Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[imenno]

Hairpin nat
https://wiki.mikrotik.com/wiki/Hairpin_NAT

Да, спс, вот нашел то же самое в картинках)))
https://xn----7sba7aachdbqfnhtigrl.xn--j1am...o-vneshnemu-ip/
Это все правда под конкретный адрес нужно писать каждый раз правило. Как сделать такое вот для всего трафика с любых внутренних ип на другой внутренний ип через внешний.

По линксис нашел в настройках "Filter Internet NAT Redirection" и убрать галочку. Но не работает все равно. Там есть еще правила маршрутизации, поиграюсь с ними.
пс. заработало, отключив "фильтр интернет нат переадресации" и "быстрая переадресация" и тут уже для всех адресов.

Сообщение отредактировал imenno - Apr 17 2020, 20:34

[Sasha74]

хочу прокинути порт ssh через вхідний Mikrotik1(білий ІР) на Mikrotik2(контролер CAPSman) у внутрішній мережі
на перший по SSH заходить - все налаштовано.
на другий по SSH заходить тільки із внутрішньої мережі
налаштування Mikrotik1 такі:
в firewall перше правило

add action=accept chain=forward comment=Allow_access_over_SSH dst-port=22 in-interface=pppoe-out protocol=tcp

/ip firewall nat

add action=masquerade chain=srcnat out-interface=pppoe-out
add action=dst-nat chain=dstnat comment=SSH dst-address=XX.XXX.XXX.XX dst-port=55557 in-interface=pppoe-out protocol=tcp \
to-addresses=192.168.1.2 to-ports=22

в Mikrotik2 firewall пустий, всі інтерфейси об'єднані в брідж і в наті маскарадинг на цьому бриджі

що не так?

[H_U_L_K]

В фаерволе на первом микротике это единственное правило? Другие пробросы портов работают?
У меня похожее было когда провтыкал отключить дроп форварда.

[gonivo]

хочу прокинути порт ssh через вхідний Mikrotik1(білий ІР) на Mikrotik2(контролер CAPSman) у внутрішній мережі
на перший по SSH заходить - все налаштовано.
на другий по SSH заходить тільки із внутрішньої мережі
налаштування Mikrotik1 такі:
в firewall перше правило

add action=accept chain=forward comment=Allow_access_over_SSH dst-port=22 in-interface=pppoe-out protocol=tcp

Обратное правило добавь под ним:
add action=accept chain=forward comment=Allow_access_over_SSH src-port=22 out-interface=pppoe-out protocol=tcp

[Sasha74]

Обратное правило добавь под ним:
add action=accept chain=forward comment=Allow_access_over_SSH src-port=22 out-interface=pppoe-out protocol=tcp

попробував - не допомагає, поясніть логіку будь ласка, при прокидці RDP такого правила нема, хоча там і першого правила теж нема
наскільки я розумію, при проходженні першого правила пакети маркуються established і проходять по іншому правилу

Сообщение отредактировал Sasha74 - Apr 30 2020, 21:44

[gonivo]

попробував - не допомагає, поясніть логіку будь ласка, при прокидці RDP такого правила нема, хоча там і першого правила теж нема
наскільки я розумію, при проходженні першого правила пакети маркуються established і проходять по іншому правилу

1-ше правило пропускає пакети як new так і established і related бо стан з`єднання не вказаний. Але тільки у напрямку до клієнта.
Оскільки що зі зворотніми пакетами мені невідомо, то написав про зворотне правило.
Рознеси ssh на обох мікротіках по різних портах, щоб при прокиданні порт з локальним не накладався.

[Sasha74]

справа точно не в фаєрволі - дозволяв усе

[gonivo]

На мікротіку2 інет точно є?

[IceWallow_Come]

Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти

[mak_v_]

Открыть фаервол

[VoliaMan]

Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти

открыть порт 8192

[Console]

Подскажите, а как зайти удаленно на миротик в веб-панель? Ввожу ip адрес - ничего не происходит. Добавляю порты к нему 80 и 8000 тоже не могу зайти

Вы из какого сегмента сети пробуите подключится?

Ниже простая инструкция

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

_https://www.technotrade.com.ua/Articles/mikrotik_quickset_setup_2012-10-12.php

открыть порт 8192

Это для Winbox..

[IceWallow_Come]

Вы из какого сегмента сети пробуите подключится?

Захожу удаленно, по ip адресу . При подключении в локальную сеть - все получается.

[gonivo]

Захожу удаленно, по ip адресу . При подключении в локальную сеть - все получается.

Все правильно, так и должно быть. Иначе вирусняки сожрут.
В феерволе открой доступ с домашнего IP.

[IceWallow_Come]

Все правильно, так и должно быть. Иначе вирусняки сожрут.
В феерволе открой доступ с домашнего IP.

А не могли бы выложить сюда скрин где это нужно сделать? Так как я не на объекте и придется просить "местных" ))

[gonivo]

А не могли бы выложить сюда скрин где это нужно сделать? Так как я не на объекте и придется просить "местных" ))

[IceWallow_Come]

Огромное спасибо! Все получилось! И я еще на всякий случай прописал в ip - services, напротив 80-го порта свой домашний ip. С меня плюсег!

[olexande]

Доброго дня!
Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.

Провайдер зараз 1н. веб серверів, щоб могли обробити запит - хочу встановити 2.

Таке цікавить:



В ідеалі, якщо 1н з серверів відключиться, щоб на нього запити перестали надсилатися.
Чи я сам відключу ...

Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.

[Tiger]

Доброго дня!

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

Підкажіть будь ласка, чи можна налаштувати на mikrotik балансування запитів web трафіку на 2 чи більше внутрішніх веб серверів.
Балансування каналів провайдерів - багато інструкцій знаходив ...
Прокидання трафіку ззовні всередину на 1н хост - вмію.

Провайдер зараз 1н. веб серверів, щоб могли обробити запит - хочу встановити 2.

Таке цікавить:



В ідеалі, якщо 1н з серверів відключиться, щоб на нього запити перестали надсилатися.
Чи я сам відключу ...

Про nginx чи подібне поставити після мікротику думав, але залежності від поломки ПК з nginx це не зменшує.

Да, можно, но очень урезанно. Балансировщики это довольно умные и дорогие железки.

» Нажмите, чтобы показать спойлер - нажмите опять, чтобы скрыть... «

https://tikdis.com/mikrotik-routeros/hardware/inbound-load-balancing-servers/

[GhostKU]

Нужно обновить домашний роутер, остановился на hAP AC2 Норм? Или что другое порекомендуете?
Основные требования:
- Скорость работы (Нормальный, честный гигабит между портами, Хороший WiFi)
- Надежность
- Поднять VPN чтобы снаружи домой ходить

Еще в пару к роутеру нужен будет гигабитный комутатор, ХЗ чё брать