Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[gonivo]

Есть еще nstreme. Но по личным наблюдениям nv2 как то постабильнее.
Коллега недавно советовал отключать шифрование, делать открытую точку доступа и привязку по макам чтоб халявщики не лезли.
Не применяйте устаревшее шифрование TKIP, начиная с n - стандарта его не поддерживают и точка переключится на старый b/g.

Сообщение отредактировал gonivo - Feb 27 2020, 18:56

[Alekssander]

Есть еще nstreme. Но по личным наблюдениям nv2 как то постабильнее.
Коллега недавно советовал отключать шифрование, делать открытую точку доступа и привязку по макам чтоб халявщики не лезли.
Не применяйте устаревшее шифрование TKIP, начиная с n - стандарта его не поддерживают и точка переключится на старый b/g.

Сегодня решил попробовать nstreme. Ужасно. Может требуется более тонкая настройка.
Связь не стабильна. Можно сказать её вообще нет. Даже при выставлении у клиента Wireless Protocol - nstreme связь плохая.
Вернул всё в зад.

[gonivo]

Сегодня решил попробовать nstreme. Ужасно. Может требуется более тонкая настройка.
Связь не стабильна. Можно сказать её вообще нет. Даже при выставлении у клиента Wireless Protocol - nstreme связь плохая.
Вернул всё в зад.

А сколько там по сигналам? По Freq Usage на АР и клиенте смотрели что там творится в эфире?
При норм сигнале даже на базовом 802.11g должно мегабит 40 давить в режиме 1 AP - 1 клиент.

Сообщение отредактировал gonivo - Feb 28 2020, 19:57

[Alekssander]

А сколько там по сигналам? По Freq Usage на АР и клиенте смотрели что там творится в эфире?
При норм сигнале даже на базовом 802.11g должно мегабит 40 давить в режиме 1 AP - 1 клиент.

[Console]

На фоне карантинов)
Есть необходимость настроить на микротике OpenVPN сервер для нескольких виндовых клиентов... но столкнулся с проблемой..

На простом логине пароле ок, работает проблем нет, но при попытке добавить проверку по сертификату возникли проблемы.
На сервере явно указал aes256 и SHA1, но работает только если блоуфиш алгоритм....

rb4011

Сообщение отредактировал Console - Mar 17 2020, 12:38

[Vitaliy_y]

На фоне карантинов)
Есть необходимость настроить на микротике OpenVPN сервер для нескольких виндовых клиентов... но столкнулся с проблемой..

На простом логине пароле ок, работает проблем нет, но при попытке добавить проверку по сертификату возникли проблемы.
На сервере явно указал aes256 и SHA1, но работает только если блоуфиш алгоритм....

rb4011

поднять ipsec ike2 или l2tp ipsec, и на винде бубнить ничего не надо и на микротике все ок
openvpn на микроте нужно уметь, там граблей много.
в клиентах на openvpn в конфиге что по шифрованию? там может быть явно bf-crypt указан.

[Console]

поднять ipsec ike2 или l2tp ipsec, и на винде бубнить ничего не надо и на микротике все ок
openvpn на микроте нужно уметь, там граблей много.
в клиентах на openvpn в конфиге что по шифрованию? там может быть явно bf-crypt указан.

Я явно указывал aes256, но потом на сервер получал ошибку "не поддерживаемый дайджес авторизации", при явно указаном SHA1

[Vitaliy_y]

Я явно указывал aes256, но потом на сервер получал ошибку "не поддерживаемый дайджес авторизации", при явно указаном SHA1

Так, ничего не понял
на сервере что включено в auth и chiper? там можно убрать md5 и null остальное оставить по умолчанию, да и вариантов aes256 несколько, конкретно микрот любит aes256-cbc, собственно blowfish тоже не плохо работает.

[-13-]

гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него

в офф.гайде какой-то совсем древний с виду описан плюс на базе ntopng который с ограничениями во фри версии

цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем, были ли потери на стороне провайдера.

ставил https://github.com/robcowart/elastiflow
капец перегружен деталями, вроде нашел пару дашбордов с данными которые мне нужны, но не смог переименовать exporter с айпишника на человекопонятное имя роутера, и плюс elastiflow дофига прожорливый по ресурсам, ему надо даже на 2 роутера с 10Гб суточного трафика на каждом - гигов 10 оперы

пока свернул его, может есть нормальные опробованные альтернативы

[Fanta]

гайз, а кто юзает статистику netflow на микротиках?
порекомендуйте хранитель\анализатор для него

в офф.гайде какой-то совсем древний с виду описан плюс на базе ntopng который с ограничениями во фри версии

цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем, были ли потери на стороне провайдера.

ставил https://github.com/robcowart/elastiflow
капец перегружен деталями, вроде нашел пару дашбордов с данными которые мне нужны, но не смог переименовать exporter с айпишника на человекопонятное имя роутера, и плюс elastiflow дофига прожорливый по ресурсам, ему надо даже на 2 роутера с 10Гб суточного трафика на каждом - гигов 10 оперы

пока свернул его, может есть нормальные опробованные альтернативы

https://www.manageengine.com/products/netflow/

[Tiger]

https://www.manageengine.com/products/netflow/

В бесплатной редакции 2 интерфейса и 100 мбит максимум

Мы Zabbix используем. Для десятка другого можно тупо аплаенс ставить и не париться с архитектурой.

[Console]

Так, ничего не понял
на сервере что включено в auth и chiper? там можно убрать md5 и null остальное оставить по умолчанию, да и вариантов aes256 несколько, конкретно микрот любит aes256-cbc, собственно blowfish тоже не плохо работает.

Вариант первый не рабочий:
В конфиге клиента явно ничего не говорю про auth и chiper
На сервере оставляю SHA1 в auth и aes256 в chiper
По логам сервера получаю disconnected unsupported cipher
Вариант второй не рабочий:
В конфиге клиента явно указываю aes256
На сервере оставляю SHA1 в auth и aes256 в chiper
По логам сервера получаю disconnected unsupported auth digest
Вариант третий рабочий:
В конфиге клиента явно ничего не указываем в auth и chiper
На сервере оставляю SHA1 в auth и blowfish в chiper
Конектится..

[-13-]

Мы Zabbix используем. Для десятка другого можно тупо аплаенс ставить и не париться с архитектурой.

Заббикс, а каким образом, может есть ссылки на гитхаб, темплейты и прочее?

Я нашел вот это и решил что заббикс не умеет такого вообще

А сейчас посильнее погуглил и нашел это

[Tiger]

Заббикс, а каким образом, может есть ссылки на гитхаб, темплейты и прочее?

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Я нашел вот это и решил что заббикс не умеет такого вообще

А сейчас посильнее погуглил и нашел это

Это

надо понимать какая была нагрузка на канал сегодня\вчера\позавчера

лучше не NetFlow а SNMP (меньше затрат на мониторинг). В Zabbix просто собираем SNMP с каждого устройства и храним сколько надо историю.
Это

какой айпишник в локальной сети ее генерировал и зачем

уже надо разбирать именно NetFlow, но так как нам надо только тут и сейчас, история не интересует, то пользуемся обычным ntop.

В твоём случаи если есть небольшой бюджет ManageEngine таки решит все задачи. Если нет - собирать самому стэк из продуктов.

Сообщение отредактировал Tiger - Mar 22 2020, 10:12

[koder]

MikroTik hAP lite

Можно ли настроить раздавать интернет с другого роутера? Как?

[mak_v_]

MikroTik hAP lite

Можно ли настроить раздавать интернет с другого роутера? Как?

Да, руками.

[Tiger]

MikroTik hAP lite

Можно ли настроить раздавать интернет с другого роутера? Как?

Да можно. Вариантов много. Бридж классический, NAT, роутинг. Необходимо понимать что надо в итоге. Нужны ли сети из первого маршрутизатора во второй.

Если тупо инет - расценивай первый роутер как gateway провайдера и все. Настройки те же.

[nerve]

гайз, а кто юзает статистику netflow на микротиках?

порекомендуйте хранитель\анализатор для него

цель - мониторинг сети из десятка роутеров, это офис и салоны
надо понимать какая была нагрузка на канал сегодня\вчера\позавчера, какой айпишник в локальной сети ее генерировал и зачем,

nfsen.
дешево и сердито.
ставишь его на отдельный сервер и отдаешь ему статистику с ротиков микро)

у меня не ротики, но на роутере одном стоял для порядка сколько-то лет, что я даже забыл про него, а вот недавно пригодился прям очень даже. стали жаловаться, что инет отваливается и вообще какая-то хня происходит. в консоли роутера лоада нет, но необычно высокий interrupt rate по сетевым, что натолкнуло на мысль залезть в статистику nfsen и посмотреть что там.
а там

в итоге нашел айпишник генеривший трафик, залочил его а потом и вовсе отключил от сети. там оказался какой-то троян

[koder]

Да можно. Вариантов много. Бридж классический, NAT, роутинг. Необходимо понимать что надо в итоге. Нужны ли сети из первого маршрутизатора во второй.

Если тупо инет - расценивай первый роутер как gateway провайдера и все. Настройки те же.

Интернет нужен с роутера - нет никаких сетей
В данном случае какая настройка?

[Tiger]

Интернет нужен с роутера - нет никаких сетей
В данном случае какая настройка?

Я же написал. Расценивай роутер, с которого берешь интернет как роутер провайдера.
Роутер А имеет адрес 192.168.1.1 это будет шлюз для роутера Б. Сеть за роутером Б должна отличаться от сети роутера А. Всё.