Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6830-й день

Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua

 Mikrotik, отдельная тема по этому оборудованию

mussy
Oct 7 2018, 23:12
  
Пост #1



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 432
С нами с: 31-January 08


Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
23 Страницы  < 1 2 3 4 5 > »   
Reply to this topicStart new topic
Ответов(40 - 59)
Console
May 4 2019, 15:15
  
Пост #41



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


(imenno @ May 4 2019, 14:59) Перейти к цитате

а есть где-то гайд как настроить несколько провайдеров на одновременную работу, микротик 962. Или хотя бы на переподключение, при отвале первого и так по очереди. По лану оба подключены и третий это 4г свисток.

_https://weblance.com.ua/263-mikrotik-advanced-failover-avtomaticheskoe-pereklyuchenie-mezhdu-osnovnym-kanalom-i-3g-proverka-osnovnogo-internet-kanala-i-otpravka-sms-uvedomleniy-iz-mikrotik.html

Вот к примеру гугл выдал, + вопрос еще какой сценарий.

(YaAllex @ May 4 2019, 15:13) Перейти к цитате

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Логично было бы предположить, что, в случае ограничений на 1 файл, можно попробовать как то работать с несколькими файлами.

Мм.. тут скорее скрипт другой нужен если я правильно понимаю, он открывает фаел вычитывает все, заагоняет в переменную "контент" и потом с нее уже делает список в микротике. Так тратится меньше ресурсов и быстрей скрипт выполняется. А что бы обойти проблему нужен костыль, он лезит в фаел читает строку, проверяет на наличие в списке микротика, нету, добавляет, запускает цикл по новой, есть в списке читает следующую строкую. Таким образом в переменной будет не весь список, а только один адрес..

Но как говорится на словах все это хорошо, осталось сделать cry.png
Походу проще использовать python + API routeOS

P.S. вчера вечером поковырял и получилось, код правда програмистам показывать не зя, батхерт будет smile.png

Рядом с скриптом должен быть ipaddress.txt с ip адресами построчно(нужно убрать закоменченые строки)
Должен быть user с правами работы через api
Включен сервис api (прописывал аксес лист на свой адрес)
Ну в общем он сыроват, минусы:
- логин и пароль в открытом виде
- практически не обработаны ексепшены
- ошибка в логике пропуска уже добавленого ip адерса.(утром еще раз глянул и осознал)
- повторяющиеся куски кода
- ручная подгрузка файла с ransomwaretracker.abuse.ch/blocklist/
- долбонуто названые переменные.. grin3.png
- нужно детальней изучить уровень необходимых разрешений у юзера, ибо тестил на отдельном с полными правами

Есть еще над чем порабоать...


» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «


Сообщение отредактировал Console - May 6 2019, 12:16
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Jul 22 2019, 10:43
  
Пост #42



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 432
С нами с: 31-January 08


Ребята, такой вопрос.
Хочу использовать Mikrotik исключительно для моста между двумя офисами. Как наилучшим образом это сделать?
Хочу использовать EOIP +IPsec.

Рабочую схему с подключением нескольких VMware виртуалок в разных датацентрах с помощью Mikrotik CHR уже давно применяю. А вот с реальной сетью что-то торможу с реализацией.

Правильно ли я понимаю, что мне нужно следующее:
1. запросить у провайдера обоих офисов дополнительные статические IP (которые будет только для того, чтобы Mikrotik1 видел Mikrotik2)
2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.

Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик?

Сообщение отредактировал mussy - Jul 22 2019, 11:05
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Jul 22 2019, 17:39
  
Пост #43



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11


(mussy @ Jul 22 2019, 11:43) Перейти к цитате


2. настроить один LAN Mikrotik`а на IP провайдера, и еще один LAN на IP внутренней сети.*

Перед Микротиком будет стоять основной роутер, как мне подключить основной роутер и микротик? **


* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.

**У вас в сети несколько активных маршрутизаторов?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mussy
Jul 22 2019, 20:57
  
Пост #44



Репутация:   143  
Постоялец
***

Группа: Пользователи
Сообщений: 1 432
С нами с: 31-January 08


(YaAllex @ Jul 22 2019, 18:39) Перейти к цитате

* Разверните ваш пункт 2, пожалуйста, - что вы собираетесь делать? Может вечер понедельника влияет, но мозги аж закипают от пункта 2.

**У вас в сети несколько активных маршрутизаторов?

нужно установить в удаленных офисах эти микротики, две штуки. Сетевое оборудование там какое-то есть. К нему у меня доступа нет.
Соответсвенно схема будет такой

Провайдер -> Роутер Офис1 -> Свитч -> пользовательские ПК

Микротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет

Сообщение отредактировал mussy - Jul 22 2019, 20:59
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
YaAllex
Jul 23 2019, 21:00
  
Пост #45



Репутация:   80  
Постоялец
***

Группа: Пользователи
Сообщений: 1 184
С нами с: 15-November 11



Микротик я не могу поставить перед роутером. Но мне нужно чтобы от провайдера я получил какой-то белый IP (EOIP вроде по другому работать не будет) + мне нужно, чтобы пользовательские ПК видели Офис2, где схема такая же.
~~~
Или же будет проще, если Провайдера втыкнуть в Микротик и офисный роутер уже к Микротику? А на микротике пропускать весь трафик типа как DMZ на роутер? Но я тогда не знаю насколько это безопасно для EOIP интерфейса будет


EoIP - микротиковский проприетарный туннельный протокол точка-точка, те вам понадобятся:
1 )static ip на обоих железках, которые хотите соединить.
2) два микротика или умеющие работать с EoIP линукс-маршрутизатора.

По поводу, должен стоять микротик за другим маршрутизатором - решайте сами( там возня с натом будет, а вот сможете ли побороть zipped.png )
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Console
Jul 24 2019, 14:43
  
Пост #46



Репутация:   498  
ultra active user
******

Группа: Пользователи
Сообщений: 11 285
С нами с: 23-March 08


Вопрос, куплен MikroTik hAP lite RB941-2nD-TC
И вот такая картинка по работе с Wi-Fi, я понимаю что там 150 линк, почему на загрузке такой провал...
Из того что пробовал:
-различные прошивки (беты, стабильные, лонг, пару разных версий)
-убирал пароль на подключение
-менял каналы
Подключался:
-Lenovo ThinkPad e580
-Redmi Not 7
-MacBook Air 13" Early 2015 A1466

По RJ-45 ок проблем нету, да и если бы +- даулоуд с аплодом были в пределах 60 вопросов не было..
Кто что может посоветовать?
Точка нужна для подключение пары телефонов, ноубука, как бы вроде и так работает, но явно полова..

Open in new window
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gonivo
Jul 24 2019, 22:53
  
Пост #47



Репутация:   83  
Cтаршой
**

Группа: Пользователи
Сообщений: 954
С нами с: 25-June 06


Посканируйте частоты Wireless -> freq usage, частоту подберите почищще. Проверьте все ли галки chain во вкладке HT отмечены. В Band поставьте only-N, channel width любая 20/40.
Перед сканом частот поставьте advanced mode - country - debug, откроются все частоты. Только потом с умом выбирайте, там будут и неподдерживаемые обычным железом.
Что не нравиться в микротиках - нельзя поставить 40 мгц онли.

Сообщение отредактировал gonivo - Jul 24 2019, 22:58
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
gonivo
Jul 24 2019, 23:08
  
Пост #48



Репутация:   83  
Cтаршой
**

Группа: Пользователи
Сообщений: 954
С нами с: 25-June 06


(mussy @ Jul 22 2019, 21:57) Перейти к цитате


Микротик я не могу поставить перед роутером.

Можете. Микротик умеет объединять 2 порта бриджом или свичом если есть аппаратная поддрежка. Потом на бридж прописываете 2-й белый айпи от прова, вешаете EOIP tun и объединяете его с портом смотрящим в локалку вторым бриджом. Но осторожнее с дхцп в офисах, оно будет раздавать айпи и через туннели.

Сообщение отредактировал gonivo - Jul 24 2019, 23:09
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 6 2019, 16:31
  
Пост #49



Репутация:   67  
Постоялец
***

Группа: Пользователи
Сообщений: 1 337
С нами с: 31-March 06


Всім хелоу!
раз тут топік про мікроти то спитаю і я smile.png
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічальsad1.png
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 7 2019, 9:11
  
Пост #50

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


(Fanta @ Aug 6 2019, 17:31) Перейти к цитате

Всім хелоу!
раз тут топік про мікроти то спитаю і я smile.png
Потрібен свіч на 16-24 гігабітні порти.
Глянув ціни на циску - пічальsad1.png
Як у мікротіка з свічами - є норм моделі? Ніколи не юзав сабж. Варто дивитися в сторону мікротіків в ролі свіча ?

Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).

Сообщение отредактировал Tiger - Aug 7 2019, 9:11
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 7 2019, 10:00
  
Пост #51



Репутация:   67  
Постоялец
***

Группа: Пользователи
Сообщений: 1 337
С нами с: 31-March 06


(Tiger @ Aug 7 2019, 10:11) Перейти к цитате

Какая задача? Свитч какого уровня? Access или для серверного окружения?
Микротики используем 10Gb CRS3ХХ года 2-3 - пока никаких проблем не возникало. Только рекомендую не загружать SwOS а остаться на RouterOS и настроить обязательно hardware offload (включается на уровне портов и бридж групп).

потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне" smile.png
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 7 2019, 13:28
  
Пост #52

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


(Fanta @ Aug 7 2019, 11:00) Перейти к цитате

потрібен управляєми Л2 свіч для аксесса.
Зараз стоять 2 звичайні "тупарі" які час від часу глючать. Потрібно замінити їх на "шось нормальне" smile.png

Обычный Микротик будет за глаза. Например CRS125-24G-1S-IN. Или CRS326-24G-2S+RM если блоки питание надо задублировать.
При их цене можно вообще не париться с гарантией и просто купить 1 "запасную". Всё равно будет дешевле раз в 15 чем Cisco 2960 самая простая.

Сообщение отредактировал Tiger - Aug 7 2019, 13:29
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Vitaliy_y
Aug 7 2019, 13:59
  
Пост #53



Репутация:   131  
Cтаршой
**

Группа: Пользователи
Сообщений: 962
С нами с: 3-July 07


CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 7 2019, 16:50
  
Пост #54



Репутация:   67  
Постоялец
***

Группа: Пользователи
Сообщений: 1 337
С нами с: 31-March 06


(Vitaliy_y @ Aug 7 2019, 14:59) Перейти к цитате

CRS125-24G-1S-IN за глаза, трудится 10 штук без всяких заморочек, правда есть немного тараканов по vlan но они решаемы вдумчивым чтивом мануала.

і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 7 2019, 16:54
  
Пост #55

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


(Fanta @ Aug 7 2019, 17:50) Перейти к цитате

і як сабж "тримає" гігабіт? Планується приблизно 10 портів де буде йти багато трафіку (бекапи в основному). Утлізація буде по максимуму на цих портах.
ЦПУ/ОЗУ вистачає девайсу?

Если включить hardware offload получаем 98-99% утилизации всех портов в синтетике. Коммутатору RAM не нужна для пропускания трафика, она для загрузки ОС\конфигурации. CPU не участвует так же, если включен hardware offload.
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 21 2019, 16:33
  
Пост #56

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


Народ, а как лучше настроить информирование по E-mail о том что девайс покинул зону Wi-Fi?
Мониторить DHCP сервер и Lease на предмет есть там запись о конкретном МАС или нет, если нет - отправлять письмо. Но вот как скрипт написать что-то не могу додумать.
ЗЫ. Отправлять по SNMP\Syslog в PRTG\Splunk не предлагать, это домашний роутер smile.png
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
mak_v_
Aug 21 2019, 16:50
  
Пост #57



Репутация:   440  
Скорострел
*****

Группа: Пользователи
Сообщений: 7 453
С нами с: 4-December 11


Дергать лог на предмет "disonnected" и слать, не?
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 21 2019, 16:54
  
Пост #58

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


(mak_v_ @ Aug 21 2019, 17:50) Перейти к цитате

Дергать лог на предмет "disonnected" и слать, не?

Так тоже вариант, только не понимаю что где писать то? Типо в самом Микротике в вкладке скрипты создать скрипт, который смотрит лог на предмет совпадения строки и отправляет?

Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping

Сообщение отредактировал Tiger - Aug 21 2019, 16:57
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Fanta
Aug 21 2019, 20:40
  
Пост #59



Репутация:   67  
Постоялец
***

Группа: Пользователи
Сообщений: 1 337
С нами с: 31-March 06


(Tiger @ Aug 21 2019, 17:54) Перейти к цитате

Блин всё проще оказалось.
DHCP - Leases - Make Static - Netwatch - Create rule ping

рівно до тих пір поки та сторона "приймає" пінг ))
User is offlineProfile CardPM
Go to the top of the page
+Quote Post
Tiger
Aug 22 2019, 8:51
  
Пост #60

Благодарности: 1756

Репутация:   1227  
Праведник
******

Группа: CуперМодеры
Сообщений: 13 220
С нами с: 20-October 06


(Fanta @ Aug 21 2019, 21:40) Перейти к цитате

рівно до тих пір поки та сторона "приймає" пінг ))

Само собой. Но "та сторона" мною и настраивается, поэтому проблем не будет smile.png
User is offlineProfile CardPM
Go to the top of the page
+Quote Post

23 Страницы  < 1 2 3 4 5 > » 
Reply to this topicStart new topic

 



- Упрощённая версия
Сейчас: 26th November 2024 - 0:04
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст.