Версия для печати темы

Автор: mussy Oct 7 2018, 23:12

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Автор: Console Oct 8 2018, 6:47

Ну тут скорей вопрос уровня паранои..и какая задача стоит Если просто соеденить два удаленых офиса может и хватит EOIP, но там условно есть ограниечение на количество машин.
Если вам нужно не просто соеденить два офиса, а действительно обеспечить еще и защиту логичней наверное IPSec VPN в том же микротике. Или отдельное специализированое оборудывание.

Автор: Vitaliy_y Oct 8 2018, 7:04

eoip, l2tp без шифрования не несут никакой защиты.
Смотря какое оборудование, всякие 2011,951 не жуют ipsec больше 30 мегабит, если нужно гонять ethernet over ip тогда l2tp обернутый ipsec, на нормальных железках качается 100-200 мегабит, если нужны простые туннели можно через ikev2, но там с маршрутизацией поиграться надо.
дальше ospf или bgp, анонсишь сети и сидишь в масле
У меня филиалы бегают через l2tp/ipsec,  roads через ikev2

Автор: mussy Oct 8 2018, 11:23

пробовал включать IPsec в свойствах EOIP туннеля, TTL вырастает в два раза =(

Автор: mussy Oct 8 2018, 11:35

(Vitaliy_y @ Oct 8 2018, 8:04)

Автор: tiss Oct 9 2018, 19:25

(mussy @ Oct 8 2018, 11:35)

Автор: Tiger Oct 17 2018, 12:46

(tiss @ Oct 9 2018, 20:25)

Автор: Smog Oct 17 2018, 14:20

hap ac2 для филиалов самое оно. Идеал по соотношению цена-качество.

Автор: post_val Oct 17 2018, 22:23

(Smog @ Oct 17 2018, 15:20)

Автор: tiss Oct 18 2018, 6:57

(Tiger @ Oct 17 2018, 12:46)

(post_val @ Oct 17 2018, 22:23)

Автор: x1shn1k Oct 18 2018, 10:20

(tiss @ Oct 18 2018, 7:57)

Автор: Tiger Oct 18 2018, 11:49

(tiss @ Oct 18 2018, 7:57)

Автор: mussy Oct 19 2018, 15:38

Ребята, подскажите, в сети у бухгалетов не работает iFobs клиент банки. Что можно сделать? На TP-link все ок =(
NAT

Автор: tiss Oct 20 2018, 7:54

(mussy @ Oct 19 2018, 15:38)

Автор: mussy Oct 20 2018, 11:44

tiss

Это я пробовал принудительно написать разрешение на forward этих протоколов. Правило не активно

Автор: YaAllex Oct 21 2018, 13:23

Попробуйте метод "поочередного отключения запрещающих правил и оценки результата" - может поможет.

ПС. Небольшие замечания

1. Что бы UPnP заработал нужно не только включить, но и настроить(указать внешние/внутренние интерфейсы).
2. У вас включен FastTrack(с ним могут быть неожиданности) -> из документации

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

When FastTrack is enabled, the traffic will bypass queues, firewall and other RouterOS features. When using FastTrack make sure that it is configured properly and does not interfere with other configuration.

Это отличная опция, но почитать "как оно работает" все же стоит.
3. Настройка Nat:
а) Зачем нужны правила 2 и 3, если у Вас 1-ым стоит объединяющее их обоих правило(все подпадает под правило 1 и стоит первым)?
б) Проброс портов осуществляется обычно до маскарадинга.

Автор: tiss Oct 21 2018, 16:56

(YaAllex @ Oct 21 2018, 13:23)

(YaAllex @ Oct 21 2018, 13:23)

Автор: mussy Oct 21 2018, 17:55

2 YaAllex
Да, интерфейсы указывал для UPnP. По NAT tiss написал. Без этих правил клиенты из внутренней сети не могут зайти на проброшенный порт сервиса, если обращаются не по внутреннему, а по внешнему адресу.
Самое интересное, что на сервере, куда проброшен порт 3389, работает iFobs, а у бухов не работает... Не понимаю =(

Автор: tiss Oct 21 2018, 19:22

Дорвался до конфига, где работает иФОБС - простая как угол дома.

Автор: mussy Oct 21 2018, 20:48

tiss
да, внешний IP белый.

Автор: Vitaliy_y Oct 21 2018, 21:04

Маскарадинг при белом внешнем вреден.

11 ;;; WinBox
chain=input action=accept protocol=tcp in-interface=WAN1
dst-port=8728,8291 log=yes log-prefix="" убрать или добавить список белых.
нетмап не в тему.
что трассы говорят?
сделайте експорт и выложите сюда, без паролей.

0 ;;; masquerade
chain=srcnat action=masquerade out-interface=WAN1 log=no log-prefix=""
ipsec-policy=out,none
уберите ipsec-policy=out
или
add action=src-nat chain=srcnat out-interface=WAN1 src-address=192.168.1.0/24 to-addresses=whiteip

hairpin nat лучше делать как велит вики
/ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
dst-address=192.168.1.2 protocol=tcp dst-port=80 \
out-interface=LAN action=masquerade

Да,и, что бы пукан потом не горел не выставляйте голым задом 3389 наружу, залюбят, ломанут и будет вава,
настройте port knocking как самое простое решение, благо дело можно запускать на любых платформах.

Автор: tiss Oct 21 2018, 21:34

(Vitaliy_y @ Oct 21 2018, 21:04)

Автор: Console Nov 29 2018, 10:19

Что бы не плодить тем, кто подскажет.. в микротике есть уже правило на проброс порта.., но нужно расширить диапазон вместо одного десять портов подрят. 10 отдельных правил или можно указать дапазон.

p.s. может все таки закрепить тему?

Автор: lD1PS1l Nov 29 2018, 11:44

можно указать диапазон

Автор: Console Nov 29 2018, 17:09

(lD1PS1l @ Nov 29 2018, 11:44)

Автор: Siroga Nov 29 2018, 17:21

(Console @ Nov 29 2018, 17:09)

Автор: Console Dec 1 2018, 18:51

(Siroga @ Nov 29 2018, 17:21)

Автор: YaAllex Dec 1 2018, 19:13

Хотя, похоже, вопрос и был риторическим, но все же побуду капитаном очевидностью:
1-ым правилом вы добавляете всех кто стучится через wan interface на порт винбокса в perebor_portov_drop на 30 минут
2-ым правилом запрещаете всем кто в perebor_portov_drop стучатся на маршрутизатор

Автор: Console Dec 1 2018, 19:21

(YaAllex @ Dec 1 2018, 19:13)

Автор: YaAllex Dec 1 2018, 19:29

Не стоит бездумно копировать чужие конфиги или хотя бы стоит попытаться понять, что они делают.

Я так понимаю маршрутизатор удален(вы из-вне настраиваете)?

Автор: Console Dec 1 2018, 19:35

(YaAllex @ Dec 1 2018, 19:29)

Автор: YaAllex Dec 1 2018, 19:48

Для начала вам лучше реализовать защиту от самоблокирования,имхо. Простейшие :
а) создать правило, которое разрешает коннектится к маршрутизатору с определенных белых ай-пи, поставить это правило выше запрещающих.
б) настроить впн
И только потом думать о защите от перебора.

Автор: Vitaliy_y Dec 2 2018, 11:22

Научитесь не использовать пароли для критичных сервисов, создайте пользователя с правами ssh read write и заведите авторизацию по сертификам, нет пароля - нет проблем и пусть себе боты сканят сколько влезет.
Если уж сильно приспилило используйте port-knocking для порта ssh.
почитайте про ssh -L, очень удобно пробрасывать на локальный тазик все нужно с микрота, в том числе и любимый порт winbox.
Белые листы с айпишиниками могут сыграть злую шутку когда у вас будет сеть с микротов и один из них взломают.

Как продолжение мысли и вожможные вопросы, хорошая практивка заводить в системе несколько пользователей, первого для ssh с авторизацией по сертификатам для торчащего 22-го порта наружу и второго для всего остального закрытого от доступа из вне по паролю, не умеет winbox с сертификатами работать.
Пысы, не открывайте сервисы управления для внутресетей, я в послее время скрываю все для всех, постучался, зашел на ssh или пробросил что нужно, поковырялся и закрыл.

Автор: Console Dec 4 2018, 18:48

Чудо юдо правило я убрал, пока поставил вайтлист на доступ из мира на 1 адрес, и на 2 адреса из локальной. Сети микротиков пока не предвидется но совет полезный..
Угрозы из локальной у меня нет... специфика такая.. но советы отднозначно полезные.
Нужно учится работать с SSH...
Глянуть возможности VPN..
Очень жалко что в винбоксе нет возможности прикрутить ключ RSA...

В любом случае спасибо..

Автор: YaAllex Dec 4 2018, 20:10

В винбоксе есть консоль.
Ключи в System->Users-> обратите внимания на SSH *

Автор: Console Dec 4 2018, 21:02

(YaAllex @ Dec 4 2018, 20:10)

Автор: YaAllex Dec 4 2018, 21:19

Автор: Console May 4 2019, 13:10

И снова вопросы)

Автор: imenno May 4 2019, 13:59

а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

Автор: YaAllex May 4 2019, 14:13

(Console @ May 4 2019, 14:10)

И снова вопросы)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

CODE Format

## Generic IP address list input
   ## Based on a script written by Sam Norris, ChangeIP.com 2008
   ## Edited by Andrew Cox, AccessPlus.com.au 2008
   :if ( [/file get [/file find name=ipaddress.txt] size] > 0 ) do={
   # Remove exisiting addresses from the current Address list
   /ip firewall address-list remove [/ip firewall address-list find list=online_block]
  
   :global content [/file get [/file find name=ipaddress.txt] contents];
   :global contentLen [ :len $content ];
  
   :global lineEnd 0;
   :global line "";
   :global lastEnd 0;
  
   :do {
         :set lineEnd [:find $content "\n" $lastEnd ];
         :set line [:pick $content $lastEnd $lineEnd];
         :set lastEnd ( $lineEnd + 1 );
         #If the line doesn't start with a hash then process and add to the list
         :if ( [:pick $line 0 1] != "#" ) do={
  
        :local entry [:pick $line 0 $lineEnd ]
        :if ( [:len $entry ] > 0 ) do={
           /ip firewall address-list add list=online_block address=$entry
        }
      }
   } while ($lineEnd < $contentLen)
   }

Взял пример с микротик википедии, скрипт добаления ip адресов из .txt в список....опытным путем вижу, что предедущий список удалят... но вместо него новый не создает...подазреваю что скрипт стареньки и возможно что то поменялось в routeOS... такое впечетление что скрипт не может найти ipaddress.txt но он лежит в файлах на микротике..

Проблему я нашел... собствено она была прям на видном месте..
https://wiki.mikrotik.com/wiki/Using_Fetch_and_Scripting_to_add_IP_Address_Lists

CODE Format

Note: This only works with files under 4096 characters in size due to the variable size limit in v3 hopefully they will re-introduce the LUA system in v4 shortly so we can make this work with any size list.

Как быть если список то больше 4096, перебирать или я снова что то завтыкал..

(imenno @ May 4 2019, 14:59)

Автор: Console May 4 2019, 15:15

(imenno @ May 4 2019, 14:59)

(YaAllex @ May 4 2019, 15:13)

Автор: mussy Jul 22 2019, 10:43

Ребята, такой вопрос.
Хочу использовать Mikrotik исключительно для моста между двумя офисами. Как наилучшим образом это сделать?
Хочу использовать EOIP +IPsec.

Рабочую схему с подключением нескольких VMware виртуалок в разных датацентрах с помощью Mikrotik CHR уже давно применяю. А вот с реальной сетью что-то торможу с реализацией.

Правильно ли я понимаю, что мне нужно следующее:
1. запросить у провайдера обоих офисов дополнительные статические IP (которые будет только для того, чтобы Mikrotik1 видел Mikrotik2)
2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.

Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик?

Автор: YaAllex Jul 22 2019, 17:39

(mussy @ Jul 22 2019, 11:43)

Автор: mussy Jul 22 2019, 20:57

(YaAllex @ Jul 22 2019, 18:39)

Автор: YaAllex Jul 23 2019, 21:00

Автор: Console Jul 24 2019, 14:43

Вопрос, куплен MikroTik hAP lite RB941-2nD-TC
И вот такая картинка по работе с Wi-Fi, я понимаю что там 150 линк, почему на загрузке такой провал...
Из того что пробовал:
-различные прошивки (беты, стабильные, лонг, пару разных версий)
-убирал пароль на подключение
-менял каналы
Подключался:
-Lenovo ThinkPad e580
-Redmi Not 7
-MacBook Air 13" Early 2015 A1466

По RJ-45 ок проблем нету, да и если бы +- даулоуд с аплодом были в пределах 60 вопросов не было..
Кто что может посоветовать?
Точка нужна для подключение пары телефонов, ноубука, как бы вроде и так работает, но явно полова..

Автор: gonivo Jul 24 2019, 22:53

Посканируйте частоты Wireless -> freq usage, частоту подберите почищще. Проверьте все ли галки chain во вкладке HT отмечены. В Band поставьте only-N, channel width любая 20/40.
Перед сканом частот поставьте advanced mode - country - debug, откроются все частоты. Только потом с умом выбирайте, там будут и неподдерживаемые обычным железом.
Что не нравиться в микротиках - нельзя поставить 40 мгц онли.

Автор: gonivo Jul 24 2019, 23:08

(mussy @ Jul 22 2019, 21:57)

Автор: Fanta Aug 6 2019, 16:31

Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?

Автор: Tiger Aug 7 2019, 9:11

(Fanta @ Aug 6 2019, 17:31)

Всім хелоу!
раз тут топік про мікроти то спитаю і я
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічаль
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?

Автор: Fanta Aug 7 2019, 10:00

(Tiger @ Aug 7 2019, 10:11)

Автор: Tiger Aug 7 2019, 13:28

(Fanta @ Aug 7 2019, 11:00)

потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне"

Автор: Vitaliy_y Aug 7 2019, 13:59

CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.

Автор: Fanta Aug 7 2019, 16:50

(Vitaliy_y @ Aug 7 2019, 14:59)

Автор: Tiger Aug 7 2019, 16:54

(Fanta @ Aug 7 2019, 17:50)

Автор: Tiger Aug 21 2019, 16:33

Народ, а как лучше настроить информирование по E-mail о том что девайс покинул зону Wi-Fi?
Мониторить DHCP сервер и Lease на предмет есть там запись о конкретном МАС или нет, если нет - отправлять письмо. Но вот как скрипт написать что-то не могу додумать.
ЗЫ. Отправлять по SNMP\Syslog в PRTG\Splunk не предлагать, это домашний роутер

Автор: mak_v_ Aug 21 2019, 16:50

Дергать лог на предмет "disonnected" и слать, не?

Автор: Tiger Aug 21 2019, 16:54

(mak_v_ @ Aug 21 2019, 17:50)

Автор: Fanta Aug 21 2019, 20:40

(Tiger @ Aug 21 2019, 17:54)

Автор: Tiger Aug 22 2019, 8:51

(Fanta @ Aug 21 2019, 21:40)

Автор: imenno Nov 17 2019, 16:17

ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте

Автор: nerve Nov 18 2019, 10:43

(imenno @ Nov 17 2019, 16:17)

Автор: imenno Nov 18 2019, 11:33

(nerve @ Nov 18 2019, 10:43)

Автор: mak_v_ Nov 18 2019, 12:28

магия...
1) Поднимаете на впн на впс
2) на микротике впн-клиент, который будет коннектится к впн-верверу (впс) по доступному провайдеру
3) клиенты впн коннектятся к vps и получают маршрут до вашего 1ц

Автор: Alexis Nov 18 2019, 12:36

(mak_v_ @ Nov 18 2019, 12:28)

Автор: gonivo Nov 22 2019, 2:32

(imenno @ Nov 17 2019, 16:17)

ребята, подскажите мануалы что и где почитать, дабы организовать следующее, думаю, это все банально и просто и есть уже инструкции В локалке микротика ВинСервер с 1С, на микротике несколько провайдеров для резерва, где-то есть статика, где-то нет, мобильный к примеру, но не так важно. Между микротиком и удаленым сервером vps тунель vpn и на удаленный все подключаются клиенты рдп и далее организовать переадресацию на WinServer с 1С.
По схеме как-то так набросал. На данный момент только один провайдер и все напрямую подключаются на ВинСервер. Цель добавить провайдеров, так как текущий подводит периодически, и скрыть домашниый ИП, дабы на другой ИП сервера подключались и был постоянный один ИП для RDP клиентов при смене провайдера в случае аварии на одном и переключении на другой. Может что-то не так назвал, то поправьте

Автор: Console Jan 27 2020, 17:42

А тут поймал себя на топографическом кретинизме...

Есть микротик, белый адрес, за ним сервер(за nat), серверу нужно иногда ходить на smtp для отправки от туда почты( есть сервер почты, есть порт 25).... вроде все просто...
И тут я жестко туплю...
1. маскарад есть
2. правило на выпуск трафика есть
3. по логу правило срабатывает...

Но сервис никак не может подключиться и отправить почту... по логу отправляется SYN, но в конекшенах на фаерволе нет соединения..


UP.... рядом такое же правило на ICMP, работает...

Автор: mak_v_ Jan 28 2020, 0:13

ну раз syn ушел, то syn+ack должен вернуться. Если его нет на внешнем, то вероятная причина - блокировка "по пути следования"

Автор: Console Jan 29 2020, 13:16

Да действительно, провайдер блокировал транзитный вариант, порешал..

Автор: Alekssander Feb 14 2020, 12:06

Приветствую.
Подскажите плиз по очередям.
Есть MikroTik RB2011UiAS-2HnD-IN.
Создал + два виртуальных Вай-Фая. Создал общую очередь на 20мбит(наша скорость от прова)
Потом создал на каждый виртуальный свою очередь с ограничением скорости. Но работало как-то кривао.
На данный момент все очереди удалил, потому как один из виртуальных давал скорость выше чем физический.
Находил разные мануалы. Пытался воедино слепить, но получилась каша...

Автор: gonivo Feb 15 2020, 16:03

(Alekssander @ Feb 14 2020, 12:06)

Автор: Alekssander Feb 15 2020, 21:47

(gonivo @ Feb 15 2020, 16:03)

Автор: gonivo Feb 16 2020, 2:52

Это Limit Max и Limit At для каждой очереди нужно сделать? Или зачем тогда общая очередь?

Автор: Alekssander Feb 16 2020, 9:57

(gonivo @ Feb 16 2020, 2:52)

Автор: gonivo Feb 16 2020, 20:14

(Alekssander @ Feb 16 2020, 9:57)

Автор: Alekssander Feb 17 2020, 11:30

(gonivo @ Feb 16 2020, 20:14)

Автор: gonivo Feb 17 2020, 14:08

(Alekssander @ Feb 17 2020, 11:30)

Автор: Alekssander Feb 17 2020, 16:01

(gonivo @ Feb 17 2020, 14:08)

Автор: gonivo Feb 17 2020, 19:08

(Alekssander @ Feb 17 2020, 16:01)

Автор: Alekssander Feb 27 2020, 17:59

Может баян, может все, кто в теме знают, но я с Микротиком можно сказать знакомлюсь.
Настраивал две точки Mikrotik wAP ac (RBwAPG-5HacT2HnD). Будет связь между офисом и складом.
Почитал про фирменный протокол nv2. Решил протестить. Пока в офисе. Между точками несколько гипсокартонных стен.
При включении Wireless Protocol - 802.11 пинг был от 10 до 1200мс. При чём скорость постоянно прыгала. И практически любые помехи влияли. При включении Wireless Protocol - nv2 пинг стал 2-4мс. Помехи практически не влияли. Пинг стабильный.
Может кому пригодится. Я например не знал и данный функционал меня очень обрадовал.

Автор: gonivo Feb 27 2020, 18:30

Есть еще nstreme. Но по личным наблюдениям nv2 как то постабильнее.
Коллега недавно советовал отключать шифрование, делать открытую точку доступа и привязку по макам чтоб халявщики не лезли.
Не применяйте устаревшее шифрование TKIP, начиная с n - стандарта его не поддерживают и точка переключится на старый b/g.

Автор: Alekssander Feb 28 2020, 17:13

(gonivo @ Feb 27 2020, 18:30)

Автор: gonivo Feb 28 2020, 19:56

(Alekssander @ Feb 28 2020, 17:13)

Автор: Alekssander Feb 28 2020, 23:07

(gonivo @ Feb 28 2020, 19:56)

Автор: Console Mar 17 2020, 12:37

На фоне карантинов)
Есть необходимость настроить на микротике OpenVPN сервер для нескольких виндовых клиентов... но столкнулся с проблемой..

На простом логине пароле ок, работает проблем нет, но при попытке добавить проверку по сертификату возникли проблемы.
На сервере явно указал aes256 и SHA1, но работает только если блоуфиш алгоритм....

rb4011

Автор: Vitaliy_y Mar 17 2020, 13:42

(Console @ Mar 17 2020, 12:37)

Автор: Console Mar 17 2020, 13:46

(Vitaliy_y @ Mar 17 2020, 13:42)

Автор: Vitaliy_y Mar 17 2020, 18:52

(Console @ Mar 17 2020, 13:46)

Автор: -13- Mar 17 2020, 20:42

гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него

в офф.гайде какой-то совсем древний с виду описан плюс на базе ntopng который с ограничениями во фри версии

цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем, были ли потери на стороне провайдера.

ставил https://github.com/robcowart/elastiflow
капец перегружен деталями, вроде нашел пару дашбордов с данными которые мне нужны, но не смог переименовать exporter с айпишника на человекопонятное имя роутера, и плюс elastiflow дофига прожорливый по ресурсам, ему надо даже на 2 роутера с 10Гб суточного трафика на каждом - гигов 10 оперы

пока свернул его, может есть нормальные опробованные альтернативы

Автор: Fanta Mar 17 2020, 20:59

(-13- @ Mar 17 2020, 20:42)

Автор: Tiger Mar 18 2020, 9:57

(Fanta @ Mar 17 2020, 20:59)

Автор: Console Mar 18 2020, 12:41

(Vitaliy_y @ Mar 17 2020, 18:52)

Так, ничего не понял
на сервере что включено в auth и chiper? там можно убрать md5 и null остальное оставить по умолчанию, да и вариантов aes256 несколько, конкретно микрот любит aes256-cbc, собственно blowfish тоже не плохо работает.

Автор: -13- Mar 22 2020, 9:15

(Tiger @ Mar 18 2020, 9:57)

Автор: Tiger Mar 22 2020, 10:10

(-13- @ Mar 22 2020, 9:15)

Автор: koder Mar 22 2020, 19:40

MikroTik hAP lite

Можно ли настроить раздавать интернет с другого роутера? Как?

Автор: mak_v_ Mar 22 2020, 20:46

(koder @ Mar 22 2020, 19:40)

Автор: Tiger Mar 22 2020, 20:47

(koder @ Mar 22 2020, 19:40)

Автор: nerve Mar 23 2020, 10:09

(-13- @ Mar 17 2020, 20:42)

Автор: koder Mar 23 2020, 16:10

(Tiger @ Mar 22 2020, 21:47)

Автор: Tiger Mar 23 2020, 19:44

(koder @ Mar 23 2020, 16:10)

Автор: mak_v_ Mar 23 2020, 22:11

(Tiger @ Mar 23 2020, 19:44)

Автор: Tiger Mar 24 2020, 12:14

(mak_v_ @ Mar 23 2020, 22:11)

Автор: Vitaliy_y Mar 24 2020, 12:22

(koder @ Mar 23 2020, 16:10)

Автор: Tiger Mar 24 2020, 12:46

(Vitaliy_y @ Mar 24 2020, 12:22)

Автор: mak_v_ Mar 24 2020, 13:57

(Tiger @ Mar 24 2020, 12:14)

Автор: Tiger Mar 24 2020, 17:01

(mak_v_ @ Mar 24 2020, 13:57)

Автор: uvv802 Mar 29 2020, 21:53

Коллеги!
Есть несколько доменных имен, на которых периодически меняются ip
Как сформировать address list ip для этих доменных имен?

Автор: Tiger Mar 29 2020, 22:23

(uvv802 @ Mar 29 2020, 22:53)

Автор: Vitaliy_y Mar 30 2020, 9:31

(uvv802 @ Mar 29 2020, 22:53)

Автор: Tiger Mar 30 2020, 15:34

(Vitaliy_y @ Mar 30 2020, 10:31)

Автор: uvv802 Mar 30 2020, 16:30

Еще вопрос. Можно ли как-то маркировать IPTV трафик?
Задача - дать приоритет IPTV
Сложность в том, что пров дает доменное имя для подключения с ip x.x.x.x, но сам стрим идет с ip y.y.y.y, и этот ip периодически меняется.
Пока вручную torch-ем отловил этот ip и загнал его в addresses list, но это так себе решение
Вот и хочется отловить на входе трафик iptv, чтоб загнать его в приоритет без привязки к доменному имени и ip/
Реально?

Автор: uvv802 Mar 30 2020, 19:36

Отвечу сам себе.. погуглив whireshark попробую отловить и маркировать L7

GET /0122/mpegts?token=************ HTTP/1.1
Host: *.*.*.*
User-Agent: Enigma2 HbbTV/1.1.1 (+PVR+RTSP+DL;openATV;;;)
Accept: */*
Connection: close

HTTP/1.0 200 OK
Content-Type: video/mpeg
Connection: close
X-Playback-Id:

UPD:
повесил на wan интерфейс в prerouting маркировку траффика Layer7 protocol правило Content-Type: .*(.*video.*| *mpeg.*)

теперь, только запускаю IPTV - маркирует траффик и даю ему более высоки приоритет.

Автор: imenno Mar 30 2020, 23:05

Я вот с вечера борюсь, никак соединение не может установить. Подключил оптику от провайдера в SFP порт и пока ничего, вроде все правильно, пытается установить подключение и сразу отключается. Микротик 962. Буду прову писать, что за на нафиг.

На 1000 линк не поднимается. В общем когда убираю галку auto negotiation в закладке sfp1\эзернет, то поднимается линк только на 100ку. Но дальше все равно соединение не поднимается, когда привязываю интерфейс pppoe-out1 к sfp1 (sfp1 не в бридже).

Автор: H_U_L_K Mar 30 2020, 23:23

PON или FTTH?

Автор: imenno Mar 30 2020, 23:36

(H_U_L_K @ Mar 31 2020, 0:23)

Автор: Vitaliy_y Mar 31 2020, 17:13

(imenno @ Mar 31 2020, 0:36)

(uvv802 @ Mar 30 2020, 20:36)

Автор: uvv802 Mar 31 2020, 19:18

Автор: gonivo Apr 1 2020, 20:50

(imenno @ Mar 31 2020, 0:36)

Автор: H_U_L_K Apr 1 2020, 21:11

Любой PON через sfp это костыли, пока что.
Лучше всего использовать провайдерский ONU, они не дорогие (в пределах 15 баксов) и точно совместимы с провайдерской сетью.

Автор: imenno Apr 1 2020, 23:28

(H_U_L_K @ Apr 1 2020, 22:11)

Автор: Beaf Apr 6 2020, 15:30

Приветствую,
подскажите реально ли такое реализовать,
настроен watchdog, при отсутствии интернета понятное дело роутер перезагружается
но выяснил что быстрее и практичней использовать release и renew
вопрос, можно ли добавить в задачи что при отсутствии пинга на указанный ресурс с периодичностью в 2 минуты, роутер будет проверять и в случае чего приводить в действие эти команды?

Автор: post_val Apr 6 2020, 17:34

а зачем перезагружать микрот, при пропадении инета?

Автор: Robbie Apr 7 2020, 20:22

(Beaf @ Apr 6 2020, 16:30)

Автор: Beaf Apr 8 2020, 10:55

(post_val @ Apr 6 2020, 18:34)

Автор: post_val Apr 8 2020, 11:34

(Beaf @ Apr 8 2020, 11:55)

Автор: Beaf Apr 8 2020, 11:40

(post_val @ Apr 8 2020, 12:34)

Автор: Console Apr 8 2020, 13:42

Ну еще костыльный метод, выключить включить интерфейс...

Автор: gonivo Apr 9 2020, 0:41

(Beaf @ Apr 8 2020, 11:55)

Автор: post_val Apr 9 2020, 16:25

(Beaf @ Apr 8 2020, 12:40)

(Beaf @ Apr 8 2020, 12:40)

почему происходит пропадание не знаю , могу сказать что происходит такое только если NASу дать задачу закачивать что-то с торрента (любого)
Читал что виноват DNS провайдера, но мне и гугловские не помогли

Автор: Beaf Apr 10 2020, 12:26

(post_val @ Apr 9 2020, 17:25)

Тогда зачем использовать dhcp клиент? Пропишите руками, да и все.

Не совсем понимаю, каким образом может DNS провайдера быть связан с неответом DHCP сервера. Но, как костыль, подойдёт скрипт из статьи, до момента, пока пингуется 1.1.1.1

Автор: post_val Apr 10 2020, 17:14

(Beaf @ Apr 10 2020, 13:26)

Автор: Beaf Apr 11 2020, 14:15

(post_val @ Apr 10 2020, 18:14)

Автор: Console Apr 16 2020, 20:14

Ребят, подскажите скрипт для отправки письма в случае когда mikrotik загрузился ок?
Шото гуглю и пока не очень(

Автор: Alexis Apr 16 2020, 21:14

(Console @ Apr 16 2020, 21:14)

Автор: Console Apr 16 2020, 21:17

(Alexis @ Apr 16 2020, 22:14)

Автор: Alekssander Apr 16 2020, 21:41

(Console @ Apr 16 2020, 22:17)

Автор: imenno Apr 16 2020, 22:14

Из локалки не пускает внутр локалки через внешний ИП в запросе. Где-то что-то блочит. Вот проброшены порты в локалку на один из внутр адресов. С телефона через моб инет ВнешнийИП:порт заходит. То же самое внутри локалки, нет соединения. На гавеном тплинке такого не было и пускало с такими же настройками. Любая попытка внутри локалки ввести внешнийИп:порт - нет соединения. Чтобы проверить проброс, работает ли, приходится сторонним инэтом пользоваться с телефона. Куда копать, что смотреть. На линксис такая же беда. У кого было такое?

Автор: Console Apr 16 2020, 22:14

(Alekssander @ Apr 16 2020, 22:41)

Автор: Vitaliy_y Apr 17 2020, 8:21

(imenno @ Apr 16 2020, 23:14)

Автор: Console Apr 17 2020, 15:08

все же нужна доработка

Автор: imenno Apr 17 2020, 20:15

(Vitaliy_y @ Apr 17 2020, 9:21)

Автор: Sasha74 Apr 30 2020, 19:46

хочу прокинути порт ssh через вхідний Mikrotik1(білий ІР) на Mikrotik2(контролер CAPSman) у внутрішній мережі
на перший по SSH заходить - все налаштовано.
на другий по SSH заходить тільки із внутрішньої мережі
налаштування Mikrotik1 такі:
в firewall перше правило

add action=accept chain=forward comment=Allow_access_over_SSH dst-port=22 in-interface=pppoe-out protocol=tcp

/ip firewall nat

add action=masquerade chain=srcnat out-interface=pppoe-out
add action=dst-nat chain=dstnat comment=SSH dst-address=XX.XXX.XXX.XX dst-port=55557 in-interface=pppoe-out protocol=tcp \
to-addresses=192.168.1.2 to-ports=22

в Mikrotik2 firewall пустий, всі інтерфейси об'єднані в брідж і в наті маскарадинг на цьому бриджі

що не так?

Автор: H_U_L_K Apr 30 2020, 20:13

В фаерволе на первом микротике это единственное правило? Другие пробросы портов работают?
У меня похожее было когда провтыкал отключить дроп форварда.

Автор: gonivo Apr 30 2020, 21:15

(Sasha74 @ Apr 30 2020, 20:46)

Автор: Sasha74 Apr 30 2020, 21:39

(gonivo @ Apr 30 2020, 22:15)

Автор: gonivo Apr 30 2020, 22:06

(Sasha74 @ Apr 30 2020, 22:39)

Автор: Sasha74 Apr 30 2020, 22:53

справа точно не в фаєрволі - дозволяв усе

Автор: gonivo Apr 30 2020, 23:47

На мікротіку2 інет точно є?

Автор: IceWallow_Come May 1 2020, 22:46

Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти

Автор: mak_v_ May 2 2020, 9:38

Открыть фаервол

Автор: VoliaMan May 2 2020, 10:04

(IceWallow_Come @ May 1 2020, 23:46)

Автор: Console May 2 2020, 12:29

(IceWallow_Come @ May 1 2020, 23:46)

(VoliaMan @ May 2 2020, 11:04)

Автор: IceWallow_Come May 2 2020, 13:34

(Console @ May 2 2020, 13:29)

Автор: gonivo May 2 2020, 17:20

(IceWallow_Come @ May 2 2020, 14:34)

Автор: IceWallow_Come May 2 2020, 20:11

(gonivo @ May 2 2020, 18:20)

Автор: gonivo May 3 2020, 1:27

(IceWallow_Come @ May 2 2020, 21:11)

Автор: IceWallow_Come May 4 2020, 18:07

(gonivo @ May 3 2020, 2:27)

Автор: olexande May 27 2020, 20:34

Доброго дня!
Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.

Провайдер зараз 1н. веб серверів, щоб могли обробити запит - хочу встановити 2.

Таке цікавить:

http://piccy.info/view3/13826670/a23a7cfce04a45eae17117fbe98ed48a/http://i.piccy.info/a3c/2020-05-27-18-32/i9-13826670/240x163-r

В ідеалі, якщо 1н з серверів відключиться, щоб на нього запити перестали надсилатися.
Чи я сам відключу ...

Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.

Автор: Tiger May 28 2020, 10:05

(olexande @ May 27 2020, 21:34)

Автор: GhostKU May 28 2020, 10:19

Нужно обновить домашний роутер, остановился на hAP AC2 Норм? Или что другое порекомендуете?
Основные требования:
- Скорость работы (Нормальный, честный гигабит между портами, Хороший WiFi)
- Надежность
- Поднять VPN чтобы снаружи домой ходить

Еще в пару к роутеру нужен будет гигабитный комутатор, ХЗ чё брать

Автор: Tiger May 28 2020, 11:30

(GhostKU @ May 28 2020, 11:19)

Автор: GhostKU May 28 2020, 11:55

(Tiger @ May 28 2020, 12:30)

Автор: mak_v_ May 28 2020, 11:57

(olexande @ May 27 2020, 21:34)

Автор: gonivo May 28 2020, 14:35

(olexande @ May 27 2020, 21:34)

Автор: Console May 29 2020, 9:45

(GhostKU @ May 28 2020, 11:19)

Автор: javelin Jul 15 2020, 23:49

Так как канал слабый, сейчас использую в качестве ограничения скорости simple queue с burst limit, т.е. обычная скорость сейчас выставлена как 5мбит/сек, но если юзер начнет что-то качать, то через 10 секунд его скорость снижается до 1мбит/сек. Но это все равно не помогает, так как я неоднократно наблюдал (через torch), что сидят 5-7 юзеров со скоростью до 5мбит/сек, а остальные еле-еле что-то тянут и наблюдаются проблемы с доступом в сеть.

Поэтому, хотел бы узнать, есть ли решения, которые позволяют ограничить скорость каждому юзеру по соотношению их количества к пропускной способности канала? Т.е. если 1 юзер, пусть использует весь канал, если 5 - то 1\5 пропускной способности, если 10 -то 1\10 и так далее.

Заранее спасибо!

Автор: Vitaliy_y Jul 16 2020, 10:15

(javelin @ Jul 16 2020, 0:49)

Автор: gonivo Jul 16 2020, 14:12

(Vitaliy_y @ Jul 16 2020, 11:15)

Автор: gonivo Jul 16 2020, 14:24

(javelin @ Jul 16 2020, 0:49)

Автор: javelin Jul 16 2020, 17:17

(gonivo @ Jul 16 2020, 15:24)

Автор: Bra'tac Jul 16 2020, 22:58

Ребята. А стоит ли брать микротик 962 как основной на ввод в квартиру. К нему там два провайдера. А к нему уже подключать другую железку помощнее для ВиФи?

Автор: gonivo Jul 17 2020, 11:50

(javelin @ Jul 16 2020, 18:17)

Автор: gonivo Jul 17 2020, 12:00

(Bra'tac @ Jul 16 2020, 23:58)

Автор: javelin Jul 17 2020, 20:25

Постоянно в логе сообщение, что кто-то пытается зайти через winbox, причем с ip адреса самого роутера в сети. В ip/services указал только один ip для входа ко всем службам (свой удаленный). Поменял имя администратора с дефолтного admin на свой. Что-то еще может быть сделать? А то в логе постоянно высвечиваются сообщения, что попытка входа заблокирована

Автор: gonivo Jul 18 2020, 1:22

(javelin @ Jul 17 2020, 21:25)

Автор: javelin Jul 27 2020, 19:27

Хочу немного поэкспериментировать, подскажите, как организовать так, чтобы имея двух провайдеров - один служил для того (и только для того), чтобы я мог удаленно заходить через winbox, а второй - уже для доступа в интернет всех пользователей ? Заранее спасибо!

Автор: vilupok Jul 28 2020, 5:35

Настройте Port Knocking и будет вам счастье:
https://wiki.mikrotik.com/wiki/Port_Knocking
Или port knocking over ICMP
https://habr.com/ru/post/186488/

Автор: YaAllex Jul 28 2020, 10:55

(javelin @ Jul 27 2020, 20:27)

Автор: javelin Jul 28 2020, 12:13

(YaAllex @ Jul 28 2020, 11:55)

Автор: YaAllex Jul 28 2020, 13:01

(javelin @ Jul 28 2020, 13:13)

Автор: javelin Jul 28 2020, 13:33

(YaAllex @ Jul 28 2020, 14:01)

Автор: YaAllex Jul 28 2020, 14:44

(javelin @ Jul 28 2020, 14:33)

Автор: javelin Jul 28 2020, 14:52

(YaAllex @ Jul 28 2020, 15:44)

Автор: gonivo Jul 28 2020, 17:39

(javelin @ Jul 28 2020, 15:52)

(javelin @ Jul 9 2020, 1:06)

Автор: javelin Jul 28 2020, 20:47

(gonivo @ Jul 28 2020, 18:39)

Автор: javelin Jul 28 2020, 21:48

А как можно сделать, чтобы я "попал" в подсеть микротика удаленно? А то нужно настроить пару локальных точек доступа

Автор: YaAllex Jul 28 2020, 22:25

(javelin @ Jul 28 2020, 22:48)

Автор: Vitaliy_y Jul 29 2020, 7:45

(javelin @ Jul 28 2020, 22:48)

Автор: gonivo Jul 29 2020, 19:20

(javelin @ Jul 28 2020, 22:48)

Автор: javelin Aug 17 2020, 22:58

(gonivo @ Jul 16 2020, 15:24)

Автор: gonivo Aug 18 2020, 18:51

(javelin @ Aug 17 2020, 23:58)

Автор: KoNoRIMCI Aug 24 2020, 9:28

Winbox:
Q: "Auto resize column to fit the header and content size" - please add this option in the future updates of the Winbox.
A: We will add this the future improvements when a similar request will be from more users, we will see how to implement such a feature.

Автор: Sasha74 Aug 28 2020, 8:33

питання про мікротік Wi Fi

на даний час налаштовано Capsman і використовуються дві групи точок (використовуються RB951Ui-2HnD) на каналах 1 і 11. Ширина каналу виставлена в Capsmah 20mHz і по факту вона становить 40 mHz. З'явилась потреба поставити точку на каналі 6 і відповідно поставити ширину каналу фактичну 20 mHz, щоб всі канали не пересікалися. і от коли ставлю в Capsman ширину каналу 10 mHz пропадає сигнал на телефонах і ноутбуках, телефони дивився різні.
Що можна зробити в такому випадку?

вирішено, треба поставити extension channel disabled

Автор: YaAllex Aug 28 2020, 11:46

(Sasha74 @ Aug 28 2020, 9:33)

Автор: uvv802 Sep 30 2020, 15:41

Коллеги!
Помогите рулить IPTV трафиком на роутере.

Имеем:
1. адрес потока в плейлисте: хттпсадрес.потока.ком/индекс.м3у/токен=токен
2. роутер

Задача:
1. Поймать трафик (layer 7?)
2. Дать ему приоритет (с этим справлюсь сам)

Без проблем получается при известном IP, (забил в adress list iptv запись адрес.потока.ком (с IP х.х.х.х) и создал правило маркировки пакетов) но на адрес.потока.ком IP периодически меняется,
и тут возникают сложности - пакеты не маркируются
а иногда (есть у меня такие подозрения и torch меня в этом убеждает) что трафик IPTV идет с других адресов (например с адреса у.у.у.у а не с адрес.потока.ком (x.x.x.x))
а дальше не хватает знаний

Спасибо за подсказки в какую сторону копнуть

Автор: H_U_L_K Sep 30 2020, 16:05

А привязаться не к ИП, а к домену не вариант? Вроде бы в ютубе на mikrotik training Рома это рассказывал...

Автор: uvv802 Sep 30 2020, 20:32

(H_U_L_K @ Sep 30 2020, 17:05)

Автор: Vitaliy_y Oct 1 2020, 19:45

(uvv802 @ Sep 30 2020, 21:32)

Автор: uvv802 Oct 2 2020, 14:42

(Vitaliy_y @ Oct 1 2020, 20:45)

Автор: Vitaliy_y Oct 5 2020, 15:34

(uvv802 @ Oct 2 2020, 15:42)

сам не тестил

Автор: uvv802 Oct 5 2020, 20:26

(Vitaliy_y @ Oct 5 2020, 16:34)

Сорян, провтыкал сообщение, маркируйте тогда исходящие запросы и ловите обратный трафик на приставку

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

chain=prerouting action=mark-connection new-connection-mark=preroute
passthrough=yes connection-state=new protocol=tcp
src-address=192.168.88.11 dst-port=443 log=yes log-prefix="!newconn"

chain=postrouting action=mark-packet new-packet-mark=postroute passthrough=yes
dst-address=192.168.88.11 connection-mark=FromHome log=yes
log-prefix="postroute"

ну и дальше в очередях давайте приоритет пакетам

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

сам не тестил

Автор: Vitaliy_y Oct 5 2020, 20:58

(uvv802 @ Oct 5 2020, 21:26)

Автор: uvv802 Oct 5 2020, 21:34

(Vitaliy_y @ Oct 5 2020, 21:58)

Там не нужен Adress lists, в первом правиле вы маркируете новые соединения от клиента, дальше входящие пакеты с маркировкой коннекта, а он будет каждый раз новый, через connection tracking маркируются и ими можно рулить в очереди.
Зы, если хотите разруливать для всех клиентов попробуйте маркировать через regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
https://habr.com/ru/post/346052/ можно почитать про блокировку ютубчика, такой же принцип можно использовать для маркировки и приоритета.
Главное в preroute маркировать только необходимые запросы а потом в postroute ловить ответы, если просто тупо юзать layer7 для всего будет лишняя нагрузка на проц и тупняки ^)
Это ЭдемТВ такой фигней страдает, проксят что бы за попу не взяли
Если расскажете подробно почему тупит иптв может и правила рисовать не нужно будет

Автор: uvv802 Oct 5 2020, 23:36

(Vitaliy_y @ Oct 5 2020, 21:58)

Там не нужен Adress lists, в первом правиле вы маркируете новые соединения от клиента, дальше входящие пакеты с маркировкой коннекта, а он будет каждый раз новый, через connection tracking маркируются и ими можно рулить в очереди.
Зы, если хотите разруливать для всех клиентов попробуйте маркировать через regex layer7 по add name=iptv regexp="^.+(index.m3u8).*$"
https://habr.com/ru/post/346052/ можно почитать про блокировку ютубчика, такой же принцип можно использовать для маркировки и приоритета.
Главное в preroute маркировать только необходимые запросы а потом в postroute ловить ответы, если просто тупо юзать layer7 для всего будет лишняя нагрузка на проц и тупняки ^)
Это ЭдемТВ такой фигней страдает, проксят что бы за попу не взяли
Если расскажете подробно почему тупит иптв может и правила рисовать не нужно будет

Автор: Vitaliy_y Oct 6 2020, 8:51

Вот и та ошибка про которую я писал выше, у вас теперь весь трафик chain=prerouting прогоняется через фильтр layer7, а это есть плохо, лишняя нагрузка на ресурсы роутера.

Автор: uvv802 Oct 6 2020, 18:19

(Vitaliy_y @ Oct 6 2020, 9:51)

Автор: -=R=- Oct 9 2020, 11:12

небольшой оффтоп
никто не подскажет, кто занимается ремонтом микротов в Киеве? хотелось бы оживить MikroTik CRS112-8G-4S-IN

Автор: Vitaliy_y Oct 9 2020, 11:38

(-=R=- @ Oct 9 2020, 12:12)

Автор: -=R=- Oct 9 2020, 11:45

(Vitaliy_y @ Oct 9 2020, 11:38)

Автор: GINic Oct 9 2020, 12:35

(Vitaliy_y @ Oct 9 2020, 12:38)

Автор: gonivo Oct 10 2020, 11:26

(-=R=- @ Oct 9 2020, 12:12)

Автор: Fanta Nov 9 2020, 11:46

Всім привіт!
колеги, підкажіть, плз.
Я правильно розумію що такий сабж як MikroTik CRS326-24G-2S не має РоЕ на портах для того щоб "запитать" з нього ІР-телефони (в даному випадку мова про грандстріми)

Чи все таки можна?

Автор: Tiger Nov 9 2020, 11:57

(Fanta @ Nov 9 2020, 11:46)

Автор: Console Nov 9 2020, 17:09

вопрос, есть в микротике стандартное правило фаервола

Автор: Tiger Nov 9 2020, 17:11

(Console @ Nov 9 2020, 17:09)

Автор: Console Nov 9 2020, 17:18

(Tiger @ Nov 9 2020, 17:11)

Автор: H_U_L_K Nov 10 2020, 10:24

(Console @ Nov 9 2020, 17:09)

Автор: Vitaliy_y Nov 10 2020, 12:06

(H_U_L_K @ Nov 10 2020, 10:24)

Автор: Fanta Nov 10 2020, 16:32

(Tiger @ Nov 9 2020, 12:57)

Автор: Vitaliy_y Nov 10 2020, 19:16

(Fanta @ Nov 10 2020, 16:32)

гуру,тоді порадьте гігабітний свіч з РоЕ

Автор: Fanta Nov 10 2020, 20:27

(Vitaliy_y @ Nov 10 2020, 20:16)

Автор: tiss Nov 10 2020, 21:20

(Fanta @ Nov 10 2020, 20:27)

Автор: Vitaliy_y Nov 10 2020, 21:22

(Fanta @ Nov 10 2020, 20:27)

Автор: Fanta Nov 10 2020, 23:03

(Vitaliy_y @ Nov 10 2020, 22:22)

Автор: Vitaliy_y Nov 11 2020, 9:33

(Fanta @ Nov 10 2020, 23:03)

Автор: Sasha74 Nov 30 2020, 13:54

Вітаю. Є проблема з CAPSMAN. стоїть 3 шт мікротіки у внутрішній мережі. один з них контроллер (№2) capsman, канали WiFi рознесені, є основна і гостьова мережа. З'явилася потреба підключити четвертий мікротік(№5), налаштував все аналогічно, тепер два мікротіки працюють на 11 каналі і два на 1. але є проблема, на новому мікротіку (№5) не працює основна мережа, тобто вона ніби працює, але клієнти до неї не під'єднуються і їх перекидає на віддалений мікротік. Ставив новий куплений мікротік (№5) на місце робочого (№3) - та ж проблема, пробував інший мікротік - аналогічна проблема. Нижче конфігурації контролера (№2) і ведомого (№5). забув написати - стоїть вхідний мікротік (№1) на якому DHCP сервер основної мережі.

конфігурація контролера CAPSMAN:

Автор: Fanta Dec 1 2020, 16:41

Всім привіт!
Народ, які моделі мікрота порадит/юзаєте для віддалених офісів з безгеморною підтримкою 4G модемів ?

Автор: Sasha74 Dec 2 2020, 14:27

(Sasha74 @ Nov 30 2020, 13:54)

Автор: uvv802 Jan 18 2021, 21:43

Проблема удаленного хоста?

DoH https://1.1.1.1/dns-query

Автор: tiss Mar 14 2021, 13:57

(Fanta @ Dec 1 2020, 16:41)

Автор: A___L___E___X Apr 3 2021, 15:56

Имеется аппарат RB962UiGS-5HacT2HnT, настроен и работает, но вот недавно решил проверить скорость wifi и был удивлен что на 2.4 максимальная скорость 40мбит\с, а на 5 максимум 60мбит\с когда канал 1гбит\с, какие только настройки не клацал но показатели не поднимаются. Как его настроить, что бы на канале 5ггц была скорость 100+ мбит? Прошивка девайса 6.48.1 И когда вношу какие изменения в ностройках бывает пропадает подключение вифи и помогает только перезагрузка самого устройства.

Автор: KoNoRIMCI Apr 3 2021, 16:04

В использовании есть такой MikroTik и тоже 1Гбит/с от провайдера. Даже ничего не настраивая при проверке с ноутбука (https://www.speedtest.net, https://speedtest.volia.com) в пределах комнаты на 5ГГц (ac) имею ~400Мбит/с. В ноутбуке стоит не родной WiFi-модуль https://ark.intel.com/content/www/ru/ru/ark/products/189347/intel-wi-fi-6-ax200-gig.html. По проводу 800-900Мбит/с.

Какое клиентское устройство? В каком режиме оно подключается к роутеру? Эту информацию и больше можно узнать через настройки роутера. В многоэтажках в крупных городах диапазон 2.4ГГц уже перегружен. Не стоит ждать больших скоростей и стабильного сигнала. Мой телефон может только 2.4ГГц с шириной канала 20МГц и выдаёт скорость ~40Мбит/с.

Внутренний тест скорости от MikroTik (https://mt.lv/btest) давно не использую, показывает очень низкие скорости. Локальную скорость предпочитаю проверять через https://iperf.fr/iperf-download.php. Для всего остального SpeedTest.

Автор: A___L___E___X Apr 3 2021, 16:36

(KoNoRIMCI @ Apr 3 2021, 17:04)

Автор: KoNoRIMCI Apr 3 2021, 16:46

5ГГц может быть (n).

Рекомендую убрать свои настройки и оставить минимум подключенных клиентов, в списке подключений смотреть режим работы в момент передачи данных.

Интересует (Tx Rate/Rx Rate) на https://antelecs.ru/image/catalog/blog/8_who_connect/1.png.

Автор: A___L___E___X Apr 3 2021, 17:40

вот настройки

Автор: Vitaliy_y Apr 4 2021, 12:13

(A___L___E___X @ Apr 3 2021, 18:40)

Автор: Console Apr 4 2021, 12:35

Автор: A___L___E___X Apr 4 2021, 18:30

(Vitaliy_y @ Apr 4 2021, 13:13)

(Console @ Apr 4 2021, 13:35)

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Автор: Vitaliy_y Apr 4 2021, 18:34

(A___L___E___X @ Apr 4 2021, 19:30)

Автор: Console Apr 5 2021, 20:14

(A___L___E___X @ Apr 4 2021, 19:30)

Автор: artem.ultra May 19 2021, 18:25

Всех приветствую!
Ломаю голову как сделать... Вводные
Есть сеть 10.20.2.0/23
Есть Микротик 10.20.3.253
Есть Фортигейт 10.20.3.252
На микротике есть куча сетей, для которых он дефолт. Для сети 10.20.2.0/23 этот микротик тоже дефолт.

Придумал я себе такое, что все должно остаться без изменений, микротик должен быть дефолтом для всех. НО интернет должен выходить через Фортик 10.20.3.252

Что сделал.
на микротике добавил роут 0.0.0.0 на ip фортика 10.20.3.252 и промаркировал роут через mangle
На фортике разрешил нат и все поехало.
НО. Очень странно ведет себя sip, то звука нет в одну сторону нет. то появляется спустя 5-10 сек...
Периодично в логе вижу следующее:

prerouting: in:26T out:(unknown 0), src-mac хх:хх:хх:хх:хх:хх, proto UDP, 10.20.0.164:5060->184.84.249.37:5060, NAT (10.20.0.164:5060->122.122.94.34:5060)->184.84.249.37:5060, len 32

Стронно в этом логе то, что ip 122.122.94.34 принадлежит микротику, через который выходят все остальные сети которые натятся на микротике

Может у кого-то есть более интересная идея как реализовать задачу?

Автор: tiss May 19 2021, 20:45

(artem.ultra @ May 19 2021, 18:25)

Автор: artem.ultra May 19 2021, 21:36

(tiss @ May 19 2021, 21:45)

Автор: Alekssander Jul 16 2021, 16:19

Подскажите мне как художник художнику. )))
Поставил два MIKROTIK RB4011IGS+RM
Настроил ВПН. На сервере пришлось отключить все правила Файервола, потому как ВПН не хотел соединяться.
Я так понимаю нужно прописать вверху разрешающие правила для ВПНовских портов.
1701,500,4500? Если можно конкретнее. Просто input - protocol - (tcp) - dst.port - 1701 - in.interface - ether1(интернет) - action - accept ?
Правильно?
Ну и потом ниже запрещающие правила.

Автор: Alekssander Jul 23 2021, 13:04

(Alekssander @ Jul 16 2021, 17:19)

Автор: Fanta Aug 4 2021, 15:34

Hi ALL
Шось затихла тема ....
Просте питання: мікротік як РоЕ-шний свіч для телефонів - це ок чи не ок ?

Наприклад такий девайс - Mikrotik CSS326-24G-2S+RM (24xPOE, 2xSFP), з врахуванням того що зателефоном буде ноут/ПК то хочеться 1гбіт

Хто що думає?

Автор: Emissions Aug 4 2021, 18:39

(Fanta @ Aug 4 2021, 16:34)

Автор: Fanta Aug 4 2021, 20:48

лінки - да
телефони: Grandstream GPX 2612p
але походу Mikrotik CSS326-24G-2S+RM це девайс з PoE-IN а не OUT )

Автор: Koka-ftp Aug 4 2021, 23:22

(Fanta @ Aug 4 2021, 21:48)

Автор: Fanta Aug 10 2021, 15:13

(Koka-ftp @ Aug 5 2021, 0:22)

Автор: Koka-ftp Aug 16 2021, 9:10

(Fanta @ Aug 10 2021, 16:13)

Автор: AWEA Aug 28 2021, 17:16

Комрады, прощу помочь.
Готов рассмотреть ситуацию с подключением и настройкой по TeamViewer за вознагрождаждение.

Ситуация:

мне форумчанин помог настроить и обьеденить две локальные сети в одну https://forum.0day.kiev.ua/index.php?showtopic=583582
Но сейчас с ним нет связи, к сожалению. Надеюсь с ним все хорошо.


Если коротко

Есть два "офиса". На одном белый IP и юсб модем Киевстара как резерв, на втором - серый. Два микрика, которые соединены между собой в тоннель L2TP с единственной сетью DHCP (192.168.1.10 и дальше ). Это все было настроено.

192.168.1.2 Шлюз (серый)
192.168.1.1 Шлюз (белый)

Так договорились, что
150+ серый ручками прописываю где возможно
101-145 -динамика серый
10-100 белый


по умолчанию автоматика шла вся через шлюз 192.168.1.1. если он по каким техническим причинам не имеет доступа к интернету, то офис с серым ИП автоматически должен был автоматически переключался на шлюз 2, а офис, там где белый IP - на юсб модем от КС (понятно, что тоннель в это время работать не будет)


я хотел добавить возможность чтобы был еще дополнительно VPN сервер на белом адресе (например когда открытые WIFI сети весь трафик зашифровано гнать через себя), то в настройках нажал непонятно что и ....


автоматика и в ручную если прописывать шлюз 192.168.1.1 (белый адрес ) - не пускает к сети интернет
в ручную прописывать шлюз 192.168.1.2 - пускает под "серым" внешним ИП.

Проблема в том, что есть ряд IoT, которые только на автоматику и получается остались без доступа в сеть интернет и управления.


Задача: 1) пофиксить как было 2) помочь с VPN

Автор: Vitaliy_y Aug 28 2021, 19:56

Вынос мозга, разделить сети на отдельные не пересекающиеся подсети, нормально настроить маршрутизацию сетей между туннелям, дальше поднять vpn, сейчас это все похоже на какой-то изврат

Автор: KoNoRIMCI Sep 11 2021, 21:30

Автор: Console Sep 11 2021, 22:55

(KoNoRIMCI @ Sep 11 2021, 22:30)

Автор: Федор Сумкин Sep 30 2021, 18:50

Решил прикупить себе микротик ац3 домой, отсюда встал вопрос, а умеет ли он по маку резать время подключения ? Имеется в виду что определенному маку можно в определенные сайты не больше 2х часов в день. То есть общее время трафика с сайта (ютуб для примера) не больше 2х часов в день.

Спасибо за ответы.

Автор: Tiger Oct 3 2021, 14:13

Весь инет без проблем из коробки https://ntema.com.ua/article/roditelskii-kontrol-na-oborudovanii-mikrotik

К конкретному сайту - да можно, но нужно писать кастомный скрипт и будет включаться или отключаться правило в фаерволле.

Автор: Федор Сумкин Oct 3 2021, 19:35

(Tiger @ Oct 3 2021, 15:13)

Автор: KoNoRIMCI Oct 3 2021, 20:28

Там ниже по ссылке увидел комментарий, который может помочь решить поставленную задачу:

Автор: Tiger Oct 4 2021, 9:27

(Федор Сумкин @ Oct 3 2021, 20:35)

(KoNoRIMCI @ Oct 3 2021, 21:28)

Автор: Alekssander Oct 19 2021, 11:28

Подскажите плиз действенный способ блокировки TeamViewer.
Находил варианты через L7. Но не работает.
Вариант через DNS не осилил.

Автор: Alekssander Oct 21 2021, 16:06

Закрыл таки в DNS через регулярные выражения
.*teamviewer.* - 127.0.0.1
Или можно DNS добавить
teamviewer.com - 127.0.0.1

Автор: Console Oct 28 2021, 15:53

(Федор Сумкин @ Sep 30 2021, 19:50)

(Федор Сумкин @ Oct 3 2021, 20:35)

Автор: DeCodeR Nov 1 2021, 8:59

коллеги, кто юзал Mikrotik RB4011iGS+5HacQ2HnD-IN? Интересует как он в работе, в отзывах пишут что он греется сильно.

Автор: Console Nov 1 2021, 21:30

(DeCodeR @ Nov 1 2021, 8:59)

Автор: Дима Динамит Nov 10 2021, 14:06

(DeCodeR @ Nov 1 2021, 8:59)

Автор: Robbie Nov 14 2021, 0:12

(Дима Динамит @ Nov 10 2021, 14:06)

Автор: privacy Dec 3 2021, 22:52

Привет. Дома стоит роутер hap ac lite и часто отваливается вайфай на макбуке. в чем может быть проблема? канал вроде как не забитый, пробовал разные.

http://piccy.info/view3/15166182/80192eb9a11fbe36546ca444401ded8f/http://i.piccy.info/a3c/2021-12-03-20-46/i9-15166182/240x130-r

http://piccy.info/view3/15166183/66cefa551c8d238ec37c94a789f96cb1/http://i.piccy.info/a3c/2021-12-03-20-48/i9-15166183/240x132-r

http://piccy.info/view3/15166187/f35de0c8cf46cfdde2a1c5b12225c830/http://i.piccy.info/a3c/2021-12-03-20-50/i9-15166187/240x235-r

Автор: Alekssander Dec 4 2021, 9:08

(privacy @ Dec 3 2021, 22:52)

Автор: privacy Dec 6 2021, 9:28

изменил ключ шифрования на 1 час. ничего не изменилось.
https://piccy.info/view3/15168086/120cf456fe9fc9e1c8a24e7efa247c0b/

Автор: Vitaliy_y Dec 6 2021, 12:04

(privacy @ Dec 6 2021, 9:28)

Автор: privacy Dec 7 2021, 22:22

(Vitaliy_y @ Dec 6 2021, 12:04)

Автор: privacy Dec 8 2021, 11:15

не на долго помогло(
https://piccy.info/view3/15170166/0f988b6a1772c438e371ab3e594571f9/

Автор: Дима Динамит Dec 14 2021, 13:38

подскажите а можна сделать бєкап тольк впн, ви-фи, хотпоста и все? и перенести на новое оборудования микротик

Автор: Tiger Dec 14 2021, 14:21

(Дима Динамит @ Dec 14 2021, 13:38)

Автор: Дима Динамит Dec 14 2021, 19:24

(Tiger @ Dec 14 2021, 14:21)

Автор: Koka-ftp Dec 14 2021, 22:48

(Дима Динамит @ Dec 14 2021, 19:24)

Автор: Дима Динамит Jan 4 2022, 15:46

(Koka-ftp @ Dec 14 2021, 22:48)

Автор: Дима Динамит Jan 17 2022, 1:19

Какое то падло пыталось взломать мой домашний микрот. поправил фаервол.
https://ibb.co/DYjJxXc

Автор: gx_ua Jan 17 2022, 12:23

(Дима Динамит @ Jan 17 2022, 1:19)

Автор: Vitaliy_y Jan 17 2022, 12:25

(Дима Динамит @ Jan 17 2022, 1:19)

Автор: H_U_L_K Jan 17 2022, 14:05

(Vitaliy_y @ Jan 17 2022, 12:25)

Автор: Vitaliy_y Jan 17 2022, 14:54

(H_U_L_K @ Jan 17 2022, 14:05)

Автор: Дима Динамит Jan 18 2022, 20:55

(Vitaliy_y @ Jan 17 2022, 14:54)

Автор: H_U_L_K Jan 18 2022, 20:59

(Дима Динамит @ Jan 18 2022, 20:55)

(Дима Динамит @ Jan 18 2022, 20:55)

Автор: Vitaliy_y Jan 18 2022, 23:15

(Дима Динамит @ Jan 18 2022, 20:55)

Автор: Дима Динамит Jan 19 2022, 1:03

(Vitaliy_y @ Jan 18 2022, 23:15)

Автор: Cabron Jan 20 2022, 16:31

Кто пользуется DoH DNS от 1.1.1.1?
У меня в последнее время постоянно валят ошибки.
Прошивка 7.1.1

Автор: Дима Динамит Feb 11 2022, 10:36

друзья подскажите команду в Mikrotik CHR для открытия 9750 порта?

пробовал add action=dst-nat chain=dstnat dst-address=хххх dst-port=9750 \
protocol=udp to-addresses=192.168.88.254 to-ports=9750

пишет не известная команда или


add action=accept chain=sshbruteforces connection-state=new dst-port=9750 \
protocol=udp

Автор: Robbie Feb 11 2022, 10:55

(Дима Динамит @ Feb 11 2022, 10:36)

Автор: Дима Динамит Feb 13 2022, 17:09

кто знает NAT слетает после перезагрузки роутера. как исправить?

Автор: YaAllex Feb 13 2022, 17:26

(Дима Динамит @ Feb 13 2022, 17:09)

Автор: H_U_L_K Feb 13 2022, 18:52

safe mod отключен?))

Автор: Дима Динамит Feb 13 2022, 22:38

(YaAllex @ Feb 13 2022, 17:26)

(H_U_L_K @ Feb 13 2022, 18:52)

Автор: Console Feb 14 2022, 5:36

(Дима Динамит @ Feb 13 2022, 22:38)

Автор: Дима Динамит Feb 17 2022, 0:08

(Console @ Feb 14 2022, 5:36)

Автор: Denson Jun 29 2022, 23:05

Всем привет!
Форумчане, подскажите, пожалуйста, с настройкой микрота.

Следующие исходные данные:
Микрот RB941-2nd hap lite.
С последней актуальной прошивкой 6.49.6 stable.

По лану один сетевой провод ведет к компу - со скоростью вопросов нету (устраивает) Спидтест показывает 94.73Mbps / 94.75Mbps

С вайфай херовей(
Ноут Ноутбук HP EliteBook 830 G8
Сделал 3 замера скорости:
1. DOWNLOAD Mbps 33.13 UPLOAD Mbps 72.42 (это в 2м от роутера)
2. DOWNLOAD Mbps 17.53 UPLOAD Mbps 22.79 (соседняя комната)
3. DOWNLOAD Mbps 14.23 UPLOAD Mbps 19.04 (это кухня) дальше всего от роутера

В настройках country стоит USA - мне когда-то один спец сказал, что выбирая эту страну в параметрах - не будет никаких ограничений.
Frequency - auto
Band - 2GHz B/G/N
Firewall Router галочка
MAC Server галочка
MAC Winbox галочка
Discovery галочка

Address Acquisition automatic
Поставил Channel Width 20MHz вроде стало лучше, но все равно не айс.
Ниже скрины с конфига:
https://ibb.co/KwYZRvv
https://ibb.co/cYnW1XS
https://ibb.co/sWqGtC8
Собственно вопрос: почему херовая скорость по беспроводу и что можно исправить/улучшить? Ибо не пользование инетом, а мазохизм полный
Может какие настройки надо изменить?
Спасибо

Автор: Tiger Jun 29 2022, 23:32

Кто приемник? Если чип MediaTeck - забей. Не работает оно с Микротом.

Автор: YaAllex Jun 30 2022, 7:47

(Tiger @ Jun 30 2022, 0:32)

Автор: H_U_L_K Jun 30 2022, 9:02

(YaAllex @ Jun 30 2022, 8:47)