip. С меня плюсег!
Автор: olexande May 27 2020, 20:34
Доброго дня!
Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.
Провайдер зараз 1н. веб серверів, щоб могли обробити запит - хочу встановити 2.
Таке цікавить:
http://piccy.info/view3/13826670/a23a7cfce04a45eae17117fbe98ed48a/http://i.piccy.info/a3c/2020-05-27-18-32/i9-13826670/240x163-r
В ідеалі, якщо 1н з серверів відключиться, щоб на нього запити перестали надсилатися.
Чи я сам відключу ...
Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.
Автор: Tiger May 28 2020, 10:05
(olexande @ May 27 2020, 21:34)
Доброго дня!
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.
Провайдер зараз 1н. веб серверів, щоб могли обробити запит - хочу встановити 2.
Таке цікавить:
http://piccy.info/view3/13826670/a23a7cfce04a45eae17117fbe98ed48a/http://i.piccy.info/a3c/2020-05-27-18-32/i9-13826670/240x163-r
В ідеалі, якщо 1н з серверів відключиться, щоб на нього запити перестали надсилатися.
Чи я сам відключу ...
Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.
Да, можно, но очень урезанно. Балансировщики это довольно умные и дорогие железки.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
https://tikdis.com/mikrotik-routeros/hardware/inbound-load-balancing-servers/
Автор: GhostKU May 28 2020, 10:19
Нужно обновить домашний роутер, остановился на hAP AC2 Норм? Или что другое порекомендуете?
Основные требования:
- Скорость работы (Нормальный, честный гигабит между портами, Хороший WiFi)
- Надежность
- Поднять VPN чтобы снаружи домой ходить
Еще в пару к роутеру нужен будет гигабитный комутатор, ХЗ чё брать
Автор: Tiger May 28 2020, 11:30
(GhostKU @ May 28 2020, 11:19)
Нужно обновить домашний роутер, остановился на hAP AC2 Норм? Или что другое порекомендуете?
Основные требования:
- Скорость работы (Нормальный, честный гигабит между портами, Хороший WiFi)
- Надежность
- Поднять VPN чтобы снаружи домой ходить
Еще в пару к роутеру нужен будет гигабитный комутатор, ХЗ чё брать
У меня такой стоит. Надежность и функционал - да. Гигабит честный тоже. Wi-Fi слабоват (не с точки зрения скорости, а с точки зрения пробивания стен). Но и не будет его нормального без внешних антенн.
Коммутатор - тот же микротик вменяемых денег стоит. Даже с PoE не дорогие модели есть.
Автор: GhostKU May 28 2020, 11:55
(Tiger @ May 28 2020, 12:30)
У меня такой стоит. Надежность и функционал - да. Гигабит честный тоже. Wi-Fi слабоват (не с точки зрения скорости, а с точки зрения пробивания стен). Но и не будет его нормального без внешних антенн.
Коммутатор - тот же микротик вменяемых денег стоит. Даже с PoE не дорогие модели есть.
Заказал hAP ac² + RB260GSP
Посмотрим что там с пробиванием стен.
Автор: mak_v_ May 28 2020, 11:57
(olexande @ May 27 2020, 21:34)
Доброго дня!
Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.
Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.
Настройте keepalived между srv1 и srv2 а микротик оставьте в покое ))
Автор: gonivo May 28 2020, 14:35
(olexande @ May 27 2020, 21:34)
Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.
Нгинкс тестирует свои апстримы, если они выходят из строя то исключает.
Поломка микротика так же вероятна как и поломка пк с нгинксом.
Если хочется балансировки не привязанной к чему то одному то проще всего через DNS.
Автор: Console May 29 2020, 9:45
(GhostKU @ May 28 2020, 11:19)
Нужно обновить домашний роутер, остановился на hAP AC2 Норм? Или что другое порекомендуете?
Основные требования:
- Скорость работы (Нормальный, честный гигабит между портами, Хороший WiFi)
- Надежность
- Поднять VPN чтобы снаружи домой ходить
Еще в пару к роутеру нужен будет гигабитный комутатор, ХЗ чё брать
Mikrotik hAP ac (RB962UiGS-5HacT2HnT)
Брал в офис такой, весь этаж накрывает с учетом гипсокартонных стен.
Автор: javelin Jul 15 2020, 23:49
Так как канал слабый, сейчас использую в качестве ограничения скорости simple queue с burst limit, т.е. обычная скорость сейчас выставлена как 5мбит/сек, но если юзер начнет что-то качать, то через 10 секунд его скорость снижается до 1мбит/сек. Но это все равно не помогает, так как я неоднократно наблюдал (через torch), что сидят 5-7 юзеров со скоростью до 5мбит/сек, а остальные еле-еле что-то тянут и наблюдаются проблемы с доступом в сеть.
Поэтому, хотел бы узнать, есть ли решения, которые позволяют ограничить скорость каждому юзеру по соотношению их количества к пропускной способности канала? Т.е. если 1 юзер, пусть использует весь канал, если 5 - то 1\5 пропускной способности, если 10 -то 1\10 и так далее.
Заранее спасибо!
Автор: Vitaliy_y Jul 16 2020, 10:15
(javelin @ Jul 16 2020, 0:49)
Поэтому, хотел бы узнать, есть ли решения
Заранее спасибо!
Дерево очередей https://wiki.mikrotik.com/wiki/Manual:Queue#Queue_Tree
Автор: gonivo Jul 16 2020, 14:12
(Vitaliy_y @ Jul 16 2020, 11:15)
Дерево очередей https://wiki.mikrotik.com/wiki/Manual:Queue#Queue_Tree
Тогда уже писюк с линуксом iptables и НТВ. Для того микротик и нужен чтоб обеспечить себе комфорт с simple queue.
Автор: gonivo Jul 16 2020, 14:24
(javelin @ Jul 16 2020, 0:49)
Поэтому, хотел бы узнать, есть ли решения, которые позволяют ограничить скорость каждому юзеру по соотношению их количества к пропускной способности канала? Т.е. если 1 юзер, пусть использует весь канал, если 5 - то 1\5 пропускной способности, если 10 -то 1\10 и так далее.
Заранее спасибо!
/que ty add name=netsfq kind=sfq
/queue simple add name=queue4 target=192.168.1.0/24 max-limit=100M/100M queue=netsfq/netsfq
где: target - подсеть юзеров max-limit - скорость канала.
https://wiki.mikrotik.com/wiki/Manual:Queue
И порежь им торренты. Либо на каждый айпи создай отдельное правило со скоростью или настрой PCQ - оно это сделает само внутри.
Автор: javelin Jul 16 2020, 17:17
(gonivo @ Jul 16 2020, 15:24)
/que ty add name=netsfq kind=sfq
/queue simple add name=queue4 target=192.168.1.0/24 max-limit=100M/100M queue=netsfq/netsfq
где: target - подсеть юзеров max-limit - скорость канала.
https://wiki.mikrotik.com/wiki/Manual:Queue
И порежь им торренты. Либо на каждый айпи создай отдельное правило со скоростью или настрой PCQ - оно это сделает само внутри.
Сэнкс, а если у меня два провайдера и load balancing - мне указывать скорость одного канала или общую?
Автор: Bra'tac Jul 16 2020, 22:58
Ребята. А стоит ли брать микротик 962 как основной на ввод в квартиру. К нему там два провайдера. А к нему уже подключать другую железку помощнее для ВиФи?
Автор: gonivo Jul 17 2020, 11:50
(javelin @ Jul 16 2020, 18:17)
Сэнкс, а если у меня два провайдера и load balancing - мне указывать скорость одного канала или общую?
общую
Автор: gonivo Jul 17 2020, 12:00
(Bra'tac @ Jul 16 2020, 23:58)
Ребята. А стоит ли брать микротик 962 как основной на ввод в квартиру. К нему там два провайдера. А к нему уже подключать другую железку помощнее для ВиФи?
Если сможешь настроить то бери. Я б не сказал что там вайфай маломощный: 2,4 - до 29 dBm, 5 - до 28 dBm
Автор: javelin Jul 17 2020, 20:25
Постоянно в логе сообщение, что кто-то пытается зайти через winbox, причем с ip адреса самого роутера в сети. В ip/services указал только один ip для входа ко всем службам (свой удаленный). Поменял имя администратора с дефолтного admin на свой. Что-то еще может быть сделать? А то в логе постоянно высвечиваются сообщения, что попытка входа заблокирована
Автор: gonivo Jul 18 2020, 1:22
(javelin @ Jul 17 2020, 21:25)
Постоянно в логе сообщение, что кто-то пытается зайти через winbox, причем с ip адреса самого роутера в сети. В ip/services указал только один ip для входа ко всем службам (свой удаленный). Поменял имя администратора с дефолтного admin на свой. Что-то еще может быть сделать? А то в логе постоянно высвечиваются сообщения, что попытка входа заблокирована
Микротики щас вирусняки очень любят, особенно winbox. Открытый и необновленный вламывают на раз.
/ip firewall filter
add action=accept chain=input src-address=8.8.8.8
add action=accept chain=input src-address=удаленный ип
add action=accept chain=input limit=100,50:packet protocol=icmp
add action=drop chain=input in-interface=входящий интерфейс, у тебя их 2, соответственно 2 правила.
Проверь на всякий /system script, /system scheduler, /file на предмет всякой левой херни.
Автор: javelin Jul 27 2020, 19:27
Хочу немного поэкспериментировать, подскажите, как организовать так, чтобы имея двух провайдеров - один служил для того (и только для того), чтобы я мог удаленно заходить через winbox, а второй - уже для доступа в интернет всех пользователей ? Заранее спасибо!
Автор: vilupok Jul 28 2020, 5:35
Настройте Port Knocking и будет вам счастье:
https://wiki.mikrotik.com/wiki/Port_Knocking
Или port knocking over ICMP
https://habr.com/ru/post/186488/
Автор: YaAllex Jul 28 2020, 10:55
(javelin @ Jul 27 2020, 20:27)
Хочу немного поэкспериментировать, подскажите, как организовать так, чтобы имея двух провайдеров - один служил для того (и только для того), чтобы я мог удаленно заходить через winbox, а второй - уже для доступа в интернет всех пользователей ? Заранее спасибо!
как то так
В фаерволе на инпут правилах:
1) на интрефейсе 1 го провайдера запрещаете коннектится на винбоксовый порт(input правило);
2) на интерфейсе второго провайдера разрешаете коннектится на винбоксовый порт(input правило).
3) input related, established должны быть включены
Порт винбокса, если склероз не изменяет 8291, но его можно поменять в айпи-сервисах. В них же можно прописать адреса, с которых можно коннектится.
Автор: javelin Jul 28 2020, 12:13
(YaAllex @ Jul 28 2020, 11:55)
как то так
В фаерволе на инпут правилах:
1) на интрефейсе 1 го провайдера запрещаете коннектится на винбоксовый порт(input правило);
2) на интерфейсе второго провайдера разрешаете коннектится на винбоксовый порт(input правило).
3) input related, established должны быть включены
Порт винбокса, если склероз не изменяет 8291, но его можно поменять в айпи-сервисах. В них же можно прописать адреса, с которых можно коннектится.
Меня больше интересует, как пускать траффик только через второго провайдера (подозреваю что нужно трафик маркировать в mangle и указывать routing mark на втором прове в IP->Routes )
Я наверное неправильно акцентировал внимание)) Заходить на winbox хочу через первого, так как у него белый статический ip и я могу зайти удаленно.
Автор: YaAllex Jul 28 2020, 13:01
(javelin @ Jul 28 2020, 13:13)
Меня больше интересует, как пускать траффик только через второго провайдера (подозреваю что нужно трафик маркировать в mangle и указывать routing mark на втором прове в IP->Routes )
Я наверное неправильно акцентировал внимание)) Заходить на winbox хочу через первого, так как у него белый статический ip и я могу зайти удаленно.
Простейший способ это routes -> distance . Трафик пойдет через route с меньшим параметром.
ИМХО, маркировка трафика будет работать, но немного сложно и, для новичка, может привести к неоднозначным результатам.
Автор: javelin Jul 28 2020, 13:33
(YaAllex @ Jul 28 2020, 14:01)
Простейший способ это routes -> distance . Трафик пойдет через route с меньшим параметром.
ИМХО, маркировка трафика будет работать, но немного сложно и, для новичка, может привести к неоднозначным результатам.
Тоже думал так, но у меня в route у ISP1 и ISP2 - distance стоит 0 в строках, которые генерируются динамически и я не могу им присвоить ни 1, ни 2...
Почему спрашиваю, а не пробую, потому что пока нахожусь удаленно и не хочу, чтобы я что-то не то нажал и у меня пропал доступ к микротику )))
Автор: YaAllex Jul 28 2020, 14:44
(javelin @ Jul 28 2020, 14:33)
Тоже думал так, но у меня в route у ISP1 и ISP2 - distance стоит 0 в строках, которые генерируются динамически и я не могу им присвоить ни 1, ни 2...
Почему спрашиваю, а не пробую, потому что пока нахожусь удаленно и не хочу, чтобы я что-то не то нажал и у меня пропал доступ к микротику )))
Генерируются динамически - это через DHCP-клиент? Если да, то обратите внимание на вкладку advanced и соответсвенно на поле distance в DHCP-клиенте
Автор: javelin Jul 28 2020, 14:52
(YaAllex @ Jul 28 2020, 15:44)
Генерируются динамически - это через DHCP-клиент? Если да, то обратите внимание на вкладку advanced и соответсвенно на поле distance в DHCP-клиенте
Точно спасибо! Т.е. если я укажу для основного провайдера - distance=1, а для того, через которого я буду заходить удаленно на mikrotik - distance=2, я смогу зайти зайти на микротик? (дело в том, что я не могу зайти на микротик через основного провайдера из-за ip )
Автор: gonivo Jul 28 2020, 17:39
(javelin @ Jul 28 2020, 15:52)
Точно спасибо! Т.е. если я укажу для основного провайдера - distance=1, а для того, через которого я буду заходить удаленно на mikrotik - distance=2, я смогу зайти зайти на микротик? (дело в том, что я не могу зайти на микротик через основного провайдера из-за ip )
Нажми кнопку Safe Mode в винбоксе, а потом уже делай изменения. Если что то пойдет не так то все само назад вернется. Если уверен что заработало - отжимаешь кнопку.
(javelin @ Jul 9 2020, 1:06)
Вообщем, я сделал все по мануалу, только заменил в IP Adresses адреса ISP1 и ISP2 на 192.168.100.1 и 192.168.200.1, соответственно, и bridge интерфейс LAN оставил на дефолтном 192.168.88.1 (так как с другими настройками интернет в роутере не поднимался) - выход в интернет работает, но в IP routes все гейтвеи 192.168.ххх.254 указаны как unreachable... Просто я не могу понять - .254 - это зарезервированный адрес для гейтвея подсети или как?
Вот такой вышел файлик:
CODE Format
#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
Вместо 2-х этих правил оставь одно и жестко привяжи метку, например:
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1
Автор: javelin Jul 28 2020, 20:47
(gonivo @ Jul 28 2020, 18:39)
Нажми кнопку Safe Mode в винбоксе, а потом уже делай изменения. Если что то пойдет не так то все само назад вернется. Если уверен что заработало - отжимаешь кнопку.
Вместо 2-х этих правил оставь одно и жестко привяжи метку, например:
/ip firewall mangle add src-address=192.168.88.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1
Спасибо, буду пробовать
Автор: javelin Jul 28 2020, 21:48
А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа
Автор: YaAllex Jul 28 2020, 22:25
(javelin @ Jul 28 2020, 22:48)
А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа
vpn настроить
Автор: Vitaliy_y Jul 29 2020, 7:45
(javelin @ Jul 28 2020, 22:48)
А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа
ssh туннель
Автор: gonivo Jul 29 2020, 19:20
(javelin @ Jul 28 2020, 22:48)
А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа
https://asp24.com.ua/blog/nastrojka-pptp-server-mikrotik/#prettyPhoto
Автор: javelin Aug 17 2020, 22:58
(gonivo @ Jul 16 2020, 15:24)
И порежь им торренты.
А как это сделать?)
Автор: gonivo Aug 18 2020, 18:51
(javelin @ Aug 17 2020, 23:58)
А как это сделать?)
До 39-й версии было все просто:
add action=drop chain=forward p2p=all-p2p
Или для надежности промаркировать соединение а потом его грохнуть.
Но потом то ли торренты шифроваться стали то ли микротиковцы решили повые... но этот критерий выпилили.
Потому:
https://www.mansooryousaf.com/2018/01/18/block-bittorrent-and-p2p-using-latest-mikrotik-version-6-41/
как я думаю ключевыми являются правила:
add action=drop chain=forward dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=\
!0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
src-address-list=Torrent-Conn
- кто попал под критерий layer7-protocol=layer7-bittorrent-exp - тому тупо завалить порты 1024-65535 на 2 мин.
Автор: KoNoRIMCI Aug 24 2020, 9:28
Winbox:
Q: "Auto resize column to fit the header and content size" - please add this option in the future updates of the Winbox.
A: We will add this the future improvements when a similar request will be from more users, we will see how to implement such a feature.
Автор: Sasha74 Aug 28 2020, 8:33
питання про мікротік Wi Fi
на даний час налаштовано Capsman і використовуються дві групи точок (використовуються RB951Ui-2HnD) на каналах 1 і 11. Ширина каналу виставлена в Capsmah 20mHz і по факту вона становить 40 mHz. З'явилась потреба поставити точку на каналі 6 і відповідно поставити ширину каналу фактичну 20 mHz, щоб всі канали не пересікалися. і от коли ставлю в Capsman ширину каналу 10 mHz пропадає сигнал на телефонах і ноутбуках, телефони дивився різні.
Що можна зробити в такому випадку?
вирішено, треба поставити extension channel disabled
Автор: YaAllex Aug 28 2020, 11:46
(Sasha74 @ Aug 28 2020, 9:33)
питання про мікротік Wi Fi
на даний час налаштовано Capsman і використовуються дві групи точок (використовуються RB951Ui-2HnD) на каналах 1 і 11. Ширина каналу виставлена в Capsmah 20mHz і по факту вона становить 40 mHz. З'явилась потреба поставити точку на каналі 6 і відповідно поставити ширину каналу фактичну 20 mHz, щоб всі канали не пересікалися. і от коли ставлю в Capsman ширину каналу 10 mHz пропадає сигнал на телефонах і ноутбуках, телефони дивився різні.
Що можна зробити в такому випадку?
1.Не ставить на 10mHz, а вернуть стандартные 20mHz.
2. Если хотите отключить расширения канала до 40mHz, то Вам нужно отключить опцию "Extension Channel" ->disabled
Автор: uvv802 Sep 30 2020, 15:41
Коллеги!
Помогите рулить IPTV трафиком на роутере.
Имеем:
1. адрес потока в плейлисте: хттпсадрес.потока.ком/индекс.м3у/токен=токен
2. роутер
Задача:
1. Поймать трафик (layer 7?)
2. Дать ему приоритет (с этим справлюсь сам)
Без проблем получается при известном IP, (забил в adress list iptv запись адрес.потока.ком (с IP х.х.х.х) и создал правило маркировки пакетов) но на адрес.потока.ком IP периодически меняется,
и тут возникают сложности - пакеты не маркируются
а иногда (есть у меня такие подозрения и torch меня в этом убеждает) что трафик IPTV идет с других адресов (например с адреса у.у.у.у а не с адрес.потока.ком (x.x.x.x))
а дальше не хватает знаний
Спасибо за подсказки в какую сторону копнуть
Автор: H_U_L_K Sep 30 2020, 16:05
А привязаться не к ИП, а к домену не вариант? Вроде бы в ютубе на mikrotik training Рома это рассказывал...
Автор: uvv802 Sep 30 2020, 20:32
(H_U_L_K @ Sep 30 2020, 17:05)
А привязаться не к ИП, а к домену не вариант? Вроде бы в ютубе на mikrotik training Рома это рассказывал...
ну у домена в плейлисте ИП х.х.х.х, а поток идет с ИП у.у.у.у, а завтра пойдет с ИП z.z.z.z
как быть в этой ситуации, вот в чем вопрос..
Автор: Vitaliy_y Oct 1 2020, 19:45
(uvv802 @ Sep 30 2020, 21:32)
ну у домена в плейлисте ИП х.х.х.х, а поток идет с ИП у.у.у.у, а завтра пойдет с ИП z.z.z.z
как быть в этой ситуации, вот в чем вопрос..
Понимание как работают редиректы прояснит ситуацию, включите снифер, и поклацайте приставкой, потом в шарке можно посмотреть что творится и как это маркировать.
Автор: uvv802 Oct 2 2020, 14:42
(Vitaliy_y @ Oct 1 2020, 20:45)
Понимание как работают редиректы прояснит ситуацию, включите снифер, и поклацайте приставкой, потом в шарке можно посмотреть что творится и как это маркировать.
Спасибо за наводку!
Ответ с х.х.х.х приходит
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Hypertext Transfer Protocol
HTTP/1.1 302 Moved Temporarily\r\n
Server: nginx/1.10.3 (Ubuntu)\r\n
Date: Fri, 02 Oct 2020 12:30:56 GMT\r\n
Content-Type: text/html\r\n
Content-Length: 170\r\n
Connection: keep-alive\r\n
Location: http://НОВЫЙ_АДРЕС:8080/14106/index.m3u8?token=токен\r\n
\r\n
[HTTP response 1/1]
[Time since request: 0.044987000 seconds]
[Request in frame: 21]
[Request URI: http://х.х.х.х/14106/index.m3u8?token=ТОКЕН]
File Data: 170 bytes
Теперь как этот редирект запихнуть в правила Mangle, не указывая явно новый ИП?
Куда копнуть?
Автор: Vitaliy_y Oct 5 2020, 15:34
(uvv802 @ Oct 2 2020, 15:42)
Спасибо за наводку!
Сорян, провтыкал сообщение, маркируйте тогда исходящие запросы и ловите обратный трафик на приставку
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
chain=prerouting action=mark-connection new-connection-mark=preroute
passthrough=yes connection-state=new protocol=tcp
src-address=192.168.88.11 dst-port=443 log=yes log-prefix="!newconn"
chain=postrouting action=mark-packet new-packet-mark=postroute passthrough=yes
dst-address=192.168.88.11 connection-mark=FromHome log=yes
log-prefix="postroute"
ну и дальше в очередях давайте приоритет пакетам
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
сам не тестил
Автор: uvv802 Oct 5 2020, 20:26
(Vitaliy_y @ Oct 5 2020, 16:34)
Сорян, провтыкал сообщение, маркируйте тогда исходящие запросы и ловите обратный трафик на приставку
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
chain=prerouting action=mark-connection new-connection-mark=preroute
passthrough=yes connection-state=new protocol=tcp
src-address=192.168.88.11 dst-port=443 log=yes log-prefix="!newconn"
chain=postrouting action=mark-packet new-packet-mark=postroute passthrough=yes
dst-address=192.168.88.11 connection-mark=FromHome log=yes
log-prefix="postroute"
ну и дальше в очередях давайте приоритет пакетам
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
сам не тестил
Спасибо!
работает, но) для конкретного айпи из домашней сети)
Попытаюсь теперь реализовать схему, если из домашней сети выходит любой девайс для просмотра IPTV (то есть айпи исходящего запроса заранее не известен)
Хотел сделать через формирование списков IP
и сразу затык на этапе определения клиента, который хочет/отправил запрос на IPTV
Если делать через Adress lists, то не работает правило
chain=prerouting action=add dst to address list address-list=iptv_addr
passthrough=yes connection-state=new protocol=tcp
dst-address-list=iptv
вернее оно показівает только конкретное соединение из списка iptv, и не показывает адрес переадрессации
Автор: Vitaliy_y Oct 5 2020, 20:58
(uvv802 @ Oct 5 2020, 21:26)
Спасибо!
работает, но) для конкретного айпи из домашней сети)
Попытаюсь теперь реализовать схему, если из домашней сети выходит любой девайс для просмотра IPTV (то есть айпи исходящего запроса заранее не известен)
Хотел сделать через формирование списков IP
и сразу затык на этапе определения клиента, который хочет/отправил запрос на IPTV
Если делать через Adress lists, то не работает правило
chain=prerouting action=add dst to address list address-list=iptv_addr
passthrough=yes connection-state=new protocol=tcp
dst-address-list=iptv
вернее оно показівает только конкретное соединение из списка iptv, и не показывает адрес переадрессации
Там не нужен Adress lists, в первом правиле вы маркируете новые соединения от клиента, дальше входящие пакеты с маркировкой коннекта, а он будет каждый раз новый, через connection tracking маркируются и ими можно рулить в очереди.
Зы, если хотите разруливать для всех клиентов попробуйте маркировать через regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
https://habr.com/ru/post/346052/ можно почитать про блокировку ютубчика, такой же принцип можно использовать для маркировки и приоритета.
Главное в preroute маркировать только необходимые запросы а потом в postroute ловить ответы, если просто тупо юзать layer7 для всего будет лишняя нагрузка на проц и тупняки ^)
Это ЭдемТВ такой фигней страдает, проксят что бы за попу не взяли
Если расскажете подробно почему тупит иптв может и правила рисовать не нужно будет
Автор: uvv802 Oct 5 2020, 21:34
(Vitaliy_y @ Oct 5 2020, 21:58)
Там не нужен Adress lists, в первом правиле вы маркируете новые соединения от клиента, дальше входящие пакеты с маркировкой коннекта, а он будет каждый раз новый, через connection tracking маркируются и ими можно рулить в очереди.
Зы, если хотите разруливать для всех клиентов попробуйте маркировать через regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
https://habr.com/ru/post/346052/ можно почитать про блокировку ютубчика, такой же принцип можно использовать для маркировки и приоритета.
Главное в preroute маркировать только необходимые запросы а потом в postroute ловить ответы, если просто тупо юзать layer7 для всего будет лишняя нагрузка на проц и тупняки ^)
Это ЭдемТВ такой фигней страдает, проксят что бы за попу не взяли
Если расскажете подробно почему тупит иптв может и правила рисовать не нужно будет
Спасибо вам за помощь! 1цент не тупит ДО wan порта, а вот дальше есть такой непредсказуемый фактор, как дети)), и вот когда этот фактор начинает ченить качать во время интересного кино, то оно в самый интересный момент ломается)
Естественно, гораздо проще шейпить деток) на конкретных IP (что и было сделано), НО нет пределу совершенству и руки чешутся в поисках нестандартных и/или универсальных решений (нннада было брать Кинетик))
Как то так)
Автор: uvv802 Oct 5 2020, 23:36
(Vitaliy_y @ Oct 5 2020, 21:58)
Там не нужен Adress lists, в первом правиле вы маркируете новые соединения от клиента, дальше входящие пакеты с маркировкой коннекта, а он будет каждый раз новый, через connection tracking маркируются и ими можно рулить в очереди.
Зы, если хотите разруливать для всех клиентов попробуйте маркировать через regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
https://habr.com/ru/post/346052/ можно почитать про блокировку ютубчика, такой же принцип можно использовать для маркировки и приоритета.
Главное в preroute маркировать только необходимые запросы а потом в postroute ловить ответы, если просто тупо юзать layer7 для всего будет лишняя нагрузка на проц и тупняки ^)
Это ЭдемТВ такой фигней страдает, проксят что бы за попу не взяли
Если расскажете подробно почему тупит иптв может и правила рисовать не нужно будет
в общем как-то очень криво маркировались пакеты по маркированым соединениям (а именно маркировались первые несколько пакетов и все)
Решение нашел возможно кривоватое, но рабочее
regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
add action=add-dst-to-address-list chain=prerouting protocol=tcp connection-mark=no-mark layer7-protocol=iptv address-list=iptv passthrough=yes
add action=mark-packet chain=postrouting srs-address-list=iptv new-packet-mark=iptv_mark passthrough=yes
Ну а дальше пакеты iptv_mark рулим как угодно. (в моем случае - в приоритет)
Теперь IPTV трафик пойдет в приоритет независимо от того, кто его попросил
[quote name='Vitaliy_y'] спасибо за помощь!
Автор: Vitaliy_y Oct 6 2020, 8:51
Вот и та ошибка про которую я писал выше, у вас теперь весь трафик chain=prerouting прогоняется через фильтр layer7, а это есть плохо, лишняя нагрузка на ресурсы роутера.
Автор: uvv802 Oct 6 2020, 18:19
(Vitaliy_y @ Oct 6 2020, 9:51)
Вот и та ошибка про которую я писал выше, у вас теперь весь трафик chain=prerouting прогоняется через фильтр layer7, а это есть плохо, лишняя нагрузка на ресурсы роутера.
не хочет маркировать пакеты
Автор: -=R=- Oct 9 2020, 11:12
небольшой оффтоп
никто не подскажет, кто занимается ремонтом микротов в Киеве? хотелось бы оживить MikroTik CRS112-8G-4S-IN
Автор: Vitaliy_y Oct 9 2020, 11:38
(-=R=- @ Oct 9 2020, 12:12)
небольшой оффтоп
никто не подскажет, кто занимается ремонтом микротов в Киеве? хотелось бы оживить MikroTik CRS112-8G-4S-IN
Официального сервиса нет, попробуй в технотрейд позвонить, а что с железкой?
Автор: -=R=- Oct 9 2020, 11:45
(Vitaliy_y @ Oct 9 2020, 11:38)
Официального сервиса нет, попробуй в технотрейд позвонить, а что с железкой?
спасибо за подсказку....да судя по всему скачок напруги был и микрот слега в шоке)
Автор: GINic Oct 9 2020, 12:35
(Vitaliy_y @ Oct 9 2020, 12:38)
Официального сервиса нет, попробуй в технотрейд позвонить...
там жырным по белому написано -
Если оборудование приобретено не у нас, мы его ремонтировать не будем!
Автор: gonivo Oct 10 2020, 11:26
(-=R=- @ Oct 9 2020, 12:12)
небольшой оффтоп
никто не подскажет, кто занимается ремонтом микротов в Киеве? хотелось бы оживить MikroTik CRS112-8G-4S-IN
Я год назад носил в Астрател, тоже сгорели цепи питания от скачка напряжения. Делали больше недели но сделали.
Автор: Fanta Nov 9 2020, 11:46
Всім привіт!
колеги, підкажіть, плз.
Я правильно розумію що такий сабж як MikroTik CRS326-24G-2S не має РоЕ на портах для того щоб "запитать" з нього ІР-телефони (в даному випадку мова про грандстріми)
Чи все таки можна?
Автор: Tiger Nov 9 2020, 11:57
(Fanta @ Nov 9 2020, 11:46)
Чи все таки можна?
У него только PoE in. Он может по PoE питаться. Сам питать кого-то нет.
Автор: Console Nov 9 2020, 17:09
вопрос, есть в микротике стандартное правило фаервола
drop all from WAN not DSTNATed
CODE Format
chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connectionstate=new in-interfacelist=WAN
И есть у меня правило dstnat для icmp, самое простое, но вот оно не работает при
drop all from WAN not DSTNATed
где я туплю?
Автор: Tiger Nov 9 2020, 17:11
(Console @ Nov 9 2020, 17:09)
где я туплю?
Порядок правил правильный?
Автор: Console Nov 9 2020, 17:18
(Tiger @ Nov 9 2020, 17:11)
Порядок правил правильный?
drop all from WAN not DSTNATed
в самом конце списка в вкладке списка фаервол, а dstnat идет вторым после маскарада в вкладке NAT
Автор: H_U_L_K Nov 10 2020, 10:24
(Console @ Nov 9 2020, 17:09)
вопрос, есть в микротике стандартное правило фаервола
CODE Format
chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connectionstate=new in-interfacelist=WAN
И есть у меня правило dstnat для icmp, самое простое, но вот оно не работает при
где я туплю?
А почему тут connection state "new"? (И правило показано не полность, нет action, хотя по логике там drop).
Вы же дропаете весь new трафик...
У Вас же должно быть перед ним правило с accept forward established/related.
Автор: Vitaliy_y Nov 10 2020, 12:06
(H_U_L_K @ Nov 10 2020, 10:24)
А почему тут connection state "new"? (И правило показано не полность, нет action, хотя по логике там drop).
Вы же дропаете весь new трафик...
У Вас же должно быть перед ним правило с accept forward established/related.
Это из другой оперы, когда микрот открыл коннект мы пускаем обратно пакеты по connection state
CODE Format
chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connectionstate=new in-interfacelist=WAN
Дропает все новые входящие пакеты которых нет в dstnat (проброс портов за нат) к самому микроту
перед ним должно быть что то типа
CODE Format
add action=accept protocol=icmp chain=forward in-interface=WAN
Вообще в правилах НАТа и фильтра проще включить логи тогда понятно будет где затыкается.
Автор: Fanta Nov 10 2020, 16:32
(Tiger @ Nov 9 2020, 12:57)
У него только PoE in. Он может по PoE питаться. Сам питать кого-то нет.
гуру,тоді порадьте гігабітний свіч з РоЕ
Автор: Vitaliy_y Nov 10 2020, 19:16
(Fanta @ Nov 10 2020, 16:32)
А зачем гигабит для poe железяк?
типа такого
Ubiquiti UniFi Switch 24-250W
для телефонов сотки за глаза и ценники на свичи будут более гуманные
Автор: Fanta Nov 10 2020, 20:27
(Vitaliy_y @ Nov 10 2020, 20:16)
А зачем гигабит для poe железяк?
типа такого
бо телефони будуть гігабітні, і девайси "за ними" теж гігабітні!
Це ж все береться на років 5-7
Автор: tiss Nov 10 2020, 21:20
(Fanta @ Nov 10 2020, 20:27)
бо телефони будуть гігабітні, і девайси "за ними" теж гігабітні!
Це ж все береться на років 5-7
MikroTik CRS328-24P-4S+RM
Ну или вариант купить пучок ПОЕ инжекторов
Автор: Vitaliy_y Nov 10 2020, 21:22
(Fanta @ Nov 10 2020, 20:27)
бо телефони будуть гігабітні, і девайси "за ними" теж гігабітні!
Це ж все береться на років 5-7
Из личного опыта, хреновая идея юзать свич телефона для подключения пк за ним, особенно градстримы, тестил, отвалы, 10 мегабит на порт компа, завис телефон отвалилась сеть на ПК
Если на 5 лет тогда строить сеть аля две розетки на место или юзать 5е на 100 мегабит 2 на 2 пары без пое и прочих изватов с разными свичами и влан, но нужно найти нормальных монтажников.
То что хотите сейчас будет костыльно и глючно в проде
Автор: Fanta Nov 10 2020, 23:03
(Vitaliy_y @ Nov 10 2020, 22:22)
Из личного опыта, хреновая идея юзать свич телефона для подключения пк за ним, особенно градстримы, тестил, отвалы, 10 мегабит на порт компа, завис телефон отвалилась сеть на ПК
Если на 5 лет тогда строить сеть аля две розетки на место или юзать 5е на 100 мегабит 2 на 2 пары без пое и прочих изватов с разными свичами и влан, но нужно найти нормальных монтажников.
То что хотите сейчас будет костыльно и глючно в проде
от блін (
з цискофонам живу 5+ років і нема біди ((
щодо двох розеток - ну багата жизнь она другая, да ))
Клієнт хоче мініму проводів на робочому місці і 1гб
Автор: Vitaliy_y Nov 11 2020, 9:33
(Fanta @ Nov 10 2020, 23:03)
от блін (
з цискофонам живу 5+ років і нема біди ((
щодо двох розеток - ну багата жизнь она другая, да ))
Клієнт хоче мініму проводів на робочому місці і 1гб
Смотря сколько клиентов, может две розетки оно и не дорого получится, включайте телефоны родными блочками питания, мне кажется так надежнее
Автор: Sasha74 Nov 30 2020, 13:54
Вітаю. Є проблема з CAPSMAN. стоїть 3 шт мікротіки у внутрішній мережі. один з них контроллер (№2) capsman, канали WiFi рознесені, є основна і гостьова мережа. З'явилася потреба підключити четвертий мікротік(№5), налаштував все аналогічно, тепер два мікротіки працюють на 11 каналі і два на 1. але є проблема, на новому мікротіку (№5) не працює основна мережа, тобто вона ніби працює, але клієнти до неї не під'єднуються і їх перекидає на віддалений мікротік. Ставив новий куплений мікротік (№5) на місце робочого (№3) - та ж проблема, пробував інший мікротік - аналогічна проблема. Нижче конфігурації контролера (№2) і ведомого (№5). забув написати - стоїть вхідний мікротік (№1) на якому DHCP сервер основної мережі.
конфігурація контролера CAPSMAN:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
@MikroTik2] > export
# nov/30/2020 13:15:33 by RouterOS 6.47.8
# software id = 8M8I-3DP8
#
# model = 951Ui-2HnD
# serial number = 8A730811A5EF
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2412 name=channel1 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2417 name=channel2 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2422 name=channel3 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2427 name=channel4 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2432 name=channel5 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=channel6 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2442 name=channel7 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2447 name=channel8 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2452 name=channel9 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2457 name=channel10 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz extension-channel=eC frequency=2462 name=channel11 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2467 name=channel12 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2472 name=channel13 tx-power=30
/interface bridge
add name=bridge-lan
add fast-forward=no name=bridge-virtual
/interface wireless
# managed by CAPsMAN
# channel: 2462/20-eC/gn(27dBm), SSID: LIS, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set frequency-mode=manual-txpower ssid=MikroTik station-roaming=enabled
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes name=datapath1
add bridge=bridge-virtual name=datapath2-virtual
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=***********
add name=security2-virtual
/caps-man configuration
add channel=channel11 datapath=datapath1 distance=dynamic mode=ap name=cfg1 rx-chains=0,1,2,3 security=security1 ssid=LIS tx-chains=0,1,2,3
add channel=channel11 datapath=datapath2-virtual distance=dynamic mode=ap name=cfg2-virtual rx-chains=0,1,2,3 security=security2-virtual ssid=GUEST tx-chains=0,1,2,3
add channel=channel1 datapath=datapath1 distance=dynamic mode=ap name=cfg3 rx-chains=0,1,2,3 security=security1 ssid=LIS tx-chains=0,1,2,3
add channel=channel1 datapath=datapath2-virtual distance=dynamic mode=ap name=cfg4-virtual rx-chains=0,1,2,3 security=security2-virtual ssid=GUEST tx-chains=0,1,2,3
/caps-man interface
add channel.frequency=2462 configuration=cfg1 disabled=no l2mtu=1600 mac-address=CC:2D:E0:EE:DC:CF master-interface=none name=cap1 radio-mac=CC:2D:E0:EE:DC:CF radio-name=CC2DE0EEDCCF
add channel.frequency=2462 configuration=cfg2-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:EE:DC:CF master-interface=cap1 name=cap2 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0EEDCCF
add channel.frequency=2412 configuration=cfg3 disabled=no l2mtu=1600 mac-address=CC:2D:E0:07:86:05 master-interface=none name=cap3 radio-mac=CC:2D:E0:07:86:05 radio-name=CC2DE0078605
add channel.frequency=2412 configuration=cfg4-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:07:86:05 master-interface=cap3 name=cap4 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0078605
add channel.frequency=2462 configuration=cfg1 disabled=no l2mtu=1600 mac-address=CC:2D:E0:EF:1F:9B master-interface=none name=cap5 radio-mac=CC:2D:E0:EF:1F:9B radio-name=CC2DE0EF1F9B
add channel.frequency=2462 configuration=cfg2-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:EF:1F:9B master-interface=cap5 name=cap6 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0EF1F9B
add channel.frequency=2412 configuration=cfg3 disabled=no l2mtu=1600 mac-address=48:8F:5A:5C:95:B3 master-interface=none name=cap7 radio-mac=48:8F:5A:5C:95:B3 radio-name=488F5A5C95B3
add channel.frequency=2412 configuration=cfg4-virtual disabled=no l2mtu=1600 mac-address=48:8F:5A:5C:95:B3 master-interface=cap7 name=cap8 radio-mac=00:00:00:00:00:00 radio-name=488F5A5C95B3
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled comment=Mikrotik4 hw-supported-modes=gn master-configuration=cfg1 radio-mac=CC:2D:E0:EF:1F:9B slave-configurations=cfg2-virtual
add action=create-enabled comment=Mikrotik3 hw-supported-modes=gn master-configuration=cfg3 radio-mac=CC:2D:E0:07:86:05 slave-configurations=cfg4-virtual
add action=create-enabled comment=Mikrotik2 hw-supported-modes=gn master-configuration=cfg1 radio-mac=CC:2D:E0:EE:DC:CF slave-configurations=cfg2-virtual
add action=create-enabled comment=Mikrotik5 hw-supported-modes=gn master-configuration=cfg3 radio-mac=48:8F:5A:5C:95:B3 slave-configurations=cfg4-virtual
/interface wireless cap
#
set bridge=bridge-lan caps-man-addresses=192.168.1.2 enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.2/24 interface=bridge-lan network=192.168.1.0
add address=10.10.10.1/24 interface=bridge-virtual network=10.10.10.0
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.10.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-lan
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.7/32
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system identity
set name=MikroTik2
@MikroTik2] >
конфігурації керованих мікротіків
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
@MikroTik5] > export
# nov/30/2020 11:02:54 by RouterOS 6.47.8
# software id = LL1Z-89BD
#
# model = 951Ui-2HnD
# serial number = B8790C46B93F
/interface bridge
add name=bridge-lan
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(27dBm), SSID: LIS, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set frequency-mode=manual-txpower ssid=MikroTik station-roaming=enabled
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-lan interface=ether1
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
/interface wireless cap
#
set bridge=bridge-lan discovery-interfaces=bridge-lan enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.5/24 interface=bridge-lan network=192.168.1.0
/ip dns
set servers=192.168.1.1
/ip route
add distance=1 gateway=192.168.1.1
MikroTik5] >
Автор: Fanta Dec 1 2020, 16:41
Всім привіт!
Народ, які моделі мікрота порадит/юзаєте для віддалених офісів з безгеморною підтримкою 4G модемів ?
Автор: Sasha74 Dec 2 2020, 14:27
(Sasha74 @ Nov 30 2020, 13:54)
Вітаю. Є проблема з CAPSMAN. стоїть 3 шт мікротіки у внутрішній мережі. один з них контроллер (№2) capsman, канали WiFi рознесені, є основна і гостьова мережа. З'явилася потреба підключити четвертий мікротік(№5), налаштував все аналогічно, тепер два мікротіки працюють на 11 каналі і два на 1. але є проблема, на новому мікротіку (№5) не працює основна мережа, тобто вона ніби працює, але клієнти до неї не під'єднуються і їх перекидає на віддалений мікротік. Ставив новий куплений мікротік (№5) на місце робочого (№3) - та ж проблема, пробував інший мікротік - аналогічна проблема. Нижче конфігурації контролера (№2) і ведомого (№5). забув написати - стоїть вхідний мікротік (№1) на якому DHCP сервер основної мережі.
конфігурація контролера CAPSMAN:
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
@MikroTik2] > export
# nov/30/2020 13:15:33 by RouterOS 6.47.8
# software id = 8M8I-3DP8
#
# model = 951Ui-2HnD
# serial number = 8A730811A5EF
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=Ce frequency=2412 name=channel1 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2417 name=channel2 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2422 name=channel3 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2427 name=channel4 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2432 name=channel5 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=channel6 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2442 name=channel7 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2447 name=channel8 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2452 name=channel9 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2457 name=channel10 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz extension-channel=eC frequency=2462 name=channel11 tx-power=27
add band=2ghz-g/n control-channel-width=20mhz frequency=2467 name=channel12 tx-power=30
add band=2ghz-g/n control-channel-width=20mhz frequency=2472 name=channel13 tx-power=30
/interface bridge
add name=bridge-lan
add fast-forward=no name=bridge-virtual
/interface wireless
# managed by CAPsMAN
# channel: 2462/20-eC/gn(27dBm), SSID: LIS, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set frequency-mode=manual-txpower ssid=MikroTik station-roaming=enabled
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes name=datapath1
add bridge=bridge-virtual name=datapath2-virtual
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 passphrase=***********
add name=security2-virtual
/caps-man configuration
add channel=channel11 datapath=datapath1 distance=dynamic mode=ap name=cfg1 rx-chains=0,1,2,3 security=security1 ssid=LIS tx-chains=0,1,2,3
add channel=channel11 datapath=datapath2-virtual distance=dynamic mode=ap name=cfg2-virtual rx-chains=0,1,2,3 security=security2-virtual ssid=GUEST tx-chains=0,1,2,3
add channel=channel1 datapath=datapath1 distance=dynamic mode=ap name=cfg3 rx-chains=0,1,2,3 security=security1 ssid=LIS tx-chains=0,1,2,3
add channel=channel1 datapath=datapath2-virtual distance=dynamic mode=ap name=cfg4-virtual rx-chains=0,1,2,3 security=security2-virtual ssid=GUEST tx-chains=0,1,2,3
/caps-man interface
add channel.frequency=2462 configuration=cfg1 disabled=no l2mtu=1600 mac-address=CC:2D:E0:EE:DC:CF master-interface=none name=cap1 radio-mac=CC:2D:E0:EE:DC:CF radio-name=CC2DE0EEDCCF
add channel.frequency=2462 configuration=cfg2-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:EE:DC:CF master-interface=cap1 name=cap2 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0EEDCCF
add channel.frequency=2412 configuration=cfg3 disabled=no l2mtu=1600 mac-address=CC:2D:E0:07:86:05 master-interface=none name=cap3 radio-mac=CC:2D:E0:07:86:05 radio-name=CC2DE0078605
add channel.frequency=2412 configuration=cfg4-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:07:86:05 master-interface=cap3 name=cap4 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0078605
add channel.frequency=2462 configuration=cfg1 disabled=no l2mtu=1600 mac-address=CC:2D:E0:EF:1F:9B master-interface=none name=cap5 radio-mac=CC:2D:E0:EF:1F:9B radio-name=CC2DE0EF1F9B
add channel.frequency=2462 configuration=cfg2-virtual disabled=no l2mtu=1600 mac-address=CE:2D:E0:EF:1F:9B master-interface=cap5 name=cap6 radio-mac=00:00:00:00:00:00 radio-name=CE2DE0EF1F9B
add channel.frequency=2412 configuration=cfg3 disabled=no l2mtu=1600 mac-address=48:8F:5A:5C:95:B3 master-interface=none name=cap7 radio-mac=48:8F:5A:5C:95:B3 radio-name=488F5A5C95B3
add channel.frequency=2412 configuration=cfg4-virtual disabled=no l2mtu=1600 mac-address=48:8F:5A:5C:95:B3 master-interface=cap7 name=cap8 radio-mac=00:00:00:00:00:00 radio-name=488F5A5C95B3
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled comment=Mikrotik4 hw-supported-modes=gn master-configuration=cfg1 radio-mac=CC:2D:E0:EF:1F:9B slave-configurations=cfg2-virtual
add action=create-enabled comment=Mikrotik3 hw-supported-modes=gn master-configuration=cfg3 radio-mac=CC:2D:E0:07:86:05 slave-configurations=cfg4-virtual
add action=create-enabled comment=Mikrotik2 hw-supported-modes=gn master-configuration=cfg1 radio-mac=CC:2D:E0:EE:DC:CF slave-configurations=cfg2-virtual
add action=create-enabled comment=Mikrotik5 hw-supported-modes=gn master-configuration=cfg3 radio-mac=48:8F:5A:5C:95:B3 slave-configurations=cfg4-virtual
/interface wireless cap
#
set bridge=bridge-lan caps-man-addresses=192.168.1.2 enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.2/24 interface=bridge-lan network=192.168.1.0
add address=10.10.10.1/24 interface=bridge-virtual network=10.10.10.0
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.10.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge-lan
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.7/32
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/system identity
set name=MikroTik2
@MikroTik2] >
конфігурації керованих мікротіків
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
@MikroTik5] > export
# nov/30/2020 11:02:54 by RouterOS 6.47.8
# software id = LL1Z-89BD
#
# model = 951Ui-2HnD
# serial number = B8790C46B93F
/interface bridge
add name=bridge-lan
/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(27dBm), SSID: LIS, CAPsMAN forwarding
set [ find default-name=wlan1 ] antenna-gain=0 country=no_country_set frequency-mode=manual-txpower ssid=MikroTik station-roaming=enabled
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge-lan interface=ether1
add bridge=bridge-lan interface=ether2
add bridge=bridge-lan interface=ether3
add bridge=bridge-lan interface=ether4
add bridge=bridge-lan interface=ether5
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
/interface wireless cap
#
set bridge=bridge-lan discovery-interfaces=bridge-lan enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.5/24 interface=bridge-lan network=192.168.1.0
/ip dns
set servers=192.168.1.1
/ip route
add distance=1 gateway=192.168.1.1
MikroTik5] >
проблема вирішена. поміняв mac адреси на всіх slave cap інтерфейсах, все запрацювало. Не зрозуміло тільки як працювало до цього моменту
Автор: uvv802 Jan 18 2021, 21:43
Проблема удаленного хоста?
DoH https://1.1.1.1/dns-query
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Jan/18/2021 21:25:43 dns,warning DoH server response not OK: 502: <html>
Jan/18/2021 21:25:43 dns,warning <head><title>502 Bad Gateway</title></head>
Jan/18/2021 21:25:43 dns,warning <body>
Jan/18/2021 21:25:43 dns,warning <center><h1>502 Bad Gateway</h1></center>
Jan/18/2021 21:25:43 dns,warning <hr><center>cloudflare</center>
Jan/18/2021 21:25:43 dns,warning </body>
Jan/18/2021 21:25:43 dns,warning </html>
Jan/18/2021 21:25:43 dns,warning
Jan/18/2021 21:25:55 dns,warning DoH server response not OK: 502: <html>
Jan/18/2021 21:25:55 dns,warning <head><title>502 Bad Gateway</title></head>
Jan/18/2021 21:25:55 dns,warning <body>
Jan/18/2021 21:25:55 dns,warning <center><h1>502 Bad Gateway</h1></center>
Jan/18/2021 21:25:55 dns,warning <hr><center>cloudflare</center>
Jan/18/2021 21:25:55 dns,warning </body>
Jan/18/2021 21:25:55 dns,warning </html>
Jan/18/2021 21:25:55 dns,warning
Jan/18/2021 21:25:03 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:05 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:06 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:06 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:07 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:09 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:11 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:11 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:12 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:12 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:14 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:16 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:16 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:17 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:18 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:19 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:21 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:22 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:22 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:23 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:24 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:27 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:27 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:27 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:28 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:29 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:32 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:32 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:34 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:36 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:41 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:41 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:42 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:43 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:46 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:47 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:51 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:51 dns,error DoH server connection error: Idle timeout - waiting data
Jan/18/2021 21:25:52 dns,error DoH server connection error: Idle timeout - waiting data
при этом 1.1.1.1 в это время пингуется нормально
Автор: tiss Mar 14 2021, 13:57
(Fanta @ Dec 1 2020, 16:41)
Народ, які моделі мікрота порадит/юзаєте для віддалених офісів з безгеморною підтримкою 4G модемів ?
Поздновато конечно, но несмотря на большинство микротов 951, конкретная модель не суть важна. а вот прошивка и модель модкма - вот тут начинаются танцы с бубном.
Автор: A___L___E___X Apr 3 2021, 15:56
Имеется аппарат RB962UiGS-5HacT2HnT, настроен и работает, но вот недавно решил проверить скорость wifi и был удивлен что на 2.4 максимальная скорость 40мбит\с, а на 5 максимум 60мбит\с когда канал 1гбит\с, какие только настройки не клацал но показатели не поднимаются. Как его настроить, что бы на канале 5ггц была скорость 100+ мбит? Прошивка девайса 6.48.1 И когда вношу какие изменения в ностройках бывает пропадает подключение вифи и помогает только перезагрузка самого устройства.
Автор: KoNoRIMCI Apr 3 2021, 16:04
В использовании есть такой MikroTik и тоже 1Гбит/с от провайдера. Даже ничего не настраивая при проверке с ноутбука (https://www.speedtest.net, https://speedtest.volia.com) в пределах комнаты на 5ГГц (ac) имею ~400Мбит/с. В ноутбуке стоит не родной WiFi-модуль https://ark.intel.com/content/www/ru/ru/ark/products/189347/intel-wi-fi-6-ax200-gig.html. По проводу 800-900Мбит/с.
Какое клиентское устройство? В каком режиме оно подключается к роутеру? Эту информацию и больше можно узнать через настройки роутера. В многоэтажках в крупных городах диапазон 2.4ГГц уже перегружен. Не стоит ждать больших скоростей и стабильного сигнала. Мой телефон может только 2.4ГГц с шириной канала 20МГц и выдаёт скорость ~40Мбит/с.
Внутренний тест скорости от MikroTik (https://mt.lv/btest) давно не использую, показывает очень низкие скорости. Локальную скорость предпочитаю проверять через https://iperf.fr/iperf-download.php. Для всего остального SpeedTest.
Автор: A___L___E___X Apr 3 2021, 16:36
(KoNoRIMCI @ Apr 3 2021, 17:04)
Какое клиентское устройство? В каком режиме оно подключается к роутеру?
Имеются телефоны, которые умеют 5ггц, на даче на дешманском меркусисе скорость на телефоне 200-300мбит, а дома телефон в 30см от роутера и скорость на 5ггц 50мбит и больше не поднимается((((
Автор: KoNoRIMCI Apr 3 2021, 16:46
5ГГц может быть (n).
Рекомендую убрать свои настройки и оставить минимум подключенных клиентов, в списке подключений смотреть режим работы в момент передачи данных.
Интересует (Tx Rate/Rx Rate) на https://antelecs.ru/image/catalog/blog/8_who_connect/1.png.
Автор: A___L___E___X Apr 3 2021, 17:40
вот настройки
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
http://piccy.info/view3/14273316/06961302a8667a0150f71560f98a3db7/http://i.piccy.info/a3c/2021-04-03-15-25/i9-14273316/240x211-r
http://piccy.info/view3/14273321/8252932de4c30864ab2405745351006a/http://i.piccy.info/a3c/2021-04-03-15-30/i9-14273321/240x56-r
Автор: Vitaliy_y Apr 4 2021, 12:13
(A___L___E___X @ Apr 3 2021, 18:40)
вот настройки
Channel width поставьте 20/40/80 Ceee и все заведется
Автор: Console Apr 4 2021, 12:35
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
Линк 866 мегабит через бетонную стену. Wifi AX200 Intel
Автор: A___L___E___X Apr 4 2021, 18:30
(Vitaliy_y @ Apr 4 2021, 13:13)
Channel width поставьте 20/40/80 Ceee и все заведется
помогло, теперь на телефоне под 300, а тв приставка выдала чуть больше 100.
(Console @ Apr 4 2021, 13:35)
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
выставлял как у вас но ничего не помогло и к тому же нельзя было выставить etsi
Автор: Vitaliy_y Apr 4 2021, 18:34
(A___L___E___X @ Apr 4 2021, 19:30)
помогло, теперь на телефоне под 300, а тв приставка выдала чуть больше 100.
выставлял как у вас но ничего не помогло и к тому же нельзя было выставить etsi
Все там можно выставить, можете выставить такие же настройки как у console на скрине, заведется, частоту начальную повыше, 5180 норм
Автор: Console Apr 5 2021, 20:14
(A___L___E___X @ Apr 4 2021, 19:30)
выставлял как у вас но ничего не помогло и к тому же нельзя было выставить etsi
Скинь снова настройки..
Автор: artem.ultra May 19 2021, 18:25
Всех приветствую!
Ломаю голову как сделать... Вводные
Есть сеть 10.20.2.0/23
Есть Микротик 10.20.3.253
Есть Фортигейт 10.20.3.252
На микротике есть куча сетей, для которых он дефолт. Для сети 10.20.2.0/23 этот микротик тоже дефолт.
Придумал я себе такое, что все должно остаться без изменений, микротик должен быть дефолтом для всех. НО интернет должен выходить через Фортик 10.20.3.252
Что сделал.
на микротике добавил роут 0.0.0.0 на ip фортика 10.20.3.252 и промаркировал роут через mangle
На фортике разрешил нат и все поехало.
НО. Очень странно ведет себя sip, то звука нет в одну сторону нет. то появляется спустя 5-10 сек...
Периодично в логе вижу следующее:
prerouting: in:26T out:(unknown 0), src-mac хх:хх:хх:хх:хх:хх, proto UDP, 10.20.0.164:5060->184.84.249.37:5060, NAT (10.20.0.164:5060->122.122.94.34:5060)->184.84.249.37:5060, len 32
Стронно в этом логе то, что ip 122.122.94.34 принадлежит микротику, через который выходят все остальные сети которые натятся на микротике
Может у кого-то есть более интересная идея как реализовать задачу?
Автор: tiss May 19 2021, 20:45
(artem.ultra @ May 19 2021, 18:25)
На фортике разрешил нат и все поехало.
sip на фортике пропишите в правилах - без него фортик жестко глючит
Автор: artem.ultra May 19 2021, 21:36
(tiss @ May 19 2021, 21:45)
sip на фортике пропишите в правилах - без него фортик жестко глючит
отдельным правилом разрешить sip?
у меня сейчас вот так
Автор: Alekssander Jul 16 2021, 16:19
Подскажите мне как художник художнику. )))
Поставил два MIKROTIK RB4011IGS+RM
Настроил ВПН. На сервере пришлось отключить все правила Файервола, потому как ВПН не хотел соединяться.
Я так понимаю нужно прописать вверху разрешающие правила для ВПНовских портов.
1701,500,4500? Если можно конкретнее. Просто input - protocol - (tcp) - dst.port - 1701 - in.interface - ether1(интернет) - action - accept ?
Правильно?
Ну и потом ниже запрещающие правила.
Автор: Alekssander Jul 23 2021, 13:04
(Alekssander @ Jul 16 2021, 17:19)
Подскажите мне как художник художнику. )))
Поставил два MIKROTIK RB4011IGS+RM
Настроил ВПН. На сервере пришлось отключить все правила Файервола, потому как ВПН не хотел соединяться.
Я так понимаю нужно прописать вверху разрешающие правила для ВПНовских портов.
1701,500,4500? Если можно конкретнее. Просто input - protocol - (tcp) - dst.port - 1701 - in.interface - ether1(интернет) - action - accept ?
Правильно?
Ну и потом ниже запрещающие правила.
Пока такой вариант. Но ещё не проверял.
/ip firewall filter
add chain=input action=accept protocol=udp port=1701,500,4500
add chain=input action=accept protocol=ipsec-esp
Автор: Fanta Aug 4 2021, 15:34
Hi ALL
Шось затихла тема ....
Просте питання: мікротік як РоЕ-шний свіч для телефонів - це ок чи не ок ?
Наприклад такий девайс - Mikrotik CSS326-24G-2S+RM (24xPOE, 2xSFP), з врахуванням того що зателефоном буде ноут/ПК то хочеться 1гбіт
Хто що думає?
Автор: Emissions Aug 4 2021, 18:39
(Fanta @ Aug 4 2021, 16:34)
Hi ALL
Шось затихла тема ....
Просте питання: мікротік як РоЕ-шний свіч для телефонів - це ок чи не ок ?
Наприклад такий девайс - Mikrotik CSS326-24G-2S+RM (24xPOE, 2xSFP), з врахуванням того що зателефоном буде ноут/ПК то хочеться 1гбіт
Хто що думає?
а почему не ок? или в чем вопрос
по вольтажу подходит?
и да, у телефона линки гигабитные?
Автор: Fanta Aug 4 2021, 20:48
лінки - да
телефони: Grandstream GPX 2612p
але походу Mikrotik CSS326-24G-2S+RM це девайс з PoE-IN а не OUT )
Автор: Koka-ftp Aug 4 2021, 23:22
(Fanta @ Aug 4 2021, 21:48)
але походу Mikrotik CSS326-24G-2S+RM це девайс з PoE-IN а не OUT )
смотрите линейку CRS
Автор: Fanta Aug 10 2021, 15:13
(Koka-ftp @ Aug 5 2021, 0:22)
смотрите линейку CRS
https://lanmarket.ua/mikrotik/cloud-router-switch-crs354-48g-4s-2q/
шось аля такого ??
Автор: Koka-ftp Aug 16 2021, 9:10
(Fanta @ Aug 10 2021, 16:13)
https://lanmarket.ua/mikrotik/cloud-router-switch-crs354-48g-4s-2q/
шось аля такого ??
там описание от другой модели)
вот, что надо
https://mikrotik.com/product/crs354_48p_4s_2q_rm
Автор: AWEA Aug 28 2021, 17:16
Комрады, прощу помочь.
Готов рассмотреть ситуацию с подключением и настройкой по TeamViewer за вознагрождаждение.
Ситуация:
мне форумчанин помог настроить и обьеденить две локальные сети в одну https://forum.0day.kiev.ua/index.php?showtopic=583582
Но сейчас с ним нет связи, к сожалению. Надеюсь с ним все хорошо.
Если коротко
Есть два "офиса". На одном белый IP и юсб модем Киевстара как резерв, на втором - серый. Два микрика, которые соединены между собой в тоннель L2TP с единственной сетью DHCP (192.168.1.10 и дальше ). Это все было настроено.
192.168.1.2 Шлюз (серый)
192.168.1.1 Шлюз (белый)
Так договорились, что
150+ серый ручками прописываю где возможно
101-145 -динамика серый
10-100 белый
по умолчанию автоматика шла вся через шлюз 192.168.1.1. если он по каким техническим причинам не имеет доступа к интернету, то офис с серым ИП автоматически должен был автоматически переключался на шлюз 2, а офис, там где белый IP - на юсб модем от КС (понятно, что тоннель в это время работать не будет)
я хотел добавить возможность чтобы был еще дополнительно VPN сервер на белом адресе (например когда открытые WIFI сети весь трафик зашифровано гнать через себя), то в настройках нажал непонятно что и ....
автоматика и в ручную если прописывать шлюз 192.168.1.1 (белый адрес ) - не пускает к сети интернет
в ручную прописывать шлюз 192.168.1.2 - пускает под "серым" внешним ИП.
Проблема в том, что есть ряд IoT, которые только на автоматику и получается остались без доступа в сеть интернет и управления.
Задача: 1) пофиксить как было 2) помочь с VPN
Автор: Vitaliy_y Aug 28 2021, 19:56
Вынос мозга, разделить сети на отдельные не пересекающиеся подсети, нормально настроить маршрутизацию сетей между туннелям, дальше поднять vpn, сейчас это все похоже на какой-то изврат
Автор: KoNoRIMCI Sep 11 2021, 21:30
Представители Mikrotik https://forum.mikrotik.com/viewtopic.php?t=178417 официальное заявление, относительно ботнета Mēris:
«Многие из вас спрашивают, что это за ботнет Mēris, о котором сейчас говорят новостные издания, и есть ли какая-то новая уязвимость в RouterOS.
Насколько нам известно, в этих атаках используются те же маршрутизаторы, которые были взломаны еще в 2018 году, когда в MikroTik RouterOS была найдена уязвимость, которая была быстро исправлена.
К сожалению, исправление уязвимости не сразу защитило маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, перепроверить свой брандмауэр, чтобы он не разрешал удаленный доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.
Мы пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не вышли на связь с MikroTik и не следят за своими устройствами. Сейчас мы ищем другие решения.
Насколько нам известно, на данный момент в этих устройствах нет новых уязвимостей. Недавно RouterOS прошла независимый аудит, которые провели нескольких сторонних подрядчиков.
Если вы обнаружите устройство RouterOS с вредоносными скриптами или конфигурацией SOCKS, созданной не вами, особенно если эта конфигурация появилась только что, недавно, при работе с новой версией RouterOS: пожалуйста, немедленно свяжитесь с нами.
Если точнее, мы предлагаем отключить SOCKS и заглянуть в System -> Scheduler. Отключите все правила, которые вы не сумеете узнать. По умолчанию, в планировщике не должно быть правил, а SOCKS должен быть выключен».
https://habr.com/ru/company/yandex/blog/577026/
https://habr.com/ru/news/t/577254/
Автор: Console Sep 11 2021, 22:55
(KoNoRIMCI @ Sep 11 2021, 22:30)
https://habr.com/ru/company/yandex/blog/577026/
https://habr.com/ru/news/t/577254/
Компрометация креденшелов в чистом виде...
Автор: Федор Сумкин Sep 30 2021, 18:50
Решил прикупить себе микротик ац3 домой, отсюда встал вопрос, а умеет ли он по маку резать время подключения ? Имеется в виду что определенному маку можно в определенные сайты не больше 2х часов в день. То есть общее время трафика с сайта (ютуб для примера) не больше 2х часов в день.
Спасибо за ответы.
Автор: Tiger Oct 3 2021, 14:13
Весь инет без проблем из коробки https://ntema.com.ua/article/roditelskii-kontrol-na-oborudovanii-mikrotik
К конкретному сайту - да можно, но нужно писать кастомный скрипт и будет включаться или отключаться правило в фаерволле.
Автор: Федор Сумкин Oct 3 2021, 19:35
(Tiger @ Oct 3 2021, 15:13)
Весь инет без проблем из коробки https://ntema.com.ua/article/roditelskii-kontrol-na-oborudovanii-mikrotik
К конкретному сайту - да можно, но нужно писать кастомный скрипт и будет включаться или отключаться правило в фаерволле.
Не, это я всё видел уже. Вопрос же стоит несколько по другому. Ютуб можно смотреть 3 часа в день. Вот утром было полчаса просмотра, значит еще на оставшийся день осталось 2.5 часа. То есть не по расписанию, а по длительности просмотра.
Автор: KoNoRIMCI Oct 3 2021, 20:28
Там ниже по ссылке увидел комментарий, который может помочь решить поставленную задачу:
(scoffer1312)
Если вам необходимо "максимальную продолжительность в сутки в заявленном диапазоне установить, например не более 2-х часов из разрешенного времени", то тут необходимо установить на микротик доп пакет "https://wiki.mikrotik.com/wiki/Manual:User_Manager" - это радиус-сервер, который позволяет авторизовать абонентские сессии и управлять ими выставляя например лимит по uptime - а это как раз то, что надо в такой ситуации.
Дополнительные пакеты находятся в "https://mikrotik.com/download" для соответствующей версии/платформы.
Автор: Tiger Oct 4 2021, 9:27
(Федор Сумкин @ Oct 3 2021, 20:35)
Не, это я всё видел уже. Вопрос же стоит несколько по другому. Ютуб можно смотреть 3 часа в день. Вот утром было полчаса просмотра, значит еще на оставшийся день осталось 2.5 часа. То есть не по расписанию, а по длительности просмотра.
L7 (который Микротик поддерживает) не оперирует понятием "время". Он может оперировать трафиком, количеством сессий и т.д. и т.п.
Для этой задачи, именно по времени, лучше всего подойдёт ограничения на стороне клиента (Kids Control например или похожие, их много).
(KoNoRIMCI @ Oct 3 2021, 21:28)
Там ниже по ссылке увидел комментарий, который может помочь решить поставленную задачу:
Дополнительные пакеты находятся в "https://mikrotik.com/download" для соответствующей версии/платформы.
Очень сложно будет скрипт написать. Лучше таки ПО на клиенте.
Я не нашел по ссылке примеры как он оперирует временем проведенном на том или ином сайте. Особенно учитывая что тот же Ютуб может генерировать куча сессий, закрывать их и возобновлять. Да и обходится банальным кешированием (скачиванием) видео, которое может быть быстрее чем длительность самого видео.
Автор: Alekssander Oct 19 2021, 11:28
Подскажите плиз действенный способ блокировки TeamViewer.
Находил варианты через L7. Но не работает.
Вариант через DNS не осилил.
Автор: Alekssander Oct 21 2021, 16:06
Закрыл таки в DNS через регулярные выражения
.*teamviewer.* - 127.0.0.1
Или можно DNS добавить
teamviewer.com - 127.0.0.1
Автор: Console Oct 28 2021, 15:53
(Федор Сумкин @ Sep 30 2021, 19:50)
Решил прикупить себе микротик ац3 домой, отсюда встал вопрос, а умеет ли он по маку резать время подключения ? Имеется в виду что определенному маку можно в определенные сайты не больше 2х часов в день. То есть общее время трафика с сайта (ютуб для примера) не больше 2х часов в день.
Спасибо за ответы.
(Федор Сумкин @ Oct 3 2021, 20:35)
Не, это я всё видел уже. Вопрос же стоит несколько по другому. Ютуб можно смотреть 3 часа в день. Вот утром было полчаса просмотра, значит еще на оставшийся день осталось 2.5 часа. То есть не по расписанию, а по длительности просмотра.
_https://habr.com/ru/company/ruvds/blog/583868/
Может поможет
Автор: DeCodeR Nov 1 2021, 8:59
коллеги, кто юзал Mikrotik RB4011iGS+5HacQ2HnD-IN? Интересует как он в работе, в отзывах пишут что он греется сильно.
Автор: Console Nov 1 2021, 21:30
(DeCodeR @ Nov 1 2021, 8:59)
коллеги, кто юзал Mikrotik RB4011iGS+5HacQ2HnD-IN? Интересует как он в работе, в отзывах пишут что он греется сильно.
в офисе юзали как ядро сети версию без wi-fi в коммутационном шкафу, без дополнительного охлаждения или продува. Два года полет ок, вобще вопросов не было.
Я понимаю что это без радиомодулей...немного не то.. но хоть какая инфа..
Автор: Дима Динамит Nov 10 2021, 14:06
(DeCodeR @ Nov 1 2021, 8:59)
коллеги, кто юзал Mikrotik RB4011iGS+5HacQ2HnD-IN? Интересует как он в работе, в отзывах пишут что он греется сильно.
у меня в офисе он печка, но работает стабильно, раз настроил и забыл.
Автор: Robbie Nov 14 2021, 0:12
(Дима Динамит @ Nov 10 2021, 14:06)
у меня в офисе он печка, но работает стабильно, раз настроил и забыл.
Підтримую. Супер агрегат. Вафля потужна, потужності дофіга, стабільний. Взагалі забув, що він є.
Автор: privacy Dec 3 2021, 22:52
Привет. Дома стоит роутер hap ac lite и часто отваливается вайфай на макбуке. в чем может быть проблема? канал вроде как не забитый, пробовал разные.
http://piccy.info/view3/15166182/80192eb9a11fbe36546ca444401ded8f/http://i.piccy.info/a3c/2021-12-03-20-46/i9-15166182/240x130-r
http://piccy.info/view3/15166183/66cefa551c8d238ec37c94a789f96cb1/http://i.piccy.info/a3c/2021-12-03-20-48/i9-15166183/240x132-r
http://piccy.info/view3/15166187/f35de0c8cf46cfdde2a1c5b12225c830/http://i.piccy.info/a3c/2021-12-03-20-50/i9-15166187/240x235-r
Автор: Alekssander Dec 4 2021, 9:08
(privacy @ Dec 3 2021, 22:52)
Привет. Дома стоит роутер hap ac lite и часто отваливается вайфай на макбуке. в чем может быть проблема? канал вроде как не забитый, пробовал разные.
» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «
http://piccy.info/view3/15166182/80192eb9a11fbe36546ca444401ded8f/http://i.piccy.info/a3c/2021-12-03-20-46/i9-15166182/240x130-r
http://piccy.info/view3/15166183/66cefa551c8d238ec37c94a789f96cb1/http://i.piccy.info/a3c/2021-12-03-20-48/i9-15166183/240x132-r
http://piccy.info/view3/15166187/f35de0c8cf46cfdde2a1c5b12225c830/http://i.piccy.info/a3c/2021-12-03-20-50/i9-15166187/240x235-r
Как вариант, что приходит быстро на ум - время жизни ключа шифрования. У меня такое было.
Security Profiles - Group Key Update
Ещё может попробовать тип шифрования, хотя должно хорошо работать на aes-ccm.
Автор: privacy Dec 6 2021, 9:28
изменил ключ шифрования на 1 час. ничего не изменилось.
https://piccy.info/view3/15168086/120cf456fe9fc9e1c8a24e7efa247c0b/
Автор: Vitaliy_y Dec 6 2021, 12:04
(privacy @ Dec 6 2021, 9:28)
изменил ключ шифрования на 1 час. ничего не изменилось.
https://piccy.info/view3/15168086/120cf456fe9fc9e1c8a24e7efa247c0b/
слабенький он по части wi-fi, соседские точки могут легко забивать, попробуй найти более свободный канал.
Автор: privacy Dec 7 2021, 22:22
(Vitaliy_y @ Dec 6 2021, 12:04)
слабенький он по части wi-fi, соседские точки могут легко забивать, попробуй найти более свободный канал.
изменил канал, пока полет нормальный.
Автор: privacy Dec 8 2021, 11:15
не на долго помогло(
https://piccy.info/view3/15170166/0f988b6a1772c438e371ab3e594571f9/
Автор: Дима Динамит Dec 14 2021, 13:38
подскажите а можна сделать бєкап тольк впн, ви-фи, хотпоста и все? и перенести на новое оборудования микротик
Автор: Tiger Dec 14 2021, 14:21
(Дима Динамит @ Dec 14 2021, 13:38)
подскажите а можна сделать бєкап тольк впн, ви-фи, хотпоста и все? и перенести на новое оборудования микротик
Скриптами да. Штатными средствами Winbox - нет, оно бэкапит полный конфиг.
Автор: Дима Динамит Dec 14 2021, 19:24
(Tiger @ Dec 14 2021, 14:21)
Скриптами да. Штатными средствами Winbox - нет, оно бэкапит полный конфиг.
а можна подробней?
Автор: Koka-ftp Dec 14 2021, 22:48
(Дима Динамит @ Dec 14 2021, 19:24)
а можна подробней?
для начала глянуть конфиг
CODE Format
export compact
из него взять необходимое, сохранить команды.., всё)
Автор: Дима Динамит Jan 4 2022, 15:46
(Koka-ftp @ Dec 14 2021, 22:48)
для начала глянуть конфиг
CODE Format
export compact
из него взять необходимое, сохранить команды.., всё)
спасибо полезная команда
реально увеличить дальность и сигнал вай-фай без мостов и.д.?
Автор: Дима Динамит Jan 17 2022, 1:19
Какое то падло пыталось взломать мой домашний микрот. поправил фаервол.
https://ibb.co/DYjJxXc
Автор: gx_ua Jan 17 2022, 12:23
(Дима Динамит @ Jan 17 2022, 1:19)
Какое то падло пыталось взломать мой домашний микрот. поправил фаервол.
https://ibb.co/DYjJxXc
порт смени на другой.
боты всегда ломятся на 22 порт на всех серверах.
Автор: Vitaliy_y Jan 17 2022, 12:25
(Дима Динамит @ Jan 17 2022, 1:19)
Какое то падло пыталось взломать мой домашний микрот. поправил фаервол.
https://ibb.co/DYjJxXc
а при чем тут forward? или боты ломятся через dst-nat на сервак внутри сети?
Автор: H_U_L_K Jan 17 2022, 14:05
(Vitaliy_y @ Jan 17 2022, 12:25)
а при чем тут forward? или боты ломятся через dst-nat на сервак внутри сети?
По ходу 22й порт проброшен внутрь.
Автор: Vitaliy_y Jan 17 2022, 14:54
(H_U_L_K @ Jan 17 2022, 14:05)
По ходу 22й порт проброшен внутрь.
Так в логах же четко написано что ломятся на input ssh и брутфорсят.
Автор: Дима Динамит Jan 18 2022, 20:55
(Vitaliy_y @ Jan 17 2022, 14:54)
Так в логах же четко написано что ломятся на input ssh и брутфорсят.
да я видел, давно заблокировал. вопрос только откуда они беруться и чем мой домашний комп им интересный?
помогите ришить проблему.
есть 1 комната вай фай норм. Комната 2 вай фай плохой
1. с двух микротов делаю репитер. ssid=сеть 1 обхавт улучшился, но скорость хуже в обоих комнатах
2. в 1 комнате ssid=сеть 1 в второй через мост ssid=сеть 2. скороть хорошая но напрягает два название.
что можна придумать что бы везде через мост была сеть ssid=сеть 1 и скорость нормальная?
Автор: H_U_L_K Jan 18 2022, 20:59
(Дима Динамит @ Jan 18 2022, 20:55)
да я видел, давно заблокировал. вопрос только откуда они беруться и чем мой домашний комп им интересный?
Если ип статический то сканер основных портов работает всегда. Так что это норма.
Я уже давно на нестандартных.
(Дима Динамит @ Jan 18 2022, 20:55)
есть 1 комната вай фай норм. Комната 2 вай фай плохой
1. с двух микротов делаю репитер. ssid=сеть 1 обхавт улучшился, но скорость хуже в обоих комнатах
2. в 1 комнате ssid=сеть 1 в второй через мост ssid=сеть 2. скороть хорошая но напрягает два название.
что можна придумать что бы везде через мост была сеть ssid=сеть 1 и скорость нормальная?
Кинуть провод между точками, поднять capsman.
Автор: Vitaliy_y Jan 18 2022, 23:15
(Дима Динамит @ Jan 18 2022, 20:55)
да я видел, давно заблокировал. вопрос только откуда они беруться и чем мой домашний комп им интересный?
при чем тут домашний комп когда в логах микрот пишет что его ssh брутфорстят, там же красным по белому написано, при форвардинге пакетов на домашний комп он бы имел это глубоко ввиду.
Почитайте что для роутера input, forward, output.
Автор: Дима Динамит Jan 19 2022, 1:03
(Vitaliy_y @ Jan 18 2022, 23:15)
при чем тут домашний комп когда в логах микрот пишет что его ssh брутфорстят, там же красным по белому написано, при форвардинге пакетов на домашний комп он бы имел это глубоко ввиду.
Почитайте что для роутера input, forward, output.
имел введу что это мой домашний роутер, ssh мне был нужен для теста. и сразу получил атаку =) хорошо что не подобрали ничего
Автор: Cabron Jan 20 2022, 16:31
Кто пользуется DoH DNS от 1.1.1.1?
У меня в последнее время постоянно валят ошибки.
Прошивка 7.1.1
Автор: Дима Динамит Feb 11 2022, 10:36
друзья подскажите команду в Mikrotik CHR для открытия 9750 порта?
пробовал add action=dst-nat chain=dstnat dst-address=хххх dst-port=9750 \
protocol=udp to-addresses=192.168.88.254 to-ports=9750
пишет не известная команда или
add action=accept chain=sshbruteforces connection-state=new dst-port=9750 \
protocol=udp
Автор: Robbie Feb 11 2022, 10:55
(Дима Динамит @ Feb 11 2022, 10:36)
add action=netmap chain=dstnat comment="bla bla bla" disabled=no dst-port=27015 in-interface=ether1 protocol=tcp to-addresses=192.168.1.101 to-ports=27015
відкриття
add action=accept chain=input comment=Remote_access_to_=no dst-port=8888 in-interface=ether1 protocol=tcp
Автор: Дима Динамит Feb 13 2022, 17:09
кто знает NAT слетает после перезагрузки роутера. как исправить?
Автор: YaAllex Feb 13 2022, 17:26
(Дима Динамит @ Feb 13 2022, 17:09)
кто знает NAT слетает после перезагрузки роутера. как исправить?
Что значит "слетает NAT"? Настройки ?
Автор: H_U_L_K Feb 13 2022, 18:52
safe mod отключен?))
Автор: Дима Динамит Feb 13 2022, 22:38
(YaAllex @ Feb 13 2022, 17:26)
Что значит "слетает NAT"? Настройки ?
удаляються все перебросы так как и бриджи =( хотя микрот работает стабильно а стоит только перезагрузить
(H_U_L_K @ Feb 13 2022, 18:52)
safe mod отключен?))
я там и сброс делал и прошивал, единственый такой микротик. safe mod выкл
Автор: Console Feb 14 2022, 5:36
(Дима Динамит @ Feb 13 2022, 22:38)
удаляються все перебросы так как и бриджи =( хотя микрот работает стабильно а стоит только перезагрузить
я там и сброс делал и прошивал, единственый такой микротик. safe mod выкл
В микротике просто так настройки не слетают или он сломан или что-то не так делаете.
Может когда обновляли прошивку выбрали загрузить дефолтные настройки?
Автор: Дима Динамит Feb 17 2022, 0:08
(Console @ Feb 14 2022, 5:36)
В микротике просто так настройки не слетают или он сломан или что-то не так делаете.
Может когда обновляли прошивку выбрали загрузить дефолтные настройки?
у нас 80тт с микротиками и только на одной такое=( наверное брак
Автор: Denson Jun 29 2022, 23:05
Всем привет!
Форумчане, подскажите, пожалуйста, с настройкой микрота.
Следующие исходные данные:
Микрот RB941-2nd hap lite.
С последней актуальной прошивкой 6.49.6 stable.
По лану один сетевой провод ведет к компу - со скоростью вопросов нету (устраивает) Спидтест показывает 94.73Mbps / 94.75Mbps
С вайфай херовей(
Ноут Ноутбук HP EliteBook 830 G8
Сделал 3 замера скорости:
1. DOWNLOAD Mbps 33.13 UPLOAD Mbps 72.42 (это в 2м от роутера)
2. DOWNLOAD Mbps 17.53 UPLOAD Mbps 22.79 (соседняя комната)
3. DOWNLOAD Mbps 14.23 UPLOAD Mbps 19.04 (это кухня) дальше всего от роутера
В настройках country стоит USA - мне когда-то один спец сказал, что выбирая эту страну в параметрах - не будет никаких ограничений.
Frequency - auto
Band - 2GHz B/G/N
Firewall Router галочка
MAC Server галочка
MAC Winbox галочка
Discovery галочка
Address Acquisition automatic
Поставил Channel Width 20MHz вроде стало лучше, но все равно не айс.
Ниже скрины с конфига:
https://ibb.co/KwYZRvv
https://ibb.co/cYnW1XS
https://ibb.co/sWqGtC8
Собственно вопрос: почему херовая скорость по беспроводу и что можно исправить/улучшить? Ибо не пользование инетом, а мазохизм полный
Может какие настройки надо изменить?
Спасибо
Автор: Tiger Jun 29 2022, 23:32
Кто приемник? Если чип MediaTeck - забей. Не работает оно с Микротом.
Автор: YaAllex Jun 30 2022, 7:47
(Tiger @ Jun 30 2022, 0:32)
Кто приемник? Если чип MediaTeck - забей. Не работает оно с Микротом.
имхо, там проблема не приемнике, а в передатчике - сам микрот слишком уж бюджетен со всеми вытекающими.
Автор: H_U_L_K Jun 30 2022, 9:02
(YaAllex @ Jun 30 2022, 8:47)
имхо, там проблема не приемнике, а в передатчике - сам микрот слишком уж бюджетен со всеми вытекающими.
В 5ггц микрот отдает 200 мбит при подключении 433 мбит.
Ну в любом случае - вафля в микроте темный лес с кучей какашек.
Invision Power Board
© Invision Power Services