Mikrotik, отдельная тема по этому оборудованию Опции

[mussy]

Ранее часто для объединения разных офисов / точек между собой использовал исключительно OPEN VPN. Сейчас начал все больше присматриваться к Mikrotik.

Подскажите, если соединять Mikrotik`овские маршрутизаторы исключительно по EOIP - является ли это достаточным для обеспечения безопасности трафика между офисами? Или нужно еще дополнительно этот туннель шифровать чем-то ?

Сообщение отредактировал Spectral - Jul 15 2020, 22:50

[Tiger]

4) на ВМ підключаються юзери з ноутів, до яких підключені сканери, і запускають в терміналі 1С.
5) Сканер прокидується як клавіатура по nativAPI

Сделай его через usbip - работает отлично.

[Beyond]

Добрый день, прошу помощи так как ранее с Mikrotik дело не имел.
Ситуация такая на Windows Server поднят VPN L2TP. Этот сервер входит в АД.
Те кто подключается то получают доступ кто к сетевым папкам в сети, кто к базе данных. Так вот Раньше стоял Linux шлюз который без труда перенаправлял трафик VPN на єтот сервер и проблемы не было. Сейчас он накрылся и решили что в место него поставить Mikrotik.
Инет по инструкции с интернета поднялся, а вот перенаправить порты L2TP не получается, попробовал ради интереса перенаправить 3389 тот сразу заработал.
Те инструкции которые видел показывают только как поднять на самом устройстве но этого не хотелось бы.

Сообщение отредактировал Beyond - Oct 14 2022, 8:03

[Mad Dog]

Инет по инструкции с интернета поднялся, а вот перенаправить порты L2TP не получается

Packet Sniffer і дивись куди саме йдуть пакети...

[Beyond]

Packet Sniffer і дивись куди саме йдуть пакети...

Шикарный ответ, на уровне этого mikrotik останавливаются, по этому и вопрос.

[Fanta]

Всім привіт!
Маю такий набір
0) фіз.сервер на Хетцнері з 2ма ІР + 2 вСвічі (ЛАН, ВАН)
1) CHR 7.5 в ролі роутера
2) "за ним" живуть ВМ
3) на ці ВМ прокинуті порти для РДП
4) на ВМ підключаються юзери з ноутів, до яких підключені сканери, і запускають в терміналі 1С.
5) Сканер прокидується як клавіатура по nativAPI

і от все це працює нормально окрім сканера. Він "пропадає" і коли скануєш то "рветься" рядок або взагалі не сканує.
Якщо підключатися без мікрота (пробували на хост і на інші сервери, як за мікротами так і за циско) то сканер працює нормально і нєєдіного разрива (

Відповідно питання звучить так: де/що потрібно перевірити в конфігах мікрота, що могло б впливати на цей момент?

Я додатково перевіри роботу сканеру на різних ОС (2022, 2019, 2016) поки зрозумів що потрібно копнути в цю сторону)
Є така ж звязка на 6.4х - там все ОК.

АП: в логах бачу наступне
RDP TCP 3303 dstnat: in:ether2 out:(unknown 0), connection-state:new src-mac 64:64:9b:6f:a3:2b, proto TCP (SYN), 37.73.108.179:56697->65.109.УУУ.ХХХ:3303, len 52

3303 - це порт який доступний з ВАН
ether2 - ВАН порт CHR
65.109.УУУ.ХХХ білий ІР, який через вСвіч прилітає на ВАН-порт CHR

Забув відписати....
перейшов на 6.49.6 і все стало ЗБС.)

[Vitaliy_y]

Те инструкции которые видел показывают только как поднять на самом устройстве но этого не хотелось бы.

так хоч би export hide-sensitive побачити, можете айпішники білі замаскувати руками

[Mad Dog]

Шикарный ответ, на уровне этого mikrotik останавливаются, по этому и вопрос.

Відповідь краща чем твоє питання.
Ти ж ні конфіга ні скріншотів не показав.
Там же є лічильник пакетів для кожного правила. Цифра змінюється?
Ну і там же потрібні декілька портів... по всім дропи?

[Beyond]

Все настройки сброшены, прописан ether1 (настройки интернет провайдера), прописан ether2 (локальная сеть).
В Filter Rule, 1) Chain = Input , Connection state = established,related , Action=accept 2) Chain = Input , in.interface = ether1 , Action=drop. (Можно отключать для теста эффекта нету)
В NAT 1) маскарад,
Это основные настройки. Далее пробовал пробрасывать порты 500, 1701, 4500, ah , esp , за таким принципом

Нажать + и добавить новое правило NAT;
Выбрать Chain=dstnat;
Protocol = udp;
Dst. Port = 500,1701,4500;
In. Interface = интерфейс с интернет провайдером;
Action = dst-nat;
To Addresses = IP адрес во внутренней сети.

при таком правиле например 3389 перенаправляется без проблем.

так же пробовал в В Filter Rule эти же прорты просто разрешать...
https://ibb.co/VvHyVtm

Сообщение отредактировал Beyond - Oct 14 2022, 15:22

[Mad Dog]

Action = dst-nat;
To Addresses = IP адрес во внутренней сети.

To Port ?

Без нього мікрот може слати пакети на 0 порт.

так же пробовал в В Filter Rule эти же прорты просто разрешать...

Прибери.

[Beyond]

Прибрав з Filter Rule, To Port - прописані аналогічно як и Dst. Port

[Mad Dog]

Прибрав з Filter Rule, To Port - прописані аналогічно як и Dst. Port

Ти їх прям так через коми і записав? Окремими правилами не пробував?
Що на лічильниках? Ну і Packet Sniffer відфільтрувати по ip звідки йде підключення до впн серверу.

[Beyond]

все окремими правилами, як на знімку.
коли пробуешь підключитись то снифер бачить тільки 500 пакети як на знімкуhttps://ibb.co/7J4qGzV

Сообщение отредактировал Beyond - Oct 14 2022, 17:18

[Koka-ftp]

возможно не в тему, но подскажите хороший сервис по ремонту микротов (бутлуп *нет инсталл не видит) и дронов мавик

Сообщение отредактировал Koka-ftp - Oct 14 2022, 20:01

[Mad Dog]

все окремими правилами, як на знімку.
коли пробуешь підключитись то снифер бачить тільки 500 пакети як на знімкуhttps://ibb.co/7J4qGzV

З тебе потрібну інформацію хрін виб'єш ))

Відфільтровав тільки по ip що підключається ззовні?

лічильник пакетів для правила на 500 порту змінює цифри?

Якщо ні треба дивитись чого не працює правило
якщо так то вже треба дивитись чого пакет не уходить з маршрутизатора.

[KoNoRIMCI]

ㅤ

Сообщение отредактировал KoNoRIMCI - Nov 4 2025, 16:10

[KoNoRIMCI]

ㅤ

Сообщение отредактировал KoNoRIMCI - Nov 4 2025, 16:10

[TaPaKaH4er]

подскажите,может поменять что-то в routeros и можно без танцев с бубном сделать резервный 4г инет?чтобы сам переключался при отвале провайдера?
либо гайд какой то,для нубов?)роутер hap ac lite

[H_U_L_K]

подскажите,может поменять что-то в routeros и можно без танцев с бубном сделать резервный 4г инет?чтобы сам переключался при отвале провайдера?
либо гайд какой то,для нубов?)роутер hap ac lite

https://weblance.com.ua/412-mikrotik-na-2-p...v-routeros.html

Так что б нажать 2 кнопки и работает не получится, нужно повозится.

Сообщение отредактировал H_U_L_K - Nov 6 2022, 23:23

[TaPaKaH4er]

https://weblance.com.ua/412-mikrotik-na-2-p...v-routeros.html

Так что б нажать 2 кнопки и работает не получится, нужно повозится.

За ссылку спасибо,но наверно возьму просто xiaomi router 3g с прошивкой падавана,там в 2 кнопки работает
Я не осилю эти танцы с бубном)

[H_U_L_K]

Есть спецы в скриптах?...
Суть такая что нужно через определенный порт ether1 мониторить наличие интернета (можно через пинг 8.8.8.8).
Типа пинг 8.8.8.8 раз в 20-40 секунд и записывать в текстовый файл дату/время когда пинг проходит, а когда нету. Ну или типа того.
Как такое можно реализовать?

Штатная утилита пинг не особо красиво это делает так как не пишет дату/время пинга.